Cosa significa il difetto Foreshadow per il futuro della Criptovaluta

AGGIORNAMENTO (16 agosto 19:11 BST): Aggiornato per includere una dichiarazione inviata via email dalla startup Criptovaluta Enigma.

Martedì è stata svelata un'altra grave falla di sicurezza, con potenziali effetti a catena nel mondo della tecnologia, anche per i progetti Criptovaluta che mirano a sfruttare determinati dispositivi hardware.

Seguendo un paio di bugsvelato all'inizio di quest'anno, IL Prefigurare la vulnerabilitàha un impatto su tutte le enclave SGX (Software Guard Extensions) di Intel, una speciale area del chip, presumibilmente estremamente sicura, spesso utilizzata per archiviare dati sensibili.

In breve, sebbene l'enclave dovrebbe essere a prova di manomissione, un gruppo di ricercatori ha trovato un modo che consente a un aggressore di rubare le informazioni in essa contenute.

Per molti, Meltdown e Spectre erano abbastanza spaventosi. I bug colpivano ogni singolo chip Intel, l'hardware che alimenta la maggior parte dei computer del mondo. Ma, poiché T era così facile da eseguire, T ci furono molti attacchi nel mondo reale.

Foreshadow potrebbe non sembrare così male perché ha un impatto su un tipo più specifico di hardware Intel: SGX. Tuttavia, poiché molti progetti Criptovaluta pianificano di utilizzare questa Tecnologie, Foreshadow potrebbe avere conseguenze ancora peggiori per il mondo Criptovaluta .

Forse la cosa più degna di nota è che il creatore di Signal, Moxie Marlinspike, sta consigliando una nuova moneta, presumibilmente più ecologica, chiamata MobileCoin, che mette SGX al centro, ancheraccogliendo 30 milioni di dollari per farlo.

Di conseguenza, questi progetti dovranno essere ristrutturati prima di poter essere lanciati davvero.

"I risultati pubblicati oggi hanno sicuramente un impatto notevole sui progetti Criptovaluta ", ha dichiarato a CoinDesk Phil Daian, ricercatore di sicurezza della Cornell University.

La buona notizia, però, è che i ricercatori hanno seguito il "processo Dichiarazione informativa responsabile" del mondo della sicurezza per rivelare i bug, avvisando Intel prima di mostrarli in modo che il gigante della tecnologia potesse trovare una soluzione (che è stata implementata qualche mese fa).

Ma il mondo della sicurezza sta facendo molto rumore perché questo potrebbe non essere ancora sufficiente.

"È probabile che, poiché molti di questi sistemi sono lenti da aggiornare e poiché molte di queste correzioni richiedono aggiornamenti hardware o complessi, l'infrastruttura rimarrà vulnerabile a questa classe di attacchi per molto tempo", ha affermato Daian, aggiungendo:

"Sarebbe sorprendente se a un certo punto questo tipo di attacco non venisse utilizzato per rubare Criptovaluta."

Il buono e il cattivo

Ma ci sono sia buone che cattive notizie.

Per ONE, sembra che nessuno dei progetti SGX di alto profilo in Criptovaluta sia ancora utilizzato per garantire denaro reale. "A mia conoscenza, non esiste un sistema SGX in produzione o ampiamente utilizzato nello spazio oggi", ha affermato Daian.

La cattiva notizia è che ci sono molti progetti cheVolereper usare SGX, e forse hanno anche in programma di farlo presto. E le idee sono piuttosto belle.

Moneta mobile

è forse il più ambizioso poiché gli sviluppatori del progetto vogliono sostituire i minatori, una parte cruciale per la sicurezza di qualsiasi Criptovaluta, con queste enclave per creare una Criptovaluta più efficiente dal punto di vista energetico.

Ma sono molti gli altri che vogliono utilizzare SGX per i vantaggi che offre in termini di sicurezza e Privacy .

Enigma lo sta usando in un'offerta unicaper aumentare la Privacy nei contratti intelligenti, mentre la società di hardware per portafogli Ledger è arrivata addirittura acollaborare con il gigante della tecnologia Intelper esplorare l'utilizzo di SGX come una nuova via per l'archiviazione delle chiavi private. E illa lista continua all'infinito.

Enigma sostiene tuttavia che l'impatto del bug è stato esagerato.

"Come qualsiasi software o hardware, la Da scoprire e la risoluzione di potenziali vulnerabilità è una parte normale e prevista del processo di sviluppo. In questo caso, la vulnerabilità è già stata affrontata da Intel e non diminuisce in alcun modo il potenziale della Tecnologie SGX", ha affermato in una dichiarazione il CEO e co-fondatore di Enigma, Guy Zyskind.

Zyskind ha aggiunto che Enigma è "orgogliosa" di collaborare con Intel e ritiene che la collaborazione con SGX sia fondamentale per il futuro della criptovaluta, poiché stanno creando "solide soluzioni Privacy che consentiranno finalmente alle applicazioni decentralizzate di funzionare e di essere adottate su larga scala".

Tuttavia, questi enormi benefici non impediscono ad alcuni ricercatori di preoccuparsi del suo impatto.

"L'attacco SGX è devastante", ha dichiarato a CoinDesk Patrick McCorry, professore associato del King's College di Londra, aggiungendo che i gruppi di ricerca discutono da tempo su come possa essere implementato per aggiungere ulteriore sicurezza ai dati.

"Potrebbe potenzialmente minare l'integrità e la Privacy di qualsiasi applicazione che si basi su hardware affidabile. Molte aziende nel settore Criptovaluta si affidano a SGX per supportare protocolli multi-party, ma questo attacco consente a qualsiasi partecipante di imbrogliare", ha aggiunto.

"A mio Opinioni, una buona ricerca e un buon sistema SGX dovrebbero presupporre che l'hardware possa sempre rompersi a un certo prezzo e dovrebbero, come sempre, essere progettati in modo difensivo e includere una sicurezza a più livelli", ha affermato Daian.

Ha poi dato alcuni consigli alle aziende che intendono lanciarsi presto.

"I progetti che prevedono di essere lanciati a breve e che si basano su SGX dovrebbero valutare con cautela le vulnerabilità e gli eventuali aggiornamenti di Intel per le implicazioni sulla sicurezza dei loro sistemi e dovrebbero pubblicare tali indagini insieme al loro codice", ha affermato.

L'altra cattiva notizia, però, è che è possibile che gli hacker trovino una nuova variante del bug, con conseguenze simili su tutti i chip SGX.

"Ma come dimostra Foreshadow, gli attacchi non possono che migliorare", ha osservato McCorry.

Dolce rivendicazione

Nel frattempo, il bug sta dando ad alcuni sviluppatori la sensazione di essere stati giustificati.

Poiché Intel ha una backdoor in tutti i dispositivi SGX, è da tempo una strada tecnologica controversa per i progetti Criptovaluta , con gli appassionati che spesso sostengono che l'uso di questa Tecnologie mette troppo potere o fiducia nelle mani di ONE azienda.

In parole povere, secondo loro la vulnerabilità Foreshadow è un buon esempio del perché non porre SGX al centro di un progetto Criptovaluta .

"Meno male che T abbiamo adottato la soluzione di ridimensionamento Bitcoin basata su SGX di un certo professore!" twittato pseudonimo di Grubles, appassionato Bitcoin .

"Sebbene *se* fosse stato in qualche modo perfetto, non è mai stata una buona idea basare la sicurezza di Bitcoin sulla Tecnologie Secret di un fornitore di chip", ha risposto il responsabile Bitcoin CORE, Wladimir van der Laan.

Ma ancora una volta, la maggior parte dei progetti che utilizzano SGX T sono ancora entrati in produzione.

Alcuni ricercatori sono arrivati ​​al punto di sostenere che la maggior parte dei progetti Criptovaluta che esplorano SGX T li hanno effettivamente utilizzati con denaro reale perché Intel ha una pessima reputazione. L'industria ha sperimentato la Tecnologie , ma è troppo cauta per lanciarla e portarla a termine.

Alcuni ricercatori sulla sicurezza consigliano di continuare su questa strada e di non utilizzare SGX.

Ma altri ricercatori sono più ottimisti sul fatto che SGX, o qualcosa di simile, potrebbe ONE giorno svolgere un ruolo importante nelle Criptovaluta, vedendo Foreshadow come un segnale positivo che l'hardware affidabile è stato messo alla prova sul campo.

"SGX dovrà essere ripetutamente testato e violato da ricercatori avversari finché non potrà vantare un elevato livello di sicurezza, il che richiederà anni", ha affermato Daian, aggiungendo che ritiene che un hardware affidabile come SGX potrebbe ONE giorno svolgere un ruolo importante (e positivo) nelle Criptovaluta.

In breve, potrebbe volerci solo un po' di tempo, ha sostenuto, aggiungendo:

"La realizzazione di una Tecnologie del genere promette sicuramente grandi risultati in termini di riduzione della fiducia e protezione scalabile Privacy nel Criptovaluta e non solo".

Computer portatile tramite Shutterstock