Jump to content
Sign in to follow this  
News Bot

Налоговая служба США ищет возможности взлома аппаратных кошельков

Recommended Posts

nalogovaya_sluzhba_ssha_ishchet_vozmozhnost_vzloma_apparatnykh_koshelkov.jpg

 

Налоговая служба США (IRS) ищет специалистов, чтобы обучить сотрудников ведомства взлому аппаратных кошельков для криптовалют.

В опубликованном на сайте ведомства документе отмечается, что аппаратные кошельки представляют проблему для следственных действий. Следователи не могут получить криптоактивы, хранимые на таких устройствах, не могут узнать объем или даже наличие таких активов. Если в распоряжение ведомства попадают аппаратные кошельки, они не помогают в «расследовании движения цифровых валют», а также предотвращают конфискацию криптовалют.

 

«Децентрализация и анонимность, обеспечиваемые криптовалютами, создали целую среду для хранения и обмена чего-то ценностями за пределами компетенции правоохранительных и регуляторных ведомств. И часть этих средств, все так же недоступных ведомствам, хранятся на криптовалютных кошельках. Это миллиарды долларов», ― пишет IRS.

 

При этом ведомство надеется получить возможность не единовременного взлома определенного кошелька, а целое решение по взлому конфискованных устройств. Впрочем, как считает специалист по компьютерной безопасности Эндрю Тирни (Andrew Tierney), это достаточно сложная задача. Аппаратные кошельки «стали весьма безопасны». Возможно, получится взломать некоторые из моделей, но полноценное решение создать будет крайне сложно.

 

 

Подробнее: https://bits.media/nalogovaya-sluzhba-ssha-ishchet-vozmozhnost-vzloma-apparatnykh-koshelkov/

Share this post


Link to post
Share on other sites

вот собаки, позарились на то, что спецом было придумано имення для того что б они туда свой нос и не совали. а то делают банк коины всякие, которые потом будут локать народу.

Share this post


Link to post
Share on other sites

wallet.dat и пароль от 50 символов. Всем правительствам удачи. Балавство это всё аппаратные кошельки, до поры до времени, а вот wallet.dat с хорошим паролем можно и в нет расшарить, там и будет храниться.

По сути можно сделать подобное хранилище на блокчейне. Т.е. распозновать кошель фаил или нет, зашифрован или нет, если всё да то хостить в блокчейн, а там любой форсмажор обойти можно, wallet.dat в любой точке мира под рукой и не важно был ноут при пересечении границ, посадили и т.д.

Edited by friend2007

Share this post


Link to post
Share on other sites

А у меня, коллеги, другой вопрос.

Для чего нам из каждого утюга сообщили, что Налоговая служба США (IRS) ищет специалистов, чтобы обучить сотрудников ведомства взлому аппаратных кошельков для криптовалют.  Это ведь не случайная утечка информации, и не инсайд от Эдварда Сноудена.

 

Нет, это прям официальная новость, официальнее некуда.

Так мыслю,

что когда аппаратные кошельки начнут взламывать в Налоговой службе США прямо на потоке по 100 тысяч кошельков в день, они смогут сослаться на это объявление - дескать искали спеца, который обучит наших сотрудников. Нашли, он обучил. Вот результат.

 

И производители аппаратных кошельков вообще не при делах, они сделали для секретности и безопасности всё, что смогли - но нашелся какой-то хакер-одиночка, который всё взломал и поставил это на поток.

 

Паранойя, конечно. И теория заговора.

Но я бы с этого дня не стал хранить на аппаратном кошельке ни копейки.

Вдруг производители этих кошельков уже передали Налоговой службе США доступ к бэкдору, к черному ходу, который производитель создал чисто для технического обслуживания или еще для каких крайних случаев. Вы же не знаете, что там - в прошивке этих кошельков.

Там код ни фига не открытый.

 

Единственный кошелек с открытым кодом - швейцарский BitBox01 (и его более новые собратья BitBox02 Multi Edition и BitBox02 BTC only).

И еще, вроде, Secalot тоже имеет открытый код - но эта такая экзотика, не знаю, держал ли кто такое чудо в руках. BitLox еще с открытым кодом, вроде.

 

Есть еще аппаратный кошелёк Bitfi DMA-2, который вообще не хранит внутри себя приватных ключей, поэтому его нельзя взломать никак от слова "вообще".

На крайняк - на такие перейдём. Хотя... выпускают его в США... и код прошивки не открытый ни одной минуты... Поэтому, хрен знает.

195795570_.thumb.png.176e131dff03e6e545d51668368d141c.png

 

Всё в порядке бреда, конечно.

Share this post


Link to post
Share on other sites

Производители кошелька Trezor в своем твиттере целое послание создали по этому поводу:

------------------------ цитата---------------------------------

Усилия по притеснению граждан и разрушению прав отдельных лиц на частную жизнь, как мы видим здесь, являются отличным подтверждением философии открытого исходного кода Trezor. С самого начала мы разрабатывали Trezor (как аппаратное, так и программное обеспечение), чтобы он был максимально открытым.

 

Предположим, что агентство из трех букв попросило нас добавить в Trezor секретный аппаратный или программный бэкдор. Ответ: это невозможно, потому что все сразу увидят, что мы добавили что-то, чему там не место.

 

Тысячи экспертов по безопасности следят за каждым нашим шагом, проверяя каждое изменение в коде. Это действует как идеальный механизм безопасности, и никто не будет использовать взломанную версию.

 

Когда дело доходит до извлечения секретов из устройства, не существует такого понятия, как 100% безопасное оборудование. Любое оборудование можно взломать; это лишь вопрос ресурсов и мотивации.

 

Именно поэтому мы придумали так называемую кодовую фразу BIP39, которая представляет собой последний уровень шифрования, вообще не хранящийся на устройстве. Только пользователь с устройством и знанием правильной парольной фразы может получить доступ к средствам.

 

Даже если агентство из трех букв заполучит ваше устройство и извлечет из него зашифрованный парольной фразой секрет, они все равно не смогут изъять ваши монеты, пока вы не сообщите им соответствующую парольную фразу.

 

 Парольные фразы BIP39 также обеспечивают правдоподобное отрицание: не существует такого понятия, как неправильная парольная фраза, и каждая парольная фраза ведет к другому, действительному кошельку. Учитывая это, вы можете создать бесконечное количество ложных кошельков, предоставляя различные парольные фразы.

 

Наконец, у нас есть "свидетельство канарейки" на нашем сайте https://trezor.io/transparency/canary.txt

----------------------------------конец цитаты-----------------

 

Скрытый текст

 

-----BEGIN PGP SIGNED MESSAGE-----
Хеш: SHA256

# Trezor Canary

## Заявление

 

Разработчики ядра Trezor, подписавшие этот файл цифровой подписью [1]
заявляют следующее:

 

1. Дата выпуска этого свидетельства канарейки - 29 апреля 2021 года.

2. Проект Trezor никогда:

   a) никому не передавал закрытые ключи подписи загрузчика/прошивки

   b) не вводил никаких бэкдоров в свое программное и/или аппаратное обеспечение

 

3. Мы планируем опубликовать следующее из этих канареечных заявлений в первые
две недели августа 2021 года.

 

Следует обратить особое внимание, если к этому времени не будет опубликовано новое канареечное заявление
или если список заявлений изменится без правдоподобного объяснения. [это будет означать, что канарейка издохла]

 

## Отказ от ответственности и примечания

Мы хотели бы напомнить вам, что Trezor был разработан при предположении, что вся соответствующая инфраструктура постоянно
скомпрометирована.  Это означает, что мы не доверяем ни одному из серверов или сервисам, которые размещают или предоставляют любые данные, связанные с Trezor, в частности обновления программного обеспечения, репозитории исходного кода и другие загрузки.

 

Эта схема канарейки не является непогрешимой. Хотя подписание декларации [ключом PGP] очень затрудняет для третьей стороны создание произвольных декларации, это не мешает им использовать силу или другие средства, такие как шантаж или компрометация ноутбуков подписантов, чтобы заставить нас к производству ложных деклараций.

 

Новостные ленты, процитированные ниже (Доказательство свежести), служат демонстрацией того.
что эта канарейка не могла быть создана до указанной даты.


Это показывает, что серия канареек не была создана заранее.

Данное заявление является лишь попыткой сделать все возможное и предоставляется без какой-либо
гарантии или поручительства. Она не является юридически обязывающей в любом случае для
кого-либо. Никто из подписавших его не должен нести юридическую ответственность
за любые заявления, сделанные здесь.

## Доказательство свежести

Блок глубиной 681120 (2021-04-29 19:19 UTC) в блокчейне Биткойна:

000000000000000000082bae0e8c75f802e0afe957d656c0eb46975a1630c8bf

## Сноски

[1] Этот файл должен быть подписан с помощью прилагаемых ниже PGP-подписей.

[2] Не доверяйте содержимому этого файла вслепую! Проверьте
цифровые подписи!

 


-----BEGIN PGP SIGNATURE-----
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=jI9U
-----END PGP SIGNATURE-----

 

 Что такое "свидетельство канарейки"?

------------------------------------------------

Нельзя не упомянуть и историю со взломом аппаратных кошельков Trezor в 2015 году..

 

Josh Datko и Chris Quartier на конференции DEF CON выступили с презентацией, на которой они поделились своими инструментами и методами, которые позволяют взломать некоторые аппаратные кошельки для криптовалюты.

Демонстрировалось применение этих техник к микроконтроллеру STM32F205, который использовался в устройствах от Trezor и Keepkey.

 

2005520881_.png.b306e35158a8e9b81f92a8acb2aa0ac8.png

Презентация основывалась на исследовании, выполненном Jochen Hoenicke в 2015 году, в результате которого с помощью осциллографа стоимостью $70 был скомпрометирован/извлечен закрытый ключ в устройстве от Trezor.

 

Уязвимость была закрыта производителем. Это, однако не исключает возможность появления новых подобных атак как на указанные устройства, так и на устройства других производителей.

Edited by Dmitrii Storm

Share this post


Link to post
Share on other sites

Зачем перевозить аппаратный кошелёк через границу? Достаточно перевести Seed фразу в виде нескольких слов, набора бинарных (или шестнадцатеричных) цифр или вообще зашифрованной в виде чего угодно. А кошелёк уже можно купить или скачать уже по прибытию на место. Крипта то всё равно не в кошельке хранятся, а в блокчейне.

Share this post


Link to post
Share on other sites
6 минут назад, RustamXXI сказал:

Крипта то всё равно не в кошельке хранятся, а в блокчейне.

 

Налоговая служба США (IRS) об этом не знает. Раз это кошелёк, значит внутри что? Правильно, внутри деньги. Очевидно же.

Нужно открыть кошелек и достать деньги.

Всё просто.

 

Я больше скажу, большинство владельцев биткоина искренне уверены в том, что у них внутри кошельков лежат прям самые настоящие биткоины.

Ну вот же, циферки же на экране компьютера/смартфона/аппаратного кошелька показывают, что внутри 2 биткоина.

Share this post


Link to post
Share on other sites
1 час назад, Dmitrii Storm сказал:

Презентация основывалась на исследовании, выполненном Jochen Hoenicke в 2015 году, в результате которого с помощью осциллографа стоимостью $70 был скомпрометирован/извлечен закрытый ключ в устройстве от Trezor.

Просто те, кто нашёл ту уязвимость - честные, идейные люди

Edited by romariogland

Share this post


Link to post
Share on other sites
1 час назад, RustamXXI сказал:

Зачем перевозить аппаратный кошелёк через границу? Достаточно перевести Seed фразу в виде нескольких слов, набора бинарных (или шестнадцатеричных) цифр или вообще зашифрованной в виде чего угодно. А кошелёк уже можно купить или скачать уже по прибытию на место. Крипта то всё равно не в кошельке хранятся, а в блокчейне.

Я всё понимаю, но запоминать ключ 12 слов и т.п. не комфортно и не удобно, просто и самостоятельно сгенерить пароль проще и надёжнее запомнится, а wallet.dat в 3 разных укромных места 1 в интернете, 2 в клернете, 3  где угодно. А возить бумажку в явном виде сид фразы, при первом стуке до трусов разденут на границе. Со словами "Пассажир рейса Москва - Заграница вылетающий рейсом №911 Иванов Иванов проидете пожалуйста в красный (зелёный) корридор" и сид фраза будет у кого надо. А аппаратники зло, мало того, что код закрыт, так и чипы ещё ломать могут на железном уровне, а в некоторых чипах есть закладки. Intel это явно подтвердил, вот AMD подкатили 100% закладки в ZEN, ZEN2 не опубликованные (приват) и они есть, сейчас Intel архитектуру сменит, новые закладки поставит на поток и у них будут 5нм процы с новыми закладками, а то получается Intel закладки слили, и интел слили. Здесь такой-же рынок, core наше всё.

43 минуты назад, romariogland сказал:

Просто те, кто нашёл ту уязвимость - честные, идейные люди

Налоговая служба США (IRS) - теперь скажи это об этих ребятах. )))

Share this post


Link to post
Share on other sites
3 минуты назад, friend2007 сказал:

Налоговая служба США (IRS) - теперь скажи это об этих ребятах. )))

При чём здесь ребята из налоговой США - не понимаю

Речь о презентации найденной уязвимости в 15м году

В целом, не могу судить о ребятах из налоговой США - не жил и не сталкивался

Могу судить лишь о системе налогообложения и её эффективности в РФ и в Испании.

 

Share this post


Link to post
Share on other sites

Продолжаем разговор.

 

Лично я - против аппаратных крипто-кошельков. И вот почему: они создают иллюзию безопасности.

В реальности безопасности ноль, но иллюзия - что все 200%.

Ну и нам,  Хомо сапиенсам, приятно держать в руках нечто осязаемое.

 

Кратко пробежимся по известным взломам аппаратных криптокошельков:

Как хакнуть Trezor и HTC Exodus в считанные минуты и взломать Ledger из чулана жертвы — рассказывает CSO Ledger Шарль Гийоме

9/09/2019

Цитата:------------------------------------------------------------------------------

Шарль Гийоме: Наша команда экспертов Ledger Donjon регулярно исследует как собственные продукты компании, так и конкурентные альтернативы. Разумеется, мы потратили некоторое время на изучение кошельков Trezor, в которых используется тот же незащищенный чип, имеющийся и в нашем продукте, и обнаружили три вида уязвимостей.

  • Первая позволяла осуществить атаку по сторонним каналам на PIN-код. Так, злоумышленнику необходимо было завладеть устройством и в процессе подбора нужного кода измерять энергопотребление кошелька, чтобы установить статистическую корреляцию между цифрами и этим показателем.
  • Это позволило бы выяснить верный PIN и получить доступ к средствам. Само собой, мы сообщили об этом Trezor, и они устранили проблему. Я не думаю, что новая система верификации PIN-кода позволяет провести такую атаку.
  • Вторая атака касалась аутентичности самого устройства. Задумайтесь, как вы можете быть уверены в том, что на ваш кошелек Trezor не установили бэкдор в рамках процесса доставки? Если задать более точный вопрос, то вот как он будет звучать: как вы можете быть уверены в том, что ПО на вашем кошельке оригинальное? Если ответить кратко, то — никак.
  •  
  • Я установил на кошелек Trezor собственный загрузчик и соответствующее ПО с бэкдорами. Внешне устройство осталось таким же, как и было. Жертва посетила бы сайт Trezor, а затем запустила ПО, будучи уверенной в том, что оно официальное, но это не так. Кроме того, простому пользователю вообще невозможно обнаружить подвох.
  • Эта атака хорошо масштабируется из-за сложностей контроля над цепями поставок. Вы не можете быть уверенным в том, что это ПО, установленное изначально.
  • В рамках третьей атаки мы извлекли сид-фразу из кошелька всего за несколько минут. Если точнее, то нам понадобилось менее пяти минут. Необходимый инвентарь обошелся всего в $100.

ForkLog: Команда Trezor уже устранила эту уязвимость?

Шарль Гийоме: Нет, это невозможно. Именно поэтому мы и не опубликовали технику атаки. Могу сказать только, что необходим физический доступ и карта, которую мы называем экстрактор.

 

У Trezor есть большая проблема — они не используют Secure Element, поскольку придерживаются философии открытого исходного кода. Я уважаю эту позицию, но физические атаки на их чип провести довольно легко.

Trezor посоветовал установить очень длинный пароль, чтобы усложнить жизнь вору, даже если он извлек сид-фразу. Но лично я считаю бессмысленным схему безопасности, которая основывается на фразе у вас в голове. Вы можете ее забыть, а если где-то записали — потерять. Кроме того, пароли ужасно раздражают людей, большая часть их, вероятно, вообще не использует.

---------------------------------конец цитаты-------------------------------------

 

2017 год: Уязвимости аппаратных кошельков

Август 2017: Хакер продемонстрировал способ взлома аппаратного кошелька Trezor за 15 секунд.

Декабрь 2018: Специалисты легко взломали аппаратные кошельки Trezor и Ledger

Июль 2019: Аппаратные кошельки Trezor оказались уязвимы для физического взлома

Январь 2020: Эксперты Kraken продемонстрировали успешную атаку на аппаратный кошелёк Trezor

Февраль 2020: Кошелек для хранения криптовалюты Trezor взломан за 15 минут
Май 2020: Хакеры устроили распродажу личных данных владельцев аппаратных кошельков Ledger, Trezor и KeepKey.

 

Это так, навскидку.

Огромная часть настоящих взломов в заголовки новостей не попадает. До поры до времени.

 

Для надежного хранения биткоинов нужна лишь голова и чуть-чуть мозгов в ней. Сам секретный ключ - это просто число. Его можно спрятать и зашифровать тысячами способов, после чего выложить в интернет на всех сайтах мира - и там он будет в полной безопасности на виду у миллионов хакеров.

И этот секретный ключ вы сможете взять из интернета из любой точки мира, расшифровать - ведь вы же помните свой примитивный пароль?

Что-нибудь простенькое, но изящное, например: N9uN<wtpoumWcBm/w68)ym9GGb6qCb

Ну, не мне вас учить, тут же все шифропанки.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Topics

    • Эстер Пирс призвала ускорить принятие криптовалютных ETF в США

      Комиссар Комиссии по ценным бумагам и биржам (SEC) Эстер Пирс обеспокоена, что США могут сильно отставать от других юрисдикций в принятии торгуемых биржевых фондов (ETF) на криптовалюты. Выступая на онлайн-конференции «The B Word», Пирс выразила обеспокоенность, что Канада и Бразилия уже одобрили запуск этих инвестиционных продуктов, тогда как США до сих пор «находятся в раздумьях». Пирс считает, что регулирующие органы Соединенных Штатов могут выйти за рамки своих полномочий, вынуждая ме

      in Новости криптовалют

    • BlockFi сохраняет намерение выйти на фондовый рынок США

      Компания BlockFi завершает  раунд инвестиций в размере $500 млн, после которого её капитализация оставит $4.75 млрд. Привлечение инвестиций проходит на фоне усиления проблем с регулирующими органами. BlockFi позволяет инвесторам открывать учетную запись BlockFi (BIA), депонируя определенные криптовалюты, включая биткоин и эфир. Затем объединяет эти депозиты в криптовалютах для финансирования своих операций по кредитованию криптовалют и собственной торговли. В обмен на инвестиции в учетные

      in Новости криптовалют

    • Регулятор кредитных союзов США заинтересовался криптовалютами и DeFi

      Национальное управление кредитных союзов США (NCUA) запросило дополнительную информацию о взаимодействии регулируемых им финансовых учреждений с индустрией криптовалют. NCUA опубликовало запрос на информацию чтобы узнать, как технология распределенного реестра (DLT) и децентрализованные финансы (DeFi) могут повлиять на систему кредитных союзов и как регулируемые агентством организации могут взаимодействовать с технологиями и другими связанными с криптоактивами инструментами.   В

      in Новости криптовалют

    • Опрос: 6% инвесторов из США владеют биткоинами

      Согласно результатам опроса, проведенного аналитической и консалтинговой фирмой Gallup среди инвесторов из США, по сравнению с 2018 годом количество владельцев BTC увеличилось втрое. В опросе, который проходил в период с 22 по 29 июня этого года, участвовало 1 037 американских инвесторов. 6% респондентов, вложивших $10 000 или более в акции, облигации или паевые инвестиционные фонды, заявили, что они владеют биткоинами, тогда как в 2018 году лишь 2% опрошенных из этой группы инвестировали

      in Новости криптовалют

    • Экс-директор CFPB США возглавит подразделение в стартапе Solidus Labs

      Solidus Labs наняла бывшего директора Бюро финансовой защиты потребителей США (CFPB) Кэти Крейнингер для взаимодействия с государственными органами. Компания Solidus Labs предоставляет инструменты для наблюдения за торговлей криптовалютами и мониторинга рисков. Ее спонсорами являются частные инвестиционные компании Evolution Equity Partners и Hanaco Ventures.   «Одна из вещей, которая, на наш взгляд, стала очевидной, - это необходимость в специальных инструментах снижения рисков»

      in Новости криптовалют

×
×
  • Create New...