NMI14 Vlastimil Vagner - Bezpečnostní aspekty kryptoměny BitCoin

353 views

Published on

Prezentace z třetího ročníku konference New Media Inspiration (http://nminspiration.cz), který se konal 8. 2. 2014 v hlavní budově FF UK pod vedením @petrkou, @simindr a @josefslerka.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
353
On SlideShare
0
From Embeds
0
Number of Embeds
17
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

NMI14 Vlastimil Vagner - Bezpečnostní aspekty kryptoměny BitCoin

  1. 1. Bezpečnostní aspekty kryptoměny BitCoin Vlastimil J. Vagner New Media Inspiration 2014
  2. 2. Co je kryptoměna? • Virtuální směnný prostředek existující pouze v digitální podobě • Existují desítky různých kryptoměn • BitCoin (BTC) • LiteCoin (LTC) • NameCoin (NMC) • PPCoin (PPC) • jiné • Hodnota BTC a její další vývoj je rapidní (1 BTC = cca 19000 Kč; 3.1.2014) • Celkový strop BTC fondu je stanoven na 21 000 000 BTC • Má být vyčerpán v zhruba roce 2140 (většina z toho už okolo 2030) • K dnešnímu dni bylo zpracováno cca 13 miliard dolarů v BTC transakcích (zdroj: BlockChain) 2 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  3. 3. Vývoj hodnoty BitCoin (leden 2013 – leden 2014) Zdroj: http://www.plus500.cz/Instruments/BTCUSD 3 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  4. 4. Výhody vs. Nevýhody BTC Výhody Nevýhody • Vysoká finanční hodnota • Existence bezpečnostních IT rizik • Prozatimní absence daňového mechanismu • Chybějící standard certifikací poskytovatelů BTC služeb • „Anonymní“ obchodování • Postupně klesající těžební křivka • Decentralizace (nezávislost na bankách a vládách) a omezená možnost manipulace • Nemožnost pojištění • Odolnost vůči inflaci • Silné šifrování transakčního mechanismu 4 New Media Inspiration 2014 • Nedostatečné povědomí investorů o možných technologických rizicích • Skeptický přístup ze strany vlád a národních bank © 2013 Deloitte Česká republika
  5. 5. Koncepce zabezpečení platformy BitCoin • BitCoin peněženku tvoří veřejný a privátní klíč • Blockchain - zřetězené bloky agregovaných transakcí Zdroj: bitcoinsecurity.com • Každý blok obsahuje odkaz na předchozí potvrzený blok • Potvrzování transakcí pomocí ECDSA; Hashe generovány na bázi SHA256 5 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  6. 6. BTC transakce 6 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  7. 7. Proč se pokoušet prolomit BTC? • Lákavý obsah – peníze (s velmi vysokou hodnotou) • Jako fenomén jsou určitou výzvou pro hackery • Relativně jednoduchý a bezpečný způsob zcizení (oproti vloupání do banky) • Regionálně neomezený (resp. minimálně omezený) přístup • Relativně anonymní decentralizované prostředí • Malá šance dopadení pachatele (viz statistiky) • Méně účinná legislativa, investigativní postupy a případné tresty • Virtuální peníze se dají nejen přemisťovat ale také kopírovat • Bezpečnost virtuálních peněz závisí primárně na jejich koncovém vlastníkovi (slabý článek) • Virtuální peníze nejsou na první pohled vidět a dají se přehlédnout 7 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  8. 8. Legislativa a regulace • • • • Německo uznalo BTC jako oficiální měnu (prozatím jako první) Thajsko BTC jako měnu zakázalo Norsko BTC jako měnu zakázalo Čína BTC jako měnu zakázalo (v důsledku její měnové politiky) • ČNB se prozatím k BTC jako měně oficiálně nevyjádřilo • Většina dalších zemí prozatím také ne • Není momentálně k dispozici zákon pro regulaci digitálních měn • Metodický pokyn MFČR o přístupu povinných osob k digitálním měnám (z 16.9.2013) • řeší oblast AML (boj proti praní špinavých peněz) • týká se transakcí nad 1 000 EUR a 15 000 EUR 8 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  9. 9. Jak je to s tou anonymitou? Známe: hash transakce, has odchozí/příchozí peněženky, částku, poplatky, zůstatek, odchozí IP adresu 9 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  10. 10. Chystané novinky 2014 • • • • Zavedení vkladových BTC bankomatů Zavedení kamenné BTC směnárny Širší přijetí BTC jako platného směnného prostředku pro české e-shopy Nová generace aplikačních protokolů pro BTC rozšiřujících možnosti BlockChain (SharedCoin, MasterCoin, OpenTransactions, Anonymity) • Nová generace alternativ BTC (např. SecureCoin) • Bezpečné fyzické peněženky (iWallet) • Možnost napojení na bankovní síť SWIFT Další možnosti: • Zavedení BTC jako oficiální měny ?? • Širší legislativní podpora ?? • Zavedení pojistných modelů pro BTC ?? • Zavedení hmotné emise BTC ?? 10 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  11. 11. BitCoin jako platební prostředek? Zdroj: www.coinmap.org 11 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  12. 12. Pokus o hmotnou emisi – Casascius mince • Ochrana prolomena v roce 2013 na konferenci DEFCON • V USA již zakázáno federální vládou Zdroj: www.casascius.com; www.codinginmysleep.com 12 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  13. 13. BTC bankomaty • Prozatím Bratislava - pasáž mezi ulicemi Laurinská a Gorkého • Zatím výměna pouze Euro -> BitCoin 13 New Media Inspiration 2014 Zdroj: www.bitcoinnews.co.uk; www.bitcoinatm.com © 2013 Deloitte Česká republika
  14. 14. Bezpečná peněženka –iWallet • Biometrická ochrana Zdroj: www.prlog.com 14 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  15. 15. Možné útoky na BitCoin • Prolomení transakčního schématu ECDSA (nejhorší možný scénář) • Zcizení šifrované digitální peněženky (s různou složitostí hesla) • Zcizení nešifrované peněženky • Obnovení obsahu disku z vyhozeného PC nebo flash paměti • Využití prodlev v započtení transakcí (tzv. Double spending) • DDoS útoky (znepřístupnění online služby) • Phishingové útoky a jiné formy sociálního inženýrství • SQL Injection a jiné související útoky na webové aplikace • Destrukce měny a ovlivňování těžby (tzv. Selfish mining) • jiné 15 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  16. 16. Další možné problémy platformy BitCoin • Přerušení BlockChain + jiné následky nekompatibility ve verzích těžícího software • Předčasné vytěžení BTC fondu • Omezení UNIX timestamp (Year 2038 problem) • Teoretické prolomení SHA256 • Teoretické prolomení ECDSA 16 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  17. 17. Dimenze pohledu na bezpečnost BitCoin Bezpečnost transakčního mechanismu Bezpečnost online služeb a úložišť BTC Bezpečnost lokálních BTC peněženek Ostatní koncepční problémy a omezení     Zatím nejsou efektivní způsoby jak účinně napadnout zabezpečení transakčního mechanismu BTC. Problémy a rizika relevantní pro jakoukoli webovou službu. Jedná se často o nekomerční projekty s omezenými zdroji, v nichž je bezpečnost podceněna. Nestabilita úrovně služeb. Problémem je nedostatečná znalost uživatelů o principech bezpečnosti dat. Roli hraje i matoucí množství nástrojů a celková decentralizace. Některé koncepční nedostatky se postupně objevují, nicméně nemají kritický dopad. Regulatorní omezení nejsou stále platná V případě koncepčních problémů je možné realizovat nové nadstavby nad současným BlockChain Bezpečnostní audity, penetrační testy, certifikace IT bezpečnosti, ochrana proti známým útokům na webové služby (skenování zranitelností, ochrana proti DDoS / SQLinjection / XSS / malware / …) Výběr vhodné peněženky, politiky ochrany peněženky (wallet management), šifrování, zálohování, sledování trendů IT (zvyšování odolnosti vůči sociálnímu inženýrství) Stále se objevují nadstavby (např. OpenTransactions, Anonymity, atd) a silné stránky koncepce řešící objevující se nedostatky BTC. Preventivní kroky k ochraně peněz jsou možné, korekční jsou však velmi omezené 17 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  18. 18. Nestabilita úrovně služeb Zdroj: www.smenarnabitcoin.cz 18 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  19. 19. Nestabilita úrovně služeb Zdroj: www.instawallet.org 19 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  20. 20. Útoky na BitCoin v číslech • Některé skutečné případy ztrát v oblasti BTC služeb: • MyBitCoin (USA) - cca 10500 BTC • BitFloor (USA) - cca 2500 BTC • BitCash.cz (Česká Republika) - cca 1000 BTC • Allinvain  - cca 4500  BTC • Bitomat.pl (Polsko) - cca 2200 BTC • Inputs.io (Austrálie) - cca 4000 BTC Čísla jsou pouze orientační 20 New Media Inspiration 2014 Zdroj: www.bitcointalk.org © 2013 Deloitte Česká republika
  21. 21. Stačí ale i nepozornost … Zdroj: www.rt.com 21 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  22. 22. Další potenciál pro rozvoj služeb BitCoin • Bezpečnostní IT služby pro ochranu digitálních peněz a poradenství v oblasti zabezpečení • Forenzní služby na digitálních transakcích • Služby obnovy přístupu do digitálních peněženek • Registry digitálních peněženek • Certifikované úložiště digitálních peněženek • Daňové mechanismy • Statistické služby a business intelligence nad digitálními penězi 22 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  23. 23. Pár otázek na zamyšlení • Vnímají uživatelé digitální měnu jako investiční aktivum s vysokou hodnotou, nebo přímo jako své peníze? • Věnují provozovatelé BitCoin služeb dostatečnou pozornost IT bezpečnosti? (zabezpečení služeb neodpovídá řádově těm bankovním) • Je možná dostatečná legislativní podpora pro širší nasazení digitálních měn? (BTC není zatím všude brána jako oficiální měna) • Existují prostředky jak pojistit své BTC, včetně pojištění odpovědnosti? Případně jak finančně pokrýt rizika? (vytunelovaní BTC investoři své peníze zpravidla už neuvidí) • Je možné účinně vykazovat BTC cash flow? • Je možné provést účinně zákonný audit na úrovni BTC platformy? • Lze dohledat možné ilegální transakce? 23 New Media Inspiration 2014 © 2013 Deloitte Česká republika
  24. 24. Děkuji za pozornost Deloitte označuje jednu či více společností Deloitte Touche Tohmatsu Limited, britské privátní společnosti s ručením omezeným zárukou, a jejích členských firem. Každá z těchto firem představuje samostatný a nezávislý právní subjekt. Podrobný popis právní struktury společnosti Deloitte Touche Tohmatsu Limited a jejích členských firem je uveden na adrese www.deloitte.com/cz/onas. © 2013 Deloitte Česká republika

×