Cosa significano i difetti di Meltdown e Spectre per le Cripto

Le vulnerabilità informatiche trapelate di recente, Meltdown e Spectre, ci ricordano ancora una volta quanto sia difficile nell'era digitale KEEP le informazioni private, comprese le chiavi private Criptovaluta .

Svelate mercoledì, le diffuse vulnerabilità hardware colpiscono contemporaneamente i chip per computer Intel, ARM e AMD, che alimentano la stragrande maggioranza dei computer, dispositivi mobili e server del mondo, rendendo possibile il furto di dati privati ​​come password, informazioni finanziarie o qualsiasi cosa memorizzata su qualsiasi dispositivo che utilizzi ONE di questi chip.

Ciò è particolarmente importante per le Criptovaluta perché gli hacker possono potenzialmente utilizzare questo specifico vettore di attacco per rubare le chiavi private che consentono agli utenti di controllare i propri bitcoin sulla blockchain.

Meccanica Popolarelo ha chiamatoun bug "orribile", sostenendo che è "difficile concentrarsi sulla parte più preoccupante di questo difetto", mentre unpagina informativaredatto da ricercatori di sicurezza afferma che sei "molto certamente" interessato dal bug.

Sebbene non ci siano prove che le password siano state compromesse, gli esperti affermano che T sarebbe sorprendente se gli hacker o la NSA avessero sfruttato l'attacco.

Se stai già seguendo le best practice per l'archiviazione Criptovaluta , allora probabilmente sei a posto. Ma se non lo sei, o se sei un utente alle prime armi, gli esperti affermano che è importante KEEP le chiavi private su un dispositivo sicuro.

"Meglio prevenire che curare", ha dichiarato a CoinDesk lo sviluppatore Bitcoin CORE Bryan Bishop, aggiungendo:

"Un aggressore a conoscenza di una vulnerabilità sufficientemente potente può teoricamente costringere la tua CPU a rivelare dati Secret , come le chiavi private utilizzate per controllare i tuoi Bitcoin."

Vettori di attacco

È importante notare che il consiglio di conservare le chiavi private su un dispositivo sicuro non è una novità. (Gli sviluppatori Cripto mettono da tempo in guardia dal conservare le chiavi private su laptop o altri dispositivi che interagiscono con Internet.)

Ma i motivi potrebbero non essere ovvi per i nuovi utenti. Anche se Bitcoin e altre criptovalute sono protocolli sicuri, devono interagire con Internet aperto e con i normali computer. In breve, conservare le chiavi private così vicino a Internet può potenzialmente esporre gli utenti a hack e furti.

E le nuove vulnerabilità della CPU peggiorano ulteriormente la situazione, poiché una serie di azioni può portare a errori e compromessi.

"Se il problema della memoria protetta è reale, un plugin del browser o persino un sito web potrebbero accedere alle tue chiavi private", ha affermato Jonas Schnelli, collaboratore Bitcoin CORE .

I dettagli completi del problema T sono ancora pubblici, quindi non è chiaro quali siano i vettori di attacco precisi. Tuttavia, altri hanno suggerito che un impatto simile potrebbe essere probabile.

"Per essere colpiti da questo attacco, tutto quello che dovresti fare è cliccare su un LINK per sbaglio e potresti finire su un sito web che mostra un annuncio pubblicitario dannoso con un codice malware che ruba i tuoi dati", ha aggiunto Bishop.

E anche se questi scenari potrebbero sembrare inverosimili, la maggior parte del malware odierno sfrutta vulnerabilità simili che devono ancora essere corrette. È semplicemente impossibile sapere chi e quando colpiranno effettivamente.

Sono ora disponibili delle correzioni per il sistema operativo che gli utenti dovrebbero usare per riparare i loro dispositivi Windows, Mac e Linux. Ma, per gli utenti Criptovaluta , l'opzione migliore è non archiviare affatto le chiavi private su un dispositivo connesso a Internet, una raccomandazione comune ben prima di questa particolare vulnerabilità.

ONE è quella di conservare le chiavi private su un cosiddetto "portafoglio hardware", come Ledger o Trezor. I piccoli dispositivi potrebbero non essere così facili da usare, ma sono più sicuri in quanto non sono connessi a Internet.

Pavol Rusnak, CTO di SatoshiLabs, la società dietro Trezor, è arrivato addirittura alitigare "Utilizzare un portafoglio [hardware] è ora più importante che mai!" Mentre lo sviluppatore Ethereum Lefteris Karapetsas scherzato"Scommetto che Spectre e Meltdown sono la cosa migliore che potesse succedere alle aziende di cold wallet Criptovaluta ."

Scambia tesori

Oltre ai dispositivi dei singoli consumatori, un obiettivo molto più grande e preoccupante sono gli exchange e le aziende Criptovaluta , che archiviano contemporaneamente le chiavi private Criptovaluta di milioni di utenti.

Alcuni exchange Criptovaluta utilizzano servizi di hosting cloud come Amazon Web Services e Google Cloud per gestire i propri siti web, anziché gestire i propri server.

Sebbene queste piattaforme rendano i siti web più facili da gestire, sonoparticolarmente vulnerabile a questi attacchi. Un hacker potrebbe teoricamente creare un server usando lo stesso hardware di una startup Criptovaluta che esegue operazioni su una piattaforma cloud del genere e improvvisamente avere accesso a tutti i suoi dati.

Nel mondo Cripto , un hacker potrebbe ipoteticamente utilizzare questo vettore di attacco per rubare chiavi private.

Da ONE lato, molte delle piattaforme cloud più diffuse hanno rapidamente implementato delle correzioni. Dall'altro, i ricercatori temono che vulnerabilità radicate possano generare varianti non corrette, con possibili effetti persistenti a venire.

Bitcoin al buioimmagine tramite Shutterstock