Stefan Thomas está a duas tentativas de senha falhadas de perder as chaves privadas para US $ 220 milhões em bitcoin
Bitcoin é uma moeda digital (também chamada de criptomoeda) ... Mais para sempre. Isso ocorre porque Thomas possui as chaves privadas de seu carteira bitcoin
Uma carteira Bitcoin é um programa de software onde os Bitcoins são st… Mais em um IronKey. “O Flash Drive mais seguro do mundo” prefere morrer a desistir de seus segredos, graças a uma série de proteções integradas. IronKey foi financiado pelo Departamento de Segurança Interna dos EUA em 2006 e co-fundado por Dave Jevans, CEO da CipherTrace.
Jevans está ajudando na investigação para recuperar as chaves privadas de Thomas, um empreendimento desafiador pela IronKey altamente resistente a ataques que Jevans e sua equipe projetaram para proteger as chaves criptográficas.
Na terça-feira, Jevans comentou sobre a situação de Thomas em uma conversa no Twitter com Alex Stamos, ex-CISO do Facebook.
O tópico completo foi encontrado aqui https://twitter.com/alexstamos/status/1348999178702057476 mas não está mais disponível.
Um arquivo foi transcrito abaixo.
Alex Stamos @alexstamos
6h24 · 12 de janeiro de 2021
Hum, por US $ 220 milhões em Bitcoins bloqueados, você não adivinha 10 senhas, mas leva a profissionais para comprar 20 IronKeys e passar seis meses procurando um canal secundário ou desbloqueando.
Vou fazer isso acontecer por 10%. Me liga.
“Stefan Thomas, um programador alemão que mora em San Francisco, ainda tem duas suposições para descobrir uma senha que vale, até esta semana, cerca de US $ 220 milhões.
A senha permitirá que ele desbloqueie um pequeno disco rígido, conhecido como IronKey, que contém as chaves privadas de uma carteira digital que contém 7,002 Bitcoins. Embora o preço do Bitcoin tenha caído drasticamente na segunda-feira, ele ainda está mais de 50 por cento em relação ao mês anterior, quando ultrapassou seu recorde anterior de cerca de US $ 20,000.
O problema é que o Sr. Thomas, anos atrás, perdeu o papel em que anotava a senha de seu IronKey, que dá aos usuários 10 suposições antes de travar e criptografar seu conteúdo para sempre. Desde então, ele tentou oito de suas formulações de senha mais comumente usadas - sem sucesso.
“Eu simplesmente ficava deitado na cama e pensava a respeito”, disse Thomas. “Então, eu iria para o computador com alguma estratégia nova, mas não funcionaria e eu ficaria desesperado novamente.”
Alex Stamos @alexstamos
Respondendo a @alexstamos
Não estamos falando sobre algum processador de criptografia NSA instalado em um SSBN, mas um velho kit de US $ 50. Não há como endurecer contra os últimos dez anos de papéis USENIX que nunca foram usados na prática.
Dave Jevans @davejevans
Respondendo a @alexstamos
Fui cofundador e CEO da IronKey. Tivemos várias conversas com a NSA durante o desenvolvimento dos produtos. Se a pessoa estiver usando a primeira geração do IronKey antes de vendermos a empresa para a Imation, será um grande desafio. / 1
Jex @ in3dye
Qual era o propósito da NSA em ajudá-lo?
Dave Jevans @davejevans
Respondendo a @ in3dye e @alexstamos
Depois de determinarem que não havia portas nos fundos, eles queriam torná-la o mais segura possível para uso classificado. Por exemplo, eles não queriam apenas a destruição da chave AES, eles aconselharam sobre as técnicas de apagamento de flash NAND que implementamos no hardware.
Dave Jevans @davejevans
Respondendo a @alexstamos
O contador de senha e as chaves AES criptografadas são armazenados em um processador Atmel AT98. O desbloqueio é um desafio, pois há uma camada de proteção aleatória sobre o chip, o que significa que o acesso ao circuito interno provavelmente matará o chip. https://dtsheet.com/doc/232348/atmel-at98sc008ct / 2
Dave Jevans @davejevans
Respondendo a @alexstamos
Os recursos de segurança do IronKey / Atmel incluem detectores de tensão, frequência e temperatura, prevenção de execução ilegal de código, monitores de violação e proteção contra ataques de canal lateral e sondagem. Os chips podem detectar tentativas de violação e destruir dados confidenciais em tais eventos / 3
Dave Jevans @davejevans
Respondendo a @alexstamos
Fomos ao Fly Labs, removemos o limite e examinamos nossos chips de segurança IronKey com um FIB durante o desenvolvimento. Será extremamente difícil atacar. Se você puder desligar o contador de senha, essa é sua melhor aposta. Talvez extraia a chave AES criptografada. Ambos são altamente improváveis. / 4
Alex Stamos @alexstamos
Tenho certeza de que vocês fizeram um ótimo trabalho (acho que o iSEC fez algumas validações para vocês em um ponto), mas não é um modelo de ameaça razoável esperar que o hardware do consumidor se mantenha após uma década e contra milhões de dólares em pesquisa direcionada.
Dave Jevans @davejevans
Respondendo a @alexstamos
Seria interessante descobrir se alguém foi capaz de atacar de forma confiável a família de cartões inteligentes AT98SC sem que ela fosse reiniciada. Por confiável, quero dizer atacar um dispositivo, com uma grande chance de sucesso, em vez de ter sucesso 1% das vezes.
Garrett Serack Cara de chapéu de cowboy @fearthecowboy
Respondendo a @alexstamos
Não houve um caso semelhante a este alguns meses atrás, em que alguém tinha bitcoin em algum pedaço de disco criptográfico de merda?
Alguém do IIRC descobriu que o firmware que estava nele poderia ser rebaixado para um que era vulnerável e foi até o fim e ele foi desbloqueado.
Dave Jevans @davejevans
Respondendo a @fearthecowboy e @alexstamos
Você não pode fazer o downgrade do firmware nos dispositivos IronKey originais. Ele é verificado no hardware e deve ser assinado por chaves físicas em um HSM no IronKey (agora Imation). Este não é um Trezor com verificações de firmware de software. É feito em hardware personalizado. Gastamos mais de US $ 10 milhões em P&D de chips
Brent Mueller @ Patchemup1
Respondendo a @alexstamos e @ hacks4pancakes
Aposto que o contador de 10, no mínimo, pode ser zerado ou separado do interruptor de eliminação. Pelo menos com a quantidade de recursos que tanto dinheiro poderia comprar.
Dave Jevans @davejevans
Sim. Mas veja meus comentários sobre a malha de proteção, prevenção de ataques de canal lateral, etc. no chip de gerenciamento de chaves que usamos na construção de dispositivos IronKey. Você tem uma chance de desabilitar a malha física e ela é randomizada por dispositivo.
iver_Tam @RiverTamYDN
Acho que ele poderia pagar a Kingston dinheiro suficiente para atualizar o firmware do IronKey para uma versão que oferece tentativas de descriptografia ilimitadas
Dave Jevans @davejevans
Se for uma versão original do IronKey, não há como atualizar o firmware no cartão inteligente que contém a chave AES criptografada e o contador de senha. Precisa de ataque físico, contra o qual o chip tem muitas proteções.
Josh @ JDG_1980
Alguma chance do IronKey ser decapitado e a senha decifrada com um microscópio eletrônico?
Dave Jevans @davejevans
Durante o desenvolvimento no IronKey, decapamos o cartão inteligente e brincamos com um FIB. A placa tem muitas proteções físicas contra leitura de memória, incluindo detecção de UV, malha de hardware aleatória, detecção de ataque de canal lateral, etc. Eles redefinem facilmente.
Dan Kaminsky @dakami
Se ajudar, @justmoon, a oferta de Alex é absolutamente confiável.
Dave Jevans @davejevans
Respondendo a @dakami, @laca e 2 outros
Como cofundador e ex-CEO da IronKey, darei a você o que puder. Você precisa quebrar o Atmel AT98 (supondo que este seja o IronKey que desenvolvemos antes que a Imation comprasse nossa empresa).
Carteiras de hardware, IronKeys e segurança inquebrável
As empresas de carteiras de hardware precisam elevar sua postura de segurança e buscar a certificação externa de sua criptografia. Ao contrário das carteiras de hardware, IronKeys continuam a ser à prova de violação mais de uma década após seu lançamento inicial. O Instituto Nacional de Padrões e Tecnologia (NIST) emite o Federal Information Protection 140 Series para coordenar os requisitos e padrões para módulos criptográficos que incluem componentes de hardware e software para uso por departamentos e agências do governo federal dos Estados Unidos.
- FIPS 140-2 Nível 1 o mais baixo, impõe requisitos muito limitados; vagamente, todos os componentes devem ser de “nível de produção” e vários tipos flagrantes de insegurança devem estar ausentes.
- FIPS 140-2 Nível 2 adiciona requisitos para evidência de violação física e autenticação baseada em função.
- FIPS 140-2 Nível 3 adiciona requisitos para resistência física à violação.
Em 2011, o IronKey foi de longe o “Flash Drive mais seguro do mundo” porque foi o único dispositivo de criptografia móvel certificado FIPS 140-2 Nível 3, resistência à violação. Os fornecedores de carteira de hardware zero ainda não certificaram seu software até FIPS 140-2 Nível 1. Embora algumas carteiras Trezor tenham chipsets Super Micro, ST31 e STM32, que são validados separadamente por EAL, a carteira Trezor em si não é certificada.
Implicações para carteiras de hardware
Historicamente, hAs carteiras ardware nunca foram muito seguras. Em 2018, carteiras de hardware LedgerRecursos comprometido por um pesquisador de 15 anos, Rashid Saleem, usando muito pequenas quantidades de código. Saleem instalou um backdoor em um Ledger Nano S que fazia com que o dispositivo gerasse senhas de recuperação pré-determinadas. Um invasor pode inserir essas senhas em uma nova carteira de hardware Ledger para recuperar as chaves privadas do dispositivo backdoor. Rashid também foi capaz de explorar uma falha da carteira Trezor um ano antes. https://ciphertrace.com/ledger-bitcoin-wallet-hacked/
A violação de dados do Ledger de 2020 expôs os endereços de e-mail e outros PII de mais de 270,000 usuários, resultando em muitos dos clientes do Ledger sendo vítimas de ataques de phishing e ransomware que incluíam ameaças de violência. Embora o hack não tenha ameaçado diretamente os fundos do cliente, sua reputação dentro da indústria fois foi comprometida, levando muitos a questionar o futuro da segurança da carteira de hardware. Talvez essas empresas de hardware sejam sábias em revisitar as contribuições da IronKey para a segurança de criptografia. No espírito da descentralização, a responsabilidade permanece sobre o usuário para proteger suas chaves privadas para que eles não acabem na situação infeliz de Thomas com centenas de milhões de dólares inacessíveis.
Fonte: https://ciphertrace.com/220m-in-bitcoin-encrypted-forever-on-ironkey/
- 000
- 2020
- 7
- Acesso
- alex
- Todos os Produtos
- arquivo
- por aí
- Autenticação
- Porta dos fundos
- MELHOR
- Aposta
- Bitcoin
- Bitcoin Wallet
- violação
- Prédio
- comprar
- chamada
- causado
- Chefe executivo
- FDA
- Cheques
- lasca
- Chips
- CipherTrace
- Co-fundador
- código
- comentários
- Empresas
- Empresa
- consumidor
- conteúdo
- continuar
- Conversa
- conversas
- cripto
- Moeda
- Clientes
- dados,
- Descentralização
- destruir
- Detecção
- Desenvolvimento
- Dispositivos/Instrumentos
- DID
- digital
- moeda digital
- carteira digital
- dólares
- desistiu
- ELEVATE
- criptografia
- eventos
- Explorar
- Rosto
- família
- Funcionalidades
- Federal
- Governo federal
- Figura
- Primeiro nome
- Flash
- falha
- Francisco
- cheio
- financiado
- fundos
- futuro
- Governo
- ótimo
- cortar
- Hardware
- Hardware Wallet
- Carteiras de Hardware
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Alta
- segurar
- Segurança Interna
- HTTPS
- Centenas
- Ilegal
- Incluindo
- indústria
- INFORMAÇÕES
- investigação
- questões
- IT
- Trabalho
- Chave
- chaves
- Laboratório
- principal
- Ledger
- Nível
- Limitado
- olhou
- de grupos
- milhão
- Móvel Esteira
- modelo
- Segunda-feira
- dinheiro
- mês
- nano
- oferecer
- Outros
- Papel
- Senha
- senhas
- Pagar
- Phishing
- Prevenção
- preço
- privado
- Chaves Privadas
- Produtos
- Agenda
- proteger
- proteção
- protetor
- Randomizado
- ransomware
- Ataques de Ransomware
- Leitura
- Recuperar
- recuperação
- Requisitos
- pesquisa
- Recursos
- San
- San Francisco
- segurança
- Série
- SIX
- pequeno
- smart
- So
- Software
- vendido
- gastar
- padrões
- Unidos
- Estratégia
- sucesso
- bem sucedido
- Interruptor
- falando
- Equipar
- ameaças
- tempo
- Trezor
- Unido
- Estados Unidos
- Atualizar
- us
- usuários
- fornecedores
- Vulnerável
- Wallet
- Carteiras
- semana
- dentro
- Atividades:
- Equivalente há
- ano
- anos
- zero
