Prezentace z třetího ročníku konference New Media Inspiration (http://nminspiration.cz), který se konal 8. 2. 2014 v hlavní budově FF UK pod vedením @petrkou, @simindr a @josefslerka.

1. Bezpečnostní aspekty
kryptoměny BitCoin
Vlastimil J. Vagner
New Media Inspiration 2014

2. Co je kryptoměna?
• Virtuální směnný prostředek existující pouze v digitální podobě
• Existují desítky různých kryptoměn
• BitCoin (BTC)
• LiteCoin (LTC)
• NameCoin (NMC)
• PPCoin (PPC)
• jiné
• Hodnota BTC a její další vývoj je rapidní (1 BTC = cca 19000 Kč; 3.1.2014)
• Celkový strop BTC fondu je stanoven na 21 000 000 BTC
• Má být vyčerpán v zhruba roce 2140 (většina z toho už okolo 2030)
• K dnešnímu dni bylo zpracováno cca 13 miliard dolarů v BTC transakcích
(zdroj: BlockChain)
2
New Media Inspiration 2014
© 2013 Deloitte Česká republika

3. Vývoj hodnoty BitCoin (leden 2013 – leden 2014)
Zdroj: http://www.plus500.cz/Instruments/BTCUSD
3
New Media Inspiration 2014
© 2013 Deloitte Česká republika

4. Výhody vs. Nevýhody BTC
Výhody
Nevýhody
• Vysoká finanční hodnota
• Existence bezpečnostních IT rizik
• Prozatimní absence daňového
mechanismu
• Chybějící standard certifikací
poskytovatelů BTC služeb
• „Anonymní“ obchodování
• Postupně klesající těžební křivka
• Decentralizace (nezávislost na
bankách a vládách) a omezená
možnost manipulace
• Nemožnost pojištění
• Odolnost vůči inflaci
• Silné šifrování transakčního
mechanismu
4
New Media Inspiration 2014
• Nedostatečné povědomí investorů
o možných technologických rizicích
• Skeptický přístup ze strany vlád a
národních bank
© 2013 Deloitte Česká republika

5. Koncepce zabezpečení platformy BitCoin
• BitCoin peněženku tvoří veřejný a privátní klíč
• Blockchain - zřetězené bloky agregovaných transakcí
Zdroj:
bitcoinsecurity.com
• Každý blok obsahuje odkaz na předchozí potvrzený blok
• Potvrzování transakcí pomocí ECDSA; Hashe generovány na bázi SHA256
5
New Media Inspiration 2014
© 2013 Deloitte Česká republika

6. BTC transakce
6
New Media Inspiration 2014
© 2013 Deloitte Česká republika

7. Proč se pokoušet prolomit BTC?
• Lákavý obsah – peníze (s velmi vysokou hodnotou)
• Jako fenomén jsou určitou výzvou pro hackery
• Relativně jednoduchý a bezpečný způsob zcizení (oproti vloupání do
banky)
• Regionálně neomezený (resp. minimálně omezený) přístup
• Relativně anonymní decentralizované prostředí
• Malá šance dopadení pachatele (viz statistiky)
• Méně účinná legislativa, investigativní postupy a případné tresty
• Virtuální peníze se dají nejen přemisťovat ale také kopírovat
• Bezpečnost virtuálních peněz závisí primárně na jejich koncovém
vlastníkovi (slabý článek)
• Virtuální peníze nejsou na první pohled vidět a dají se přehlédnout
7
New Media Inspiration 2014
© 2013 Deloitte Česká republika

8. Legislativa a regulace
•
•
•
•
Německo uznalo BTC jako oficiální měnu (prozatím jako první)
Thajsko BTC jako měnu zakázalo
Norsko BTC jako měnu zakázalo
Čína BTC jako měnu zakázalo (v důsledku její měnové politiky)
• ČNB se prozatím k BTC jako měně oficiálně nevyjádřilo
• Většina dalších zemí prozatím také ne
• Není momentálně k dispozici zákon pro regulaci digitálních měn
• Metodický pokyn MFČR o přístupu povinných osob k digitálním měnám
(z 16.9.2013)
• řeší oblast AML (boj proti praní špinavých peněz)
• týká se transakcí nad 1 000 EUR a 15 000 EUR
8
New Media Inspiration 2014
© 2013 Deloitte Česká republika

9. Jak je to s tou anonymitou?
Známe: hash transakce, has odchozí/příchozí peněženky, částku, poplatky, zůstatek, odchozí IP adresu
9
New Media Inspiration 2014
© 2013 Deloitte Česká republika

10. Chystané novinky 2014
•
•
•
•
Zavedení vkladových BTC bankomatů
Zavedení kamenné BTC směnárny
Širší přijetí BTC jako platného směnného prostředku pro české e-shopy
Nová generace aplikačních protokolů pro BTC rozšiřujících možnosti
BlockChain (SharedCoin, MasterCoin, OpenTransactions, Anonymity)
• Nová generace alternativ BTC (např. SecureCoin)
• Bezpečné fyzické peněženky (iWallet)
• Možnost napojení na bankovní síť SWIFT
Další možnosti:
• Zavedení BTC jako oficiální měny ??
• Širší legislativní podpora ??
• Zavedení pojistných modelů pro BTC ??
• Zavedení hmotné emise BTC ??
10
New Media Inspiration 2014
© 2013 Deloitte Česká republika

11. BitCoin jako platební prostředek?
Zdroj: www.coinmap.org
11
New Media Inspiration 2014
© 2013 Deloitte Česká republika

12. Pokus o hmotnou emisi – Casascius mince
• Ochrana prolomena v roce 2013 na konferenci DEFCON
• V USA již zakázáno federální vládou
Zdroj: www.casascius.com; www.codinginmysleep.com
12
New Media Inspiration 2014
© 2013 Deloitte Česká republika

13. BTC bankomaty
• Prozatím Bratislava - pasáž mezi ulicemi Laurinská a Gorkého
• Zatím výměna pouze Euro -> BitCoin
13
New Media Inspiration 2014
Zdroj: www.bitcoinnews.co.uk; www.bitcoinatm.com
© 2013 Deloitte Česká republika

14. Bezpečná peněženka –iWallet
• Biometrická ochrana
Zdroj: www.prlog.com
14
New Media Inspiration 2014
© 2013 Deloitte Česká republika

15. Možné útoky na BitCoin
• Prolomení transakčního schématu ECDSA (nejhorší možný scénář)
• Zcizení šifrované digitální peněženky (s různou složitostí hesla)
• Zcizení nešifrované peněženky
• Obnovení obsahu disku z vyhozeného PC nebo flash paměti
• Využití prodlev v započtení transakcí (tzv. Double spending)
• DDoS útoky (znepřístupnění online služby)
• Phishingové útoky a jiné formy sociálního inženýrství
• SQL Injection a jiné související útoky na webové aplikace
• Destrukce měny a ovlivňování těžby (tzv. Selfish mining)
• jiné
15
New Media Inspiration 2014
© 2013 Deloitte Česká republika

16. Další možné problémy platformy BitCoin
• Přerušení BlockChain
+ jiné následky nekompatibility ve verzích těžícího software
• Předčasné vytěžení BTC fondu
• Omezení UNIX timestamp (Year 2038 problem)
• Teoretické prolomení SHA256
• Teoretické prolomení ECDSA
16
New Media Inspiration 2014
© 2013 Deloitte Česká republika

17. Dimenze pohledu na bezpečnost BitCoin
Bezpečnost
transakčního
mechanismu
Bezpečnost online
služeb a úložišť BTC
Bezpečnost
lokálních BTC
peněženek
Ostatní
koncepční
problémy a
omezení




Zatím nejsou
efektivní způsoby
jak účinně
napadnout
zabezpečení
transakčního
mechanismu
BTC.
Problémy a rizika
relevantní pro jakoukoli
webovou službu. Jedná se
často o nekomerční
projekty s omezenými
zdroji, v nichž je
bezpečnost podceněna.
Nestabilita úrovně služeb.
Problémem je
nedostatečná znalost
uživatelů o principech
bezpečnosti dat. Roli
hraje i matoucí
množství nástrojů a
celková decentralizace.
Některé koncepční
nedostatky se
postupně objevují,
nicméně nemají
kritický dopad.
Regulatorní omezení
nejsou stále platná
V případě
koncepčních
problémů je
možné realizovat
nové nadstavby
nad současným
BlockChain
Bezpečnostní audity,
penetrační testy, certifikace
IT bezpečnosti, ochrana
proti známým útokům na
webové služby (skenování
zranitelností, ochrana proti
DDoS / SQLinjection / XSS
/ malware / …)
Výběr vhodné
peněženky, politiky
ochrany peněženky
(wallet management),
šifrování, zálohování,
sledování trendů IT
(zvyšování odolnosti
vůči sociálnímu
inženýrství)
Stále se objevují
nadstavby (např.
OpenTransactions,
Anonymity, atd) a
silné stránky
koncepce
řešící objevující se
nedostatky BTC.
Preventivní kroky k ochraně peněz jsou možné, korekční jsou však velmi omezené
17
New Media Inspiration 2014
© 2013 Deloitte Česká republika

18. Nestabilita úrovně služeb
Zdroj: www.smenarnabitcoin.cz
18
New Media Inspiration 2014
© 2013 Deloitte Česká republika

19. Nestabilita úrovně služeb
Zdroj: www.instawallet.org
19
New Media Inspiration 2014
© 2013 Deloitte Česká republika

20. Útoky na BitCoin v číslech
• Některé skutečné případy ztrát v oblasti BTC služeb:
• MyBitCoin (USA)
- cca 10500 BTC
• BitFloor (USA)
- cca 2500 BTC
• BitCash.cz (Česká Republika)
- cca 1000 BTC
• Allinvain
- cca 4500 BTC
• Bitomat.pl (Polsko)
- cca 2200 BTC
• Inputs.io (Austrálie)
- cca 4000 BTC
Čísla jsou pouze orientační
20
New Media Inspiration 2014
Zdroj: www.bitcointalk.org
© 2013 Deloitte Česká republika

21. Stačí ale i nepozornost …
Zdroj:
www.rt.com
21
New Media Inspiration 2014
© 2013 Deloitte Česká republika

22. Další potenciál pro rozvoj služeb BitCoin
• Bezpečnostní IT služby pro ochranu digitálních peněz a poradenství v
oblasti zabezpečení
• Forenzní služby na digitálních transakcích
• Služby obnovy přístupu do digitálních peněženek
• Registry digitálních peněženek
• Certifikované úložiště digitálních peněženek
• Daňové mechanismy
• Statistické služby a business intelligence nad digitálními penězi
22
New Media Inspiration 2014
© 2013 Deloitte Česká republika

23. Pár otázek na zamyšlení
• Vnímají uživatelé digitální měnu jako investiční aktivum s vysokou
hodnotou, nebo přímo jako své peníze?
• Věnují provozovatelé BitCoin služeb dostatečnou pozornost IT
bezpečnosti? (zabezpečení služeb neodpovídá řádově těm bankovním)
• Je možná dostatečná legislativní podpora pro širší nasazení digitálních
měn? (BTC není zatím všude brána jako oficiální měna)
• Existují prostředky jak pojistit své BTC, včetně pojištění odpovědnosti?
Případně jak finančně pokrýt rizika? (vytunelovaní BTC investoři své
peníze zpravidla už neuvidí)
• Je možné účinně vykazovat BTC cash flow?
• Je možné provést účinně zákonný audit na úrovni BTC platformy?
• Lze dohledat možné ilegální transakce?
23
New Media Inspiration 2014
© 2013 Deloitte Česká republika

24. Děkuji za pozornost
Deloitte označuje jednu či více společností Deloitte Touche Tohmatsu Limited,
britské privátní společnosti s ručením omezeným zárukou, a jejích členských
firem. Každá z těchto firem představuje samostatný a nezávislý právní subjekt.
Podrobný popis právní struktury společnosti Deloitte Touche Tohmatsu Limited
a jejích členských firem je uveden na adrese www.deloitte.com/cz/onas.
© 2013 Deloitte Česká republika