Inhackeable. La cartera más segura del mundo. John McAfee haciendo promoción del producto. Un programa de recompensas para quien lograra quebrar la seguridad del equipo. Todo ha quedado en nada tras la serie de ataques que ha sufrido el monedero Bitfi, publicitado en redes sociales como un hardware impenetrable.
La cartera de criptomonedas de Bitfi terminó siendo pirateada en varias oportunidades. A raíz de ello, la compañía dejó de afirmar que el monedero es inhackeable, además de cancelar el programa de recompensas.
Entre los varios ataques que sufrió la cartera, destaca el del joven programador Rasheed Salem, quien jugó Doom con el dispositivo, además de realizar exitosamente otros ataques similares, agravando la polémica en torno al hardware promocionado por McAfee.
En una serie de tweets, John McAfee ha retado públicamente a CyberGibbons (un miembro del equipo THCMKACGASSCO que afirmó haber logrado acceder a las llaves privadas de la cartera) a hackear el dispositivo en su propia casa. Según las condiciones de esta apuesta pública, Gibbons tendría que hackear una Bitfi cargada con 20 millones de dólares. Gibbons asegura que ya había retado a McAfee por una suma inferior, aunque con sus propias condiciones, que incluyen que el hackeo se lleve a cabo en Londres, donde se encuentra. Sin embargo, ambos retos siguen abiertos. La polémica continúa.
CriptoNoticias tuvo la oportunidad de conversar con CyberGibbons (Andrew Tierney, consultor de seguridad en Pen Test Partner), responsable de un ataque exitoso en el que obtuvo las semillas del monedero. La “inhackeabilidad”, algunos datos sobre el ataque y consejos sobre ciberseguridad fueron parte de los tópicos que comentó el especialista.
Para CyberGibbons, el momento tecnológico actual y el advenimiento de más y mejores desarrollos hace difícil que la palabra “inhackeable” tenga sentido. “No creo que podamos usar el término «inhackeable» hoy. Para mí, significa que un dispositivo no puede ser pirateado, nunca puede ser pirateado”, explicó. Pero con el desarrollo constante de la tecnología, la inhackeabilidad parece cada vez más difícil de alcanzar: “todo lo que cuenta es que el dispositivo no puede ser pirateado demasiado rápido por los atacantes previstos”, manifestó.
En cuanto al trabajo realizado, CyberGibbons señaló que no se trató de una falla que hayan encontrado, sino un trabajo de enrutamiento que les permitió tener acceso a las claves privadas. “No hay nada para interponerse en el camino de hacerlo, excepto la falta de documentación de Mediatek”, agregó. Asimismo, CyberGibbons afirmó que para aprovechar esta falla no es necesario que el atacante tenga acceso físico al hardware de Bitfi.
El consultor de seguridad indicó que el enrutamiento resultó sencillo: “se rooteó en 48 horas y la clave y la frase se recuperaron en 96 horas. Probablemente alrededor de 8 horas de trabajo. Ha pasado casi un mes desde que lo rooteamos. No hubo nada complejo para eso. Bitfi no lo ha arreglado todavía. Desde su perspectiva, esto es obviamente algo que es difícil de arreglar”. CyberGibbons explicó los detalles técnicos. Acá sus palabras en extenso:
Es muy importante tener en cuenta que no hemos probado el dispositivo (pen-tested). Acabamos de encontrar las vulnerabilidades más graves. Todavía está funcionando Baidu, ADUP, una versión de Android no endurecida, un chipset de Mediatek usando blobs binarios no publicados, un kernel sin fuente, que se conecta a los servidores que pueden no haber sido auditados, con actualizaciones de firmware que parecen ser controlado por una persona, todo dirigido por una compañía que parece ser feliz mintiendo.
Andrew Tierney (CyberGibbons)
Consultor de seguridad
El experto en ciberseguridad añadió que antes de elegir un monedero hay que evaluar qué tipo de amenazas podemos enfrentar y cuál es el nivel de exposición que tiene la cartera. La elección debería basarse en elementos como la transparencia, el funcionamiento, el nivel de seguridad de la cadena de suministro, entre otros.
¿Para qué ha sido diseñado? ¿Para proteger contra Estados nacionales? ¿Ladrones comunes? Transparencia: ¿Está la compañía que lo crea al tanto sobre la seguridad? ¿Cómo funciona el dispositivo? ¿Cómo falla? ¿Ellos notifican abiertamente a los usuarios sobre las vulnerabilidades? Las actualizaciones de firmware firmadas: ¿las actualizaciones de firmware deben estar firmadas para ser instaladas? Esto es tan importante. Simplicidad: es realmente difícil diseñar sistemas seguros. Cuanto más simple lo hagas, más fácil es asegurarlo.
Andrew Tierney (CyberGibbons)
Consultor de seguridad
Aprovechamos para preguntar a CyberGibbons si ha estado estudiando algún otro monedero, a lo que respondió de forma afirmativa. No obstante, aseguró que no ha conseguido un dispositivo con vulnerabilidades tan problemáticas como las de Bitfi: “la idea de poder cargar su propio firmware en ellos en menos de un minuto sin que el usuario lo note es risible”, enfatizó.
CyberGibbons aseguró que el mejor consejo de seguridad que puede ofrecer es que los usuarios asuman la responsabilidad que conlleva ser su propio banco, subrayando que no hay regulación que proteja al usuario en caso de pérdida, extravío u olvido. La responsabilidad es importante si lo que se quiere es subvertir el orden bajo el que funciona la distribución del valor en el mundo en la actualidad.
Lo más importante es darse cuenta de que usted es su propio banco. Tú necesidad es asumir esa responsabilidad: cometer un error con la seguridad, transferir dinero u olvidar tus llaves; ese es tu propio problema. No hay regulación que te proteja.
Andrew Tierney (CyberGibbons)
Consultor de seguridad
Este año la billetera Bitfi recibió el premio Pweni (que ‘celebra’ las peores fallas de ciberseguridad de la industria) a la peor respuesta por parte de una empresa, luego de haber manifestado que el hecho de que alguien pudiera comprometer el normal funcionamiento del monedero no implicaba que pudiera ser hackeada; esto tras iniciarse la polémica sobre la inhackeabilidad del producto.
No ha pasado un mes desde entonces y el equipo ya se ha visto obligado a recular, lo que sugiere que, junto al exitoso ataque de CyberGibbons y el equipo, el premio Pweni fue bien merecido.
Imagen destacada por alphaspirit / stock.adobe.com
