Jó vagy rossz dolog a névtelen kiberpénz?

2012-01-21

Szerző: Alan Woodward

Önmagában az online pénz nem újdonság. A dotcom-robbanás óta többen is próbáltak már nem-hagyományos online fizetési szolgáltatásokat létrehozni és beindítani. Azok azonban, amelyek ténylegesen fenn is maradtak ezek közül, így vagy úgy azért általában kötődnek valamilyen formában a hagyományos, valós világbeli fizetési módszerekhez – a PayPal például a hitelkártyákhoz és/vagy a bankszámlákhoz. Csak egy absztrakciós szintet épít rá a banki rendszerekre, csökkentve így annak a veszélyét, hogy valaki kívülről megszerezhesse az ember bank- vagy hitelkártya-adatait a tranzakciói lebonyolítása közben.

Újabban azonban olyan online fizetőszolgáltatások is felbukkantak, amelyek igyekeznek a lehető legteljesebb névtelenséget biztosítani a felhasználóiknak. Míg például a PayPal esetében a rendvédelmi szervek szükség esetén lenyomozhatnák az egyes tranzakciókat, vissza a felhasználó fiókján keresztül annak a bankszámlájáig és a személyes adataiig, addig ezek az új pénzmozgatási megoldások igyekeznek teljesen elszigetelni az embert bármiféle nyomozati tevékenységtől. Több ilyen szolgáltatás is ismeretes:

1.) eCache: egy, a Tor hálózatán működő névtelen bank.
2.) Bitcoin: egy decentralizált, P2P digitális pénz.
3.) Pecunix: egy névtelen, digitális aranypénz.

Aki csak egy kicsit is ismeri a Tor hálózatát, az tudja, hogyan őrzik meg a felhasználóik online ténykedéseinek a titkait. A fentiek közül azonban a legjobban mégis a Bitcoin aggasztja egy ideje a kiberbiztonság szakértőit. Miért? Nos, természetesen a nem tisztességes felhasználói miatt. Egyes, magukat egyebek mellett a Twitteren is reklámozó oldalak például lopott (de legalábbis érvényes) hitelkártyaadatokat kínálnak eladásra bitcoinért.

Egy korábbi írásomban ejtettem már szót a kiberbűnözők információértékesítő üzletágáról, amelynek ráadásul egyre jobban terebélyesedik a “piaca”, és amely több igen erőteljes kibertámadás megvalósítását is lehetővé tette. A hitelkártya-, személyes- és más “kézenfekvő” adatok azonban csak a jéghegy csúcsa; az igazán nagy üzletet különböző programok és operációs rendszerek ún. “zero day”, vagyis addig még nem ismert, frissen felfedezett és kiaknázható sebezhetőségei, biztonsági rései jelentik. Ha egy hacker sikeresen felfedez egy ilyet, úgy akár több százezer dollár ellenében is értékesítheti az azzal kapcsolatos információit.

Visszatérve a bitcoinra, ennek is megvan a maga szabályos váltási árfolyama a hagyományos pénzekhez viszonyítva, így az egyes tranzakciók áttekintésével megállapíthatjuk, hogy pontosan mennyit is érnek ezek a “zero day”-sebezhetőségek a kiberbűnözőknek – és másoknak, mivel nem csak bűnözők élnek ezekkel az információkkal. A 2010-es év elhíresült Stuxnetje (iráni atomlétesítményeket támadó izraeli katonai vírus) például nem kevesebb, mint 20 ilyen sebezhetőséget aknázott ki. Feltételezhetjük, hogy ennek a 20-nak is csak egy bizonyos hányadát fedezték fel maguk a Stuxnet alkotói, míg a többit ők is úgy vették.

A névtelen bankrendszerek nyilvános kulcsú kriptográfiára épülnek, de az igazi erejüket a “vak aláírások” adják. Megjegyzésre érdemes, hogy ez alapvetően egy P2P-folyamat, és hogy egy bizalomhálózat kialakulására épül. A vak aláírások egyik legegyszerűbb formáját az RSA vak aláírás jelenti. Ahogy azonban azt sejthetjük is, ezt már sikeresen megtámadták, így azóta számos újabb, robusztusabb algoritmust is kifejlesztettek már – és fejlesztenek jelenleg is, folyamatosan. De miért? Miért fejlesztenek olyan algoritmusokat, amelyek ilyen könnyen biztosíthatják az online tranzakciók névtelenségét? Nos, azért, mert nem kizárólag bűnös ügyletekhez van szükség névtelen tranzakciókra, hanem például online szavazáshoz is. Márpedig ilyen helyzetben én sem feltétlenül örülnék neki, ha a rendszergazda pontosan tudhatná rólam és mindenki másról is, hogy ki kire (vagy mire) szavazott.

Megjegyzésre érdemes továbbá az is, hogy a fizikai bankrendszernek is van egy-két eszköze a pénz regisztrálatlan továbbítására, így ez még csak nem is tekinthető az online világ kivételes lehetőségének. Talán a legismertebb ezek közül a követelési jogot tartalmazó, a bemutatóra szóló értékpapír. És persze a legtöbb esetben a közönséges készpénz is lenyomozhatatlan. Ezzel együtt persze az is igaz, hogy a törvényhozásnak általában megvannak a megfelelő eszközei arra, hogy kellőképpen elvegye az emberek kedvét az ilyesféle névtelen megoldások nagy összegek átadására való használatától.

Előbb vagy utóbb persze a virtuális pénzt át kell konvertálni valamilyen hagyományosra ahhoz, hogy a valós világbeli tranzakciókban is hasznát vehessük – és ez a sarkalatos pontja a dolognak. Ezeknek az új online pénzeknek is ugyanolyan az árfolyama, mint az összes többié – vagyis, az értékük erősen függ attól, hogy bármely adott pillanatban épp mennyire bíznak benne a piacok és a befektők. Míg például a Bitcoin igen erősen indított, utána igen nagyot is zuhant, és csak nemrégiben kezdett újra erősödni.

Jelen téma kapcsán tehát a két nagy kérdés a következő:

1.) Valóban kellene-e létezniük egyáltalán ilyen virtuális, névtelen pénzeknek?
2.) Vajon végül teljesen aláássa-e majd őket a bizalomhiány?

Gyanítom, hogy az egyre fokozódó kiberbűnözés egyre inkább felveti majd ezeket a kérdéseket, és az elkövetkező év során jó eséllyel meg is változtathatja a rájuk jelenleg adott válaszaidat is.

Forrás: Professor Alan Woodward – Department of Computing

A lap szövege Creative Commons Nevezd meg! – Ne add el! – Így add tovább! 3.0 licenc alatt áll, felhasználni csak forrásmegjelöléssel, és ide mutató linkkel szabad.