11.05.2014 | 20:59

Adam Haertle

Bitcoin jako niestandardowe narzędzie wykrywania włamań

Wyobraźcie sobie narzędzie wykrywania włamań, które nie obciąża procesora, jego wdrożenie trwa ułamek sekundy, jest kompatybilne z każdą platformą i nie naraża użytkownika na dodatkowe ryzyko. Niemożliwe? A co powiecie na portfel z BTC?

Pomysł użycia portfela z bitcoinami jako narzędzia służącego do wykrycia włamania przewijał się już wiele razy w dyskusjach, ale dopiero dzisiaj natrafiliśmy na serwis, umożliwiający jego łatwe wdrożenie.

Przedmiot pożądania cyberprzestępców

Nie bez powodu bitcoin i jego liczni krewni zyskali sobie miano „kleptowaluty”. Względna anonimowość i duża łatwość obrotu sprawiły, że kryptowaluty stanowią łakomy kąsek dla włamywaczy. Serwisy obracające tymi walutami są celem wyrafinowanych ataków, przejęte serwery wykorzystywane są do ich produkcji a botnety polują na pliki portfeli popularnych walut. Zamiast załamywać nad tym ręce twórcy serwisu Bitcoin Vigil postanowili wykorzystać tę cechę bitcoina jako kluczowy element mechanizmu wykrywania włamań.

W standardowym kliencie bitcoina plik wallet.dat używany jest do przechowywania kluczy prywatnych portfela, służących do autoryzacji transakcji. Wejście w posiadanie niezaszyfrowanego pliku umożliwia jego nowemu właścicielowi przelanie całego salda na dowolny inny rachunek. Pierwszy koń trojański, polujący na plik wallet.dat, pojawił się już w czerwcu 2011 roku (i prawdopodobnie był polskiego autorstwa). Obecnie duża część złośliwego oprogramowania infekującego komputery użytkowników automatycznie kradnie pliki portfeli popularnych kryptowalut i przekazuje je przestępcom. Rozwiązanie twórców Bitcoin Vigil opiera się zatem na prostym koncepcie – jeśli umieścimy na swoim dysku niezaszyfrowany portfel BTC z niewielką ilością waluty (np. 0,002 BTC), jest całkiem prawdopodobne, ze w razie infekcji skusi on przestępców. Mimo niezbyt cennej zawartości łatwość jej kradzieży i niska wykrywalność zwiększają szansę, że złodziej przeleje zawartość portfela na swoje konto. Ta operacja, dzięki jawności rejestru transakcji, może zostać wykryta w ciągu kilku minut, stanowiąc wyraźny sygnał, że ktoś uzyskał dostęp do naszych plików. Bitcoin Vigil oferuje zarówno pomoc w stworzeniu portfela BTC jak i monitoring transakcji oraz powiadomienia emailem oraz SMSem o wykryciu podejrzanego przelewu.

Logo serwisu Bitcoin Vigil

Logo serwisu Bitcoin Vigil

Mnóstwo zalet

Proponowane rozwiązanie ma kilka niezaprzeczalnych zalet. Po pierwsze plik, stanowiący przynętę, jest całkowicie niezależny od platformy. Można go z taką samą skutecznością użyć w systemach z rodziny Windows, rozwiązaniach linuksowych czy chociażby na telefonie z Androidem. Co więcej, jest to rozwiązanie, które z racji swojego charakteru nie wymaga specjalnej instalacji (lub wdrożenia platformy sprzętowej) i można je stosować bez obaw o stabilność zarówno rozwiązań prywatnych jak i firmowych. Rozwiązanie to nie powoduje także, w przeciwieństwie do wielu innych patentów, żadnego obciążenia systemu.

Istotną zaleta rozwiązania jest także brak występowania błędów pierwszego rodzaju – oznacza to, że gdy otrzymamy wiadomość o opróżnieniu naszego portfela – pułapki, to możemy być pewni, że coś się dzieje. Niestety nie ma róży bez kolców – w tym rozwiązaniu występują błędy drugiego rodzaju, czyli ryzyko, że włamywacz, nie chcąc ujawniać swojej obecności, nie tknie naszego portfela. Z tego względu nie rekomendujemy stosowania tego pomysłu jako jedynego wskaźnika włamania, jednak jego zerowy koszt i łatwość wdrożenia czynią z niego idealnego kandydata na metodę uzupełniającą pozostałe rozwiązania.

Inne podobne pomysły

Idea wykrywania włamania na podstawie wypłynięcia podstawionych danych nie jest nowa. Pomysły analogiczne do powyższego pojawiały się już przed wynalezieniem bitcoina (cofając się chociażby do znaczonych banknotów w sejfie). Jednym z nich jest np. umieszczenie w bazie użytkowników konta o pozornie interesujących uprawnieniach (np. administratora) o w miarę łatwym do złamania haśle, na które nikt nigdy nie będzie się logował. Każde udane logowanie może być ostrzeżeniem o potencjalnym wycieku informacji. Można także w bazie umieścić niemożliwy do złamania skrót hasła, a następnie regularnie sprawdzać, czy prośba o pomoc w jego złamaniu nie pojawiła się gdzieś w sieci. Jeden z popularnych komunikatorów korzysta także z fałszywych kont użytkowników, których jedynym zadaniem jest wychwytywanie prób rozsyłania masowego spamu i automatyczne blokowanie kont spamerów. Może Wy także macie pomysły, jak podobne rozwiązania wdrożyć w praktyce?

Powrót

Komentarze

  • 2014.05.11 21:57 Andrzej

    hmmmm, czy do tego potrzeba aż specjalnego serwisu?
    W jakimkolwiek portfelu generujemy parę kluczy, na adres przelewamy przynętę (np 1 zł w btc), a klucz prywatny kopiujemy i wklejamy otwartym textem do jakiegoś notatnika w komputerze, smartfonie.

    Taki kanarek w kopalni powie nam o jakimś wirusie kradnącym btc lub inne krypto, ale nie poinformuje, że mamy zainfekowany sprzęt programem czytającym hasła czy wyrządzającym inne szkody

    Odpowiedz
    • 2014.05.11 22:15 Adam

      A blockchain monitorujesz notepadem? :)

      Odpowiedz
  • 2014.05.11 22:42 Andrzej

    Zobacz jakie ciekawe rzeczy dzieją się w mrocznych podziemiach sieci;-)
    To jest adres wygenerowany w aplikacji brainwallet:
    https://blockchain.info/address/1Bqu66VWXyne2nKkd8YwqgFQSSYMY1sUgT

    Słowo Anna
    Zwróć uwagę na czas, 2 sekundy i bity skradzione

    Odpowiedz
    • 2014.05.11 23:03 Adam

      Nie wątpię że proste brainwallety są dobrze obstawione i to już od dawna :)

      Odpowiedz
  • 2014.05.12 09:25 JackN

    Fajny pomysł, natomiast pytanie jak często ktoś przejmuje maszynę, żeby czyścić portfel? Stosunkowo rzadko moim zdaniem. Co w przypadku, gdy włamanie polega tylko na podłączeniu do botnetu / instalowaniu keyloggera / kradzież haseł z przeglądarki?

    Szczególnie, gdy mówimy o włamaniach, które są dokonywane przez automatyczne narzędzia, powyższy pomysł ma raczej znikome zastosowanie.

    Odpowiedz
    • 2014.05.12 09:48 dfvgnjk

      2 way auth?

      Odpowiedz
      • 2014.05.12 10:59 Adam

        Jakoś przy kontach bankowych przestępcy sobie poradzili.

        Odpowiedz
    • 2014.05.12 10:59 Adam

      Jeśli botmaster tylko przejmuje hasła a nie portfele BTC to jakiś starodawny jest.

      Odpowiedz
  • 2014.05.12 11:52 Andrzej

    miałem kiedyś przez dwa tygodnie chyba privkeya otwartym textem w poście na fejsie wklejony. Konto fejsowe było całkowicie zamknięte dla publiki. Ale oczywiście boty fejsa czy NSA widzą wszystko.
    I bity nie zginęły.
    Chyba powtórzę doświadczenie raz jeszcze. I niech leżą aż coś jednak je zwinie
    :-)

    Odpowiedz
  • 2014.05.12 11:56 MrMgr

    Wyliczam dla swoich haseł MD5, 3XMD5, SHA.. itp w popularnych metodach wykorzystywanych przez systemy CMS takie jak WordPress, Joomla, SMB itp. Po czym ustawiamy sobie w google alert gdy zostanie taki hash zindeksowany. Oczywiście miarą dobrego hasła jest względna pewność że taki hash nie został policzony. Hash’y NIE dla naszych haseł NIE generujemy ONLINE bo na 99% zostaną w jakiejś lewej bazie hash-hasło.

    Odpowiedz
    • 2014.05.14 14:54 JackN

      Na co ten Google Alert ustawiasz? Tej części nie zrozumiałem :)

      Odpowiedz
      • 2014.05.16 22:42 heh

        Na hash hasła, który może być kiedyś zindeksowany przez Google.

        Odpowiedz
    • 2014.05.21 16:55 sumimasen

      Jak ten Google Alert działa? Chyba nie podajesz im hashy swoich haseł?

      Odpowiedz
  • 2014.05.21 20:28 dzie

    Adamie, dzie jesteś ?! przeczytałem całą łikendową

    Nie no, dobra, to nie ja od tego wymuszonego” coming outu”, lecz na serio: kiedy można sie spodziewać czegoś nowego? :) pozdrawiam twórców.

    Odpowiedz
  • 2014.05.23 15:04 Adam

    Tęsknimy za kolejnymi artykułami. :)

    Odpowiedz
    • 2014.05.25 21:32 1sts1

      popieram ! :)

      Odpowiedz
    • 2014.05.25 22:23 Dominik

      Od jakiegoś czasu Adam chyba nie ma czasu albo po prostu zapuścił tą stronę.
      A my przecież czekamy na kolejne artykuły!!!!

      Co powiecie na taką inicjatywę że sami piszemy artykuły na z3s w komentarzach?
      Wtedy nigdy ich nie zabraknie bo zawsze ktoś coś tam napisze.

      Odpowiedz
      • 2014.05.28 10:56 Marcin Rybak

        Z artykułami zapraszamy do działu „Kontakt”, z przyjemnością opublikujemy wasze opracowania.
        Jeśli tylko ktoś z was ma nadmiar wolnego czasu, chęci i trochę systematyczności, to z chęcią przygarniemy takie zbłąkane dusze do grona autorów.

        Odpowiedz
  • 2014.05.25 13:59 adi

    Super ten wasz portal. 1 artykul raz na 2 tygodnie. Szkoda ….

    Odpowiedz
  • 2014.05.26 22:13 adi

    Ta. Strona zapuszczona.

    Odpowiedz

Zostaw odpowiedź do Andrzej

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Bitcoin jako niestandardowe narzędzie wykrywania włamań

Komentarze