FORO DE VIGILANTES DE SEGURIDAD Y NOTICIAS
REGISTRATE Y CONECTATE AL FORO Y PODRAS VER Y DESCARGAR MUCHOS CONTENIDOS QUE EN EL SE ENCUENTRAN Y QUE AHORA NO PUEDES VER.

DOCUMENTOS PARA VIGILANTES, LIBROS GRATIS Y OTROS . INSPECCIONA EL FORO Y BUSCA LAS DESCARGAS.

NO TE LO PIENSES Y PASA A FORMAR PARTE DEL MEJOR FORO DE SEGURIDAD PRIVADA EN ESPAÑA

Academia controlum seguridad



siguenos en Google+Canal de youtubesiguenos en Twittersiguenos en facebook

Buscar
Resultados por:
Búsqueda avanzada




CONSEJOS PRACTICOS PARA VIGILANTES DE SEGURIDAD
Compra este libro y disfruta de 90 días gratis de Amazon Music Unlimited Después de tu compra, recibirás un email con más información sobre cómo disfrutar de 90 días gratuitos de Amazon Music Unlimited.


staff del foro

STAFF DEL FORO

ADMINISTRADORES
VALKYRIA / JOSEPMARTI

MODERADORES
J.J
RAFA.VS
WEBS AMIGAS






CONTACTA EN DIRECTO CON OTROS COMPAÑEROS Y COMPAÑERAS VIGILANTES DE SEGURIDAD


Comparte
Ir abajo
RafaVs
RafaVs
Moderador global
Moderador global
Como nos has conocido? : Internet
Mensajes : 2206
Fecha de inscripción : 29/05/2018
Localización : Galicia
el Sáb 29 Dic 2018, 16:03
De acuerdo con Pavlov Rusnak, de Trezor, no fueron informados de manera responsable sobre la falla.
   Se trata de un vector de ataque que requiere acceso físico al dispositivo para ser exitoso.

Miembros de wallet.fail lograron extraer las llaves privadas de un monedero de criptomonedas desarrollado por Trezor. La demostración la hicieron durante su participación en el Chaos Comunication Congress 35 (35c3) celebrado en Leipzig, Alemania, a partir del 27 de diciembre. Desde Trezor señalaron que no se dio una discusión responsable de los fallos, que fueron presentados directamente en el evento.

De acuerdo con el equipo, representado por Dmitry Nedospasov, Thomas Roth y Josh Datk, extraer las llaves privadas del monedero de Trezor podría ser una labor sencilla, siempre y cuando el atacante obtenga acceso físico al dispositivo. Además, se necesita contar con los conocimientos técnicos suficientes como para poder realizar la extracción de manera exitosa.

Una vez que el hacker tiene el monedero a su alcance, el ataque es relativamente sencillo. Para empezar, se debe romper la carcasa del monedero, con el fin de acceder directamente a la tarjeta del dispositivo. Los desarrolladores de wallet.fail crearon un hardware (dispositivo) llamado Trezor Glitcher que, al ser conectado a la tarjeta del monedero, puede extraer las llaves privadas. De este modo, el atacante puede sustraer los fondos sin problemas.

La única solución a este vector de ataque es programar una clave privada, un elemento de seguridad que tienen monederos como Coinomi, Samourai y la propia Trezor.

La empresa realizó una serie de publicaciones a través de su cuenta oficial en la red social Twitter, a fin de sentar una posición sobre la información develada. Wallet.fail enfatizó que aún no han recibido la información pormenorizada de la falla, tal como lo señaló Pavlov Rusnak, miembro de Trezor.

   Alternativamente, puede habilitar la función de frase de contraseña, diseñada para protección adicional contra ataques físicos. Sin embargo, esta es una opción avanzada y debe saber cómo funciona antes de optar por ella. La pérdida de la contraseña dará lugar a la pérdida de fondos.
Trezor.

Por su parte, miembros de wallet.fail informaron a través de sus propias cuentas en redes sociales que no han publicado información verdaderamente sensible sobre el ataque. Esto se debe a que el vector de peligro para las llaves privadas en un ataque físico como el descrito no es realmente catastrófico y la información será entregada a la empresa para la actualización pertinente, que podría tenerse para finales de enero, como señaló Rusnak.

“No estamos liberando toda la información requerida para llevar a cabo el ataque hasta que los proveedores hayan tenido tiempo suficiente para considerar posibles mitigaciones”, escribieron a través de Twitter.

Cabe destacar que, en el caso de Legder, otro reconocido monedero frío, no tuvieron éxito. La empresa publicó un comunicado en el que subrayaba este hecho: “En particular, no lograron extraer ninguna semilla ni PIN en un dispositivo robado. Todos los activos confidenciales almacenados en el Elemento Seguro permanecen seguros”, se lee en el documento.

[Tienes que estar registrado y conectado para ver este vínculo]
Volver arriba
Permisos de este foro:
No puedes responder a temas en este foro.