W ramach najnowszych, ekstraordynaryjnie zaskakujących doniesień – z gatunku tych, które nie zaskoczą zupełnie nikogo – przedstawiciele Trezora przyznali, iż klucze prywatne do środków przechowywanych w portfelach sprzętowych firmy mogą wpaść w (bardzo) niepowołane ręce. Na przykład te należące do cyberprzestępców.
Konstatacja owa padła w dyskusji na oficjalnym forum firmy. W odpowiedzi na pytanie użytkownika, przedstawiciele firmy dość bezpośrednio potwierdzili, iż i owszem, możliwe jest, by z jej portfeli „wyeksfiltrować” prywatne klucze posiadaczy. Może do tego dojść, gdy firmware zostanie w jakikolwiek sposób skompromitowane przez osoby trzecie.
Choć bowiem oprogramowanie portfeli jest open-sourcowe i może podlegać niezależnej kontroli ze strony społeczności i użytkowników, nie czyni go to odpornym na ataki, ale jedynie nieco odporniejszym.
Wniosek w istocie banalny – tam, gdzie mamy do czynienia z software’m, w dodatku mającym połączenie z siecią i podatnym na regularne, zewnętrzne modyfikacje (a.k.a. aktualizacje), oczywistym jest, iż możliwe jest też jego zhakowanie.
Zwłaszcza jeżeli przypadki złamania zabezpieczeń centralnych systemów firmowych bynajmniej nie należą do niespotykanych. A same firmy, jakoś tak się składa, jakże często okazują się dysponować jakąś formą backdoorów do swojego sprzętu, niezależnie od tego, co oficjalnie mówiliby ich przedstawiciele.
.
Jeden mały backdoor nie zaszkodzi…
Nie tak dawno świat obiegła informacja o podatności portfeli Trezora na atak dzięki nieomal sztampowej metody brute force. Szerzej o tej niejedynej zresztą kwestii, którą lepiej wziąć pod uwagę przy korzystaniu z tych urządzeń, wspominaliśmy tutaj:
.
Trezor jest także daleko nie jedyną firmą w tym segmencie rynku, do której produktów mądrze będzie podchodzić z nieco ograniczonym zaufaniem. Jego konkurent, Ledger, prócz innych wtop i uchybień bezpieczeństwa zasłynął niedawno publiczną aferą. Wynikła ona z faktu, iż chciał on przechowywać klucze prywatne użytkowników u „zaufanej” trzeciej strony:
Zupełnie jakby wyeliminowanie tejże pseudo-zaufanej strony nie było Świętym Graalem kryptowalut i ich użytkowników…
.
Co tam interesującego skrywasz, podatniku?
Z samego faktu technicznej możliwości wyekstrahowania kluczy wynika kolejna, bardzo niepokojąca konsekwencja. Hakerzy nie są jedynymi indywiduami, które w ten sposób mogłyby położyć swe chciwe dłonie na zawartości portfela Trezora. Inną kategorią mogącą mieć takie zamiary są agenci, pracownicy, urzędnicy i przydupnicy tzw. władz, z punktu widzenia posiadacza krypto być może i gorszą.
W przypadku przestępców bowiem, jeżeli spróbują oni przejąć czyjeś zasoby, mogą zostać za to skazani i uwięzieni (jeśli, naturalnie, ktokolwiek i kiedykolwiek by ich wytropił). jeżeli natomiast zasoby posiadacza zapragnęłoby przejąć państwo, to samemu posiadaczowi mogłyby grozić szykany i odsiadka za niedostatecznie entuzjastyczną współpracę przy zagarnianiu przez rzeczone państwo jego własności. W dodatku działoby się to „legalnie”.
Logicznym będzie wniosek, iż jeżeli państwo (jakiekolwiek) może prawnie zmusić firmę (dowolną) do udostępnienia jej kluczy do królestwa – a firma jest w stanie technicznie tego dokonać – to prędzej czy później to nastąpi. Warto mieć to na uwadze, wybierając przytulne miejsce dla swoich kryptowalutowych oszczędności.
.