FORO DE VIGILANTES DE SEGURIDAD Y NOTICIAS
REGISTRATE Y CONECTATE AL FORO Y PODRAS VER Y DESCARGAR MUCHOS CONTENIDOS QUE EN EL SE ENCUENTRAN Y QUE AHORA NO PUEDES VER.

SIN REGISTRARTE NO PUEDES VER LOS MENSAJES. REGISTRARTE NO TE LLEVARA NI UN MINUTO.

TAMBIEN PODRAS DESCARGAR.
DOCUMENTOS PARA VIGILANTES, LIBROS GRATIS Y OTROS . INSPECCIONA EL FORO Y BUSCA LAS DESCARGAS.

NO TE LO PIENSES Y PASA A FORMAR PARTE DEL MEJOR FORO DE SEGURIDAD PRIVADA EN ESPAÑA


Academia controlum seguridad
sitio web seguro
NAVEGA CON TOTAL SEGURIDAD, ESTE FORO ES SEGURO.

Canal de youtubesiguenos en Twittersiguenos en facebook



Buscar
Resultados por:
Búsqueda avanzada





CONSEJOS PRACTICOS PARA VIGILANTES DE SEGURIDAD
Revista del foro de vigilantes

View my Flipboard Magazine.
Comparte
Ir abajo
RafaVs
RafaVs
Moderador global
Moderador global
Como nos has conocido? : Internet
Mensajes : 2236
Fecha de inscripción : 29/05/2018
Localización : Galicia

Analistas de seguridad exponen vulnerabilidad de monedero Trezor. Empty Analistas de seguridad exponen vulnerabilidad de monedero Trezor.

el Sáb 29 Dic 2018, 16:03
De acuerdo con Pavlov Rusnak, de Trezor, no fueron informados de manera responsable sobre la falla.
   Se trata de un vector de ataque que requiere acceso físico al dispositivo para ser exitoso.

Miembros de wallet.fail lograron extraer las llaves privadas de un monedero de criptomonedas desarrollado por Trezor. La demostración la hicieron durante su participación en el Chaos Comunication Congress 35 (35c3) celebrado en Leipzig, Alemania, a partir del 27 de diciembre. Desde Trezor señalaron que no se dio una discusión responsable de los fallos, que fueron presentados directamente en el evento.

De acuerdo con el equipo, representado por Dmitry Nedospasov, Thomas Roth y Josh Datk, extraer las llaves privadas del monedero de Trezor podría ser una labor sencilla, siempre y cuando el atacante obtenga acceso físico al dispositivo. Además, se necesita contar con los conocimientos técnicos suficientes como para poder realizar la extracción de manera exitosa.

Una vez que el hacker tiene el monedero a su alcance, el ataque es relativamente sencillo. Para empezar, se debe romper la carcasa del monedero, con el fin de acceder directamente a la tarjeta del dispositivo. Los desarrolladores de wallet.fail crearon un hardware (dispositivo) llamado Trezor Glitcher que, al ser conectado a la tarjeta del monedero, puede extraer las llaves privadas. De este modo, el atacante puede sustraer los fondos sin problemas.

La única solución a este vector de ataque es programar una clave privada, un elemento de seguridad que tienen monederos como Coinomi, Samourai y la propia Trezor.

La empresa realizó una serie de publicaciones a través de su cuenta oficial en la red social Twitter, a fin de sentar una posición sobre la información develada. Wallet.fail enfatizó que aún no han recibido la información pormenorizada de la falla, tal como lo señaló Pavlov Rusnak, miembro de Trezor.

   Alternativamente, puede habilitar la función de frase de contraseña, diseñada para protección adicional contra ataques físicos. Sin embargo, esta es una opción avanzada y debe saber cómo funciona antes de optar por ella. La pérdida de la contraseña dará lugar a la pérdida de fondos.
Trezor.

Por su parte, miembros de wallet.fail informaron a través de sus propias cuentas en redes sociales que no han publicado información verdaderamente sensible sobre el ataque. Esto se debe a que el vector de peligro para las llaves privadas en un ataque físico como el descrito no es realmente catastrófico y la información será entregada a la empresa para la actualización pertinente, que podría tenerse para finales de enero, como señaló Rusnak.

“No estamos liberando toda la información requerida para llevar a cabo el ataque hasta que los proveedores hayan tenido tiempo suficiente para considerar posibles mitigaciones”, escribieron a través de Twitter.

Cabe destacar que, en el caso de Legder, otro reconocido monedero frío, no tuvieron éxito. La empresa publicó un comunicado en el que subrayaba este hecho: “En particular, no lograron extraer ninguna semilla ni PIN en un dispositivo robado. Todos los activos confidenciales almacenados en el Elemento Seguro permanecen seguros”, se lee en el documento.

[Tienes que estar registrado y conectado para ver este vínculo]
Volver arriba
Permisos de este foro:
No puedes responder a temas en este foro.