Spyware Pegasus: ¿Es segura su criptografía?

08/03/2021 | Posts del Blog

• 

El siguiente artículo resume el blog técnico publicado recientemente por el Torreón del libro mayor equipo. Puede hacer clic esta página leer él.

Los programas de software diseñados para piratear nuestros dispositivos personales son cada vez más sofisticados. los Escándalo de software espía de Pegasus destaca la amenaza que este software representa para nuestra tecnología e información. 

El software espía también ha atraído la atención de la industria de la criptografía, ya que un número cada vez mayor de usuarios e inversores confían en carteras de software que se ejecutan en computadoras y teléfonos inteligentes que no son seguros. Web3 Los activos digitales, como Bitcoin o Ethereum, no deben almacenarse en dispositivos Web2 (computadoras portátiles y teléfonos inteligentes). Este artículo explica por qué.

Prolifera el software espía de "días cero" y "cero clics"

En 2020, los reporteros de investigación revelaron que decenas de miles de ciudadanos, activistas y líderes políticos fueron atacados por clientes del fabricante de software espía NSO Group. Recientemente, el software espía se convirtió en un verdadero escándalo diplomático con la revelación de que 14 jefes de Estado y de gobierno eran objetivos anteriores, entre ellos el presidente Macron de Francia y el rey Mohammed V de Marruecos. El software espía proporcionó acceso completo a sus teléfonos inteligentes.

¿Cómo se convirtió este software espía en una herramienta de vigilancia tan insidiosa? Simplemente porque de una combinación de funciones de "día cero" y "clic cero". Pero, ¿qué significa eso exactamente? 

Un ataque de "día cero" ocurre cuando los piratas informáticos aprovechan una vulnerabilidad en una aplicación o dispositivo desconocido para el proveedor del software de destino. En el caso del software espía Pegasus, los puntos de entrada son las aplicaciones de mensajería (iMessage, WhatsApp, SMS…). 

Por otro lado, un ataque de "clic cero" aprovecha las vulnerabilidades sin necesidad de que un objetivo haga clic en cualquier lugar. Estas vulnerabilidades le dieron al atacante un acceso casi completo a los dispositivos específicos y sus datos: cámara, micrófono, geolocalización, imágenes, conversaciones, etc. 

Un "ataque de día cero con clic cero" es una combinación de los dos anteriores. ¿Preocupado, todavía?

Estos ataques también dañan sus activos digitales 

Desafortunadamente, "día cero y Clic cero”Los ataques no se limitan al software espía Pegasus. Si pensaba que sus carteras de software eran intrínsecamente seguras, piénselo de nuevo. Los siguientes videos muestran la facilidad con la que nuestro equipo de Ledger Donjon pudo piratear teléfonos inteligentes y acceder a las frases iniciales de MetaMask, Coinbasey Blockchain.com carteras de software.

El siguiente video simula un malware que roba la contraseña de usuario ingresada por la víctima. Luego se usa para descifrar los datos de la billetera Electrum y mostrar la semilla.

El siguiente video destaca el malware disfrazado de un widget de teletipo de Bitcoin falso. El malware aprovecha la vulnerabilidad de un dispositivo para filtrar la semilla cifrada a un servidor remoto. Luego, el servidor fuerza bruta la contraseña para descifrar la semilla: 

El siguiente video muestra un proceso equivalente con Coinbase Wallet:

Este último video muestra software espía dirigido a una billetera de Blockchain.com. Una vez que el usuario se ha autenticado con la huella digital de la víctima, se desbloquea la clave de cifrado y se descifran los datos de la cartera: 

En general, el proceso es bastante sencillo. El hacker le envía un mensaje sin que se le notifique. El mensaje explota una vulnerabilidad que permite a los atacantes espiar su aplicación y exfiltrar su frase inicial a través de Internet. Luego, el hacker envía la semilla a su propia computadora. No se necesita ningún clic y es un exploit malicioso, por decir lo menos. 

¿En cuanto a tu criptografía? Desaparecido.

La lección es clara: ¡No coloque sus activos digitales Web3 en dispositivos Web2 como computadoras portátiles y teléfonos inteligentes! No son seguros por diseño, lo que significa que se ejecutan en programas de software (iOS o Android) que no le permiten dejar sus pertenencias en un enclave seguro.. 

¿Por qué la seguridad en las criptomonedas debe estar basada en hardware?

El universo criptográfico está lleno de tesoros, pero la aventura SIEMPRE debe ser segura. He aquí por qué nuestras carteras de hardware, Ledger Nano S y Nano X, son las soluciones de almacenamiento más seguras para sus activos digitales:

• Primero, lo protegen contra el malware, por diseño. Nuestras carteras de hardware son dispositivos independientes que firman transacciones por sí mismos. Los materiales criptográficos de las claves privadas siempre permanecen dentro del dispositivo. Nunca se envían a la aplicación con la que se comunican. Por lo tanto, sus claves se mantienen fuera de línea donde el malware no puede acceder a ellas. 

• En segundo lugar, nuestros dispositivos incorporan una pantalla que le permite verificar sus acciones cuando interactúa con sus claves secretas. Cuando realiza transacciones en un teléfono móvil o computadora de escritorio, el malware puede acceder a su información o incluso intercambiar / modificar sus direcciones. Nuestras autenticaciones en el dispositivo son contramedidas muy eficientes.

Las claves sin conexión y las autenticaciones en el dispositivo son herramientas críticas para proteger completamente los activos digitales en los dispositivos de hardware. 

Conclusión:

A medida que las criptomonedas se vuelvan más comunes, los ataques contra billeteras, desafortunadamente, se volverán cada vez más sofisticados. En Ledger, nuestro objetivo es brindarle la experiencia más segura al administrar sus activos digitales.

Fuente: https://www.ledger.com/blog/pegasus-spyware-is-your-crypto-safe