A Bitcoin biztonságosságáról – 1. rész

2011-06-29

Szerző: Vitalik Buterin
Megjelent: 2011 június 22-én, 00:41:48-kor (UTC)

A Bitcoin népszerűségi robbanása óta eltelt két hét alatt a rendszer sikeresen felkeltette a társadalom kellemetlenebb rétegeinek érdeklődését is. És nem, most nem az egyes kormányzatok által helytelenített pszichoaktív szereket áruló emberekről van szó, és még csak nem is a kelet-európai alvilágról, amely esetleg szintén felhasználhatja a rendszert a saját céljaira, hanem a feketekalapos hackerekről, akik közvetlenül a Bitcoin-felhasználókat fogták be a célkeresztjükbe. Nézzünk egy gyors áttekintést az eddigi fejleményekről:

* Felbukkant egy Bitcoin-tárcákat lopó trójai. Emellett a Bitcoin-felhasználókat is megpróbálják átverni, például egy úgynevezett “tárcaellenőrző-oldallal“, amely állítólag “ellenőrzi” az ember tárcáját, ám a valóságban egyszerűen feltölti és kiszolgáltatja azt a csalónak. Kicsit is hozzáértőbb ember számára persze ez a trükk még viccnek is gyenge, de az egyáltalán hozzá nem értő, egyszerű felhasználókra nézve (akikből idővel egyre több lesz) bizony igen komoly veszélyt jelenthet.
* Egy felhasználó számítógépe kompromittálódott, és nem kevesebb, mint 25.000 BTC-t loptak el a tárcájából.
* CSRF-sebezhetőséget találtak az MtGox weboldalán, bár ezt hamar javították is, amint felfigyelt rá a szélesebb nyilvánosság. Jelentettek továbbá egy SQL-sebezhetőséget is. E sebezhetőségek tényleges veszélyességi fokáról megoszlanak a vélemények; az MtGox szerint csak minimális kár keletkezett, míg mások azt állítják, hogy egy az egyben ellopták a Bitcoin-fiókjukat. Hasonló sebezhetőségeket fedeztek fel rengeteg más Bitcoinos oldalon is.
* Az MtGox egyik revizorának kompromittálódása révén kiszivárgott egy rengeteg felhasználónevet, mailcímet és sótlan hashelt jelszavat tartalmazó adatbázis – ami pedig azért különösen veszélyes, mert a sótlan hashelt jelszavakból sok esetben meg lehet fejteni az eredeti jelszót egy kikereső táblázattal. A kompromittált fiókok egyike ráadásul nagyon sok bitcoint tartalmazott, aminek következtében több százezer BTC került eladásra egy pillanat alatt a piacon, ennek nyomán pedig a bitcoin ára is nyomban lezuhant 0,01 USD-ra. Ebben az igen olcsó időszakban valaki sikeresen bejegyzett egy 250.000 BTC-ra szóló rendelést, majd nyomban vissza is vont annyit, amennyit az MtGox ekkor érvényes napi limitje megengedett: 643 BTC-t. Sokan kételkednek ugyan ennek az esetnek az igazságtartalmában, mások azonban már azt fejtegetik, hogy a hacker és a vásárló nagy valószínűséggel vagy egy és ugyanaz a személy volt, vagy pedig két szorosan együttműködő kolléga.
* A Tradehill beszervező-rendszerének ismeretében nem meglepő, hogy sokan végeznek agresszív térítőmunkát, szétküldve a beszervező-linkjüket az MtGox kiszivárgott adatbázisában szereplő mailcímekre. Maga a Tradehill elhatárolódott ezektől a felhasználóitól, mondván, hogy “nem támogatják a TradeHill lopott információk alapján való népszerűsítését.”
* A Ubitex véletlenül kiszivárogtatta mind a 117 felhasználójának a mailcímét, ironikus módon éppen akkor, amikor egy körlevelet küldött nekik az MtGox fenyegetettségéről; a körlevelük CC-mezőjében ugyanis látható volt az összes címzett címe.

A Technology Review szerint a Bitcoin jelenleg “egy rendkívül biztonságos valutára épülő, rendkívül veszélyes gazdaság” – amely megállapítás valóban jól is tükrözi a Bitcoin jelenlegi biztonságosságát. Mint tudvalevő, az MtGox neve eredetileg a “Magic the Gathering Online eXchange” rövidítése, és ennek megfelelően elsősorban MtG-kártyákkal kereskedtek rajta – mára azonban, a kód minimális módosításával egy 60 millió dolláros piaci tőkésítéssel rendelkező gazdaság központjává vált. A többi Bitcoin-oldal pedig, amint láthattuk, még ennél is kevésbé biztonságos.

Ne feledjük azonban, hogy a Bitcoin alig egy hónap alatt robbant be a semmiből a tech média kellős közepébe, ami pedig messze túl kevés idő ahhoz, hogy az infrastruktúrája is kellőképpen felnőhessen a mostanra már jelentősen kibővült felhasználótáborához. Ez azonban nem mentség a Bitcoin biztonsági problémáira (erről korábban is lamentáltunk már), csak egy tény, amit figyelembe kell venni. Tény azonban az is, hogy ahogy telik az idő, szélesedik a felhasználók köre és válik egyre jelentősebb tényezővé a Bitcoin a világpiacon, úgy engedheti meg magának egyre kevésbé a lazaságot biztonság terén, így a reaktív hozzáállásról is át kell állnia a proaktívra (megelőzésre). A Bitcoin-oldalak gazdáinak fel kell készülniük nem csak hackerek támadásaira, de trójaikra és szkript-sebezhetőségekre – nem is szólva a többmillió zombigépet mozgósító botnetekről és hatalmas alvilági szervezetkről (melyek egyike-másika akár ellenséges kormányzatok támogatását is élvezheti).

Fontos megjegyezni továbbá azt is, hogy maga a Bitcoin sértetlenül vészelte át a válságot. Egyesek ugyan úgy vélik, hogy a válság épp a Bitcoin rugalmatlanságát bizonyítja, mások pedig már az egész rendszer végét látják benne (a bitcoin 0,01 USD-ra zuhant értékének képe Bitcoin-ellenes cikkek sokaságát járta be igen rövid idő alatt, úgymond a valuta végzetének hírnökeként) – pedig nem szabad összemosni magát a Bitcoint az arra épülő intézményekkel. Érdemes újra végiggondolni a Technology Review megállapítását: “egy rendkívül biztonságos valutára épülő, rendkívül veszélyes gazdaság.” A gond az, hogy a bitcoin-gazdaság túlságosan is központosítottá vált, mivel a boltok árai közvetlenül az MtGox árfolyamán alapulnak, és a bitcoin elfogadott értéke is túl szorosan kötődik az árfolyamához. Remélhetőleg ez a válság meggyőzi majd a boltokat arról, hogy érdemes lenne ennél stabilabb markerekre alapozniuk az áraikat – így például több piac árainak átlagára, vagy épp mindig az éppen aktuális heti átlagra. Így maga a piac is stabilizálódhatna, és talán a bitcoin-tulajdonosok is jobban felismernék a bitcoin tényleges vásárlóerejét, amin így már nem csak amerikai dollárt, hanem konkrét termékeket és szolgáltatásokat is szívesen vásárolnának. Ezáltal semlegesíthető vagy legalábbis jelentősen mérsékelhető lenne a Bitcoin gazdaságának jelenlegi legnagyobb sebezhetősége, jelesül az MtGox-függősége is, maga a valuta pedig erősebben kerülne ki a válságból, mint amilyen valaha is volt. Egyes piacok már felismerték ezt: voltak olyan helyek, ahol a bitcoin árfolyama a válság alatt is megmaradt 12-16$ magasságában – ez pedig jól mutatja azt a tényt is, hogy Doug Casey vélekedése ellenére a bitcoin igenis stabil értékőrző. (Magát Casey-t az MtGox 0,01 USD-re zuhanó árfolyama vezette félre – ám a bitcoin értéke nem csupán a számítógépeink monitorán él, hanem a felhasználói tudatában is, és ez az, ami igazán fontos).

A Bitcoin biztonsági helyzete pedig határozottan javulóban van: már kérik a Bitcoin-tárcák kódolását és jelszavas védelmét. Lehet tárolni a bitcoinokat online számlákon, így például a MyBitcoinon vagy az InstaWalleten is, bár ez utóbbi biztonságossága még kérdéses; a MyBitcoin azonban már részletesen ismertette a biztonsági irányelveit. És lesznek még ezeknél is biztonságosabb megoldások mindazok számára, akik hajlandóak másra bízni a tárcájuk védelmét annak a biztonsága érdekében. Patrick Strateman szerint a lényeg az, hogy az embernek legyen választási lehetősége – a rendszer által felkínált régiek mellett egyre újabbak is, folyamatosan. Az MtGox és egyes más piacok is hajlandóak együttműködni a kormányokkal is a Bitcoin gazdaságának védelme érdekében, így a kriptográfiai védelem mellett (ami pedig, ezt meg kell jegyezzük, mint részleges enyhítő körülményt az MtGox számára, a hagyományos gazdaság esetében sem sokkal jobb) számíthatunk még akár hagyományosabb, szabályozás-alapú védelemre is. Ennek kapcsán fontos megjegyezni azt is, hogy bármit is csináljon maga a Bitcoin-üzlet, maguknak a bitcoin-felhasználóknak nem kell közösködniük a kormányokkal; maga a valuta ettől még mindig anonim és közel lenyomozhatatlan marad, ha a felhasználó úgy akarja. Régóta gyűlnek már az ötletek a Bitcoin biztonságosságának fokozására, és most végre elkezdenek megvalósulni is. Csak remélhetjük, hogy a Bitcoin-közösség megtanulta a leckét, és olyan új biztonsági szabványokat dolgoz ki, amivel még a hagyományos pénzvilágot is felülmúlhatja, és elejét veheti a bitcoin-lopásnak és -mosásnak is.

A következő részben a Bitcoin biztonságosságának az emberi tényezőjét vizsgáljuk meg alaposabban.

Forrás: Bitcoin Weekly

A lap szövege Creative Commons Nevezd meg! – Ne add el! – Így add tovább! 3.0 licenc alatt áll, felhasználni csak forrásmegjelöléssel, és ide mutató linkkel szabad.