Se hai un’enorme quantità di criptovaluta, potresti non fidarti dei siti Web per contenere i tuoi beni. Chi potrebbe biasimarti, con il crollo del Monte Gox ancora relativamente fresco nella memoria? Mantenere il tuo Bitcoin, Litecoin, Ethereum o qualsiasi altra cosa la tua scelta di veleno di criptovaluta su una chiavetta USB dall’aspetto innocuo è un’opzione, ma alcuni vogliono una protezione più approfondita, ed è qui che entra in gioco la società francese Ledger. Il suo hardware specializzato dovrebbe essere così sicuro da essere essenzialmente a prova di manomissione. Compralo usato su eBay, se devi, ha detto la società: è inattaccabile, quindi i tuoi milioni di Bitcoin sono al sicuro.
Bene, quel portafoglio a prova di manomissione è stato appena manomesso: il 15enne Saleem Rashid ha rivelato privatamente una prova di concetto che gli ha permesso di backdoor il Ledger Nano S – un portafoglio hardware da £ 70 che la società dice che è stato venduto a milioni di persone in tutto il mondo.
L’hack di Rashid – rivelato sul suo blog personale – è un piccolo bit di codice di 300 byte che prende di mira i micro-controller del dispositivo. Uno di questi memorizza la chiave privata e l’altro funge da proxy, visualizzando funzioni e un’interfaccia USB. Quest’ultimo è molto meno sicuro e non riesce a distinguere tra il firmware originale e quello scritto da un hacker.
Ciò significa che un portafoglio usato potrebbe generare password false per i nuovi proprietari o un utente malintenzionato potrebbe modificare le destinazioni e i pagamenti del portafoglio.
Ledger ha rilasciato una patch per il Ledger Nano S, quattro mesi dopo la divulgazione iniziale, anche se nulla ancora per il Ledger Blue da £ 140; una patch sta arrivando, ma non è vista come urgente. “Poiché il Blue è stato distribuito quasi esclusivamente attraverso la vendita diretta, la probabilità di eseguire la ‘truffa del rivenditore losco’ è trascurabile”, ha dichiarato il chief security officer di Ledger, Charles Guillemet.
“Molto esagerato” o “un problema fondamentalmente difficile”?
In un post su Reddit, l’amministratore delegato di Ledger Eric Larchevêque ha commentato che il problema di sicurezza era stato “notevolmente esagerato”, ha descritto la divulgazione come una “trovata pubblicitaria” e ha accusato Rashid di essere “visibilmente sconvolto” quando l’azienda non ha trattato la correzione come un “aggiornamento di sicurezza critico”.
Rashid, da parte sua, non è convinto che l’azienda comprenda l’entità del problema, da qui la sua decisione di rendere pubblica la sua ricerca – per la quale non è stata pagata alcuna taglia. “Ho scelto di pubblicare questo rapporto invece di ricevere una taglia da Ledger, principalmente perché Eric Larchevêque, CEO di Ledger, ha fatto alcuni commenti su Reddit che erano pieni di inesattezze tecniche”, ha scritto. Non ha verificato la correzione di sicurezza che neutralizza il suo attacco, ma non è convinto che possa davvero essere fermato, dato il modo in cui è progettato ledger Nano S.
Chi ha ragione? Bene, Matt Green, uno specialista della Johns Hopkins University nella sicurezza della crittografia, sembra sostenere Rashid. Ha detto ad Ars Technica: “Ledger sta cercando di risolvere un problema fondamentalmente difficile. Devono controllare il firmware in esecuzione su un processore. Ma il loro chip sicuro non può effettivamente vedere il codice in esecuzione su quel processore. Quindi devono chiedere al processore di fornire il proprio codice! Che è un catch-22, dal momento che quel processore potrebbe non eseguire codice onesto, e quindi non puoi fidarti di ciò che ti dà.
“È come chiedere a qualcuno che potrebbe essere un criminale di fornirti la sua fedina penale completa – sul sistema d’onore”.
Naturalmente, questa vulnerabilità – supponendo che sia ancora una vulnerabilità – richiede l’accesso fisico al portafoglio hardware, che può sembrare un colpo lungo per la maggior parte delle persone. Il numero di persone nel mondo che riconoscerebbero cos’è il Libro Mastro, per non parlare di sapere come entrare in uno, è infinitamente piccolo.
Questo è vero, ma anche questo argomento manca del tutto il punto. Ledger vende questi dispositivi specificamente per offrire protezione contro gli attacchi di accesso fisico. Se tale protezione non è più garantita, le persone comprerebbero ancora l’hardware?
Per lo meno, è un utile promemoria che l’acquisto di determinati articoli usati può avere conseguenze piuttosto sfortunate per la sicurezza e l’acquisto diretto o tramite un rivenditore legittimo e di fiducia è la strada da percorrere. Anche se le aziende ti dicono il contrario, spendere un po ‘di più per la vera tranquillità è un prezzo che vale la pena pagare.