Naga Markets



Nie takiego finału spodziewał się John McAfee – ekscentryczny twórca oprogramowania antywirusowego, ostatnio zaangażowany w sektor kryptowalutowy, między innymi za sprawą uruchomionego niedawno serwisu McAfee MakretCap do śledzenia notowań coinów na giełdach kryptowalut stylizowanego na serwisie coinmarketcap.com, a także za sprawą firmowanego przez siebie kryptowalutowego portfela rzekomo odpornego a wszelkie zakusy hackerów. To właśnie ci ostatni udowadniali, że emanujący niebywałą pewnością siebie Mcafee być może swoimi słowami próbuje zaklinać rzeczywistość.


Niechlubna nagroda

Nagrody Pwnie, źródło: www.pwnie.com

Tegoroczna nagroda Pwnie Award w kategorii „Lamest Vendor Response” – przyznawanej firmom, które skompromitowały się radząc sobie z wadliwymi zabezpieczeniami systemu w najgorszy możliwy sposób, w ramach konferencji BlackHat, która odbyła się w Las Vegas, w stanie Newada, została przyznana portfelowi Bifi.  Jeszcze niedawno McAfee w jednym ze swoich tweetów przechwalał się, że firmowany przez niego portfel sprzętowy „O całe lata świetlne wyprzedza cokolwiek jest obecnie dostępne i jest najbezpieczniejszym sposobem na przechowywanie kryptowalut.” Pisaliśmy ostatnio o nagrodach szumnie ogłoszonych przez firmę Bifi – stojącej za rzeczonym portfelem, przewidzianych dla tych, co włamią się tam, gdzie teoretycznie nikt nie ma się prawa włamać. Pikanterii całej sprawie dodaje fakt, iż o nagrodach najwięcej mówił twórca znanego oprogramowania antywirusowego.

Jako pierwsza na wyzwanie odpowiedziała firma OverSoft

Pracownicy wspomnianej przez nas w innym artykule firmy OverSoft, oprócz zamieszczonej w swoim tweecie informacji o dokonaniu włamania, za pomocą popularnej chińskiej wyszukiwarki internetowej Baidu wykryli cały zestaw aplikacji, w tym nawigację GPS, app do lokalizacji sieci wi-fi oraz oprogramowanie firmowe Mediatek zainstalowanych na rzekomo odpornym na włamania portfelu. Zawodowy hacker sprzętowy Ryan Castellucci, zamieścił na Twitterze rozbrajająco szczery komentarz:

„Ma się wrażenie, że [portfel] Bitfi jest dokładnie tym, co widać na zdjęciach – tanim, wyposażonym w najprostsze funkcje Androidem. Pojawiają się jakieś komunikaty żądające podłączenia do wifi żeby mógł działać na feedzie z @cybergibbons. Kto wie, czy do piątku ktoś nie postawi na tym [gry komputrowej] Doom.”

Tym komentarzem przysłowiowy wilk został wywołany z lasu – a był nim 15-letni geniusz w sztuce hackowania – Saleem Rashid. Jest to ta sama osoba, która wykryła słabe punkty w systemie jednego z wiodących portfeli sprzętowych dostępnych na rynku – Ledger. Zainstalował on wspomnianą grę na portfelu firmy BiFi i w nią zagrał – a jednocześnie niejako McAfee’emu na nosie. Według znawców tematu, to że możliwe było zainstalowanie wspomnianych wyżej aplikacji oraz gry (nomen omendoom” w języku angielskim oznacza „przekleństwo”, “złe zrządzenie losu“) świadczy o braku w portfelu odpowiednich zabezpieczeń chroniących przed atakami złośliwego oprogramowania oraz, przez uzyskanie uprawnień administratora, wręcz potencjalnej możliwości przeprogramowania portfela przez osobę trzecią.

Pomimo tego Bifi brnie dalej

W odpowiedzi na sukcesywnie pojawiające się dowody na słabości w oprogramowaniu portfela, prezes ds. wykonawczych (Executive Chairman) w Bifi oświadczył, że żadne z tych działań nie spełniało wymogów udanego włamania kwalifikujących się do zdobycia nagrody w wysokości 250 tys USD. W ramach swojego ulubionego narzędzia do komunikacji, czyli Twittera, wypowiedział się sam John McAfee:

„Postawmy sprawę jasno. Wykorzystanie portfela jako elementu gry wideo nie stanowi włamania się. Uzyskanie dostępu administratora (root access) do urządzenia nie wyposażonego w pamięć nie spełnia wymogu zhackowania.”

Przypomnijmy, że głównym kryterium jest wykradnięcie umieszczonych przez zespół Bifi w portfelu bitcoinów. W wyjaśnienia brnął dalej rzecznik firmy, który w ramach maila, obwiniał za wszystko konkurencję:

„Pragniemy wrócić uwagę, że portfel firmy Bitfi stanowi poważne zagrożenie dla [sprzętu marki] Ledger oraz Trezor, gdyż czyni wykorzystywaną przez nich technologię przestarzałą. Przez to [złośliwi hackerzy] wynajęli całą armię trolli, by zszargać naszą reputację (ale się tego nie boimy, bo prawda zawrze zwycięża).”

Pojawia się jeszcze jeden dowód

Ponadto, jak podaje serwis Hard Fork, zespół z firmy Pen Test Partners (PTP) był w stanie dokonać istotnej zmiany w oprogramowaniu firmowym (firmware) portfela oraz przechwycić wiadomości przesyłane pomiędzy nim a urządzeniem zewnętrznym. Zaś na dowód na to, że urządzenie jest nadal podłączone do wyświetlacza i działa bez zarzutów, członkowie zespołu PTC przedstawili wiadomość widniejącą na tymże wyświetlaczu.  Wydaje się więc,  że zespół PTP być jeszcze bliższy spełnienia warunków zdobycia nagrody przewidzianych przez firmę, za którą stoi McAfee. Konsultant PTP w swoim komentarzu na Twitterze napisał „Dla mnie brzmi to jak nagroda numer dwa [Bounty 2].”

Podsumowanie

Opisana przez nas powyżej historia zmagań twórców portfela firmowanego przez Johna McAfee’go mogłaby zainspirować reżysera thrillera, w którym dzielny bohater działający dla dobra ogółu, wymyśliwszy doskonały wynalazek, musi zmagać się z całą armią mających złe intencje hackerów i demistyfikatorów.  Pomijając już to, czy wszystkie wymienione rewelacje są prawdziwe, w kontekście głośnych zapewnień McAfee’ego o niezawodności jego portfela, nasuwa się na myśl proste w swym przesłaniu polskie porzekadło, iż być może krowa, która dużo ryczy, mało mleka daje.



tokeneo

Zostaw komentarz logując się za pomocą Facebook

To również Cię zainteresuje - Comparic24.tv

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here