ها قد بدأت حدة المنافسة بين المحافظ الصلبة تزداد، إذ قدّم مدير الأمن لدى شركة ليدجر Ledger، تشارلز غيليميه، عرضاً لعدد من هجمات الاختراق المادي التي يمكن أن تتعرض لها محافظ تريزور الصلبة Trezor؛ وذلك بمناسبة معرض بتكوين إكسبو Bitcoin Expo الذي نظمّه معهد ماساتشوستس للتقنية MIT بمدينة بوسطن الأميركية في مطلع الأسبوع الجاري، الأسبوع الثاني من شهر مارس/ آذار 2019. غويلميه أوضح باختصار أيضاً تفاصيل عملية اختراق تعرض لها جهاز الشركة المنافسة، وكانت شركة ليدجر قد امتنعت عن الإعلان عنها لأنَّها غير قابلة للإصلاح.
هجمات متتابعة من مدير الأمن بشركة ليدجر على محفظة تريزور الصلبة
كأي شركة محترمة لتصنيع المحافظ الصلبة (HW)، تُخضع شركة ليدجر أجهزتها لاختبارات اختراق مُشددة للبحث عن أي ثغرات مُحتملة بها. لكنَّ مختبر الاختراق التابع للشركة الفرنسية في باريس، المعروف باسم “ليدجر دونجون” Ledger Donjon، لا يفحص أجهزة الشركة بدقة فحسب، بل يشن هجمات اختراق متقنة أيضاً على أجهزة ألدّ خصومه: شركة تريزور. تحديد الثغرات التي يعاني منها أحد المنافسين والكشف عنها قد يبدو أمراً غير منطقياً، إلا أنَّ له مجموعة من الفوائد؛ بأن يُسلط الضوء على نقاط الضعف المحتملة لدى الخصم ويؤكّد براعة ليدجر الهجومية.
ففي غضون ساعات من العرض الذي قدّمه مدير الأمن بشركة ليدجر، تشارلز غيليميه، بمعرض بتكوين إكسبو Bitcoin Expo الذي نظمّه معهد ماساتشوستس للتقنية MIT للعام 2019، ووصف فيه محافظ تريزور وان Trezor One وتريزور تي Trezor T وكيب كي Keepkey وبي والت B Wallet بأنَّها جميعاً “معطوبة تماماً”، وأصّر على أنَّ “من المستحيل إصلاح” الثغرات الأمنية الموجودة بها، نشرت شركته مقالاً بعنوان “أمننا المشترك: مسؤولية الكشف عن الثغرات التي يعاني منها المنافسون” قالت فيه شارحةً: “منذ أربعة أشهر تقريباً، تواصلنا مع شركة تريزور، وأطلعناهم على خمس ثغرات اكتشفها مختبر هجمات الاختراق التابع لنا في محافظهم الصلبة. وكما هو الحال دائماً، منحنا تريزور مهلة منطقية للكشف عن تلك الثغرات والعمل على معالجتها، حتى أنَّنا مددنا لهم المهلة مرتين”.
لكن بمجرد أن انتهت مهلة الكشف عن الثغرات، سارعت شركة ليدجر بكل سرور بالكشف عن ما وجدته عندما أجرت اختبارات الاختراق على أجهزة منافستها.
4 ثغرات
بوجه عام، تزعم شركة ليدجر أنَّها وجدت أربع ثغرات كُبرى في محافظ تريزور الأشهر. أول هذه المخاوف هي “سلامة” الجهاز؛ إذ تبين في ما مضى أنَّ محافظ تريزور الصلبة قابلة للاستنساخ، مما دفع الشركة آنذاك إلى الإسراع بتحسين ملصقات ضمان سلامة الجهاز وتوفير مبادئ توجيهية حول كيفية اكتشاف الأجهزة المُقلّدة. كان رد تريزور على هذه “الثغرة” هو توضيح أنَّ المُستخدمين لن يكونوا عُرضة لهذه المخاطر طالما أنَّهم قد اشتروا أجهزتهم من على الموقع الإلكتروني للشركة مباشرةً.
أمَّا هجوم الاختراق الثاني الذي حددته ليدجر، فكان يتعلق بنقطة ضعف في رقم التعريف الشخصي PIN المُستخدم لتأمين محافظ تريزور الصلبة. ولشرح ذلك، صرّحت ليدجر قائلةً: “عند سرقة أي جهاز أو العثور عليه، يمكن دائماً تخمين رقم التعريف الشخصي عن طريق هجمات القنوات الجانبية Side Channel Attack”؛ وهذا يستلزم إدخال رقم تعريف شخصي عشوائي ثم قياس استهلاك الجهاز للطاقة أثناء مطابقته الكود الذي تم إدخاله مع رقم التعريف الشخصي الحقيقي.
وتابعت ليدجر في تصريحها: “عملية القياس هذه تتيح الفرصة أمام مُنفذ الهجمات لكي يسترجع رقم التعريف الشخصي الصحيح بعد بضعة محاولات (استغرق الأمر أقل من خمس محاولات في حالتنا). وعليه، توصلنا إلى أنَّ رقم التعريف الشخصي لا يحمي الأموال الموجودة داخل المحفظة من أيدي مُنفذي هجمات الاختراق القادرين على الوصول إلى الجهاز نفسه”.
وأخيراً، كانت الثغرتان الأخيرتان تتعلقان بسرية البيانات المُخزّنة داخل الأجهزة، ولا سيما المفتاح الخاص وجملة الاسترجاع بالدرجة الأولى. عُدّت هذه الثغرة، المعنية بذاكرة الفلاش، هو الأخطر على الإطلاق بما أنَّه: “لا يمكن تداركها إلا بتعديل تصميم أجهزة تريزور وان وتريزور تي، واستبدال مكوناته الأساسية لدمج رقاقة معالجة آمنة Secure Element chip، عوضاً عن الرقاقة متعددة الأغراض المُستخدمة حالياً”. وأضافت ليدجر: “إنَّ هذه الثغرة غير قابلة للإصلاح. ولهذا السبب، اخترنا ألا نُعلن عن التفاصيل الفنية. من الناحية الأخرى، بإمكان المُستخدمين التخفيف من هذه الثغرة عن طريق إضافة جملة مرور Passphrase إلى جهازهم”.
كُشف أيضاً عن ثغرة خامسة أخف وطأة: كانت تريزور قد أصدرت تحديثات أمنية لبرنامجها الثابت الأسبوع الماضي، الأسبوع الأول من شهر مارس/ آذار 2019، واعترفت بفضل تشارلز غيليميه وفريق العمل بمختبرات ليدجر دونجون في اكتشاف هذه الثغرة. لكنَّها شددت على أنَّ استغلال هذه الثغرات يتطلب الوصول إلى الجهاز نفسه أولاً، مضيفةً بأنَّه لا يوجد أي دليل يشير إلى أنَّ “أياً من هذه الثغرات قد اُستغّلت خارج المختبر لاستخراج أي بيانات”. من الجدير بالذكر أنَّ المدير التنفيذي لموقعيّ تويتر Twitter وسكوير Square، جاك دورسي، قد كشف الأسبوع الماضي عن أنَّه اشترى محفظة تريزور صلبة.
إخلاء المسؤولية: الآراء والتحليلات والأخبار الواردة لا تعكس رأي بت شين. لا ينبغي اعتبار أي من المعلومات التي تقرأها على موقع بت شين بمثابة نصيحة استثمارية، ولا تصادق بت شين على أي مشروع قد يتم ذكره أو ربطه في هذه المقالة. يجب اعتبار شراء وتداول العملات المشفرة نشاطًا عالي المخاطر. ويرجى بذل المجهود الواجب قبل اتخاذ أي إجراء يتعلق بالمحتوى المذكور ضمن هذا التقرير. لا تتحمل بت شين أي مسؤولية في حالة خسارة الأموال في تداول العملات المشفرة.