Facebook
TwitterEl Ledger segueix sent segur? Tot el que vam aprendre del hack de l’any passat
El Ledger segueix sent segur? Tot el que vam aprendre del hack de l’any passat
Al juliol de 2020, el fabricant de carteres de maquinari de criptomonedes conegut com a Llibre major va ser piratejat. Aproximadament 272.000 clients es van veure afectats per la violació de dades i es va filtrar aproximadament un milió d’adreces de correu electrònic. Segons la companyia, es va exposar informació personal, com ara adreces postals i noms i cognoms.
A més d’aquest incompliment de dades, la informació robada es va llençar a un lloc web anomenat Raidforums, un lloc web dedicat a compartir bases de dades. En resposta a això, Ledger ha contractat un nou Director de seguretat de la informació (CISO), va realitzar una sèrie de proves de penetració i va prendre altres mesures per millorar la seva seguretat.
Tot i que aquests són els fets bàsics de la qüestió, hi ha més coses en aquesta història que sembla?
Els dispositius de registre no són compromesos
El programari de Ledger dins de la cartera de maquinari no es va veure compromès. Tot i així, es va robar la informació d’enviament necessària per comprar un dels seus productes. Això significa que els pirates informàtics poden utilitzar aquesta informació per crear atacs d’enginyeria social, que actualment són una de les principals causes del robatori d’identitat i que es comprometen sistemes de seguretat de tota mena.
Aquest tipus d’atacs no es limiten a la criptomoneda i es produeixen en una gran quantitat de paràmetres. L’enginyeria social funciona principalment aprofitant la psicologia humana i les tendències naturals que té un usuari d’un sistema de seguretat, que és una de les parts més febles d’un sistema de seguretat..
Tot i que els actius de criptomoneda dels seus clients continuen segurs, la seva informació personal no ho és. Això els fa vulnerables a coses com ara estafes de pesca que es pot utilitzar per estafar objectius designats dels seus actius o diners, inclosa la criptomoneda. Part dels avantatges d’una cartera de maquinari se suposa que és la seguretat.
A més, Branding de Ledger inclou un compromís amb la seguretat, per la qual cosa és irònic que Ledger hagi estat piratejat així, ja que afirmen que ofereixen “els estàndards de seguretat més alts” amb una sèrie de certificacions.
Tot i que les reclamacions i els certificats són impressionants i distingeixen Ledger com a empresa, no són clarament indicatius d’una garantia de privadesa. No existeix tal cosa pel que fa a la seguretat, i aquest esdeveniment recorda als consumidors que la seguretat mai no pot ser perfecta i que la certificació de seguretat sol indicar un compromís amb la seguretat i no necessàriament la qualitat de la seguretat..
Com funcionen les carteres de maquinari?
Per entendre millor la ironia d’aquest hack, examinem com les carteres de maquinari ofereixen seguretat addicional a la cartera de criptomonedes.
Quan teniu una cartera de criptomoneda, el que realment teniu és una clau pública i privada. Una cartera de maquinari emmagatzema les vostres claus privades en un dispositiu físic i portàtil en lloc de mantenir-les lligades a un ordinador o un ordinador portàtil. La vostra clau pública és la part de la cartera del programari i la vostra clau privada és “l’escriptura” de la vostra cartera, per dir-ho d’alguna manera. Demostra que en sou propietari.
Actualment, les carteres de maquinari poden afirmar que són immunes a certs virus, ja que simplement emmagatzemen dades sense que hi hagi cap sistema operatiu que infecti. Aquesta afirmació no és necessàriament certa, ja que les carteres de maquinari encara es poden infectar amb programari maliciós.
A més, la majoria de carteres de maquinari encara funcionen amb un programari determinat, cosa que significa que la qualitat de la cartera només pot ser tan bona com el programari que l’executa. Per tant, tingueu-ho en compte abans de comprometre’s amb un amb la impressió que és invulnerable, per moltes empreses i desenvolupadors que facin promeses i obtinguin certificacions..
Tenint en compte aquests defectes, les carteres de maquinari són sens dubte útils, si en podeu obtenir una de la font adequada que també satisfaci les vostres necessitats com a client.
Triar una cartera de maquinari
Llavors, amb els coneixements anteriors, quines són algunes alternatives dignes de Ledger? Aquí hi ha un parell d’exemples.
Trezor ha estat un gegant històric en el camp de les carteres de maquinari. Ara que hi ha una pèrdua important de confiança en Ledger, Trezor podria ser el següent líder en aquest camp. Ofereix una pantalla tàctil molt llisa que els facilita l’ús amb una gran quantitat d’opcions per a mesures de seguretat addicionals si voleu prendre-les. En general, Trezor sembla una alternativa òbvia per canviar-se davant la confiança perduda amb Ledger.
KeepKey és un dispositiu USB que utilitza un xifratge rotatiu per restaurar la vostra clau privada. És fàcil d’utilitzar per la seva mida i la seva pantalla LED de lectura. Té moltes opcions per fer transaccions, com ara la possibilitat d’establir una velocitat de transacció, i inclou la seva pròpia interfície basada en web per ajudar-vos a gestionar la vostra cartera de criptomonedes. Ha obtingut una reputació millor que algunes de les altres alternatives disponibles.
Els dos anteriors són als meus ulls, els líders en aquesta cursa per obtenir les millors carteres de maquinari. Una part important en aquesta anàlisi és la percepció de la fiabilitat del fabricant tant del maquinari com del programari d’aquests dispositius. No obstant això, si esteu aversos a aquests dos, hi ha una gran quantitat de carteres disponibles que CryptoVantage ha cobert en un article anterior. A més, consulteu les carteres de programari si no es ven en carteres de maquinari.
Mantingueu-vos segur i no oblideu mai
No s’ha d’oblidar la ironia d’aquest esdeveniment. Els atacs com el pirateig Ledger només continuaran en freqüència, ja que les monedes com Bitcoin continuen augmentant de valor.
Si sou un client actual de Ledger i voleu mantenir els vostres productes amb el seu renovat compromís amb la seguretat, només heu de ser conscients de com protegir-vos contra els atacs d’enginyeria social i phishing. Si voleu allunyar-vos de Ledger, encara és important tenir-ho en compte. Si una empresa amb estàndards de seguretat certificats i la reputació de ser la primera en seguretat es pot veure compromesa, també ho poden fer altres.
En definitiva, com a persona particular, sou la línia de defensa més fiable contra els pirates informàtics i el robatori d’informació. La vigilància i l’aprenentatge continu són hàbits clau a l’hora d’administrar una cartera de criptomonedes de qualsevol mida. La ciberseguretat és un camp en evolució i continuarà existint a mesura que els pirates informàtics i els professionals de la seguretat continuen competint els uns contra els altres. Per tant, és més important que mai continuar aprenent com podeu protegir-vos i els vostres actius.
Com a nota final, si voleu obtenir més informació sobre la ciberseguretat, el Institut Nacional d’Estàndards i Tecnologia (NIST) i la Norma ISO 27001 ofereix moltes orientacions útils sobre el terreny i sempre evolucionen i milloren. Mantingueu-vos segurs a tothom.