اسٹیفن تھامس 220 ملین ڈالر مالیت کی نجی چابیاں کھونے سے پاس ورڈ کی دو ناکام کوششیں ہیں۔ بٹ کوائن
بٹ کوائن ایک ڈیجیٹل کرنسی ہے (جسے کرپٹو کرنسی بھی کہا جاتا ہے) … مزید ہمیشہ کے لیے اس کی وجہ یہ ہے کہ تھامس کے پاس اس کی نجی چابیاں ہیں۔ بٹ کوائن والیٹ
بٹ کوائن والیٹ ایک سافٹ ویئر پروگرام ہے جہاں بٹ کوائنز ہیں… مزید ایک IronKey میں. "دنیا کی سب سے محفوظ فلیش ڈرائیو" اپنے رازوں کو ترک کرنے کے بجائے مر جائے گی، بلٹ میں تحفظات کی ایک سیریز کی بدولت۔ IronKey کو امریکی محکمہ ہوم لینڈ سیکیورٹی کی طرف سے مالی اعانت فراہم کی گئی۔ 2006 اور CipherTrace کے سی ای او ڈیو جیونز نے مشترکہ طور پر قائم کیا۔
Jevans تھامس کی پرائیویٹ کیز کو بازیافت کرنے کے لیے تحقیقات میں مدد کر رہا ہے، ایک کوشش جو کہ انتہائی حملہ سے بچنے والی IronKey نے چیلنج کی تھی جسے Jevans اور اس کی ٹیم نے کرپٹو کیز کی حفاظت کے لیے ڈیزائن کیا تھا۔
منگل کو، جیونز نے فیس بک کے سابق سی آئی ایس او، الیکس سٹاموس کے ساتھ ٹویٹر گفتگو میں تھامس کی صورتحال پر تبصرہ کیا۔
مکمل تھریڈ یہاں مل گیا۔ https://twitter.com/alexstamos/status/1348999178702057476 لیکن اب دستیاب نہیں ہے.
ذیل میں ایک آرکائیو نقل کیا گیا ہے۔
Alex Stamos @ alexstamos
6 جنوری 24 کو صبح 12:2021 بجے
ام، لاک اپ بٹ کوائن میں $220M کے لیے، آپ 10 پاس ورڈ کا اندازہ نہیں لگاتے بلکہ 20 IronKeys خریدنے کے لیے اسے پیشہ ور افراد کے پاس لے جاتے ہیں اور سائیڈ چینل تلاش کرنے یا ان کیپنگ کرنے میں چھ ماہ گزارتے ہیں۔
میں اسے 10% کے لیے بناؤں گا۔ مجھے فون کرنا.
"سان فرانسسکو میں رہنے والے ایک جرمن نژاد پروگرامر سٹیفن تھامس کے پاس پاس ورڈ معلوم کرنے کے لیے دو اندازے باقی رہ گئے ہیں جس کی مالیت اس ہفتے تک تقریباً 220 ملین ڈالر ہے۔
پاس ورڈ اسے ایک چھوٹی ہارڈ ڈرائیو کھولنے دے گا، جسے آئرن کی کے نام سے جانا جاتا ہے، جس میں ڈیجیٹل والیٹ کی نجی چابیاں ہوتی ہیں جس میں 7,002 بٹ کوائن ہوتے ہیں۔ جبکہ بٹ کوائن کی قیمت میں پیر کو تیزی سے کمی واقع ہوئی، یہ ابھی بھی صرف ایک ماہ پہلے کے مقابلے میں 50 فیصد سے زیادہ ہے، جب اس نے تقریباً 20,000 ڈالر کی اپنی پچھلی ہمہ وقتی بلندی کو عبور کیا تھا۔
مسئلہ یہ ہے کہ مسٹر تھامس نے برسوں پہلے وہ کاغذ کھو دیا تھا جہاں اس نے اپنی IronKey کے لیے پاس ورڈ لکھا تھا، جو صارفین کو 10 اندازے لگاتا ہے اس سے پہلے کہ وہ ضبط کر لے اور اس کے مواد کو ہمیشہ کے لیے خفیہ کر لے۔ اس کے بعد اس نے اپنے آٹھ سب سے زیادہ استعمال ہونے والے پاس ورڈ فارمولیشنز کو آزمایا ہے - کوئی فائدہ نہیں ہوا۔
"میں صرف بستر پر لیٹ کر اس کے بارے میں سوچوں گا،" مسٹر تھامس نے کہا۔ "پھر میں کسی نئی حکمت عملی کے ساتھ کمپیوٹر پر جاؤں گا، اور یہ کام نہیں کرے گا، اور میں دوبارہ مایوس ہو جاؤں گا۔"
Alex Stamos @ alexstamos
@alexstamos کو جواب دے رہا ہے۔
ہم SSBN پر نصب کچھ NSA کے ذریعے بنائے گئے کرپٹو پروسیسر کے بارے میں بات نہیں کر رہے ہیں، بلکہ صارفین کی کٹ کے ایک پرانے $50 ٹکڑے کے بارے میں بات کر رہے ہیں۔ پچھلے دس سالوں کے USENIX کاغذات کے مقابلے میں اس کو سخت کرنے کا کوئی طریقہ نہیں ہے جو عملی طور پر کبھی استعمال نہیں ہوئے ہیں۔
ڈیو جیونس ٹویٹ ایمبیڈ کریں
جواب دینے کے لئے @alexstamos
میں IronKey کا شریک بانی اور CEO تھا۔ مصنوعات کی ترقی کے دوران ہم نے NSA کے ساتھ متعدد بات چیت کی۔ اگر وہ شخص IronKey کی پہلی نسل استعمال کر رہا ہے اس سے پہلے کہ ہم کمپنی کو Imation کو فروخت کر دیں، تو یہ بہت مشکل ہو گا۔ /1
جیکس @in3dye
آپ کی مدد کرنے میں NSA کا مقصد کیا تھا؟
ڈیو جیونس ٹویٹ ایمبیڈ کریں
جواب دینے کے لئے @in3dye اور @alexstamos
ایک بار جب انہوں نے یہ طے کر لیا کہ پچھلے دروازے نہیں ہیں، تو وہ اسے درجہ بند استعمال کے لیے زیادہ سے زیادہ محفوظ بنانا چاہتے تھے۔ مثال کے طور پر، وہ صرف AES کلیدی تباہی نہیں چاہتے تھے، انہوں نے NAND فلیش وائپ کی تکنیکوں کے بارے میں مشورہ دیا جو ہم نے ہارڈ ویئر میں نافذ کیں۔
ڈیو جیونس ٹویٹ ایمبیڈ کریں
جواب دینے کے لئے @alexstamos
پاس ورڈ کاؤنٹر اور انکرپٹڈ AES کیز Atmel AT98 پروسیسر پر محفوظ ہیں۔ ان کیپنگ چیلنجنگ ہے کیونکہ چپ کے اوپر ایک بے ترتیب حفاظتی پرت ہے یعنی اندرونی سرکٹری تک رسائی چپ کو مارنے کا امکان ہے۔ https://dtsheet.com/doc/232348/atmel-at98sc008ct /2
ڈیو جیونز @davejevans
@alexstamos کو جواب دے رہا ہے۔
IronKey/Atmel سیکورٹی کی خصوصیات میں وولٹیج، فریکوئنسی اور درجہ حرارت کا پتہ لگانے والے، غیر قانونی کوڈ پر عمل درآمد کی روک تھام، چھیڑ چھاڑ مانیٹر اور سائیڈ چینل کے حملوں کے خلاف تحفظ اور تحقیقات شامل ہیں۔ چپس چھیڑ چھاڑ کی کوششوں کا پتہ لگا سکتی ہے اور اس طرح کے واقعات پر حساس ڈیٹا کو تباہ کر سکتی ہے۔
ڈیو جیونس ٹویٹ ایمبیڈ کریں
جواب دینے کے لئے @alexstamos
ہم فلائی لیبز میں گئے اور بغیر کیپ کیے اور ڈیولپمنٹ کے دوران FIB کے ساتھ اپنی IronKey سیکیورٹی چپس کو دیکھا۔ حملہ کرنا بہت مشکل ہو گا۔ اگر آپ پاس ورڈ کاؤنٹر کو بند کر سکتے ہیں، تو یہ آپ کی بہترین شرط ہے۔ ہوسکتا ہے کہ خفیہ کردہ AES کلید نکالیں۔ دونوں کا امکان بہت کم ہے۔ /4
Alex Stamos @ alexstamos
مجھے یقین ہے کہ آپ لوگوں نے بہت اچھا کام کیا ہے (میرے خیال میں iSEC نے ایک موقع پر آپ کے لیے کچھ توثیق کی تھی) لیکن یہ توقع کرنا مناسب خطرہ ماڈل نہیں ہے کہ صارفین کے ہارڈ ویئر کو ایک دہائی کے بعد اور لاکھوں ڈالر کی ہدایت شدہ تحقیق کے خلاف برقرار رکھا جائے۔
ڈیو جیونس ٹویٹ ایمبیڈ کریں
جواب دینے کے لئے @alexstamos
یہ جاننا اچھا ہو گا کہ آیا کوئی بھی سمارٹ کارڈز کے AT98SC خاندان کو ری سیٹ کیے بغیر قابل اعتماد طریقے سے حملہ کرنے میں کامیاب رہا ہے۔ قابل اعتماد سے میرا مطلب ہے کہ ایک آلہ پر حملہ کرنا، کامیابی کے اعلی موقع کے ساتھ، بجائے اس کے کہ 1% وقت میں کامیاب ہوں۔
گیریٹ سیرک کاؤ بوائے ٹوپی چہرہ @fearthecowboy
@alexstamos کو جواب دے رہا ہے۔
کیا کچھ مہینے پہلے اس جیسا کوئی کیس نہیں تھا جہاں کسی کے پاس کریپٹو ڈسک کے کسی ٹکڑے پر بٹ کوائن موجود تھا؟
آئی آئی آر سی کوئی باہر آیا اور اسے معلوم ہوا کہ اس پر موجود فرم ویئر کو کمزور سے نیچے کر دیا جا سکتا ہے، اور اس کے ذریعے چلا گیا اور انہوں نے اسے غیر مقفل کر دیا۔
ڈیو جیونس ٹویٹ ایمبیڈ کریں
جواب دینے کے لئے @fearthecowboy اور @alexstamos
آپ اصل IronKey آلات پر فرم ویئر کو ڈاؤن گریڈ نہیں کر سکتے۔ اسے ہارڈ ویئر میں چیک کیا جاتا ہے اور IronKey (اب Imation) پر HSM پر فزیکل کیز کے ذریعے دستخط کیے جانے چاہییں۔ یہ سافٹ ویئر فرم ویئر چیک کے ساتھ Trezor نہیں ہے۔ یہ کسٹم ہارڈ ویئر میں کیا گیا ہے۔ ہم نے چپ R&D میں $10M سے زیادہ خرچ کیا۔
برینٹ مولر @ Patchemup1
@alexstamos اور @hacks4pancakes کو جواب دے رہا ہے۔
میں شرط لگا رہا ہوں کہ اس کاؤنٹر کو کم از کم 10 پر ری سیٹ کیا جا سکتا ہے یا کِل سوئچ سے الگ کیا جا سکتا ہے۔ کم از کم وسائل کی مقدار کے ساتھ جو زیادہ پیسہ خرید سکتا ہے۔
ڈیو جیونس ٹویٹ ایمبیڈ کریں
جی ہاں. لیکن حفاظتی میش، سائڈ چینل حملے کی روک تھام، وغیرہ کے بارے میں میرے تبصرے اس کلیدی مینجمنٹ چپ پر دیکھیں جسے ہم نے IronKey ڈیوائسز بنانے میں استعمال کیا۔ آپ کے پاس فزیکل میش کو غیر فعال کرنے کا ایک موقع ہے، اور یہ فی ڈیوائس کے مطابق بے ترتیب ہے۔
iver_Tam @RiverTamYDN
مجھے ایسا لگتا ہے کہ وہ کنگسٹن کو اتنی رقم ادا کرنے کا متحمل ہو سکتا ہے کہ وہ آئرن کی کے فرم ویئر کو ایسے ورژن میں اپ ڈیٹ کر سکے جو اسے لامحدود ڈکرپٹ کوششیں فراہم کرتا ہے۔
ڈیو جیونس ٹویٹ ایمبیڈ کریں
اگر یہ IronKey کا اصل ورژن ہے، تو پھر سمارٹ کارڈ پر فرم ویئر کو اپ ڈیٹ کرنے کا کوئی طریقہ نہیں ہے جس میں انکرپٹڈ AES کلید اور پاس ورڈ کاؤنٹر موجود ہے۔ جسمانی حملے کی ضرورت ہے، جس کے خلاف چپ کو بہت سے تحفظات ہیں۔
جوش @JDG_1980
کوئی امکان ہے کہ IronKey کو ختم کیا جائے اور پاس ورڈ کو الیکٹران مائکروسکوپ سے سمجھا جائے؟
ڈیو جیونس ٹویٹ ایمبیڈ کریں
IronKey میں ترقی کے دوران ہم نے سمارٹ کارڈ کو ڈی کیپ کیا اور FIB کے ساتھ کھیلا۔ کارڈ میں ریڈنگ میموری کے خلاف بہت سے جسمانی تحفظات ہیں، بشمول UV کا پتہ لگانا، بے ترتیب ہارڈویئر میش، سائیڈ چینل اٹیک کا پتہ لگانا، وغیرہ۔ وہ آسانی سے دوبارہ سیٹ ہو جاتے ہیں۔
ڈین کامنسکی @dakami
اگر یہ مددگار ہے، @justmoon، Alex کی پیشکش بالکل قابل اعتبار ہے۔
ڈیو جیونس ٹویٹ ایمبیڈ کریں
جواب دینے کے لئے @dakami، @lacker اور 2 دیگر
IronKey کے شریک بانی اور سابق سی ای او کی حیثیت سے میں آپ کو جو مدد کر سکتا ہوں وہ دوں گا۔ آپ کو Atmel AT98 کو کریک کرنے کی ضرورت ہے (یہ فرض کرتے ہوئے کہ یہ IronKey ہے جسے ہم نے امیشن کی جانب سے ہماری کمپنی خریدنے سے پہلے تیار کیا تھا)۔
ہارڈ ویئر والیٹس، آئرن کیز، اور اٹوٹ سیکیورٹی
ہارڈ ویئر والیٹ کمپنیوں کو اپنی حفاظتی پوزیشن کو بلند کرنے اور ان کے خفیہ کاری کی بیرونی سرٹیفیکیشن حاصل کرنے کی ضرورت ہے۔ ہارڈویئر والیٹس کے برعکس، IronKeys اپنی ابتدائی ریلیز کے بعد ایک دہائی سے زائد عرصے تک چھیڑ چھاڑ سے پاک ہے۔ نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹیکنالوجی (NIST) وفاقی معلوماتی تحفظ 140 سیریز جاری کرتا ہے تاکہ کرپٹوگرافک ماڈیولز کی ضروریات اور معیارات کو مربوط کیا جا سکے جس میں ریاستہائے متحدہ کی وفاقی حکومت کے محکموں اور ایجنسیوں کے استعمال کے لیے ہارڈ ویئر اور سافٹ ویئر دونوں اجزاء شامل ہیں۔
- FIPS 140-2 لیول 1 سب سے کم، بہت محدود تقاضے عائد کرتا ہے۔ ڈھیلے طریقے سے، تمام اجزاء "پروڈکشن گریڈ" ہونے چاہئیں اور مختلف قسم کے غیر محفوظ ہونے چاہئیں۔
- FIPS 140-2 لیول 2 جسمانی چھیڑ چھاڑ کے ثبوت اور کردار پر مبنی تصدیق کے تقاضوں کا اضافہ کرتا ہے۔
- FIPS 140-2 لیول 3 جسمانی چھیڑ چھاڑ کی مزاحمت کے تقاضوں کا اضافہ کرتا ہے۔
2011 میں، IronKey اب تک "دنیا کی سب سے محفوظ فلیش ڈرائیو" تھی کیونکہ یہ واحد موبائل انکرپشن ڈیوائس تھی جسے FIPS 140-2 لیول 3، چھیڑ چھاڑ کے خلاف سرٹیفائیڈ کیا گیا تھا۔ زیرو ہارڈویئر والیٹ وینڈرز نے ابھی تک اپنے سافٹ ویئر کو ایف آئی ایف 140-2 لیول 1 پر تصدیق کرنا ہے۔ جب کہ کچھ Trezor والیٹس میں Super Micro, ST31 اور STM32 کے چپ سیٹ ہیں، جو الگ سے EAL کی تصدیق شدہ ہیں، Trezor والیٹ خود تصدیق شدہ نہیں ہے۔
ہارڈ ویئر والیٹس کے لیے مضمرات
تاریخی طور پر، ایچardware کے بٹوے کبھی زیادہ محفوظ نہیں رہے ہیں۔ 2018 میں، لیجر ہارڈویئر والیٹس ڈبلیویار ایک 15 سالہ محقق کے ذریعہ سمجھوتہ کیا گیا۔، راشد سلیم، استعمال کرتے ہوئے۔ کوڈ کی بہت کم مقدار۔ سلیم نے لیجر نینو ایس پر بیک ڈور انسٹال کیا جس کی وجہ سے ڈیوائس پہلے سے طے شدہ ریکوری پاس ورڈ بناتی تھی۔ ایک حملہ آور ان پاس ورڈز کو نئے لیجر ہارڈویئر والیٹ میں داخل کر سکتا ہے تاکہ بیک ڈور ڈیوائس کی پرائیویٹ کیز کو بازیافت کیا جا سکے۔ راشد ایک سال قبل Trezor والیٹ کی خامی کا بھی فائدہ اٹھانے میں کامیاب تھا۔ https://ciphertrace.com/ledger-bitcoin-wallet-hacked/
2020 کے لیجر ڈیٹا کی خلاف ورزی نے ای میل پتوں اور دیگر کو بے نقاب کیا۔ 270,000 سے زیادہ صارفین کا PII، جس کے نتیجے میں لیجر کے بہت سے صارفین فشنگ اور رینسم ویئر کے حملوں کا شکار ہوئے جن میں تشدد کے خطرات شامل تھے۔ اگرچہ ہیک سے کسی بھی صارف کے فنڈز کو براہ راست خطرہ نہیں تھا، لیکن انڈسٹری میں ان کی ساکھ کو نقصان پہنچا ہے۔s سمجھوتہ کیا گیا ہے، جس کی وجہ سے بہت سے لوگ ہارڈ ویئر والیٹ سیکیورٹی کے مستقبل پر سوال اٹھاتے ہیں۔ شاید یہ ہارڈویئر کمپنیاں عقلمند ہوں گی کہ وہ کرپٹو سیکیورٹی میں IronKey کے تعاون پر نظرثانی کریں۔ وکندریقرت کے جذبے کے تحت، صارف پر یہ ذمہ داری باقی رہتی ہے کہ وہ اپنی نجی چابیاں محفوظ رکھیں تاکہ وہ تھامس کی بدقسمت صورت حال کا شکار نہ ہوں جس میں سینکڑوں ملین ڈالرز کی رسائی ممکن نہیں۔
ماخذ: https://ciphertrace.com/220m-in-bitcoin-encrypted-forever-on-ironkey/
- 000
- 2020
- 7
- تک رسائی حاصل
- یلیکس
- تمام
- محفوظ شدہ دستاویزات
- ارد گرد
- کی توثیق
- پچھلے دروازے
- BEST
- بیٹنگ
- بٹ کوائن
- بکٹوئین والٹ
- خلاف ورزی
- عمارت
- خرید
- فون
- وجہ
- سی ای او
- تصدیق
- چیک
- چپ
- چپس
- CipherTrace
- شریک بانی
- کوڈ
- تبصروں
- کمپنیاں
- کمپنی کے
- صارفین
- مندرجات
- جاری
- بات چیت
- مکالمات
- کرپٹو
- کرنسی
- گاہکوں
- اعداد و شمار
- مرکزیت
- تباہ
- کھوج
- ترقی
- کے الات
- DID
- ڈیجیٹل
- ڈیجیٹل کرنسی
- ڈیجیٹل پرس
- ڈالر
- گرا دیا
- خاتمہ کریں۔
- ای میل
- خفیہ کاری
- واقعات
- دھماکہ
- چہرہ
- فیس بک
- خاندان
- خصوصیات
- وفاقی
- وفاقی حکومت
- اعداد و شمار
- پہلا
- فلیش
- غلطی
- فرانسسکو
- مکمل
- پیسے سے چلنے
- فنڈز
- مستقبل
- حکومت
- عظیم
- ہیک
- ہارڈ ویئر
- ہارڈ ویئر والٹ
- ہارڈ ویئر والیٹ
- یہاں
- ہائی
- پکڑو
- ہوم لینڈ سیکورٹی
- HTTPS
- سینکڑوں
- غیر قانونی
- سمیت
- صنعت
- معلومات
- تحقیقات
- مسائل
- IT
- ایوب
- کلیدی
- چابیاں
- لیبز
- معروف
- لیجر
- سطح
- لمیٹڈ
- دیکھا
- انتظام
- دس لاکھ
- موبائل
- ماڈل
- پیر
- قیمت
- ماہ
- نینو
- پیش کرتے ہیں
- دیگر
- کاغذ.
- پاس ورڈ
- پاس ورڈز
- ادا
- فشنگ
- روک تھام
- قیمت
- نجی
- نجی چابیاں
- حاصل
- پیشہ ور ماہرین
- پروگرام
- حفاظت
- تحفظ
- حفاظتی
- بے ترتیب
- ransomware کے
- رینسم ویئر حملے
- پڑھنا
- بازیافت
- وصولی
- ضروریات
- تحقیق
- وسائل
- سان
- سان فرانسسکو
- سیکورٹی
- سیریز
- چھ
- چھوٹے
- ہوشیار
- So
- سافٹ ویئر کی
- فروخت
- خرچ
- معیار
- امریکہ
- حکمت عملی
- کامیابی
- کامیاب
- سوئچ کریں
- بات کر
- ٹیکنالوجی
- خطرات
- وقت
- ٹیزر
- ٹویٹر
- متحدہ
- ریاست ہائے متحدہ امریکہ
- اپ ڈیٹ کریں
- us
- صارفین
- دکانداروں
- قابل اطلاق
- بٹوے
- بٹوے
- ہفتے
- کے اندر
- کام
- قابل
- سال
- سال
- صفر
