Налоговая служба США ищет возможности взлома аппаратных кошельков

[News Bot]

 

Налоговая служба США (IRS) ищет специалистов, чтобы обучить сотрудников ведомства взлому аппаратных кошельков для криптовалют.

В опубликованном на сайте ведомства документе отмечается, что аппаратные кошельки представляют проблему для следственных действий. Следователи не могут получить криптоактивы, хранимые на таких устройствах, не могут узнать объем или даже наличие таких активов. Если в распоряжение ведомства попадают аппаратные кошельки, они не помогают в «расследовании движения цифровых валют», а также предотвращают конфискацию криптовалют.

 

«Децентрализация и анонимность, обеспечиваемые криптовалютами, создали целую среду для хранения и обмена чего-то ценностями за пределами компетенции правоохранительных и регуляторных ведомств. И часть этих средств, все так же недоступных ведомствам, хранятся на криптовалютных кошельках. Это миллиарды долларов», ― пишет IRS.

 

При этом ведомство надеется получить возможность не единовременного взлома определенного кошелька, а целое решение по взлому конфискованных устройств. Впрочем, как считает специалист по компьютерной безопасности Эндрю Тирни (Andrew Tierney), это достаточно сложная задача. Аппаратные кошельки «стали весьма безопасны». Возможно, получится взломать некоторые из моделей, но полноценное решение создать будет крайне сложно.

 

 

Подробнее: https://bits.media/nalogovaya-sluzhba-ssha-ishchet-vozmozhnost-vzloma-apparatnykh-koshelkov/

[suunto]

вот собаки, позарились на то, что спецом было придумано имення для того что б они туда свой нос и не совали. а то делают банк коины всякие, которые потом будут локать народу.

[friend2007]

wallet.dat и пароль от 50 символов. Всем правительствам удачи. Балавство это всё аппаратные кошельки, до поры до времени, а вот wallet.dat с хорошим паролем можно и в нет расшарить, там и будет храниться.

По сути можно сделать подобное хранилище на блокчейне. Т.е. распозновать кошель фаил или нет, зашифрован или нет, если всё да то хостить в блокчейн, а там любой форсмажор обойти можно, wallet.dat в любой точке мира под рукой и не важно был ноут при пересечении границ, посадили и т.д.

Изменено 30 апр 2021, 16:23 пользователем friend2007

[Dmitrii Storm]

А у меня, коллеги, другой вопрос.

Для чего нам из каждого утюга сообщили, что Налоговая служба США (IRS) ищет специалистов, чтобы обучить сотрудников ведомства взлому аппаратных кошельков для криптовалют.  Это ведь не случайная утечка информации, и не инсайд от Эдварда Сноудена.

 

Нет, это прям официальная новость, официальнее некуда.

Так мыслю,

что когда аппаратные кошельки начнут взламывать в Налоговой службе США прямо на потоке по 100 тысяч кошельков в день, они смогут сослаться на это объявление - дескать искали спеца, который обучит наших сотрудников. Нашли, он обучил. Вот результат.

 

И производители аппаратных кошельков вообще не при делах, они сделали для секретности и безопасности всё, что смогли - но нашелся какой-то хакер-одиночка, который всё взломал и поставил это на поток.

 

Паранойя, конечно. И теория заговора.

Но я бы с этого дня не стал хранить на аппаратном кошельке ни копейки.

Вдруг производители этих кошельков уже передали Налоговой службе США доступ к бэкдору, к черному ходу, который производитель создал чисто для технического обслуживания или еще для каких крайних случаев. Вы же не знаете, что там - в прошивке этих кошельков.

Там код ни фига не открытый.

 

Единственный кошелек с открытым кодом - швейцарский BitBox01 (и его более новые собратья BitBox02 Multi Edition и BitBox02 BTC only).

И еще, вроде, Secalot тоже имеет открытый код - но эта такая экзотика, не знаю, держал ли кто такое чудо в руках. BitLox еще с открытым кодом, вроде.

 

Есть еще аппаратный кошелёк Bitfi DMA-2, который вообще не хранит внутри себя приватных ключей, поэтому его нельзя взломать никак от слова "вообще".

На крайняк - на такие перейдём. Хотя... выпускают его в США... и код прошивки не открытый ни одной минуты... Поэтому, хрен знает.

 

Всё в порядке бреда, конечно.

[Dmitrii Storm]

Производители кошелька Trezor в своем твиттере целое послание создали по этому поводу:

------------------------ цитата---------------------------------

Усилия по притеснению граждан и разрушению прав отдельных лиц на частную жизнь, как мы видим здесь, являются отличным подтверждением философии открытого исходного кода Trezor. С самого начала мы разрабатывали Trezor (как аппаратное, так и программное обеспечение), чтобы он был максимально открытым.

 

Предположим, что агентство из трех букв попросило нас добавить в Trezor секретный аппаратный или программный бэкдор. Ответ: это невозможно, потому что все сразу увидят, что мы добавили что-то, чему там не место.

 

Тысячи экспертов по безопасности следят за каждым нашим шагом, проверяя каждое изменение в коде. Это действует как идеальный механизм безопасности, и никто не будет использовать взломанную версию.

 

Когда дело доходит до извлечения секретов из устройства, не существует такого понятия, как 100% безопасное оборудование. Любое оборудование можно взломать; это лишь вопрос ресурсов и мотивации.

 

Именно поэтому мы придумали так называемую кодовую фразу BIP39, которая представляет собой последний уровень шифрования, вообще не хранящийся на устройстве. Только пользователь с устройством и знанием правильной парольной фразы может получить доступ к средствам.

 

Даже если агентство из трех букв заполучит ваше устройство и извлечет из него зашифрованный парольной фразой секрет, они все равно не смогут изъять ваши монеты, пока вы не сообщите им соответствующую парольную фразу.

 

 Парольные фразы BIP39 также обеспечивают правдоподобное отрицание: не существует такого понятия, как неправильная парольная фраза, и каждая парольная фраза ведет к другому, действительному кошельку. Учитывая это, вы можете создать бесконечное количество ложных кошельков, предоставляя различные парольные фразы.

 

Наконец, у нас есть "свидетельство канарейки" на нашем сайте https://trezor.io/transparency/canary.txt

----------------------------------конец цитаты-----------------

 

Скрытый текст

 

-----BEGIN PGP SIGNED MESSAGE-----
Хеш: SHA256

# Trezor Canary

## Заявление

 

Разработчики ядра Trezor, подписавшие этот файл цифровой подписью [1]
заявляют следующее:

 

1. Дата выпуска этого свидетельства канарейки - 29 апреля 2021 года.

2. Проект Trezor никогда:

   a) никому не передавал закрытые ключи подписи загрузчика/прошивки

   b) не вводил никаких бэкдоров в свое программное и/или аппаратное обеспечение

 

3. Мы планируем опубликовать следующее из этих канареечных заявлений в первые
две недели августа 2021 года.

 

Следует обратить особое внимание, если к этому времени не будет опубликовано новое канареечное заявление
или если список заявлений изменится без правдоподобного объяснения. [это будет означать, что канарейка издохла]

 

## Отказ от ответственности и примечания

Мы хотели бы напомнить вам, что Trezor был разработан при предположении, что вся соответствующая инфраструктура постоянно
скомпрометирована.  Это означает, что мы не доверяем ни одному из серверов или сервисам, которые размещают или предоставляют любые данные, связанные с Trezor, в частности обновления программного обеспечения, репозитории исходного кода и другие загрузки.

 

Эта схема канарейки не является непогрешимой. Хотя подписание декларации [ключом PGP] очень затрудняет для третьей стороны создание произвольных декларации, это не мешает им использовать силу или другие средства, такие как шантаж или компрометация ноутбуков подписантов, чтобы заставить нас к производству ложных деклараций.

 

Новостные ленты, процитированные ниже (Доказательство свежести), служат демонстрацией того.
что эта канарейка не могла быть создана до указанной даты.

Это показывает, что серия канареек не была создана заранее.

Данное заявление является лишь попыткой сделать все возможное и предоставляется без какой-либо
гарантии или поручительства. Она не является юридически обязывающей в любом случае для
кого-либо. Никто из подписавших его не должен нести юридическую ответственность
за любые заявления, сделанные здесь.

## Доказательство свежести

Блок глубиной 681120 (2021-04-29 19:19 UTC) в блокчейне Биткойна:

000000000000000000082bae0e8c75f802e0afe957d656c0eb46975a1630c8bf

## Сноски

[1] Этот файл должен быть подписан с помощью прилагаемых ниже PGP-подписей.

[2] Не доверяйте содержимому этого файла вслепую! Проверьте
цифровые подписи!

 

-----BEGIN PGP SIGNATURE-----
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=jI9U
-----END PGP SIGNATURE-----

 

 Что такое "свидетельство канарейки"?

------------------------------------------------

Нельзя не упомянуть и историю со взломом аппаратных кошельков Trezor в 2015 году..

 

Josh Datko и Chris Quartier на конференции DEF CON выступили с презентацией, на которой они поделились своими инструментами и методами, которые позволяют взломать некоторые аппаратные кошельки для криптовалюты.

Демонстрировалось применение этих техник к микроконтроллеру STM32F205, который использовался в устройствах от Trezor и Keepkey.

 

Презентация основывалась на исследовании, выполненном Jochen Hoenicke в 2015 году, в результате которого с помощью осциллографа стоимостью $70 был скомпрометирован/извлечен закрытый ключ в устройстве от Trezor.

 

Уязвимость была закрыта производителем. Это, однако не исключает возможность появления новых подобных атак как на указанные устройства, так и на устройства других производителей.

Изменено 30 апр 2021, 21:25 пользователем Dmitrii Storm

[RustamXXI]

Зачем перевозить аппаратный кошелёк через границу? Достаточно перевести Seed фразу в виде нескольких слов, набора бинарных (или шестнадцатеричных) цифр или вообще зашифрованной в виде чего угодно. А кошелёк уже можно купить или скачать уже по прибытию на место. Крипта то всё равно не в кошельке хранятся, а в блокчейне.

[Dmitrii Storm]

6 минут назад, RustamXXI сказал:

Крипта то всё равно не в кошельке хранятся, а в блокчейне.

 

Налоговая служба США (IRS) об этом не знает. Раз это кошелёк, значит внутри что? Правильно, внутри деньги. Очевидно же.

Нужно открыть кошелек и достать деньги.

Всё просто.

 

Я больше скажу, большинство владельцев биткоина искренне уверены в том, что у них внутри кошельков лежат прям самые настоящие биткоины.

Ну вот же, циферки же на экране компьютера/смартфона/аппаратного кошелька показывают, что внутри 2 биткоина.

[romariogland]

1 час назад, Dmitrii Storm сказал:

Презентация основывалась на исследовании, выполненном Jochen Hoenicke в 2015 году, в результате которого с помощью осциллографа стоимостью $70 был скомпрометирован/извлечен закрытый ключ в устройстве от Trezor.

Просто те, кто нашёл ту уязвимость - честные, идейные люди

Изменено 30 апр 2021, 22:15 пользователем romariogland

[friend2007]

1 час назад, RustamXXI сказал:

Зачем перевозить аппаратный кошелёк через границу? Достаточно перевести Seed фразу в виде нескольких слов, набора бинарных (или шестнадцатеричных) цифр или вообще зашифрованной в виде чего угодно. А кошелёк уже можно купить или скачать уже по прибытию на место. Крипта то всё равно не в кошельке хранятся, а в блокчейне.

Я всё понимаю, но запоминать ключ 12 слов и т.п. не комфортно и не удобно, просто и самостоятельно сгенерить пароль проще и надёжнее запомнится, а wallet.dat в 3 разных укромных места 1 в интернете, 2 в клернете, 3  где угодно. А возить бумажку в явном виде сид фразы, при первом стуке до трусов разденут на границе. Со словами "Пассажир рейса Москва - Заграница вылетающий рейсом №911 Иванов Иванов проидете пожалуйста в красный (зелёный) корридор" и сид фраза будет у кого надо. А аппаратники зло, мало того, что код закрыт, так и чипы ещё ломать могут на железном уровне, а в некоторых чипах есть закладки. Intel это явно подтвердил, вот AMD подкатили 100% закладки в ZEN, ZEN2 не опубликованные (приват) и они есть, сейчас Intel архитектуру сменит, новые закладки поставит на поток и у них будут 5нм процы с новыми закладками, а то получается Intel закладки слили, и интел слили. Здесь такой-же рынок, core наше всё.

43 минуты назад, romariogland сказал:

Просто те, кто нашёл ту уязвимость - честные, идейные люди

Налоговая служба США (IRS) - теперь скажи это об этих ребятах. )))

[romariogland]

3 минуты назад, friend2007 сказал:

Налоговая служба США (IRS) - теперь скажи это об этих ребятах. )))

При чём здесь ребята из налоговой США - не понимаю

Речь о презентации найденной уязвимости в 15м году

В целом, не могу судить о ребятах из налоговой США - не жил и не сталкивался

Могу судить лишь о системе налогообложения и её эффективности в РФ и в Испании.

 

[Dmitrii Storm]

Продолжаем разговор.

 

Лично я - против аппаратных крипто-кошельков. И вот почему: они создают иллюзию безопасности.

В реальности безопасности ноль, но иллюзия - что все 200%.

Ну и нам,  Хомо сапиенсам, приятно держать в руках нечто осязаемое.

 

Кратко пробежимся по известным взломам аппаратных криптокошельков:

Как хакнуть Trezor и HTC Exodus в считанные минуты и взломать Ledger из чулана жертвы — рассказывает CSO Ledger Шарль Гийоме

9/09/2019

Цитата:------------------------------------------------------------------------------

Шарль Гийоме: Наша команда экспертов Ledger Donjon регулярно исследует как собственные продукты компании, так и конкурентные альтернативы. Разумеется, мы потратили некоторое время на изучение кошельков Trezor, в которых используется тот же незащищенный чип, имеющийся и в нашем продукте, и обнаружили три вида уязвимостей.

• Первая позволяла осуществить атаку по сторонним каналам на PIN-код. Так, злоумышленнику необходимо было завладеть устройством и в процессе подбора нужного кода измерять энергопотребление кошелька, чтобы установить статистическую корреляцию между цифрами и этим показателем.
• Это позволило бы выяснить верный PIN и получить доступ к средствам. Само собой, мы сообщили об этом Trezor, и они устранили проблему. Я не думаю, что новая система верификации PIN-кода позволяет провести такую атаку.
• Вторая атака касалась аутентичности самого устройства. Задумайтесь, как вы можете быть уверены в том, что на ваш кошелек Trezor не установили бэкдор в рамках процесса доставки? Если задать более точный вопрос, то вот как он будет звучать: как вы можете быть уверены в том, что ПО на вашем кошельке оригинальное? Если ответить кратко, то — никак.
•  
• Я установил на кошелек Trezor собственный загрузчик и соответствующее ПО с бэкдорами. Внешне устройство осталось таким же, как и было. Жертва посетила бы сайт Trezor, а затем запустила ПО, будучи уверенной в том, что оно официальное, но это не так. Кроме того, простому пользователю вообще невозможно обнаружить подвох.
• Эта атака хорошо масштабируется из-за сложностей контроля над цепями поставок. Вы не можете быть уверенным в том, что это ПО, установленное изначально.
• В рамках третьей атаки мы извлекли сид-фразу из кошелька всего за несколько минут. Если точнее, то нам понадобилось менее пяти минут. Необходимый инвентарь обошелся всего в $100.

ForkLog: Команда Trezor уже устранила эту уязвимость?

Шарль Гийоме: Нет, это невозможно. Именно поэтому мы и не опубликовали технику атаки. Могу сказать только, что необходим физический доступ и карта, которую мы называем экстрактор.

 

У Trezor есть большая проблема — они не используют Secure Element, поскольку придерживаются философии открытого исходного кода. Я уважаю эту позицию, но физические атаки на их чип провести довольно легко.

Trezor посоветовал установить очень длинный пароль, чтобы усложнить жизнь вору, даже если он извлек сид-фразу. Но лично я считаю бессмысленным схему безопасности, которая основывается на фразе у вас в голове. Вы можете ее забыть, а если где-то записали — потерять. Кроме того, пароли ужасно раздражают людей, большая часть их, вероятно, вообще не использует.

---------------------------------конец цитаты-------------------------------------

 

2017 год: Уязвимости аппаратных кошельков

Август 2017: Хакер продемонстрировал способ взлома аппаратного кошелька Trezor за 15 секунд.

Декабрь 2018: Специалисты легко взломали аппаратные кошельки Trezor и Ledger

Июль 2019: Аппаратные кошельки Trezor оказались уязвимы для физического взлома

Январь 2020: Эксперты Kraken продемонстрировали успешную атаку на аппаратный кошелёк Trezor

Февраль 2020: Кошелек для хранения криптовалюты Trezor взломан за 15 минут
Май 2020: Хакеры устроили распродажу личных данных владельцев аппаратных кошельков Ledger, Trezor и KeepKey.

 

Это так, навскидку.

Огромная часть настоящих взломов в заголовки новостей не попадает. До поры до времени.

 

Для надежного хранения биткоинов нужна лишь голова и чуть-чуть мозгов в ней. Сам секретный ключ - это просто число. Его можно спрятать и зашифровать тысячами способов, после чего выложить в интернет на всех сайтах мира - и там он будет в полной безопасности на виду у миллионов хакеров.

И этот секретный ключ вы сможете взять из интернета из любой точки мира, расшифровать - ведь вы же помните свой примитивный пароль?

Что-нибудь простенькое, но изящное, например: N9uN<wtpoumWcBm/w68)ym9GGb6qCb

Ну, не мне вас учить, тут же все шифропанки.