حمله به کیف پول سخت افزاری و نحوه مقابله با آن
در این مقاله، کیف پول سخت افزاری به نام Trussy به شما معرفی میشود. برای درک اهمیت این کیف پول، با خطراتی که متوجه یک کیف پول است، مانند حمله Wrench، حمله به زنجیره تامین و حملهی Evil Maid آشنا شده تا نحوهی مقابلهی Trussy با هر یک از این خطرات را متوجه شوید.
اگر کیف پولتان به طور آنلاین متصل باشد، شما در معرض یک خطر همیشگی قرار دارید. اگر کامپیوتر شما در خطر باشد، یک مهاجم به طور مستقیم به کیف پول متصل با USB دسترسی خواهد داشت. Trussy یک کیف پول کنشگر سرد (interactive cold wallet) است که تنها با استفاده از کد QR اتصال برقرار میکند. در ادامه به مشکلات ناشی از اتصالهای فیزیکی به دستگاه میپردازیم.
حمله به زنجیره تامین
اولین مشکلی که کیف پولهای سخت افزاری با آن مواجهاند به سازنده محصول شما مربوط میشود. چگونه مطمئن میشوید که دستگاهتان قبل از این که به دستتان برسد (از طریق FedEx، DHL و …) دستکاری نشده باشد؟
به دو طریق میتوانید این اطمینان را حاصل کنید: برچسبهای روی محصول و تایید چیپ امن.
هیچ کدام از این موارد به شما اطمینان 100 درصدی نمیدهد که شما دستگاهی معتبر دارید.
در اصل، وقتی از یک چیپ امن استفاده میکنید، فقط کارخانه میداند که پردازندهی مربوطه دقیقا چه قدر امن است. در مراحل اعتبارسنجی یک هش به خصوص به همراه یک فرمان رمزنگاریشده محاسبه میشود تا مطمئن شوند حافظهی دستگاه به قدر کافی جا دارد یا خیر. این کار به نظر امن است ولی یک راه حل جعبه سیاهِ دربسته میسازد که در آن، شما نمیتوانید داراییهای خودتان را اعتباردهی کنید. یک طراحی بدون نیاز به اعتماد برای دستگاهی که میخواهد در فضای کریپتو کار کند، جزء ضروریات است.
برچسب روی محصول نیز یکی از روشهای متنباز است که اطمینان میدهد دستگاهتان بعد از خروج از کارخانه دست نخورده است. معمولا این برچسبها به راحتی کنده میشوند. حتی با یک سشوار!
اما Trussy، از برچسبی استفاده میکند که در اپکسی رزین درون پلاگ USB نصب شده است. با این برچسب میتوان یک اثبات متنباز بر مبنای Trezor انجام داد و به این ترتیب، تمام دستکاریهای انجام شده روی دستگاهتان در طول زنجیرهی تامین قابل شناسایی خواهد بود.
حمله Evil Maid
Evil Maid به وضعیتی گفته میشود که وقتی شما در جای دیگری هستید، یک شخص غیر مسئول به دستگاهتان دسترسی پیدا کند. این حمله از طرف هر کسی که دستش به دستگاه شما برسد اتفاق میافتد، از افراد غیر قابل اعتماد تا مامور امنیتی فرودگاه، دستگاهتان باید در همه حال امن بماند. تفاوت بین حملههای در حین زنجیرهی تامین این است که مهاجم، امکانات و زمان کمتری دارد. راحتترین راههای حمله، باگ گذاشتن در دستگاه یا تعویض با دستگاه تقلبی است.
برای شناسایی دستگاهتان از یک دستگاه جعلی راههای مختلفی وجود دارد؛ مثل نشانههایی که از زوایا و موقعیت دستگاه در زمان ترک آن، به خاطر دارید. کیف پولها معمولا یک ضمیمه دارند که به راحتی کنده و دوباره نصب میشود. اپکسی رزینِ Trussy، چک کردن دستکاریها و نفوذها را راحتتر میکند.
قبل از استفاده از یک دستگاه امنیتی باید بازدید بصری صورت بگیرد ولی شاید هنوز شک داشته باشید (که همیشه باید داشته باشید). ما پیشنهاد میدهیم داراییتان را بین کلیدهای مختلف توزیع کنید. این کار کنترل داراییتان را به دست شما میدهد. Trussy تراکنشهای امضاشدهی شما را بدون ذخیره رمزهایتان محاسبه میکند.
حمله Wrench
کم پیش میآید یک مهاجم شما را به طور فیزیکی مورد حمله قرار دهد و مجبورتان کند تمام رمزهایتان را به او بدهید ولی یک دستگاه امن حتی به چنین حملههایی هم فکر کرده است.
در بیشتر مواقع این ویژگی به طور مخفی در دستگاه قرار داده شده و آن هم عبارت عبور BIP-39 است. توصیه شده در حملونقلهای روزمرهتان این کد را استفاده کنید، زیرا بهترین ابزار دفاعی در برابر افراد مهاجم است. میتوانید با دادن یک عبارت عبور دروغی مهاجم را به اشتباه بیندازید در حالی که رمزهای واقعی تان امن مانده است. این ویژگی دست کم گرفته شده ولی میتواند تمرینی برای استفاده از کدهای آلارم مخفی در امنیت خانهها باشد.
همهی دادههای ذخیرهشده با AES رمزنگاری شدهاند و حتی اگر دستگاه را گم کنید همه چیز امن میماند. به علاوه، برای اطمینان از اقدامات سریع و در موارد ضروری، Trussy به شما امکان استفاده از پین دروغی برای پاک کردن دادههای رمزنگاریشده را میدهد.
هر کدام از این حملهها به روشهای متفاوتی انجام میشوند و میخواهند رمزهای شما را بدزدند. به شدت پیشنهاد میکنیم که در مورد همهی حملهها اطلاعات کامل داشته باشید.
مهم نیست ویژگیهای یک دستگاه چه قدر پیچیده و فریبنده است، بدون امنیت بالا، دستگاهتان آسیبپذیر خواهد بود!