Ledger hack: cosa fare e come reagire al breach

Quest’articolo è una sintesi della live organizzata da Andreas Antonopoulos a poche ore dalla divulgazione del database di Ledger. Si è parlato di quali rischi corri, come reagire, quali azioni intraprendere per mitigare i rischi ed, in generale, cosa dovresti imparare da tutto questo.

La live organizzata da Andreas (in inglese) dura oltre 2 ore e troverai il link alla fine dell’articolo. Alla live hanno partecipato:

• Jameson Loop, Co-founder e CTO di Casa, esperto di Bitcoin.
• Peter McCornack, Host di WhatBitcoinDid.
• Taylor Monahan, esperta di sicurezza e fondatrice di MyCrypto.

Il Database leakato contiene una serie di dati personali sugli utenti di Ledger. Praticamente tutto ciò che chi acquista un Hardware Wallet non vorrebbe vedere online.

Puoi controllare se sei presente o meno su Intelligence X o su haveibeenpwned.

Iniziamo.

I miei fondi sono a rischio?

No.

Il leak dei dati non coinvolge le chiavi private e neanche le chiavi pubbliche.

Questo significa che i tuoi fondi possono essere mossi solo da te e, se quel ledger contiene effettivamente qualcosa, lo sai tecnicamente solo tu.

Questo dovrebbe essere ovvio perciò, se ti poni questa domanda, ti consiglio di ripassare le basi della custodia di Bitcoin.

Tuttavia devi fare molta attenzione a qualcos’altro:

La tua reazione emotiva.

Con quei dati non ti si può prendere niente MA gli hacker cercheranno di indurti nel panico per ottenere le tue 24 parole.

Questo è il principale rischio:

Cedere ingenuamente il tuo seed a degli hacker che a quel punto potranno acquisire i tuoi BTC ( o le altre shitcoins che conservi nel Ledger).

La regola d’oro è questa:

MAI E POI MAI INSERIRE LE TUE 24 PAROLE ONLINE.

Non ti verranno mai chieste.

L’altro rischio menzionato da Andreas è quello di muovere i tuoi fondi in preda al panico e perderli oppure di resettare la password ma compiere errori di battitura e trovarti chiuso fuori dai tuoi stessi indirizzi.

In sostanza, la prima cosa che vuoi fare è mantenere il sangue freddo.

Chiarito questo, andiamo a vedere quali sono i rischi e come dovresti reagire al leak del database di Ledger.

Rischio numero 1: Sim Swap

Sim swap è quella circostanza per cui qualcuno entra in possesso del tuo numero di telefono e ne diventa il ‘proprietario’.

Il numero serve all’attaccante per entrare in possesso della tua mail e di altri servizi online che hanno come sistema di recupero l’sms verso il tuo telefono.

Questa tipologia di attacchi è molto frequente ed è anche piuttosto semplice.

Eccoti un video menzionato da Andreas che mostra come, da un numero di telefono e un nome, una social engineer hacker riesce ad entrare in possesso di un conto in banca.

Guardalo. Ti aiuterà.

Nel tuo caso, una delle possibilità menzionate è quella in cui l’hacker entri sul tuo exchange e recuperi tutto ciò che è depositato nell’exchange, o se il tuo conto bancario è collegato all’exchange, l’hacker compra BTC e li passa sul suo wallet.

Devo eliminare la mia email?

No.

Quello che devi fare è irrobustire la sicurezza della tua mail principale.

La tua mail principale è di estrema importanza e puoi vedere i sistemi che permettono di accedervi o di recuperare la password di ingresso come delle ‘porte sul retro’.

Quello che vuoi fare è isolare la tua email principale.

Il consiglio dato è di non collegare un numero alla tua mail e di usare una password unica per ogni mail/servizio.

Ancora meglio sarebbe usare un password manager.

Un Password Manager è un software che ti permette di conservare e gestire tutte le tue password in un punto solo.

Ogni password conservata e creata con il password manager sarà estremamente complessa e lunga.

In questo modo puoi generare password più complicate di quelle che crei da solo, e soprattutto non dovrai scrivertele o ricordartele.

Il tuo unico compito sarà inventarti una singola password, lunga ma facile da ricordare, che ti permetterà di accedere al tuo password manager e gestire tutto da la.

Un esempio?

‘zucchina cavallo estintore banconota faggiano scarpa‘

Dovresti usare una password generata dal PM anche per le risposte alle domande di sicurezza tipo:

“Qual’è il nome del tuo migliore amico d’infanzia?”

Queste informazioni si possono trovare su Facebook o altrove, quindi usa una password.

I password manager in genere sono estremamente sicuri e la differenza tra uno e l’altro non è rilevante.

Il consiglio di Andreas è di scaricarne uno e usarlo ORA. Non aspettare 3 mesi, cercarti quello ‘migliore’ e poi usarlo.

Fallo adesso.

Ultimately you should know one password. And that’s the password of your password manager.

Un’altra azione da compiere è di spostare il sistema di autenticazione a 2 fattori (2Fa) dall’sms ad un sistema esterno.

Puoi usare Google authenticator o Youbikey.

In ogni caso, l’importante è che scolleghi il ponte tra numero di telefono e email.

Nota che questi consigli sono validi sia che il tuo numero sia stato compromesso che nel caso opposto; Sono buone pratiche che ognuno dovrebbe conoscere ed osservare.

Se vuoi approfondire ulteriormente l’argomento sicurezza, Google mette a disposizione il suo Google Advanced Security Program.

Devo cambiare numero di telefono?

Non necessariamente.

Soprattutto se è importante per te ‘socialmente’.

L’importante è che lo scolleghi da ogni servizio o ‘proprietà’ crypto a cui è legato.

Uno dei consigli dati per quelle circostanze in cui devi mettere un numero di telefono per completare una registrazione è di usare un burn number.

Esistono diversi siti che se ne occupano, li trovi con una ricerca rapida e sono molto semplici da usare.

Vedrai una pagina web connessa a quel numero e potrai leggere tutto ciò che quel numero riceve.

Quindi se devi ricevere un codice di conferma per registrarti a qualche servizio, usa un numero temporaneo e non il tuo vero numero.

Rischio numero 2: Phishing Attack

L’idea principale del Phishing è di indurti nel panico e farti cadere in una trappola.

Il modello più diffuso – perchè applicabile su larga scala – è quello di inviarti email ed sms che ti dicono:

“Il tuo ledger è corrotto. Aggiorna il firmware per non perdere i tuoi fondi”

“Sono cambiate le norme KYC per i Wallet. Aggiorna le tue informazioni per non rischiare multe”

E così via.

Se le inventeranno tutte per spaventarti e farti compiere qualche sciocchezza (di solito inserire le 24 parole).

Questi metodi sono largamente utilizzati dagli scammer perchè:

• Economici
• Applicabili su larga scala
• Hanno un rischio/reward molto alto

Per questo motivo devi fare attenzione a tutto ciò che arriva a nome ‘Ledger’ nella tua casella di posta o al tuo telefono.

Una buona norma GENERALE è quella di non fidarsi mai delle email.

Molto spesso gli scammer usano degli indirizzi simili e costruiscono dei siti web identici per indurti in errore.

Una mail di qualche settimana fa usata dagli scammer conteneva nell’URL la parola ‘lédger’ invece di ‘ledger’.

Il consiglio dato è quello di salvare gli indirizzi di tuo interesse nel browser tra i preferiti e controllare sempre l’indirizzo di destinazione contenuto nelle mail.

In realtà non dovresti proprio clickare quei link.

L’altra possibilità è il Phishing postale.

Visto che in alcuni casi è presente l’indirizzo, potresti ricevere delle finte lettere che hanno sempre lo scopo di spaventarti e farti fare delle sciocchezze.

Una esempio potrebbe essere:

“L’agenzia dell’entrate ha rilevato una tua proprietà in criptovalute e sei tenuto a pagare entro una settimana x euro. Paga in BTC/contante/assegno altrimenti vai in galera”

Per quanto assurdo, farsi prendere dal panico e compiere degli errori è possibile.

Questo è un altro video menzionato da Andreas.

Qui vedi un tassista di Uber che si accorge che il suo cliente sta venendo truffato. Il ragazzo ammetterà di aver già pagato 3000 dollari in Bitcoin.

Fai sempre attenzione e se ti vedi in preda al panico, fermati e rifletti.

Rischio 3: Attacchi fisici

Il punto principale sollevato nella diretta è che un attacco di natura fisica comporterebbe un enorme incremento del rischio da parte dell’attaccante con pochi, se non nulli, vantaggi.

A meno che tu non sia una persona nota nell’industria, le possibilità di un attacco sono davvero poche.

Viene sottolineato più volte che la possibilità che sia tu stesso a fare danni e distruggere qualcosa è molto più probabile di ricevere un attacco.

Come menzionato nella diretta, è molto più probabile che tu venga attaccato da un tuo conoscente (familiare, amico, conoscente) che pensa che tu sia ricco perchè hai comprato Bitcoin nel 2013.

In generale, il rischio è collegato a quanto te la tiri. Quindi ai segnali che mandi sul tuo lifestyle.

L’altro aspetto è legato all’essere un outsider.

Se hai tanti Bitcoin ma vivi in mezzo ai ricchi, non attiri l’attenzione.

Se hai qualche frazione di Bitcoin ma vivi in mezzo ai poveri, non attiri l’attenzione.

Se hai tanti Bitcoin ma vivi in mezzo ai poveri, sei un outsider.

Il consiglio è di mantenere un basso profilo. Quindi, niente lambo. 🙁

In generale, un attacco fisico presuppone comunque di essere ‘puntato’ perchè il rischio/reward è troppo alto.

Andiamo a vedere i possibili scenari.

Scenario 1: Furto

Ti entrano in casa.

Il ledger è protetto da pin quind non è un gran problema. Più che altro interessa il seed.

In questo caso il suggerimento è di nasconderlo in posti non ovvi. In alternativa tienili altrove, in una cassetta di sicurezza o da qualcuno di cui ti fidi.

Questo rende un attacco del genere statisticamente molto più complesso perchè non si può cercare ovunque.

Scenario 2: 5 dollar wrench attack

Qui si parla del caso in cui un attaccante deve decidere tra:

A) Tentare di acquisire i tuoi fondi con complesse operazioni informatiche che si aggirano attorno ai milioni di euro

B) Comprare una chiave inglese da 5 euro e scassarti di mazzate finchè non gli dai il seed.

Oltre ad essere definito come un attacco estremamente improbabile (risk/reward) non c’è un modo per difendersi da questo attacco.

Il più efficiente è non avere accesso ai propri fondi in maniera diretta.

Andreas ha dichiarato che per accedere ai suoi Bitcoin sarebbero necessari giorni perchè ci vogliono viaggi, per poi entrare in una struttura con telecamere e guardie armate.

L’idea è di rendere questo tipo di attacco estremamente inefficace.

L’altro suggerimento è che se qualcuno si prende la briga di puntarti, organizzarsi e spendere tutto questo tempo e rischi per ottenere i tuoi Bitcoin… beh..

Dagli i tuoi Bitcoin.

La tua vita è più importante di qualunque cifra.

Scenario 3: Estorsione

Alcuni screenshot sono già in circolo e contengono minacce di vario genere.

Nel 99,9% dei casi sono dei bluff paragonabili alle famose mail di minaccia con la pornografia:

“Ti ho registrato mentre navigavi su un sito porno con immagini pedografiche. Mandami 1000€ in Bitcoin a questo indirizzo altrimenti ti sputtano”

Anche in questo caso, viene ripetuto che questo genere di estorsioni verrebbero fatte prima a persone prominenti dell’industria che non a una persona qualunque.

Un suggerimento è anche quello di creare una somma che si è disposti a cedere in caso di emergenza, chiamata Fuck off money. (ovviamente se uno ti vede con la lambo e affermi di avere solo 0.05 BTC potresti ottenere l’effetto opposto e farlo arrabbiare.)

Scenario 4: Rapimento

A seconda di dove vivi questa possibilità è più o meno possibile ma anche qui vale quanto detto sul risk/reward.

Pensa alla differenza tra chi vive in Brasile, a Sao Paulo o uno che vive a New York. Questa è la realtà.

Ora che abbiamo visto i rischi connessi al leak del database di ledger e come dovresti reagire, vediamo come comportarsi in futuro.

This is gonna happen again.

Come comportarsi in futuro e rendersi invisibili

Qualsiasi dato immesso online è per sua natura suscettibile ad essere hackerato.

Quindi, istintivamente, il modo migliore per proteggersi è non mettere mai i propri dati online.

Lo so che ora stai pensando agli exchange, al KYC, a tutti quei siti che hanno nome, indirizzo, documenti etc.etc.

Il mondo è disegnato per ‘individuarti’ quindi quello che puoi fare è evitare di mettere i tuoi dati veri, a meno che non sia richiesto per legge.

Nel caso contrario, proteggiti.

Alcune buone regole:

• Fai attenzione ai dati che metti in giro su di te
• Non mettere in giro dati reali
• Non usare mai insieme nome vero e indirizzo vero. Piuttosto uno o l’altro.
• Non mettere il tuo cellulare se non indispensabile (molto spesso non è indispensabile)
• Usa email temporanee o email fake
• Usa numeri temporanei
• Se devi mettere documenti, il passaporto non ha l’indirizzo
• Menti

Molto spesso inseriamo dati personali senza neanche renderci conto di cosa significhino e quanto siano importanti. Fai attenzione d’ora in poi.

Conclusioni

Come menzionato nella live, i ledger wallet sono ancora tra i migliori hardware wallet per conservare criptovalute

Ben disegnati, pratici e sicuri.

C’è da discutere come abbiano gestito la cosa ma, in fin dei conti, se sei in quel database accetta il fatto di aver fatto un grossolano errore.

La buona notizia è che puoi imparare.

Come qualcuno ha fatto notare, questi dati erano già online e chissà quali altri sono online che ti riguardano (ad esempio exchange hackerati su cui hai fatto KYC con le tue transazioni ed indirizzi di destinazione).

A mio avviso, tutta questa vicenda deve farti apprezzare l’importanza della privacy e delle pratiche per tutelare la tua identità e la tua presenza online.

Se da tutto questo imparerai qualcosa, magari chi ha messo quel database online in fin dei conti ti ha fatto un ‘regalo‘.

Questo è tutto.

Qui trovi la live di Andreas sull’hack di Ledger.

Qui trovi un video di Riccardo Masutti (in Italiano) con qualche altro buon consiglio a riguardo.

Se hai trovato questo articolo utile, condividilo con i tuoi amici o sui social.