EDICIóN GENERAL
277 meneos
3159 clics
La cartera "inhackeable" de criptomonedas de McAfee es tan segura que incluso instalaron el DOOM en ella

La cartera "inhackeable" de criptomonedas de McAfee es tan segura que incluso instalaron el DOOM en ella

La empresa apadrinada por John McAfee para crear una cartera de criptomonedas "inhackeable" no para de quedar en evidencia. La semana pasada os contamos que un investigador de seguridad holandés había conseguido rootear en sólo una semana el dispositivo físico en el que se basa, y ahora un joven investigador ha ido un paso más allá instalando aplicaciones de terceros en él. Concretamente el mítico videojuego 'DOOM'.

| etiquetas: doom , criptomonedas , mcafee , cartera
En breve: "Hackean la cartera de criptomonedas de McAfee"
#1 No se, yo creo que si alguien ha podido transferir e instalar un software de terceros, la cartera se da por Hackeada.
#3 No necesariamente.

Puedes tener una cartera en el ordenador de sobremesa con un cifrado fuerte, el hecho que alguien reinstale el ordenador y ponga videojuegos no implica que la cartera haya sido hackeada. Simplemente han reutilizado el hardware para otra cosa distinta, sin acceder a los fondos almacenados allí.
#7 Hace mucho que no estoy en temas de seguridad, pero me da que si alguien ha conseguido:

. Acceder a la misma
. Conseguir acceso al almacenamiento y permisos suficientes (Al menos de escritura)
. Conseguir permisos de ejecucion para un software no firmado.

Me hace pensar que de eso a poder hacer mucho mas va un paso... pero ya te digo que estoy desactualizado :-)
#8 Un diseño seguro de una cartera separa el entorno de usuario (la pantalla formaría parte del entorno de usuario) de la cartera en sí, que está aislada lo máximo posible del resto y es donde realmente hay la seguridad del dispositivo.

En ese sentido hackear la pantalla no te daría ningún poder específico sobre la cartera interna. Por eso la pregunta que han hecho en un comentario previo, de si han podido acceder a los Bitcoins, es más que pertinente.
#9 Solo falta el keylogger para el acceso, y un descuido por supuesto
#18 Para ese ataque se requiere que la víctima pierda el control del dispositivo durante el tiempo necesario para el atacante para hackearlo e instalar el keyloger y que luego el propietario original lo recupere sin sospechar. Tras esto el atacante debe volver a acceder al dispositivo.

No basta con que el atacante tenga acceso al dispositivo mediante un robo o una pérdida.
#21 Lo cual lo hace menos seguro que dispositivos con protección física de integridad, y comprobación de firmware firmado.
#8 En el Trezor (la cartera más famosa de Bitcoin) puedes instalar lo que te plazca. Eso sí el Trezor te avisa de que el firmware no está firmado al ponerlo en marcha.

Pero por poder puedes poner el que te plazca, el aviso está sólo para impedir que te la den con queso reemplazando el firmware sin que te enteres.

Si no puedes compilar y ejecutar el código, no es tu cartera, es de otra persona.
#15 Pues a eso voy, sin acceso fisico ya han instalado y ejecutado codigo ¿no? igual no nos entendemos.
#16 Lo han hecho sin acceso físico?
#26 Parece que no, habia leido mal la noticia, y pensaba que hablaba de que habian hecho todo eso en una cartera a distancia, pero nop, aun queda mucho.
#15 Mas famosa que Ledger? Las ultimas integraciones de ledger (nano, vechain, monero, icon, etc. y en breve iota) son un puntazo. La unica pega las pocas apps que puedes tener a la vez.
#37 Yo diría que es más famosa. Es la primera al menos, y más cara (poe algo será).

En cuanto a criptocosas como IOTA... meter eso en una hardware wallet es como guardar billetes del monopoli en una caja de seguridad :-P
#7 Si tiene permiso de root puede hacer lo que le de la gana.
#12 Eso no siempre es cierto.

Tener permiso de root no te permite por ejemplo descifrar un archivo cifrado con una clave fuerte.

Si la cartera requiere al usuario introducir un PIN el tener acceso root no te da acceso a ese PIN, y si el sistema que gestiona la seguridad del PIN es independiente del entorno de usuario, que sería lo seguro, entonces desde el root del entorno de usuario solo puedes probar PIN distintos hasta que el dispositivo bloquee el acceso permanentemente.

Y esto es solo un ejemplo, puede haber miles en los que tener root no te da acceso a los fondos de la cartera. Por eso la pregunta que han hecho en un comentario previo, de si han podido acceder a los Bitcoins, es más que pertinente.
#7 si te puede instalar un videojuego, te puede instalar un keylogger o cualquier otra aplicación que le permita con el tiempo acceder a tu cartera, quien siga considerando completamente seguro su sistema tras eso, tiene un problema
#49 La idea de instalar un key logger es curiosa puesto que implica...
1º robar la cartera al propietario
2º hackearla e instalar el key logger
3º devolversela para que haga uso de ella
4º volversela a robar para poder extraer la información

No soy experto en seguridad pero al menos yo si me la roban y vuelve a aparecer misteriosamente lo primero que hago es sacar lo que haya dentro y no volver a usarla
#3 No. Más bien si no puedes instalar lo que te plazca, no es tu cartera.
#13 No entiendo tu mensaje, han instalado un juego con acceso a el disco, la cpu, la memoria, la pantalla, el interfaz de usuario.... ¿a que te refieres?
#14 Han robado un coche, pero no tienen la llave de la guantera.
#19 Jajajajaja vale, te refieres a que los bitcoin que estan en la cartera estan encriptados y no los pueden robar, esa parte OK, pero la cartera en si te la han jodido, han entrado en tu coche, te han cambiado el ambientador de pino por uno de fresa y te tocado el ajuste del asiento jajajajaj
#20 La cartera probablemente siga intacta. Lo que han vulnerado es el software del equipo que controla la cartera. Es decir, la guantera sigue igual, pero han pintado los asientos, han foto un cristal...pseee..
#23 He vuelto a leerme el articulo, y mi opinion se basaba en que si han conseguido rootear la cartera y ejecutar codigo sin firmar, es cuestion de tiempo que se puedan hacer con el control de toda ella, pero tambien pensaba equivocadamente que lo habian conseguido hacer remotamente, y no fue asi, asi que efectivamente tienes razon, queda mucho para poder decir que la cartera esta jodida.
#24 es cuestion de tiempo que se puedan hacer con el control de toda ella

Entre cero segundos y la esperanza de vida del universo.
#1 Eso viene a ser el equivalente de "le tiran de los pelos al Antonio Lobato"
#34 Tienes razón, había entendido mal el titular.
#1 He breve: "McAfee se pasa a los videojuegos y lanza su primera video consola"
Hay Doom original hay meneo.

¿Este hombre no estaba un tanto... LOCO? ¿Ya se le paso?
#2 Naturalmente que alguien iba a instalar Doom.  media
#5 es el standard del hackeo, no doom, no hack
#5 El "Hola, mundo" del hackeo

cc #5
#5 En el pasado E3, la compañía Bethesda, bromeaba también con lo de los ports del Skyrim.
#54 Eso ya llega a otro nivel... le preguntaron al CEO en una charla: ¿Cuando dejareis de portearlo a todo? y su respuesta fue (sic): cuando dejéis de comprarlo siempre.
#2 Si. No. xD
Consiguieron los bitcoins?
#4 No, por eso es irrelevante.
En microsiervos hay un articulillo sobre el tema, sin tanto sensacionalismo, donde defienden que rootear una cartera no es necesariamente sinonimo de comprometer el dinero almacenado.
#30 Ambas interpretaciones son ciertas... a medias:
- No han conseguido los bitcoins, porque la clave no se almacena en el aparato.
- Sí han conseguido modificar el aparato sin dejar rastro, por lo que no es seguro usarlo.

Realmente el aparato es lo peor de dos mundos:
- Tienes que almacenar la clave en algún otro lado (aunque puedes memorizarla).
- Tienes que protegerlo como si sí tuviese la clave, para que nadie pueda modificarlo sin que te des cuenta.
La cuestión es que si te encuentras la cartera digital en la calle no puedas 'hackearla'. De nada sirve tener privilegios si la información está cifrada. ¿El problema? Que la contraseña de la bitfi reside en memoria más allá de su uso inmediato, así que sí, de momento la cartera es hackeable. Tan sólo tienes que buscar la contraseña.
#22 ¿El problema? Que la contraseña de la bitfi reside en memoria más allá de su uso inmediato

¿Eso es cierto o una mera especulación?

Una forma de reducir o eliminar ese riesgo es reescribiendo esa zona de memoria varias veces una vez utilizado el PIN.
#27 Yeah, es cierto.  media
#22 Al mismo tiempo, si accedes a ella sin que el dueño se dé cuenta, la puedes modificar fácilmente para quedarte con la contraseña (o jugar al Doom).
Ningún sistema es seguro.

MrX.
#31 Tú dame un martillo y verás como consigo que nadie pueda acceder a la información almacenada.

El propietario legítimo tampoco, pero es un pequeño precio a pagar. :troll:
Pero ¿aparte de hacer estas chorradillas han sacado las criptomonedas de ellas o se han perdido?
#32 Ninguna de las dos. Las monedas no están asociadas al aparato sino a la contraseña, así que aunque no puedan sacar la contraseña, quien la tenga (quien la haya cargado) seguirá pudiendo recuperarlas.
Este es el del antivirus ?
Sigué vivo ? Porque menudo perla era...
#33 scan99 c:
Afortunadamente estamos ante la antesala de un dispositivo mucho más seguro, quizás este no, pero un próximo puede tener corregido todos estos fallos, me refiero a otro fabricante, no tiene porque ser esta empresa.
No nos olvidemos de lo mas importante... Se comera McAfee su pene, o no?
#38 Ya debe estar buscando recetas.
No entiendo como es posible que quede gente que le haga caso al tipo ese.
Esta noticia lleva días dando vueltas en twitter, meneame se ha quedado tan obsoleto como la prensa escrita o los telediarios.
Y mientras McAfee sigue acumulando portadas.
En realidad lo que está mal es la definición de "inhackeable" que usan.
Lo que leí es que en realidad los datos están a salvo aunque toqueteen el software.
#47 Claro, es que hasta ponerle una pegatina luminescente se podría considerar un "hack" si tu objetivo es que se vea mejor de lejos.
Hackear básicamente significa conseguir un objetivo particular de forma poco convencional o ingeniosa (buscando "life hacks" encuentras muchos ejemplos fuera de la informática).

Aunque la palabra se use comúnmente para denotar el infiltrarse en un sistema, desde 1975 forma parte de la jergua informática en relación a la resolución de problemas, no exclusivos de seguridad informática: www.catb.org/~esr/jargon/html/H/hacker.html
#55 Claro... lo que pasa es que decían que aunque puedas modificar la cartera, no puedes hacerlo sin perder todo el contenido anterior. O sea que los datos de criptomonedas estarían a salvo.
#57 Por eso digo, que "inhackeable" es un concepto muy amplio, sin decir el contexto puede ser cualquier cosa. No hay nada que sea "inhackable" en términos absolutos, aunque de cualquier cosa puedes encontrar algún objetivo concreto que sea inhackable. Simplemente estaba ilustrando lo que has dicho.

Hay 2 recompensas que han lanzado con objetivos específicos una de $250k (bitfi.com/bounty) y otra de $10k (bitfi.com/bounty2). Todavía nadie lo ha conseguido.
El psicopata vendedor de humo de John haciendo de nuevo de las suyas... Nada nuevo cara al sol...
ostia pues con la pantalla pequeña hasta parece que tiene buenos gráficos

menéame