Bezpečnostní aspekty kryptoměny BitCoin Vlastimil J. Vagner New Media Inspiration 2014
Co je kryptoměna? Virtuální směnný prostředek existující pouze v digitální podobě Existují desítky různých kryptoměn BitCoin (BTC) LiteCoin (LTC) NameCoin (NMC) PPCoin (PPC) jiné Hodnota BTC a její další vývoj je rapidní (1 BTC = cca 19000 Kč; 3.1.2014) Celkový strop BTC fondu je stanoven na 21 000 000 BTC Má být vyčerpán v zhruba roce 2140 (většina z toho už okolo 2030) K dnešnímu dni bylo zpracováno cca 13 miliard dolarů v BTC transakcích (zdroj: BlockChain) 2 New Media Inspiration 2014
Vývoj hodnoty BitCoin (leden 2013 leden 2014) Zdroj: http://www.plus500.cz/instruments/btcusd 3 New Media Inspiration 2014
Výhody vs. Nevýhody BTC Výhody Vysoká finanční hodnota Prozatimní absence daňového mechanismu Anonymní obchodování Decentralizace (nezávislost na bankách a vládách) a omezená možnost manipulace Odolnost vůči inflaci Silné šifrování transakčního mechanismu Nevýhody Existence bezpečnostních IT rizik Chybějící standard certifikací poskytovatelů BTC služeb Postupně klesající těžební křivka Nemožnost pojištění Nedostatečné povědomí investorů o možných technologických rizicích Skeptický přístup ze strany vlád a národních bank 4 New Media Inspiration 2014
Koncepce zabezpečení platformy BitCoin BitCoin peněženku tvoří veřejný a privátní klíč Blockchain - zřetězené bloky agregovaných transakcí Zdroj: bitcoinsecurity.com Každý blok obsahuje odkaz na předchozí potvrzený blok Potvrzování transakcí pomocí ECDSA; Hashe generovány na bázi SHA256 5 New Media Inspiration 2014
BTC transakce 6 New Media Inspiration 2014
Proč se pokoušet prolomit BTC? Lákavý obsah peníze (s velmi vysokou hodnotou) Jako fenomén jsou určitou výzvou pro hackery Relativně jednoduchý a bezpečný způsob zcizení (oproti vloupání do banky) Regionálně neomezený (resp. minimálně omezený) přístup Relativně anonymní decentralizované prostředí Malá šance dopadení pachatele (viz statistiky) Méně účinná legislativa, investigativní postupy a případné tresty Virtuální peníze se dají nejen přemisťovat ale také kopírovat Bezpečnost virtuálních peněz závisí primárně na jejich koncovém vlastníkovi (slabý článek) Virtuální peníze nejsou na první pohled vidět a dají se přehlédnout 7 New Media Inspiration 2014
Legislativa a regulace Německo uznalo BTC jako oficiální měnu (prozatím jako první) Thajsko BTC jako měnu zakázalo Norsko BTC jako měnu zakázalo Čína BTC jako měnu zakázalo (v důsledku její měnové politiky) ČNB se prozatím k BTC jako měně oficiálně nevyjádřilo Většina dalších zemí prozatím také ne Není momentálně k dispozici zákon pro regulaci digitálních měn Metodický pokyn MFČR o přístupu povinných osob k digitálním měnám (z 16.9.2013) řeší oblast AML (boj proti praní špinavých peněz) týká se transakcí nad 1 000 EUR a 15 000 EUR 8 New Media Inspiration 2014
Jak je to s tou anonymitou? Známe: hash transakce, has odchozí/příchozí peněženky, částku, poplatky, zůstatek, odchozí IP adresu 9 New Media Inspiration 2014
Chystané novinky 2014 Zavedení vkladových BTC bankomatů Zavedení kamenné BTC směnárny Širší přijetí BTC jako platného směnného prostředku pro české e-shopy Nová generace aplikačních protokolů pro BTC rozšiřujících možnosti BlockChain (SharedCoin, MasterCoin, OpenTransactions, Anonymity) Nová generace alternativ BTC (např. SecureCoin) Bezpečné fyzické peněženky (iwallet) Možnost napojení na bankovní síť SWIFT Další možnosti: Zavedení BTC jako oficiální měny?? Širší legislativní podpora?? Zavedení pojistných modelů pro BTC?? Zavedení hmotné emise BTC?? 10 New Media Inspiration 2014
BitCoin jako platební prostředek? Zdroj: www.coinmap.org 11 New Media Inspiration 2014
Pokus o hmotnou emisi Casascius mince Ochrana prolomena v roce 2013 na konferenci DEFCON V USA již zakázáno federální vládou Zdroj: www.casascius.com; www.codinginmysleep.com 12 New Media Inspiration 2014
BTC bankomaty Prozatím Bratislava - pasáž mezi ulicemi Laurinská a Gorkého Zatím výměna pouze Euro -> BitCoin Zdroj: www.bitcoinnews.co.uk; www.bitcoinatm.com 13 New Media Inspiration 2014
Bezpečná peněženka iwallet Biometrická ochrana Zdroj: www.prlog.com 14 New Media Inspiration 2014
Možné útoky na BitCoin Prolomení transakčního schématu ECDSA (nejhorší možný scénář) Zcizení šifrované digitální peněženky (s různou složitostí hesla) Zcizení nešifrované peněženky Obnovení obsahu disku z vyhozeného PC nebo flash paměti Využití prodlev v započtení transakcí (tzv. Double spending) DDoS útoky (znepřístupnění online služby) Phishingové útoky a jiné formy sociálního inženýrství SQL Injection a jiné související útoky na webové aplikace Destrukce měny a ovlivňování těžby (tzv. Selfish mining) jiné 15 New Media Inspiration 2014
Další možné problémy platformy BitCoin Přerušení BlockChain + jiné následky nekompatibility ve verzích těžícího software Předčasné vytěžení BTC fondu Omezení UNIX timestamp (Year 2038 problem) Teoretické prolomení SHA256 Teoretické prolomení ECDSA 16 New Media Inspiration 2014
Dimenze pohledu na bezpečnost BitCoin Bezpečnost transakčního mechanismu Bezpečnost online služeb a úložišť BTC Bezpečnost lokálních BTC peněženek Ostatní koncepční problémy a omezení Zatím nejsou efektivní způsoby jak účinně napadnout zabezpečení transakčního mechanismu BTC. V případě koncepčních problémů je možné realizovat nové nadstavby nad současným BlockChain Problémy a rizika relevantní pro jakoukoli webovou službu. Jedná se často o nekomerční projekty s omezenými zdroji, v nichž je bezpečnost podceněna. Nestabilita úrovně služeb. Bezpečnostní audity, penetrační testy, certifikace IT bezpečnosti, ochrana proti známým útokům na webové služby (skenování zranitelností, ochrana proti DDoS / SQLinjection / XSS / malware / ) Problémem je nedostatečná znalost uživatelů o principech bezpečnosti dat. Roli hraje i matoucí množství nástrojů a celková decentralizace. Výběr vhodné peněženky, politiky ochrany peněženky (wallet management), šifrování, zálohování, sledování trendů IT (zvyšování odolnosti vůči sociálnímu inženýrství) Některé koncepční nedostatky se postupně objevují, nicméně nemají kritický dopad. Regulatorní omezení nejsou stále platná Stále se objevují nadstavby (např. OpenTransactions, Anonymity, atd) a silné stránky koncepce řešící objevující se nedostatky BTC. Preventivní kroky k ochraně peněz jsou možné, korekční jsou však velmi omezené 17 New Media Inspiration 2014
Nestabilita úrovně služeb Zdroj: www.smenarnabitcoin.cz 18 New Media Inspiration 2014
Nestabilita úrovně služeb Zdroj: www.instawallet.org 19 New Media Inspiration 2014
Útoky na BitCoin v číslech Některé skutečné případy ztrát v oblasti BTC služeb: MyBitCoin (USA) - cca 10500 BTC BitFloor (USA) - cca 2500 BTC BitCash.cz (Česká Republika) - cca 1000 BTC Allinvain - cca 4500 BTC Bitomat.pl (Polsko) - cca 2200 BTC Inputs.io (Austrálie) - cca 4000 BTC Čísla jsou pouze orientační Zdroj: www.bitcointalk.org 20 New Media Inspiration 2014
Stačí ale i nepozornost Zdroj: www.rt.com 21 New Media Inspiration 2014
Další potenciál pro rozvoj služeb BitCoin Bezpečnostní IT služby pro ochranu digitálních peněz a poradenství v oblasti zabezpečení Forenzní služby na digitálních transakcích Služby obnovy přístupu do digitálních peněženek Registry digitálních peněženek Certifikované úložiště digitálních peněženek Daňové mechanismy Statistické služby a business intelligence nad digitálními penězi 22 New Media Inspiration 2014
Pár otázek na zamyšlení Vnímají uživatelé digitální měnu jako investiční aktivum s vysokou hodnotou, nebo přímo jako své peníze? Věnují provozovatelé BitCoin služeb dostatečnou pozornost IT bezpečnosti? (zabezpečení služeb neodpovídá řádově těm bankovním) Je možná dostatečná legislativní podpora pro širší nasazení digitálních měn? (BTC není zatím všude brána jako oficiální měna) Existují prostředky jak pojistit své BTC, včetně pojištění odpovědnosti? Případně jak finančně pokrýt rizika? (vytunelovaní BTC investoři své peníze zpravidla už neuvidí) Je možné účinně vykazovat BTC cash flow? Je možné provést účinně zákonný audit na úrovni BTC platformy? Lze dohledat možné ilegální transakce? 23 New Media Inspiration 2014
Děkuji za pozornost Deloitte označuje jednu či více společností Deloitte Touche Tohmatsu Limited, britské privátní společnosti s ručením omezeným zárukou, a jejích členských firem. Každá z těchto firem představuje samostatný a nezávislý právní subjekt. Podrobný popis právní struktury společnosti Deloitte Touche Tohmatsu Limited a jejích členských firem je uveden na adrese www.deloitte.com/cz/onas.