Stefan Thomas on kaksi epäonnistunutta salasanayritystä poissa yksityisten avainten menettämisestä 220 miljoonaan dollariin Bitcoin
Bitcoin on digitaalinen valuutta (jota kutsutaan myös salausvaluutaksi)… Lisää: ikuisesti. Tämä johtuu siitä, että Thomasilla on yksityiset avaimet häneen bitcoin lompakko
Bitcoin-lompakko on ohjelmisto, jossa ... Lisää: IronKeyssä. "Maailman turvallisin Flash-asema" mieluummin kuolee kuin luopuu salaisuuksistaan sisäänrakennettujen suojausten ansiosta. IronKey rahoitettiin Yhdysvaltain sisäisen turvallisuuden ministeriössä vuonna 2006 ja perustajana Dave Jevans, CipherTrace-toimitusjohtaja.
Jevans auttaa tutkimuksessa palauttamaan Thomasin yksityiset avaimet, mikä on haasteena erittäin hyökkäyksiä kestävä IronKey, jonka Jevans ja hänen tiiminsä suunnittelivat salausavaimet.
Tiistaina Jevans kommentoi Thomasin tilannetta Twitter-keskustelussa Alex Stamosin, entisen CISOn kanssa Facebookissa.
Koko lanka löytyi täältä https://twitter.com/alexstamos/status/1348999178702057476 mutta ei ole enää saatavilla.
Arkisto on kirjoitettu alla.
Alex Stamos @alexstamos
6 - 24. tammikuuta 12
Um, 220 miljoonan dollarin lukitulla Bitcoinilla et tee 10 salasana-arvausta, vaan vie se ammattilaisille ostamaan 20 IronKeysia ja viettämään kuusi kuukautta sivukanavan löytämiseen tai avaamiseen.
Teen sen tapahtumaan 10%. Soita minulle.
"San Franciscossa asuvalla saksalaissyntyisellä ohjelmoijalla Stefan Thomasilla on kaksi arvausta jäljellä selvittääkseen salasana, jonka arvo on tällä viikolla noin 220 miljoonaa dollaria.
Salasana antaa hänen avata pieni kiintolevy, joka tunnetaan nimellä IronKey, joka sisältää yksityiset avaimet digitaaliseen lompakkoon, johon mahtuu 7,002 Bitcoinia. Vaikka Bitcoinin hinta laski voimakkaasti maanantaina, se on edelleen yli 50 prosenttia korkeampi kuin vain kuukausi sitten, jolloin se ylitti edellisen kaikkien aikojen korkeimman noin 20,000 XNUMX dollarin tason.
Ongelmana on, että Thomas Thomas menetti vuosia sitten paperin, jossa hän kirjoitti salasanansa IronKey-tunnukselleen, joka antaa käyttäjille 10 arvausta, ennen kuin se tarttuu sisältöön ja salaa sen ikuisesti. Hän on sittemmin kokeillut kahdeksaa yleisimmin käytettyä salasanamuotoa - turhaan.
"Makisin vain sängyssä ja ajattelin sitä", Mr. Thomas sanoi. "Sitten menisin tietokoneelle uudella strategialla, ja se ei toiminut, ja olisin taas epätoivoinen."
Alex Stamos @alexstamos
Vastauksena käyttäjälle @alexstamos
Emme puhu joistakin NSA: n rakentamista salausprosessoreista, jotka on asennettu SSBN: ään, mutta vanhasta 50 dollarin kappaletta kuluttajasarjaa. Ei ole mitenkään kovettunut USENIX-papereiden viimeisten kymmenen vuoden aikana, joita ei ole koskaan käytetty käytännössä.
Dave Jevans @davejevans
Vastaaminen @helsinki
Olin IronKeyn perustaja ja toimitusjohtaja. Meillä oli lukuisia keskusteluja NSA: n kanssa tuotteiden kehityksen aikana. Jos henkilö käyttää ensimmäisen sukupolven IronKeyä ennen kuin myimme yrityksen Imationille, se on erittäin haastavaa. / 1
Jex @ in3dye
Mikä oli NSA: n tarkoitus auttaa sinua?
Dave Jevans @davejevans
Vastaaminen @ in3dye ja @helsinki
Kun he päättivät, ettei takaovia ollut, he halusivat tehdä siitä mahdollisimman turvallisen luokiteltuun käyttöön. Esimerkiksi he eivät halunneet vain AES-avaimen tuhoamista, vaan neuvoivat NAND-salaman pyyhintätekniikoita, jotka toteutimme laitteistossa.
Dave Jevans @davejevans
Vastaaminen @helsinki
Salasanalaskuri ja salatut AES-avaimet tallennetaan Atmel AT98 -prosessorille. Pakkauksen avaaminen on haastavaa, koska sirun päällä on satunnaistettu suojakerros, mikä tarkoittaa, että pääsy sisäiseen piiriin todennäköisesti tappaa sirun. https://dtsheet.com/doc/232348/atmel-at98sc008ct / 2
Dave Jevans @davejevans
Vastauksena käyttäjälle @alexstamos
IronKey / Atmel-turvaominaisuuksiin kuuluvat jännite-, taajuus- ja lämpötilailmaisimet, laiton koodin suorittamisen esto, peukalointimonitorit ja suoja sivukanavan hyökkäyksiltä ja koetukselta. Pelimerkit pystyvät havaitsemaan peukalointiyritykset ja tuhoamaan arkaluontoisia tietoja tällaisista tapahtumista / 3
Dave Jevans @davejevans
Vastaaminen @helsinki
Kävimme Fly Labs -sivustolla ja avauduimme ja katselimme IronKey-turvasiruja FIB: llä kehityksen aikana. Hyökkäys on erittäin vaikeaa. Jos pystyt sammuttamaan salasanalaskurin, se on paras vaihtoehto. Ehkä pura salattu AES-avain. Molemmat ovat erittäin epätodennäköisiä. / 4
Alex Stamos @alexstamos
Olen varma, että teitte hienoa työtä (luulen, että iSEC teki sinulle jonkin verran validointia yhdessä vaiheessa), mutta se ei ole kohtuullinen uhkamalli odottaa, että kuluttajalaitteiden odotetaan kestävän vuosikymmenen jälkeen ja miljoonia dollareita kohdennetussa tutkimuksessa.
Dave Jevans @davejevans
Vastaaminen @helsinki
Olisi hienoa löytää, onko kukaan pystynyt luotettavasti hyökkäämään AT98SC-älykorttiperheeseen ilman, että se nollataan. Luotettavalla tarkoitan yhden laitteen hyökkäystä suurella onnistumismahdollisuudella sen sijaan, että olisimme onnistuneet 1% ajasta.
Garrett SerackCowboy hattu kasvot @fearthecowboy
Vastauksena käyttäjälle @alexstamos
Eikö muutama kuukausi sitten ollut samanlainen tapaus kuin tässä, jossa jollakin oli bitcoinia jossakin paska-salauslevyssä?
IIRC: n joku tuli ulos ja huomasi, että siinä oleva laiteohjelmisto voidaan päivittää haavoittuvaksi ja meni läpi ja he avasivat sen.
Dave Jevans @davejevans
Vastaaminen @helsinki ja @helsinki
Et voi päivittää alkuperäisten IronKey-laitteiden laiteohjelmistoa. Se on tarkastettu laitteistossa ja sen on allekirjoitettava fyysisillä avaimilla HSM: llä IronKeyssä (nyt Imation). Tämä ei ole Trezor, jossa on ohjelmiston laiteohjelmistotarkistukset. Se tehdään mukautetussa laitteistossa. Vietimme yli 10 miljoonaa dollaria sirujen tuotekehitykseen
Brent Mueller @ Patchemup1
Vastauksena käyttäjille @alexstamos ja @ hacks4pancakes
Lyön vetoa, että vähintään 10: n laskuri voidaan nollata tai erottaa tappokytkimestä. Ainakin siinä määrin resursseja, että paljon rahaa voisi ostaa.
Dave Jevans @davejevans
Joo. Mutta katso kommenttini suojaverkosta, sivukanavan hyökkäysten estämisestä jne. Avaimenhallintapiiristä, jota käytimme rakentamassa IronKey-laitteita. Sinulla on yksi mahdollisuus poistaa fyysinen verkko käytöstä, ja se satunnaistetaan laitekohtaisesti.
iver_Tam @RiverTamYDN
Minusta tuntuu siltä, että hänellä on varaa maksaa Kingstonille tarpeeksi rahaa päivittää IronKeyn laiteohjelmisto versioon, joka antaa hänelle rajoittamattoman salauksen purkuyrityksen.
Dave Jevans @davejevans
Jos se on IronKeyn alkuperäinen versio, ei ole mitään tapaa päivittää älykortin laiteohjelmistoa, joka pitää salatun AES-avaimen ja salasanalaskurin. Tarvitsee fyysisen hyökkäyksen, jota sirulla on monia suojauksia.
Josh @ JDG_1980
Onko mahdollista, että IronKey voidaan purkaa ja salasana purkaa elektronimikroskoopilla?
Dave Jevans @davejevans
IronKeyssä tapahtuvan kehityksen aikana teimme älykortista katseen ja pelasimme FIB: n kanssa. Kortilla on monia fyysisiä suojauksia lukumuistia vastaan, mukaan lukien UV-tunnistus, satunnaistettu laitteistoverkko, sivukanavan hyökkäystunnistus jne. Ne nollataan helposti.
Dan Kaminsky @dakami
Jos siitä on hyötyä, @justmoon, Alexin tarjous on ehdottoman uskottava.
Dave Jevans @davejevans
Vastaaminen @dakami, @lakka ja 2 muut
IronKeyn perustajana ja entisenä toimitusjohtajana annan sinulle mitä apua voin. Sinun täytyy murtaa Atmel AT98 (olettaen, että tämä on IronKey, jonka kehitimme ennen kuin Imation osti yrityksemme).
Laitteiston lompakot, IronKeys ja rikkoutumaton suojaus
Laitteiden lompakkoyritysten on nostettava turvallisuusasentaansa ja haettava salauksensa ulkopuolinen varmennus. Toisin kuin laitteistolompakot, IronKeys on edelleen suojattu väärinkäytöltä yli vuosikymmenen ajan alkuperäisen julkaisunsa jälkeen. National Institute of Standards and Technology (NIST) antaa Federal Information Protection 140 -sarjan koordinoimaan salausmoduuleja koskevat vaatimukset ja standardit, jotka sisältävät sekä laitteisto- että ohjelmistokomponentteja Yhdysvaltojen liittohallituksen osastojen ja virastojen käyttöön.
- FIPS 140-2 Taso 1 alin, asettaa hyvin rajoitetut vaatimukset; kaikkien komponenttien on oltava löyhästi "tuotantokelpoisia" ja erilaisia törkeitä epävarmuustekijöitä ei saa olla.
- FIPS 140-2 Taso 2 lisää fyysisen väärennöstodistuksen ja roolipohjaisen todennuksen vaatimukset.
- FIPS 140-2 Taso 3 lisää fyysisen väärinkäytön vaatimuksia.
Vuonna 2011 IronKey oli ylivoimaisesti "maailman turvallisin Flash-asema", koska se oli ainoa mobiilisalauslaite, joka oli sertifioitu FIPS 140-2 -tason 3, väärinkäytön esto. Zero-laitteistolompakon myyjillä ei ole vielä sertifioitu ohjelmistojaan edes FIPS 140-2 -tasolla 1. Vaikka joissakin Trezor-lompakoissa on Super Micron, ST31: n ja STM32: n piirisarjat, jotka ovat erikseen EAL-validoituja, itse Trezor-lompakkoa ei ole sertifioitu.
Vaikutukset laitteistolompakkoihin
Historiallisesti hardware-lompakot eivät ole koskaan olleet kovin turvallisia. Vuonna 2018 Ledger-laitteistolompakotpiirteet 15-vuotias tutkija vaarantaa, Rashid Saleem, käyttäen hyvin pieniä määriä koodia. Saleem asensi takaoven Ledger Nano S -laitteeseen, mikä sai laitteen luomaan ennalta määritetyt palautussalasanat. Hyökkääjä voi syöttää nämä salasanat uuteen Ledger-laitteistolompakkoon palauttaakseen takaoven laitteen yksityiset avaimet. Rashid pystyi myös hyödyntämään Trezor-lompakon puutetta vuotta aiemmin. https://ciphertrace.com/ledger-bitcoin-wallet-hacked/
Vuoden 2020 Ledger-tietorikkomus paljasti sähköpostiosoitteet ja muut Yli 270,000 XNUMX käyttäjän henkilötodistus, minkä seurauksena monet Ledgerin asiakkaista joutuivat tietojenkalastelu- ja ransomware-hyökkäysten uhriksi, joihin sisältyi väkivaltauhkia. Vaikka hakkerointi ei suoraan uhannut mitään asiakasvaroja, heidän maineensa alalla has on vaarantunut, mikä saa monet kyseenalaistamaan laitteiston lompakon suojauksen tulevaisuuden. Ehkä nämä laitteistoyritykset olisivat järkeviä tarkastelemaan IronKeyn panosta salausturvallisuuteen. Hajauttamisen hengessä käyttäjän vastuulla on varmistaa yksityiset avaimet, jotta ne eivät pääse Thomasin valitettavaan tilanteeseen, jossa satoja miljoonia dollareita ei ole saatavilla.
Lähde: https://ciphertrace.com/220m-in-bitcoin-encrypted-forever-on-ironkey/
- 000
- 2020
- 7
- pääsy
- alex
- Kaikki
- Archive
- noin
- Authentication
- takaoven
- PARAS
- Vedonlyönti
- Bitcoin
- Bitcoin-lompakko
- rikkominen
- Rakentaminen
- Ostetaan
- soittaa
- aiheutti
- toimitusjohtaja
- Certification
- Tarkastukset
- siru
- sirut
- CipherTrace
- Perustaja
- koodi
- kommentit
- Yritykset
- yritys
- kuluttaja
- sisältö
- jatkaa
- Keskustelu
- keskustelut
- Crypto
- valuutta
- Asiakkaat
- tiedot
- hajauttaminen
- tuhota
- Detection
- Kehitys
- Laitteet
- DID
- digitaalinen
- digitaalinen valuutta
- digitaalinen lompakko
- dollaria
- putosi
- ELEVATE
- salaus
- Tapahtumat
- Käyttää hyväkseen
- Kasvot
- perhe
- Ominaisuudet
- Liitto-
- Liittovaltion hallitus
- Kuva
- Etunimi
- salama
- virhe
- Francisco
- koko
- rahastoiva
- varat
- tulevaisuutta
- Hallitus
- suuri
- hakata
- Tarvikkeet
- laitteisto Wallet
- Laitteisto-lompakot
- tätä
- Korkea
- pitää
- Homeland Security
- HTTPS
- Sadat
- laiton
- Mukaan lukien
- teollisuus
- tiedot
- tutkimus
- kysymykset
- IT
- Job
- avain
- avaimet
- Labs
- johtava
- pääkirja
- Taso
- rajallinen
- Katsoin
- johto
- miljoona
- Puhelinnumero
- malli
- maanantai
- raha
- kk
- nano
- kampanja
- Muut
- Paperi
- Salasana
- salasanat
- Maksaa
- Phishing
- Ehkäisy
- hinta
- yksityinen
- Yksityiset avaimet
- Tuotteemme
- ammattilaiset
- Ohjelma
- suojella
- suojaus
- suojaava
- satunnaistettu
- ransomware
- Ransomware hyökkäykset
- Lukeminen
- toipua
- elpyminen
- vaatimukset
- tutkimus
- Esittelymateriaalit
- San
- San Francisco
- turvallisuus
- Sarjat
- SIX
- pieni
- fiksu
- So
- Tuotteemme
- myyty
- viettää
- standardit
- Valtiot
- Strategia
- menestys
- onnistunut
- Vaihtaa
- puhuminen
- Elektroniikka
- uhat
- aika
- Trezor
- viserrys
- Yhtenäinen
- Yhdysvallat
- Päivitykset
- us
- Käyttäjät
- myyjät
- Haavoittuva
- Lompakko
- Lompakot
- viikko
- sisällä
- Referenssit
- arvoinen
- vuosi
- vuotta
- nolla-
