Crypto

Shellshock, Heartbleed Und Bitcoin: Warum Sicherheit Bitcoins Größte Hürde Ist

Crypto Shellshock, Heartbleed Und Bitcoin: Warum Sicherheit Bitcoins Größte Hürde Ist

The Bourne Shellshock | Tech Talk Today 65 (Dezember 2018).

Anonim

Zum zweiten Mal in diesem Jahr, Das Bewusstsein für eine massive Sicherheitslücke ist im Internet weit verbreitet und erreicht ein Ausmaß, das der Öffentlichkeit bewusst geworden ist. Im April war es "HeartBleed", eine Sicherheitslücke in der OpenSSL-Verschlüsselungssoftware, die im Internet verwendet wird. Momentan ist es "ShellShock", eine Sicherheitslücke in Bash selbst, einer Befehlszeilen-Software, die auf Maschinen mit allen Abkömmlingen von Unix, einschließlich OSX und mobilen Betriebssystemen wie Android, praktisch allgegenwärtig ist. Es ist die schlimmste und größte Sicherheitslücke in der Erinnerung. Beide Sicherheitsanfälligkeiten können unter bestimmten Umständen externen Angreifern den Zugriff auf Ihren Computer oder Ihr Telefon ermöglichen und so ziemlich alles tun, was sie wollen.

Dies hat Auswirkungen in vielen Kreisen (von der Privatsphäre - siehe den jüngsten massiven Diebstahl von Celebrity-Bildern - bis hin zu Unternehmensspionage), aber einer der dringlichsten Bereiche, die es betrifft, ist Bitcoin, und es ist wohl der größte Roadblock . Ich spreche nicht über Massenadoption: dort, die größten Probleme gibt es wahrscheinlich, wie schwierig die tatsächliche Bitcoin-Software zu verwenden ist, und das schwierige Problem der Händleradoption.

Ich spreche, aus Mangel an einem besseren und weniger dramatischen Wort, vom "Traum" von Bitcoin: die Idee, dass Bitcoin eines Tages eine Finanzwelt ermöglichen könnte, die nicht von zentralen Institutionen abhängig ist, die ihren Willen durchsetzen können Das Leben der Menschen durch sie hindurch: eine Welt, in der das Geld der Menschen kryptographisch sicher ist, vor neugierigen Blicken und diebischen Fingern verborgen. Gerade jetzt ist dieser Traum in Gefahr, denn die Computer, die wir benutzen, sind so anfällig für Hacker. Der Vorteil von zentralisierten Systemen besteht darin, dass die Moderatoren dieser Systeme eingreifen können, wenn ein Fehler gemacht wird oder ein Diebstahl auftritt, und, wenn sie das System richtig bewerten, das falsche korrigieren. Wenn Ihre Kreditkarte gestohlen wird, müssen Sie sich nicht wirklich viel Sorgen machen über den Verlust Ihrer Ersparnisse. Das Gleiche gilt nicht für Bitcoin und andere Kryptowährungen. Weil das System dezentralisiert ist, gibt es niemanden, der Ihre Bitten hört und Ihre Fehler korrigiert. Bitcoin ist eine Währung ohne Leitplanken, keine zweiten Chancen. Wenn Sie den Dezimalpunkt falsch eingeben oder die Adresse falsch eingeben und versehentlich $ 300, 000 an die falsche Adresse senden, haben Sie einfach kein Glück.

Das Problem, Ihre Ersparnisse aus Versehen zu verschenken, kann wahrscheinlich durch besseren Schutz in der Endbenutzer-Software gelöst werden, aber das Problem des Diebstahls ist weitaus schädlicher. Einige Probleme, wie zum Beispiel Leute, die Brain Wallets mit erratbaren Passwörtern erzeugen, können durch Aufklärung gelöst werden, aber wie ShellShock beweist, sind die Computer, die wir routinemäßig benutzen, bodenlose Albträume von Sicherheitslücken.

Ein Freund von mir, einst ein Hacker und Computer-Sicherheitsexperte, wurde fast von seiner Universität ausgeschlossen, weil er bei einer Computer-Sicherheits-Herausforderung für einen Kurs so tiefen Zugang zu dem System hatte, auf dem er lief setze jeden Grad auf unendlich.Derselbe Freund hat sich selbst amüsiert, indem er Open-Source-Videospiel-Software durchforstete und offene Sicherheitslücken ausfindig machte. Eine dieser Schwachstellen war ein ungeschützter Schreibpuffer in einem Open-Source-DOOM-Client. Nachdem er den Fehler gemeldet hatte, verbrachte er mehrere Monate damit, sich zu amüsieren, indem er die Kontrolle über verschiedene DOOM-Server im Internet übernahm und Dungeon Master spielte (indem er Monster, die nicht im Spiel waren, hervorbrachte, willkürlich Waffen verteilte und die Karten veränderte), bis die Schwachstelle schließlich war Fest.

Das ist natürlich ziemlich gutartig, aber der gruselige Teil ist, dass diese Art von Hacking mit der richtigen Ausbildung nicht besonders schwer ist - mein Freund ist ungewöhnlich talentiert, aber es gibt Tausende von Menschen auf der Welt, die das können Ich habe diesen Fehler gefunden und ausgenutzt, wenn er danach gesucht hat, und diese Exploits (einschließlich extrem schwerwiegender wie HeartBleed und ShellShock) existieren in jeder Software, die es gibt. Wenn ein talentierter Hacker Zugriff auf Ihr Telefon oder Ihren Computer haben möchte, können Sie sicher sein, dass er sie erhalten kann. Selbst wenn ein bestimmter virtueller Angreifer fehlt, wenn Sie eine kompromittierte Anwendung ausführen (möglicherweise in der Hoffnung, einen kostenlosen Bildschirmschoner zu erhalten), kann Ihr Computer von Malware übernommen werden. Kein weitverbreitetes Betriebssystem sichert den Arbeitsspeicher sicher, was bedeutet, dass ein Programm frei mit anderen Aspekten des Systems interagieren und Zugriff auf Ressourcen erhalten kann, die es nicht haben sollte. Es genügt ein Fehler und ein anonymer Hacker kann vollständigen Zugriff auf Ihren Computer erhalten. Es gibt bereits Bitcoin-stehlende Malware, und dieses Problem wird nur noch schlimmer werden, wenn mehr und mehr Leute anfangen, Bitcoin zu verwenden. Sobald das Stehlen von Bitcoins für Malware-Autoren profitabler ist als das Senden von Spam, haben wir ein echtes Problem.

Was kann dagegen getan werden? Ein Teil der Antwort ist Multi-Signatur-Kryptographie, wie die von BitPay implementierte CoPay-Software. Wenn sowohl Ihr PC als auch Ihr Telefon eine große Transaktion durchführen müssen, schützt es Sie zumindest davor, von einer zufälligen Malware abgezockt zu werden: Ein Angreifer, der Zugang zu beiden hat, will Sie wahrscheinlich gerade ausrauben, was ein viel engere und weniger furchterregende Bedrohung. Es ist jedoch nicht perfekt. Auf lange Sicht ist es wahrscheinlich sinnvoll, kleine dedizierte Hardwaregeräte mit unbekannter, nachweisbar sicherer Firmware zu bauen, die mit dem zweiten Schlüssel Ihres Zwei-Faktor-Authentifizierungsschemas vertraut werden kann - ein zweites Hardwaregerät, das Sie mit sich herumtragen können was Sie beweisen können, ist vertrauenswürdig. Ein anderes, weniger wahrscheinliches Szenario, auf das ich trotzdem hoffe, ist, dass der Aufstieg von Bitcoin und die ersten hochkarätigen Diebstähle das Bewusstsein für die Computersicherheit erhöhen werden, und es könnte zum ersten Mal von der breiten Öffentlichkeit ernst genommen werden Es hat sich herausgestellt, dass einige der klaffenden Brustwunden im modernen Betriebssystem gepatcht werden müssen.

Zumindest die meisten Leute - zumindest Leute, die sich nicht um den Traum kümmern - verwenden lieber zentralisierte Lösungen, die auf Bitcoin basieren und die dieselben Vorteile bieten wie eine traditionelle Bank .Fürs Erste, zumindest, Bitcoin "Web-Wallets" (genauer gesagt "Bitcoin-Banken", obwohl sie es vorziehen, nicht so genannt zu werden), sind wahrscheinlich die Zukunft für alle außer dem tollsten libertären Kontingent von Bitcoin-Nutzern. Gerade jetzt sind Hacker eine größere Bedrohung für die durchschnittliche Person als die verschiedenen Sünden der (zumindest der ersten Welt) Regierungen. Wenn der Traum von Bitcoin Wirklichkeit wird, muss sich das ändern.

Beliebte Beiträge