BitHub.pl - W ramach najnowszych, ekstraordynaryjnie zaskakujących doniesień – z gatunku tych, które nie zaskoczą zupełnie nikogo – przedstawiciele Trezora przyznali, że klucze prywatne do środków przechowywanych w portfelach sprzętowych firmy mogą wpaść w (bardzo) niepowołane ręce. Na przykład te należące do cyberprzestępców.
Konstatacja owa padła w dyskusji na oficjalnym forum firmy. W odpowiedzi na pytanie użytkownika, przedstawiciele firmy dość bezpośrednio potwierdzili, że i owszem, możliwe jest, by z jej portfeli „wyeksfiltrować” prywatne klucze posiadaczy. Może do tego dojść, gdy firmware zostanie w jakikolwiek sposób skompromitowane przez osoby trzecie.
Choć bowiem oprogramowanie portfeli jest open-sourcowe i może podlegać niezależnej kontroli ze strony społeczności i użytkowników, nie czyni go to odpornym na ataki, lecz jedynie nieco odporniejszym.
Wniosek w istocie banalny – tam, gdzie mamy do czynienia z software’m, w dodatku mającym połączenie z siecią i podatnym na regularne, zewnętrzne modyfikacje (a.k.a. aktualizacje), oczywistym jest, że możliwe jest też jego zhakowanie.
Zwłaszcza jeśli przypadki złamania zabezpieczeń centralnych systemów firmowych bynajmniej nie należą do niespotykanych. A same firmy, jakoś tak się składa, jakże często okazują się dysponować jakąś formą backdoorów do swojego sprzętu, niezależnie od tego, co oficjalnie mówiliby ich przedstawiciele.
Jeden mały backdoor nie zaszkodzi…
Nie tak dawno świat obiegła informacja o podatności portfeli Trezora na atak za pomocą nieomal sztampowej metody brute force. Szerzej o tej niejedynej zresztą kwestii, którą lepiej wziąć pod uwagę przy korzystaniu z tych urządzeń, wspominaliśmy tutaj:
Trezor nie jest bezpieczny! Badacze złamali zabezpieczenia w kilka minut!
Trezor jest także daleko nie jedyną firmą w tym segmencie rynku, do której produktów mądrze będzie podchodzić z nieco ograniczonym zaufaniem. Jego konkurent, Ledger, prócz innych wtop i uchybień bezpieczeństwa zasłynął niedawno publiczną aferą. Wynikła ona z faktu, że chciał on przechowywać klucze prywatne użytkowników u „zaufanej” trzeciej strony:
Oficjalnie: Ledger potwierdza że ma backdoora! Czy portfele sprzętowe są w ogóle bezpieczne?
Zupełnie jakby wyeliminowanie tejże pseudo-zaufanej strony nie było Świętym Graalem kryptowalut i ich użytkowników…
Co tam ciekawego skrywasz, podatniku?
Z samego faktu technicznej możliwości wyekstrahowania kluczy wynika kolejna, bardzo niepokojąca konsekwencja. Hakerzy nie są jedynymi indywiduami, które w ten sposób mogłyby położyć swe chciwe dłonie na zawartości portfela Trezora. Inną kategorią mogącą mieć takie zamiary są agenci, pracownicy, urzędnicy i przydupnicy tzw. władz, z punktu widzenia posiadacza krypto być może i gorszą.
W przypadku przestępców bowiem, jeśli spróbują oni przejąć czyjeś zasoby, mogą zostać za to skazani i uwięzieni (jeśli, naturalnie, ktokolwiek i kiedykolwiek by ich wytropił). Jeśli natomiast zasoby posiadacza zapragnęłoby przejąć państwo, to samemu posiadaczowi mogłyby grozić szykany i odsiadka za niedostatecznie entuzjastyczną współpracę przy zagarnianiu przez rzeczone państwo jego własności. W dodatku miałoby to miejsce „legalnie”.
Logicznym będzie wniosek, że jeśli państwo (jakiekolwiek) może prawnie zmusić firmę (dowolną) do udostępnienia jej kluczy do królestwa – a firma jest w stanie technicznie tego dokonać – to prędzej czy później to nastąpi. Warto mieć to na uwadze, wybierając przytulne miejsce dla swoich kryptowalutowych oszczędności.
Może Cię zainteresować:
Francuska policja zdalnie włączy Twoją kamerę i będzie Cię podglądać – czyli État de Surveillance nad SekwanąArtykuł Trezor przyznaje, że klucze prywatne mogą być zagrożone pochodzi z serwisu BitHub.pl.