Присоединяйтесь к нашему инвестиционному форуму, на котором уже 423,135 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение -  .
Вход через:  
При поддержке
Мониторинг обменников - найти лучший курс обмена
Важная информация
Разбираешься в криптовалюте? Прими участие в акции Крипторайтер 2.0 (2-10 поинтов за 1000 символов)
Уважаемый гость, определены победители очередного этапа конкурса "Путь к успеху" ($500)
Изменения в акции "Оплата за сообщения".
Как на одной публикации заработать $100
Открылся магазин MMGP
Ответить
 
Первый пост Опции темы
Сообщения прочитаны и/или просмотрены Сегодня, 11:42
Старый 21.08.2017, 09:42
#1
Лучший HYIP-портал
Премиум
 
Аватар upline
 
Пол: Мужской
Регистрация: 23.09.2009
Сообщений: 13,659
Благодарностей: 8,762
УГ: 14
КП: 0.255
подарки
награды Волшебный горшочек 
Trezor опровергает обвинения в аппаратной уязвимости своих кошельков



В июле этого года на всемирно известной конференции хакеров Def Con 25 была проведена презентация, демонстрирующая уязвимости аппаратного кошелька Trezor. На ней инженеры компании Cryptotronix, Джош Датко (Josh Datko) и Крис Картье (Chris Quartier) показали взлом аппаратного кошелька Trezor через уязвимость микроконтроллера.
На днях производитель Trezor выпустил новую прошивку, устраняющую уязвимость в системе безопасности. Оператор кошелька отмечает, что баг исправлен, и что те, кто утверждает, что аппаратный кошелек поддается взлому на аппаратном уровне, попросту хотят посеять панику среди пользователей.



На этой неделе владельцы аппаратных кошельков взбудоражились, когда компания Satoshi Labs опубликовала заявление, в котором говорилось о выпуске «прошивки для обновления системы безопасности». В блоге поясняется, что была обнаружена уязвимость, которая затронула все модели. Обновление не является обязательным, но компания рекомендует всем пользователям обновить свои устройства. Кроме того, в записи отмечается, что злоумышленники могли бы воспользоваться обнаруженной уязвимостью только в том случае, если бы они физически завладели аппаратным кошельком и имели бы время на то, чтобы его разобрать.
«Важно отметить, что речь не идет об удаленной атаке», - объясняет Satoshi Labs, производитель кошельков Trezor.
«Чтобы воспользоваться этой уязвимостью, злоумышленнику нужен физический доступ к разобранному устройству Trezor с электроникой, не защищенной корпусом. А получить такой доступ невозможно без ведома пользователя».
«Если кошелек всегда находится в поле вашего зрения, то ваши монеты в безопасности. Более того, если вы используете для доступа кодовую фразу, то ваши монеты в безопасности. Тем не менее, мы все равно настоятельно рекомендуем вам обновить свой Trezor», - отмечает Satoshi Labs.

Взлом за 15 секунд

После заявления Satoshi Labs на сайте Medium был опубликован отчет, в котором приводятся подробные сведения о том, как Trezor может быть скомпрометирован. Автор объясняет, что демонстрация на Def Con доказала возможность подобных атак, ввиду того, Trezor использует небезопасные чипы производства STMicroelectronics.
В сообщении говорится, что взломать кошелек невероятно просто - на это потребуется всего 15 секунд, и если ваше устройство находится у злоумышленников, располагающих этими пятнадцатью секундами, то кошелек будет наверняка опустошен.
«Trezor абсолютно ничего не может с этим поделать. Они не могут заменить все существующее оборудование. И действительно плохая новость заключается в том, что это также относится к Keepkey и к готовящемуся к выпуску Trezor v2 - они также используют аналогичный чип STMicroelectronics! Является ли чип ST32F05 уязвимым для мошенников? Безусловно! - вот ответ, который мы получили в рамках Def Con 25. Чип ST32F05 - обречен».
Затем в записи подробно излагается пошаговое руководство с фотографиями, демонстрирующее как взломать Trezor. Авторы записи подключают новое устройство и создают длинный девятизначный PIN-код, однако сразу уточняют, что «нет необходимости запоминать PIN-код». Затем злоумышленник выключает устройство и «просто присоединяется к двум контактам внутри Trezor в правильный момент времени». Есть и более простой путь - разобрать кошелек, однако «в этом нет никакой необходимости».
Когда описанный алгоритм действий завершен, производится сканирование при помощи прошивки, созданной авторами записи, ссылка на которую размещена там же. Результаты сканирования показывают секретную фразу кошелька, PIN-код и имя устройства.



Автор сообщения объясняет, что как только аппаратный кошелек подключается к источнику питания, без ввода PIN-кода прошивка устройства загружает свою SRAM (статическую память с произвольным доступом) с данными закрытых ключей устройства.
«Еще более неприятным является тот факт, что во время обновления прошивки загрузчик делает то же самое! Это противоречит всем передовым методам безопасности, о которых мы знаем», - утверждает взломщик.

Исправленная прошивка

Производитель Trezor объявил, что его последняя прошивка 1.5.2 устраняет эту уязвимость и считает, что опубликованная статья - это прежде всего распространение страха, неопределенности и сомнений (FUD). Сотрудник Trezor под ником «Xbach», который часто отвечает на вопросы пользователей Reddit, подтвердил, что заявление хакера сильно преувеличено, и уязвимость устранена с помощью программных средств.
«Эта возможность атаки была устранена в прошивке 1.5.2», - объясняет сотрудник Trezor. «Заявления, сделанные в статье, не на 100% корректны. Хотя то, что уязвимости подвержены устройства с версиями прошивки до 1.5.2 - правда. Более того, злоумышленникам понадобится более 15 секунд: они должны физически завладеть кошельком и иметь в своем распоряжении необходимую для взлома прошивку».
Xbach также отметил, что авторы статьи выбрали довольно «странный способ раскрытия уязвимости прошивки». Помимо этого, он заметил, что в статье пропущены некоторые этапы взлома, однако упомянута конференция Def Con, не имеющая никакого отношения к этой уязвимости.
«Если возможность взлома действительно существует, то авторы статьи могли бы обратиться к нам – мы всегда награждаем тех, кто помогает нам выявить уязвимости кошелька», - отмечает представитель Trezor.

Источник
upline на форуме  
Старый 23.08.2017, 08:57
#2
Интересующийся
 
Пол: Мужской
Инвестирую в: Интернет-биржи
Регистрация: 22.08.2017
Сообщений: 3
Поблагодарили: 1 раз
УГ: 0
КП: 0.000
Re: Trezor опровергает обвинения в аппаратной уязвимости своих кошельков

Хороший кошелек
Thai777 вне форума  
Старый 23.08.2017, 09:14
#3
Лучший HYIP-портал
Премиум
 
Аватар upline
 
Пол: Мужской
Регистрация: 23.09.2009
Сообщений: 13,659
Благодарностей: 8,762
УГ: 14
КП: 0.255
подарки
награды Волшебный горшочек 
Автор темы Re: Trezor опровергает обвинения в аппаратной уязвимости своих кошельков

Цитата:
Сообщение от Thai777 Посмотреть сообщение
Хороший кошелек
Как видно, не без изъянов.
upline на форуме  
Сказали спасибо 2 раз(а):
LiveCoin (24.08.2017), mdv (24.08.2017)
Ответить
Войдите, чтобы оставить комментарий.
Сообщения прочитаны и/или просмотрены Сегодня, 11:42
Опции темы

Быстрый переход
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Приватбанк опровергает слухи о блокировке карт при оплате товаров и услуг Oliver Frank Новости в мире финансов и инвестиций 2 20.11.2016 23:49
BitPay повысит безопасность своих кошельков на аппаратном уровне pilot10 Новости криптовалют 0 29.10.2016 12:33
Доклад парламента Великобритании опровергает участие Биткойна в финансировании ИГИЛ clipman77 Новости в мире финансов и инвестиций 3 17.07.2016 14:53
Ассоциация ePayments представила новую валюту для своих кошельков - российские рубли Aliaksandre Новости платежных систем 3 28.04.2016 00:57
Bitcoin Foundation опровергает заявление о банкротстве assss Новости криптовалют 0 09.04.2015 17:27


Случайные темы
Аватар Ярослав Яценко
Return Legend - return-legend.com
От Ярослав Яценко в разделе «Архив: Список проблемных/неактивных/закрытых программ»
Аватар kobilnyk
Еврокомиссия назвала «Турецкий поток» экономически несостоятельным
От kobilnyk в разделе «Новости в мире финансов и инвестиций»
Аватара нет
SportsBetInvestment - sportsbetinvestment.com
От Angel-monitor в разделе «Архив: Список проблемных/неактивных/закрытых программ»
Аватара нет
Все "анонимные" электронные кошельки заблокируют 1 марта
От Evgehka в разделе «Новости платежных систем»
Аватара нет
ПАММ-счет meleshev: 9348 (Privatefx.com)
От Serbinito в разделе «Архив: Инвестирование в ПАММ-счета»
.     
Пользователей
423,135
Тем
489,673
Сообщений
12,198,190