Stefan Thomas adalah dua upaya kata sandi yang gagal dari kehilangan kunci pribadi hingga senilai $ 220 juta bitcoin
Bitcoin adalah mata uang digital (juga disebut mata uang kripto)โฆ More selama-lamanya. Ini karena Thomas memegang kunci privatnya dompet bitcoin
Dompet Bitcoin adalah program perangkat lunak tempat Bitcoin ... More di IronKey. โFlash Drive Teraman di Duniaโ lebih baik mati daripada menyerahkan rahasianya, berkat serangkaian perlindungan bawaan. IronKey didanai oleh Departemen Keamanan Dalam Negeri AS di 2006 dan didirikan bersama oleh Dave Jevans, CEO CipherTrace.
Jevans membantu penyelidikan untuk memulihkan kunci pribadi Thomas, sebuah upaya yang ditantang oleh IronKey yang sangat tahan serangan yang dirancang Jevans dan timnya untuk melindungi kunci kripto.
Pada hari Selasa, Jevans mengomentari situasi Thomas dalam percakapan Twitter dengan Alex Stamos, mantan CISO di Facebook.
Utas lengkap ditemukan di sini https://twitter.com/alexstamos/status/1348999178702057476 tetapi tidak lagi tersedia.
Arsip telah ditranskripsikan di bawah.
Alex Stamos @alexstamos
6:24 AM ยท 12 Jan 2021
Um, untuk $ 220 juta dalam Bitcoin yang terkunci, Anda tidak membuat 10 tebakan kata sandi tetapi membawanya ke profesional untuk membeli 20 IronKeys dan menghabiskan enam bulan untuk menemukan saluran samping atau membuka tutup.
Saya akan mewujudkannya untuk 10%. Telpon saya.
โStefan Thomas, seorang programmer kelahiran Jerman yang tinggal di San Francisco, memiliki dua tebakan lagi untuk mengetahui kata sandi yang pada minggu ini nilainya sekitar $ 220 juta.
Kata sandi akan memungkinkan dia membuka kunci hard drive kecil, yang dikenal sebagai IronKey, yang berisi kunci pribadi ke dompet digital yang menampung 7,002 Bitcoin. Sementara harga Bitcoin turun tajam pada hari Senin, itu masih naik lebih dari 50 persen dari sebulan yang lalu, ketika melampaui level tertinggi sebelumnya sekitar $ 20,000.
Masalahnya adalah Tn. Thomas bertahun-tahun yang lalu kehilangan kertas tempat dia menuliskan sandi untuk IronKey miliknya, yang memberi pengguna 10 tebakan sebelum menangkap dan mengenkripsi isinya selamanya. Dia telah mencoba delapan dari formulasi kata sandi yang paling umum digunakan - tetapi tidak berhasil.
"Saya hanya akan berbaring di tempat tidur dan memikirkannya," kata Mr. Thomas. "Kemudian saya akan pergi ke komputer dengan beberapa strategi baru, dan itu tidak akan berhasil, dan saya akan putus asa lagi."
Alex Stamos @alexstamos
Membalas ke @alexstamos
Kami tidak berbicara tentang beberapa prosesor kripto yang dibangun NSA yang dipasang pada SSBN, tetapi kit konsumen $ 50 yang lama. Tidak mungkin ini diperkuat dengan sepuluh tahun terakhir makalah USENIX yang tidak pernah digunakan dalam praktik.
Dave Jevans @tokopedia
Membalas @alex_cantik
Saya adalah salah satu pendiri dan CEO IronKey. Kami melakukan banyak percakapan dengan NSA selama pengembangan produk. Jika orang tersebut menggunakan IronKey generasi pertama sebelum kami menjual perusahaannya ke Imation, itu akan sangat menantang. / 1
Jex @ in3dye
Apa tujuan NSA membantu Anda?
Dave Jevans @tokopedia
Membalas @ in3 dan @alex_cantik
Begitu mereka memutuskan bahwa tidak ada pintu belakang, mereka ingin membuatnya seaman mungkin untuk penggunaan rahasia. Misalnya, mereka tidak hanya menginginkan penghancuran kunci AES, mereka menyarankan teknik penghapusan flash NAND yang kami terapkan di perangkat keras.
Dave Jevans @tokopedia
Membalas @alex_cantik
Penghitung kata sandi dan kunci AES terenkripsi disimpan pada prosesor Atmel AT98. Membuka tutup cukup menantang karena ada lapisan perlindungan acak di atas chip yang berarti akses ke sirkuit internal kemungkinan akan mematikan chip. https://dtsheet.com/doc/232348/atmel-at98sc008ct / 2
Dave Jevans @davejevans
Replying to @alexstamos
Fitur keamanan IronKey / Atmel termasuk detektor voltase, frekuensi dan suhu, pencegahan eksekusi kode ilegal, monitor gangguan dan perlindungan terhadap serangan saluran samping dan probing. Chip dapat mendeteksi upaya gangguan dan menghancurkan data sensitif pada peristiwa tersebut / 3
Dave Jevans @tokopedia
Membalas @alex_cantik
Kami pergi ke Fly Labs dan membuka tutupnya serta melihat chip keamanan IronKey kami dengan FIB selama pengembangan. Ini akan sangat sulit untuk diserang. Jika Anda dapat mematikan penghitung kata sandi, itu adalah taruhan terbaik Anda. Mungkin ekstrak kunci AES terenkripsi. Keduanya sangat tidak mungkin. / 4
Alex Stamos @alexstamos
Saya yakin kalian melakukan pekerjaan yang hebat (saya pikir iSEC melakukan beberapa validasi untuk Anda pada satu titik) tetapi itu bukan model ancaman yang masuk akal untuk mengharapkan perangkat keras konsumen bertahan setelah satu dekade dan melawan jutaan dolar dalam penelitian terarah.
Dave Jevans @tokopedia
Membalas @alex_cantik
Akan sangat keren untuk mengetahui apakah ada orang yang dapat diandalkan untuk menyerang keluarga kartu pintar AT98SC tanpa menyetel ulang. Yang saya maksud dengan dapat diandalkan adalah menyerang satu perangkat, dengan peluang sukses yang tinggi, daripada sukses 1% setiap saat.
Garrett SerackCowboy topi wajah @fearthecowboy
Membalas ke @alexstamos
Bukankah ada kasus yang mirip dengan ini beberapa bulan yang lalu di mana seseorang memiliki bitcoin pada beberapa keping disk kripto yang tidak berguna?
IIRC seseorang keluar dan menemukan bahwa firmware yang ada di dalamnya dapat diturunkan ke salah satu yang rentan, dan pergi melalui dan mereka membukanya.
Dave Jevans @tokopedia
Membalas @tokopedia dan @alex_cantik
Anda tidak dapat menurunkan versi firmware pada perangkat IronKey asli. Itu diperiksa di perangkat keras dan harus ditandatangani dengan kunci fisik pada HSM di IronKey (sekarang Imation). Ini bukan Trezor dengan pemeriksaan firmware perangkat lunak. Itu dilakukan di perangkat keras khusus. Kami menghabiskan lebih dari $ 10 juta dalam R&D chip
Brent Mueller @ Patchemup1
Membalas @alexstamos dan @ hacks4pancakes
Saya bertaruh bahwa penghitung ke 10 setidaknya dapat diatur ulang atau diputus dari tombol pemutus. Setidaknya dengan jumlah sumber daya yang bisa dibeli dengan uang sebanyak itu.
Dave Jevans @tokopedia
Iya. Tetapi lihat komentar saya tentang jaring pelindung, pencegahan serangan saluran samping, dll. Pada chip manajemen kunci yang kami gunakan dalam membangun perangkat IronKey. Anda memiliki satu kesempatan untuk menonaktifkan mesh fisik, dan ini diacak per perangkat.
iveram @RiverTamYDN
Saya merasa dia mampu membayar Kingston cukup uang untuk memperbarui firmware IronKey ke versi yang memberinya upaya dekripsi tanpa batas
Dave Jevans @tokopedia
Jika ini adalah versi asli IronKey, maka tidak ada cara untuk memperbarui firmware pada kartu pintar yang menyimpan kunci AES terenkripsi dan penghitung kata sandi. Memerlukan serangan fisik, yang dilindungi oleh banyak chip.
Josh @ JDG
Adakah kemungkinan IronKey dapat diuraikan dan kata sandinya diuraikan dengan mikroskop elektron?
Dave Jevans @tokopedia
Selama pengembangan di IronKey kami memenggal kartu pintar dan bermain dengan FIB. Kartu ini memiliki banyak perlindungan fisik terhadap memori pembacaan, termasuk deteksi UV, mesh hardware acak, deteksi serangan saluran samping, dll. Mereka dapat diatur ulang dengan mudah.
Dan Kaminsky @dakami
Jika itu membantu, @justmoon, tawaran Alex benar-benar kredibel.
Dave Jevans @tokopedia
Membalas @bayu_joo @sampang dan 2 lainnya
Sebagai salah satu pendiri dan mantan CEO IronKey, saya akan memberikan bantuan yang saya bisa. Anda perlu memecahkan Atmel AT98 (dengan asumsi ini adalah IronKey yang kami kembangkan sebelum Imation membeli perusahaan kami).
Dompet Hardware, IronKeys, dan Keamanan Tidak Bisa Dipecahkan
Perusahaan dompet perangkat keras perlu meningkatkan postur keamanan mereka dan mencari sertifikasi eksternal dari enkripsi mereka. Tidak seperti dompet perangkat keras, IronKeys terus tahan terhadap kerusakan lebih dari satu dekade setelah rilis awal mereka. National Institute of Standards and Technology (NIST) mengeluarkan Federal Information Protection 140 Series untuk mengoordinasikan persyaratan dan standar modul kriptografi yang mencakup komponen perangkat keras dan perangkat lunak untuk digunakan oleh departemen dan lembaga pemerintah federal Amerika Serikat.
- FIPS 140-2 Level 1 yang paling rendah, memberlakukan persyaratan yang sangat terbatas; longgar, semua komponen harus "tingkat produksi" dan berbagai jenis ketidakamanan yang mengerikan harus tidak ada.
- FIPS 140-2 Level 2 menambahkan persyaratan untuk bukti kerusakan fisik dan otentikasi berbasis peran.
- FIPS 140-2 Level 3 menambahkan persyaratan untuk ketahanan fisik terhadap kerusakan.
Pada tahun 2011, IronKey sejauh ini merupakan "Flash Drive Paling Aman di Dunia" karena ini adalah satu-satunya perangkat enkripsi seluler yang disertifikasi FIPS 140-2 Level 3, tahan gangguan. Tidak ada vendor dompet perangkat keras yang belum mensertifikasi perangkat lunak mereka bahkan di FIPS 140-2 Level 1. Sementara beberapa dompet Trezor memiliki chipset dari Super Micro, ST31 dan STM32, yang secara terpisah divalidasi EAL, dompet Trezor itu sendiri tidak bersertifikat.
Implikasi untuk Dompet Perangkat Keras
Secara historis, hdompet ardware tidak pernah seaman ini. Pada tahun 2018, dompet perangkat keras Ledger wsebelum dikompromikan oleh peneliti berusia 15 tahun, Rashid Saleem, menggunakan sejumlah kecil kode. Saleem memasang pintu belakang pada Ledger Nano S yang menyebabkan perangkat menghasilkan kata sandi pemulihan yang telah ditentukan sebelumnya. Penyerang dapat memasukkan kata sandi tersebut ke dalam dompet perangkat keras Ledger baru untuk memulihkan kunci pribadi dari perangkat pintu belakang. Rashid juga dapat memanfaatkan cacat dompet Trezor setahun sebelumnya. https://ciphertrace.com/ledger-bitcoin-wallet-hacked/
Pelanggaran data Ledger tahun 2020 mengungkap alamat email dan lainnya PII lebih dari 270,000 pengguna, mengakibatkan banyak pelanggan Ledger menjadi korban serangan phishing dan ransomware yang mencakup ancaman kekerasan. Meskipun peretasan tidak secara langsung mengancam dana pelanggan apa pun, reputasi mereka dalam industri has telah dikompromikan, menyebabkan banyak orang mempertanyakan masa depan keamanan dompet perangkat keras. Mungkin perusahaan perangkat keras ini akan bijaksana untuk meninjau kembali kontribusi IronKey untuk keamanan crypto. Dalam semangat desentralisasi, tanggung jawab tetap pada pengguna untuk mengamankan kunci pribadi mereka sehingga mereka tidak berakhir dalam situasi yang tidak menguntungkan bagi Thomas dengan ratusan juta dolar tidak dapat diakses.
Sumber: https://ciphertrace.com/220m-in-bitcoin-encrypted-forever-on-ironkey/
- 000
- 2020
- 7
- mengakses
- alex
- Semua
- arsip
- sekitar
- Otentikasi
- pintu belakang
- TERBAIK
- Pertaruhan
- Bitcoin
- Bitcoin Dompet
- pelanggaran
- Bangunan
- membeli
- panggilan
- disebabkan
- ceo
- Sertifikasi
- Cek
- keping
- Keripik
- CipherTrace
- Co-founder
- kode
- komentar
- Perusahaan
- perusahaan
- konsumen
- isi
- terus
- Percakapan
- percakapan
- kripto
- Currency
- pelanggan
- data
- Desentralisasi
- menghancurkan
- Deteksi
- Pengembangan
- Devices
- MELAKUKAN
- digital
- mata uang digital
- dompet digital
- dolar
- menjatuhkan
- MENGANGKAT
- enkripsi
- peristiwa
- Mengeksploitasi
- Menghadapi
- keluarga
- Fitur
- Federal
- Pemerintah federal
- Angka
- Pertama
- flash
- cacat
- Francisco
- penuh
- yg disimpan
- dana-dana
- masa depan
- Pemerintah
- besar
- terjangan
- Perangkat keras
- Dompet Perangkat Keras
- Dompet perangkat keras
- di sini
- High
- memegang
- Keamanan Homeland
- HTTPS
- Ratusan
- liar
- Termasuk
- industri
- informasi
- investigasi
- masalah
- IT
- Pekerjaan
- kunci
- kunci-kunci
- Labs
- terkemuka
- Buku besar
- Tingkat
- Terbatas
- tampak
- pengelolaan
- juta
- mobil
- model
- Senin
- uang
- bulan
- nano
- menawarkan
- Lainnya
- kertas
- Kata Sandi
- password
- Membayar
- Phishing
- Pencegahan
- harga pompa cor beton mini
- swasta
- Kunci Pribadi
- Produk
- profesional
- program
- melindungi
- perlindungan
- Protektif
- Acak
- ransomware
- Serangan Ransomware
- Bacaan
- Memulihkan
- pemulihan
- Persyaratan
- penelitian
- Sumber
- San
- San Fransisco
- keamanan
- Seri
- ENAM
- kecil
- pintar
- So
- Perangkat lunak
- terjual
- menghabiskan
- standar
- Negara
- Penyelarasan
- sukses
- sukses
- Beralih
- pembicaraan
- Teknologi
- ancaman
- waktu
- peti besi
- Serikat
- Amerika Serikat
- Memperbarui
- us
- Pengguna
- vendor
- Rentan
- dompet
- Wallet
- minggu
- dalam
- Kerja
- bernilai
- tahun
- tahun
- nol
