Go To Project Gutenberg

środa, 22 czerwca 2011

Bitcoin. Snafu, studium przypadku.


Osoby o słabych nerwach nie powinny tego czytać, bo świat jest dostatecznie skomplikowany. To co nastąpi, mrozi krew w żyłach, choć dzieje się wyłącznie w internecie.

Zacznijmy od początku, czyli co to jest ten bitcoin. Otóż jest to jedna z całkowicie syntetycznych walut, czyli elektronicznych żetonów. Płaci się nimi na przyklad w serwisach gier, ale nie tylko. Można tej waluty (tak jest, to pełnowartościowa waluta, choć wirtualna) użyć do dowolnych celów, przekazać przez internet, albo w pamięci pendraka. Co wyróżnia żetony bitcoin od reszty, to zdecentralizowana struktura, oparta na starym sprawdzonym protokole P2P. Wszędzie, gdzie jest internet, można dokonywać transakcji. Drugą fundamentalną cechą jest otwarty kod, który został sprawdzony w praktyce. Kolejną fundamentalną cechą jest anonimowość transakcji, a w końcu jej zerowe koszty. Nie ma żadnego banku, pośredników, prowizji itd. transakcja rozliczana i zatwierdzana jest przez rozproszoną sieć, gwarantując poprzez skomplikowane obustronne szyfrowanie jej integralność. Żeton, który przekazałeś, a ktoś przyjął, nadal jest w twoim komputerze (telefonie), ale już nie będziesz mógł go użyć ponownie, bo stał się bezwartościowy. Odbiorca podpisał go swoim prywatnym podpisem i twój żeton będzie odrzucony jako nieautentyczny.

Emisja nowych żetonów odbywa się poprzez zainteresowane węzły sieci (które uruchomią odpowiedni program) i polega na rozwiązywaniu zadania krypfograficznego (czyli de facto jest to łamanie szyfrów), którego poziom trudności dopasowuje się automatycznie do liczby uczestniczących węzłów. Dzięki temu utrzymuje się stabilną emisję - 6 nowych żetonów na godzinę. Bitcoin jest zatem całkowicie syntetyczny, bo stanowi ciąg znaków, absolutnie bezużyteczny w jakimkolwiek innym zastosowaniu. Co ważne, można go zapisać w dowolnej elektronicznej postaci - w mailu, edytorze tekstu, pamięci telefonu itd, w dowolnej liczbie kopii, jego oryginalność zostanie sprawdzona przy kolejnej transakcji (kod skrótu, żeton jest podpisany kluczem prywatnym posiadacza).

Wszystko wskazuje na to, że bitcoin - ze względu na swoje wymienione zalety - bezpieczeństwo transakcji, rozproszoną architekturę i zerowe koszty anonimowych transakcji, powoli dojrzewa do masowego użytku. Możesz go (bez kosztów, lub poniżej 0,5%) wymienić na złotówki i inne waluty i vice-versa, jest co najmniej jedna polska giełda wymiany z przelewami. Niestety rośnie negatywne zainteresowanie pewnych ważnych instytucji. I tak ostatniej niedzieli, w przeciągu kilku minut, na największej giełdzie bitcoinów kurs spadł z poziomu 17,50$ do 1 centa, za sprawą wyprzedaży z jednego z kont.



Okazuje się, że swoje usługi i uwagi co do bezpieczeństwa obrotu oferował tej giełdzie pewien whitehat hacker, najwyraźniej bez powodzenia. Krążą wiarygodne sygnaly, że należy on do sławnej grupy LulzSec, która skutecznie przewróciła przed dwoma tygodniami główny serwis CIA! Otóż ten śmiałek wykradł bazę danych klientów, zawierającą email, nazwy oraz zaszyfrowane hasła dostępu do
kont. Dokonał tego wykorzystując podaność bazy na lukę xss, o której informował (bezskutecznie) giełdę. Na szczęście baza transakcji nie została ukradziona, a haker zadowolił się opróżnieniem konta, którego hasło złamał i przelaniem z niego 1000$. Zadziałał limit dzienny przelewów. Dzięki niemu na tej kwocie zamknęła się strata ofiary włamania. Giełda została zamknięta i proces odtwarzania i kasowania oszukańczych transakcji jeszcze trwa. Na tę chwilę giełda jeszcze nie działa.

Agresor nie ograniczył się do ukradzenia maksymalnych dostępnych środków. Najwyraźniej niezaspokojony łupem, natychmiast po uruchomieniu lawiny zleceń sprzedaży opublikował w necie bazę klientów, w czego następstwie rozczarowani klienci dostali w ciągu dosłownie godziny od crashu z filmiku powyżej falę spamu, w tym ofertę giełdy konkurencyjnej. Warto zwrócić uwagę, iż zaszyfrowane hasła dostępu można rozkodować (crack) i kolejne włamania w tej sytuacji byłyby kwestią czasu.

Giełda zareagowała poprawnie, zawieszając transakcje, ale - co najważniejsze - wprowadzając procedurę odzyskiwania konta z wymuszoną zmianą hasła na nowe, o odpowiedniej mocy (długości), które zostanie zapisane w bazie mocnym trójstopniowym haszem (512 triple salted hash), co zapobiegnie panice następnym razem, bo złamanie takiego hasła jest bardzo trudne i nawet utrata całej bazy nie będzie krytyczna. Ciekaw jestem dalszej reakcji klientów, będzie to ważny sygnał co do dalszego rozwoju takich usług.

Jak widać w praktyce na tym przykładzie, na amatorów bitcoinów czyha wiele niespodzianek, aczkolwiek ich niebezpieczeństw należałoby chyba upatrywać w tzw. czynniku ludzkim. W każdym razie trafiona giełda jeszcze się nie podniosła, choć wydaje się na poprawnej drodze. Ciekawe czasy. Ludzie kradną bity :)
© zezorro'10 dodajdo.com
blog comments powered by Disqus

muut