Kāds Meltdown un Spectre nepilnības nozīmē Kripto | LV.democraziakmzero.org

Kāds Meltdown un Spectre nepilnības nozīmē Kripto

Kāds Meltdown un Spectre nepilnības nozīmē Kripto

Nesen noplūdis datora ievainojamību Meltdown un Spectre piedāvā vēl vienu atgādinājumu par to, cik grūti digitālais laikmets padara to, lai saglabātu privāto informāciju - pat kriptonauda privātās atslēgas - droši.

Atklāta Trešdiena, bieži sastopamie aparatūras ievainojamību vienlaicīgi ietekmēt Intel, ARM un AMD čipu, kuras jauda lielāko daļu no pasaules datoriem, mobilajām ierīcēm un serveriem, kas ļauj nozagt privātos datus, piemēram, paroles, finanšu informācija, vai tikai par kaut ko glabājas jebkurā ierīcē, kas izmanto vienu no šiem mikroshēmas.

Ja tas ir svarīgi, lai kriptonauda jo īpaši tas, hakeri potenciāli var izmantot īpašo uzbrukumu vektors šķipsnu privātās atslēgas, kas ļauj lietotājiem kontrolēt savu bitcoins uz blockchain.

Popular Mechanics sauc ITA "šausminoši" bug, apgalvojot, tas ir "grūti nulles par visvairāk nepatīkamas daļu šī nepilnība," bet informatīvs pageauthored ar drošības pētnieki atzīmē, ka tu esi "pavisam noteikti" ietekmē bug.

Un, lai gan tur nav pierādījumu, ka jebkādas paroles, ir apdraudēta, eksperti saka, tas nebūtu pārsteigums, ja hakeri vai VDI ir izmantot šo uzbrukumu.

Ja jūs jau pēc labākās prakses kriptonauda glabāšanai, tad jūs droši vien labi. Bet, ja ne, vai arī, ja esat jaunāks lietotājs, eksperti saka, tas ir svarīgi, lai saglabātu privātās atslēgas uz drošā ierīcē.

"Labāk droši nekā sorry," sacīja Bitcoin Core attīstītājs Bryan Bishop pastāstīja CoinDesk, piebilstot:

"Uzbrucējs, kuram ir zināšanas par pietiekami spēcīgu ievainojamību var teorētiski piespiest jūsu CPU atklāt slepenu informāciju, piemēram, privātās atslēgas, ko izmanto, lai kontrolētu savu Bitcoin."

Attack vektori

Ir svarīgi atzīmēt, ka padoms glabāt privātās atslēgas drošā ierīcē nav nekas jauns. (Kriptogrāfijas izstrādātāji jau sen brīdināja uzglabāšanai privātās atslēgas uz klēpjdatoriem vai citām ierīcēm, kas mijiedarbojas ar internetu).

Bet iemesli, kāpēc varētu nebūt skaidrs jaunāku lietotājiem. Pat ja Bitcoin un citi cryptocurrencies ir droši protokoli, tie ir mijiedarboties ar atklātu internetu un regulāri datoriem. Īsāk sakot, uzglabāšanai privātās atslēgas tik tuvu internetā var potenciāli pakļaut lietotājus hacks un zādzību.

Un jaunie CPU neaizsargātību padara situāciju vēl sliktāk, kā ķēdes darbību var novest pie kļūdas un kompromisu.

"Ja aizsargātais atmiņa problēma ir reāla, tad pārlūka spraudnis vai pat mājas lapā var piekļūt jūsu privātās atslēgas," teica Bitcoin Core ziedotājs Jonas Schnelli.

Pilna informācija par šo jautājumu vēl nav publiski, tāpēc tas ir skaidrs, kāda precīzi uzbrukuma vektori. Tomēr, citi ieteica līdzīgs ietekme varētu būt iespējams.

"Lai sāktu skārusi šī uzbrukuma, viss, kas jums būs jādara, ir noklikšķināt uz saites nejauši, un varbūt jūs galu galā uz tīmekļa vietni, kas kalpo sliktu reklāmu ar ļaunprātīgu kodu, kas zog datus," bīskaps piebilda.

Un, lai gan šie scenāriji varētu izklausīties tālu-fetched, lielākā daļa no šodienas ļaunprātīgu pārtiek līdzīgas ievainojamības, kas vēl nav patched. Tas ir tikai nav iespējams zināt, kas un kad tās tiek faktiski hit.

Operētājsistēma labojumi tagad ir pieejami, ka lietotājiem vajadzētu izmantot, lai aizlāpīt savu Windows, Mac un Linux ierīces. Bet, kriptonauda lietotājiem, labāks variants ir nevis glabāt privātās atslēgas uz interneta ierīces, kas savienota vispār, ieteikumu kopīgu tālu līdz šim īpaši neaizsargāti.

Viena iespēja ir, lai saglabātu privātās atslēgas uz tā saucamo "aparatūras Wallet", piemēram, moduļa vai Trezor. Mazās ierīces varētu nebūt tik viegli izmantot, bet tie ir drošāki, jo to nav savienots ar internetu.

Pavol Rusnak, CTO SatoshiLabs, sabiedrība aiz Trezor, aizgāja tik tālu, ka apgalvo "Izmantojot [aparatūras] maku tagad svarīgāka nekā jebkad agrāk!" Kaut ethereum attīstītājs Lefteris Karapetsas quipped "Es varu saderēt, Spectre un Meltdown ir labākā lieta, kas varētu būt noticis kriptonauda auksts seifu uzņēmumiem."

Exchange dārgumu troves

Beyond solo patērētāju ierīcēs, daudz lielāks, vairāk satraucoši mērķis ir kriptonauda apmaiņas un uzņēmumi, kas uzglabā kriptonauda privātās atslēgas miljoniem lietotāju uzreiz.

Daži kriptonauda apmaiņai izmanto mākonis hostinga pakalpojumus, piemēram, Amazon Web Services un Google Cloud, lai palaistu viņu mājas lapas, nevis spin savu serveri.

Kaut arī šīs platformas padara mājas lapas vieglāk pārvaldīt, tie ir īpaši vulnerableto šiem uzbrukumiem. Hakeris teorētiski varētu spin serveri, izmantojot to pašu aparatūru, kā kriptonauda starta darbojas operācijas tik mākonis platforma, un pēkšņi ir piekļuve visiem saviem datiem.

Jo kriptogrāfiskā pasaulē, hakeris var hipotētiski izmantot šo uzbrukums vektoru nozagt privātās atslēgas.

No vienas puses, daudzi no populārākajām mākonis platformas ātri jāatrullē labojumus. No otras puses, pētnieki jāuztraucas, ka dziļi iesakņojušies ievainojamības varētu nārstot nefiksēto varianti, ar iespējamām ielaistu ietekmi uz priekšu.

SecurityExchangesHardware Maki

Saistītās ziņas


Post Kriptvūža kalnrūpniecība

Bitcoin Miners tagad var atbalstīt signālu SegWit

Post Kriptvūža kalnrūpniecība

Bitmain atbrīvos jaunu Bitcoin Miner piedāvājumu piesaistīt Hobbyists

Post Kriptvūža kalnrūpniecība

Bitcoin Commodity Exchange CEX.io uzliek tirdzniecības maksu, sagatavo USD

Post Kriptvūža kalnrūpniecība

New Classic? Protestētāji jau ir iezīmējuši alternatīvus ēterus

Post Kriptvūža kalnrūpniecība

21 faili par jauno Bitcoin Mining Patent

Post Kriptvūža kalnrūpniecība

ASIC ražotājs HashFast Faces juridisko darbību no Bitcoin Miners

Post Kriptvūža kalnrūpniecība

Neizbēgams krūtis? GPU veidotāji Skatiet kriptogrāfijas ieguvi kā īstermiņa pārdošanas palielinājumu

Post Kriptvūža kalnrūpniecība

Breaking Down Butterfly Labs FTC sūdzību dati

Post Kriptvūža kalnrūpniecība

Bitcoin cena Samazina Sparks Reti ieguves grūtības kritums

Post Kriptvūža kalnrūpniecība

Bitcoin galvenajos virsrakstos: drāmas dakšas

Post Kriptvūža kalnrūpniecība

Ko sagaidīt, kad notiek bitcoīna puse

Post Kriptvūža kalnrūpniecība

Vai gudri līgumā paredzētie kukuļi varētu tikt apdraudēti Bitcoin minerālu baseinos?