Sin resultados
Ver todos los resultados
miércoles, mayo 18, 2022
bloque ₿: 736.956
CriptoNoticias Logo
  • Criptopedia
  • Tutoriales y guías
  • Glosario
    • Acrónimos y frases
  • Reviews
  • Calendario
  • Precios BTC y ETH
Sin resultados
Ver todos los resultados
CriptoNoticias Logo
CriptoNoticias Logo
miércoles, mayo 18, 2022 | bloque ₿: 736.956
Bandera de ARS
BTC 6.032.486,83 ARS -4,09% ETH 400.058,55 ARS -4,15%
Bandera de BOB
BTC 216.138,90 BOB -3,47% ETH 14.419,67 BOB -5,86%
Aliado Quantfury
Bandera de BRL
BTC 147.640,10 BRL -2,27% ETH 10.011,83 BRL -3,00%
Bandera de CLP
BTC 25.315.406,94 CLP -1,72% ETH 1.697.511,73 CLP -2,61%
Aliado Quantfury
Bandera de COP
BTC 118.808.585,06 COP -1,71% ETH 7.825.235,06 COP -3,09%
Bandera de CRC
BTC 20.894.331,23 CRC 6,50% ETH 1.403.739,98 CRC 4,09%
Aliado Quantfury
Bandera de EUR
BTC 28.182,86 EUR -2,29% ETH 1.914,51 EUR -2,82%
Bandera de USD
BTC 29.576,64 USD -1,87% ETH 2.010,39 USD -2,66%
Aliado Quantfury
Bandera de MXN
BTC 587.390,50 MXN -1,70% ETH 39.662,56 MXN -3,06%
Bandera de PAB
BTC 30.397,18 PAB -4,68% ETH 2.031,16 PAB -5,63%
Aliado Quantfury
Bandera de PYG
BTC 239.089.737,55 PYG -5,62% ETH 16.145.729,98 PYG -6,83%
Bandera de PEN
BTC 114.269,74 PEN -2,33% ETH 7.570,41 PEN -5,01%
Aliado Quantfury
Bandera de DOP
BTC 1.628.942,86 DOP -7,11% ETH 114.343,28 DOP -5,04%
Bandera de UYU
BTC 1.037.116,45 UYU -30,10% ETH 70.036,47 UYU -31,00%
Aliado Quantfury
Bandera de VED
BTC 147.162,14 VED -1,58% ETH 16.323,86 VED -1,29%
Aliado Quantfury
Bandera de ARS
BTC 6.032.486,83 ARS -4,09% ETH 400.058,55 ARS -4,15%
Bandera de BOB
BTC 216.138,90 BOB -3,47% ETH 14.419,67 BOB -5,86%
Aliado Quantfury
Bandera de BRL
BTC 147.640,10 BRL -2,27% ETH 10.011,83 BRL -3,00%
Bandera de CLP
BTC 25.315.406,94 CLP -1,72% ETH 1.697.511,73 CLP -2,61%
Aliado Quantfury
Bandera de COP
BTC 118.808.585,06 COP -1,71% ETH 7.825.235,06 COP -3,09%
Bandera de CRC
BTC 20.894.331,23 CRC 6,50% ETH 1.403.739,98 CRC 4,09%
Aliado Quantfury
Bandera de EUR
BTC 28.182,86 EUR -2,29% ETH 1.914,51 EUR -2,82%
Bandera de USD
BTC 29.576,64 USD -1,87% ETH 2.010,39 USD -2,66%
Aliado Quantfury
Bandera de MXN
BTC 587.390,50 MXN -1,70% ETH 39.662,56 MXN -3,06%
Bandera de PAB
BTC 30.397,18 PAB -4,68% ETH 2.031,16 PAB -5,63%
Aliado Quantfury
Bandera de PYG
BTC 239.089.737,55 PYG -5,62% ETH 16.145.729,98 PYG -6,83%
Bandera de PEN
BTC 114.269,74 PEN -2,33% ETH 7.570,41 PEN -5,01%
Aliado Quantfury
Bandera de DOP
BTC 1.628.942,86 DOP -7,11% ETH 114.343,28 DOP -5,04%
Bandera de UYU
BTC 1.037.116,45 UYU -30,10% ETH 70.036,47 UYU -31,00%
Aliado Quantfury
Bandera de VED
BTC 147.162,14 VED -1,58% ETH 16.323,86 VED -1,29%
Aliado Quantfury
Publicidad
Home Seguridad

Programador de 15 años detecta vulnerabilidad en carteras Ledger Nano S

por Javier Bastardo
26 marzo, 2018
en Seguridad
5 min de lectura
programador-rashid-carteras-frias
Publicidad
Exchange
La plataforma de cambio fácil y accesible

FixedFloat te permite intercambiar tus criptomonedas de forma rápida y segura. Tú eliges si las tasas de cambio fijas o variables se ajustan a tu estrategia y luego nuestros bots hacen el trabajo duro de elegir la mejor oferta para ti.

¡Conoce más!

Juega
- Juega Fútbol Fantasy y colecciona NFT!

¿Eres fanático del futbol? En Sorare puedes coleccionar e intercambiar NFT de tus jugadores favoritos y armar un equipo que compite con otros del mundo, basado en el rendimiento real de los jugadores.

¡Conoce más!

Trading
Binance - El ecosistema cripto.

Únete al principal exchange de criptomonedas del mundo, Binance. Haz trading en cualquier dispositivos desde cualquier parte del mundo. Comienza a hacer trading con seguridad y a tu conveniencia.

¡Regístrate ya!

Apuestas
- El mejor casino bitcoin!

La mejor experiencia online con pagos y retiros ultrarrápidos. Bonos y promociones increíbles y frecuentes para jugadores. Amplia selección de juegos de alta calidad y personal de soporte útil y receptivo.

¡Apuesta ahora!
FacebookTwitterLinkedinEmail

Un programador de 15 años llamado Saleem Rashid dio a conocer una falla de seguridad en las carteras frías de Ledger Nano S y la compañía lanzó una actualización para corregirla.

La vulnerabilidad que detectó Rashid permitía que un atacante pudiese robar las claves privadas de los dispositivos incluso antes de que un usuario recibiera su cartera fría, en algún punto de la cadena de suministro, y también de forma remota.

Según explicó Saleem Rashid en su publicación, se trataría de una vulnerabilidad arquitectónica relacionada con las  limitaciones del Elemento Seguro (SE) y que involucraría al microcontrolador (MCU) y el firmware, siendo el MCU un chip no seguro y el firmware del MCU fácil de reemplazar por los atacantes.

Rashid explicó que el SE se comunica con el MCU y verifica si el firmware que ejecuta es genuino de Ledger; con la vulnerabilidad un atacante podría hacer que la SE considere genuino a un software malicioso y así accedería a la interfaz de usuario y botones de hardware, y consecuentemente, podría acceder e incluso cambiar la semilla de recuperación.

Rashid señaló que la vulnerabilidad podía ser explotada por tres métodos: un acceso físico antes de la configuración de la semilla de recuperación, lo que llamó ataque a la cadena de suministro; un acceso físico después de su instalación y en tercer lugar, a través de un ataque de malware.

Rashid se enfocó en los ataques a la cadena de suministro, en donde existe acceso físico al hardware antes de que el usuario final configure la semilla de su cartera. Por ejemplo, un distribuidor de carteras frías podría copiar la semilla de recuperación de las carteras antes de venderlas al público, y después acceder a los fondos de quienes las compraron, ya que al tener la semilla de recuperación, podría controlar las claves privadas del dispositivo. 

Publicidad

En el caso de un acceso físico después de su instalación, Rashid explicó que se podría generar un tipo de ataque llamado «Doncella Malvada», en el que un atacante podría instalar un software, específicamente un firmware de MCU personalizado que pueda filtrar las claves privadas sin que el usuario lo sepa.

“No requiere malware en la computadora de destino, ni requiere que el usuario confirme ninguna transacción. A pesar de los reclamos de lo contrario, he demostrado este ataque en un Ledger Nano S. Además, envié el código fuente a Ledger hace unos meses, para que pudieran reproducirlo”, aseveró el programador.

Con respecto a la tercera forma de explotar la vulnerabilidad, Rashid indicó que solo sería necesario conectar el dispositivo a una computadora infectada y actualizar el firmware de MCU. «El malware puede actualizar la MCU con código malicioso, lo que permite que el malware tome el control de la pantalla confiable y los botones de confirmación en el dispositivo», señaló.

Publicidad

Rashid explicó que no había recibido ninguna recompensa por parte de la empresa por haber detectado la vulnerabilidad, lo que le hubiese imposibilitado la publicación de su informe.

Opté por publicar este informe en lugar de recibir una recompensa de Ledger, principalmente porque Eric Larchevêque, CEO de Ledger, hizo algunos comentarios sobre Reddit que estaban llenos de imprecisión técnica. Como resultado de esto, me preocupó que esta vulnerabilidad no se explicaría adecuadamente a los clientes.

Saleem Rashid
Programador

La respuesta de Ledger

La empresa publicó un reporte sobre la revisión de las fallas, asegurando que la falla encontrada por Rashid, es real y que la verificación del Elemento Seguro al microcontrolador “no era lo suficientemente robusta”. Según Ledger, con la actualización 1.4.1 del firmware esta falla se soluciona completamente, toda vez que la empresa tomó varias medidas, que mostramos a continuación:

Nuestra actualización es bastante simple, pero completamente eficiente:
– El código MCU se ha refactorizado para evitar la simple duplicación de códigos
– La verificación de la firma ahora se aplica utilizando dos mecanismos diferentes;
– Dirección de aleatorización de búsqueda
– Limitaciones de tiempo que evitan que la MCU «descomprima» datos para enviar al SE
– Varios códigos CRC y comprobaciones se agregan llenando la memoria de la MCU y evitando la modificación de la memoria sin detección.

 

Saleem Rashid
Programador

 La empresa agradeció al programador por el examen y el reporte de la falla, así como “su ayuda y su profesionalismo a través del proceso de divulgación”, de acuerdo con la publicación de su blog. Además, instaron a los usuarios de este dispositivo a actualizar el firmware a su versión 1.4.

También te podría interesar
Preparan demanda contra el fundador de Terra USD
Usuarios de Terra USD y LUNA preparan demanda contra el fundador de las criptomonedas
18 mayo, 2022
Pancarta promocional de PrimeBit.
PrimeBit.com lanza la plataforma más amigable para los traders con una interfaz elegante
18 mayo, 2022

We have published a full detailed analysis of the security issues patched in firmware 1.4.1. We thank the three security researchers Timothée Isnard, Saleem Rashid and Sergei Volokitin for their hard work https://t.co/E28JwlosGD

Publicidad

— Ledger (@LedgerHQ) 20 de marzo de 2018

Publicidad

No es primera vez que el hardware de Ledger recibe críticas acerca de sus características y vulnerabilidades. Ya en 2016 un usuario de Bitcointalk.org inquirió sobre la posibilidad de que alguien conociera las claves de recuperación precargadas en las carteras y cómo era posible garantizar que en el proceso de producción alguien no hubiese tenido acceso a esta data.

Más recientemente, a principios de febrero, el CTO de Ledger, Nicolas Bacca, se negó a adoptar públicamente unas correcciones sugeridas sobre la posibilidad de que un malware modificara la dirección de destino de los fondos, aunque posteriormente actualizaron y corrigieron dicha vulnerabilidad.

Más temprano, en octubre del año pasado el director de energía de ConsenSys, Karl Kreder, explicó que las carteras de Trezor y Ledger, poseen ciertos rasgos de vulnerabilidad que violan la promesa de seguridad que tienen los dispositivos frente a ataques, por lo que no es primera vez que las carteras frías de Ledger son puestas bajo la lupa.

Etiquetas: CarterasCriptomonedasForo BitcointalkLedger Wallet
Publicidad
Artículo previo

Autoridad financiera británica insiste en buscar un nivel de regulación adecuado para las criptomonedas

Siguiente artículo

Mercado de criptoactivos comienza la semana con fuerte descenso

Relacionados Artículos

CoinGecko, Etherscan y otros sitios relacionados con criptomonedas fueron vulnerados casi al mismo tiempo. Composición por CriptoNoticias. Fuente: etherscan.io / coingecko.com/es / coinmarketcap.com / wikipedia.org / Artem / stock.adobe.com.
Seguridad

Ataques simultáneos vulneraron a CoinGecko, Etherscan, Quickswap y otros sitios

por Fernando Clementín
14 mayo, 2022

A través de diferentes metodologías, diversos sitios vinculados a las criptomonedas tuvieron problemas de seguridad en las últimas horas.

Binance presenta fallas.

Sistema P2P de Binance cae y el exchange alega una falla por «alta carga» de actividad

11 mayo, 2022
En caso de quiebra, los fondos depositados en Coinbase por sus clientes podrían ser usados para pagar deudas de la empresa. Composición por CriptoNoticias. Fuente: fergregory / stock.adobe.com / pngegg.com.

Coinbase alerta: en caso de quiebra, los fondos de sus usuarios corren peligro

11 mayo, 2022
Ransomeware Ruso ataca a Costa Rica.

Emergencia nacional en Costa Rica por ataque de ransomware

11 mayo, 2022
Hacker roba fondos de plataformas DeFi.

Dinero robado a DeFi en lo que va de 2022 supera a todo el año pasado

3 mayo, 2022
Siguiente artículo
Mercado-criptoactivos-fuerte-descenso

Mercado de criptoactivos comienza la semana con fuerte descenso

Comentarios 1

  1. Anónimo says:
    hace 4 años

    5

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Publicidad

Nosotros

  • Contacto
  • Acerca de
  • Nuestro equipo
  • Mapa del sitio
  • Política de Privacidad
  • Política publicitaria
  • Trabaja con nosotros
  • Anuncios
  • Advertisement

Asesor SEO

© 2022 Hecho con ♥ por Latinos.

Sin resultados
Ver todos los resultados
  • Inicio
  • Precios BTC y ETH
  • Criptomonedas
    • Bitcoin (BTC)
    • Ethereum (ETH)
    • Monero (XMR)
  • Países
    • Argentina
    • Colombia
    • España
    • México
    • Venezuela
  • Tutoriales y guías
  • Reviews
  • Mercados
  • Minería
  • Regulación
  • Tecnología
  • Seguridad
  • Podcasts
  • Otras categorías
    • Comunidad
      • Adopción
      • Análisis e Investigación
      • Educación
      • Entretenimiento
      • Eventos
      • Ficción
    • Negocios
      • Judicial
      • Finanzas
    • Opinión
      • Editorial
      • Entrevistas
  • Criptopedia
    • Diccionario de acrónimos y frases sobre Bitcoin
    • Glosario de Bitcoin y blockchains
  • Calendario de eventos
  • Voz Empresarial
    • IOV Labs
  • Contacto

© 2020 Hecho con ♥ por Latinos.

Posting....