Updatable फर्मवेयर का छिपा हुआ जोखिम



द्वारा राय: IGOR ZEMTSOV, TBCC में मुख्य प्रौद्योगिकी अधिकारी

क्रिप्टो सुरक्षा एक टिक टाइम बम है। Updatable फर्मवेयर सिर्फ मैच हो सकता है जो फ्यूज को रोशनी देता है।

हार्डवेयर वॉलेट सेल्फ-कस्टडी की पवित्र कब्र बन गए हैं, हैकर्स, स्कैमर्स और यहां तक ​​कि सरकार के ओवररेच के खिलाफ अंतिम सुरक्षा। हालांकि, एक असुविधाजनक सत्य है, कि ज्यादातर लोग अनदेखी करते हैं: फर्मवेयर अपडेट केवल सुरक्षा पैच नहीं हैं।

वे संभावित बैकडोर हैं, किसी के लिए इंतजार कर रहे हैं – चाहे एक हैकर, एक दुष्ट डेवलपर या एक छायादार तीसरा पक्ष – उन्हें व्यापक खुला किक करने के लिए।

हर बार जब एक हार्डवेयर वॉलेट निर्माता एक अपडेट को आगे बढ़ाता है, तो उपयोगकर्ताओं को एक विकल्प बनाने के लिए मजबूर किया जाता है। उस अद्यतन बटन को मारो और सर्वश्रेष्ठ के लिए आशा, या अज्ञात कमजोरियों के साथ पुराने सॉफ्टवेयर का उपयोग करके अपडेट और जोखिम से इनकार करें। किसी भी तरह से, यह एक जुआ है।

क्रिप्टो में, एक बुरे जुआ का मतलब एक खाली बटुए तक जागना हो सकता है।

फर्मवेयर अपडेट हमेशा आपके मित्र नहीं होते हैं

फर्मवेयर को अपडेट करना सामान्य ज्ञान की तरह लगता है। अधिक सुरक्षा! कम कीड़े! बेहतर उपयोगकर्ता अनुभव!

यहाँ बात है: हर अपडेट भी न केवल बटुए प्रदाता के लिए बल्कि किसी भी व्यक्ति के लिए, या प्रेरणा के साथ, प्रक्रिया के साथ छेड़छाड़ करने के लिए एक अवसर है।

हैकर्स फर्मवेयर कमजोरियों का सपना देखते हैं। एक भीड़ या खराब ऑडिटेड अपडेट छोटे, लगभग अगोचर खामियों को पेश कर सकता है – जो पृष्ठभूमि में बैठते हैं, फंड को ड्रेन करने के लिए सही क्षण की प्रतीक्षा कर रहे हैं। और सबसे अच्छा हिस्सा? उपयोगकर्ताओं को कभी नहीं पता होगा कि उन्हें क्या मारा गया।

फिर अधिक अस्थिर संभावना है: जानबूझकर बैकडोर।

हाल ही में: एचardware वॉलेट लेजर प्रतियोगी ट्रेजोर ​​को सुरक्षा भेद्यता संकल्प करने में मदद करता है

टेक कंपनियों को पहले सरकार-अनिवार्य निगरानी उपकरण शामिल करने के लिए मजबूर किया गया है। क्या किसी को लगता है कि हार्डवेयर वॉलेट निर्माताओं को छूट है? यदि एक नियामक एजेंसी – या इससे भी बदतर, एक आपराधिक संगठन – निजी कुंजियों तक पहुंच चाहता है, तो फर्मवेयर अपडेट सही हमले वेक्टर हैं। एक छिपा हुआ कार्य। कोड की एक प्रच्छन्न रेखा।

यह सब लेता है। अभी भी लगता है कि फर्मवेयर अपडेट हानिरहित हैं?

फर्मवेयर कमजोरियों का पहले से ही शोषण किया जा रहा है

यह कुछ दूर की कौड़ी नहीं है, डूम्सडे परिदृश्य। यह पहले ही हो चुका है।

क्रिप्टो सुरक्षा में सबसे बड़े नामों में से एक, लेजर, 2018 में एक बड़ा सुरक्षा संकट था जब सुरक्षा शोधकर्ता सलीम राशिद एक भेद्यता उजागर किया इसने हमलावरों को लेजर नैनो के फर्मवेयर और हाईजैक निजी कुंजियों को बदलने की अनुमति दी। एक फिक्स रोल आउट होने से पहले लगभग 1 मिलियन डिवाइस जोखिम में थे। डरावना हिस्सा? उपयोगकर्ताओं को यह जानने का कोई तरीका नहीं था कि क्या उनके उपकरणों से पहले ही समझौता किया गया था।

2023 में, वनके एक समान दुःस्वप्न का सामना करना पड़ा। व्हाइट हैट हैकर्स ने प्रदर्शित किया कि इसके फर्मवेयर को केवल सेकंड में फटा जा सकता है। कोई क्रिप्टो खो नहीं गया था – इस बार। लेकिन क्या होगा अगर असली हमलावरों ने पहले दोष पाया था?

फिर आया “डार्क स्किप्पी“शोषण करें, फर्मवेयर-आधारित हमलों को पूरी तरह से नए स्तर पर ले जाएं। केवल दो हस्ताक्षरित लेनदेन के साथ, हैकर्स एक उपयोगकर्ता के संपूर्ण बीज वाक्यांश को निकाल सकते हैं-एक भी अलार्म सेट किए बिना। यदि फर्मवेयर अपडेट को आसानी से हेरफेर किया जा सकता है, तो किसी को भी यह कैसे सुनिश्चित किया जा सकता है कि उनकी संपत्ति सुरक्षित है?

Updatable फर्मवेयर की छिपी हुई कीमत

निष्पक्ष होने के लिए, सभी फर्मवेयर अपडेट सुरक्षा आपदाएं नहीं हैं। लेजर अब जोड़ा सुरक्षा के लिए एक मालिकाना ऑपरेटिंग सिस्टम और सुरक्षित तत्व चिप्स का उपयोग करता है। Trezor एक ओपन-सोर्स दृष्टिकोण लेता है, जिससे समुदाय अपने फर्मवेयर की जांच करने की अनुमति देता है। कोल्डकार्ड और बिटबॉक्स 02 उपयोगकर्ताओं को अपडेट पर मैनुअल नियंत्रण देते हैं, कम करते हैं – लेकिन जोखिम को समाप्त नहीं करते हैं – जोखिम।

यहाँ असली सवाल है: क्या उपयोगकर्ताओं को कभी 100% यकीन हो सकता है कि एक अपडेट एक घातक दोष का परिचय नहीं देगा?

कुछ बटुए ने जोखिम को पूरी तरह से खत्म करने का फैसला किया है। टैंगेम जहाजों के साथ निश्चित, गैर-अपूर्ण फर्मवेयर, जिसका अर्थ है कि डिवाइस को कारखाने छोड़ने के बाद इसके कोड को कभी भी बदला नहीं जा सकता है। कोई अपडेट नहीं। कोई पैच नहीं।

बेशक, इस दृष्टिकोण के व्यापार-बंद हैं। यदि एक भेद्यता की खोज की जाती है, तो इसे ठीक करने का कोई तरीका नहीं है। लेकिन सुरक्षा में, पूर्वानुमेयता मायने रखती है।

असली क्रिप्टो सुरक्षा का अर्थ है नियंत्रण वापस लेना

मार्च 2025 तक क्रिप्टो बाजार में $ 2.79 ट्रिलियन का मूल्य था। टेबल पर उस पैसे के साथ, साइबर क्रिमिनल, दुष्ट अंदरूनी सूत्र और ओवररेचिंग सरकारें हमेशा कमजोर बिंदुओं की तलाश में रहती हैं। हार्डवेयर वॉलेट निर्माताओं को सुरक्षा पर लेजर-केंद्रित होना चाहिए।

हार्डवेयर वॉलेट चुनना निजी कुंजियों के साथ जुआ की तरह महसूस नहीं करना चाहिए। यह जिम्मेदारी से अपडेट को आगे बढ़ाने के लिए निगम की क्षमता में अंधा विश्वास को शामिल नहीं करना चाहिए। उपयोगकर्ता अस्पष्ट आश्वासन से अधिक के लायक हैं। वे सुरक्षा मॉडल के लायक हैं जो नियंत्रण रखते हैं जहां यह है – उनके साथ।

सुरक्षा सुविधा के बारे में नहीं है। यह नियंत्रण के बारे में है। कोई भी प्रणाली जिसे अज्ञात डेवलपर्स, अपारदर्शी अद्यतन प्रक्रियाओं या फर्मवेयर पर भरोसा करने की आवश्यकता होती है, जिसे वसीयत में बदला जा सकता है? यह नियंत्रण नहीं है। यह एक दायित्व है।

हार्डवेयर बटुए को सुरक्षित रखने का एकमात्र वास्तविक तरीका? अनुमान निकालें। ब्लाइंड ट्रस्ट को दूर करें। हमेशा डेवलपर्स की पृष्ठभूमि पर शोध करें, सुरक्षा घटनाओं के लिए उनके ट्रैक रिकॉर्ड की जांच करें, और देखें कि उन्होंने अतीत की कमजोरियों को कैसे संभाला है। सत्यापन योग्य तथ्यों से चिपके रहें – सुरक्षा कभी भी मान्यताओं पर आधारित नहीं होनी चाहिए।

द्वारा राय: Igor Zemtsov, TBCC में मुख्य प्रौद्योगिकी अधिकारी।

यह लेख सामान्य सूचना उद्देश्यों के लिए है और इसका इरादा नहीं है और इसे कानूनी या निवेश सलाह के रूप में नहीं लिया जाना चाहिए। यहां व्यक्त किए गए विचार, विचार और राय लेखक के अकेले हैं और जरूरी नहीं कि कोन्टेलेग्राफ के विचारों और विचारों को प्रतिबिंबित या प्रतिनिधित्व करते हैं।