oPeniazoch.sk, QZ Foto: SITA/AP;ledger;YT/MobileTechLife;thinkstock
Účinné zabezpečenie virtuálnych finančných prostriedkov proti krádeži je hlavným problémom tohto odvetvia. Nečudo, od roku 2011 bolo z búrz odcudzených viac ako 8 miliárd amerických dolárov, píše agentúra Reuters.
Nie je prekvapujúce, že ľudia sa boja že prídu o svoje kryptomeny a tak investujú do zariadenia, peňaženky, s vysokým stupňom ochrany. Takýmto produktom je aj Nano S, od francúzskeho start-upu Ledger. Firma tvrdí, že nemá informácie o tom, že by z jej produktov boli odcudzené nejaké finančné prostriedky. Citlivá otázka sa na svetlo dostala po tom, čo 15-ročný britský hacker, Saleem Rashid, našiel spôsob, ako získať prístup ku kryptografickým kľúčom uložených na zariadeniach Ledger. Na svojom blogu vysvetľujúcom zraniteľnosť Ledger Nano S, Rashid opísal scenár útoku ako celkom triviálny.
Firma tvrdí, že problém vyriešila hneď po tom, ako bola o ňom informovaná, ale pravdou je, že spomínaný nedostatok stále existuje v jej druhom, menej populárnom produkte, Nano Blue, pričom oprava nebude k dispozícii ešte niekoľko týždňov. Povedal to šéf bezpečnosti spoločnosti Charles Guillemet.
Tu je spôsob, ako útok funguje. Ledger peňaženky používajú niečo, čo sa nazýva "bezpečnostný prvok", je to špeciálny čip odolný voči falšovaniu. Niečo podobné sa využíva v v pasoch, identifikačných kartách alebo slúži na ukladanie informácií o platbách na telefónoch. Tieto čipy však často nedokážu spracovať veľa údajov alebo sa pripojiť k periférnym zariadeniam, ako je napríklad displej. Zabezpečený prvok v Nano S je preto pripojený k mikroprocesoru, ktorý tieto veci dokáže, ale sám už nie je zabezpečený v tak vysokej miere. A práve na tento mikročip sa Rashidov útok zameriava.
Útočník najskôr musí nainštalovať upravenú verziu firmvéru, ktorý beží na mikroprocesore peňaženky Ledger. Je to proces, ktorý trvá 20 sekúnd alebo aj menej, hovorí Rashid. Jedným zo spôsobov, ako to dosiahnuť, je, že sa k peňaženke dostanete ešte predtým, než si ju naplní jej užívateľ. Takto upravená peňaženka by sa napríklad mohla ponúkať potenciálnym záujemcom cez eBay.
Takýto scenár je známy ako "útok dodávateľského reťazca" a môže ovplyvniť všetky zariadenia, ktoré nie sú dodávané priamo výrobcom zákazníkovi. V prípade Ledger sa hovorí, že väčšina peňaženiek Nano S sa predáva priamo spotrebiteľom, ale niektoré sa predávajú prostredníctvom maloobchodných predajcov, cez tretie strany, čo je od Amazonu až po malé firmy, ktoré sa špecializujú na výrobky z oblasti kryptomien. Aj u nás ju predáva internetový obchodník so zeleným mužíčkom v logu. Ledger zatiaľ neposkytol informácie o tom, koľko zariadení sa predáva prostredníctvom tretích strán. Guillemet tvrdí, že firma nepodrobuje auditom svojich autorizovaných predajcov.
Rashid tiež hovorí, že menej populárne zariadenia Ledger Blue pravdepodobne trpia tou istou bezpečnostnou dierou, pretože majú podobnú konštrukciu, aj keď na nich útok netestova. Guillemet to potvrdzuje, ale hovorí, že všetky zariadenia Ledger Blues sa predávali priamo používateľom a celkovo sa ich predalo len niekoľko tisíc. Navyše svoje zariadenia balí do škatúľ, ktoré nie sú zabezpečené nálepkami "proti falšovaniu".
"Zariadenia Ledger sú navrhnuté tak, aby boli odolné proti falšovaniu," píše sa na obale, (či sauž zariadenie predáva priamo alebo prostredníctvom tretej strany). Nálepky proti falšovaniu firma nasadiť neplánuje, hovorí Guillemet, čiastočne preto, že by to neposkytovalo zmysluplnú ochranu. "Nebudeme pridávať nálepku proti falšovaniu, ktorú by si niekto mohol kúpiť len za jeden dolár," povedal.
Zatiaľ nepredané zariadenia Ledger, ktoré neboli aktualizované, budú aj naďalej lukratívnym cieľom pre hackerov. "Existuje niekoľko desiatok alebo stoviek tisíc kusov zariadení, ktoré čakajú na policiach viac alebo menej renomovaných predajcov," hovorí Kenn White, bezpečnostný výskumník, ktorý hodnotil Rashidom popísaný útok. White šéfuje projektu Open Crypto Audit. "Je to zlatá éra pre podvodníkov. V niektorých prípadoch ľudia zverujú svoje životné úspory týmto hardvérovým peňaženkám, a preto motivácia k manipulácii je vysoká."
Vedúci manažér Éric Larchevêque sa obul do Rashida, že zvolil "nešťastnú formu publicity", spôsob, akým varoval používateľov pred zraniteľnosti na sociálnej sieti Twitter. Zverejňovanie bezpečnostných dier je bežnou praxou medzi nezávislými výskumníkmi. Rashidovi sa nepozdáva spôsob, akým Ledger zareagoval a čo ponúkol svojim zákazníkom. Ledger aktualizáciu zabezpečenia ponúka zákazníkom ako voliteľnú, pričom dieru označila ako "vážnu, ale nie kritickú." Rashid hovorí, že tento prístup ponecháva používateľov aj naďalej zraniteľných.
Rashidove zistenia majú dlhodobé dôsledky pre celé odvetvie kryptomien. Spoliehať sa na mikroprocesor, ktorý môže byť manipulovaný, znamená, že firma nedokáže postúpiť v preteku s potenciálnym hackerom, aby neustále zvyšovala obranyschopnosť tohto komponentu. "Predstava, že používatelia si môžu peňaženku jednoducho aktualizovať a hotovo, je veľmi naivná," hovorí White. "Ledger bude aj naďalej pridávať do mikroprocesora opatrenia odolné voči falšovaniu, ale nakoniec je to len nekonečná hra, pokusy o vyriešenie problému sú len čiastočné."
Ledger je jedna z tých firiem, ktorej sa podarilo zachytiť zlatú horúčku menom kryptomeny. Predáva metaforické krompáče a lopaty pre dychtivých investorov. Príjmy za Nano S dosiahli viac ako 100 miliónov dolárov, priamo od investorov získala v januári tohto roka 75 miliónov dolárov. Ponúka zákazníkom funkciu, pomocou ktorej dokážu svoje zariadenia zmeniť z jednoduchej peňaženky pre úschovu kryptomeny na zariadenie, pomocou ktorého vedia obchodovať s digitálnymi mincami s inými používateľmi.
Dokonca aj vedúci bezpečnosti v Ledger uznáva, že sa hackeri budú aj naďalej zameriavať na ich zariadenia. Ale je presvedčený, že Ledger má technicky na to, aby bol krok pred útočníkmi. "Bezpečnosť je jednoznačne hra typu mačka a myš," hovorí Guillemet. "Ale keď hráte hru s bezpečnostným prvkom, je ľahšie odolávať."
