El 2019 MIT Bitcoin Expo ocurrió durante el fin de semana, y el evento incluyó una mesa redonda sobre vectores de ataque de blockchain y seguridad de bitcoin. Este panel fue moderado por Arwen CEO Sharon Goldberg, y los panelistas fueron Bitcoin Core contribuyente Cory Fields, Iniciativa de moneda digital Investigador de pregrado James lovejoyy Chaincode Labs Ingeniero de software Carl Dong.
Errores en los niveles inferiores
Durante una conversación sobre vulnerabilidades específicas que han aparecido en el espacio de la criptomoneda a lo largo de los años, Dong señaló que las personas deben estar atentas a errores en áreas que no sean software relacionado con la criptomoneda. Específicamente, Dong notó que los errores en cosas como la Interfaz de firmware extensible unificada (UEFI), el Motor de administración Intel (ME) y las Interfaces de administración de plataforma inteligente (IPMI) podrían aprovecharse para intentar hacer algo como robar el alijo de bitcoins de otra persona.
Este tipo de software de bajo nivel reside debajo de los sistemas operativos instalados en las computadoras.
“Básicamente, tienen más que acceso al kernel, más que acceso de raíz a toda su máquina. Y sí, creo que la gente debería ver eso ", explicó Dong.
Dong agregó que se han realizado esfuerzos para rechazar el firmware propietario a través de alternativas como coreboot.
“Creo que el kernel protege a los procesos para que no accedan a las memorias de los demás, y si básicamente tiene más que el acceso del kernel a la memoria, entonces básicamente puede leer todo lo que está allí. Y creo que eso es malo ", explicó Dong.
Bitcoin necesita una base segura
Todo este debate planteó un problema clave con Bitcoin, que es que la red no debe construirse sobre una base insegura. Goldberg señaló que la idea de que todos deberían controlar su propio dinero en sus propios dispositivos puede no funcionar bien si el software en esos dispositivos es demasiado complejo para saber si es seguro.
"Estoy a punto de hacer una pregunta desagradable ahora porque estás desatando este dilema que siempre tengo en mi cabeza", dijo Goldberg. "Muchos de nosotros venimos de este mundo en el que [we say]"No tus llaves, no tus monedas.". Y ese es ciertamente el mundo del que vengo. Y luego tenemos a Carl aquí diciéndonos que, como no sé, una parte de la pila de la que nunca he oído hablar tendrá una vulnerabilidad que permitirá que esta cosa se vaya a la memoria y me robe todas mis monedas. , y eso suena muy mal.
"Por lo tanto, no quiero esto en mi computadora. ¿Cuál es su opinión sobre esta noción de que estamos tratando de movernos hacia este mundo en el que todos tenemos nuestras propias claves? No tenemos que confiar en las entidades centralizadas con las claves, y luego, por otro lado, tenemos estos sistemas informáticos. que son tan complicados que un error en el que Dios sabe, ¿qué va a robar todo tu dinero del que nunca has oído hablar? Y tal vez le guste ejecutar todos los antivirus, limpió todo y está ejecutando una máquina virtual que se ha eliminado completamente sin nada y solo tiene sus monedas. Y todavía tienes estas vulnerabilidades. Como, ¿qué haces? ¿Qué hacemos?"
En respuesta al punto de Goldberg, Dong afirmó que el mundo tecnológico se ha movido un poco demasiado rápido sin tener en cuenta la seguridad.
"La única forma en que vamos a conseguir [better security] es si se explotan más vulnerabilidades en la naturaleza y se atrae la atención de la gente hacia esto porque creo que muchas empresas, tal vez ignoran el consejo de sus investigadores de seguridad porque tienen que actuar con rapidez y deben tener ingresos, "Dijo Dong.
Dong agregó que las criptomonedas crean un mundo donde las vulnerabilidades teóricas ser extremadamente rentable para explotar, así que tal vez eso traiga más de estas posibles explotaciones a la luz.
Mirando más adelante, Lovejoy señaló que el hardware abierto puede ser el camino correcto para avanzar.
"Tal vez el futuro sea un hardware de código abierto", dijo Lovejoy. "Llegamos a un punto en el que tenemos una gran cantidad de software abierto del que todos podemos leer el código, pero en este momento todavía somos completamente dependientes de hardware totalmente propietario".
Por supuesto, también hay cosas como las billeteras de hardware y la capacidad de almacenar activos criptográficos en pedazos de papel que pueden ayudar a cerrar la brecha por ahora, pero también es deseable que los dispositivos de consumo de uso general sean mucho más seguros.
SALA 10-250 D1 AM
1:46:10 Hay un gran problema con la filosofía de Bitcoin "No son tus llaves, no tus monedas"
-vaya hasta que carl diga poder 9 talos
"Creo que el mundo de la tecnología se ha estado moviendo un poco demasiado rápido y realmente no he estado pensando tanto en la seguridad". Pero creo que, tal vez son malas noticias, pero con las criptomonedas, creo que estamos entrando en un mundo donde las vulnerabilidades que eran teóricas ahora son extremadamente rentables de explotar. Y así, espero que pongan las cosas en primer plano ". – Carl
La complejidad de los errores de Bitcoin
"A veces siento que lo único que nos protege es como lo complejos que son estos errores y lo difícil que es entenderlos, por lo que es como si las personas que pueden solucionarlos tengan un poco de ventaja porque realmente entiendes lo que está pasando". en y luego al resto del mundo como si lo supiera y para entonces ya lo habremos arreglado ".
"Hablar de cosas que están presentes y que son demasiado complejas para que las personas las exploten o las personas simplemente no quieren hacerlo – cosas que son errores cero como Intel Management Engine o IPMIs que tienen firmware defectuoso". Sabes, estas son cosas que existen en los centros de datos modernos e Intel MT. Creo que Intel está tratando de llevarlo a todas las máquinas Intel posibles.
“La pila de UEFI a veces está muy hinchada. La pila UEFI a veces también incluye una pila de red, así que si usted, y por supuesto su IMPI también puede comunicarse a través de Ethernet "- carl
En un punto en el panel, surgió la pregunta de cómo Bitcoin puede ser usado de manera segura en relación con todas las vulnerabilidades que potencialmente podrían existir en un software ampliamente implementado.
-crowd se ríe al final con vulns
-vercoin guy señaló que 10 líneas de javascript en una página web son suficientes para atacar a través de electrum bug
-sharon pregunta cuál es la forma correcta de almacenar monedas
-carl dice billetera de papel con una hexadice.
En broma, el chico dijo en broma que podrías comprar un fpga abierto y escribir tu propia implementación de hardware
Via: CryptoDaily
