W ramach najnowszych, ekstraordynaryjnie zaskakujących doniesień – z gatunku tych, które nie zaskoczą zupełnie nikogo – przedstawiciele Trezora przyznali, że klucze prywatne do środków przechowywanych w portfelach sprzętowych firmy mogą wpaść w (bardzo) niepowołane ręce. Na przykład te należące do cyberprzestępców.
Konstatacja owa padła w dyskusji na oficjalnym forum firmy. W odpowiedzi na pytanie użytkownika, przedstawiciele firmy dość bezpośrednio potwierdzili, że i owszem, możliwe jest, by z jej portfeli „wyeksfiltrować” prywatne klucze posiadaczy. Może do tego dojść, gdy firmware zostanie w jakikolwiek sposób skompromitowane przez osoby trzecie.
Choć bowiem oprogramowanie portfeli jest open-sourcowe i może podlegać niezależnej kontroli ze strony społeczności i użytkowników, nie czyni go to odpornym na ataki, lecz jedynie nieco odporniejszym.
Wniosek w istocie banalny – tam, gdzie mamy do czynienia z software’m, w dodatku mającym połączenie z siecią i podatnym na regularne, zewnętrzne modyfikacje (a.k.a. aktualizacje), oczywistym jest, że możliwe jest też jego zhakowanie.
Zwłaszcza jeśli przypadki złamania zabezpieczeń centralnych systemów firmowych bynajmniej nie należą do niespotykanych. A same firmy, jakoś tak się składa, jakże często okazują się dysponować jakąś formą backdoorów do swojego sprzętu, niezależnie od tego, co oficjalnie mówiliby ich przedstawiciele.
.
Jeden mały backdoor nie zaszkodzi…
Nie tak dawno świat obiegła informacja o podatności portfeli Trezora na atak za pomocą nieomal sztampowej metody brute force. Szerzej o tej niejedynej zresztą kwestii, którą lepiej wziąć pod uwagę przy korzystaniu z tych urządzeń, wspominaliśmy tutaj:
.
Trezor jest także daleko nie jedyną firmą w tym segmencie rynku, do której produktów mądrze będzie podchodzić z nieco ograniczonym zaufaniem. Jego konkurent, Ledger, prócz innych wtop i uchybień bezpieczeństwa zasłynął niedawno publiczną aferą. Wynikła ona z faktu, że chciał on przechowywać klucze prywatne użytkowników u „zaufanej” trzeciej strony:
Zupełnie jakby wyeliminowanie tejże pseudo-zaufanej strony nie było Świętym Graalem kryptowalut i ich użytkowników…
.
Co tam ciekawego skrywasz, podatniku?
Z samego faktu technicznej możliwości wyekstrahowania kluczy wynika kolejna, bardzo niepokojąca konsekwencja. Hakerzy nie są jedynymi indywiduami, które w ten sposób mogłyby położyć swe chciwe dłonie na zawartości portfela Trezora. Inną kategorią mogącą mieć takie zamiary są agenci, pracownicy, urzędnicy i przydupnicy tzw. władz, z punktu widzenia posiadacza krypto być może i gorszą.
W przypadku przestępców bowiem, jeśli spróbują oni przejąć czyjeś zasoby, mogą zostać za to skazani i uwięzieni (jeśli, naturalnie, ktokolwiek i kiedykolwiek by ich wytropił). Jeśli natomiast zasoby posiadacza zapragnęłoby przejąć państwo, to samemu posiadaczowi mogłyby grozić szykany i odsiadka za niedostatecznie entuzjastyczną współpracę przy zagarnianiu przez rzeczone państwo jego własności. W dodatku miałoby to miejsce „legalnie”.
Logicznym będzie wniosek, że jeśli państwo (jakiekolwiek) może prawnie zmusić firmę (dowolną) do udostępnienia jej kluczy do królestwa – a firma jest w stanie technicznie tego dokonać – to prędzej czy później to nastąpi. Warto mieć to na uwadze, wybierając przytulne miejsce dla swoich kryptowalutowych oszczędności.
.
Może Cię zainteresować: