آیا Ledger Donjon را می شناسید؟
در Ledger، ما به امنیت واقعی اعتقاد داریم امنیت واژهای نیست که ما آن را ساده در نظر بگیریم. برای ساخت سیستمهای امن، استفاده از قطعات سخت افزاری ایمن و پیادهسازی یک سیستمعامل ایمن (OS) در صدر موارد مهم قرار دارند حتی با بهترین شیوههای کدگذاری امنیتی و سختافزارهای امن، وقتی که به ارزیابی امنیت برسیم، هیچ چیز ذهنیت مبتنی بر حمله را شکست نمیدهد.
به همین دلیل است که ما یک آزمایشگاه ارزیابی امنیتی داخلی را در Ledger Donjon ایجاد کردیم.
Ledger Donjon از هشت متخصص رده جهانی با زمینههای گسترده در صنایع امنیتی و كارت هوشمند تشکیل شدهاست عملکرد کلیدی آن ارزیابی امنیت داخلی و خارجی است. آنها ارتباط نزدیكی با توسعه Ledger Firmware و تیم های سخت افزاری دارند تا بتوانند امنیت محصولات Ledger را ارتقا دهند.
این تیم به طور مداوم به دنبال نقاط ضعف و آسیب پذیری های محصولات Ledger و نیز تامین كنندگان محصولات Ledger میباشد در واقع، Ledger محصولات امنیتی خود را از صفر ایجاد نمیکند، آنها با استفاده از سختافزارهای امنیتی ساخته می شوند که توسط فروشندگان خارجی تامین میشوند. هنگامی که یک آسیبپذیری مشخص میشود، روشهای مقابله و مقاومسازی ارزیابی و اجرا میشوند.
این تیم حوزه وسیعی از تخصص ها را پوشش میدهد که به ما اجازه میدهد در مورد موضوعات زیر کار کنیم:
حملات نرمافزاری
حملات نرمافزاری هر تلاشی برای افشا، تغییر، از کار انداختن، تخریب و سرقت، کسب دسترسی غیر مجاز یا استفاده غیر مجاز از یک دارایی دیجیتالی هستند این طیف وسیعی از حملات را پوشش میدهد و به طور خلاصه، شامل تحقیق رفتارهای غیر منتظره بر روی یک سیستم و بازی با رابطهای نرمافزاری آن است. این رفتارهای غیر منتظره گاهی زمانی منجر به آسیبپذیری میشوند که حمله کنندگان یک برنامه را طوری مدیریت می كنند تا به شیوهای متفاوت اجرا شود به منظور اینكه به داراییهای مورد نظر دسترسی پیدا کنند برای این منظور چندین زمینه تخصصی از جمله مهندسی معکوس، تحلیل استاتیک، بازبینی کد، رمزنگاری، استخراج و غیره مورد نیاز هستند.
احتمالا بارزترین نمونه از آسیبپذیری نرمافزاری، Heartbleed، یک اشکال یا باگ در کتابخانه رمزنگاری است که به مهاجمان اجازه میدهد تا ارتباطات امن را استراقسمع کرده و اطلاعات حساس را بدزدند.
حملات کانال جانبی Side Channel
حملات كانال جانبی طیف گستردهای از حملات هستند که شامل استفاده از نشت فیزیکی یک وسیله با اطلاعات حساس است این حملات به جای تمركز بر نقاط ضعف الگوریتم، بر اطلاعات قابلاندازهگیری حاصل از اجرای آن الگوریتم تمرکز میکنند.
به عنوان مثال، مهاجم با دسترسی فیزیکی به یک دستگاه امنیتی میتواند مصرف برق و یا انتشار الکترومغناطیسی مدار را اندازهگیری کند تا اطلاعاتی را استخراج کند که منجر به دستکاری پنهانی توسط ابزار شود برای انجام این حملات، طیف گستردهای از مهارتها مورد نیاز است، از جمله رمزنگاری، الکترونیک، پیادهسازی نرمافزار و علم داده.
حملات خطا
حملات خطا شامل ایجاد اختلال در یک مدار در طول اجرای عملیات است چنین اختلال هایی را می توان از طریق روشهای مختلف از جمله گرمایش بیش از حد ، دستكاری ولتاژ، overclocking، ایجاد میدانهای الکتریکی یا مغناطیسی قوی یا موثرتر با استفاده از لیزر، انجام داد. ابزار سختافزاری ممکن است شروع به نشان دادن رفتارهای غلط از قبیل دور زدن تست امنیتی یا نمایش خروجی های نادرست کند که به مهاجم اجازه انجام تحلیل خطای دیفرانسیلی را میدهد. به عنوان مثال، به مهاجم اجازه میدهد تا از بررسی PIN عبور کند و یا امضاهای خطا دریافت کند که منجر به بازیابی کلید محرمانه میشود.
تقویت امنیت
برای امنیت بیشتر، Donjon از طریق طراحی راه حل های امنیتی ضد دستكاری سفارشی، به تقویت سرورهای Ledger كمك می كند و از هرگونه حمله برای دزدیدن اطلاعات محرمانه پیشگیری می نماید.
گواهی
همانطور که قبلا مشخص شد، Ledger اطلاعات امنیتی مورد نیاز برای ایجاد ابزارهای قوی که در برابر حملات پیشرفته و نوآورانه دفاع کنند را دارد. حال چه این حملات نرمافزاری باشند چه كانال جانبی و یا حملات سختافزاری.
برنامه صدور گواهینامه در Ledger، اهداف متعددی را دنبال می كند:
- برای نشان دادن به مشتریانمان (افراد و شرکتها) که میتوانند به محصولات ما اعتماد کنند (Ledger Nano S و Ledger Vault)
- برای به چالش كشیده شدن توسط شخص ثالث با تجهیزات بسیار پیشرفته در یک آزمایشگاه امنیتی.
از آنجا که تکنولوژی blockchain هنوز نسبتا جدید است، هیچ الزامی برای گواهی امنیت برای کیف پول سختافزاری وجود ندارد با این وجود، در Ledger، ما امنیت را بسیار جدی میگیریم و اولین کسانی هستیم که اقدام به اجرای یک برنامه جامع برای صدور گواهینامه امنیت راهكارهای خود (Ledger Nano S و Ledger Vault) كرده ایم.
امنیت باز
Donjon، به امنیت باز اعتقاد دارد امنیت باید به چالش کشیده شود و به طور مداوم بهبود یابد. در این زمینه، donjon، دسترسی به منبع ابزار و روش حمله خود را باز گذاشته است.
Donjon همچنین برنامه جایزه Ledger را اجرا می كند که در این برنامه محققان امنیتی می توانند یافتههای خود در مورد محصولات Ledger را ارائه كرده و Ledger به بهترین آن ها جایزه اعطا می كند.
این مطلب مفید را از دست ندهید " Lascar: کتابخانه کانال جانبی Donjon "