Hace 5 años | Por ccguy a m.genbeta.com
Publicado hace 5 años por ccguy a m.genbeta.com

La empresa apadrinada por John McAfee para crear una cartera de criptomonedas "inhackeable" no para de quedar en evidencia. La semana pasada os contamos que un investigador de seguridad holandés había conseguido rootear en sólo una semana el dispositivo físico en el que se basa, y ahora un joven investigador ha ido un paso más allá instalando aplicaciones de terceros en él. Concretamente el mítico videojuego 'DOOM'.

Comentarios

Acuantavese

#9 Solo falta el keylogger para el acceso, y un descuido por supuesto

sorrillo

#18 Para ese ataque se requiere que la víctima pierda el control del dispositivo durante el tiempo necesario para el atacante para hackearlo e instalar el keyloger y que luego el propietario original lo recupere sin sospechar. Tras esto el atacante debe volver a acceder al dispositivo.

No basta con que el atacante tenga acceso al dispositivo mediante un robo o una pérdida.

D

#21 Lo cual lo hace menos seguro que dispositivos con protección física de integridad, y comprobación de firmware firmado.

againandagain

#15 Pues a eso voy, sin acceso fisico ya han instalado y ejecutado codigo ¿no? igual no nos entendemos.

D

#16 Lo han hecho sin acceso físico?

againandagain

#26 Parece que no, habia leido mal la noticia, y pensaba que hablaba de que habian hecho todo eso en una cartera a distancia, pero nop, aun queda mucho.

b

#15 Mas famosa que Ledger? Las ultimas integraciones de ledger (nano, vechain, monero, icon, etc. y en breve iota) son un puntazo. La unica pega las pocas apps que puedes tener a la vez.

D

#37 Yo diría que es más famosa. Es la primera al menos, y más cara (poe algo será).

En cuanto a criptocosas como IOTA... meter eso en una hardware wallet es como guardar billetes del monopoli en una caja de seguridad

ur_quan_master

#7 Si tiene permiso de root puede hacer lo que le de la gana.

sorrillo

#12 Eso no siempre es cierto.

Tener permiso de root no te permite por ejemplo descifrar un archivo cifrado con una clave fuerte.

Si la cartera requiere al usuario introducir un PIN el tener acceso root no te da acceso a ese PIN, y si el sistema que gestiona la seguridad del PIN es independiente del entorno de usuario, que sería lo seguro, entonces desde el root del entorno de usuario solo puedes probar PIN distintos hasta que el dispositivo bloquee el acceso permanentemente.

Y esto es solo un ejemplo, puede haber miles en los que tener root no te da acceso a los fondos de la cartera. Por eso la pregunta que han hecho en un comentario previo, de si han podido acceder a los Bitcoins, es más que pertinente.

hynreck

#7 si te puede instalar un videojuego, te puede instalar un keylogger o cualquier otra aplicación que le permita con el tiempo acceder a tu cartera, quien siga considerando completamente seguro su sistema tras eso, tiene un problema

sorrillo

#c-49" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/2993957/order/49">#49 Te respondo en # 21: La cartera "inhackeable" de criptomonedas de McAfee es tan segura que incluso instalaron el DOOM en ella/c21#c-21

o

#49 La idea de instalar un key logger es curiosa puesto que implica...
1º robar la cartera al propietario
2º hackearla e instalar el key logger
3º devolversela para que haga uso de ella
4º volversela a robar para poder extraer la información

No soy experto en seguridad pero al menos yo si me la roban y vuelve a aparecer misteriosamente lo primero que hago es sacar lo que haya dentro y no volver a usarla

againandagain

Hay Doom original hay meneo.

¿Este hombre no estaba un tanto... LOCO? ¿Ya se le paso?

P

#5 es el standard del hackeo, no doom, no hack

robustiano

#5 lol

ronko

#5 En el pasado E3, la compañía Bethesda, bromeaba también con lo de los ports del Skyrim.

kwisatz_haderach

#54 Eso ya llega a otro nivel... le preguntaron al CEO en una charla: ¿Cuando dejareis de portearlo a todo? y su respuesta fue (sic): cuando dejéis de comprarlo siempre.

D

#2 Si. No. lol

ﻞαʋιҽɾαẞ

En breve: "Hackean la cartera de criptomonedas de McAfee"

againandagain

#1 No se, yo creo que si alguien ha podido transferir e instalar un software de terceros, la cartera se da por Hackeada.

D

#3 No. Más bien si no puedes instalar lo que te plazca, no es tu cartera.

againandagain

#13 No entiendo tu mensaje, han instalado un juego con acceso a el disco, la cpu, la memoria, la pantalla, el interfaz de usuario.... ¿a que te refieres?

D

#14 Han robado un coche, pero no tienen la llave de la guantera.

againandagain

#19 Jajajajaja vale, te refieres a que los bitcoin que estan en la cartera estan encriptados y no los pueden robar, esa parte OK, pero la cartera en si te la han jodido, han entrado en tu coche, te han cambiado el ambientador de pino por uno de fresa y te tocado el ajuste del asiento jajajajaj

D

#20 La cartera probablemente siga intacta. Lo que han vulnerado es el software del equipo que controla la cartera. Es decir, la guantera sigue igual, pero han pintado los asientos, han foto un cristal...pseee..

againandagain

#23 He vuelto a leerme el articulo, y mi opinion se basaba en que si han conseguido rootear la cartera y ejecutar codigo sin firmar, es cuestion de tiempo que se puedan hacer con el control de toda ella, pero tambien pensaba equivocadamente que lo habian conseguido hacer remotamente, y no fue asi, asi que efectivamente tienes razon, queda mucho para poder decir que la cartera esta jodida.

sorrillo

#24 es cuestion de tiempo que se puedan hacer con el control de toda ella

Entre cero segundos y la esperanza de vida del universo.

asfaltaplayas

#1 Eso viene a ser el equivalente de "le tiran de los pelos al Antonio Lobato"

ﻞαʋιҽɾαẞ

#34 Tienes razón, había entendido mal el titular.

a

#1 He breve: "McAfee se pasa a los videojuegos y lanza su primera video consola"

D

#38 Ya debe estar buscando recetas.

Pezzonovante

Consiguieron los bitcoins?

Pelafustan

#4 No, por eso es irrelevante.
En microsiervos hay un articulillo sobre el tema, sin tanto sensacionalismo, donde defienden que rootear una cartera no es necesariamente sinonimo de comprometer el dinero almacenado.

D

#30 Ambas interpretaciones son ciertas... a medias:
- No han conseguido los bitcoins, porque la clave no se almacena en el aparato.
- Sí han conseguido modificar el aparato sin dejar rastro, por lo que no es seguro usarlo.

Realmente el aparato es lo peor de dos mundos:
- Tienes que almacenar la clave en algún otro lado (aunque puedes memorizarla).
- Tienes que protegerlo como si sí tuviese la clave, para que nadie pueda modificarlo sin que te des cuenta.

MMS_ES_LEJIA

Afortunadamente estamos ante la antesala de un dispositivo mucho más seguro, quizás este no, pero un próximo puede tener corregido todos estos fallos, me refiero a otro fabricante, no tiene porque ser esta empresa.

andran

Ningún sistema es seguro.

MrX.

Wayfarer

#31 Tú dame un martillo y verás como consigo que nadie pueda acceder a la información almacenada.

El propietario legítimo tampoco, pero es un pequeño precio a pagar.

Bernard

Y mientras McAfee sigue acumulando portadas.

anv

En realidad lo que está mal es la definición de "inhackeable" que usan.
Lo que leí es que en realidad los datos están a salvo aunque toqueteen el software.

Ferk

#47 Claro, es que hasta ponerle una pegatina luminescente se podría considerar un "hack" si tu objetivo es que se vea mejor de lejos.
Hackear básicamente significa conseguir un objetivo particular de forma poco convencional o ingeniosa (buscando "life hacks" encuentras muchos ejemplos fuera de la informática).

Aunque la palabra se use comúnmente para denotar el infiltrarse en un sistema, desde 1975 forma parte de la jergua informática en relación a la resolución de problemas, no exclusivos de seguridad informática: http://www.catb.org/~esr/jargon/html/H/hacker.html

anv

#55 Claro... lo que pasa es que decían que aunque puedas modificar la cartera, no puedes hacerlo sin perder todo el contenido anterior. O sea que los datos de criptomonedas estarían a salvo.

Ferk

#57 Por eso digo, que "inhackeable" es un concepto muy amplio, sin decir el contexto puede ser cualquier cosa. No hay nada que sea "inhackable" en términos absolutos, aunque de cualquier cosa puedes encontrar algún objetivo concreto que sea inhackable. Simplemente estaba ilustrando lo que has dicho.

Hay 2 recompensas que han lanzado con objetivos específicos una de $250k (https://bitfi.com/bounty) y otra de $10k (https://bitfi.com/bounty2). Todavía nadie lo ha conseguido.

D

Esta noticia lleva días dando vueltas en twitter, meneame se ha quedado tan obsoleto como la prensa escrita o los telediarios.

U

No entiendo como es posible que quede gente que le haga caso al tipo ese.

ℵiemand

La cuestión es que si te encuentras la cartera digital en la calle no puedas 'hackearla'. De nada sirve tener privilegios si la información está cifrada. ¿El problema? Que la contraseña de la bitfi reside en memoria más allá de su uso inmediato, así que sí, de momento la cartera es hackeable. Tan sólo tienes que buscar la contraseña.

sorrillo

#22 ¿El problema? Que la contraseña de la bitfi reside en memoria más allá de su uso inmediato

¿Eso es cierto o una mera especulación?

Una forma de reducir o eliminar ese riesgo es reescribiendo esa zona de memoria varias veces una vez utilizado el PIN.

ℵiemand

#27 Yeah, es cierto.

D

#22 Al mismo tiempo, si accedes a ella sin que el dueño se dé cuenta, la puedes modificar fácilmente para quedarte con la contraseña (o jugar al Doom).

D

Pero ¿aparte de hacer estas chorradillas han sacado las criptomonedas de ellas o se han perdido?

D

#32 Ninguna de las dos. Las monedas no están asociadas al aparato sino a la contraseña, así que aunque no puedan sacar la contraseña, quien la tenga (quien la haya cargado) seguirá pudiendo recuperarlas.

D

El psicopata vendedor de humo de John haciendo de nuevo de las suyas... Nada nuevo cara al sol...

Shitcoin

#56 McAfee les está saliendo muy caro el fanfarronear de haber conseguido una solución a prueba de vulnerabilidades. Difícilmente hay soluciones inhackeables, y si acompañas esta afirmación de una excesiva recompensa de 250.000 dólares con la que dar una imagen de seguridad, tienes bastantes papeletas para quedar en mal lugar en cuanto la comunidad empieza a revisarlo todo. Ya van por la segunda campaña con recompensas de 10.000 dólares para quienes encontrasen vulnerabilidades en su solución.

D

ostia pues con la pantalla pequeña hasta parece que tiene buenos gráficos

c

Este es el del antivirus ?
Sigué vivo ? Porque menudo perla era...

salsamalaga

#33 scan99 c: