A fehér hacker létrehozott egy eszközt a bitcoin pénztárcákkal való összeütközéshez
Egyszerű mondanivaló egy összetett kifejezés lehetővé teszi a felhasználó számára, hogy több millió dolláros digitális készpénzt tartson a fejében, anélkül, hogy rekordokat kellene tárolnia a számítógépen.
Azonban kiderül, hogy az elme meglepően sebezhető hely, és nem nehéz megtalálni a kulcsa titkosítási eszközeinek kulcsát.
Egy interjúban Castellucci kívánta hangsúlyozni, hogy bár ő hozta létre a szerszámot lehet használni a bűnözők, azt reméli, hogy a kutatást ösztönözni fogja Bitcoin felhasználók számára a keresést a legjobb biztonsági módszerek, hogy megvédjék a megtakarítások.
A tetőről sikolhat, hogy valaki gyenge és kiszolgáltatott, de sokan egyszerűen tagadják mindent anélkül, hogy a koncepció bizonyítéka lenne. Úgy gondolom, hogy a koncepció, amely lehetővé teszi az emberek számára, hogy saját jelszavakat és kifejezéseket válasszanak a nagy teljesítményű alkalmazások számára, alapvetően rossz megközelítés a biztonság terén.
A projekt megkezdése
A példával inspirálva, Castellucci létrehozta az eredeti Brainflayer cracker programot, amely 10 000 jelszót adhat ki, minden lehetséges változatot előrevetítve.
Amikor visszatért a számítógépéhez, amelyen a program futott, 250 MTC-t már eltávolított valaki más pénztárcájáról a Brainwallet technológia sebezhetősége miatt.
Castellucci nehéz helyzetbe került. Két lehetősége volt: több BTC-t bevonni kutatásaiért, és figyelmeztetni a mobiltárcában lévő felhasználókat, hogy biztonságuk veszélyben van, vagy más eszközökkel próbálja meg felvenni velük a kapcsolatot. Végül sikerült felvennie a kapcsolatot a tulajdonosával, és meggyőzte róla, hogy a bitcoinokat biztonságosabb pénztárcába helyezze.
"Egy darabig csak abbahagytam a kutatást," mondta. "Reméltem, hogy a probléma el fog tűnni, mert sok szakértő azt mondta, hogy az agysövénynek sok sebezhetősége van."
Amikor a probléma nem tűnt el, úgy döntött, hogy visszatér a kutatáshoz, azzal érvelve, hogy az ő felelőssége a sebezhetőség felfedése annak érdekében, hogy a felhasználók megtegyék a megfelelő intézkedéseket és javítsák biztonságuk szintjét.
Castellucci nemrég írt a blogon:
Az ötlet az, hogy ha valaki, mint én, hibát észlel, akkor valamilyen erőfeszítést kell tennie, és meg kell vizsgálnia, mielőtt elmondja a közösséget. A múltban ezt tettem, és szerintem ez a helyes megközelítés.
A technológia jövője
Azt is javasolta, hogy azok, akik használják az agyhártyát, fontolják meg ennek az ötletnek a jobb végrehajtását - a WarpWalletet.
Mindazonáltal Castellucci azt tanácsolja azoknak, akik pénztárcákat használnak az agyfalon, hogy véletlen számok és szimbólumok készletét alkalmazzák. Még jobb, használja a diceware, a folyamatot, amellyel a jelszavakat egy pár véletlenszám-generátor segítségével hozzák létre.
Tényleg nagyon nehéz, hogy az embereket a kutya becenevének és születésnapjának jelszavaként válasszák meg. Nincs script, amely mentheti azokat az embereket, akik "P @ ssw0rd" -t használnak. Sok felhasználó úgy gondolta, hogy a hosszú kifejezés jelszóként teljesen biztonságos. Bizonyítottam azonban, hogy ez nem mindig igaz.
Castellucci nem mondta pontosan, hogy hány kulcsfontosságú mondatot találhat a Brainflayer egy számítógépen. De azt állítja, hogy ha a programja egy botnet-ben indul, akkor ez a szám közel százmilliárd kulcsszóhoz fordulhat másodpercenként. Sőt, azt mondja, hogy az PassPhrase program optimalizálva van a Bitcoin kulcsok gyors generálásához és a blokk beolvasásához.
A blokk leghatékonyabb beolvasásához és ellenőrzéséhez a Bloom szűrővel ismeretes. Eredménye eddig nem érte el a billió kulcsszavakat másodpercenként, ahogy Snowden korábban figyelmeztetett, ami az NSA eredményeit tette. Ez azonban meglephet sok embert, akik úgy vélik, hogy kulcsfontosságú mondatai biztonságban vannak.
Elveszett és talált irodában
Amikor megkérdezték, hogyan kívánja folytatni munkáját, Castellucci azt mondta, hogy még mindig a következő tanulmányok tervezése folyamatban van. Új eszközökkel dolgozik az agyhártyán, mint a Brainflayerben. Beleértve ez egy olyan mód, amely "rossz" magánkulcsokat fog keresni.
De eddig több kérdésre, mint a válaszokra:
Ki kezeli ezeket a sebezhetőségeket?
És milyen jogi következményekkel járhat a fehér hackerek, amelyek megpróbálják megakadályozni a jövőbeni hackerelést?