Author

Topic: Trezor – Cuenta de Twitter hackeada (resuelto) (Read 120 times)

legendary
Activity: 2338
Merit: 10802
There are lies, damned lies and statistics. MTwain
<...>
En este artículo Trezor explica que, efectivamente, es posible cargar un firmare no oficial en el dispositivo, pero que en dicho caso, al carecer de la clave de firma de SatoshiLabs, el dispositivo borrará su contenido y mostrará un mensaje de aviso en cada arranque.

En el proceso anterior, si no me equivoco, el componente base para poder llevar acabo la verificación es el bootloader. Por lo que entiendo, el bootloader tiene dos fases de carga:
La primera está en memoria protegida y no puede cambiarse su código. Verifica la segunda parte del código del bootloader, la cual entiendo que sí puede llegar a actualizarse.

Ver: https://docs.trezor.io/trezor-firmware/core/misc/boot.html

En todo caso, puede que todo este engranaje no sea impenetrable. Por ejemplo, en el 2018 se descubrió que el Ledger Nano S bootloader podría ser engañado para cargar un firmare que no era de confianza (no original), según se puede ver en este video. Según veo en este listado de hackeos a hardware wallets (muy interesante), Trezor podría haber tenido un caso similar detectado en el 2018.
legendary
Activity: 1162
Merit: 2025
Leading Crypto Sports Betting & Casino Platform
Sea una pregunta real de un Newbie o no (uno con el tiempo ya sospecha de todo), pero no deja de ser bueno ver de vez en cuando como alguien se cuestiona algún punto de lo que damos por hecho en términos de seguridad.

Por lo menos a mí me pareció refrescante que alguien novel quisiese preguntar acerca de las garantías de que las actualizaciones de Trezor de firmware, a instancias de un pop-up en la wallet, fuesen algo garantizado como actualizaciones benignas (ver este post).

Es bueno cuestionarse las cosas, y esta actitud podría haber ahorrado problemas a algunos de los que hubiesen caído en los falsos mensajes desde la cuenta Twitter (X) de Trezor …


Por lo que tengo entendido, Trezor hace una verificación del firmware cada vez que se conecta la wallet a un terminal / computadora, pero no estoy seguro si eso sea de utilidad. No estoy seguro si al hacer un reemplazo de firmware por uno no oficial, la semilla de borra automáticamente, creo que si, y tendría sentido.
Por si acaso, yo me he convertido en ese tipo de personas que no hacen caso de los popups para actualizar directamente desde la aplicación, prefiero escribir yo mismo el url y descargar el paquete desde la página, aunque obviamente eso tampoco es garantía de legitimidad del software.
Supongo que estos días tendré que quitarme la pereza de encima y aprender a cómo verificar de forma definitiva el software de Trezor utilizando sus llaves públicas.

Satoshilabs en comunicaciones y publicidades anteriores ha dado a entender que el hecho de poder actualizar el software de la billetera y el firmware desde la propia aplicación hace bastante difícil el sufrir de ataques, pero creo que ya existen precendentes de casos como ese.
legendary
Activity: 2338
Merit: 10802
There are lies, damned lies and statistics. MTwain
Sea una pregunta real de un Newbie o no (uno con el tiempo ya sospecha de todo), pero no deja de ser bueno ver de vez en cuando como alguien se cuestiona algún punto de lo que damos por hecho en términos de seguridad.

Por lo menos a mí me pareció refrescante que alguien novel quisiese preguntar acerca de las garantías de que las actualizaciones de Trezor de firmware, a instancias de un pop-up en la wallet, fuesen algo garantizado como actualizaciones benignas (ver este post).

Es bueno cuestionarse las cosas, y esta actitud podría haber ahorrado problemas a algunos de los que hubiesen caído en los falsos mensajes desde la cuenta Twitter (X) de Trezor …
legendary
Activity: 1162
Merit: 2025
Leading Crypto Sports Betting & Casino Platform
... Si en lugar de los intentos de timo que hicieron, hubiesen creado un mensaje de urgencia para entrar la semilla en un site (falso) aludiendo a motivos urgentes de seguridad con algún pretexto u otro, seguro que el botín hubiese sido mayor...


Ver:
https://www.criptonoticias.com/seguridad-bitcoin/hackean-wallet-bitcoin-trezor-x-memecoin-solana-robo/


Heh, lo más gracioso y preocupante de esa afirmación que haces es que tristemente puede que tengas razón sobre el posible yield del cual se perdieron los hackers/scammers Al no directamente utilizar el típico timo de enviar las claves privadas.
Sabes, creo que es bastante extraño y triste que haya gente por allí afuera que, por algún motivo, saben correctamente que una hardware wallet es una de las mejores alternativas para guardar sus satoshis PERO NO TIENEN NI IDEA DE PORQUE. Lo cual implica que realmente no sabrían la diferencia entre una hot wallet de Toda la vida y una billetera física de Bitcoin.
Aunado a eso. Creo que Trezor sabiéndose de ser un blanco obvio para este tipo de ataques, es bastante recomendable que usen sus propios productos (que pueden ser usados como llaves de acceso) para que algo así nunca pase. Como decimos por aquí: en casa de herrero, cuchillo de palo, supongo.

Solo que no me imaginaba que ese dicho también aplicase a compañias de tecnología basadas en la República Checa. El mundo es más pequeño de lo que parece.
legendary
Activity: 3346
Merit: 3130
El echo de que esta cuenta caiga por el factor F2A es algo que me deja pensando ya que es la segunda vez que vemos como se explota esta vulnerabilidad, y la vulnerabilidad consiste en ataques de fuerza bruta. Creo que X/Twitter tiene una brecha para este tipo de ataques, o los ataques de este estilo se han vuelto muy sofisticados.

Y esto orillará a X a 2 cosas, o todos los usuarios tendrán que configurar el 2FA, o el captcha será obligatorio para cada inicio de sesión.
legendary
Activity: 2338
Merit: 10802
There are lies, damned lies and statistics. MTwain
El pasado martes 19/03/2024, la cuenta de Twitter fue hackeada con el fin de lanzar varios intentos de timo. Según recoge el artículo abajo referenciado, los hackers intentaron:

-   Apoyar una memecoin determinado.
-   Lanzar la preventa de un token de Trezor.
-   Realizar un falso airdrop, que resultó ser un intento de phishing de credenciales (sin dar más detalles).

Los hackers se hicieron con un pequeño botín de 8,1K $ (6,1K $ tras comisiones – la leche).

Nuevamente una empresa de entidad "deja" (mal uso del 2FA entiendo yo) que le tomen el control de una de sus redes sociales, con el potencial perjuicio para los usuarios de sus productos y servicios. Si en lugar de los intentos de timo que hicieron, hubiesen creado un mensaje de urgencia para entrar la semilla en un site (falso) aludiendo a motivos urgentes de seguridad con algún pretexto u otro, seguro que el botín hubiese sido mayor...


Ver:
https://www.criptonoticias.com/seguridad-bitcoin/hackean-wallet-bitcoin-trezor-x-memecoin-solana-robo/
Jump to: