Fiyatlar yükleniyor…

Donanım Cüzdanı Firmware Kurcalama: Risk Gerçekte Ne Kadar?

Tedarik zinciri donanım saldırıları nadirdir, ama firmware kurcalama asıl tehlikedir. İlk açılışta cihazınızı nasıl doğrulayacağınızı ve diğer tüm önlemleri boşa çıkaran o tek hatadan nasıl kaçınacağınızı anlatıyoruz.

Donanım Cüzdanı Firmware Kurcalama: Risk Gerçekte Ne Kadar?

Donanım cüzdanında "üretici yazılımı kurcalama" aslında ne anlama gelir

Üretici yazılımı (firmware), Ledger veya Trezor gibi bir donanım cüzdanının çipine gömülü düşük seviyeli yazılımdır. Ekranı, düğmeleri, USB veya Bluetooth yığınını ve en önemlisi özel anahtarlarınızı üreten ve saklayan güvenli ögeyi (secure element) ya da genel amaçlı MCU'yu kontrol eder. İnsanlar üretici yazılımı kurcalamadan söz ettiklerinde genellikle çok farklı iki tehdidi birbirine karıştırır; bu ayrım herhangi bir marka karşılaştırmasından daha önemlidir.

İlk tehdit tedarik zinciri kurcalamadır: biri fabrikadan posta kutunuza kadar giden mühürlü bir paketi yolda yakalar, açar, cihazı değiştirir ya da üzerinde oynama yapar ve kutuyu yeniden mühürler. Bu senaryo dramatik olduğu için haberlere konu olur, ama pratikte nadirdir. Posta yoluyla ele geçirme, kimin ne sipariş ettiğini, ne zaman, nereye sipariş ettiğini bilmeyi gerektirir ve çoğu saldırgan daha kolay hedefleri tercih eder.

İkinci tehdit üretici yazılımı düzeyinde ele geçirmedir: cihaz normal görünür ama tohum ifadenizi sızdıran, cihaz ekranındaki alıcı adreslerini değiştiren ya da kullanıcının istemediği işlemleri imzalayan değiştirilmiş kod çalıştırır. Bu tehdit, postayı ele geçirmeyi hiç gerektirmez. Bir cüzdan zaten ele geçirilmiş biri tarafından ikinci el satıldığında, sahte bir cihaz önceden yüklenmiş zararlı üretici yazılımıyla gönderildiğinde ya da bir saldırgan kullanıcıyı ilk açılıştaki imza doğrulama adımını atlamaya ikna ettiğinde ortaya çıkar.

Her iki tehdit de gerçektir. Ancak ikisi eşit olasılıkta değildir ve bunlara karşı savunmalar farklıdır. İkisini birbirine karıştırmak ya paranoyaya (cüzdanı asla çevrimiçi sipariş etmemek) ya da rehavete (mühürlü kutunun yeterli kanıt olduğunu varsaymak) yol açar; her iki sonuç da kullanıcıya zarar verir.

Kutuyu açmadan önce ciddiye almanız gereken riskler

Dürüst risk tablosu, iyi casus filmi malzemesi olanlarla değil, gerçekten kayıplara yol açmış başarısızlık biçimleriyle başlar. Kamuya açık olay kayıtlarına ve post-mortem'lere göre, son on yılda öz-saklama kullanıcılarına verilen belgelenmiş zararlar küçük bir örüntü kümesi etrafında yoğunlaşmıştır; bunları anlamak, dikkatinizi nereye harcayacağınızı gösterir.

Kullanılmış ve yeniden satılan cihazlar en büyük kategoridir. Donanım cüzdanı, kalıcı belleğe sahip küçük bir bilgisayardır. Sofistike bir saldırgan özel üretici yazılımı yükleyebilir, bunu geri alabilir ve cihazı, belirgin bir iz bırakmadan yeniden satabilir. Yeni sahibi ele geçirilmiş bir cihazda tohum oluşturur, tohum dışarı sızdırılır ve cüzdan anlamlı bir bakiyeye ulaştığında günler ya da haftalar sonra fonlar boşaltılır.

Sahte taklit cihazlar ikinci sıradadır. eBay, AliExpress ve gayri resmi Telegram kanalları gibi pazaryerlerinde, Ledger ve Trezor cihazlarının ikna edici sahteleri yer almıştır. Bazıları barizdir (yanlış ağırlık, yanlış yazı tipi, hologramlı mühürün eksikliği). Diğerleri ise aynı kasa ve değiştirilmiş iç bileşenlere sahip klonlardır; tek güvenilir kontrol, ilk açılışta üretici yazılımı imza doğrulamasıdır.

2020'deki Ledger müşteri veritabanı ihlali, bir üretici yazılımı saldırısı olmasa da bu listede yer almayı hak eder. Ledger müşterilerinin adları, e-posta adresleri, telefon numaraları ve ev adresleri dahil kişisel bilgileri sızdırıldı. Bunun sonucunda hedefli kimlik avı dalgaları, sahte yedek cihaz gönderileri ve bildirilen bazı vakalarda fiziksel şantaj girişimleri yaşandı. Buradan çıkarılacak ders, öz-saklama yapmanın sizi kendi başınıza silemeyeceğiniz bir veritabanında bilinen bir hedef haline getirmesidir.

Üretici yazılımı sürüm düşürme saldırıları daha dar bir kategoridir ama bilinmeye değer. Bazı cihazlar, üreticinin daha sonra yamaladığı, eski ve savunmasız bir üretici yazılımı sürümünü yüklemeye kandırılabilir. Bu yüzden hem Ledger hem de Trezor artık belirli bir noktanın ötesine üretici yazılımı sürüm düşürmeyi reddeder ve cihaz üzerindeki imza kontrolü zaten bu yüzden vardır.

Ortak nokta şudur: bu saldırıların hiçbiri postanızın sofistike bir şekilde ele geçirilmesini gerektirmez. Ya zaten ele geçirilmiş bir cihazı almanızı ya da üreticinin tam olarak bunları yakalamak için tasarladığı bir doğrulama adımını atlamanızı gerektirir.

Ledger ve Trezor firmware imzalarını gerçekte nasıl doğrular

İki büyük donanım cüzdanı üreticisi de firmware'larını yayınlar, yalnızca şirkette bulunan bir özel anahtarla imzalar ve karşılık gelen genel anahtarı fabrikada cihazın güvenli ögesine veya bootloader'ına yerleştirir. Bir cihazı ilk kez açtığınızda, bootloader yüklü firmware'ın kriptografik imzasını bu gömülü genel anahtarla kontrol eder. İmza eşleşmezse cihaz yeni bir seed üretmeyi ya da çalışmayı reddeder.

Bu bir pazarlama iddiası değil, doğrulanabilir bir mühendislik özelliğidir. İlgili kod Trezor'un bootloader'ında GitHub'da açık kaynak olarak bulunur ve güvenli öge için Ledger'ın güvenlik hedefi belgelerinde ayrıntılı şekilde açıklanmıştır. 2018'deki Trezor cüzdanı seed çıkarma açığını ortaya çıkaran ekip ve Ledger Nano X'in Bluetooth sorunlarını ifşa eden Kraken Security Labs ekibi dahil bağımsız araştırmacılar, temel imza doğrulama davranışını birçok kez test edip onaylamıştır.

İmza kontrolünün sizi gerçekte neye karşı koruduğu açıktır: değiştirilmiş bir firmware görüntüsü orijinal bir cihazda açılmaz. Dolayısıyla bir Ledger Nano S Plus'ı ya da Trezor Model T'yi resmi mağazadan aldığınızda ve cihaz açılıp ekranında orijinal firmware sürümünü gösteriyorsa ve sizi yeni bir cüzdan kurmaya yönlendiriyorsa, firmware'ın değiştirilmediğine dair güçlü bir kanıtınız vardır.

İmza kontrolünün sizi korumadığı şey ise daha üst düzeydeki tedarik zincirinin ele geçirilmesidir. Bir saldırgan, kontrolü yapmayan ya da kendi imzalama anahtarlarını kullanan klon bir bootloader içeren sahte bir cihazı değiştirirse ekran yine de "Genuine Ledger" ya da "TREZOR is ready." yazacaktır. Bu yüzden bir sonraki katman olan insan doğrulama katmanı mevcuttur.

İlk açılışta her meşru cihaz size belirli bir dizi kontrol sunar: firmware sürümü, yeni bir seed üretme ya da mevcut bir seed'den kurtarma seçeneklerinden birini seçme isteği ve daha yeni Trezor cihazlarında firmware parmak izinin üreticinin web sitesinde yayınlanan değerle karşılaştırılmasını onaylama adımı. Ledger cihazları, Ledger Live'ın orijinallik kontrolünü çalıştırmasının ardından bir "Genuine" onay ekranı gösterir. Bu adımı atlamak ya da ikinci el bir cihazın önceden üretilmiş kurtarma kâğıdına güvenmek, kullanıcıların kendi güvenliklerini sabote ettiği en yaygın tek hatadır.

Kurcalamaya karşı dayanıklı ambalaj: gerçek bir sinyal, garanti değil

Trezor ve Ledger cihazları, seri numaralı hologram etiketleri, güvenlik bandı ve (bazı durumlarda) kurcalamayı gösteren perforasyonlara sahip shrink ambalajla birlikte kurcalanmaya karşı dayanıklı kutularda gönderilir. Amaç, kutu size ulaşmadan önce açılıp açılmadığını sizin, müşteri olarak, görebilmenizdir.

Dürüst çerçevelemek gerekirse kurcalamaya dayanıklı ambalaj bir ilk savunma hattıdır, kanıt değil. Özellikle hologram etiketleri hem laboratuvar ortamında hem de kripto sektörü dışında tüketici elektroniği ve ilaç ambalajlarına yönelik gerçek dünya dolandırıcılık vakalarında yenilgiye uğratılmıştır. Birkaç saati, bir ısı tabancası ve kaliteli bir hologram film yazıcısı olan kararlı bir saldırgan, ikna edici bir yeniden kapatma üretebilir. Araştırmacılar bunu birçok kez kamuya açık şekilde göstermiştir.

Kurcalamaya dayanıklı ambalajın aslında işe yaradığı yer, saldırı için gereken maliyet ve süreyi yükseltmesidir; bu da saldırıya kalkışmayı göze alanların sayısını belirgin biçimde azaltır. Depodaki iade ürünlerinden tek bir cihazı çalmak isteyen sıradan bir fırsatçı yeniden kapatma zahmetine girmez. Ancak özellikle sizi hedef alan bir devlet destekli saldırgan bir hologramla durdurulamaz. Gerçek saldırganların büyük çoğunluğu ortada yer alır ve maliyetle riskle ilgilenir.

Pratik tavsiye, ambalajı nihai cevap değil tek bir veri noktası olarak ele almaktır. Trezor Model T'niz yeniden kapatılmış bir kutuda geliyorsa, hologramı kırışmış görünüyorsa, kutu üzerindeki seri numarası cihazın üzerindekiyle eşleşmiyorsa ya da ambalajdan hafif yapıştırıcı çözücü kokusu geliyorsa, cihazı açmadan önce üreticinin destek ekibiyle iletişime geçmek için duraklamak için yeterli sebeplerdir. Bunlar tek başına kurcalama kanıtı değildir. Cihazı fonlarla emanet etmeden önce firmware imza kontrolü de dahil ek inceleme uygulamak için sebeplerdir.

Markadan çok resmi satıcılardan almanın neden daha önemli olduğu

Firmware kurcalama riskindeki en büyük tek değişken, seçtiğiniz cihaz değildir. Cihazın size ulaşma yoludur. Saygın bir yetkili satıcıdan sipariş edilen orijinal bir Ledger, anonim bir çevrimiçi pazaryerinden sipariş edilen orijinal görünümlü bir Ledger'dan anlamlı ölçüde daha güvenlidir ve fiyat farkı nadiren riske değer.

Yetkili satıcılar, kamuya açık itibara, düzenleyici yükümlülüklere ve üreticiyle doğrudan ilişkilere sahip işletmelerdir. Ledger ve Trezor'un her ikisi de web sitelerinde yetkili satıcıların kamuya açık listelerini tutar. Bu satıcılar toplu alım yapar, envanteri güvenli depolarda saklar ve orijinal mühürlü ambalajda gönderir. Teşvik yapıları, kurcalanmış bir ürün dağıtmanın maliyetinden ve itibar zararından kaçınmaktır.

İkinci el piyasasında ise böyle bir yapı yoktur. Bir donanım cüzdanını Reddit'teki bir yabancıdan, bit pazarından ya da eşler arası bir kripto borsasından satın aldığınızda, o kişinin güvenlik uygulamalarına bilinmeyen bir zaman aralığı boyunca güveniyorsunuz demektir. Cihazın fabrika varsayılanlarına sıfırlanıp sıfırlanmadığını, firmware'ın hiç değiştirilip değiştirilmediğini, kutusuyla gelen kurtarma seed kâğıdının cihazda mı yoksa önceden üretilip saldırganın sunucusunda mı saklandığını ya da cihazda eve sinyal gönderen bir donanım implantı bulunup bulunmadığını bilmezsiniz.

Bu yüzden "ikinci el donanım cüzdanı satın almayın" tavsiyesi, öz-saklama topluluğundaki en tutarlı şekilde doğru öğüttür. Tüm tedarik zinciri saldırı yüzeyini kullanıcının uygulayabileceği tek bir kurala indirir. Üreticinin kendisinin, belgelenmiş bir sıfırlama ve yeniden mühürleme süreciyle sattığı yenilenmiş ürünler istisnadır ve bunlar dardır, doğrulanabilirdir.

Eğer bir fırsat gerçek olamayacak kadar iyi görünüyorsa, genellikle öyledir. Donanım cüzdanları üreticiler tarafından MSRP civarında satılır çünkü kâr marjları yüksek değildir ve hacim mütevazıdır. Tanımadığınız bir satıcıdan yeni, mühürlü bir Ledger'a %50 indirim cömertlik değildir. Kırmızı bayraktır.

İlk açılışta yapabileceğiniz pratik doğrulama

Cihazınızı mühürlü ve yetkili bir kaynaktan aldığınızı varsayarsak, sonraki on dakika her şeyden daha önemlidir. Amaç, kendi gözünüzle cihazın orijinal olduğunu ve üreticinin yayınladığı firmware'ı çalıştırdığını doğrulamaktır.

Birinci adım fiziksel incelemedir. Kutudaki hologram etiketinin sağlam olduğunu ve üreticinin web sitesinde gösterilen tasarımla eşleştiğini doğrulayın. Kutu üzerinde basılı seri numarasını, cihazı bilgisayara taktığınızda ekranda görünen seri numarasıyla karşılaştırın. İkisi eşleşmiyorsa durun ve destek ekibiyle iletişime geçin.

İkinci adım cihaz üzerindeki firmware kontrolüdür. Ledger cihazını açıp Ledger Live'a bağladığınızda uygulama, güvenli ögenin attestation sertifikasını doğrulayan ve firmware sürümünün Ledger'ın yayınladığı sürümle eşleştiğini onaylayan bir orijinallik kontrolü çalıştırır. Trezor'da ise cihaz ilk açılışta trezor.io'da yayınlanan değerle karşılaştırabileceğiniz bir firmware parmak izi gösterir. Modern Trezor cihazları, firmware imzalanmış en son sürüm değilse ilerlemeyi reddeder.

Üçüncü adım seed üretme adımıdır. Yeni bir kurtarma seed'ini cihazın kendisinde üretin, kutuyla gelen önceden basılmış bir karttan değil. Seed'i kâğıda yazın ya da metal bir plakaya damgalayın ve çevrimdışı saklayın. Seed'i hiçbir zaman bilgisayara, telefona ya da internete bağlı bir cihaza yazmayın. Kötü amaçlı firmware içeren orijinal görünümlü bir cihaz seed'i üretim anında sızdırabilir, dolayısıyla kriptografik ve fiziksel korumaların ya işe yaradığı ya da başarısız olduğu an budur.

Dördüncü adım test işlemidir. Cüzdana anlamlı miktarda fon taşımadan önce küçük bir miktar BTC ya da ETH gönderin, sonra onu bildiğiniz bir borsa adresine geri gönderin. Cihazın kendi ekranında görünen adresin beklediğiniz adresle eşleştiğini doğrulayın. Bu, alıcı adreslerini ana bilgisayarda değiştiren bir zararlı yazılım sınıfını yakalar; bu tam olarak firmware kurcalama olmasa da aynı tehdit ailesinde yer alır.

Bu adımlardan herhangi biri beklemediğiniz bir sonuç üretirse cüzdana fon yatırmayın. Üreticinin destek ekibiyle iletişime geçin. Cihazı sıfırlayın, iade edin ve farklı bir birimle baştan başlayın.

Doğrulanmamış bir kaynaktan cihaz satın aldıysanız ne yapmalısınız

Yetkili olmayan bir satıcıdan, eşler arası bir pazaryerinden veya bir tanıdıktan donanım cüzdanı satın aldıysanız dürüst cevap, cihazın tamamen güvenli olduğunu doğrulayamayacağınızdır ve onu güvenliği ihlal edilmiş gibi değerlendirmek temkinli varsayılan yaklaşımdır. Ancak riskinizi önemli ölçüde azaltan adımlar mevcuttur.

Üreticinin resmi yazılımını kullanarak aygıt yazılımını en son imzalı sürüme güncelleyin; bu, önyükleyicinin imzayı üreticinin genel anahtarına karşı yeniden doğrulamasını sağlar. Trezor cihazlarında bu adım nispeten esnek bir adımdır. Eski Ledger cihazlarında ise aygıt yazılımı güncellemeleri önce gerçek cihaz kontrolü gerektirir ve cihaz bu kontrolü geçemezse zaten cevabınızı almış olursunuz.

Cihaz üzerinde yeni bir kurtarma ifadesi oluşturun ve cihazla birlikte gelen hiçbir kurtarma kâğıdını kullanmayın. Cihazla birlikte sağlanan tüm kurtarma kelimelerini oluşturuldukları andan itibaren güvenliği ihlal edilmiş kabul edin.

Önce cüzdana küçük bir test tutarı yatırın ve daha büyük bakiyeleri taşımadan önce test işlemini onaylayın. Beklenmedik istemler, tuhaf ekran davranışı, başarısız olan veya olağandışı bir yol izleyen işlemler, beklediğinizle eşleşmeyen adresler gibi her türlü anormalliği izleyin.

Herhangi bir şüpheli işaret belirirse cihazı kullanmayı bırakın ve parayı yetkili bir kaynaktan yeni satın alınmış bir cüzdana taşıyın. Yeni bir cihazın maliyeti, boşaltılmış bir cüzdanın maliyetinin yanında önemsiz kalır.

Donanım cüzdanı güvenliğini akıllıca nasıl takip edilir

Donanım cüzdanı güvenliği yavaş ilerler, ancak etrafındaki haberler hızlı hareket eder. Yeni aygıt yazılımı saldırıları, yeni kimlik avı kampanyaları ve yeni tedarik zinciri olayları sürekli olarak bildirilir ve çekmecenizdeki cihazı hangi gelişmelerin gerçekten etkilediğini anlamak zordur. Zippfeed, duygu puanlaması (boğa, nötr veya ayı) ve önem derecelendirmesi ile donanım cüzdanı ve öz emanet başlıklarını öne çıkarır, böylece gürültü içinde kaybolmadan önemli haberleri tespit edebilirsiniz.

Sıkça sorulan sorular

Donanım cüzdanlarında firmware kurcalama yaygın mı?
Fiziksel tedarik zinciri kurcalama nadirdir ve çoğunlukla teoriktir. İkinci el veya sahte cihazlarda firmware seviyesinde ele geçirme daha yaygındır, ancak mutlak anlamda yine seyrektir. Kullanıcıların karşılaştığı en büyük risk insan hatasıdır, özellikle ikinci el cihaz almak, cihaz üzerindeki firmware doğrulamasını atlamak veya kurtarma ifadesini dijital ortamda saklamak. Bunların hiçbiri yatırım tavsiyesi değildir ve bireysel risk, cihazınızı nasıl ve nereden aldığınıza bağlı olarak büyük ölçüde değişir.
Donanım cüzdanımın firmware'i kurcalanmış mı nasıl kontrol ederim?
Cihazı üreticinin resmi yazılımına (Ledger Live veya Trezor Suite) bağlayın ve orijinal cihaz kontrolünü çalıştırın. Yazılım, güvenli ögenin attestation değerini doğrular ve firmware'in üreticinin imzaladığı sürümle eşleştiğini onaylar. Trezor'da ayrıca cihaz üzerindeki firmware parmak izini üreticinin web sitesinde yayımlanan değerle karşılaştırabilirsiniz. Bu kontrollerden biri başarısız olursa cihazı ele geçirilmiş sayın ve içine para yüklemeden önce destek ekibiyle iletişime geçin.
Para biriktirmek için ikinci el bir Ledger veya Trezor almalı mıyım?
Hayır. Tanımadığınız birinden ikinci el donanım cüzdanı almak, diğer tüm koruma katmanlarını neredeyse tamamen çökertir, çünkü cihazın ilk sahibinden size ulaşana kadar ne yaşandığını doğrulayamazsınız. Ele geçirilmiş bir cihaz, kurtarma ifadenizi oluşturulduğu anda sızdırabilir ve siz bunu ancak fonlarınız çoktan gittikten sonra fark edersiniz. İkinci el ile sıfır arasındaki fiyat farkı o kadar küçüktür ki, bu tasarruf yapmak için en yanlış yerlerden biridir. Bu bir yatırım tavsiyesi değil, güvenlik topluluğunda yaygın olarak kabul gören bir görüştür.
Ledger müşteri verileri ihlali neydi ve bu firmware riskini etkiler mi?
2020 ortasında bir Ledger müşteri veritabanı, üçüncü taraf bir tedarikçi üzerinden sızdırıldı. Bu ihlal, Ledger müşterilerinin isimlerini, e-posta adreslerini, telefon numaralarını ve fiziksel adreslerini ortaya çıkardı. Olay bir firmware saldırısı değildi, ancak bilinen kripto sahiplerine yönelik yoğun bir hedefli oltalama dalgasına ve daha az sayıda fiziksel şantaj girişimine yol açtı. Alınan ders şu ki, donanım cüzdanı satın almak sizi silemeyeceğiniz bir veritabanına dahil eder, bu da sadece cihazınızın değil adresinizin ve kimliğinizin etrafındaki operasyonel güvenliğin önemini artırır.
İlgili tokenler
$BTC $ETH