Недавно в СМИ просочилась информация о компьютерных уязвимостях Meltdown и Spectre, которые лишний раз напоминают, насколько сложно в цифровой век хранить конфиденциальную информацию, включая секретные ключи криптовалюты, в безопасности.
Широко распространенные аппаратные уязвимости оказывают влияние на компьютерные чипы Intel, ARM и AMD, которые обеспечивают работу подавляющего большинства компьютеров, мобильных устройств и серверов в мире, что позволяет украсть частные данные, включая пароли, финансовую информацию и др.
Если говорить о криптомире, хакеры могут потенциально использовать конкретный вектор атаки, чтобы захватить приватные ключи, которые позволяют пользователям хранить свои средства на блокчейне.
И хотя нет никаких доказательств того, что какие-либо пароли были скомпрометированы, эксперты говорят, что хакеры и Агентство национальной безопасности США (NSA) могут использовать эту уязвимость в собственных интересах.
Если вы уже придерживаетесь лучших практик относительно хранения криптовалютных данных, то, вероятно, ваши активы останутся нетронутыми. Но если нет, или если вы являетесь новым пользователем, эксперты советуют хранить секретные ключи на безопасном устройстве.
«Лучше позаботиться о безопасности сейчас, чем потом жалеть, что не сделал этого ранее», – сказал разработчик Bitcoin Core Брайан Бишоп в интервью CoinDesk, добавив:
Злоумышленник, обладающий информацией о достаточно серьёзной уязвимости, теоретически может заставить ваш процессор предоставить секретные данные, такие как приватные ключи, используемые для управления вашим биткоином.
Векторы атаки
Совет хранить секретные ключи на защищенном устройстве не является новым. Разработчики давно предупреждают, что хранить приватные ключи на ноутбуках или других устройствах, которые взаимодействуют с интернетом, небезопасно.
Но это может не быть очевидным для новых пользователей. Несмотря на то, что биткоин и другие криптовалюты сами по себе безопасны, они взаимодействуют интернетом и обычными компьютерами. Таким образом, хранение закрытых ключей на устройствах, имеющих доступ к интернету, может потенциально подвергать пользователей угрозе взлома и кражи.
И новые уязвимости процессора ухудшают ситуацию, поскольку цепочка действий может привести к ошибкам и компрометации.
«Если проблема с защищенной памятью реальна, плагин для браузера или даже веб-сайт может получить доступ к вашим личным ключам», – сказал разработчик Bitcoin Core Джонас Шнелли. И хотя эти сценарии развития событий могут казаться надуманными, большая часть сегодняшних вредоносных программ используют аналогичные уязвимости, которые еще не исправлены.
Для пользователей Windows, Mac и Linux доступны исправления операционной системы. Но для держателей криптовалюты все же лучшим вариантом остается совет не хранить секретные ключи на подключенном к интернету устройстве вообще.
Один из рабочих вариантов – хранить секретные ключи в так называемом «аппаратном кошельке», например, в Ledger или Trezor. Маленькие устройства могут быть не столь просты в использовании, но они более безопасны в том смысле, что они не подключены к интернету.
Павол Руснак, технический директор SatoshiLabs, заявил, что «использование [аппаратного] кошелька на сегодняшний день актуальнее, чем когда-либо!» В то время как один из разработчиков Эфириума Лефтерис Карапетсас заметил: «Я уверен, что Spectre и Meltdown – лучшее, что могло случиться с криптовалютными компаниями, которые выпускают холодные кошельки».
Криптобиржи
Помимо отдельных потребительских устройств, под угрозой находятся более серьезные предприятия: криптобиржи, которые хранят секретные ключи для миллионов пользователей одновременно.
Некоторые обмены криптовалюты используют облачные сервисы, такие как Amazon Web Services и Google Cloud для запуска собственных сайтов, чтобы не создавать собственные серверы. Хотя эти платформы упрощают управление сайтами, они более уязвимы для атак. Хакер может теоретически развернуть сервер с использованием того же оборудования, что и при запуске криптовалютных операций на такой облачной платформе, и получить доступ ко всем данным. Это один из вариантов векторов хакерской атаки.
С одной стороны, многие из самых популярных облачных платформ быстро обновляют исправления. С другой стороны, исследователи опасаются, что глубоко укоренившиеся уязвимости могут быть не исправлены до конца, что приведет к плачевным последствиям.
