Topic: Уязвимости аппаратных кошельков. (Read 535 times)

                                                                                                                           ^
Тема закрыта до тех пор пока модераторы не уберут вышеозначенное низкого качества сообщение, имеющее целью зафлудить тему постами, не имеющими к ней никакого отношения .

Очень даже поддержу такое мнение. Я считаю что это лишний выброс денег. А различные компашки просто зарабатывают на страхе трудового народа потерять нажитое непосильным трудом так сказать. Я так думаю.


Вот ты урод. Это мнение а не флуд. Не нравится мнение не по твоему? Это форум и все могут высказываться как могут. А чего ж ты на Julien_Olynpic не наезжаешь? Он же тоже "флудит" по твоему. Да закрывай свою говно тему. Другую откроют кому надо будет.

Чтобы эта вероятность "выковыривания крипты оттуда" стала ненулевой нужно ещё два условия - злоумышленник должен обладать соответствующими знаниями. Людей с такой квалификацией можно пересчитать по пальцам.   И второе условие - необходимо иметь очень и очень дорогостоящее оборудувание для "выковыривания крипты оттуда".



"лишняя ебля или самообман" как раз в случае если " раскидать баланс по многим сид-фразам, хорошо зашифровать-запутать их и лишь помаленьку вставлять в десктопные или андроид кошели"

---

 Очень не хотелось бы чтобы тема превратилась во флуд.


В противном случае закрою её.

Иногда мне кажется, что аппаратники вообще лучше не использовать. Как вам такое мнение? Ведь в случае с получением физического доступа злоумышленника к вашему аппаратнику есть весьма и весьма ненулевая вероятность выковыривания крипты оттуда.
  Как по мне, достаточно раскидать баланс по многим сид-фразам, хорошо зашифровать-запутать их и лишь помаленьку вставлять в десктопные или андроид кошели.
Опасностей не больше и не меньше, но, по-моему, аппаратник - это просто лишняя ебля или самообман. Хотя допускаю, что неправ.

Возможные уязвимости MCU используемого в аппаратных кошельках.

Эти модули  могут быть уязвимы к различным атакам, и хотя их схематика  позволяет противодействовать многим из них, производители HW должны принимать дополнительные специальные меры для устранения / смягчения возможных угроз.

Даже MCU бесконтактного кошелька  может оказаться под угрозой. Скажем, те кошельки , которые  уже используют протокол NFS для связи с программными прокси или будут спользовать его , могут быть уязвимы, если у этого протокол с дырами.  Вот почему очень важно чтобы для HW  были с  открытым исходным кодом.

Очень опасны (и в то же время наиболее затратны) аппаратно-инвазивные атаки, которые возможны при прямом доступе к устройству. Таким образом, каждое HW, которым владеете вы, должно рассматриваться как устройство, к которому имеете доступ только вы и никто другой.

Они ее не отменили полностью, а лишь приостановили ее внедрение: я так понял до того момента пока не сделают весь необходимый код открытым. Для чего они ввели или предложили такую функцию объяснить довольно просто: деньги. Когда на рынке было 1,5 аппаратных кошелька, то продажи приносили им неплохие деньги и этого было достаточно. Но с ростом конкуренции они решили предложить нечто необычное для аппаратного кошелька, подобие кастодиального хранения. Разумеется, они это все объяснили иначе, типа бабушки не могут самостоятельно хранить сид, но на самом деле они заботяться не о бабушках, а о пополнении собственного кармана. Негатив в сообществе вызвал у них беспокойство, они могут потерять даже доход с продаж, значит теперь логичным шагом будет скормить историю об опенсорс и ввести функцию немного позднее, когда все уже успокоятся и позабудут о фейле Леджера. То есть Леджер лишь выжидает, идея расшарить ваш сид и заработать на этом все еще кажется им очень привлекательной.

Т.е они явно ответили, что их решение небезопасно?) Исходный код сказали сделают открытым (речь о Recovery). Только вот самый главный посыл комьюнити до них так и не дошел.

upd.
Перевод статьи немного некорректен.

Далеко ходить не надо, у нас в разделе "Новости" есть такой топик [2023-05-24]Ledger откладывает выпуск службы восстановл&#

Сегодня натыкался на новость, что леджеровцы, под влиянием жёсткой критики от сообщества отменили спорную свою инициативу. Щас лень искать ссылки, но новость дуду цитировать, кому-нибудь да попадётся на глаза.
   Интересно другое: что сподвигло леджеровцев на такие странные "функции". Вроде разрабы знакомы с криптанским мировоззрением, объяснять им не надо.

Конечно для тебя «НУБ» не только я но и другие участники данного форума и даже специалисты из Трезор. Но чего ты так скромно пишешь про 128 бит? Писал бы уже про 256 или 512.
Это ведь еще безопаснее, а главное «удобнее» в повседневном использовании.
Пойди и расскажи сотрудникам Трезор, что парольная фраза в 12 символов слабая.

^

Нуба не слушать!

У кого кривые руки тому и 20 кнопок будет мало.

128 бит энтропии это оверкил, но лучше  оверкил чем взломанный кошелёк.

Множество бедолаг потеряли свои средства из-за слабых паролей.

Будь умнее чем они!

128 битная энтропия будет примерно соответствовать количеству 27 - 28 строчных латинских букв ( 2¹²⁸ приблизительно равно 26²⁷ или 26²⁸ )
Вводить такое количество символов на Леджере двумя кнопками думаю врядли кто-то будет так как такой необходимости нет.

Специалисты из Трезор давно провели исследование на эту тему. Для тех кому лень это все читать и вникать в эту тему, в кратце поясню: там есть таблица, в которой указано примерная стоимость атаки, на парольные фразы различной длины, арендовав вычислительные сервера на Амазон. Далее делается вывод, что парольной фразы из 10 - 12 строчных букв более чем достаточно, а если использоваться не только строчные, но и заглавные буквы а также спец символы, то парольная фраза может быть еще короче.
Пишу я это все конечно не для специалиста по «кувалдированию» аппаратных кошельков, а для остальных участников форума.

Хочется поспамить?

Чтобы продолжать сначала выкиньте свой (если он у вас есть, в чём я очень и очень  сомневаюсь исходя из вашего поста относительно мастер-ключа) с пруфом.

Я свой выкинул .

Пародоксальное для меня открытие: тема с  Леджером больше всего беспокоит тех, у кого его никогда не было.

Да ну я бы не ввязывался, а просто перевел все оттуда и выкинул этот "свисток" на помойку как отработанный материал
Где гарантия что они дальше еще чего похлеще не учудят?

Технический смысл в том, что пассворд фраза изменит мастер-ключ, который у вас.  Если средства ещё у вас, вы сможете перевести их на новые порождённые адреса и продолжать пользоваться кошельком.

У тех, у кого гипотетически ваш старый мастер ключ, не останется другого выбора кроме как с помощью перебора найти вашу пассфразу.

Фраза с достаточной большой энтропией сделает их старания безуспешными.

Пока  я не знаю ни одного случая угона средств с помощью мастер-ключа, который гипотетически у них.

И я уже заострял внимание на том, что ,


Кстати можно  самому собрать криптокошелёк из имеющихся в продаже элементов.

Подобных проектов тьма. Specter-DIY один из них.

У него открытые исходники.

а какой технически смысл еще что-то добавлять, если мастер-ключ уже у них? (Гипотетически, "от худшего" если исходить)
Эта контора уже скомпрометирована ИМХО

Достаточно перейти на air-gapped кошельки с открытым исходным кодом, который регулярно проверяется и перепроверяется крипто-сообществом.

Я перешёл на Passport 2 от Foundationdevices.

Тем кто не имеет такой возможности и продолжит использовать Леджер я бы советовал добавлять к своему СИД  в одновременном режиме пассворд фразу (one-time passphrase) с хорошей энтропией (128 достаточно)  или/и использовать мультисиг кошельки, одним из подписантов которых будет Леджер. Очень неплохим вариантом второго подписанта мог бы служить  програмный кошелёк Sparrow.

Хотя с одновременной  пассворд фразой тоже могут возникнут сомнения - действительно ли она стирается из BOLOS,  хранимой в энергонезависимой памяти SE, как это утверждает Леджер, или всё же она оставляет свой след.

Мультисиг однозначно лучше, чтобы избавиться от этих сомнений.

Да, с кошельком Леджера с каждым днём всё интереснее и интереснее. Недавно СЕО Леджер опубликовал интересный твит, в котором сообщается, что есть возможность вызова леджеровцев в суд и что правительство вполне может получить доступ к средствам пользователей.
   Похоже, что только анонимная разработка аппаратных кошельков биткойна способна хоть как-то защититься от этой атаки. Хотя насколько это реально - судить не берусь. Всё-таки, это изделие нужно официально производить, продавать, платить налоги и т.д. По сути, на любом этапе компанию можно крутануть за яйца.
***

Судя по информации на сайте ledger, если пользователь использует эту функцию, то каждый фрагмент должен будет храниться в отдельной компании - coincover, ledger и еще у какого-то независимого провайдера. Очевидно, что если регулятора по каким-либо причинам заинтересуют фрагменты, то этих компаний в любом случае предоставят их. Да и если я правильно понял, то для восстановления доступа к кошельку достаточно, чтобы только 2 из 3 компаний отправили фрагменты.

Прошивка не играет никакой роли в обеспечении доступа к этой уязвимости для хакера. Возможность вытаскивать сид-фразу из изолированной среды всегда была вшита в сам кошелек, они, видимо, давно готовились предложить такой сомнительный сервис как Recover. Но учитывая что в Ledger рабтают не совсем профаны в плане создания безопасных устройств, то вероятность эксплойта уязимости и удаленная кража сид-фразы все равно гораздо меньше, чем к примеру сговор компаний и таргетированный скам пользователей. Возьмем для примера такой случай: какую-то страну X добавляют в санкционный список, правительство США требует у Леджер изъять средства у всех пользователей (или конкретных) из этой страны, три компании объединяют фрагменты и перемещают средства. Сейчас такой сценарий уже не кажется фантастичным.

Почему сразу "не работал"? Утверждать ничего не могу, но чисто технически вполне можно реализовать так, что все операции начиная с разворачивания пар ключей из фразы, заканчивая подписанием транзакции, выполняется в изолированной среде "одним чипом". Что-то типа принципа "air-gap". А с компьютером взаимодействует только на уровне подготовки транзакции (на подпись). Я думал за это аппаратники как раз и ценятся. Это раньше они не имели своего экрана и клавиши, фразу надо было с клавиатуры/монитора вводить, хоть и один раз всего. Хотя я ничему не удивлюсь, особенно если почитать что выше говорят... Куда мир катится?  

^
Залезть "во внутрянку" можно любого кошелька, (если знаешь как), каким бы навороченным он не был.

Если бы такой возможности не существовало, то кошелёк бы попросту не работал.

Другой вопрос насколько эффективны те меры, которые принимает производитель, чтобы противостоять неавторизованным попыткам "залезть во внутрянку".

Кто интересуется может посмотреть как такие меры  реализованы у Леджер (стр 25)


Вообще по моему глубоку убеждению самая большая уязвимость любого аппаратника кроется в его обладателе.

И это схавает комьюнити  И дело здесь даже не в прошивке, а в том что изначально было зашито во внутрянке. Какое здесь вообще может быть мнение? Уже после слов Ledger Recover можно смело посылать на три буквы)

Максимально спорное решение со стороны ledger, но стоит отметить, что это нововведение будет недоступно для большинства пользователей, ведь сначала подписка на этот сервис будет только для тех, у которых есть паспорт ЕС, Великобритании, Канады или США. Понятно, что сейчас есть еще опасения по поводу потенциальной уязвимости в коде и, как мне кажется, ledger следовало бы учитывать мнение комьюнити по этому поводу и выпустить две прошивки (с Ledger Recover и без), тем самым дав пользователям возможность выбора.

Потенциальная уязвимость есть в недавно анонсированной функции восстановления от Ledger https://www.ledger.com/recover Не буду рассуждать здесь насколько это глупо для провайдера аппаратного кошелька, то есть устройства для обеспечения надежного хранения активов без необходимости обращаться к услугам кастодианов, предлагать услугу, которая подразумевает передачу ключей сторонним лицам, но сама эта возможность передачи и обеспечивает новый вектор атаки. Если кратко, то сид фраза из кошелька копируется, затем шифруется и делится на три фрагмента. Каждый фрагмент передается и хранится у кастодиана и соответственно бесполезен сам по себе. Опять же, не будем вдаваться в подробности о том, что случится когда две из трех компаний решат скамануться. Беспокойство представляет фича по шарингу сид фразы.


По заявлением Леджер, эта фича опциональна, но проверить это никак нельзя из-за закрытости кода прошивок. И даже если она опциональна, то хакер может воспользоваться данной возможностью для извлечения сид фразы дистанционно. Такого никогда нельзя было представить, что производители аппаратника сами добавят возможность контактирования устройства с внешним миром, но Леджер постарались.

^
Аппаратники относятся к (как я их называю) "нательным" устройствам, что означает владелец должен предпринять все меры для того, чтобы они не попали в чужие руки.

Тем не менее производители кошельков просто обязаны предусмотривать такие случаи  при разработке архитектуры безопасности своих устройств.

Кошельки с такой архитектурой существуют и  думаю, что у нас ещё будет время поговорить о них.

Сейчас бы хотелось начать с самого "сердца" аппаратного кошелька,  и даже не всего сердца а его  важнейшей части - образно "пучка Гиса этого сердца"  - генератора случайных чисел, который определяет степень уязвимости генереруемой SEED фразы.

Меня  всё время беспокоит такой вопрос. Наскольно случайно то  изначальное число, из которого была создана SEED фраза моего Ledger. Даже незначительный её детерминизм делает кошелёк уязвимым к несанкционированному выводу средств.

Надо сказать, что даже зная это  число ( в моём случае оно 256 битное и из него генерируется фраза из 24 слов) ответить на этот вопрос очень сложно, или даже невозможно. Приведу простейший пример. Одно-битное число 0, выбранное устройством, случайное или нет? Ответ вроде простой. - Если оно выбрано случайным образом, то оно случайное. Но как узнать что оно выбрано случайным образом? - Только выбирая его огромное число  раз. Если после  окончания испытания и подсчета верояности окажется, что вероятность его выборки равна 1/2 ( или как говорят его энтропия равна 1 биту) , то оно случайное. Если получим другой результат, то в выборке имеется некоторая детерминированность, степень которой зависит от того, насколько сильно результат отличается от 1/2).

В случае с 256 битном числом тоже самое. Для того чтобы определить случайное оно или нет надо провести огромное число испытаний, значительно превышающее 2²⁵⁶ и подсчитать энтропию числа. Если она окажется равной 256 бит то число случайное.

На практике устройства генерирующие "случайные числа" проходят различные тесты (например тест на следующий бит) и получают соответствующие сертификаты от уполномоченых назовём их так лабораторий, которые испытывают их согласно разработaнным и зарекомендовавашим себя методикам.

Далее я приведу голые факты , касающие только генераторов случайных чисел в кошельках Ledger и Passport. Я намеренно не публикую здесь свои умозаключения относительно этих генераторов, Пусть каждый сделает их сам для себя. Только найденные мною голые факты, причём взятые  из официальных источников, а не из "жёлтой прессы".

Леджер использует RNG (Random Number Generator), который сертифицирован по  методике AIS-31.


Этот RNG относится к классу  ТRNG( Тrue RNG), что подтверждается ANSSI (Французским Национальным Агенством по Безопасности Информационных систем)


Как видно он соответствует PTG2 уровеню AIS31, что означает что генератор имеет дополнительный стохастический источник энтропии  и его стохастичность была протестирована по методике, разработанной Федеральным Офисом по Информационной Безопасности Германии (BSI).

Какой основной источник и какой дополнительный источник мне найти не удалось. Вот что говорит сам Леджер по этому поводу


И тут же следует следующее


после чего, по крайней мере у меня возникают вопросы.

Кстати Foundation не скрывает источник энтропии, который использует ТRNG в Пасспорт кошельке



И напоследок.

Если у вас есть сомнения относительно случайности случайного числа, из которого  содаётся СИД вашего аппаратника используйте мультиsig адреса, требующие для своего управления коопреативное использование приватных ключей, генерируемых кошельками от разных производителей.

Поводом для открытия темы послужил очередной найденный баг относящийся к кошельку Леджер.

На этот раз он касается куска кода, ответственного за реализацию части функций мiniscript в приложении, работающего с биткоин транзакциями.

Простыми словами этот кусок кода   преобразовывал условия траты накладываемые сложными скриптами минискрипт  в неправильный адрес  (" fragment, causing the app to produce wrong addresses." ), что неизбежно должно приводить к потере средств.

С минискрипт можно ознакомиться например прочитав эту статью.

Баг пофиксили несколько дней назад  ("2.1.2 version of the app fixed the handling") и рекомендуется обновить приложение биткоин на аппаратном кошельке тем не менее Леджер настоятельно рекомендует всегда проверять адреса, показываемые им на дисплее во процессе подписывания транзакций


Тема уязвимости аппаратных кошельков по моему глубокому убеждению является одной из самых горячо обсуждаемых на форуме. К сожалению их обсуждение разбросано и как мне кажется агрегация такого обсуждения в одном месте будет полезной для многих пользователей.

Лично у меня в ипользовании три модели аппаратников: Ledger nano s, Ledger nano s+  и Foundation Passport  2.  В очереди на приобретение ColdCard mk4. Буду следить за "новинками" в плане их уязвимостей.

Всех пользователей, имеющих и  не имеющих эти  а также другие аппаратные кошельки приглашаю к активному обсуждению и наполнениюо открытой темы.

Одна  только просьба избавить тему от разговоров "ни о чём" (типа как всё плохо, надо хранить на бумаге и не пользоваться аппаратными кошелькакми, холодное хранение на компьютере лучше и тому подобные никому не нужные рассуждения) или как ещё говорят "не лить воду" обсуждая тему.

Какие найденные и ненайденные уязвимости хотелось бы обсудить:

1) Конструктивные уязвимости  аппаратных кошельков, включая их архитектуру.

2) Уязвимости элементной базы аппаратных кошельков.

3) Уязвимости связанные с  програмным обеспечением аппаратных кошельков, включая их OS  (если таковая имеется), прошивки (драйвера),  встраиваемые приложения.

Что ещё?