💬 Технический директор Ledger о проблемах безопасности криптовалюты

Технический директор Ledger о проблемах безопасности криптовалюты

CryptoSlate встретился с техническим директором Ledger Шарлем Гийме в BTC Прага по ряду тем, от того, что на самом деле произошло во время эксплойта Ledget ConnectKit, до сложных проблем, связанных с защитой такого большого процента цифровых активов в мире. Опыт Гийме, глубоко укоренившийся в криптографии и аппаратной безопасности, обеспечивает прочную основу для его роли в Ledger. Он начал свою карьеру с разработки безопасных интегральных схем, что позже воплотилось в его подходе к созданию защищенных элементов для устройств Ledger.

Проблемы безопасности в блокчейне и биткойнах

В ходе интервью Шарль Гийме подробно остановился на различных проблемах безопасности, связанных с технологией блокчейн и биткойн. Его идеи были сформированы его обширным опытом в области безопасных интегральных схем и криптографии.

Гийме пояснил, что в традиционных банковских картах и ​​паспортах ключи безопасности находятся в ведении банка или государства. Однако в технологии блокчейна люди управляют своими собственными ключами. Этот фундаментальный сдвиг создает серьезные проблемы с безопасностью, поскольку пользователи должны гарантировать, что их ценности защищены от несанкционированного доступа и потери. Он подчеркнул:

«В регистровых устройствах вы управляете своими ключами, а в банковских картах и ​​паспорте — это тайна вашего банка или государства. В этом большая разница».

«В регистровых устройствах вы управляете своими ключами, а в банковских картах и ​​паспорте — это тайна вашего банка или государства. В этом большая разница».

Поскольку пользователи владеют своими ценностями, становится обязательным обеспечить их защиту, гарантируя, что они не будут потеряны или доступны посторонним лицам. Это требует принятия надежных мер для предотвращения доступа вредоносных программ и защиты от физических атак.

«Наличие специального устройства — лучший способ сделать это. А также вы должны помешать злоумышленнику, имеющему физический доступ, получить доступ к вашим секретам».

«Наличие специального устройства — лучший способ сделать это. А также вы должны помешать злоумышленнику, имеющему физический доступ, получить доступ к вашим секретам».

Технический директор также отметил, что неизменность блокчейна делает проблему безопасности еще более серьезной. Технология Ledger обеспечивает более 20 процентов рыночной капитализации, что соответствует примерно 500 миллиардам долларов. Эта огромная ответственность достигается за счет использования лучших доступных технологий для обеспечения безопасности. Гийме уверенно заявил, что на данный момент их подход оказался успешным, что позволило ему спокойно спать по ночам, несмотря на высокие ставки.

Реакция Ledger на нарушения безопасности и безопасность цепочки поставок

Шарль Гийме рассказал о подходе Ledger к устранению нарушений безопасности, в частности об инциденте, связанном с Ledger ConnectKit. Он описал проблему, которую создают атаки на программное обеспечение в цепочке поставок, подчеркнув сложность полного предотвращения таких атак.

Обсуждая взлом, Гийме рассказал, как учетная запись разработчика была скомпрометирована с помощью фишинговой ссылки, в результате чего злоумышленник получил ключ API. Это позволило злоумышленнику внедрить вредоносный код в репозиторий NPM, используемый веб-сайтами, интегрирующими устройства Ledger. Он подчеркнул быструю реакцию Ledger на смягчение последствий:

«Мы очень быстро заметили атаку и смогли очень быстро ее остановить. С того момента, как он взломал доступ и мы остановили атаку, прошло всего пять часов».

«Мы очень быстро заметили атаку и смогли очень быстро ее остановить. С того момента, как он взломал доступ и мы остановили атаку, прошло всего пять часов».

Несмотря на взлом, ущерб был ограничен благодаря оперативным действиям Ledger и встроенным функциям безопасности их устройств, которые требуют от пользователей вручную подписывать транзакции, гарантируя, что они проверят детали транзакции.

Кроме того, Гийме обсудил более широкую проблему безопасности цепочки поставок, подчеркнув сложность управления уязвимостями программного обеспечения. Он отметил, что, хотя комплексная проверка и передовой опыт могут помочь, полное предотвращение атак в цепочке поставок остается серьезной проблемой. Он привел пример сложной атаки на цепочку поставок:

«Недавно у LG был пакет в дистрибутиве UNIX, который был взломан кем-то, вложившим в репозиторий с открытым исходным кодом и использующим SSH-серверы. Прежде чем его заметили, вирус распространился на каждый сервер в мире».

«Недавно у LG был пакет в дистрибутиве UNIX, который был взломан кем-то, вложившим в репозиторий с открытым исходным кодом и использующим SSH-серверы. Прежде чем его заметили, вирус распространился на каждый сервер в мире».

Этот пример иллюстрирует повсеместный характер атак на цепочки поставок, а также трудности их обнаружения и смягчения. Возможно, неудивительно, что он выступал за использование аппаратных кошельков для криптобезопасности. Однако он умело объяснил почему, уточнив, что они предлагают ограниченную поверхность атаки и могут быть тщательно проверены.

Человеческие и технические угрозы безопасности

Шарль Гийме представил всесторонний обзор многогранной природы угроз безопасности в пространстве блокчейнов, охватывающих как человеческие, так и технические элементы. Он подчеркнул, что злоумышленники в высокой степени ориентированы на результат и постоянно развивают свои стратегии, исходя из стоимости и потенциального вознаграждения за свои атаки. Первоначально были распространены простые фишинговые атаки, которые заставляли пользователей вводить фразы восстановления из 24 слов. Однако по мере того, как пользователи стали более осведомленными, злоумышленники изменили свою тактику в сторону более изощренных методов.

Гийем объяснил:

«Теперь злоумышленники обманом заставляют пользователей подписывать сложные транзакции, которые они не понимают, что приводит к опустошению их кошельков».

«Теперь злоумышленники обманом заставляют пользователей подписывать сложные транзакции, которые они не понимают, что приводит к опустошению их кошельков».

Он отметил рост организованных операций по сливу криптовалюты, когда различные стороны сотрудничают для создания и использования средств утечки криптовалюты, распределяя доходы на уровне смарт-контрактов. Гиллеме предсказал, что будущие атаки могут быть сосредоточены на программных кошельках на телефонах, используя уязвимости нулевого дня, которые могут обеспечить полный доступ к устройству без взаимодействия с пользователем.

Учитывая присущую мобильным и настольным устройствам уязвимость, Гиллеме подчеркнул важность признания того, что эти устройства по умолчанию не защищены. Он рекомендовал:

«Если вы думаете, что ваши данные на вашем настольном компьютере или ноутбуке защищены, подумайте еще раз. Если злоумышленник намерен извлечь данные, ничто не помешает ему это сделать».

«Если вы думаете, что ваши данные на вашем настольном компьютере или ноутбуке защищены, подумайте еще раз. Если злоумышленник намерен извлечь данные, ничто не помешает ему это сделать».

Он посоветовал пользователям избегать хранения конфиденциальной информации, такой как начальные данные или файлы кошельков, на своих компьютерах, поскольку они являются основной целью для злоумышленников.

Баланс между безопасностью и удобством использования является серьезной проблемой в индустрии криптокошельков. Подход Ledger отдает приоритет безопасности как Полярной звезде, одновременно постоянно стремясь улучшить взаимодействие с пользователем. Гиллеме признал, что такие функции, как Ledger Recover, призванные упростить взаимодействие с пользователем, вызвали споры. Он объяснил, что, хотя такие функции предназначены для того, чтобы помочь новичкам легче управлять фразами восстановления из 24 слов, они совершенно необязательны:

«Мы предоставляем варианты, даем выбор. Это открытая платформа. Если вам не нравится функция, вам не обязательно ее использовать».

«Мы предоставляем варианты, даем выбор. Это открытая платформа. Если вам не нравится функция, вам не обязательно ее использовать».

Цель состоит в том, чтобы удовлетворить потребности широкого круга пользователей: от тех, кто предпочитает полный контроль над своей безопасностью, до тех, кому нужны более удобные для пользователя решения. Гийеме признал, что массовое внедрение цифровых активов требует решения проблем удобства использования без ущерба для безопасности. Ledger стремится достичь этого баланса, предлагая гибкие возможности при сохранении самых высоких стандартов безопасности.