CriptoSlate conversou com o CTO da Ledger Charles Guillemet no BTC Praga sobre uma série de tópicos, desde o que realmente aconteceu durante o Kit de conexão Ledget explorar os intrincados desafios de garantir uma percentagem tão elevada dos ativos digitais do mundo. A experiência de Guillemet, profundamente enraizada em criptografia e segurança de hardware, fornece uma base sólida para sua função na Ledger. Ele começou sua carreira projetando circuitos integrados seguros, o que mais tarde se traduziu em sua abordagem para a criação de elementos seguros para dispositivos Ledger.
Desafios de segurança em Blockchain e Bitcoin
Durante a entrevista, Charles Guillemet investigou os distintos desafios de segurança apresentados pela tecnologia blockchain e Bitcoin. Seus insights foram moldados por sua extensa experiência em circuitos integrados seguros e criptografia.
Guillemet explicou que, nos cartões bancários e passaportes tradicionais, as chaves de segurança são geridas pelo banco ou pelo Estado. No entanto, na tecnologia blockchain, os indivíduos gerenciam suas próprias chaves. Esta mudança fundamental introduz desafios de segurança significativos, uma vez que os utilizadores devem garantir que o seu valor está protegido contra acesso não autorizado e perda. Ele destacou:
“Em dispositivos de contabilidade, você gerencia suas chaves enquanto mantém seus cartões bancários e seu passaporte, este é o segredo do seu banco ou estado. Esta é a grande diferença.”
Uma vez que os utilizadores são donos do seu valor, torna-se imperativo protegê-lo, garantindo que não seja perdido nem acedido por partes não autorizadas. Isto requer medidas robustas para impedir o acesso de malware de software e para proteger contra ataques físicos.
“Ter um dispositivo dedicado é a melhor maneira de fazer isso. E também você deve evitar que um invasor com acesso físico obtenha acesso aos seus segredos.”
O CTO também destacou que a imutabilidade do blockchain torna o desafio de segurança ainda mais significativo. A tecnologia Ledger garante mais de 20% do valor de mercado, o que equivale a aproximadamente US$ 500 bilhões. Esta imensa responsabilidade é gerida através do aproveitamento da melhor tecnologia disponível para garantir a segurança. Guillemet afirmou com confiança que, até agora, a sua abordagem tem sido bem sucedida, permitindo-lhe dormir bem à noite, apesar dos altos riscos envolvidos.
Resposta da Ledger às violações de segurança e segurança da cadeia de suprimentos
Charles Guillemet abordou a abordagem do Ledger para lidar com violações de segurança, particularmente o incidente envolvendo o Ledger Kit de conexão. Ele descreveu o desafio colocado pelos ataques à cadeia de abastecimento de software, enfatizando a dificuldade em prevenir totalmente tais ataques.
Ao discutir a violação, Guillemet contou como a conta de um desenvolvedor foi comprometida por meio de um link de phishing, levando um invasor a obter a chave da API. Isso permitiu que o invasor injetasse código malicioso no repositório NPM usado por sites que integram dispositivos Ledger. Ele destacou a resposta rápida da Ledger para mitigar o impacto:
“Percebemos o ataque muito rapidamente e conseguimos matá-lo muito, muito rapidamente. Desde o momento em que ele comprometeu o acesso e paramos o ataque, apenas cinco horas se passaram.”
Apesar da violação, os danos foram limitados devido à ação imediata da Ledger e aos recursos de segurança inerentes aos seus dispositivos, que exigem que os utilizadores assinem manualmente as transações, garantindo a verificação dos detalhes da transação.
Guillemet discutiu ainda a questão mais ampla da segurança da cadeia de abastecimento, enfatizando a complexidade do gerenciamento de vulnerabilidades de software. Ele ressaltou que, embora a devida diligência e as melhores práticas possam ajudar, a prevenção completa de ataques à cadeia de abastecimento continua a ser um desafio significativo. Ele citou um exemplo de ataque sofisticado à cadeia de suprimentos:
“A LG recentemente teve um pacote na distribuição UNIX que foi hackeado por alguém que se comprometeu com o repositório de código aberto, explorando servidores SSH. Ele se espalhou por todos os servidores do mundo antes de ser notado.”
Este exemplo ilustrou a natureza generalizada dos ataques à cadeia de abastecimento e a dificuldade em detectá-los e mitigá-los. Talvez sem surpresa, ele defendeu o uso de carteiras de hardware para segurança criptográfica. No entanto, ele explicou habilmente o porquê, esclarecendo que eles oferecem uma superfície de ataque limitada e podem ser auditados minuciosamente.
Ameaças humanas e técnicas à segurança
Charles Guillemet forneceu uma visão abrangente da natureza multifacetada das ameaças à segurança no espaço blockchain, abrangendo ambos humanos e elementos técnicos. Ele enfatizou que os atacantes são altamente orientados para os resultados, evoluindo constantemente as suas estratégias com base no custo e na recompensa potencial dos seus ataques. Inicialmente, prevaleciam ataques simples de phishing que enganavam os usuários para que digitassem frases de recuperação de 24 palavras. No entanto, à medida que os utilizadores se tornaram mais conscientes, os atacantes mudaram as suas tácticas para métodos mais sofisticados.
Guillemet explicou:
“Agora, os invasores estão enganando os usuários para que assinem transações complexas que eles não entendem, o que leva ao esgotamento de suas carteiras.”
Ele notou a ascensão da organização drenagem criptográfica operações, onde diferentes partes colaboram para criar e explorar drenadores de criptografia, compartilhando os rendimentos no nível do contrato inteligente. Guillemet previu que ataques futuros poderiam se concentrar em carteiras de software em telefones, explorando vulnerabilidades de dia zero que podem fornecer acesso total a um dispositivo sem interação do usuário.
Dadas as vulnerabilidades inerentes aos dispositivos móveis e Área de Trabalho dispositivos, Guillemet enfatizou a importância de reconhecer que esses dispositivos não são seguros por padrão. Ele recomendou:
“Se você acha que seus dados estão protegidos em seu desktop ou laptop, pense novamente. Se houver um invasor determinado a extrair os dados, nada o impedirá de fazê-lo.”
Ele aconselhou os usuários a evitarem armazenar informações confidenciais, como sementes ou arquivos de carteira, em seus computadores, pois são os principais alvos dos invasores.
Equilibrar segurança com usabilidade é um desafio significativo na indústria de carteiras criptografadas. A abordagem da Ledger prioriza a segurança como a estrela do norte, ao mesmo tempo em que se esforça continuamente para melhorar a experiência do usuário. Guillemet reconheceu que recursos como Recuperação de razão, que visam simplificar a experiência do usuário, geraram debate. Ele explicou que, embora esses recursos sejam projetados para ajudar os recém-chegados a gerenciar suas frases de recuperação de 24 palavras com mais facilidade, eles são totalmente opcionais:
“Estamos oferecendo opções, dando a escolha. É uma plataforma aberta. Se você não gosta de um recurso, não precisa usá-lo.”
O objetivo é atender a uma ampla gama de usuários, desde aqueles que preferem controle total sobre sua segurança até aqueles que precisam de soluções mais fáceis de usar. Guillemet reconheceu que a adoção em massa de ativos digitais exige abordar usabilidade questões sem comprometer a segurança. A Ledger pretende atingir esse equilíbrio oferecendo opções flexíveis e ao mesmo tempo mantendo os mais altos padrões de segurança.
