Как хакнуть Trezor и HTC Exodus в считанные минуты и взломать Ledger из чулана жертвы

«Впервые я услышал о биткоине в 2011 году и пришел к выводу, что его никак нельзя использовать, хотя технология и показалась мне довольно интересной. Мой друг, гиковатый парень, уже тогда майнил вовсю и убедил меня попробовать, но когда я увидел нагрузку на процессор, я сразу же отключил ПО биткоина. “Какой бред!”, — подумал я. Сейчас я в Ledger, а мой друг не перестает подшучивать надо мной», — именно так началась биткоин-история главного директора во вопросом безопасности компании Ledger Шарля Гийоме.

До того, как присоединиться к ведущему производителю аппаратных криптовалютных кошельков, Гийоме получил степени в математике, компьютерных науках, криптографии и программировании. В течение восьми лет он также работал экспертом по компьютерной безопасности в крупных французских компаниях, проводивших аудит чипов для банковских карт, паспортов и других критически важных продуктов.

В эксклюзивном интервью ForkLog Шарль Гийоме рассказал о том, сколько времени уходит на взлом Trezor [спойлер — совсем немного], раскрыл подробности об уязвимости в кошельке HTC, объяснил свое отношение к честной конкуренции и не забыл поведать о том, как хакнуть и сам Ledger.

ForkLog: Привет, Шарль! Как эксперт в сфере безопасности считаешь ли ты, что в мире есть что-то, чего нельзя взломать? Да или нет?

Шарль Гийоме: Привет! Я в этой сфере больше десяти лет, так что мой ответ — нет.

ForkLog: Так и что, кошельки Ledger, получается, тоже можно взломать? Например, могу ли я выяснить PIN-код, если у меня есть физический доступ к устройству?

Шарль Гийоме: Я не думаю, что это возможно, хотя все зависит от того, сколько ресурсов и времени ты готов потратить, от твоего опыта и инструментов.

Наш чип Secure Element проходил независимый аудит в течение шести месяцев, после чего мы получили соответствующий сертификат, поэтому скомпрометировать безопасность наших устройств — это мегасложная задача. Но если ты готов потратить миллионы и кучу времени, то не могу утверждать, что у тебя ничего не получится.

ForkLog: В прошлом году исследователи wallet.fail заявили, что им удалось установить сид-фразу и PIN-коды кошельков Ledger и Trezor. В вашей компании сказали, что «те атаки были непрактичны». Что конкретно имелось в виду?

Шарль Гийоме: Давай сразу уточним: если сейчас дать в руки этим ребятам кошелек Ledger, они не смогут установить ни сид-фразу, ни PIN. Это не совсем то, о чем они сообщили в своем исследовании.

Они осуществили две атаки на модель Nano S. Первая предполагала физический доступ к устройству для установки специального импланта для удаленного контроля над кнопками.

ForkLog: Как это выглядит на практике?

Шарль Гийоме: Злоумышленнику необходимо проникнуть в твой дом и найти там кошелек Nano S. Затем он должен установить имплант под крышку устройства и вернуть все в изначальное положение, чтобы ты ничего не заподозрил. Но на этом история не заканчивается, поскольку ему нужно найти твой компьютер и загрузить вредоносное ПО, которое будет перенаправлять транзакции из нашего приложения на его кошелек. Это лишь этап подготовки.

Вместе с контроллером, который позволяет управлять кнопками через имплант, он, вероятно, спрячется в твоем чулане и будет выжидать, пока ты введешь PIN-код и запустишь биткоин-приложение. Для злоумышленника это момент истины, поскольку именно тогда он активирует свою малварь и имплант для отправки транзакций. И только после этого он сможет покинуть твой дом.

Как видишь, такая атака очень «вероятна». Идея забавная, но все это несерьезно.

Вторая же обнаруженная уязвимость не позволяла заполучить секрет на Secure Element. Они установили сетевого червя на чип, который отвечает за USB-коммуникацию, кнопки и дисплей, но этот элемент не обеспечивает безопасность данных. На нем не хранится секрет, а вот у Secure Element есть функция определения аутентичности ПО, так что он даже не запустится, если что-то пойдет не так.

ForkLog: А что с Trezor? Они были правы насчет их устройств?

Шарль Гийоме: Они тогда заявили, что извлекли сид-фразу из кошелька Trezor и пообещали раскрыть детали атаки в будущем, однако, насколько я знаю, так и не сделали этого. Сложно сказать, действительно ли они преуспели во взломе Trezor, но я предполагаю, что даже если и да, то разработчики быстро устранили уязвимость.

Еще мне кажется, что wallet.fail воздержались от «ответственного раскрытия» в этом случае.

ForkLog: Хорошо, что ты упомянул ответственное раскрытие. Ты когда-либо использовал знание об уязвимостях в продуктах конкурентов в корыстных целях?

Шарль Гийоме: Никогда. Этика очень важна для исследователей в сфере компьютерной безопасности. Мы не считаем, что полное раскрытие — это ответственное поведение.

ForkLog: Хорошо, ты этого не делал, но хоть думал когда-то о такой возможности?

Шарль Гийоме: Мы постоянно исследуем продукты в сфере безопасности, включая конкурентные, но если что-то находим, то сразу сообщаем им напрямую. Если же уязвимость нельзя исправить вообще, то мы воздерживаемся от публичного раскрытия.

ForkLog: Кто решает, что этично, а что нет? Есть какой-то документ или закон?

Шарль Гийоме: Вообще, не существует никакого свода правил. Сообщество исследователей в сфере компьютерной безопасности очень разрозненное, но можно выделить три основных группы.

Первая исповедует полную секретность: тут и спецслужбы, и крупные технологические корпорации, и различные производители аппаратных устройств. Они очень хороши в разработке мер безопасности, но категорически отказываются делиться знаниями со всеми. Я лично считаю, что это скоро изменится, но пока имеем то, что имеем.

Вторая группа — это белые хакеры или же этичные исследователи. Они действуют ответственно на благо пользователей, и спрос на таких специалистов сейчас растет. Многие компании готовы вознаграждать их за труд.

Последняя же группа — это черные хакеры или просто хакеры. Их обычно интересуют либо деньги, либо слава… уж точно не этика. Они продают данные об уязвимостях на черных рынках и сами не чураются их эксплуатировать.

Это очень большая проблема. Нет никаких правил, но зато есть много стимулов, чтобы быть хакером. Я убежден, что ответственное раскрытие — это единственный правильный подход, однако желающие заработать за счет других будут всегда, несмотря на своего рода консенсус в сообществе разработчиков ПО о том, что правильно, а что — нет.

ForkLog: Помнишь взлом Binance в мае? Насколько я понимаю, чем больше взломов бирж, тем лучше для вашего бизнеса, поскольку продажи кошельков заметно выросли.

Шарль Гийоме: Вероятно, это может благоприятно влиять на наш бизнес, поскольку все больше пользователей понимает, что если ты не контролируешь приватные ключи, то и деньги как бы не твои. Аппаратные решения — это самый безопасный способ хранить криптовалюты на данный момент.

Но в глобальном плане взломы бирж демонстрируют миру, что у индустрии есть проблемы с безопасностью, поэтому это всегда палка о двух концах.

ForkLog: Этот вопрос с подвохом. Вы когда-то думали о взломе крупной биржи для увеличения продаж кошельков?

Шарль Гийоме: [смеется] Может, мы и думали, конечно, но, как я уже сказал, мы действуем исключительно этично и никогда бы не поддались на подобного рода искушения.

ForkLog: Что еще делает Ledger, кроме аппаратных кошельков?

Шарль Гийоме: Мы уже продали свыше 1,5 млн аппаратных устройств, но сейчас основным направлением работы является Ledger Vault. Это решение по безопасности на базе аппаратных устройств с собственным фреймворком для авторизации, который позволяет финансовым компаниям и фондам управлять криптовалютными активами.

С технической точки зрения Ledger Vault крайне простое. Оно состоит из двух аппаратных компонентов: персональное устройство (PSD) и аппаратный модуль (HSM). Для взаимодействия с этим решением мы разработали интерфейс, который позволяет осуществлять транзакцию из хранилища после получения нескольких одобрений от PSD и проверки конфиденциальности.

ForkLog: Похоже на кошелек с мультиподписью.

Шарль Гийоме: Это похожая технология, но есть существенные отличия. HSM обеспечивает возможность гибкого управления, в рамках которого можно установить определенные лимиты по операциям даже после получения нужных одобрений для транзакции.

ForkLog: Недавно CEO Blockstream доктор Адам Бэк заметил рост популярности аппаратных устройств, которые поддерживают только биткоин. Как думаешь, у таких продуктов есть будущее, учитывая растущий индекс доминирования?

a trend. @slush @pavolrusnak also mentioned Bitcoin only trezor firmware option.

— Adam Back (@adam3us) August 16, 2019

Шарль Гийоме: Операционная система наших кошельков позволяет выбирать, какие криптовалюты ты хочешь использовать. Можно загрузить только биткоин-приложение, и будет ровно то же самое.

ForkLog: Переформулирую тогда: видишь ли ты смысл в других криптовалютах?

Шарль Гийоме: Не хочу говорить о политике. Есть довольно интересные технологические решения, которые существенно отличаются от биткоина. В целом, если сеть безопасна для пользователя, я не вижу никаких проблем.

ForkLog: Предлагаю вернуться к безопасности. Я знаю, что команда Ledger обнаружила несколько уязвимостей в кошельках Trezor, а одну из них даже нельзя исправить. Можешь рассказать подробнее?

Шарль Гийоме: Наша команда экспертов Ledger Donjon регулярно исследует как собственные продукты компании, так и конкурентные альтернативы. Разумеется, мы потратили некоторое время на изучение кошельков Trezor, в которых используется тот же незащищенный чип, имеющийся и в нашем продукте, и обнаружили три вида уязвимостей.

Первая позволяла осуществить атаку по сторонним каналам на PIN-код. Так, злоумышленнику необходимо было завладеть устройством и в процессе подбора нужного кода измерять энергопотребление кошелька, чтобы установить статистическую корреляцию между цифрами и этим показателем.

Это позволило бы выяснить верный PIN и получить доступ к средствам. Само собой, мы сообщили об этом Trezor, и они устранили проблему. Я не думаю, что новая система верификации PIN-кода позволяет провести такую атаку.

Вторая атака касалась аутентичности самого устройства. Задумайтесь, как вы можете быть уверены в том, что на ваш кошелек Trezor не установили бэкдор в рамках процесса доставки? Если задать более точный вопрос, то вот как он будет звучать: как вы можете быть уверены в том, что ПО на вашем кошельке оригинальное? Если ответить кратко, то — никак.

Я установил на кошелек Trezor собственный загрузчик и соответствующее ПО с бэкдорами. Внешне устройство осталось таким же, как и было. Жертва посетила бы сайт Trezor, а затем запустила ПО, будучи уверенной в том, что оно официальное, но это не так. Кроме того, простому пользователю вообще невозможно обнаружить подвох.

Эта атака хорошо масштабируется из-за сложностей контроля над цепями поставок. Вы не можете быть уверенным в том, что это ПО, установленное изначально.

В рамках третьей атаки мы извлекли сид-фразу из кошелька всего за несколько минут. Если точнее, то нам понадобилось менее пяти минут. Необходимый инвентарь обошелся всего в $100.

ForkLog: Команда Trezor уже устранила эту уязвимость?

Шарль Гийоме: Нет, это невозможно. Именно поэтому мы и не опубликовали технику атаки. Могу сказать только, что необходим физический доступ и карта, которую мы называем экстрактор.

У Trezor есть большая проблема — они не используют Secure Element, поскольку придерживаются философии открытого исходного кода. Я уважаю эту позицию, но физические атаки на их чип провести довольно легко.

Trezor посоветовал установить очень длинный пароль, чтобы усложнить жизнь вору, даже если он извлек сид-фразу. Но лично я считаю бессмысленным схему безопасности, которая основывается на фразе у вас в голове. Вы можете ее забыть, а если где-то записали — потерять. Кроме того, пароли ужасно раздражают людей, большая часть их, вероятно, вообще не использует.

ForkLog: Как получилось взломать HTC Zion?

Шарль Гийоме: Компания HTC выпустила смартфон HTC Exodus 1, в котором есть криптовалютный кошелек. Этот кошелек имплементирован с использованием операционной системы на базе аппаратных свойств центрального процессора смартфона, который рассматривается как безопасный анклав. Не хочу сейчас вдаваться в обсуждение мобильных кошельков, но скажу вот что — не храните биткоины на смартфоне. Это лучшее, что вы можете сделать для безопасности своих средств.

Нам удалось осуществить атаку на функцию социального восстановления приватного ключа. Когда вы генерируете сид-фразу в Exodus 1, вы выбираете пять доверенных контактов, после чего система разбивает вашу сид-фразу на пять отдельных частей, используя схему разделения секрета Шамира. Каждая из этих частей сама по себе не содержит информации об изначальном сиде и фактически бесполезна, но при их объединении можно восстановить секрет.

В Exodus 1 для восстановления сида достаточно трех частей из пяти. Каждая часть хранится на Android-смартфоне вашего доверенного контакта. Звучит не очень безопасно, но в целом это не имеет никакого значения, поскольку каждая отдельная часть бесполезна, как я уже говорил. Вообще, это очень удобная схема восстановления для тех, кто потерял свой телефон, например.

Но разработчики HTC допустили одну маленькую ошибку, которая, к сожалению, полностью изменила свойства схемы Шамира. Система рассылала части, содержащие точную информацию об изначальном сиде. Это позволяло злоумышленнику восстановить фразу, располагая только одной частью. Атака хорошо масштабировалась и в итоге многие могли пострадать, но мы сообщили об этом разработчикам HTC и они оперативно устранили проблему.

Однако я рекомендую всем пользователям HTC Zion сгененировать новую сид-фразу и переместить средства, если они еще этого не сделали.

ForkLog: И сколько бы времени гипотетически ушло у злоумышленника на восстановление сида?

Шарль Гийоме: Меньше секунды.

ForkLog: И со средствами можно было бы попрощаться, так?

Шарль Гийоме: Все верно.

ForkLog: Давай немного о философии поговорим. Известный венчурный капиталист Питер Тиль убежден, что монополия — это естественное состояние любого успешного бизнеса. Он считает, чтобы сохранить ценность в течение длительного периода, нужно избегать конкуренции. Согласен с этим?

Шарль Гийоме: Хм… Это довольно интересная позиция, но я, пожалуй, категорически не согласен. Есть много успешных компаний, которые не являются монополиями. Я верю, что конкуренция подстегивает бизнес совершенствоваться. Мы должны избегать монополий, поскольку они хороши только для тех, кто ими владеет.

ForkLog: Уточним: конкуренция порождает инновации? Да или нет?

Шарль Гийоме: Да.

ForkLog: Веришь ли ты, что Ledger может быть успешной даже, если не доминирует на рынке?

Шарль Гийоме: Наша цель — быть лидером. Безусловно. Но я не думаю, что монополии хороши для нашей индустрии в частности.

Беседовал Nick Schteringard


	Новости компаний	Добавить новость

Чем занимается холдинг СИБУР: от переработки газа до производства современных материалов

Холдинг СИБУР это ведущая нефтехимическая компания России, которая преобразует углеводородное сырье в продукцию, необходимую в повседневной жизни и промышленности. От упаковки и медицинских изделий до строительных материалов и компонентов для...

Опубликовано: 2 месяца назад