Sin resultados
Ver todos los resultados
sábado, marzo 6, 2021
CriptoNoticias Logo
  • Criptopedia
  • Tutoriales y guías
  • Glosario
    • Acrónimos y frases
  • Reviews
  • Calendario
  • Precios BTC y ETH
Sin resultados
Ver todos los resultados
CriptoNoticias Logo
CriptoNoticias Logo
Bandera de ARS
BTC 7.683.903,02 ARS 0,99% ETH 239.711,70 ARS -0,51%
Bandera de BOB
BTC 385.564,47 BOB 0,00% ETH 12.218,54 BOB 0,70%
Aliado Binance
Bandera de BRL
BTC 277.546,80 BRL 0,02% ETH 8.702,90 BRL -0,02%
Bandera de CLP
BTC 35.933.146,91 CLP -0,31% ETH 1.138.594,48 CLP 0,04%
Aliado Binance
Bandera de COP
BTC 166.251.289,69 COP -1,51% ETH 5.188.731,78 COP -2,08%
Bandera de CRC
BTC 33.626.806,98 CRC 1,02% ETH 1.085.267,78 CRC 9,93%
Aliado Binance
Bandera de EUR
BTC 40.291,16 EUR 0,08% ETH 1.254,34 EUR 0,12%
Bandera de USD
BTC 48.081,39 USD -0,07% ETH 1.505,12 USD 0,10%
Aliado Binance
Bandera de MXN
BTC 1.038.204,11 MXN -0,49% ETH 33.039,40 MXN 0,89%
Bandera de PAB
BTC 49.196,69 PAB 0,00% ETH 1.572,52 PAB 0,70%
Aliado Binance
Bandera de PYG
BTC 337.883.497,77 PYG 0,00% ETH 10.707.528,04 PYG 0,70%
Bandera de PEN
BTC 182.832,34 PEN -2,90% ETH 5.625,06 PEN -2,79%
Aliado Binance
Bandera de DOP
BTC 2.726.801,78 DOP 0,18% ETH 86.326,90 DOP -2,93%
Bandera de UYU
BTC 2.484.195,27 UYU 0,00% ETH 78.724,15 UYU 0,70%
Aliado Binance
Bandera de VES
BTC 85.149.168.359,78 VES -7,78% ETH 2.617.594.000,00 VES -1,55%
Aliado Binance
Bandera de ARS
BTC 7.683.903,02 ARS 0,99% ETH 239.711,70 ARS -0,51%
Bandera de BOB
BTC 385.564,47 BOB 0,00% ETH 12.218,54 BOB 0,70%
Aliado Binance
Bandera de BRL
BTC 277.546,80 BRL 0,02% ETH 8.702,90 BRL -0,02%
Bandera de CLP
BTC 35.933.146,91 CLP -0,31% ETH 1.138.594,48 CLP 0,04%
Aliado Binance
Bandera de COP
BTC 166.251.289,69 COP -1,51% ETH 5.188.731,78 COP -2,08%
Bandera de CRC
BTC 33.626.806,98 CRC 1,02% ETH 1.085.267,78 CRC 9,93%
Aliado Binance
Bandera de EUR
BTC 40.291,16 EUR 0,08% ETH 1.254,34 EUR 0,12%
Bandera de USD
BTC 48.081,39 USD -0,07% ETH 1.505,12 USD 0,10%
Aliado Binance
Bandera de MXN
BTC 1.038.204,11 MXN -0,49% ETH 33.039,40 MXN 0,89%
Bandera de PAB
BTC 49.196,69 PAB 0,00% ETH 1.572,52 PAB 0,70%
Aliado Binance
Bandera de PYG
BTC 337.883.497,77 PYG 0,00% ETH 10.707.528,04 PYG 0,70%
Bandera de PEN
BTC 182.832,34 PEN -2,90% ETH 5.625,06 PEN -2,79%
Aliado Binance
Bandera de DOP
BTC 2.726.801,78 DOP 0,18% ETH 86.326,90 DOP -2,93%
Bandera de UYU
BTC 2.484.195,27 UYU 0,00% ETH 78.724,15 UYU 0,70%
Aliado Binance
Bandera de VES
BTC 85.149.168.359,78 VES -7,78% ETH 2.617.594.000,00 VES -1,55%
Aliado Binance
Home

Comprueban vulnerabilidad que facilita acceso a claves privadas de carteras frías Trezor

por Glenda González
31 enero, 2020
en Seguridad
4 min de lectura
trezor vulnerabilidad llaves privadas

Imagen destacada: collage de CriptoNoticias con imágenes por blog.trezor.com y Thaut Images / stock.adobe.com

FacebookTwitterLinkedinEmail
Hechos clave:
  • Identificaron la misma falla encontrada en diciembre pasado en las carteras frías de KeepKey.
  • Un ataque de voltaje permitió a los investigadores extraer la semilla encriptada en 15 minutos.

Como parte de su trabajo de investigación, el equipo de Kraken Security Labs detectó que las carteras frías de Trezor (Trezor One y Trezor Model T) presentan la misma vulnerabilidad que se identificó recientemente en las carteras KeepKey, la cual permite a un atacante encontrar la forma de extraer semillas (claves privadas), con solo tener acceso físico a la billetera durante aproximadamente 15 minutos.

Los analistas lograron realizar en ese tiempo un ataque de falla de voltaje o voltage glitching mediante el cual lograron extraer la semilla encriptada. Este tipo de ataque implica la manipulación de variables de hardware para generar problemas temporales en dispositivos seguros, que manipulan o retienen datos confidenciales.

También te podría interesar
criptomoneda desarrollador pagado BTC
Human Rights Foundation concedió otros USD 70.000 a 4 proyectos sobre Bitcoin
4 marzo, 2021
anonimato red compartido blockchain
Ya puedes conocer cómo Nym hará más privadas las apps de Bitcoin
1 marzo, 2021

En ese sentido, el informe de Kraken Security Lab, publicado este 31 de enero, explica en detalle los pasos seguidos:

Este ataque se basa en fallas de voltaje para extraer una semilla encriptada. Esta investigación inicial requirió algunos conocimientos y varios cientos de dólares en equipos, pero estimamos que nosotros (o los delincuentes) podríamos producir en masa un dispositivo de falla amigable para el consumidor, que podría venderse por alrededor de USD 75. Luego desciframos la semilla encriptada, que está protegida por un PIN de 1-9 dígitos, pero es trivial a la fuerza bruta.

Informe de Kraken Security Lab.

Agregan que con este procedimiento se aprovechan las fallas inherentes dentro del microcontrolador utilizado en los monederos. «Desafortunadamente, esto significa que es difícil para el equipo de Trezor hacer algo sobre esta vulnerabilidad sin un rediseño de hardware», explican los investigadores. Una conclusión a la que también llegaron cuando evaluaron las carteras frías de KeepKey en diciembre pasado.

Para ese momento determinaron que la vulnerabilidad parte del firmware del fabricante, que es el programa informático que establece la lógica que controla los circuitos electrónicos. El ataque de falla de voltaje apunta a la memoria de los microcontroladores que se ejecuta en el arranque del dispositivo, momento en el cual se carga la configuración de seguridad del chip.

En cuanto a las carteras Trezor indican que la extracción de semillas no es un territorio nuevo. «Trezor ha implementado medidas contra una variedad de ataques de hardware anteriores, incluyendo mitigaciones con éxito contra los ataques glitching». No obstante, los analistas aseguran que la prueba que acaban de ejecutar pudo contrarrestar estas mitigaciones.

Nuestro ataque comienza al volver a habilitar el gestor de arranque integrado del procesador, mediante un ataque de inyección de falla. Este gestor tiene la funcionalidad de leer el contenido flash del dispositivo, pero verifica el nivel de protección del chip mientras ejecuta el comando. Al utilizar un segundo ataque de inyección de falla, es posible eludir esta verificación, y luego todo el contenido flash del dispositivo se puede extraer 256 bytes a la vez. Además, debido a que el firmware de Trezor utiliza un almacenamiento encriptado, desarrollamos un script para descifrar el PIN del dispositivo volcado, lo que lleva a un compromiso total de la seguridad de las billeteras de Trezor. El script fue capaz de forzar cualquier pin de 4 dígitos en menos de 2 minutos.

Informe de Kraken Security Lab.

Trezor responde

Ante la publicación de Kraken Security Labs el equipo de Trezor (SatoshiLabs) reconoce la vulnerabilidad e incluso recomienda a los usuarios la lectura del material para conocer en detalle cómo funcionan los ataques. Añade incluso una explicación sobre lo que se conoce como ataque de degradación (downgrade attack) a los que también son vulnerables las carteras Trezor. Estos apuntan a la vulnerabilidad del hardware de los microchips STM32 utilizados en los modelos Trezor One y Trezor Model T.

Dada esta situación, su respuesta pone énfasis en que estos ataques requieren que se tenga acceso físico al dispositivo para poder manipularlo, por lo que resaltan el papel del usuario en la protección de su cartera.

Añaden que aunque solo una pequeña parte de los usuarios de criptomonedas está preocupada por los ataques físicos (alrededor de un 6%), «tratamos las vulnerabilidades físicas con la misma urgencia que cualquier vulnerabilidad remota». Recomiendan, por tanto, la implementación de la función «passphrase», una frase de contraseña adicional que no se almacena en ningún lugar del hardware.

Los usuarios cuestionan respuesta

Sobre este argumento un seguidor de Twitter, identificado como @mvidallopez, desarrolló un hilo mediante el cual cuestionó la postura de Trezor. «Veo mucha complacencia con la respuesta dada por Trezor sobre la vulnerabilidad que ha revelado Kraken», expresa, agregando que se debería ser más exigente.  

0/ Veo mucha complacencia con la respuesta dada por Trezor sobre la vulnerabilidad que ha revelado Kraken. Creo que conviene ser más exigente. Van a continuación algunas reflexiones, sin FUD pero intentando ser ecuánime. https://t.co/oTInYCS8T4

— Miguel Vidal ☣️ (@mvidallopez) January 31, 2020

Concluye así que en 2020 no es aceptable vender carteras frías con un hardware que, por diseño y desde hace tiempo, ya se sabe que es vulnerable. Tampoco está de acuerdo con «trasladar la mitigación del problema al cliente». Recuerda, al respecto, que el uso de la frase adicional requiere una configuración adicional «passphrase», con la cual los novatos corren el riesgo de perder sus fondos.

Etiquetas: CarterasCiberataqueHardwareKeepKeyTrezorVulnerabilidades

Relacionados Artículos

dólares BTC criptomoneda DEA
Seguridad

Cajeros de bitcoin son cada vez más usados para lavado de dinero, según la DEA

por Glenda González
5 marzo, 2021

En un informe publicado esta semana la DEA asegura que los cajeros de bitcoin fueron la alternativa preferida por carteles...

red internet dominio gobernanza

Gobierno de Alemania planea vincular identidades a comunicaciones en Internet

5 marzo, 2021
criptomoneda ilicita gobiernos usuarios

Ladrones y estafadores mueven sus bitcoins cada vez más rápido, según estudio

1 marzo, 2021
BTC MIT criptomoneda inversionistas

Jack Dorsey y Michael Saylor financian proyecto del MIT para reforzar a Bitcoin

27 febrero, 2021
evaluación plataformas DeFi auditoria seguridad

Este sitio te dice cuáles son las plataformas DeFi más seguras y cuáles no

24 febrero, 2021

Nosotros

  • Contacto
  • Acerca de
  • Nuestro equipo
  • Mapa del sitio
  • Política de Privacidad
  • Política publicitaria
  • Trabaja con nosotros
  • Anuncios
  • Advertisement

Asesor SEO

© 2020 Hecho con ♥ por Latinos.

Sin resultados
Ver todos los resultados
  • Inicio
  • Precios BTC y ETH
  • Criptomonedas
    • Bitcoin (BTC)
    • Ethereum (ETH)
    • Monero (XMR)
  • Países
    • Argentina
    • Colombia
    • España
    • México
    • Venezuela
  • Tutoriales y guías
  • Reviews
  • Mercados
  • Minería
  • Regulación
  • Tecnología
  • Seguridad
  • Podcasts
  • Otras categorías
    • Comunidad
      • Adopción
      • Análisis e Investigación
      • Educación
      • Entretenimiento
      • Eventos
      • Ficción
    • Negocios
      • Judicial
      • Finanzas
    • Opinión
      • Editorial
      • Entrevistas
  • Criptopedia
    • Diccionario de acrónimos y frases sobre Bitcoin
    • Glosario de Bitcoin y blockchains
  • Calendario de eventos
  • Contacto

© 2020 Hecho con ♥ por Latinos.