Ledger Donjon

O Ledger Donjon é uma parte vital da equipe da Ledger – continue lendo para descobrir por que é tão importante.

A Ledger acredita na verdadeira segurança. Segurança não é um termo considerado levianamente. Para construir sistemas seguros, é necessário usar blocos de hardware seguros e implementar um Sistema Operacional (OS) seguro sobre eles. Mesmo com as melhores práticas de codificação de segurança e hardware seguro, nada supera uma mentalidade voltada para o ataque quando se trata de avaliar a segurança.

É por isso que foi criado um laboratório interno de avaliação de segurança no Ledger’s Donjon.

O Ledger Donjon é composto por uma equipe de especialistas de classe mundial com extensa experiência nas indústrias de segurança e smartcard. Suas principais funções são avaliação de segurança interna e externa. Eles trabalham em estreita colaboração com as equipes de hardware e desenvolvimento de firmware da Ledger para analisar e melhorar a segurança dos produtos Ledger Nano S Plus e Ledger Nano X. A equipe está continuamente procurando vulnerabilidades nos produtos da Ledger, bem como nos produtos dos fornecedores da Ledger. De fato, a Ledger não cria produtos seguros do zero, eles são baseados em hardware seguro de última geração fornecido por fornecedores externos. Quando uma vulnerabilidade é encontrada, contramedidas e técnicas de proteção são avaliadas e implementadas.

A equipe abrange um amplo campo de expertises que permite trabalhar nos seguintes temas:

Ataques de Software

Ataques de software são qualquer tentativa de expor, alterar, desabilitar, destruir, roubar, obter acesso não autorizado ou fazer uso não autorizado de um ativo digital. Abrange uma ampla gama de ataques e, em poucas palavras, consiste em pesquisar comportamentos inesperados em um sistema e brincar com suas interfaces de software. Esses comportamentos inesperados às vezes levam a vulnerabilidades quando os invasores conseguem forçar um programa a ser executado de maneira diferente para obter acesso aos ativos visados. Vários campos de especialização são necessários, incluindo engenharia reversa, fuzzing, análise estática, revisão de código, criptografia, exploração e assim por diante.

Provavelmente, o exemplo mais impressionante de vulnerabilidade de software é o Heartbleed, um bug em uma biblioteca de criptografia que permite que invasores interceptem comunicações seguras e roubem informações confidenciais.

Ataques de canal lateral (Side Channel Attacks)

Os ataques de canal lateral são uma ampla gama de ataques que consistem em explorar vazamentos físicos de um dispositivo que lida com informações confidenciais. Esses ataques se concentram em informações mensuráveis obtidas da implementação de um algoritmo, em vez de pontos fracos no próprio algoritmo.

Por exemplo, um invasor com acesso físico a um dispositivo de segurança pode medir o consumo de energia ou as emanações eletromagnéticas do circuito para extrair informações que possam levar ao segredo manipulado pelo dispositivo. Para realizar esses ataques, é necessária uma ampla variedade de habilidades, incluindo criptografia, eletrônica, implementação de software embarcado e ciência de dados.

Ataques de falha

Os ataques de falha consistem em perturbar um circuito durante a execução de suas funcionalidades. Tais perturbações podem ser realizadas através de diferentes meios, incluindo superaquecimento, falha de tensão, overclocking, criação de fortes campos elétricos ou magnéticos ou mais eficientemente usando lasers. O dispositivo de hardware pode começar a mostrar um comportamento defeituoso, como ignorar o teste de segurança ou gerar resultados incorretos que permitem que um invasor execute uma Análise Diferencial de Falha. Por exemplo, ele permite que um invasor ignore uma verificação de PIN ou obtenha assinaturas defeituosas que levam à recuperação de uma chave secreta.

Fortalecimento da segurança

Para ainda mais segurança, o Donjon ajuda a fortalecer os servidores da Ledger, projetando soluções de segurança anti-adulteração personalizadas, impedindo que qualquer invasor roube segredos armazenados.

Certificação

Conforme destacado anteriormente, a Ledger possui o conhecimento de segurança necessário para criar dispositivos robustos que se defendem contra ataques de última geração, sejam ataques de software, ataques de canal lateral ou ataques de hardware.

O programa de certificação iniciado na Ledger visa vários objetivos:

  1. para demonstrar aos nossos clientes (indivíduos e empresas) que podem confiar em nossos produtos (Ledger Nano S e Ledger Vault)
  2. ser desafiado por terceiros com equipamentos altamente avançados em um laboratório de segurança

Como a tecnologia Blockchain ainda é relativamente nova, não há requisitos de certificação de segurança para carteiras de hardware. No entanto, na Ledger, levamos a segurança muito a sério e somos os primeiros a passar por um programa de certificação exaustivo para nossas soluções de criptomoeda – tanto para a Ledger Nano S quanto para o Ledger Vault.

Segurança aberta

Ledger Donjon acredita em segurança aberta. A segurança deve ser desafiada e continuamente melhorada. Nesse contexto, o Donjon da Ledger abre o código de suas ferramentas e metodologia de ataque.

O Donjon também está conduzindo o programa de recompensas da Ledger, que recompensa os pesquisadores de segurança por suas descobertas sobre os produtos da Ledger.

Na Ledger, a missão é obter o mais alto nível de segurança para seus criptoativos — a equipe Donjon está aqui para testá-lo e melhorá-lo continuamente.

Fonte: ledger.com

Compartilhe este artigo nas redes sociais

Veja outras categorias

Artigos relacionados