Peki, donanım cüzdanı tedarik zinciri saldırısı tam olarak nedir?
Donanım cüzdanına yönelik bir tedarik zinciri saldırısı, cihazın, ambalajının veya yazılımının fabrikadan çıktığı an ile siz kurulumu bitirene kadarki süre içinde gerçekleşen her türlü tehlikeye atma eylemidir. Saldırgan, cihazdaki her özel anahtarın türetildiği ana sır olan tohum ifadenizi öğrenmeye çalışır; böylece genellikle cüzdana para yatırdığınız anda BTC, ETH ve cüzdanın desteklediği diğer tüm varlıkları boşaltabilir.
Bu kategori çoğu insanın sandığından daha geniştir. Mühürlü bir kutuyu kurcalanmış biriyle değiştiren bir satıcıyı, bir paketi açıp ürün yazılımını yeniden yükleyen bir gümrük memurunu, gerçeğine tıpatıp benzeyen sahte bir cihazı ve hatta ele geçirilmiş bir satıcı sunucusundan gönderilen kötü amaçlı yazılım güncellemelerini kapsar. Birleştirici fikir, anahtarlarınızı oluşturmak ve saklamak için güvendiğiniz donanıma, siz onu hiç açmadan önce bir saldırgan tarafından dokunulmuş olmasıdır.
İyi haber şu ki, çoğu alıcı için bu düşük olasılıklı bir olaydır. Kötü haber ise bunun aynı zamanda yüksek sonuçlu bir olay olmasıdır: başarılı bir saldırı genellikle geri alınamaz, tam bir kayıpla sonuçlanır; ne geri ödeme, ne sigorta, ne de zincir üstü bir işlemi tersine çevirebilecek bir müşteri destek hattı vardır. Bu asimetri, konunun paranoya değil, inkâr da değil, net bir kafa ve katmanlı bir savunma gerektirmesinin nedenidir.
Teorik değil, gerçek başarısızlık biçimleri
Tedarik zinciri riskini düşünmenin en yararlı yolu, gerçekten yaşanmış saldırıları yalnızca güvenlik konferansı sunumlarında görünenlerden ayırmaktır. İkisi de önemlidir, ancak davranışınızı farklı şekillerde değiştirmelidir.
En sık atıfta bulunulan gerçek dünya veri noktası 2020 Ledger ihlalidir. Saldırganlar Ledger'ın pazarlama veritabanını ele geçirerek yaklaşık 272.000 müşterinin ad, adres ve telefon numaralarını, ayrıca yaklaşık 1 milyon bülten abonesinin e-posta adreslerini ifşa etti. İhlalin kendisi cihazlara yönelik bir tedarik zinciri saldırısı değildi, ancak bir dizi takip saldırısına yol açtı: fiziksel posta dolandırıcılıkları, bilinen Ledger müşterilerine gönderilen sahte cihazlar ve saldırganların Ledger desteği gibi davranıp kurbanları sahte bir "ürün yazılımı güncellemesi" sitesine tohum ifadelerini girmeleri için yönlendirdiği oltalama çağrıları. Bazı kullanıcılar bunun sonucunda BTC'lerini kaybettiklerini kamuya açık şekilde bildirmiştir.
Bunun ötesinde, ambalajı yeniden mühürlenmiş gibi görünen cihazların geldiği izole vakalar ve teslimattan önce ürün yazılımı kötü amaçlı bir sürümle değiştirilmiş, Trezor benzeri bir cihazın yer aldığı en az bir iyi belgelenmiş vaka dahil olmak üzere inandırıcı kurcalama raporları da olmuştur. Cüzdan test firması Kraken Security Labs'taki araştırmacılar ayrıca tüm büyük donanım cüzdanı modellerinin bir noktada, özel ekipmana ve önemli zamana sahip fiziksel bir saldırganın istismar etmesini gerektiren tedarik zinciri zayıflıklarına sahip olduğunu gösteren bulgular yayımladı. 2020'deki "wallet.fail" araştırması ve sonraki açıklamalar, güvenli öğelere sahip cihazların bile laboratuvar erişimi verildiğinde tohum sızdıracak şekilde glitch edilebileceğini gösterdi.
Bu olaylardaki örüntü bilgilendiricidir. Binlerce kullanıcı için seri üretilmiş, önceden arka kapı yerleştirilmiş cüzdanlar açık pazarda mevcut görünmemektedir ve herhangi bir büyük üreticinin cihazının kasıtlı bir arka kapıyla gönderildiğine dair kamuya açık bir kanıt yoktur. Var olan şey, daha küçük olaylardan oluşan uzun bir kuyruktur: hedefli oltalama için kullanılan çalıntı müşteri verileri, perakendede ara sıra yaşanan kurcalamalar ve cihazınızı zaten fiziksel olarak ele geçirmiş bir saldırgan gerektiren araştırma düzeyindeki saldırılar. Bu uzun kuyruk gerçektir, ancak yönetilebilir durumdadır.
Donanım cüzdanının neyi koruyup neyi korumadığı
Cihaz bazı konularda mükemmel, bazılarında ise işe yaramaz olduğu için donanım cüzdanının gerçekte neleri savunduğu konusunda net olmak faydalıdır. Bu sınırı anladığınızda tedarik zinciri sorusu üzerinde akıl yürütmek çok daha kolay hale gelir.
Bir donanım cüzdanının temel görevi, özel anahtarlarınızı küçük, sağlamlaştırılmış bir cihazın içinde tutmak ve işlemleri, anahtarları bilgisayarınıza veya telefonunuza hiçbir zaman maruz bırakmadan imzalamaktır. Uzaktan erişen zararlı yazılımlara, pano ele geçiren araçlara, kötü amaçlı tarayıcı eklentilerine ve ele geçirilmiş işletim sistemlerine karşı bu model son derece iyi çalışır. Günlük kullandığınız dizüstü bilgisayar tamamen ele geçirilmiş olsa bile, fiziksel olarak sahip olmadığınız, düzgün çalışan bir donanım cüzdanından saldırgan genellikle bir kurtarma ifadesini çıkaramaz.
Cihazın korumadığı şey ise, saldırganın cihaza fiziksel olarak sahip olduğu ya da kapınıza ne geldiğini etkileyebilecek konumda bulunduğu tüm sorun kategorisidir. Bu durum; ele geçirilmiş bir bayiden gelen kurcalanmış cihazı, gerçeğini taklit eden sahte bir ürünü, sizi kurtarma ifadenizi bir siteye yazmaya ikna eden bir "destek temsilcisini" ve fabrikanın sizin kurulum hattınız arasındaki kişi ya da sürecin donanımı değiştirme, üzerinde oynama ya da inceleme fırsatı bulduğu her durumu kapsar. Cüzdanın güvenli ögesi ve doğrulama özellikleri bu vakaların bir kısmını tespit etmek üzere tasarlanmıştır, ancak kendi kurulum zamanı doğrulamanızın yerini tutmazlar.
Engelleme saldırılarının gerçekte nasıl çalıştığı
Engelleme (interdiction), birinin paketi alıp içeriğini değiştirdiği veya değiştirip yerine başka bir şey koyduğu ve alıcıya ulaşmadan önce yeniden paketlediği saldırıların resmi adıdır. Donanım cüzdanı bağlamında amaç genellikle kurulum sırasında kurtarma ifadesini öğrenmektir; bunu, kullanıcı ifadeyi yazarken toplayarak veya sonradan değiştirilmiş üretici yazılımı (firmware) üzerinden dışarı sızdırarak yapar.
Uygulamada en yaygın engelleme vektörü, paketin kendisinin yeniden mühürlendiğine dair belirgin izlerle gelmesidir; örneğin hizasız shrink ambalaj, kırık ya da eksik hologramlı etiketler, değiştirilmiş USB kabloları ya da biraz tuhaf görünen talimat kartları. Bazen içindeki cihaz gerçektir ama üretici yazılımı kötü amaçlı bir sürümle değiştirilmiştir. Bazen cihaz neredeyse mükemmel bir sahtedir; çoğunlukla klonlanmış bir kasaya yerleştirilmiş ucuz bir mikrodenetleyicidir ve kurtarma ifadesini hiç itiraz etmeden kabul eder, sonra sahte bir "bakiye" gösterirken gerçek kurtarma ifadesini Bluetooth veya Wi-Fi üzerinden saldırgana sessizce gönderir.
Gümrük ve nakliye lojistiği, sıklıkla tartışılan diğer engelleme noktalarıdır. Bazı yargı bölgelerinde paketler açılıp incelenebilir ve özellikle yüksek net değerli varlık sahipleri arasında, sofistike devlet düzeyindeki aktörlerin geçiş sırasındaki cihazlara müdahale edebileceğine dair uzun süredir devam eden bir endişe vardır. Tüketici donanım cüzdanlarına karşı bunun ölçekli şekilde yapıldığına dair geniş çapta doğrulanmış kamuya açık bir vaka yoktur, ancak teorik risk, ciddi varlık sahiplerinin farklı partilerden birden fazla cihaz alıp bunları ayrı ayrı kurtarma ifadeleriyle kurmalarının nedenlerinden biridir; böylece tek bir engelleme olayı tüm birikimi tehlikeye atamaz.
Riski gerçekten azaltan doğrulama adımları
Donanım cüzdanı tedarik zinciri saldırısını hayatınızda sıfır riskli hale getirmek için güvenlik araştırmacısı olmanız gerekmez. Kutunun ne kadar güvenilir göründüğüne bakmaksızın, her seferinde, kurulum sırasında birkaç belirli adımı izlemeniz gerekir.
Doğrudan üreticiden satın alın
Bu, listedeki en yüksek kaldıraçlı tek eylemdir. Yetkili satıcılar ve üçüncü taraf pazaryerleri, denetleyemeyeceğiniz elleçleme ve depolama adımları ekler ve tarihsel olarak hem kurcalama hem de doğrudan sahtecilik için bir vektör olmuşlardır. Ledger, Trezor ve çeşitli Trezor türevi cihazlar dahil büyük üreticilerin tümü doğrudan müşteriye satış mağazaları işletir. Evet, bir pazaryeri listesine kıyasla biraz daha fazla ödeyebilir ya da biraz daha uzun süre bekleyebilirsiniz. Bu maliyet, en büyük tedarik zinciri riski kategorisini büyük ölçüde azaltmanın bedelidir.
Açmadan önce kurcalamaya karşı ambalajı inceleyin
Her büyük üretici, fabrikada mühürlenmiş gerçek ambalajın nasıl göründüğüne dair fotoğraflar yayımlar. Aldığınızı bu referanslarla karşılaştırın. Sağlam shrink ambalaj, hizalı dikişler ve hologramlı ya da kurcalamaya karşı mühürlerin beklenen konumlarında olup olmadığına bakın. Yeniden mühürlenmiş kutular genellikle yakın incelemeyle tespit edilebilir ve üreticinin kendi belgeleri tam olarak nelere bakmanız gerektiğini size söyler. Herhangi bir şey şüpheli görünürse, durun ve üreticinin resmi destek kanalıyla iletişime geçin. Adresi kendiniz yazarak bulduğunuz kanal, beklediğiniz bir kutunun içindeki kartta yazılı olan değildir.
Kurulum sırasında orijinal cihaz kontrolünü çalıştırın
Artık her saygın donanım cüzdanı, cihazın ve üretici yazılımının orijinal olduğunu doğrulamanın bir yolunu sunar. Ledger cihazlarında bu, Ledger Live içindeki bir "Genuine Check" ile yapılır ve güvenli ögenin doğrulama bilgisini üreticinin yayımladığı anahtarlarla karşılaştırır. Trezor'da karşılığı, cihazın bootloader'ında gösterilen üretici yazılımı sürümünün resmi sitede yayımlanan sürümle eşleştiğinin doğrulanmasıdır. Bu adımı atlamayın. Cihazın kriptografik olarak iddia ettiği şey olduğunu kanıtlayabildiği tek an budur ve kurtarma ifadesini oluşturmadan önceki son savunma hattınızdır.
Kurtarma ifadesini cihazda oluşturun, bilgisayarda veya telefonda asla
Cihaz orijinallik kontrolünü geçtikten sonra kurtarma ifadesini cihazın kendi ekranını ve düğmelerini kullanarak oluşturun. Başka bir yerde oluşturulmuş bir kurtarma ifadesini asla girmevin, kutunun içinden çıkan bir kağıttaki kurtarma ifadesini asla "içe aktarmayın" ve bir yazılım cüzdanına kurtarma ifadesi yazıp sonra onu bir donanım cihazına "taşımayın". Gerçek bir cihaz entropiyi kendisi üretir. Bunun aksini iddia eden her şey bir uyarı işaretidir.
Pratik çıkarımlar: gerçek kullanıcılar için kademeli bir savunma
Herkesin aynı düzeyde korumaya ihtiyacı yoktur ve bunun aksini varsaymak ya aşırı harcamanıza ya da gereksiz strese girmenize yol açar. Kademeli bir yaklaşım, kontrolleri korunan değerle eşleştirir.
Minimum kademe: tipik varlık sahipleri
Mütevazı miktarda BTC ve ETH tutuyorsanız, temel adımları tartışılmaz kabul edin. Üreticinin resmi mağazasından satın alın, ambalajı inceleyin, orijinallik kontrolünü çalıştırın, kurtarma ifadesini cihazda oluşturun ve kurtarma ifadesini hiçbir koşulda hiçbir kişi, site ya da "destek temsilcisiyle" paylaşmayın. Bir üretici yazılımı PIN kodu ekleyin ve kurtarma ifadesini kağıda ya da ideal olarak metale damgalayın. Bu yığın ek bir maliyet getirmez, yaklaşık 20 dakika sürer ve kullanıcıların büyük çoğunluğu için gerçekçi tedarik zinciri senaryolarını ortadan kaldırır.
Gelişmiş kademe: anlamlı bakiyeler
Bir cihazdaki dolar değeri birkaç saatlik emeği hak edecek düzeye geldiğinde, bir parola (passphrase) ekleyin. Parola, kurtarma ifadenizle birleştirilerek farklı bir cüzdan seti türetmek için kullanılan ek bir sözcük ya da sözcük dizisidir. Parola olmadan, tek başına ele geçirilmiş bir kurtarma ifadesi değersizdir ve parola yalnızca sizin aklınızda yaşar. Bedeli, parolayı kaybetmenin kurtarma ifadesini kaybetmek kadar yıkıcı olmasıdır; bu yüzden ayrıca yedeklenmeli ve herhangi bir anlamlı fon saklanmadan önce test edilmelidir. Bunu, farklı bir üreticiden alınmış, ayrı bir fiziksel konumda tutulan ve aynı kurtarma ifadesinin bir kopyasını barındıran ikinci bir donanım cüzdanıyla eşleştirin; böylece tek bir cihaz arızası ya da tek bir engelleme olayı sizi kilitleyemez.
Yüksek değer kademesi: hazine ve uzun vadeli saklama
Ciddi varlıklar için çoklu imza (multisig) en güçlü telafi edici kontrol haline gelir. Tipik bir 2/3 kurulumu, en az iki farklı üreticiden gelen, her birinin kendi kurtarma ifadesine sahip üç donanım cüzdanı kullanır ve bir işlemi imzalamak için bunlardan herhangi ikisinin onayı gerekir. Bir saldırgan, fonları taşıyabilmek için üç cihazdan ikisini ve ayrıca tüm parolaları fiziksel olarak ele geçirip kurcalamak zorundadır. Coğrafi olarak ayrılmış yedeklemeler, ideal olarak farklı fiziksel konumlarda saklanan metal yedekler ekleyin; geriye kalan saldırı yüzeyi o kadar küçülür ki çoğu rasyonel saldırgan daha kolay hedeflere yönelir. Bu kurulum daha karmaşık ve daha pahalıdır, ancak bir saklayıcıya güvenmeden öz-saklama için pratik tavan budur.
Donanım cüzdanı güvenliğini akıllıca takip etmenin yolu
Donanım cüzdanı güvenliği yavaş ilerler, ancak etrafındaki haberler hızlı hareket eder; özellikle Ledger veri ihlali gibi olaylar ve yeni araştırma bulgularının periyodik olarak yayımlanmasının ardından bu hız daha da artar. Hangi satıcıların kurcalama bildirdiğini, hangi üretici yazılımı sürümlerinin güvenli olduğunu ve hangi dolandırıcılıkların şu anda dolaşımda olduğunu takip etmek başlı başına bir iştir. Zippfeed, donanım cüzdanı ve özel emanet manşetlerini duygu puanlaması (boğa, nötr veya ayı) ve önem derecelendirmesi ile birlikte sunar; böylece gerçek riskleri erken fark edebilir ve gürültüden bunalmaktan kurtulabilirsiniz. Bu sinyali yukarıdaki katmanlı kurulumla birleştirdiğinizde, yalnızca bir güvenlik araştırmacısının önerdiği şekilde değil, BTC ve ETH'nizi fiilen nasıl sakladığınıza uyan bir savunma elde edersiniz.
