Ledger’ın Güvenli Ekranını ve Neden Önemli Olduğunu Öğrenin

Oku 8 dk.
Başlangıç
Ledger devices on a podium
Özetle:
– Kripto işlemleri için kullandığınız cihazın ekranı potansiyel bir saldırı vektörüdür.

– Ekranların güvenliği onları kontrol eden bilgisayar çipine bağlıdır ve her çip veya cihaz güvenlik dikkate alınarak tasarlanmamıştır.

– Ledger cihazlarında doğrudan Secure Element çipine bağlı bir güvenli ekran kullanılır. Bu da ekranda gördüğünüz işlemin, imzaladığınız işlem olduğu anlamına gelir.

Blok zinciri işlemleri, işlendikten sonra değiştirilemez ve geri alınamaz. Bir işlemi imzalamak istiyorsanız, başlamadan önce sonucu bilmek istersiniz. Bir hata yaparsanız fonlarınızı sonsuza dek kaybedebilirsiniz. Bazen fonlar adreslerin yanlış kopyalanması veya bilgilerin hatalı girilmesi nedeniyle kaybedilse de fon kayıpları çoğunlukla bir hack’leme sonucunda meydana gelir.

Yaygın saldırı vektörlerinden biri de cihazınızın ekranıdır. Güvenli bir ekranınız yoksa kötü amaçlı bir işlem çok masum görünebilir. Bunun nedeni, her gün iş, eğitim ve eğlence için kullandığımız ekranların güvenlik değil de performans dikkate alınarak tasarlanmış olmasıdır. Dijital varlıklarınızın korunması ve yönetimi konusunda ise bu cihazlar yetersiz kalır.

Kısacası, dizüstü bilgisayarınızdaki veya akıllı telefonunuzdaki ekrana güvenemezsiniz. Peki bu riski nasıl azaltabiliriz?

İhtiyacınız olan şey, gösterilen bilgilerin gerçek olduğunu garanti eden bir güvenli ekrandır. İşte tam da bu nedenden ötürü, Ledger cihazlarında doğrudan Secure Element çipi tarafından kontrol edilen bir güvenli ekran vardır. Güvenlik dikkate alınarak tasarlanan güvenli ekran, tam olarak gördüğünüz şeyi imzalamanızı sağlar.

Peki, güvenli ekran nedir ve neden bu kadar önemlidir? Haydi, başlayalım.

Dizüstü Bilgisayarınızın veya Akıllı Telefonunuzun Ekranına Güvenilemez

Her ekranın arkasında bir çip vardır. Bu çip, ekranda gösterilen bilgilerden sorumludur. Dizüstü bilgisayarınızın veya akıllı telefonunuzun çalışması için ekranın çipteki bilgilere erişebilmesi gerekir. Çipin türü ve ekranla nasıl etkileşim kurduğu, tüm cihazlarda güvenlik için çok önemlidir.

Sorun, internete bağlı bir cihazda görüntülenen işlem ayrıntılarına güvenmekle ortaya çıkar. Dizüstü bilgisayarınızda veya akıllı telefonunuzda bir kripto cüzdanı kullandığınızda tamamen o cihazın güvenliğine bel bağlarsınız. Bu cihazlar genellikle internete bağlandığından çevrim içi tehditlere karşı savunmasızdır.

Cihazdaki bir güvenlik açığından yararlanan bilgisayar korsanları, virüs bulaşmış bir cihazın ekranındaki ayrıntıları uzaktan bile değiştirebilir. Örneğin dizüstü bilgisayarınızda bir kripto işlemi başlatırsanız, bir bilgisayar korsanı alıcı adresi veya göndermek istediğiniz toplam varlık tutarı gibi cihazın ekranında görüntülenen işlem ayrıntılarını değiştirebilir. Esas itibarıyla, internete bağlı bir cihazda varlıklarınızı riske atmadan hiçbir işlemi imzalayamazsınız.

Donanım cüzdanlar tam da bunun için vardır: Özel anahtarlarınızı internete bağlı cihazınızdan ve barındırdığı tüm potansiyel kötü amaçlı yazılımlardan izole olan bir çipte saklarlar. Özel anahtarlarınızı internete bağlı olmayan ayrı bir cihazdaki bir çipte sakladığınızda ise bunlar çevrim içi tehditlerden etkilenmez.

Bazı Donanım Cüzdan Ekranları Diğerlerinden Daha Güvenlidir

Bu noktada herhangi bir donanım cüzdanı kullanmanın yeterli olacağını düşünebilirsiniz. Neticede ekranı kontrol eden çip, işlemi başlatan internete bağlı cihazdan tamamen ayrıdır. Bu da güvenli olmalı, değil mi?

Ne yazık ki bu göründüğü kadar basit değildir. Her ekran potansiyel bir saldırı vektörüdür ve her donanım cüzdan aynı güvenlik düzeyine sahip değildir. Özel anahtarların yer aldığı çipi internet bağlantısından uzak tutmak yeterli değildir, cihazın tüm bileşenlerinin fiziksel hack’lemelerden de korunduğundan emin olmanız gerekir.

Genelde donanım cüzdanlar ekranlarını kontrol etmek için MCU çiplerini kullanır ve sorun da burada yatar. Bilgisayar korsanının bir MCU çipinin donanım yazılımını değiştirmesi son derece kolay ve ucuzdur. Bilgisayar korsanı donanım cüzdanınızın ekranını kontrol eden MCU’ya erişirse, özel anahtarlarınıza erişim kazanmaya ihtiyaç duymaz. Ekranınıza erişimi olan bir bilgisayar korsanı, varlıklarınızı başka birisine göndermeniz için onay vermenizi sağlamak üzere işlem ayrıntılarını kurcalayabilir.

Bazı donanım cüzdan sağlayıcıları bu riski azaltmak için ekran özelliğini tamamen kaldırmayı seçmiştir. Ancak ekran yoksa bir işlemin meşru olup olmadığını nasıl bilebilirsiniz ki? Tek kelimeyle, bilemezsiniz.

Neyse ki Ledger güvenlik modeli farklı ve daha pratik bir çözüm sunar: güvenli ekran. Ancak bu ekran tam olarak nasıl çalışır?

Ledger’ın Güvenli Ekranı

Bir Ledger cihazının güvenli ekranının güvenliği dâhilî bileşenleriyle başlar. Ledger cihazlarında özel anahtarlar, yan kanal saldırıları ve voltaj değişimi gibi yaygın saldırı vektörlerine karşı dayanıklı olduğu için çoğunlukla banka kartlarında ve pasaportlarda kullanılan sektör lideri bir bilgisayar çipi olan Secure Element çipinde saklanır.

Günümüzde birtakım donanım cüzdan sağlayıcıları özel anahtarları üretmek ve saklamak için bir Secure Element kullanmaktadır, ama genelde bu cüzdanların ekranları fiziksel hack’lemeye karşı savunmasız olan MCU çipleri tarafından kontrol edilmektedir. Ledger cihazları, güvenli ekranlarını kontrol etmek için Secure Element’ı kullanmaları açısından da benzersizdir. Secure Element çipi güvenli ekranı doğrudan kontrol ettiğinden, hiçbir bilgisayar korsanı bu bilgilere müdahale edemez ve ekranda gösterilen işlem ayrıntılarını kurcalayamaz.

Ekran, Secure Element’ın saldırılara karşı dayanıklı olma özelliğinden faydalanır. Dolayısıyla da “tam olarak gördüğünüz şeyi imzalarsınız”. Ledger cihazınızın ekranındaki ayrıntılar Ledger Live’da gördüklerinizle eşleşiyorsa işlemi güvenle imzalayabilirsiniz. Bu ayrıca internete bağlı cihazınızın doğruluğunu da iki kez kontrol etmenizi sağlar. Eğer Ledger cihazınızdaki ayrıntılar internete bağlı cihazınızdaki bilgilerle eşleşmiyorsa, dizüstü bilgisayarınıza veya akıllı telefonunuza muhtemelen kötü amaçlı bir yazılım bulaşmıştır.

Son olarak, ekranın Secure Element tarafından kontrol edilmesi kriptografik doğrulamaya da olanak sağlar; Ledger cihazınızın orijinal bir BOLOS işletim sistemini çalıştırıp çalıştırmadığını doğrulayabilirsiniz. Bunlar bir güvenli ekranın blok zinciriyle etkileşime girmeyi daha güvenli ve sezgisel bir hâle getirme yöntemlerinden sadece birkaçıdır.

Güvenli Ekran Beni Nelere Karşı Korur?

Artık bir güvenli ekrana sahip olmanın neden önemli olduğunu öğrendiğinize göre, şimdi de tam olarak neler yaptığını inceleyelim. Cihazınızın ekranının karşılaşabileceği en yaygın saldırılardan bazılarını ve Ledger’ın güvenli ekranının bunlara karşı nasıl bir yaklaşım sergilediğini ele alalım.

Adres Zehirleme

Ledger’ın güvenli ekranı sizi adres zehirlemeye karşı korur. Açıklamak gerekirse, adres zehirleme işlem geçmişinizde görünmesi için saldırganın size küçük bir miktarda kripto göndermesidir. İşlem, onu siz başlatmışsınız gibi görünecek şekilde tasarlanmıştır. Örneğin saldırgan sizin adresinizden sadece birkaç karakteri farklı olan bir adresi kullanır. Dolandırıcı, işlem geçmişinizde yer alan kendisine ait adresi bildiğiniz bir adres sanarak yanlışlıkla kopyalamanızı umar.

Bu, en deneyimli kripto kullanıcılarını bile tuzağa düşüren son derece yaygın bir dolandırıcılıktır. Ancak Ledger’ın güvenli ekranı ile adres zehirleme saldırılarını dert etmenize gerek yoktur: Cüzdan adresinin tamamı da dâhil olmak üzere işlemin tüm ayrıntılarını doğrudan Ledger cihazınızda görebilirsiniz.

Adresi Değiştiren Kötü Amaçlı Yazılımlar

Dolandırıcıların ekranınıza saldırabileceği bir diğer yöntem ise adres değiştiren kötü amaçlı yazılımları kullanmaktır. Saldırgan bu dolandırıcılık türünde bilgisayarınızın veya akıllı telefonunuzun panosunun kontrolünü ele geçirir. Panonuza erişimi olan bir bilgisayar korsanı, kendi işlemlerinizi size karşı kullanabilir.

Örneğin bir arkadaşınıza fon göndermeye çalıştığınızı varsayalım; işlemi başlatırken dolandırıcı kendi adresini sizin panonuza kopyalar. İşlemi imzaladığınızda ise fonlar arkadaşınızın değil, bilgisayar korsanının hesabına gider. Bilgisayar korsanı ayrıca bu saldırıyı siz bir arkadaşınızdan fon almayı planlarken de tekrarlayabilir. Saldırgan sizin adresinizi kendi adresiyle değiştirir ve adresi arkadaşınızla paylaştığınızda fonlar bilgisayar korsanının hesabına gider.

Ledger’ın güvenli ekranı, internete bağlı cihazınızdan tamamen ayrı olan bir Secure Element çipi tarafından kontrol edilir. Ledger cihazınızın güvenli ekranı, internete bağlı cihazınıza virüs bulaşmış olsa bile her zaman doğru işlem ayrıntılarını gösterir.

Clickjacking Yazılımları

Son olarak da bilgisayar korsanları, sizi clickjacking aracılığıyla potansiyel olarak hassas bilgileri açığa çıkarmanız veya farkında olmadan kötü amaçlı eylemlere onay vermeniz için kandırmaya çalışır. Bu saldırıda tıklamalarınız sizin aleyhinize kullanılır ve giriş kimlik bilgilerinizi vermeniz, daha fazla kötü amaçlı yazılım indirmeniz veya kötü amaçlı işlemleri imzalamanız ya da akıllı sözleşmeleri onaylamanız için cihazınızın ekranında değişiklik yapılır.

Bu gibi durumlarda kötü amaçlı bir kişi varlıklarınızı başka birine göndermeyi onaylamanızı sağlamak için ekranınızın kontrolünü ele geçirebilir. Saldırganın yapması gereken tek şey onayın aşina olduğunuz bir uygulamadan geliyormuş gibi görünmesini sağlayarak sizi bunun meşru olduğuna inandırmaktır; bunu başardığında da varlıklarınız artık onundur.

Secure Element’ın kurcalanmaya dayanıklı olması ve güvenli ekranı doğrudan kontrol etmesi nedeniyle Ledger’ın güvenli ekranı clickjacking yazılımlarıyla hedef alınamaz.

Kendinizi korumak için yapmanız gereken tek şey herhangi bir işlemi imzalamadan önce Ledger cihazınızın güvenli ekranındaki alıcı adresin, internete bağlı cihazınızdaki adresle eşleşip eşleşmediğini iki kez kontrol etmektir. Ledger cihazınız gerisini halleder!

Güvenli Ekran: Ledger’ın Güvenlik Modelinin Unsurlarından Sadece Biri

Sonuç olarak güvenli ekranın kripto işlemlerini yönetmenin en önemli unsurlarından biri olduğu açıktır. Bir güvenli ekran olmadan tam olarak neyi imzaladığınızı bilemezsiniz. İşlemleri gönderirken güvenlik açıkları bulunan bir ekran kullanırsanız fonlarınızı kaybedebileceğinizi sakın unutmayın. En kötü senaryoda, varlıklarınızı değiştirilmiş bir adrese göndererek her şeyi kaybedebilirsiniz.

Portföyünüzün ne kadar büyük veya küçük olduğu fark etmeksizin bir işlemi imzalamanın sonuçlarını bilmek çok önemlidir. Ancak güvenli ekran, Ledger güvenlik modelinin unsurlarından sadece biridir. Dolayısıyla bununla yetinmeyin! Ledger ekosisteminin sizi, varlıklarınızı ve cihazlarınızı güvende tutan farklı yönleri hakkında bilgi edinmek için Ledger’ın Güvenlik modeli hakkındaki makaleyi baştan sona okuyun.


İletişimde kalın

Duyurulara blogumuzdan erişebilirsiniz. Basın için iletişim:
[email protected]

Bültenimize abone olun

Desteklenen yeni coin'ler, blog paylaşımları ve özel teklifler doğrudan gelen kutunuzda


E-posta adresiniz yalnızca tarafınıza Ledger bültenimizi, haberlerimizi ve tekliflerimizi göndermek için kullanılacaktır. Bültende yer alan bağlantıyı kullanarak istediğiniz zaman abonelikten çıkabilirsiniz.

Verilerinizi nasıl yönettiğimiz ve haklarınız hakkında daha fazla bilgi edinin.