DayFR Italian

Abbiamo visitato il “Dungeon”, la fortezza di Ledger per proteggersi dagli attacchi informatici contro i suoi prodotti

-

Un mese fa, Ledger ha inaugurato la sua nuova sede globale nel cuore del Marais: “106”, in riferimento al suo indirizzo in rue du Temple, nel 3° arrondissement di Parigi. L’occasione per l’unicorno tricolore di festeggiare i suoi dieci anni di esistenza e di offrire ai propri dipendenti uno strumento di lavoro inedito e ultramoderno per affrontare i prossimi dieci anni nelle migliori condizioni.

Se l’edificio di 7.500 metri quadrati dispone di numerosi spazi (caffetteria, bar, terrazze, studio podcast, palestra, campo da basket, sala giochi, ecc.) per fornire un ambiente di lavoro ottimale, ospita anche un’area riservata e particolarmente strategica per Ledger : il “Dungeon”. A prova della sua importanza, il piano su cui si trova questo “cyber-laboratorio” si trova nella zona “arancione”, colore riservato agli “sviluppi critici”. Per quanto riguarda il “Dungeon” stesso, è esattamente nella zona “rossa” per ovvi motivi di sicurezza. Pertanto non è possibile proporvi un reportage fotografico, ma vi spiegheremo come si presenta questo luogo poco conosciuto ed essenziale per Ledger.

“È una squadra che ci pensa a spaccare tutto”

In questa fortezza dagli accenti digitali, nessuna lotta medievale con spade e scudi all’orizzonte, ma un team di ricercatori che scova ogni minima vulnerabilità nei prodotti dell’azienda francese, ma non solo, per garantire agli utenti dei Ledger Wallet la migliore sicurezza possibile. Creato in seguito all’arrivo di Charles Guillemet, attuale CTO di Ledger, nel 2017, il “Dungeon” ha una missione tanto semplice quanto vitale: attaccare pesantemente i prodotti Ledger come un hacker per individuare tutte le falle possibili ed immaginabili, al fine di correggerli, per essere sempre un passo avanti rispetto ai criminali informatici. “È una squadra che ci pensa a spaccare tutto”riassume con un sorriso Vincent Bouzon, responsabile della sicurezza dei prodotti e capo del Dungeon di Ledger.

Oggi questo team conta 17 dipendenti, il 60% lavora sul software e il 40% sull’hardware. “Nessuno ha lo stesso background”constata Vincent Bouzon, esponente del mondo bancario. Infatti, profili molto diversi compongono questa “task force” di Ledger. “All’inizio non ero paranoico, ma non vedo più le cose nello stesso modo! (Ride.). Nei portafogli ci sono gli stessi componenti delle carte bancarie. Ma i nostri sviluppi devono andare oltre quelli del mondo bancario”osserva il boss del Dungeon. Per migliorare l’efficienza, i team software e hardware sono stati uniti per sei mesi. Perché un difetto hardware può portare alla scoperta di un difetto software e viceversa.

Software e hardware

Quest’ultimo ha due facce: una piuttosto classica che ricorda un qualunque spazio aperto di una startup dove i team software sono affaccendati davanti ai loro computer sui quali scorre un flusso incessante di righe di codice; l’altro più scientifico con un laboratorio dove sono ammucchiati portafogli di Ledger e di aziende concorrenti, smartphone e perfino carte bancarie.

In questa parte hardware del Dungeon, questi diversi oggetti vengono gestiti in modo errato da una mezza dozzina di strumenti per testare i chip elettronici incorporati in questi prodotti. Tra questi c’è in particolare una sorta di oscillogramma “studiare il battito cardiaco e la vita di una pulce”e il “Silicon Toaster”, una macchina per testare chip elettromagnetici utilizzando corrente elettrica. “Stiamo cercando di modificare il chip affinché si comporti in un modo che ci interessi. Ciò consente di rilevare i difetti in modo che il prodotto sia resistente a qualsiasi rottura. Nessun portafoglio Ledger è mai stato violato”ricorda Vincent Bouzon. La posta in gioco è alta poiché la società francese afferma di proteggere il 25% delle criptovalute detenute nel mondo.

In questo laboratorio vengono effettuati test di ogni tipo. Si va dagli incessanti attacchi laser, per proteggersi, ai test di temperatura per garantire che i portafogli Ledger non rivelino mai i loro segreti agli estranei. Ma per raggiungere un tale grado di sicurezza, non tutto è sempre semplice. “Se partiamo da zero, potremmo aver bisogno di sei mesi di analisi per un chip. Ma a volte dura solo un mese o qualche giorno se disponiamo già di una base di informazioni. In media, ci vogliono dalle due alle tre settimane.spiega Vincent Bouzon.

“Tutela dell’ecosistema”

Tieni presente che gli strumenti di Dungeon sono sviluppati e utilizzati internamente, ma sono anche offerti come open Source esternamente. “La missione di Dungeon non è solo proteggere i prodotti Ledger, ma proteggere l’ecosistema. Se un altro giocatore viene violato, non c’è più fiducia nel mercato. Tuttavia, qualsiasi perturbazione negativa dell’ecosistema ha un impatto su di noi”sottolinea il responsabile della sicurezza del prodotto. Prima di aggiungere: “Tutti i nostri prodotti sono certificati Anssi (Agenzia nazionale per la sicurezza dei sistemi informativi, ndr). Non possiamo dire a noi stessi che un giorno ci sarà una debolezza. Questo è il nostro fardello quotidiano”. E per proteggere questo bottino di guerra, esiste un team di “governance della sicurezza”, che ha il compito di verificare che non ci siano difetti interni che compromettano le scoperte e le azioni del Dungeon. “Questo ci permette di verificare che le nostre casseforti sono solide e ben protette”indica Vincent Bouzon.

A beneficio dell’intero ecosistema crittografico, Dungeon condivide tutta la sua ricerca come open Source. Va detto che dopo sette anni di esistenza questo laboratorio unico si è guadagnato un’ottima reputazione. “Storicamente, il Dungeon si è concentrato sul software, ma negli ultimi mesi ci sono stati molti attacchi hardware. Nel 2025 ci concentreremo maggiormente sulla blockchain DeFi e sul Web3. È un universo entusiasmante, ma che offre anche nuove prospettive agli hacker”osserva Vincent Bouzon. Prima di concludere: “Non c’è magia in Ledger, semplicemente non scendiamo a compromessi sulla sicurezza dei nostri prodotti.”

Non è un caso che migliaia di persone siano accorse ai portafogli Ledger dopo l’incredibile fallimento di FTX a fine 2022. L’unicorno tricolore, che punta a diventare “la più grande azienda tecnologica mai creata in Europa” secondo il suo capo, Pascal Gauthier, lo aveva allora saputo “il suo giorno migliore, la sua settimana migliore e il suo mese migliore”. E in un momento in cui bitcoin torna a crescere, l’interesse per i portafogli Ledger rischia di rafforzarsi.

Related News :