Brainflayer: Софт для кражи биткоинов из вашего мозга

1867 7 Время чтения: 6 мин. Сoinspot

Истинные фанаты биткоина с давних времен считали “brain wallet” («кошелек в мозге») идеальным способом хранения криптовалюты. Суть в том, что, запомнив какую-то сложную фразу, дающую доступ к закрытому ключу кошелька, кто угодно может хранить «в своем мозге» любые суммы в цифровой валюте без необходимости хранить какие-то пароли или другие данные на компьютерах.

Однако, как выяснилось, ваш разум – на удивление уязвимое место, чтобы держать там ключ к своим крипто-запасам. Один хакер сумел разработать софт, который, по его задумке, должен это подтвердить.

В августе на хакерской конференции DefCon эксперт по безопасности по имени Райан Кастеллуччи планирует представить программу, которую он назвал Brainflayer, разработанную, чтобы взламывать «мозговые» биткоин-кошельки, позволяя хакерам заполучать хранящиеся в них биткоины. На самом деле, мудрые биткойнеры давно знали, что «мозговые» кошельки не всегда надежны, несмотря на то, что ключ к ним прячется в глубинах сознания. По словам Кастеллуччи, его программа создана для того, чтобы наглядно продемонстрировать это владельцам биткоинов и поставить точку в этом вопросе.

«Люди по-прежнему хотят использовать «мозговые» кошельки, потому что им нравится идея того, что ключ хранится у них в голове… Они не осознают, насколько это ненадежно, и многие из них в этом убедятся», — говорит Кастеллуччи, исследователь по безопасности компании White Ops. По его словам, программа, которую он планирует опубликовать в сети к моменту его выступления на конференции, будет служить предупреждением: «Лучше храните биткоины там, где к ним нельзя будет получить доступ. Я хочу убедить всех, что это не безопасно».

«Мозговые» кошельки или Brain wallets работаю так, что выбирается фраза-пароль, которая соответствует математической функции, известной как «хэш». Итоговая последовательность произвольных чисел затем используется как закрытый ключ биткоина – длинная последовательность секретных символов, дающая доступ к запасам криптовалюты на конретном биткоин-адресе. Так как та же фраза может быть в любой момент использована для генерации закрытого ключа из хэша, пользователям нет необходимости запоминать этот ключ, запомнив только фразу. Можно даже удалить закрытый ключ с компьютера, зная, что никто, даже полиция при конфискации компьютера, не сможет получить доступ к сокровищнице, запрятанной в вашей голове.

По мнению Кастеллуччи, проблема в том, что люди выбирают не настолько надежные и произвольные фразы, как им может показаться. И любой хакер в принципе может угадать миллионы фраз, конвертируя их в закрытые ключи, пробуя их на каждом из биткоин-адресов в цепочке блоков. Он говорит, что даже если владелец биткоинов думает, что выбрал по-настоящему надежную фразу-пароль, она не всегда может устоять против ресурсов, задействованных для взлома, которыми пользуются похитители в своем стремлении заполучить доступ к деньгам. «Обычный закрытый ключ слишком длинный, чтобы его можно было как-то угадать или подобрать», — говорит Кастеллуччи, — «Но если они угадают вашу фразу-пароль, они получат доступ к кошельку, потому что, на самом деле, из людей выходит довольно скверный генератор случайных чисел».

Кастеллуччи написал софт для взлома фраз-паролей для «мозговых» кошельков, который в последствие стал Brainflayer, еще в 2013 году, когда впервые прочитал о brain wallet. Он оставил программу запущенной и сканирующей биткоин-адреса на уязвимость, и отправился на пикник на несколько часов. К тому моменту как он вернулся, она нашла кошелек, на котором было 250 биткоинов – более $66000 по сегодняшнему курсу – которые мог украсть любой, у кого был аналогичный софт. Кастеллуччи тогда связался с владельцем кошелька и убедил его переместить биткоины в более надежный кошелек. Существует множество сообщений о реальных хищениях с «мозговых» кошельков. Одной из жертв стал пользователь Reddit под ником thonbrocket. Он сообщил, что злоумышленники использовали фразу из неизвестного стихотворения на языке африкаанс как фразу-пароль, и он был просто в шоке, что они смогли ее подобрать.

Кастеллуччи не сообщает, сколько именно фраз-паролей может подобрать Brainflayer на одном компьютере, об этом он расскажет на DefCon. Но он намекнул, что, если его программу запустить на ботнете из множества зараженных компьютеров, она способна подбирать сотни миллиардов фраз-паролей в секунду. В отличие от других аналогичных программ для подбора паролей, его софт оптимизирован для того, чтобы быстро генерировать биткоин-ключи и сканировать цепочку блоков, чтобы пробовать их для различных биткоин-адресов. Он использовал метод, известный как Bloom filter, чтобы наиболее эффективно проверять цепочку блоков на совпадения. Результаты здесь, конечно, не настолько быстрые, как у АНБ, которая, по данным, опубликованным Эдвардом Сноуденом, может проверять до триллиона паролей в секунду, но, тем не менее, это все равно может удивить многих из тех, кто уверен в надежности своих фраз-паролей.

Не стоит думать, что Brainflayer сильно мощнее по сравнению с аналогичным софтом, которым могут пользоваться преступники. Но, по словам основателя компании White Ops известного исследователя в области безопасности, интересующегося биткоином, Дэна Камински, суть в этом. Brainflayer разработан, чтобы показать возможные последствия и доказать всем, что их незащищенный «мозговой» кошелек можно взломать. «Райан не первый, кто написал взломщик для brain wallet», — говорит Камински, — «Но когда он его покажет, он будет последним, кто напишет такой софт, потому что он уже будет доступен всем».

Камински таким образом хочет достучаться до биткойнеров. Несмотря на проблемы с безопасностью «мозговых» кошельков, многих из тех, кто думает, что это идеальный способ хранения своих виртуальных запасов, по-прежнему привлекает эта идея. «Люди думают, что это самый надежный способ «хранения денег под матрасом». В действительности, под вашим матрасом довольно много места. А вот в голове его не так много, как кажется».

via WIRED

  • Afrikaans

    А что мешает пользоваться сгенерированными случайными парольными фразами?

    • Anon

      То, что они так же подбираются

      • Afrikaans

        Закрытый ключ тоже подбирается, и че. Кто уже массово подбирает их?

        • Anon

          Чтобы подобрать закрытый ключ тебе нужно 1000 лет и 1000 суперкомпьютеров, чтобы подобрать несколько произвольных слов такая прога. Никто не говорит что она на 100% всё ломает но тем не менее

  • Slash

    Кошельки по типу Electrum с seed’ом теперь небезопасны?

    • kkk

      будет ясно когда прогу опубликуют, пока всё просто слова…

  • Инна Рокотова

    Очень прошу у всех сограждан — кто может — финансовой помощи!
    Меня зовут Рокотова Инна,мне 30 лет,и я живу в Мытищах в Московской области —
    У меня трое детей 3 лет, 7 лет и 10 лет и фактически нет мужа — муж сидит в тюрьме из
    за того, что вступился за девушку и прогнал хулиганов — а они оказались детьми
    крупных чиновников и ему дали срок по полной…
    ,зарплата моя 14,5 тыс руб,у меня кредиты в
    5 банках и у 3-х микрофинансовых организаций — общая сумма долга 880
    тысяч рублей и сумма долга растет каждый день.Моим детям не хватает
    нормально поесть и они ходят не по сезону одетыми,коммунальные платежи
    также выросли и по ним долги на 35 тысяч рублей — я очень боюсь,что
    я останусь без квартиры и детей заберут в приют!
    Я УМОЛЯЮ ПОМОГИТЕ! НЕ ДОПУСТИТЕ, ЧТОБЫ МОИ ДЕТИ ОСТАЛИСЬ БЕЗ МАТЕРИ!
    Я ОЧЕНЬ НАДЕЮСЬ, ЧТО ВЫ НЕ ОБИДЕТЕСЬ ЕСЛИ Я ПОПРОШУ У ВАС НЕМНОГО ДЕНЕГ!
    ЭТО ОЧЕНЬ ОЧЕНЬ ВАЖНО!!!

    Данные моей карты MasterCard Альфа-банка :

    5303 3131 6320 6477

    11/21

    Мой биткоин-счет

    1DgZHjE4FmT8Lk2TjuWPJM6ReeySauKqCi

    rokotovainna@yandex.ru

Новости о цифровых валютах, финтех-трендах и финансовых инновациях

CoinSpot.io - крупнейший в рунете ресурс о цифровых валютах, финтех-трендах и финансовых инновациях. Мы рассказываем о технологиях, стартапах и предпринимателях, формирующих облик финансового мира. Венчурные инвестиции, p2p и цифровые технологии, криптовалюты, аналитика и обзоры - все, что нужно знать, чтобы быть в тренде и зарабатывать.

Полное или частичное использование материалов сайта разрешается только с письменного разрешения редакции, при этом ссылка на источник обязательна!

Подпишитесь на Email рассылку о новые статьях и важных новостях от Coinspot.io