Facebook
TwitterLedger все още ли е в безопасност? Всичко, което научихме от миналогодишния хак
Ledger все още ли е в безопасност? Всичко, което научихме от миналогодишния хак
През юли 2020 г. производителят на хардуерен портфейл за криптовалута, известен като Книга беше хакнат. Приблизително 272 000 клиенти са засегнати от нарушаването на данните с изтекли приблизително един милион имейл адреси. Според компанията са били разкрити лични данни като пощенски адреси и имена и фамилии.
В допълнение към това нарушаване на данни, открадната информация е изхвърлена на уебсайт, наречен Raidforums, уебсайт, посветен на споделянето на бази данни. В отговор на това Леджър нае нов Главен служител по сигурността на информацията (CISO), проведе серия от тестове за проникване и взе други мерки за подобряване на тяхната сигурност.
Въпреки че това са основните факти по въпроса, има ли нещо повече от тази история, която да изглежда на пръв поглед?
Устройствата с главна книга са безкомпромисни
Софтуерът на Ledger вътре в хардуерния портфейл не е компрометиран. Информацията за доставка, необходима за закупуване на един от техните продукти, беше открадната. Това означава, че хакерите могат да използват тази информация за създаване атаки на социалното инженерство, които в момента са водеща причина за компрометирането на кражби на самоличност и системи за сигурност от всякакъв вид.
Този вид атаки не се ограничават до криптовалута и се случват в огромно количество настройки. Социалното инженерство работи предимно чрез използване на човешката психология и естествените тенденции, които има потребителят на система за сигурност, която е една от по-слабите части на системата за сигурност.
Докато криптовалутните активи на техните клиенти остават защитени, личните им данни не са. Това ги прави уязвими към неща като фишинг измами които могат да се използват за измама на определени цели от техните активи или пари, включително криптовалута. Част от предимствата на хардуерен портфейл трябва да бъде сигурността.
В допълнение, Брандиране на Ledger включва ангажимент за сигурност, така че е иронично, че Ledger е хакнат по този начин, тъй като те твърдят, че предлагат „най-високите стандарти за сигурност“, заедно с поредица от сертификати.
Въпреки че исковете и сертификатите са впечатляващи и отличават Ledger като компания, те очевидно не са показателни за гаранция за поверителност. Не съществува такова нещо по отношение на сигурността и това събитие служи за напомняне на потребителите, че сигурността никога не може да бъде перфектна и сертифицирането на сигурността обикновено е само показател за ангажираност към сигурността, а не непременно за качеството на сигурността.
Как работят хардуерните портфейли?
За да разберем по-добре иронията на този хак, нека разгледаме как хардуерните портфейли предлагат допълнителна сигурност на портфолиото от криптовалути.
Когато притежавате портфейл за криптовалута, това, което всъщност имате, е частен и публичен ключ. Хардуерен портфейл съхранява вашите лични ключове на физическо и преносимо устройство, вместо да го държи обвързан на тромав компютър или лаптоп. Вашият публичен ключ е частта от портфейла на софтуера, а вашият частен ключ е „документът“ за вашия портфейл, така да се каже. Това доказва вашата собственост върху него.
Понастоящем хардуерните портфейли могат да твърдят, че са имунизирани срещу определени вируси, тъй като те просто съхраняват данни без операционна система върху тях, която да зарази. Това твърдение не е непременно вярно, тъй като хардуерните портфейли все още могат да бъдат заразени със злонамерен софтуер.
Освен това повечето хардуерни портфейли все още работят с даден софтуер, което означава, че качеството на портфейла може да бъде толкова добро, колкото софтуера, който го изпълнява. Така че имайте това предвид, преди да се ангажирате с такъв с впечатлението, че е неуязвим, без значение колко компании и разработчици дават обещания и печелят сертификати.
Имайки предвид тези недостатъци, хардуерните портфейли определено са полезни, ако можете да получите такъв от правилния източник, който също отговаря на вашите нужди като клиент.
Избор на хардуерен портфейл
И така, с горните знания, кои са някои прилични алтернативи на Ledger? Ето няколко примера.
Trezor е исторически гигант в областта на хардуерните портфейли. Сега, когато има значително количество загубено доверие в Ledger, Trezor може да бъде следващият лидер в тази област. Той предлага доста хлъзгав сензорен екран, което ги прави лесни за използване с множество опции за допълнителни мерки за сигурност, ако искате да ги вземете. Като цяло Trezor изглежда като очевидна алтернатива, към която да преминете в лицето на изгубеното доверие с Ledger.
KeepKey е USB устройство, което използва въртящ се шифър за възстановяване на личния ви ключ. Той е лесен за използване, защото е с размер и четим LED екран. Той има много опции за това как правите транзакции, като например възможността да зададете скорост на транзакцията, и се предлага със собствен уеб-базиран интерфейс, който помага за управлението на вашето портфолио от криптовалути. Разработена е по-добра репутация от някои от другите налични алтернативи.
Горните двама са в моите очи, лидерите в тази надпревара за най-добрите хардуерни портфейли. Огромна роля в този анализ се възприема като надеждност на производителя както на хардуера, така и на софтуера на тези устройства. Ако обаче сте против тези двама, има нарастващ набор от налични портфейли, които CryptoVantage обхваща в предишна статия. Освен това проверете софтуерните портфейли, ако не се продават на хардуерни портфейли.
Бъдете в безопасност и никога не забравяйте
Иронията на това събитие не трябва да се забравя. Атаките като хакерската книга на Ledger ще продължат честотата си, тъй като валути като Bitcoin продължават да се покачват в стойност.
Ако сте настоящ клиент на Ledger и искате да се придържате към техните продукти с обновения им ангажимент за сигурност, тогава просто бъдете наясно как да се предпазите от социални инженеринг и фишинг атаки. Ако искате да превключите от Ledger, това все още е важно да имате предвид. Ако компания със сертифицирани стандарти за сигурност и репутация на номер 1 в областта на сигурността може да бъде компрометирана, тогава и други.
В крайна сметка вие като личност сте най-надеждната линия за защита срещу хакове и кражба на информация. Бдителността и непрекъснатото обучение са ключови навици, при които трябва да се навлиза при работа с портфолио от криптовалути от всякакъв размер. Киберсигурността е развиваща се област и ще продължи да бъде, както хакерите, така и специалистите по сигурността продължават да се надпреварват един срещу друг. Затова е по-важно от всякога да продължите да научавате как можете да защитите себе си и активите си.
В заключение, ако искате да научите повече за киберсигурността, Национален институт за стандарти и технологии (NIST) и Стандарт ISO 27001 предлага много полезни насоки в тази област и те винаги се развиват и усъвършенстват. Бъдете в безопасност на всички.