حمله به کیف پول سخت افزاری و نحوه مقابله با آن

اگر کیف پولتان به طور آنلاین متصل باشد، شما در معرض یک خطر همیشگی قرار دارید. اگر کامپیوتر شما در خطر باشد، یک مهاجم به طور مستقیم به کیف پول متصل با USB دسترسی خواهد داشت. Trussy‌‌ یک کیف پول کنش‌‌گر سرد (interactive cold wallet) است که تنها با استفاده از کد QR اتصال برقرار می‌‌کند. در ادامه به مشکلات ناشی از اتصال‌‌های فیزیکی به دستگاه می‌‌پردازیم.

حمله به زنجیره‌‌ تامین

اولین مشکلی که کیف پول‌‌های سخت افزاری با آن مواجه‌اند به سازنده‌‌ محصول شما مربوط می‌‌شود. چگونه مطمئن می‌‌شوید که دستگاهتان قبل از این که به دستتان برسد (از طریق FedEx، DHL و …) دستکاری نشده باشد؟

به دو طریق می‌‌توانید این اطمینان را حاصل کنید: برچسب‌‌های روی محصول و تایید چیپ امن.

هیچ کدام از این موارد به شما اطمینان 100 درصدی نمی‌‌دهد که شما دستگاهی معتبر دارید.

در اصل، وقتی از یک چیپ امن استفاده می‌‌کنید، فقط کارخانه می‌‌داند که پردازنده‌‌ی مربوطه دقیقا چه قدر امن است. در مراحل اعتبارسنجی یک هش به خصوص به همراه یک فرمان رمزنگاری‌‌شده محاسبه می‌‌شود تا مطمئن شوند حافظه‌‌ی دستگاه به قدر کافی جا دارد یا خیر. این کار به نظر امن است ولی یک راه حل جعبه سیاهِ دربسته می‌‌سازد که در آن، شما نمی‌‌توانید دارایی‌‌های خودتان را اعتباردهی کنید. یک طراحی بدون نیاز به اعتماد برای دستگاهی که می‌‌خواهد در فضای کریپتو کار کند، جزء ضروریات است.

برچسب روی محصول نیز یکی از روش‌‌های متن‌‌باز است که اطمینان می‌‌دهد دستگاهتان بعد از خروج از کارخانه دست نخورده است. معمولا این برچسب‌‌ها به راحتی کنده می‌‌شوند. حتی با یک سشوار!

اما Trussy‌‌، از برچسبی استفاده می‌‌کند که در اپکسی رزین درون پلاگ USB نصب شده است. با این برچسب می‌‌توان یک اثبات متن‌‌باز بر مبنای Trezor انجام داد و به این ترتیب، تمام دستکاری‌‌های انجام شده روی دستگاهتان در طول زنجیره‌‌ی تامین قابل شناسایی خواهد بود.

حمله‌‌ Evil Maid

Evil Maid به وضعیتی گفته می‌‌شود که وقتی شما در جای دیگری هستید، یک شخص غیر مسئول به دستگاهتان دسترسی پیدا کند. این حمله از طرف هر کسی که دستش به دستگاه شما برسد اتفاق می‌‌افتد، از افراد غیر قابل اعتماد تا مامور امنیتی فرودگاه، دستگاهتان باید در همه حال امن بماند. تفاوت بین حمله‌‌های در حین زنجیره‌‌ی تامین این است که مهاجم، امکانات و زمان کمتری دارد. راحت‌‌ترین راه‌‌های حمله، باگ گذاشتن در دستگاه یا تعویض با دستگاه تقلبی است.

برای شناسایی دستگاهتان از یک دستگاه جعلی راه‌‌های مختلفی وجود دارد؛ مثل نشانه‌‌هایی که از زوایا و موقعیت دستگاه در زمان ترک آن، به خاطر دارید. کیف پول‌‌ها معمولا یک ضمیمه دارند که به راحتی کنده و دوباره نصب می‌‌شود. اپکسی رزینِ Trussy‌‌، چک کردن دستکاری‌‌ها و نفوذها را راحت‌‌تر می‌‌کند.

قبل از استفاده از یک دستگاه امنیتی باید بازدید بصری صورت بگیرد ولی شاید هنوز شک داشته باشید (که همیشه باید داشته باشید). ما پیشنهاد می‌‌دهیم دارایی‌‌تان را بین کلیدهای مختلف توزیع کنید. این کار کنترل دارایی‌‌تان را به دست شما می‌‌دهد. Trussy‌‌ تراکنش‌‌های امضاشده‌‌ی شما را بدون ذخیره‌‌ رمزهایتان محاسبه می‌‌کند.

حمله‌‌ Wrench

کم پیش می‌‌آید یک مهاجم شما را به طور فیزیکی مورد حمله قرار دهد و مجبورتان کند تمام رمزهایتان را به او بدهید ولی یک دستگاه امن حتی به چنین حمله‌‌هایی هم فکر کرده است.

در بیشتر مواقع این ویژگی به طور مخفی در دستگاه قرار داده شده و آن هم عبارت عبور BIP-39 است. توصیه شده در حمل‌‌ونقل‌‌های روزمره‌‌تان این کد را استفاده کنید، زیرا بهترین ابزار دفاعی در برابر افراد مهاجم است. می‌‌توانید با دادن یک عبارت عبور دروغی مهاجم را به اشتباه بیندازید در حالی که رمزهای واقعی تان امن مانده است. این ویژگی دست کم گرفته شده ولی می‌‌تواند تمرینی برای استفاده از کدهای آلارم مخفی در امنیت خانه‌‌ها باشد.

همه‌‌ی داده‌‌های ذخیره‌‌شده با AES رمزنگاری شده‌اند و حتی اگر دستگاه را گم کنید همه چیز امن می‌‌ماند. به علاوه، برای اطمینان از اقدامات سریع و در موارد ضروری، Trussy‌‌ به شما امکان استفاده از پین دروغی برای پاک کردن داده‌‌های رمزنگاری‌‌شده را می‌‌دهد.

هر کدام از این حمله‌‌ها به روش‌‌های متفاوتی انجام می‌‌شوند و می‌‌خواهند رمزهای شما را بدزدند. به شدت پیشنهاد می‌‌کنیم که در مورد همه‌‌ی حمله‌‌ها اطلاعات کامل داشته باشید.

مهم نیست ویژگی‌‌های یک دستگاه چه قدر پیچیده و فریبنده است، بدون امنیت بالا، دستگاهتان آسیب‌‌پذیر خواهد بود!