Archivi tag: Trezor

Kraken identifica UNA FALLA nei WALLET hardware Trezor

Kraken Security Labs ha escogitato un modo per estrarre i seed ( le parole che costituiscono la chiave privata) da entrambi i portafogli hardware di criptovaluta offerti dal leader del settore Trezor, Trezor One e Trezor Model T. L’attacco richiede solo 15 minuti di accesso fisico al dispositivo. Questa è la prima volta che vengono descritti i passaggi dettagliati per un attacco in corso contro questi dispositivi.

Ecco come è stato possibile:

  • Questo attacco si basa sul glitching della tensione per estrarre un seme crittografato. Questa ricerca inizialmente ha richiesto un po’ di know-how e diverse centinaia di dollari di attrezzature, ma si stima che si potrebbe produrre in serie un dispositivo di glitching adatto al consumatore che potrebbe essere venduto per circa $ 75.
  • Si riesce quindi a crackare il seed crittografato, che è protetto da un PIN di 1-9 cifre, con un banale attacco di forza bruta (brute force).

L’attacco sfrutta i difetti intrinsechi all’interno del microcontrollore utilizzato nei walletTrezor. Questo purtroppo significa che per il team Trezor è difficile fare qualcosa su questa vulnerabilità senza una riprogettazione dell’hardware.

Fino ad allora, ecco cosa si può fare per proteggersi:

  • Non consentire a nessuno l’accesso fisico al tuo portafoglio Trezor
    Potresti perdere definitivamente la tua criptovaluta
  • Abilitare la passphrase BIP39 con il client Trezor
    Questa passphrase è poco pratica da usare nella pratica, ma non è memorizzata sul dispositivo e quindi è una protezione che impedisce questo attacco.

Questo attacco è molto simile alla precedente ricerca di Kraken sul portafoglio KeepKey, prevedibilmente perché KeepKey è un derivato e tutti i dispositivi si basano sulla stessa famiglia di chip. Trezor conosce questi difetti sin dalla progettazione dei portafogli.

Altre squadre, come Ledger Donjon, hanno anche eseguito varianti di questo attacco, sebbene i dettagli completi non siano mai stati resi pubblici fino ad ora.

Questi chip non sono progettati per archiviare password e seed e questa ricerca sottolinea che fornitori come Trezor e KeepKey non devono fare affidamento esclusivamente su di essi per proteggere la tua criptovaluta.

Fortunatamente il team di Kraken lavora in collaborazione con il team Trezor per coordinare questa divulgazione e sarebbe bene leggersi anche la loro risposta. Pavol Rusnak, CTO di SatoshiLabs, ha infatti dichiarato “Siamo felici che i Kraken Security Labs stiano investendo le loro risorse per migliorare la sicurezza dell’intero ecosistema Bitcoin. Abbiamo a cuore questo tipo di divulgazione e cooperazione responsabile “.

Nei Kraken Security Labs, si prova infatti a scoprire attacchi contro la comunità crittografica prima che i cattivi lo facciano. Hanno perciò divulgato in modo responsabile i dettagli completi di questo attacco al team Trezor già il 30 ottobre 2019. Questa divulgazione di vulnerabilità è resa pubblica soltanto ora in modo che la comunità crittografica possa proteggersi prima che venga rilasciato un fix dal team Trezor.

Non intendiamo in quest’articolo tediarvi con i dettagli tecnici di come eseguire l’operazione di estrazione delle chiavi private dai wallet hardwar Trezor, ma per chi fosse interessato può trovare tutte le informazioni QUI

Se scopri qualcosa, guadagni qualcosa
Il Kraken Security Labs è sempre alla ricerca di vulnerabilità che potrebbero costituire una minaccia per i loro clienti.
Chi è interessato ad aiutarli a identificare potenziali bug sulla loro piattaforma di scambio (exchanger), dia un’occhiata al loro programma Bug Bounty.
Pagano un minimo di $ 100 per ogni problema da voi scoperto e molto di più per minacce gravi.

BITCOIN WALLET – Il portafoglio bitcoin – Guida pratica

Il wallet Bitcoin è il conto o il portafogli su cui si detengono, inviano e ricevono i bitcoin, visualizzato con una stringa alfanumerica molto lunga (34 caratteri) detta CHIAVE PUBBLICA, iniziante per 1 o per 3  nel caso di indirizzi wallet legacy o per “bc” nel caso di indirizzi wallet segwit. Esso  ha la funzione di RICEVERE i bitcoin che arriveranno a quel wallet e si usa proprio come un IBAN bancario. Il wallet contiene anche la CHIAVE PRIVATA, che non è normalmente visibile e che permette di  INVIARE i bitcoin. La  chiave privata è desumibile dal backup del wallet attraverso una PASSPHRASE, ovvero una serie di dodici (o più) parole che servono a recuperare il wallet ed i fondi in bitcoin in esso contenuto in caso di smarrimento o distruzione/furto del wallet. E’ quindi buona pratica fare SEMPRE il back up del wallet per evitare di perdere irrevocabilmente i fondi bitcoin in esso contenuti. Da una chiave pubblica ( indirizzo bitcoin) infatti, non si può mai risalire alla chiave privata, mentre la chiave privata può generare “n” (infinite) chiavi pubbliche. Le transazioni bitcoin sono identificate con stringhe alfanumeriche ancora più lunghe di quelle dei wallet ( Transaction ID) . Queste stringhe alfanumeriche (transaction ID) e gli  indirizzi wallet (address wallet) possono svelare il saldo e tutti i movimenti del wallet se posti in consultazione sulla Blockchain, un registro pubblico inalienabile e immutabile, condiviso in rete tra tutti gli utenti bitcoin perchè contenuto nel wallet. Blockchain e indirizzi bitcoin non rivelano MAI e non sono MAI associabili al proprietario del wallet e dei bitcoin contenuti, nè il luogo fisico dove sono conservati i bitcoin. Questo è il motivo perchè i Bitcoin ed i wallet sono considerati anonimi, anche se in realtà è più corretto affermare che siano pseudonimi come, ad esempio, un indirizzo email  al cui proprietario si può risalire solo attraverso l’analisi dell’IP collegato in rete.  Esattamente il contrario perciò di quanto si possa desumere da un IBAN bancario che rivela il nominativo del proprietario del conto e l’indirizzo fisico della filiale dove quel conto è stato acceso, ma non il saldo e i movimenti del conto rappresentato in IBAN.

Fatte queste doverose premesse, una delle prime domande che ci si pone quando si vuole cominciare ad utilizzare i bitcoin è come fare a riceverli, detenerli, inviarli.     Si tenga sempre preliminarmente presente che il Bitcoin è uno strumento di piena libertà economica e finanziaria  e non necessita, anzi rifugge dall’essere affidato a intermediari come banche, istituti finanziari o assicurativi o peggio, come alcuni erroneamente fanno, su wallet/conti di terze parti come le piattaforme exchanger (Coinbase, Localbitcoin, Paxful  su tutte) o servizi vari online: è un po’ come lasciare il proprio portafogli dal salumiere e utilizzare i soldi che vi sono contenuti per comprare da lui o spenderli solo negli orari di apertura del negozio, quando il salumiere sarà disponibile. Uno dei problemi più diffusi dei wallet su terze parti  rispetto ad  un wallet di proprietà,  è infatti che non  si possiedono le chiavi private ( quelle che di fatto ci permettono di spendere/inviare i nostri bitcoin) e si resta  così esposti al volere ed alle regole del servizio che ospita i nostri bitcoin. Significa nel concreto che anche quando vi inviano bitcoin a quel wallet, non li vedrete immediatamente come normalmente accade con un wallet di proprietà , ma dovrete aspettare  che la transazione abbia le prime conferme dei blocchi di verifica  (cominci cioè ad essere verificata); ciò significa che potrebbero passare decine di minuti se non addirittura ore prima che possiate vedere su quel wallet i bitcoin che vi sono stati inviati, con il disagio che potete immaginare e il sospetto magari di essere stati imbrogliati. La scelta del wallet bitcoin appropriato  è quindi fondamentale per iniziare con il piede giusto e questo significa scaricarsi un wallet che ti permetta di gestire e salvare le chiavi private in modo di avere sempre il controllo dei propri bitcoin.

Quando si ha a che fare con i bitcoin si deve anche sempre tenere presente che chi li ha inventati , ha mutuato l’oro e il denaro contante, perciò molte domande che ci poniamo, trovano soluzione nel mondo reale proprio comportandoci come se possedessimo la stessa quantità d’oro o il suo equivalente in banconote. Ve ne andreste in giro con 50.000 euro in contanti  in tasca nel portafoglio? Ne dubito, soprattutto per il pericolo di perdere questa ingente somma e per motivi di sicurezza personale. Per questa ragione ed essendo  i wallet (portafogli) bitcoin scaricabili gratuitamente dalla Rete anche seguendo questo link, vi invito a scegliere  sempre i wallet adeguati alle vostre esigenze .

Il loro funzionamento è estremamente semplice ed intuitivo: tutti i wallet hanno tre sezioni : SALDO dove troverete il saldo attuale e lo storico di tutte le transazioni , INVIA per inviare i bitcoin dal vostro wallet ad un altro indirizzo ( bitcoin address) , RICEVI dove si genera il bitcoin address da passare alla controparte o il qr-code da far scansionare  per ricevere i bitcoin.  Tutti i bitcoin wallet hanno la possibilità di accesso sotto password, anche se naturalmente ciò non basta per mettere al sicuro il vostro capitale in bitcoin. L’importante è ricordare che i bitcoin non scompaiono per magia dal vostro wallet e virus e hackers riescono a penetrare nei vostri sistemi informatici perchè VOI li fate entrare, con qualche vostra disattenzione o negligenza.

Passiamo ora a vagliare quale tipo di wallet potrebbe servire alle nostre esigenze e quale scegliere. Ricordate sempre che i wallet bitcoin sono ANONIMI e GRATUITI,  anche quelli ” di proprietà”  che scaricate su pc o su cellulare. Se quindi vi saranno richieste credenziali soldi o dati personali, sicuramente potrete saltarli piè pari e scaricare comunque il wallet.  Se per esempio vogliamo che il nostro wallet abbia lo stesso utilizzo del portafoglio che abbiamo in tasca per le spese quotidiane, diciamo fino ad un massimo di 500- 1000€ , consiglio di aprire un wallet online come Blockchain walletche ha la praticità di poterlo configurare sul web e clonare poi anche sui propri dispositivi portatili come tablet e smartphones utilizzando l’omonima app scaricata dai rispettivi store e viceversa, si può scaricare come app e poi utilizzare le credenziali con il browser web  dal vostro computer.  Per il fatto di avere costantemente online  i vostri bitcoin e quindi sempre disponibili ad attacchi informatici,, sconsiglio di tenere per lungo tempo cifre superiori a quelle descritte su wallet sempre online.

Se l’esigenza invece è quella di conservare quantitativi di bitcoin di maggior valore e per più lungo tempo , diciamo fino a 5-10 mila euro su wallet bitcoin che equivalga ad un conto corrente bancario, ecco che sarà consigliabile depositarli su programmi wallet scaricabili solo su pc per Windows, IOS o Linux dove si potrà evitare virus e hackers anche semplicemente  staccando il computer dalla rete internet o meglio ancora spegnendolo dopo l’utilizzo. Suggerisco in questi casi di scaricarsi programmi come Electrum  e  di leggere questa guida approfondita su come utilizzarlo.

Infine per proteggere continuativamente quantitativi di bitcoin rilevanti e superiori anche ai 10.000 euro di valore il consiglio è di usare hardware wallets, portafogli fisici come il CASE di cui trovate qui la recensione o in alternativa il Trezor o un Ledger Nano.

Un discorso a parte va fatto per i paper wallets . Un paper wallet è un modo di custodire i bitcoins che consiste nello stampare il bitcoin address (la stringa alfanumerica o indirizzo bitcoin)e le chiavi private su un foglio di carta. Quando fatto in maniera appropriata  è uno dei modi possibili più sicuri (e meno costosi) di custodire i bitcoins. I suoi limiti sono dati dall’evidenza in cui le chiavi pubbliche e private sono stampate sulla carta e il supporto stesso che richiede sia conservato in luoghi adeguati (ad es. in cassaforte). Per poter inviare i bitcoin contenuti in un paper wallet bisognerà assorbire attraverso la scansione del qr-code, le chiavi private sulla applicazione wallet del proprio dispositivo portatile. Uno dei primi e migliori siti di generazione di paper wallet che vi invito ad utilizzare è Bitaddress, facile ed assolutamente intuitivo.

IMPORTANTISSIMO

 Tutti i wallet di proprietà vi danno la possibilità di fare il backup delle chiavi private ( quelle che di fatto permettono l’invio dei bitcoin dal wallet a un altro wallet), cosa che vi consiglio caldamente di fare e nella maggior parte dei casi sono rappresentate da 12 o più parole che vanno conservate in un luogo sicuro FUORI dal pc o dal dispositivo dove avete scaricato il wallet per evitare, se hackerati, di farsele rubare. Queste 12 o più parole vi permetteranno di ricostruire i vostro wallet ovunque e di recuperare sempre i vostri bitcoin.

Per chi volesse leggere e approfondire l’argomento:

http://www.portafoglioelettronicomigliore.com/bitcoin-wallet.asp

Come inviare i Bitcoin da un portafoglio di carta

http://www.kensan.it/articoli/Paper_wallet.php

http://darkwhite666.blogspot.it/2016/10/differenze-tra-wallet-virtuali-software.html

https://www.bitaddress.org/

Articolo aggiornato al 20 novembre 2020