Lo que la falla Foreshadow significa para el futuro de las Criptomonedas

ACTUALIZACIÓN (16 de agosto, 19:11 BST): Actualizado para incluir una declaración enviada por correo electrónico de la empresa emergente de Criptomonedas Enigma.

El martes se reveló otra grave falla de seguridad con posibles repercusiones en todo el mundo tecnológico, incluidos proyectos de Criptomonedas que buscan aprovechar ciertos dispositivos de hardware.

Siguiendo un par de errorespresentado a principios de este año, el Vulnerabilidad de presagioAfecta a todos los enclaves Software Guard Extensions (SGX) de Intel, una región especial del chip supuestamente extra segura que a menudo se utiliza para almacenar datos confidenciales.

En resumen, aunque se supone que el enclave es a prueba de manipulaciones, un grupo de investigadores encontró una forma para que un atacante robe la información que almacena.

Para muchos, Meltdown y Spectre fueron bastante inquietantes. Los errores afectaron a todos los chips Intel, el hardware que alimenta la mayoría de las computadoras del mundo. Pero, como no era tan fácil de ejecutar, no hubo muchos ataques reales.

Foreshadow podría no parecer tan grave, ya que afecta a un tipo más específico de hardware de Intel: SGX. Sin embargo, dado que muchos proyectos de Criptomonedas planean usar esta Tecnología, Foreshadow podría tener consecuencias aún más graves para el mundo de las Criptomonedas .

Quizás lo más notable es que el creador de Signal, Moxie Marlinspike, está en proceso de asesorar sobre una nueva moneda, supuestamente más ecológica, llamada MobileCoin, que pone a SGX en el centro, inclusorecaudando 30 millones de dólares para hacerlo.

Como resultado, estos proyectos tendrán que sufrir alguna reestructuración antes de lanzarse realmente.

"Los hallazgos publicados hoy tienen un amplio impacto en los proyectos de Criptomonedas ", dijo el investigador de seguridad de la Universidad de Cornell, Phil Daian, a CoinDesk.

La buena noticia, sin embargo, es que los investigadores siguieron el "proceso de Aviso legal responsable" del mundo de la seguridad para revelar errores, alertando a Intel antes de mostrarlo para que el gigante tecnológico pudiera encontrar una solución (que se implementó hace unos meses).

Pero el mundo de la seguridad está haciendo mucho ruido porque eso todavía podría no ser suficiente.

"Es probable que, debido a la lentitud de actualización de muchos de estos sistemas y a que muchas de estas correcciones requieren actualizaciones complejas o de hardware, la infraestructura siga siendo vulnerable a este tipo de ataque durante mucho tiempo", afirmó Daian, y añadió:

"Sería sorprendente que en algún momento este tipo de ataque no se utilizara para robar Criptomonedas".

Lo bueno y lo malo

Pero hay noticias buenas y malas.

En ONE, parece que ninguno de los proyectos SGX de alto perfil en Criptomonedas se está utilizando todavía para obtener dinero real. "Que yo sepa, no existe ningún sistema SGX en producción ni de uso generalizado en este sector actualmente", afirmó Daian.

La mala noticia es que hay muchos proyectos que...desearUsar SGX, y quizá incluso tenga planes de hacerlo pronto. Y las ideas son geniales.

Moneda móvil

es quizás el más ambicioso ya que los desarrolladores del proyecto quieren reemplazar a los mineros, una parte crucial para asegurar cualquier Criptomonedas, con estos enclaves para construir una Criptomonedas más eficiente energéticamente.

Pero hay muchos otros que desean utilizar SGX por sus ventajas en seguridad y Privacidad .

Enigma lo está utilizando en una apuesta únicaPara aumentar la Privacidad en los contratos inteligentes, mientras que la empresa de hardware de billetera Ledger llegó incluso aasociarse con el gigante tecnológico Intelpara explorar el uso de SGX como una nueva vía para almacenar claves privadas. Y elLa lista sigue y sigue.

Enigma argumentó, sin embargo, que el impacto del error ha sido exagerado.

"Como con cualquier software o hardware, el Explora y la resolución de posibles vulnerabilidades es una parte normal y esperada del proceso de desarrollo. En este caso, Intel ya ha abordado la vulnerabilidad y no disminuye en absoluto el potencial de la Tecnología SGX", declaró Guy Zyskind, director ejecutivo y cofundador de Enigma.

Zyskind agregó que Enigma está "orgulloso" de trabajar con Intel y cree que su trabajo con SGX es crucial para el futuro de las criptomonedas, ya que están creando "soluciones de Privacidad sólidas que finalmente permitirán que las aplicaciones descentralizadas funcionen y se adopten a gran escala".

Sin embargo, estos enormes beneficios no impiden que algunos investigadores se preocupen por su impacto.

"El ataque SGX es devastador", dijo a CoinDesk el profesor adjunto del Kings College de Londres, Patrick McCorry, y agregó que los grupos de investigación han estado discutiendo durante mucho tiempo cómo se puede implementar para agregar seguridad adicional a los datos.

"Puede potencialmente socavar la integridad y la Privacidad de cualquier aplicación que dependa de hardware confiable. Muchas empresas del sector de las Criptomonedas dependen de SGX para soportar protocolos multipartitos, pero este ataque permite que cualquier participante cometa fraude", añadió.

"En mi Opinión, una buena investigación y unos buenos sistemas de SGX deberían asumir que el hardware siempre puede romperse a algún costo y deberían, como siempre, diseñarse defensivamente e incluir seguridad en capas", dijo Daian.

Continuó dando algunos consejos a las empresas que planean lanzarse pronto.

"Los proyectos que planean lanzarse próximamente y que dependen de SGX deben evaluar con cautela las vulnerabilidades y cualquier actualización de Intel para detectar posibles implicaciones para la seguridad de sus sistemas, y deben publicar dichas investigaciones junto con su código", afirmó.

La otra mala noticia, sin embargo, es que es posible que los piratas informáticos encuentren una nueva variante del error, que afecte de manera similar a todos los chips SGX.

"Pero, como demuestra Foreshadow, los ataques sólo mejoran", comentó McCorry.

Dulce reivindicación

Mientras tanto, el error está haciendo que algunos desarrolladores se sientan reivindicados.

Debido a que Intel tiene una puerta trasera en todos los dispositivos SGX, durante mucho tiempo ha sido una vía tecnológica controvertida para los proyectos de Criptomonedas , y los entusiastas a menudo argumentan que el uso de la Tecnología pone demasiado poder o confianza en manos de una empresa.

En pocas palabras, en sus mentes, la vulnerabilidad de Foreshadow es un buen ejemplo de por qué no poner a SGX en la piedra angular de un proyecto de Criptomonedas .

"¡Menos mal que no adoptamos la solución de escalamiento de Bitcoin basada en SGX de cierto profesor!" tuiteó Grubles, un entusiasta seudónimo de Bitcoin .

"Aunque incluso *si* hubiera sido de alguna manera perfecto, nunca fue una buena idea basar la seguridad de Bitcoin en la Tecnología Secret de un proveedor de chips", respondió el mantenedor de Bitcoin CORE, Wladimir van der Laan.

Pero, de nuevo, la mayoría de los proyectos que utilizan SGX aún no se han lanzado a producción.

Algunos investigadores incluso llegaron a argumentar que la mayoría de los proyectos de Criptomonedas que exploran SGX no las han utilizado con dinero real debido a la mala reputación de Intel. La industria ha estado experimentando con la Tecnología , pero es demasiado cautelosa para lanzarla.

Algunos investigadores de seguridad recomiendan continuar con esta tendencia y no utilizar SGX.

Pero otros investigadores son más optimistas respecto a que SGX, o algo similar, ONE día podría desempeñar un papel importante en las Criptomonedas, y consideran a Foreshadow como una señal positiva de que un hardware confiable está siendo puesto a prueba.

"SGX tendrá que ser probado y descifrado repetidamente por investigadores adversarios hasta que pueda afirmar que tiene un alto grado de seguridad, lo que llevará años", dijo Daian, y agregó que cree que un hardware confiable como SGX ONE día puede desempeñar un papel importante (y positivo) en las Criptomonedas.

En resumen, podría tomar algún tiempo, argumentó, y agregó:

"La implementación de esta Tecnología sin duda ofrece un gran potencial para la minimización de la confianza y la protección escalable de la Privacidad en las Criptomonedas y más allá".

Laptop vía Shutterstock