08/03/2021 | Blog θέσεις
Το ακόλουθο άρθρο συνοψίζει το τεχνικό ιστολόγιο που δημοσιεύτηκε πρόσφατα από το Καθολικό Donjon ομάδα. Μπορείτε να κάνετε κλικ εδώ να διαβασω αυτό.
Τα προγράμματα λογισμικού που έχουν σχεδιαστεί για να χακάρουν τις προσωπικές μας συσκευές γίνονται όλο και πιο εξελιγμένα. ο Σκάνδαλο spyware Pegasus τονίζει την απειλή που θέτει αυτό το λογισμικό για την τεχνολογία και τις πληροφορίες μας.
Το spyware έχει επίσης κερδίσει την προσοχή της βιομηχανίας κρυπτογράφησης, καθώς ένας αυξανόμενος αριθμός χρηστών και επενδυτών βασίζεται σε πορτοφόλια λογισμικού που λειτουργούν σε μη ασφαλείς υπολογιστές και smartphone. Web3 τα ψηφιακά περιουσιακά στοιχεία, όπως το Bitcoin ή το Ethereum, δεν πρέπει να αποθηκεύονται σε συσκευές Web2 (φορητούς υπολογιστές και smartphone). Αυτό το άρθρο εξηγεί γιατί.
Το spyware "μηδενικές ημέρες" & "μηδενικά κλικ" πολλαπλασιάζεται
Το 2020, ερευνητές δημοσιογράφοι αποκάλυψαν ότι δεκάδες χιλιάδες πολίτες, ακτιβιστές και πολιτικοί ηγέτες στοχοποιήθηκαν από πελάτες του κατασκευαστή spyware, NSO Group. Πρόσφατα, το spyware έγινε πραγματικό διπλωματικό σκάνδαλο με την αποκάλυψη ότι 14 αρχηγοί κρατών και κυβερνήσεων ήταν πρώην στόχοι, συμπεριλαμβανομένου του προέδρου Μακρόν της Γαλλίας και του βασιλιά Μοχάμεντ Ε of του Μαρόκου. Το spyware παρείχε πλήρη πρόσβαση στα smartphone τους.
Πώς έγινε αυτό το spyware ένα τόσο ύπουλο εργαλείο παρακολούθησης; Απλά επειδή ενός συνδυασμού λειτουργιών "μηδενικής ημέρας" και "μηδενικού κλικ". Τι σημαίνει όμως αυτό, ακριβώς;
Μια επίθεση «μηδενικής ημέρας» συμβαίνει όταν οι χάκερ εκμεταλλεύονται μια ευπάθεια σε μια εφαρμογή ή συσκευή άγνωστη στον προμηθευτή του λογισμικού προορισμού. Στην περίπτωση του spyware Pegasus, τα σημεία εισόδου είναι εφαρμογές ανταλλαγής μηνυμάτων (iMessage, WhatsApp, SMS…).
Από την άλλη πλευρά, μια επίθεση "μηδενικού κλικ" εκμεταλλεύεται τρωτά σημεία χωρίς να απαιτείται στόχος για κλικ οπουδήποτε. Αυτά τα τρωτά σημεία έδωσαν στον εισβολέα σχεδόν πλήρη πρόσβαση σε στοχευμένες συσκευές και τα δεδομένα τους: κάμερα, μικρόφωνο, γεωεντοπισμό, εικόνες, συνομιλίες κ.λπ.
Μια "επίθεση μηδενικού μηδενικού κλικ" είναι ένας συνδυασμός των δύο παραπάνω. Ανησυχείτε, όμως;
Αυτές οι επιθέσεις βλάπτουν επίσης τα ψηφιακά σας στοιχεία
Δυστυχώς, "Zero-Day"Και"μηδενικό κλικΟι επιθέσεις δεν περιορίζονται στο λογισμικό υποκλοπής Pegasus. Εάν νομίζατε ότι τα πορτοφόλια λογισμικού σας ήταν εγγενώς ασφαλή, σκεφτείτε το ξανά. Τα παρακάτω βίντεο δείχνουν πόσο εύκολα η ομάδα Ledger Donjon μπόρεσε να χακάρει smartphone και να αποκτήσει πρόσβαση στις φράσεις του MetaMask, Coinbase, να Blockchain.com πορτοφόλια λογισμικού.
Το επόμενο βίντεο προσομοιώνει ένα κακόβουλο λογισμικό που κλέβει τον κωδικό πρόσβασης χρήστη που έχει εισαγάγει το θύμα. Στη συνέχεια, χρησιμοποιείται για την αποκρυπτογράφηση των δεδομένων του πορτοφολιού Electrum και την εμφάνιση του σπόρου.
Το παρακάτω βίντεο επισημαίνει κακόβουλο λογισμικό μεταμφιεσμένο σε ψεύτικο widget Bitcoin ticker. Το κακόβουλο λογισμικό εκμεταλλεύεται μια ευπάθεια συσκευής για να φιλτράρει τον κρυπτογραφημένο σπόρο σε έναν απομακρυσμένο διακομιστή. Ο διακομιστής στη συνέχεια επιβάλλει τον κωδικό πρόσβασης για την αποκρυπτογράφηση του σπόρου:
Το επόμενο βίντεο δείχνει μια ισοδύναμη διαδικασία με ένα Πορτοφόλι Coinbase:
Αυτό το τελευταίο βίντεο δείχνει spyware που στοχεύει ένα πορτοφόλι Blockchain.com. Μόλις ο χρήστης πιστοποιήσει τη χρήση του δακτυλικού αποτυπώματος του θύματος, το κλειδί κρυπτογράφησης ξεκλειδώνεται και τα δεδομένα πορτοφολιού αποκρυπτογραφούνται:
Συνολικά, η διαδικασία είναι πολύ απλή. Ο χάκερ σας στέλνει ένα μήνυμα χωρίς να ειδοποιηθείτε. Το μήνυμα εκμεταλλεύεται μια ευπάθεια που επιτρέπει στους επιτιθέμενους να κατασκοπεύουν την εφαρμογή σας και να εκφράζουν τη φράση σας μέσω του Διαδικτύου. Ο χάκερ στέλνει τον σπόρο πίσω στον υπολογιστή του. Δεν απαιτείται κλικ και είναι μια κακόβουλη εκμετάλλευση, τουλάχιστον.
Όσο για την κρυπτογράφηση σας; Χαμένος.
Το μάθημα είναι σαφές: μην τοποθετείτε τα ψηφιακά σας στοιχεία Web3 σε συσκευές Web2 όπως φορητούς υπολογιστές και smartphone! Δεν είναι ασφαλείς από τη σχεδίαση, πράγμα που σημαίνει ότι εκτελούνται σε προγράμματα λογισμικού (iOS ή Android) που δεν σας επιτρέπουν να αφήσετε τα υπάρχοντά σας σε έναν ασφαλή θύλακα.
Γιατί η ασφάλεια στα κρυπτονομίσματα πρέπει να βασίζεται σε υλικό;
Το κρυπτικό σύμπαν είναι γεμάτο θησαυρούς, αλλά η περιπέτεια κάποιου πρέπει να είναι ΠΑΝΤΑ ασφαλής. Να γιατί τα πορτοφόλια υλικού μας, Ledger Nano S και Nano X, είναι οι πιο ασφαλείς λύσεις αποθήκευσης για τα ψηφιακά σας στοιχεία:
- Πρώτον, σας προστατεύουν από κακόβουλο λογισμικό, από το σχεδιασμό τους. Τα πορτοφόλια υλικού μας είναι ανεξάρτητες συσκευές που υπογράφουν συναλλαγές μόνοι τους. Τα κρυπτογραφικά υλικά των ιδιωτικών κλειδιών παραμένουν πάντα μέσα στη συσκευή. Δεν αποστέλλονται ποτέ στην εφαρμογή με την οποία επικοινωνούν. Ως εκ τούτου, τα κλειδιά σας διατηρούνται εκτός σύνδεσης, όπου κακόβουλο λογισμικό δεν έχει πρόσβαση σε αυτά.
- Δεύτερον, οι συσκευές μας ενσωματώνουν μια οθόνη που σας επιτρέπει να επαληθεύετε τις ενέργειές σας όταν αλληλεπιδράτε με τα μυστικά σας κλειδιά. Όταν πραγματοποιείτε συναλλαγές σε κινητό τηλέφωνο ή επιτραπέζιο υπολογιστή, το κακόβουλο λογισμικό μπορεί να έχει πρόσβαση στις πληροφορίες σας ή ακόμη και να αλλάξει/τροποποιήσει τις διευθύνσεις σας. Τα στοιχεία ελέγχου ταυτότητας στη συσκευή μας είναι πολύ αποτελεσματικά αντίμετρα.
Τα κλειδιά εκτός σύνδεσης και οι έλεγχοι ταυτότητας στη συσκευή είναι κρίσιμα εργαλεία για την πλήρη ασφάλεια των ψηφιακών στοιχείων σε συσκευές υλικού.
Συμπέρασμα:
Καθώς τα κρυπτονομίσματα γίνονται πιο κοινά, οι επιθέσεις εναντίον πορτοφολιών, δυστυχώς, θα γίνονται όλο και πιο εξελιγμένες. Στο Ledger, στοχεύουμε να σας προσφέρουμε την πιο ασφαλή εμπειρία κατά τη διαχείριση των ψηφιακών σας περιουσιακών στοιχείων.
Πηγή: https://www.ledger.com/blog/pegasus-spyware-is-your-crypto-safe
- &
- 2020
- πρόσβαση
- Περιπέτεια
- Επιτρέποντας
- android
- app
- Εφαρμογή
- εφαρμογές
- άρθρο
- Ενεργητικό
- Επιθέσεις
- Bitcoin
- blockchain
- Blog
- Μηνύματα Blog
- πελάτες
- coinbase
- Κοινός
- υπολογιστές
- περιεχόμενο
- συνομιλίες
- κρυπτο
- Crypto Βιομηχανία
- cryptocurrencies
- ημερομηνία
- Αποκρυπτογράφηση
- Υπηρεσίες
- Συσκευές
- DID
- ψηφιακό
- Ψηφιακά περιουσιακά στοιχεία
- Electrum
- κρυπτογράφηση
- κ.λπ.
- ethereum
- εμπειρία
- Εκμεταλλεύομαι
- απομίμηση
- Χαρακτηριστικά
- Γαλλία
- πλήρη
- Κυβέρνηση
- Group
- σιδηροπρίονο
- χάκερ
- χάκερ
- υλικού
- Πορτοφόλια υλικού
- Πως
- HTTPS
- Συμπεριλαμβανομένου
- βιομηχανία
- πληροφορίες
- Internet
- Επενδυτές
- iOS
- IT
- Κλειδί
- πλήκτρα
- βασιλιάς
- φορητούς υπολογιστές
- Καθολικό
- Περιωρισμένος
- κατασκευαστής
- malware
- υλικά
- μηνυμάτων
- εφαρμογές ανταλλαγής μηνυμάτων
- Κινητό
- κινητό τηλέφωνο
- Μαρόκο
- nano
- Ομάδα NSO
- ανοίγει
- ΑΛΛΑ
- Κωδικός Πρόσβασης
- φράσεις
- παίχτης
- Δημοσιεύσεις
- πρόεδρος
- ιδιωτικός
- Ιδιωτικά κλειδιά
- Προγράμματα
- προστασία
- τρέξιμο
- τρέξιμο
- ένα ασφαλές
- Ασφάλεια
- Οθόνη
- σπόρος
- Απλούς
- smartphones
- λογισμικό
- Λύσεις
- Μελών
- παραμονή
- χώρος στο δίσκο
- επιτήρηση
- στόχος
- Τεχνικός
- Τεχνολογία
- Συναλλαγές
- Χρήστες
- Βίντεο
- Βίντεο
- Θέματα ευπάθειας
- ευπάθεια
- Πορτοφόλι
- Πορτοφόλια
- Web3
- X
- YouTube
