مقالات

جستجو در مقالات

ورود کاربران ویژه

learn1

 

پنج شنبه, 07 شهریور 1398 01:32

معرفی Ledger Donjo​n

در Ledger، ما به امنیت واقعی اعتقاد داریم امنیت واژه‌ای نیست که ما آن را ساده در نظر بگیریم. برای ساخت سیستم‌های امن، استفاده از قطعات سخت افزاری ایمن و پیاده‌سازی یک سیستم‌عامل ایمن (OS) در صدر موارد مهم قرار دارند حتی با بهترین شیوه‌های کدگذاری امنیتی و سخت‌افزارهای امن، وقتی که به ارزیابی امنیت برسیم، هیچ چیز ذهنیت مبتنی بر حمله را شکست نمی‌دهد.

به همین دلیل است که ما یک آزمایشگاه ارزیابی امنیتی داخلی را در Ledger Donjon ایجاد کردیم​.

Ledger Donjon  از هشت متخصص رده جهانی با زمینه‌های گسترده در صنایع امنیتی و كارت هوشمند تشکیل شده‌است عملکرد کلیدی آن ارزیابی امنیت داخلی و خارجی است. آن‌ها ارتباط نزدیكی با توسعه Ledger Firmware و تیم های سخت افزاری دارند تا بتوانند امنیت محصولات Ledger را ارتقا دهند​.

این تیم به طور مداوم به دنبال نقاط ضعف و آسیب پذیری های محصولات Ledger و نیز تامین كنندگان محصولات Ledger می‌باشد در واقع، Ledger محصولات امنیتی خود را از صفر ایجاد نمی‌کند، آن‌ها با استفاده از سخت‌افزارهای امنیتی ساخته می شوند که توسط فروشندگان خارجی تامین می‌شوند. هنگامی که یک آسیب‌پذیری مشخص می‌شود، روش‌های مقابله و مقاوم‌سازی ارزیابی و اجرا می‌شوند​.

این تیم حوزه وسیعی از تخصص ها را پوشش می‌دهد که به ما اجازه می‌دهد در مورد موضوعات زیر کار کنیم:

حملات نرم‌افزاری

حملات نرم‌افزاری هر تلاشی برای افشا، تغییر، از کار انداختن، تخریب و سرقت، کسب دسترسی غیر مجاز یا استفاده غیر مجاز از یک دارایی دیجیتالی هستند این طیف وسیعی از حملات را پوشش می‌دهد و به طور خلاصه، شامل تحقیق رفتارهای غیر منتظره بر روی یک سیستم و بازی با رابط‌های نرم‌افزاری آن است. این رفتارهای غیر منتظره گاهی زمانی منجر به آسیب‌پذیری می‌شوند که حمله کنندگان یک برنامه را طوری مدیریت می كنند تا به شیوه‌ای متفاوت اجرا شود به منظور اینكه به دارایی‌های مورد نظر دسترسی پیدا کنند برای این منظور چندین زمینه تخصصی از جمله مهندسی معکوس، تحلیل استاتیک، بازبینی کد، رمزنگاری، استخراج و غیره مورد نیاز هستند.

احتمالا بارزترین نمونه از آسیب‌پذیری نرم‌افزاری، Heartbleed، یک اشکال یا باگ در کتابخانه رمزنگاری است که به مهاجمان اجازه می‌دهد تا ارتباطات امن را استراق‌سمع کرده و اطلاعات حساس را بدزدند.​

حملات کانال جانبی Side Channe​l

حملات كانال جانبی طیف گسترده‌ای از حملات هستند که شامل استفاده از نشت فیزیکی یک وسیله با اطلاعات حساس است این حملات به جای تمركز بر نقاط ضعف الگوریتم، بر اطلاعات قابل‌اندازه‌گیری حاصل از اجرای آن الگوریتم تمرکز می‌کنند.

به عنوان مثال، مهاجم با دسترسی فیزیکی به یک دستگاه امنیتی می‌تواند مصرف برق و یا انتشار الکترومغناطیسی مدار را اندازه‌گیری کند تا اطلاعاتی را استخراج کند که منجر به دستکاری پنهانی توسط ابزار شود برای انجام این حملات، طیف گسترده‌ای از مهارت‌ها مورد نیاز است، از جمله رمزنگاری، الکترونیک، پیاده‌سازی نرم‌افزار و علم داده.

حملات خطا

حملات خطا شامل ایجاد اختلال در یک مدار در طول اجرای عملیات است چنین اختلال هایی را می توان از طریق روش‌های مختلف از جمله گرمایش بیش از حد ، دستكاری ولتاژ، overclocking، ایجاد میدان‌های الکتریکی یا مغناطیسی قوی یا موثرتر با استفاده از لیزر، انجام داد. ابزار سخت‌افزاری ممکن است شروع به نشان دادن رفتارهای غلط از قبیل دور زدن تست امنیتی یا نمایش خروجی های نادرست کند که به مهاجم اجازه انجام تحلیل خطای دیفرانسیلی را می‌دهد. به عنوان مثال، به مهاجم اجازه می‌دهد تا از بررسی PIN عبور کند و یا امضاهای خطا دریافت کند که منجر به بازیابی کلید محرمانه می‌شود​.​

تقویت امنیت

برای امنیت بیشتر، Donjon از طریق طراحی راه حل های امنیتی ضد دستكاری سفارشی، به تقویت سرورهای Ledger كمك می كند و از هرگونه حمله برای دزدیدن اطلاعات محرمانه پیشگیری می نماید​.​

گواهی

همانطور که قبلا مشخص شد، Ledger  اطلاعات امنیتی مورد نیاز برای ایجاد ابزارهای قوی که در برابر حملات پیشرفته و نوآورانه دفاع کنند را دارد. حال چه این حملات نرم‌افزاری باشند چه كانال جانبی و یا حملات سخت‌افزاری.

برنامه صدور گواهی‌نامه در Ledger، اهداف متعددی را دنبال می كند​:

  1. برای نشان دادن به مشتریانمان (افراد و شرکت‌ها) که می‌توانند به محصولات ما اعتماد کنند (Ledger Nano S و Ledger Vault​)
  2. برای به چالش كشیده شدن توسط شخص ثالث با تجهیزات بسیار پیشرفته در یک آزمایشگاه امنیتی​.

از آنجا که تکنولوژی blockchain هنوز نسبتا جدید است، هیچ الزامی برای گواهی امنیت برای کیف پول سخت‌افزاری وجود ندارد با این وجود، در Ledger، ما امنیت را بسیار جدی می‌گیریم و اولین کسانی هستیم که اقدام به اجرای یک برنامه جامع برای صدور گواهی‌نامه امنیت راهكارهای خود (Ledger Nano S و Ledger Vault) كرده ایم.

امنیت باز

Donjon، به امنیت باز اعتقاد دارد امنیت باید به چالش کشیده شود و به طور مداوم بهبود یابد. در این زمینه، donjon، دسترسی به منبع ابزار و روش حمله خود را باز گذاشته است​.

Donjon همچنین برنامه جایزه Ledger را اجرا می كند که در این برنامه محققان امنیتی می توانند یافته‌های خود در مورد محصولات Ledger را ارائه كرده و Ledger به بهترین آن ها جایزه اعطا می كند​.

تمامی حقوق مادی و معنوی برای ارز مدرن محفوظ می باشد.

طراحی سایت : ایران مدرن