Sin resultados
Ver todos los resultados
martes, enero 26, 2021
CriptoNoticias Logo
  • Criptopedia
  • Tutoriales y guías
  • Glosario
    • Acrónimos y frases
  • Podcasts
  • Calendario
  • Precios BTC y ETH
Sin resultados
Ver todos los resultados
CriptoNoticias Logo
CriptoNoticias Logo
Bandera de ARS
BTC 4.687.208,72 ARS -1,35% ETH 215.610,46 ARS 3,46%
Bandera de BOB
BTC 219.406,32 BOB -0,77% ETH 9.072,90 BOB -0,74%
Bandera de BRL
BTC 179.272,57 BRL 0,99% ETH 7.449,08 BRL 1,14%
Bandera de CLP
BTC 23.632.034,83 CLP 0,11% ETH 981.565,48 CLP 0,65%
Bandera de COP
BTC 106.689.513,41 COP -4,77% ETH 4.644.280,04 COP 0,80%
Bandera de CRC
BTC 19.998.440,39 CRC 1,50% ETH 817.735,15 CRC -0,53%
Bandera de EUR
BTC 26.283,77 EUR 0,05% ETH 1.087,62 EUR -0,18%
Bandera de USD
BTC 31.866,39 USD 0,45% ETH 1.321,27 USD 0,75%
Bandera de MXN
BTC 643.829,88 MXN 0,29% ETH 26.585,64 MXN 0,24%
Bandera de PAB
BTC 32.585,78 PAB -0,77% ETH 1.333,09 PAB -3,43%
Bandera de PYG
BTC 221.165.029,48 PYG 0,02% ETH 9.381.456,52 PYG -4,43%
Bandera de PEN
BTC 118.765,14 PEN 0,62% ETH 4.876,61 PEN -1,61%
Bandera de DOP
BTC 1.862.193,47 DOP 0,00% ETH 76.752,78 DOP -1,14%
Bandera de UYU
BTC 1.370.652,96 UYU -0,07% ETH 57.316,01 UYU -5,21%
Bandera de VES
BTC 55.584.479.663,97 VES 1,04% ETH 2.276.499.404,23 VES -0,45%
Bandera de ARS
BTC 4.687.208,72 ARS -1,35% ETH 215.610,46 ARS 3,46%
Bandera de BOB
BTC 219.406,32 BOB -0,77% ETH 9.072,90 BOB -0,74%
Bandera de BRL
BTC 179.272,57 BRL 0,99% ETH 7.449,08 BRL 1,14%
Bandera de CLP
BTC 23.632.034,83 CLP 0,11% ETH 981.565,48 CLP 0,65%
Bandera de COP
BTC 106.689.513,41 COP -4,77% ETH 4.644.280,04 COP 0,80%
Bandera de CRC
BTC 19.998.440,39 CRC 1,50% ETH 817.735,15 CRC -0,53%
Bandera de EUR
BTC 26.283,77 EUR 0,05% ETH 1.087,62 EUR -0,18%
Bandera de USD
BTC 31.866,39 USD 0,45% ETH 1.321,27 USD 0,75%
Bandera de MXN
BTC 643.829,88 MXN 0,29% ETH 26.585,64 MXN 0,24%
Bandera de PAB
BTC 32.585,78 PAB -0,77% ETH 1.333,09 PAB -3,43%
Bandera de PYG
BTC 221.165.029,48 PYG 0,02% ETH 9.381.456,52 PYG -4,43%
Bandera de PEN
BTC 118.765,14 PEN 0,62% ETH 4.876,61 PEN -1,61%
Bandera de DOP
BTC 1.862.193,47 DOP 0,00% ETH 76.752,78 DOP -1,14%
Bandera de UYU
BTC 1.370.652,96 UYU -0,07% ETH 57.316,01 UYU -5,21%
Bandera de VES
BTC 55.584.479.663,97 VES 1,04% ETH 2.276.499.404,23 VES -0,45%
Home Seguridad

Programador de 15 años detecta vulnerabilidad en carteras Ledger Nano S

por Javier Bastardo
26 marzo, 2018
en Seguridad
5 min de lectura
programador-rashid-carteras-frias
FacebookTwitterLinkedinEmail

Un programador de 15 años llamado Saleem Rashid dio a conocer una falla de seguridad en las carteras frías de Ledger Nano S y la compañía lanzó una actualización para corregirla.

La vulnerabilidad que detectó Rashid permitía que un atacante pudiese robar las claves privadas de los dispositivos incluso antes de que un usuario recibiera su cartera fría, en algún punto de la cadena de suministro, y también de forma remota.

Según explicó Saleem Rashid en su publicación, se trataría de una vulnerabilidad arquitectónica relacionada con las  limitaciones del Elemento Seguro (SE) y que involucraría al microcontrolador (MCU) y el firmware, siendo el MCU un chip no seguro y el firmware del MCU fácil de reemplazar por los atacantes.

Rashid explicó que el SE se comunica con el MCU y verifica si el firmware que ejecuta es genuino de Ledger; con la vulnerabilidad un atacante podría hacer que la SE considere genuino a un software malicioso y así accedería a la interfaz de usuario y botones de hardware, y consecuentemente, podría acceder e incluso cambiar la semilla de recuperación.

Rashid señaló que la vulnerabilidad podía ser explotada por tres métodos: un acceso físico antes de la configuración de la semilla de recuperación, lo que llamó ataque a la cadena de suministro; un acceso físico después de su instalación y en tercer lugar, a través de un ataque de malware.

Rashid se enfocó en los ataques a la cadena de suministro, en donde existe acceso físico al hardware antes de que el usuario final configure la semilla de su cartera. Por ejemplo, un distribuidor de carteras frías podría copiar la semilla de recuperación de las carteras antes de venderlas al público, y después acceder a los fondos de quienes las compraron, ya que al tener la semilla de recuperación, podría controlar las claves privadas del dispositivo. 

En el caso de un acceso físico después de su instalación, Rashid explicó que se podría generar un tipo de ataque llamado «Doncella Malvada», en el que un atacante podría instalar un software, específicamente un firmware de MCU personalizado que pueda filtrar las claves privadas sin que el usuario lo sepa.

“No requiere malware en la computadora de destino, ni requiere que el usuario confirme ninguna transacción. A pesar de los reclamos de lo contrario, he demostrado este ataque en un Ledger Nano S. Además, envié el código fuente a Ledger hace unos meses, para que pudieran reproducirlo”, aseveró el programador.

Con respecto a la tercera forma de explotar la vulnerabilidad, Rashid indicó que solo sería necesario conectar el dispositivo a una computadora infectada y actualizar el firmware de MCU. «El malware puede actualizar la MCU con código malicioso, lo que permite que el malware tome el control de la pantalla confiable y los botones de confirmación en el dispositivo», señaló.

Rashid explicó que no había recibido ninguna recompensa por parte de la empresa por haber detectado la vulnerabilidad, lo que le hubiese imposibilitado la publicación de su informe.

Opté por publicar este informe en lugar de recibir una recompensa de Ledger, principalmente porque Eric Larchevêque, CEO de Ledger, hizo algunos comentarios sobre Reddit que estaban llenos de imprecisión técnica. Como resultado de esto, me preocupó que esta vulnerabilidad no se explicaría adecuadamente a los clientes.

Saleem Rashid
Programador

La respuesta de Ledger

La empresa publicó un reporte sobre la revisión de las fallas, asegurando que la falla encontrada por Rashid, es real y que la verificación del Elemento Seguro al microcontrolador “no era lo suficientemente robusta”. Según Ledger, con la actualización 1.4.1 del firmware esta falla se soluciona completamente, toda vez que la empresa tomó varias medidas, que mostramos a continuación:

Nuestra actualización es bastante simple, pero completamente eficiente:
– El código MCU se ha refactorizado para evitar la simple duplicación de códigos
– La verificación de la firma ahora se aplica utilizando dos mecanismos diferentes;
– Dirección de aleatorización de búsqueda
– Limitaciones de tiempo que evitan que la MCU «descomprima» datos para enviar al SE
– Varios códigos CRC y comprobaciones se agregan llenando la memoria de la MCU y evitando la modificación de la memoria sin detección.

 

Saleem Rashid
Programador

 La empresa agradeció al programador por el examen y el reporte de la falla, así como “su ayuda y su profesionalismo a través del proceso de divulgación”, de acuerdo con la publicación de su blog. Además, instaron a los usuarios de este dispositivo a actualizar el firmware a su versión 1.4.

También te podría interesar
Banco inglaterra criptomonedas Andrew Bailey
Bitcoin y otras criptomonedas no serán duraderas, según gobernador del Banco de Inglaterra
25 enero, 2021
retorno fondos robados hackeo 2gether
Exchange 2gether no repondrá todos los bitcoins robados, usuarios critican la medida
25 enero, 2021

We have published a full detailed analysis of the security issues patched in firmware 1.4.1. We thank the three security researchers Timothée Isnard, Saleem Rashid and Sergei Volokitin for their hard work https://t.co/E28JwlosGD

— Ledger (@LedgerHQ) 20 de marzo de 2018

No es primera vez que el hardware de Ledger recibe críticas acerca de sus características y vulnerabilidades. Ya en 2016 un usuario de Bitcointalk.org inquirió sobre la posibilidad de que alguien conociera las claves de recuperación precargadas en las carteras y cómo era posible garantizar que en el proceso de producción alguien no hubiese tenido acceso a esta data.

Más recientemente, a principios de febrero, el CTO de Ledger, Nicolas Bacca, se negó a adoptar públicamente unas correcciones sugeridas sobre la posibilidad de que un malware modificara la dirección de destino de los fondos, aunque posteriormente actualizaron y corrigieron dicha vulnerabilidad.

Más temprano, en octubre del año pasado el director de energía de ConsenSys, Karl Kreder, explicó que las carteras de Trezor y Ledger, poseen ciertos rasgos de vulnerabilidad que violan la promesa de seguridad que tienen los dispositivos frente a ataques, por lo que no es primera vez que las carteras frías de Ledger son puestas bajo la lupa.

Etiquetas: CarterasCriptomonedasForo BitcointalkLedger Wallet

Relacionados Artículos

retorno fondos robados hackeo 2gether
Seguridad

Exchange 2gether no repondrá todos los bitcoins robados, usuarios critican la medida

por Rafael Gómez Torres
25 enero, 2021

La plataforma de intercambio dijo que no cuenta con los fondos suficientes para cumplir con el 100% de sus usuarios.

Hacker sostiene moneda de Bitcoin con billetes de dólar cayendo en el fondo. Composición por CriptoNoticias. AaronJOlson / pixabay.com; Patrick Pascal Schauß /  Pixabay.com.

Delitos con bitcoin y criptomonedas totalizaron USD 10 mil millones en 2020

21 enero, 2021
hardware seguridad ataque usuario

Especialistas descubren vector de ataque al guardián de disco duro de Windows Bitlocker

20 enero, 2021
mercado deep web cierre

Mercado de la darknet anuncia cierre después de ganar USD 1.000 millones en bitcoin

18 enero, 2021
BTC darknet medicina venta

Hasta por 1.000 dólares en bitcoin venden falsas vacunas de coronavirus en la dark web

18 enero, 2021

Nosotros

  • Contacto
  • Acerca de
  • Nuestro equipo
  • Mapa del sitio
  • Política de Privacidad
  • Política publicitaria
  • Trabaja con nosotros

Asesor SEO

© 2020 Hecho con ♥ por Latinos.

Sin resultados
Ver todos los resultados
  • Inicio
  • Precios BTC y ETH
  • Criptomonedas
    • Bitcoin (BTC)
    • Ethereum (ETH)
    • Monero (XMR)
  • Países
    • Argentina
    • Colombia
    • España
    • México
    • Venezuela
  • Tutoriales y guías
  • Mercados
  • Minería
  • Regulación
  • Tecnología
  • Seguridad
  • Podcasts
  • Otras categorías
    • Comunidad
      • Adopción
      • Análisis e Investigación
      • Educación
      • Entretenimiento
      • Eventos
      • Ficción
    • Negocios
      • Judicial
      • Finanzas
    • Opinión
      • Editorial
      • Entrevistas
  • Criptopedia
    • Diccionario de acrónimos y frases sobre Bitcoin
    • Glosario de Bitcoin y blockchains
  • Calendario de eventos
  • Contacto

© 2020 Hecho con ♥ por Latinos.