Οι έξι πιο κοινές επιθέσεις σε κρυπτογραφικά πορτοφόλια και γιατί οι τράπεζες πρέπει να φροντίζουν (Karen Hsu) την ευφυΐα δεδομένων PlatoBlockchain. Κάθετη αναζήτηση. Ολα συμπεριλαμβάνονται.

Οι έξι πιο κοινές επιθέσεις σε κρυπτογραφικά πορτοφόλια και γιατί οι τράπεζες πρέπει να φροντίζουν (Karen Hsu)

Χρονική σήμανση: 9 Αυγούστου 2022 6:42 μ.μ.

Πρόσφατα, εισήχθησαν νομοσχέδια στη Γερουσία των ΗΠΑ που θα έδιναν
Επίβλεψη της επιτροπής εμπορευμάτων μελλοντικής εκπλήρωσης εμπορευμάτων (CFTC) των κρυπτονομισμάτων, το οποίο θα τα αντιμετώπιζε ως ψηφιακά εμπορεύματα. Ανεξάρτητα από το αν το νομοσχέδιο θα γίνει νόμος, ωστόσο, οι τράπεζες και τα χρηματοπιστωτικά ιδρύματα θα πρέπει να δώσουν μεγάλη προσοχή στα κρυπτονομίσματα,
εάν για κανέναν άλλο λόγο παρά μόνο από την άποψη της ασφάλειας. Εξάλλου, ορισμένοι οργανισμοί χρηματοοικονομικών υπηρεσιών πωλούν προϊόντα κρυπτονομισμάτων, όπως π.χ

Υπηρεσία φύλαξης κρυπτονομισμάτων της US Bank. Αλλά υπάρχει ένας ακόμη πιο σημαντικός λόγος για τις τράπεζες να ενδιαφέρονται για την κρυπτογράφηση. Είναι σαφές ότι τα έθνη-κράτη κινούνται προς την κατεύθυνση των ψηφιακών νομισμάτων, με ορισμένα να τα έχουν εκδώσει, όπως το
Δολάριο άμμου Μπαχάμας. Ακόμα και οι Ηνωμένες Πολιτείες είναι

ζυγίζοντας σοβαρά το ζήτημα των CBDC και ενός ψηφιακού δολαρίου. Πολλές από τις ευπάθειες ασφαλείας που αντιμετωπίζουν τα κρυπτονομίσματα θα αφορούν επίσης τα ψηφιακά νομίσματα της κεντρικής τράπεζας (CBDC).

Οι καταναλωτές που επενδύουν σε κρυπτονομίσματα συχνά αποθηκεύουν τα κρυπτονομίσματα τους σε ένα ψηφιακό πορτοφόλι που υπάρχει ως εφαρμογή για κινητά στο smartphone τους. Οι κυβερνοεγκληματίες γνωρίζουν καλά, πράγμα που σημαίνει ότι αποτελούν δελεαστικούς στόχους για επίθεση. Και, όπως κάθε εφαρμογή, υπάρχουν μυριάδες μέθοδοι
να επιτεθώ σε ένα πορτοφόλι κρυπτογράφησης, αλλά από την εμπειρία μου στη συνεργασία με την κρυπτογράφηση και ως επαγγελματίας ασφάλειας, η διασφάλιση της ασφάλειας της εφαρμογής έναντι αυτών των πέντε πιο συνηθισμένων επιθέσεων θα αυξήσει σημαντικά την προστασία που παρέχεται στους καταναλωτές. 

Κλοπή κλειδιών και φράσεων πρόσβασης

 Η κρυπτογράφηση κλειδιών σε επίπεδο εφαρμογής είναι απολύτως απαραίτητο. Εάν τα κλειδιά δεν είναι κρυπτογραφημένα σε περιοχές προτιμήσεων, στο sandbox της εφαρμογής, στην κάρτα SD ή σε εξωτερικές περιοχές όπως το πρόχειρο, οι χάκερ θα μπορούν να τα κλέψουν. Μια φορά
έχουν τα κλειδιά, μπορούν να κάνουν ό,τι θέλουν με τα χρήματα στο πορτοφόλι. 

Εάν είναι κρυπτογραφημένη σε επίπεδο εφαρμογής, ακόμη και αν η ίδια η συσκευή έχει παραβιαστεί, τα κλειδιά θα παραμείνουν ασφαλή. 

Δυναμικές επιθέσεις σε ιδιωτικά κλειδιά

Τα κλειδιά και οι φράσεις πρόσβασης σε ένα πορτοφόλι κρυπτογράφησης μπορούν επίσης να κλαπούν δυναμικά, πράγμα που σημαίνει ότι με κάποιο τρόπο παρεμποδίζονται καθώς ο κάτοχος του πορτοφολιού πληκτρολογεί τους χαρακτήρες κλειδιού ή φράσης πρόσβασης στην εφαρμογή για κινητά κρυπτογραφικό πορτοφόλι. Οι χάκερ χρησιμοποιούν συνήθως μία από τις τρεις μεθόδους
για να γινει αυτο:

  • Επίθεση πάνω από τον ώμο: Ιστορικά, αυτό αναφέρεται σε έναν χάκερ που βρίσκεται φυσικά και κρυφά αρκετά κοντά σε έναν χρήστη για να τον δει να εισάγει τη φράση πρόσβασης στο πορτοφόλι κρυπτογράφησης. Αλλά σήμερα, δεν υπάρχει λόγος να είμαστε εκεί κατά σάρκα. Στιγμιότυπα οθόνης και οθόνη
    η εγγραφή μπορεί να γίνει κατάχρηση για το σκοπό αυτό.

  • Κακόβουλο λογισμικό καταγραφής κλειδιών: Εδώ, το κακόβουλο λογισμικό εκτελείται στο παρασκήνιο της εφαρμογής για να καταγράψει κάθε πάτημα πλήκτρων και να το στείλει σε εγκληματίες του κυβερνοχώρου. Η ριζοβολία (Android) και το jailbreaking (iOS) του smartphone καθιστά ακόμα πιο εύκολο να πραγματοποιηθεί το keylogging.

  • Επίθεση επικάλυψης: Σε αυτήν την περίπτωση, το κακόβουλο λογισμικό τοποθετεί μια οθόνη, η οποία θα μπορούσε να φαίνεται γνήσια ή θα μπορούσε να είναι διαφανής, που εξαπατά τον κάτοχο του κρυπτογραφικού πορτοφολιού να εισάγει διαπιστευτήρια είτε σε ένα πεδίο μέσα στην εφαρμογή πορτοφολιού είτε σε μια κακόβουλη οθόνη. Το κακόβουλο λογισμικό είτε μεταδίδει
    τις πληροφορίες απευθείας σε εγκληματίες του κυβερνοχώρου ή αναλαμβάνει απευθείας το πορτοφόλι για να μεταφέρει τα χρήματα στο πορτοφόλι σε χάκερ.

Η άμυνα έναντι αυτών των απειλών απαιτεί από την εφαρμογή να ανιχνεύει καταγραφή πλήκτρων, επικαλύψεις και εγγραφή, ώστε να μπορεί να λάβει άμεσα μέτρα προειδοποιώντας τον κάτοχο του πορτοφολιού ή ακόμα και τερματίζοντας εντελώς την εφαρμογή. 

Κακόβουλη όργανο

Η ασφάλεια ενός πορτοφολιού για κινητά εξαρτάται από την ακεραιότητα της πλατφόρμας που το εκτελεί, επειδή εάν η συσκευή έχει root ή jailbroken ή αν οι χάκερ κάνουν κατάχρηση εργαλείων ανάπτυξης όπως η Frida, μπορούν να αποκτήσουν πρόσβαση στη διεύθυνση blockchain της εφαρμογής πελάτη. Αυτοί
μπορούν ακόμη και να μιμηθούν την εφαρμογή για να κάνουν συναλλαγές μόνοι τους. Οι εφαρμογές πορτοφολιού κρυπτογράφησης για κινητά πρέπει να μπορούν να γνωρίζουν πότε εργάζονται σε περιβάλλον με root ή jailbroken, ώστε να μπορούν, εάν ζητηθεί, να κλείσουν για την προστασία του χρήστη. Πρέπει επίσης να μπορούν
να μπλοκάρει τα Magisk, Frida και άλλα εργαλεία δυναμικής ανάλυσης και οργάνων που μπορεί να γίνει κατάχρηση για να τεθεί σε κίνδυνο η ακεραιότητα των κρίσιμων λειτουργιών. 

Εξίσου σημαντικό, οι προγραμματιστές θα πρέπει να συγκαλύπτουν τον κώδικα της εφαρμογής, έτσι ώστε οι χάκερ να έχουν πολύ πιο δύσκολο χρόνο να αναστρέψει την εσωτερική λειτουργία και τη λογική της εφαρμογής.

Επιθέσεις Man-in-the-Middle (MitM)

Πολλά πορτοφόλια κρυπτογράφησης αποτελούν μέρος ανταλλαγών που μπορούν να είναι αποκεντρωμένες ή κεντρικές. Είτε έτσι είτε αλλιώς, οι επικοινωνίες είναι ανοιχτές σε επιθέσεις MitM όταν η εφαρμογή επικοινωνεί με έναν διακομιστή ή κατά τη διάρκεια συναλλαγών peer-to-peer. Τα δεδομένα κατά τη μεταφορά θα πρέπει να προστατεύονται με
Η κρυπτογράφηση AES-256 και το επίπεδο ασφαλούς υποδοχής (SSL) / η ασφάλεια του επιπέδου μεταφοράς (TLS) πρέπει να επιβάλλονται αυστηρά για όλες τις επικοινωνίες.

Εξομοιωτές

Οι χάκερ μπορούν επίσης να κάνουν τροποποιημένες εκδόσεις εφαρμογών κρυπτογραφικού πορτοφολιού. Μπορούν επίσης να χρησιμοποιήσουν αυτές τις τροποποιημένες εφαρμογές με προσομοιωτές και εξομοιωτές για τη δημιουργία δόλιων λογαριασμών, την πραγματοποίηση δόλιων συναλλαγών και τη μεταφορά κρυπτονομισμάτων. 

Οι μέθοδοι αυτοπροστασίας εφαρμογών χρόνου εκτέλεσης (RASP) και συγκεκριμένα η ανίχνευση κατά της παραβίασης, ο εντοπισμός σφαλμάτων και ο εξομοιωτής, είναι το κλειδί για την αποτροπή αυτού του είδους επιθέσεων.

Ακόμη και για τα χρηματοπιστωτικά ιδρύματα που δεν εμπλέκονται σε κανενός είδους υπηρεσίες κρυπτονομισμάτων, είναι σημαντικό να μάθουν από τις προκλήσεις ασφαλείας που αντιμετωπίζουν οι χρήστες, ιδιαίτερα όταν πρόκειται για πορτοφόλια κρυπτονομισμάτων. Το «ψηφιακό δολάριο» μπορεί να μην είναι τόσο μακριά όσο νομίζουμε,
και εκείνα τα ιδρύματα που είναι διατεθειμένα να παρέχουν ασφαλή κινητά πορτοφόλια CBDC θα έχουν σημαντικό ανταγωνιστικό πλεονέκτημα. 

Σφραγίδα ώρας:

Περισσότερα από Fintextra