Crypto

Shellshock, Heartbleed I Bitcoin: Dlaczego Bezpieczeństwo To Największa Przeszkoda Bitcoina

Crypto Shellshock, Heartbleed I Bitcoin: Dlaczego Bezpieczeństwo To Największa Przeszkoda Bitcoina

A Christmas Computer Bug, and the Future of Files (Listopad 2018).

Anonim

Po raz drugi w tym roku, świadomość ogromnej luki w zabezpieczeniach zaczęła się szerzyć w Internecie, osiągając taką skalę, że opinia publiczna ogarnęła ją. W kwietniu była to "HeartBleed", czyli luka w oprogramowaniu kryptograficznym OpenSSL używanym w Internecie. W tej chwili jest to "ShellShock", czyli luka w samym Bashu, oprogramowanie z linii poleceń, które jest praktycznie wszechobecne na komputerach z dowolną pochodną systemu Unix, w tym OS X i systemy operacyjne mobilne, takie jak Android. Jest to najgorsza i największa luka w zabezpieczeniach pamięci. Obie luki, w pewnych okolicznościach, mogą pozwolić intruzom z zewnątrz uzyskać dostęp do komputera lub telefonu i robić praktycznie wszystko, czego chcą.

Ma to konsekwencje w wielu kręgach (od prywatności - zobacz ostatnią masową kradzież celebrytów - po szpiegostwo korporacyjne), ale jednym z najbardziej palących obszarów, na które wpływa, jest Bitcoin i jest prawdopodobnie największą blokadą w tej chwili . Nie mówię tu o masowej adopcji: tam, największe problemy to prawdopodobnie to, jak trudne jest korzystanie z oprogramowania Bitcoin i trudny problem akceptacji akceptanta.

Chodzi mi o to, że z braku lepszego i mniej dramatycznego słowa "marzenie" o Bitcoinie: pomysł, że Bitcoin może pewnego dnia umożliwić świat finansowy, który nie zależy od centralnych instytucji, które mogą narzucić swoją wolę ludzie żyją przez to: świat, w którym ludzkie pieniądze są kryptograficznie bezpieczne, ukryte przed wścibskimi oczami i złodziejskimi palcami. W tej chwili to marzenie jest zagrożone, ponieważ komputery, których używamy, są tak podatne na ataki hakerów. Zaletą scentralizowanych systemów jest to, że moderatorzy tych systemów mogą interweniować w przypadku popełnienia błędu lub kradzieży, a jeśli dokonają prawidłowej oceny systemu, naprawią błąd. Jeśli twoja karta kredytowa zostanie skradziona, nie musisz martwić się zbytnio o utratę oszczędności życiowych. To samo dotyczy Bitcoin i innych kryptowalut. Ponieważ system jest zdecentralizowany, nikt nie słyszy twoich próśb i nie naprawia twoich krzywd. Bitcoin to waluta bez barier ochronnych, bez drugiej szansy. Jeśli zgubiłeś przecinek dziesiętny lub błędnie wpisałeś adres i przypadkowo wyślesz 300 000 $ na zły adres, po prostu nie masz szczęścia.

Kwestia przypadkowego oddania oszczędności życiowych może być prawdopodobnie rozwiązana przez lepszą ochronę wbudowaną w oprogramowanie użytkownika końcowego, ale kwestia kradzieży jest o wiele bardziej szkodliwa. Niektóre problemy, takie jak generowanie portfeli mózgowych z domyslnymi hasłami, mogą być rozwiązane przez edukację, ale jak udowodnił ShellShock, komputery, których używamy na zasadzie rutyny, to bezdenne koszmary luk w zabezpieczeniach.

Mój znajomy, kiedyś haker i specjalista od bezpieczeństwa komputerowego, został prawie wyrzucony ze swojej uczelni, ponieważ kiedy dostał wyzwanie bezpieczeństwa komputerowego dla klasy, dostał taki głęboki dostęp do systemu, na którym działał, że był w stanie ustaw wszystkie oceny na nieskończoność.Ten sam przyjaciel zabawiał się, przechodząc przez oprogramowanie gier wideo o otwartym kodzie źródłowym oraz znajdując i raportując otwarte luki. Jedną z takich luk był niezabezpieczony bufor zapisu w kliencie DOOM o otwartym kodzie źródłowym. Po zgłoszeniu błędu spędził kilka miesięcy na zabawie, przejmując kontrolę nad różnymi serwerami DOOM w Internecie i grając w lochu (przez pojawianie się potworów nieobecnych w grze, arbitralne rozdawanie broni i modyfikowanie map), aż do momentu, gdy w końcu pojawiła się usterka. naprawiony.

Oczywiście jest to dość łagodne, ale przerażające jest to, że ten rodzaj hakowania, przy odpowiedniej edukacji, nie jest szczególnie trudny - mój przyjaciel jest niezwykle utalentowany, ale są tysiące ludzi na świecie, którzy mogą znaleźli i wykorzystali ten błąd, jeśli go szukali, a te exploity (w tym niezwykle poważne, takie jak HeartBleed i ShellShock) istnieją w każdym oprogramowaniu. Jeśli utalentowany haker chce uzyskać dostęp do Twojego telefonu lub komputera, możesz mieć pewność, że go dostanie. Nawet w przypadku braku konkretnego wirtualnego napastnika, jeśli uruchomisz skompromitowaną aplikację (prawdopodobnie w nadziei na uzyskanie darmowego wygaszacza ekranu), Twój komputer może zostać przejęty przez złośliwe oprogramowanie. Żaden powszechnie używany system operacyjny nie chroni pamięci po piaskownicy, co oznacza, że ​​program może swobodnie ingerować w inne aspekty systemu i uzyskać dostęp do zasobów, których nie powinien mieć. Wystarczy jeden błąd, a anonimowy haker może uzyskać pełny dostęp do urządzenia. Istnieje już kradzież kodu Bitcoin, a ten problem będzie jeszcze gorszy, ponieważ coraz więcej osób zacznie używać Bitcoin. Jak tylko kradzież Bitcoinów jest bardziej opłacalna dla twórców szkodliwego oprogramowania niż wysyłanie spamu, będziemy mieli poważny problem.

Więc co można z tym zrobić? Częścią odpowiedzi jest kryptografia wieloskładnikowa, na przykład oprogramowanie CoPay zaimplementowane przez BitPay. Jeśli zarówno Twój komputer, jak i Twój telefon są zobowiązane do wykonania dużej transakcji, przynajmniej chroni Cię przed wyrwaniem przez przypadkowy element złośliwego oprogramowania: atakujący, który uzyska dostęp do obu, prawdopodobnie chce Cię okraść, w szczególności znacznie węższe i mniej przerażające zagrożenie. Jednak nie jest doskonały. W dłuższej perspektywie prawdopodobnie warto budować małe dedykowane urządzenia sprzętowe z niezawodnym, stabilnym oprogramowaniem układowym, któremu można zaufać za pomocą drugiego klucza w schemacie uwierzytelniania dwuskładnikowego - drugiego urządzenia sprzętowego, które można nosić ze sobą i które możesz udowodnić, jest godne zaufania. Innym, mniej prawdopodobnym scenariuszem, na który nie mam najmniejszej nadziei, jest to, że wzrost Bitcoin i pierwsze kradzieże o wysokim profilu podniosą świadomość bezpieczeństwa komputerowego i po raz pierwszy mogą zostać poważnie potraktowane przez opinię publiczną. kiedykolwiek, co powoduje, że niektóre otwarte rany klatki piersiowej w nowoczesnym systemie operacyjnym są łatane.

Na razie przynajmniej większość ludzi - a przynajmniej ludzie, którzy nie dbają o sen, lepiej wykorzystują scentralizowane rozwiązania oparte na Bitcoin, które mogą oferować niektóre z tych samych korzyści, co przynależność do tradycyjnego banku .Na razie przynajmniej "portfele sieciowe" Bitcoinów (dokładniej "banki Bitcoinów", choć wolą tego nie nazywać), są prawdopodobnie przyszłością wszystkich, ale najbardziej wściekle libertariańskim kontyngentem użytkowników Bitcoin. Obecnie hakerzy stanowią większe zagrożenie dla przeciętnego człowieka niż różne grzechy rządów (przynajmniej pierwszego świata). Jeśli marzenie o bitcoinie się spełni, to będzie musiało się zmienić.

Popularne Wiadomości