• Home
  • Chimica
  • Astronomia
  • Energia
  • Natura
  • Biologia
  • Fisica
  • Elettronica
  • Un quindicenne ha dichiarato di aver scoperto vulnerabilità nel portafoglio hardware

    I titoli canticchiavano con la scoperta da parte di Saleem Rashid di 15 anni di una vulnerabilità che ha trovato nei portafogli hardware di Ledger. Ha scritto sul blog il 20 marzo.

    Cos'è Ledger e quali sono i loro portafogli hardware? Libro mastro, disse Krebs sulla sicurezza , uno dei numerosi siti che guardano all'impresa dell'adolescente, è un'azienda i cui prodotti sono progettati per salvaguardare fisicamente le chiavi utilizzate per ricevere o spendere le criptovalute dell'utente.

    Per esempio, l'azienda descrive il suo Ledger Nano S come "un Bitcoin, Portafoglio hardware Ethereum e Altcoins, basato su solide caratteristiche di sicurezza per l'archiviazione di risorse crittografiche e la protezione dei pagamenti digitali. Si collega a qualsiasi computer (USB) e incorpora un display OLED sicuro per ricontrollare e confermare ogni transazione con un solo tocco sui pulsanti laterali."

    Così, come ha spiegato Krebs, "I portafogli hardware come quelli venduti da Ledger sono progettati per proteggere le chiavi private dell'utente da software dannoso che potrebbe tentare di raccogliere tali credenziali dal computer dell'utente. I dispositivi consentono transazioni tramite una connessione a una porta USB sul computer dell'utente, ma non rivelano la chiave privata al PC."

    Avere chiavi private che possono essere collegate a un PC tramite una porta USB è la perfetta salvaguardia o la tempesta perfetta? Chiunque abbia pensato a una domanda del genere è stato attratto dal blog pubblicato da Rashid. Ha detto che un utente malintenzionato potrebbe utilizzare la vulnerabilità per ottenere chiavi private dal dispositivo.

    Krebs riferì che Kenneth White, direttore dell'Open Crypto Audit Project, è rimasto colpito dal codice di attacco proof-of-concept di Rashid, che Rashid ha inviato a Ledger circa quattro mesi fa. (Saleem Rashid ha ringraziato Josh Harvey per avergli fornito un Ledger Nano S, per lavorare alla sua impresa.)

    Dan Goodin in Ars Tecnica ha presentato un resoconto di ciò che ha fatto Rashid. Ha detto che il quindicenne ha mostrato un codice proof-of-concept che gli ha permesso di "portare indietro" il portafoglio hardware Ledger Nano S.

    John Biggs in TechCrunch ha notato che il CEO di Ledger Eric Larchevêque ha affermato che non ci sono state segnalazioni degli effetti della vulnerabilità su alcun dispositivo attivo. Joon Ian Wong, Quarzo , allo stesso modo ha riferito che Ledger ha affermato di non essere a conoscenza di fondi rubati dai dispositivi".

    Funzionari del registro, nel frattempo, aggiornato il Nano S per affrontare la vulnerabilità. Alphr ha riferito che Ledger ha rilasciato una patch per Ledger Nano S, quattro mesi dopo la comunicazione iniziale. Quindi per quanto riguarda Nano S, Ledger ha detto che il problema è stato risolto.

    Il blog aziendale pubblicato il 20 marzo "Firmware 1.4:approfondimento su tre vulnerabilità che sono state risolte, " per quanto riguarda i "miglioramenti di sicurezza apportati al nostro firmware." Hanno affermato di aver fortemente incoraggiato i propri utenti ad aggiornare il firmware seguendo la loro guida passo passo.

    Secondo Ledger, l'aggiornamento del firmware risolve tre problemi di sicurezza. "Il processo di aggiornamento verifica l'integrità del tuo dispositivo e un aggiornamento 1.4.1 riuscito è la garanzia che il tuo dispositivo non è stato bersaglio di alcun attacco con patch. Non è necessario intraprendere altre azioni, le tue chiavi seed/private sono al sicuro."

    Ledger ha uffici a Parigi, Vierzon e San Francisco.

    Nell'immagine più grande, come dicono molti esperti di sicurezza, è meglio non presumere che nessun dispositivo sia immune da attacchi.

    Biggs in TechCrunch soppesato:"Alla fine, questa violazione ci mostra che i portafogli hardware sono una buona soluzione ma non sono ancora infallibili. Aggiornamenti regolari e un'attenta gestione delle chiavi sono ancora di vitale importanza."

    Citato da notizie della BBC , Craig giovane, un ricercatore presso la società di sicurezza Tripwire, ha commentato:"È molto difficile proteggere completamente qualsiasi dispositivo dagli aggressori con accesso fisico. Ecco perché è così fondamentale avere produttori di componenti affidabili, mercanti, e impianti di riparazione".

    © 2018 Tech Xplore




    © Scienza https://it.scienceaq.com