O que a falha Foreshadow significa para o futuro da Criptomoeda

ATUALIZAÇÃO (16 de agosto 19:11 BST): Atualizado para incluir uma declaração por e-mail da startup de Criptomoeda Enigma.

Outra falha de segurança grave foi revelada na terça-feira, com potenciais efeitos colaterais no mundo da tecnologia, inclusive para projetos de Criptomoeda que buscam alavancar certos dispositivos de hardware.

Seguindo um par de bugsrevelado no início deste ano, o Prenunciar vulnerabilidadeafeta todos os enclaves Software Guard Extensions (SGX) da Intel, uma região especial e supostamente extra-segura do chip, frequentemente usada para armazenar dados confidenciais.

Resumindo, embora o enclave deva ser à prova de violação, um grupo de pesquisadores encontrou uma maneira de um invasor roubar as informações armazenadas nele.

Para muitos, Meltdown e Spectre foram assustadores o suficiente. Os bugs impactaram todos os chips Intel, o hardware que alimenta a maioria dos computadores do mundo. Mas, como T era tão fácil de executar, T houve muitos ataques no mundo real.

Foreshadow pode não soar tão ruim porque impacta um tipo mais específico de hardware Intel: SGX. No entanto, como muitos projetos de Criptomoeda planejam usar essa Tecnologia, Foreshadow pode ter ramificações ainda piores para o mundo das Criptomoeda .

Talvez o mais notável seja que o criador do Signal, Moxie Marlinspike, esteja no processo de aconselhar uma nova moeda supostamente mais ecológica chamada MobileCoin, que coloca o SGX no centro, mesmoarrecadando US$ 30 milhões para isso.

Como resultado, esses projetos terão que passar por alguma reestruturação antes de serem lançados de fato.

"As descobertas divulgadas hoje têm um impacto amplo nos projetos de Criptomoeda ", disse o pesquisador de segurança da Universidade Cornell, Phil Daian, ao CoinDesk.

A boa notícia, porém, é que os pesquisadores seguiram o "processo de Aviso Importante responsável" do mundo da segurança para revelar bugs, alertando a Intel antes de exibi-los para que a gigante da tecnologia pudesse encontrar uma correção (que foi implementada há alguns meses).

Mas o mundo da segurança está fazendo muito barulho porque isso ainda pode não ser suficiente.

"É provável que, como muitos desses sistemas demoram para atualizar e muitas dessas correções exigem atualizações de hardware ou de componentes, a infraestrutura permanecerá vulnerável a essa classe de ataque por um longo tempo", disse Daian, acrescentando:

"Seria surpreendente se em algum momento esse tipo de ataque não fosse usado para roubar Criptomoeda."

O bom e o mau

Mas há boas e más notícias.

Para ONE, parece que nenhum dos projetos SGX de alto perfil em Criptomoeda ainda está sendo usado para garantir dinheiro real. "Até onde sei, não há nenhum sistema SGX em produção ou uso generalizado no espaço hoje", disse Daian.

A má notícia é que há muitos projetos quequererpara usar SGX, e talvez até tenha planos de fazer isso em breve. E as ideias são bem legais.

Moeda Móvel

é talvez o mais ambicioso, já que os desenvolvedores do projeto querem substituir os mineradores, uma parte crucial da proteção de qualquer Criptomoeda, por esses enclaves para construir uma Criptomoeda mais eficiente em termos de energia.

Mas há muitos outros que querem usar o SGX por seus ganhos de segurança e Política de Privacidade .

A Enigma está usando isso em uma oferta únicapara aumentar a Política de Privacidade em contratos inteligentes, enquanto a empresa de hardware de carteira Ledger chegou aparceria com a gigante da tecnologia Intelpara explorar o uso do SGX como uma nova via para armazenar chaves privadas. E oa lista continua e continua.

A Enigma argumentou, no entanto, que o impacto do bug foi exagerado.

"Como qualquer software ou hardware, a Confira e resolução de vulnerabilidades potenciais é uma parte normal e esperada do processo de desenvolvimento. Neste caso, a vulnerabilidade já foi abordada pela Intel e não diminui de forma alguma o potencial da Tecnologia SGX", disse o CEO e cofundador da Enigma, Guy Zyskind, em uma declaração.

Zyskind acrescentou que a Enigma está "orgulhosa" de trabalhar com a Intel e acredita que seu trabalho com a SGX é crucial para o futuro das criptomoedas, pois eles estão criando "soluções de Política de Privacidade robustas que finalmente permitirão que aplicativos descentralizados funcionem e sejam adotados em escala".

Mas esses enormes benefícios ainda não impedem alguns pesquisadores de se preocuparem com seu impacto.

"O ataque SGX é devastador", disse o professor assistente do Kings College London, Patrick McCorry, ao CoinDesk, acrescentando que grupos de pesquisa há muito discutem como ele pode ser implementado para adicionar segurança extra aos dados.

"Ele pode potencialmente minar a integridade – e Política de Privacidade – de qualquer aplicativo que dependa de hardware confiável. Muitas empresas no espaço de Criptomoeda dependem do SGX para dar suporte a protocolos multipartidários, mas esse ataque permite que qualquer participante trapaceie", ele acrescentou.

"Na minha Opinião, uma boa pesquisa e sistemas SGX devem assumir que o hardware sempre pode ser quebrado a algum custo e devem, como sempre, ser projetados defensivamente e incluir segurança em camadas", disse Daian.

Ele continuou dando alguns conselhos para empresas que planejam lançar em breve.

"Projetos que planejam ser lançados em breve e que dependem do SGX devem avaliar as vulnerabilidades e quaisquer atualizações da Intel com cautela quanto às implicações na segurança de seus sistemas e devem publicar tais investigações junto com seu código", disse ele.

A outra má notícia, porém, é que é possível que hackers encontrem uma nova variante do bug, impactando de forma semelhante todos os chips SGX.

"Mas, como Foreshadow demonstra, os ataques só melhoram", comentou McCorry.

Doce vindicação

Enquanto isso, o bug está fazendo com que alguns desenvolvedores se sintam justificados.

Como a Intel tem uma porta dos fundos em todos os dispositivos SGX, há muito tempo ela tem sido uma via tecnológica controversa para projetos de Criptomoeda , com entusiastas frequentemente argumentando que usar a Tecnologia coloca muito poder ou confiança nas mãos de uma empresa.

Simplificando, na mente deles, a vulnerabilidade Foreshadow é um bom exemplo de por que não colocar o SGX na base de um projeto de Criptomoeda .

"Ainda bem que T adotamos a solução de dimensionamento de Bitcoin baseada em SGX de um certo professor!" tweetou entusiasta do Bitcoin com o pseudônimo Grubles.

"Mesmo que *se* tivesse sido de alguma forma perfeito, nunca foi uma boa ideia enraizar a segurança do Bitcoin na Tecnologia Secret de um fornecedor de chips", respondeu o mantenedor do Bitcoin CORE, Wladimir van der Laan.

Mas, novamente, a maioria dos projetos que usam SGX ainda T foram lançados em produção.

Alguns pesquisadores chegaram a argumentar que a maioria dos projetos de Criptomoeda que exploram SGX T os usaram de fato com dinheiro real porque a Intel tem uma reputação muito ruim. A indústria tem experimentado a Tecnologia - mas é muito cautelosa para realmente lançá-la e ir em frente com ela.

Alguns pesquisadores de segurança aconselham continuar com essa tendência – não usar SGX.

Mas outros pesquisadores estão mais otimistas de que o SGX, ou algo parecido, pode um dia desempenhar um grande papel nas Criptomoeda, vendo o Foreshadow como um sinal positivo de que hardware confiável está sendo testado em batalha.

"O SGX precisará ser testado e quebrado repetidamente por pesquisadores adversários até que possa reivindicar um alto grau de segurança, o que levará anos", disse Daian, acrescentando que acredita que um hardware confiável como o SGX pode um dia desempenhar um papel importante (e positivo) nas Criptomoeda.

Em suma, pode levar algum tempo, argumentou ele, acrescentando:

"A concretização de tal Tecnologia certamente traz grandes promessas para a minimização da confiança e proteção de Política de Privacidade escalável em Criptomoeda e além."

Laptop via Shutterstock