Otra falla grave de seguridad se dio a conocer el martes 14 de agosto, con posibles efectos dominantes en todo el mundo de la tecnología, incluidos los proyectos de criptomonedas que buscan aprovechar ciertos dispositivos de hardware.
Después de un par de errores revelados a principios de este año, la vulnerabilidad Foreshadow afecta a todos los enclaves de Extensión de Protección de Software (SGX) de Intel, una región de chip especial, supuestamente extrasegura, que a menudo se utiliza para almacenar datos confidenciales.
Aunque se supone que el enclave es invulnerable, un grupo de investigadores encontró la forma de que un atacante robe la información que almacena.
Para muchos, Meltdown y Spectre eran lo suficientemente espeluznantes. Los errores afectaron a cada chip Intel, el hardware que alimenta la mayoría de las computadoras del mundo. Pero, dado que no fue tan fácil de ejecutar, no hubo muchos ataques en el mundo real.
Foreshadow podría no sonar tan mal, porque afecta a un tipo más específico de hardware Intel: SGX. Sin embargo, dado que muchos proyectos de criptomonedas planean usar esta tecnología, Foreshadow podría tener ramificaciones aún peores para el mundo de las criptomonedas.
A propósito, el creador de Signal, Moxie Marlinspike, está en el proceso de asesorar una moneda nueva, supuestamente más verde, llamada MobileCoin, que coloca a SGX en el centro, incluso recaudando US$ 30 millones para su desarrollo.
En consecuencia, estos proyectos deberán reestructurarse antes de su lanzamiento real.
“Los hallazgos publicados hoy tienen un gran impacto en los proyectos de criptomonedas”, dijo el investigador de seguridad de la Universidad de Cornell, Phil Daian, a CoinDesk.
La buena noticia, sin embargo, es que los investigadores siguieron el “proceso de divulgación responsable” del mundo de la seguridad para detectar errores, alertando a Intel antes de mostrarlo, para que la compañía pudiera encontrar una solución (que se implementó hace unos meses), aunque el mundo de la seguridad está haciendo mucho ruido porque aún podría no ser suficiente.
“Debido a que muchos de estos sistemas tardan en actualizarse y porque muchas de estas soluciones involucran hardware existente o nuevas versiones del mismo, es probable que la infraestructura seguirá siendo vulnerable a esta clase de ataques durante mucho tiempo”, dijo Daian, y agregó:
“Sería sorprendente si en algún momento este tipo de ataque no se usa para robar criptomonedas”.
Pero hay buenas y malas noticias…
Por un lado, parece que ninguno de los proyectos SGX de alto perfil en criptomonedas aún se utilizan para asegurar dinero real. “Que yo sepa, no existe un sistema SGX en producción o uso generalizado en el espacio hoy en día”, dijo Daian.
La mala noticia es que hay muchos proyectos que quieren usar SGX, y tal vez incluso tengan planes para hacerlo pronto. Y las ideas son geniales.
MobileCoin es tal vez el más ambicioso, ya que los desarrolladores del proyecto quieren reemplazar a los mineros, una parte crucial de asegurar cualquier criptomoneda, con estos enclaves para construir una criptomoneda con mayor eficiencia energética, y hay muchos otros que quieren usar SGX para sus ganancias de seguridad y privacidad.
Enigma lo está utilizando en una apuesta única para aumentar la privacidad en los contratos inteligentes, mientras que Ledger, la empresa de billeteras de hardware, llegó a asociarse con Intel para explorar el uso de SGX como una nueva vía para almacenar claves privadas. Y la lista sigue.
Enigma argumentó, sin embargo, que el impacto del error ha sido exagerado.
“Al igual que cualquier software o hardware, el descubrimiento y la resolución de posibles vulnerabilidades es una parte normal y esperada del proceso de desarrollo. En este caso, la vulnerabilidad ya ha sido abordada por Intel y de ninguna manera disminuye el potencial de la tecnología SGX”, dijo Guy Zyskind, CEO y cofundador de Enigma, en un comunicado.
Zyskind agregó que Enigma está “orgullosa” de trabajar con Intel y cree que su trabajo con SGX es crucial para el futuro de las criptomonedas, ya que están creando “sólidas soluciones de privacidad que finalmente permitirán que las aplicaciones descentralizadas funcionen y sean adoptadas a escala”.
Sin embargo, estos enormes beneficios todavía no impiden que algunos investigadores se preocupen por su impacto.
“El ataque de SGX es devastador”, dijo el profesor asistente del Kings College de Londres, Patrick McCorry, a CoinDesk, y agregó que los grupos de investigación llevan mucho tiempo discutiendo cómo se puede implementar para agregar seguridad adicional a los datos.
“Puede potencialmente socavar la integridad y la privacidad de cualquier aplicación que dependa de hardware confiable. Muchas empresas en el espacio de criptomonedas confían en SGX para admitir protocolos multipartitos, pero este ataque permite a cualquier participante hacer trampa”, añadió.
“En mi opinión, las buenas investigaciones y sistemas de SGX deben suponer que el hardware siempre se puede romper a algún costo y, como siempre, debe diseñarse a la defensiva e incluir seguridad en capas”, dijo Daian.
Continuó dando algunos consejos a las compañías con próximos lanzamientos:
“Los proyectos que planean lanzar pronto y que dependen de SGX deberían evaluar las vulnerabilidades y las actualizaciones de Intel con precaución por las implicaciones para la seguridad de sus sistemas, y deberían publicar dichas investigaciones junto con su código”, dijo.
La otra mala noticia, sin embargo, es que es posible que los hackers encuentren una nueva variante del error, impactando de manera similar a todos los chips SGX.
“Pero como demuestra Foreshadow, los ataques solo mejoran”, remarcó McCorry.
Algunos investigadores han argumentado que la mayoría de los proyectos de criptomonedas que exploran SGX no los han usado realmente en dinero real debido a la mala reputación de Intel, y aconsejan no usar esa tecnología. La industria ha estado experimentando SGX, pero es demasiado cautelosa para lanzarla.
Otros son más optimistas, y piensan que SGX, o algo parecido, podría desempeñar algún día un papel importante en las criptomonedas, viendo a Foreshadow como una señal positiva de que el hardware confiable está siendo probado en la batalla.
“SGX tendrá que ser probado y roto repetidamente por investigadores adversarios hasta que pueda reclamar un alto grado de seguridad, lo que llevará años”, concluyó Daian.
Fuente: CoinDesk
