Author

Topic: Ataque a TREZOR - Extracting the Private Key from a TREZOR (Read 1329 times)

full member
Activity: 184
Merit: 100
Pero todas esas pestañas son software al fin y al cabo (o firmware si os parece mejor). No hay nada físico que impida a la disquetera, al usb, al lector de sd, cambiar unos bits en el soporte eléctrico, magnético o lo que sea, del dispositivo.

Eso es cierto en el caso de los disquetes de hace 25 años que comenta Anillos2. Los interruptores de los SD cards también son software. Pero sí que hay pendrives usb con protección hardware, cada vez en menos tiendas. Y lo del interruptor Wifi, también tenía un interruptor hardware, pero ya parece que no se venden.

La seguridad del hueco de aire, junto con la verificación de la firma del código, es lo que hace que a muchos usuarios les pueda interesar el Trezor. Ya puedes introducir un millón de euros en bitcoins en un PC con los peores virus del mercado, que sabes que estás seguro ( aunque, por si acaso, lo intentaría de cien mil en cien mil  Grin )

Ah, lo del USB tiene sentido. El sistema operativo le dice al pincho que escriba y no puede hacer nada más que eso, pero luego el pincho es libre de escribir o no, cierto?

En cambio el interruptor wifi de los portátiles, sigo sin creérmelo. ¿Cómo sé yo que el wifi está realmente deshabilitado?
full member
Activity: 279
Merit: 100
El gran hermano nos vigila! Pero no es novedad!!
legendary
Activity: 1974
Merit: 1030
Mucha gente olvida que también hay un micrófono... y ese no avisa.

Aparte del que llevamos siempre encima, y no salimos de casa sin él.
legendary
Activity: 1623
Merit: 1608
Pero todas esas pestañas son software al fin y al cabo (o firmware si os parece mejor). No hay nada físico que impida a la disquetera, al usb, al lector de sd, cambiar unos bits en el soporte eléctrico, magnético o lo que sea, del dispositivo.

Eso es cierto en el caso de los disquetes de hace 25 años que comenta Anillos2. Los interruptores de los SD cards también son software. Pero sí que hay pendrives usb con protección hardware, cada vez en menos tiendas. Y lo del interruptor Wifi, también tenía un interruptor hardware, pero ya parece que no se venden.

La seguridad del hueco de aire, junto con la verificación de la firma del código, es lo que hace que a muchos usuarios les pueda interesar el Trezor. Ya puedes introducir un millón de euros en bitcoins en un PC con los peores virus del mercado, que sabes que estás seguro ( aunque, por si acaso, lo intentaría de cien mil en cien mil  Grin )
Yo no conocía la palabra.

A veces soy un poco conspiranóico, y creo que aquí podría haber algo raro. ¿Por qué no se quieren implementar este tipo de medidas si mejoran muchísimo la seguridad?

Es igual que la lucecita de la cámara web, que en teoría se enciende SIEMPRE que grabe. En teoría.

Mucha gente olvida que también hay un micrófono... y ese no avisa.
legendary
Activity: 1260
Merit: 1003
Pero todas esas pestañas son software al fin y al cabo (o firmware si os parece mejor). No hay nada físico que impida a la disquetera, al usb, al lector de sd, cambiar unos bits en el soporte eléctrico, magnético o lo que sea, del dispositivo.

Eso es cierto en el caso de los disquetes de hace 25 años que comenta Anillos2. Los interruptores de los SD cards también son software. Pero sí que hay pendrives usb con protección hardware, cada vez en menos tiendas. Y lo del interruptor Wifi, también tenía un interruptor hardware, pero ya parece que no se venden.

La seguridad del hueco de aire, junto con la verificación de la firma del código, es lo que hace que a muchos usuarios les pueda interesar el Trezor. Ya puedes introducir un millón de euros en bitcoins en un PC con los peores virus del mercado, que sabes que estás seguro ( aunque, por si acaso, lo intentaría de cien mil en cien mil  Grin )
Yo no conocía la palabra.

A veces soy un poco conspiranóico, y creo que aquí podría haber algo raro. ¿Por qué no se quieren implementar este tipo de medidas si mejoran muchísimo la seguridad?

Es igual que la lucecita de la cámara web, que en teoría se enciende SIEMPRE que grabe. En teoría.
legendary
Activity: 1623
Merit: 1608
Pero todas esas pestañas son software al fin y al cabo (o firmware si os parece mejor). No hay nada físico que impida a la disquetera, al usb, al lector de sd, cambiar unos bits en el soporte eléctrico, magnético o lo que sea, del dispositivo.

Eso es cierto en el caso de los disquetes de hace 25 años que comenta Anillos2. Los interruptores de los SD cards también son software. Pero sí que hay pendrives usb con protección hardware, cada vez en menos tiendas. Y lo del interruptor Wifi, también tenía un interruptor hardware, pero ya parece que no se venden.

La seguridad del hueco de aire, junto con la verificación de la firma del código, es lo que hace que a muchos usuarios les pueda interesar el Trezor. Ya puedes introducir un millón de euros en bitcoins en un PC con los peores virus del mercado, que sabes que estás seguro ( aunque, por si acaso, lo intentaría de cien mil en cien mil  Grin )
hero member
Activity: 532
Merit: 500
0x9CE937CD
Estan hablado de interrumptores físicos en los aparatos:
full member
Activity: 184
Merit: 100
Pero todas esas pestañas son software al fin y al cabo (o firmware si os parece mejor). No hay nada físico que impida a la disquetera, al usb, al lector de sd, cambiar unos bits en el soporte eléctrico, magnético o lo que sea, del dispositivo.
legendary
Activity: 1260
Merit: 1003
Los disquetes tenían todos una pestaña para activar la escritura, que afortunadamente se conservó en sus descendientes: las tarjetas SD.

Pero si, un pendrive podrías meterlo en un ordenador, ser sobreescrito de alguna forma, y no darte cuenta. O la pestaña para que la cámara web de un portátil no te pueda grabar, que no todos la tienen, y ya no hablemos de un interruptor para anular el micrófono.

No se si habrá algún motivo oculto. Sad
legendary
Activity: 1623
Merit: 1608
Hombre, consiguen extraen la clave únicamente si tienes desactivado el PIN y el password, cosa poco recomendable; yo al menos no le encuentro sentido gastarse un dinero en un aparato para tener más seguros tus BTCs y no ponerle ningún tipo de protección...  Huh

Lo que da mucha seguridad ante cualquier virus es el botón con espacio de aire (air gap security). Es decir, tienes que apretar un botón físicamente para validar cualquier pago.

Este tipo de seguridad "air gap", desgraciadamente, se está perdiendo en la industria. Antiguamente los pendrives venían casi siempre con un interruptor físico de solo lectura y el encendido Wifi de los ordenadores también se controlaba con un interruptor físico. En ese sentido, el botón "air gap" de Trezor es un soplo de aire fresco.
legendary
Activity: 1176
Merit: 1000
carteras de papel de 0.1

cuentas en blockchain de 0.1

monederos qt de 0.1

exchanges

trezor ya que te has gastao una pasta en la maquinita .....

0.1 parece una chorrada pero son 10 millones de satos

divide y venceras LOL

legendary
Activity: 1522
Merit: 1005
Por eso es bueno tener las carteras de papel en varias cuentas separadas, así si por lo que sea comprometen una, no comprometen la totalidad de los ahorros, sino sólo lo que tuviéramos ahí.

Y en el caso de Trezor, no acumular tampoco demasiado en él.

Es decir, no poner todos los huevos en la misma cesta.
+1000000000000000000000

Creo que es la MEJOR solución indudablemente!
legendary
Activity: 1260
Merit: 1003
Por eso es bueno tener las carteras de papel en varias cuentas separadas, así si por lo que sea comprometen una, no comprometen la totalidad de los ahorros, sino sólo lo que tuviéramos ahí.

Y en el caso de Trezor, no acumular tampoco demasiado en él.

Es decir, no poner todos los huevos en la misma cesta.
hero member
Activity: 690
Merit: 500

Creo que poca gente es capaz de realizar esto. Necesita conocimientos profundos de como funciona el codigo y de electrónica, pero aqui la prueba. Ademas el ultimo firmware parece tener parcheado este agujero.

http://johoe.mooo.com/trezor-power-analysis/ (en ingles )

Fuente:

http://www.reddit.com/r/Bitcoin/comments/33i5lk/extracting_the_private_key_from_a_trezor_with_a/

Esto solo prueba una cosa. Si hay dinero por robar; el ingenio y el conocimiento de algunos estará trabajando para lograrlo.


Saludos.




Jump to: