24
Bezpečnostní aspekty kryptoměny BitCoin New Media Inspiration 2014 Vlastimil J. Vagner
| Date post: | 05-Dec-2014 |
| Category: |
Technology |
| Upload: | new-media-inspiration |
| View: | 254 times |
| Download: | 0 times |
Bezpečnostní aspekty
kryptoměny BitCoin
New Media Inspiration 2014
Vlastimil J. Vagner
2 © 2013 Deloitte Česká republika
Co je kryptoměna?
• Virtuální směnný prostředek existující pouze v digitální podobě
• Existují desítky různých kryptoměn
• BitCoin (BTC)
• LiteCoin (LTC)
• NameCoin (NMC)
• PPCoin (PPC)
• jiné
• Hodnota BTC a její další vývoj je rapidní (1 BTC = cca 19000 Kč; 3.1.2014)
• Celkový strop BTC fondu je stanoven na 21 000 000 BTC
• Má být vyčerpán v zhruba roce 2140 (většina z toho už okolo 2030)
• K dnešnímu dni bylo zpracováno cca 13 miliard dolarů v BTC transakcích
(zdroj: BlockChain)
New Media Inspiration 2014
3 © 2013 Deloitte Česká republika
Vývoj hodnoty BitCoin (leden 2013 – leden 2014)
New Media Inspiration 2014
Zdroj: http://www.plus500.cz/Instruments/BTCUSD
4 © 2013 Deloitte Česká republika
Výhody vs. Nevýhody BTC
Výhody
• Vysoká finanční hodnota
• Prozatimní absence daňového
mechanismu
• „Anonymní“ obchodování
• Decentralizace (nezávislost na
bankách a vládách) a omezená
možnost manipulace
• Odolnost vůči inflaci
• Silné šifrování transakčního
mechanismu
Nevýhody
• Existence bezpečnostních IT rizik
• Chybějící standard certifikací
poskytovatelů BTC služeb
• Postupně klesající těžební křivka
• Nemožnost pojištění
• Nedostatečné povědomí investorů
o možných technologických rizicích
• Skeptický přístup ze strany vlád a
národních bank
New Media Inspiration 2014
5 © 2013 Deloitte Česká republika
Koncepce zabezpečení platformy BitCoin
• BitCoin peněženku tvoří veřejný a privátní klíč
• Blockchain - zřetězené bloky agregovaných transakcí
• Každý blok obsahuje odkaz na předchozí potvrzený blok
• Potvrzování transakcí pomocí ECDSA; Hashe generovány na bázi SHA256
New Media Inspiration 2014
Zdroj:
bitcoinsecurity.com
6 © 2013 Deloitte Česká republika
BTC transakce
New Media Inspiration 2014
7 © 2013 Deloitte Česká republika
Proč se pokoušet prolomit BTC?
• Lákavý obsah – peníze (s velmi vysokou hodnotou)
• Jako fenomén jsou určitou výzvou pro hackery
• Relativně jednoduchý a bezpečný způsob zcizení (oproti vloupání do
banky)
• Regionálně neomezený (resp. minimálně omezený) přístup
• Relativně anonymní decentralizované prostředí
• Malá šance dopadení pachatele (viz statistiky)
• Méně účinná legislativa, investigativní postupy a případné tresty
• Virtuální peníze se dají nejen přemisťovat ale také kopírovat
• Bezpečnost virtuálních peněz závisí primárně na jejich koncovém
vlastníkovi (slabý článek)
• Virtuální peníze nejsou na první pohled vidět a dají se přehlédnout
New Media Inspiration 2014
8 © 2013 Deloitte Česká republika
Legislativa a regulace
• Německo uznalo BTC jako oficiální měnu (prozatím jako první)
• Thajsko BTC jako měnu zakázalo
• Norsko BTC jako měnu zakázalo
• Čína BTC jako měnu zakázalo (v důsledku její měnové politiky)
• ČNB se prozatím k BTC jako měně oficiálně nevyjádřilo
• Většina dalších zemí prozatím také ne
• Není momentálně k dispozici zákon pro regulaci digitálních měn
• Metodický pokyn MFČR o přístupu povinných osob k digitálním měnám
(z 16.9.2013)
• řeší oblast AML (boj proti praní špinavých peněz)
• týká se transakcí nad 1 000 EUR a 15 000 EUR
New Media Inspiration 2014
9 © 2013 Deloitte Česká republika
Jak je to s tou anonymitou?
New Media Inspiration 2014
Známe: hash transakce, has odchozí/příchozí peněženky, částku, poplatky, zůstatek, odchozí IP adresu
10 © 2013 Deloitte Česká republika
Chystané novinky 2014
• Zavedení vkladových BTC bankomatů
• Zavedení kamenné BTC směnárny
• Širší přijetí BTC jako platného směnného prostředku pro české e-shopy
• Nová generace aplikačních protokolů pro BTC rozšiřujících možnosti
BlockChain (SharedCoin, MasterCoin, OpenTransactions, Anonymity)
• Nová generace alternativ BTC (např. SecureCoin)
• Bezpečné fyzické peněženky (iWallet)
• Možnost napojení na bankovní síť SWIFT
Další možnosti:
• Zavedení BTC jako oficiální měny ??
• Širší legislativní podpora ??
• Zavedení pojistných modelů pro BTC ??
• Zavedení hmotné emise BTC ??
New Media Inspiration 2014
11 © 2013 Deloitte Česká republika
BitCoin jako platební prostředek?
Zdroj: www.coinmap.org
New Media Inspiration 2014
12 © 2013 Deloitte Česká republika
Pokus o hmotnou emisi – Casascius mince
• Ochrana prolomena v roce 2013 na konferenci DEFCON
• V USA již zakázáno federální vládou
New Media Inspiration 2014
Zdroj: www.casascius.com; www.codinginmysleep.com
13 © 2013 Deloitte Česká republika
BTC bankomaty
New Media Inspiration 2014
• Prozatím Bratislava - pasáž mezi ulicemi Laurinská a Gorkého
• Zatím výměna pouze Euro -> BitCoin
Zdroj: www.bitcoinnews.co.uk; www.bitcoinatm.com
14 © 2013 Deloitte Česká republika
Bezpečná peněženka –iWallet
• Biometrická ochrana
New Media Inspiration 2014
Zdroj: www.prlog.com
15 © 2013 Deloitte Česká republika
Možné útoky na BitCoin
• Prolomení transakčního schématu ECDSA (nejhorší možný scénář)
• Zcizení šifrované digitální peněženky (s různou složitostí hesla)
• Zcizení nešifrované peněženky
• Obnovení obsahu disku z vyhozeného PC nebo flash paměti
• Využití prodlev v započtení transakcí (tzv. Double spending)
• DDoS útoky (znepřístupnění online služby)
• Phishingové útoky a jiné formy sociálního inženýrství
• SQL Injection a jiné související útoky na webové aplikace
• Destrukce měny a ovlivňování těžby (tzv. Selfish mining)
• jiné
New Media Inspiration 2014
16 © 2013 Deloitte Česká republika
Další možné problémy platformy BitCoin
• Přerušení BlockChain
+ jiné následky nekompatibility ve verzích těžícího software
• Předčasné vytěžení BTC fondu
• Omezení UNIX timestamp (Year 2038 problem)
• Teoretické prolomení SHA256
• Teoretické prolomení ECDSA
New Media Inspiration 2014
17 © 2013 Deloitte Česká republika
Dimenze pohledu na bezpečnost BitCoin
Bezpečnost
transakčního
mechanismu
Bezpečnost online
služeb a úložišť BTC
Bezpečnost
lokálních BTC
peněženek
Ostatní
koncepční
problémy a
omezení
Zatím nejsou
efektivní způsoby
jak účinně
napadnout
zabezpečení
transakčního
mechanismu
BTC.
Problémy a rizika
relevantní pro jakoukoli
webovou službu. Jedná se
často o nekomerční
projekty s omezenými
zdroji, v nichž je
bezpečnost podceněna.
Nestabilita úrovně služeb.
Problémem je
nedostatečná znalost
uživatelů o principech
bezpečnosti dat. Roli
hraje i matoucí
množství nástrojů a
celková decentralizace.
Některé koncepční
nedostatky se
postupně objevují,
nicméně nemají
kritický dopad.
Regulatorní omezení
nejsou stále platná
V případě
koncepčních
problémů je
možné realizovat
nové nadstavby
nad současným
BlockChain
Bezpečnostní audity,
penetrační testy, certifikace
IT bezpečnosti, ochrana
proti známým útokům na
webové služby (skenování
zranitelností, ochrana proti
DDoS / SQLinjection / XSS
/ malware / …)
Výběr vhodné
peněženky, politiky
ochrany peněženky
(wallet management),
šifrování, zálohování,
sledování trendů IT
(zvyšování odolnosti
vůči sociálnímu
inženýrství)
Stále se objevují
nadstavby (např.
OpenTransactions,
Anonymity, atd) a
silné stránky
koncepce
řešící objevující se
nedostatky BTC.
New Media Inspiration 2014
Preventivní kroky k ochraně peněz jsou možné, korekční jsou však velmi omezené
18 © 2013 Deloitte Česká republika
Nestabilita úrovně služeb
New Media Inspiration 2014
Zdroj: www.smenarnabitcoin.cz
19 © 2013 Deloitte Česká republika
Nestabilita úrovně služeb
New Media Inspiration 2014
Zdroj: www.instawallet.org
20 © 2013 Deloitte Česká republika
Útoky na BitCoin v číslech
• Některé skutečné případy ztrát v oblasti BTC služeb:
• MyBitCoin (USA) - cca 10500 BTC
• BitFloor (USA) - cca 2500 BTC
• BitCash.cz (Česká Republika) - cca 1000 BTC
• Allinvain - cca 4500 BTC
• Bitomat.pl (Polsko) - cca 2200 BTC
• Inputs.io (Austrálie) - cca 4000 BTC
Čísla jsou pouze orientační
New Media Inspiration 2014
Zdroj: www.bitcointalk.org
21 © 2013 Deloitte Česká republika
Stačí ale i nepozornost …
New Media Inspiration 2014
Zdroj:
www.rt.com
22 © 2013 Deloitte Česká republika
Další potenciál pro rozvoj služeb BitCoin
• Bezpečnostní IT služby pro ochranu digitálních peněz a poradenství v
oblasti zabezpečení
• Forenzní služby na digitálních transakcích
• Služby obnovy přístupu do digitálních peněženek
• Registry digitálních peněženek
• Certifikované úložiště digitálních peněženek
• Daňové mechanismy
• Statistické služby a business intelligence nad digitálními penězi
New Media Inspiration 2014
23 © 2013 Deloitte Česká republika
Pár otázek na zamyšlení
• Vnímají uživatelé digitální měnu jako investiční aktivum s vysokou
hodnotou, nebo přímo jako své peníze?
• Věnují provozovatelé BitCoin služeb dostatečnou pozornost IT
bezpečnosti? (zabezpečení služeb neodpovídá řádově těm bankovním)
• Je možná dostatečná legislativní podpora pro širší nasazení digitálních
měn? (BTC není zatím všude brána jako oficiální měna)
• Existují prostředky jak pojistit své BTC, včetně pojištění odpovědnosti?
Případně jak finančně pokrýt rizika? (vytunelovaní BTC investoři své
peníze zpravidla už neuvidí)
• Je možné účinně vykazovat BTC cash flow?
• Je možné provést účinně zákonný audit na úrovni BTC platformy?
• Lze dohledat možné ilegální transakce?
New Media Inspiration 2014
Deloitte označuje jednu či více společností Deloitte Touche Tohmatsu Limited,
britské privátní společnosti s ručením omezeným zárukou, a jejích členských
firem. Každá z těchto firem představuje samostatný a nezávislý právní subjekt.
Podrobný popis právní struktury společnosti Deloitte Touche Tohmatsu Limited
a jejích členských firem je uveden na adrese www.deloitte.com/cz/onas.
© 2013 Deloitte Česká republika
Děkuji za pozornost
