Med madrassen full av Bitcoins

PengebingeBitcoin er en form for digital verdensvaluata som har økt mye i popularitet og omtale den siste tiden. Selv om Bitcoin ikke er bundet til noen bestemt nasjonal valuta eller andre verdier, har den nok tiltro til at man kan bruke den til å betale for ekte ting i den virkelige verden. Bitcoin har derfor en reell verdi i seg selv, og dermed vil det alltids være noen som prøver å skaffe seg slike på uærlig vis.

Det er ingen tvil om at Bitcoin er et interessant konsept som benytter seg av smarte kryptografiske protokoller. I en verden med ustabil lokal valuta og dyre vekslingskurser ved handel på tvers av landegrenser er det mange fordeler med en uavhengig, desentralisert valuta. Det er likevel ikke til å stikke under en stol at Bitcoin har et noe frynsete rykte på seg, mye av dette skyldes at man som bruker opptrer anonymt, noe som er attraktivt for individer som ønsker å bruke penger på narkotika, terrorisme, online-casinoer og annen styggedom. Et konkret eksempel på det motsatte er at man kan bruke Bitcoin til å donere penger til WordPress, som er den åpne programvaren dette innlegget er skrevet og publisert med. Med andre ord, Bitcoin er også som enhver annen valuta, den kan brukes til det brukerne vil den skal brukes til.

I SINTEF er vi interessert i å se på hvor sikkert Bitcoin er i praksis. Det meste av eksisterende forskning har vært fokusert på selve protokollen og kryptografien. Mekanismene for å gjennomføre transaksjoner er blitt grundig analysert, og regnes per i dag som ganske robuste og etterpøvbare. Alle transaksjoner er offentlige og irreversible, og man kan spore de basert på brukernes offentlige nøkler og IP-adressene til maskinene som er involvert. Vår hypotese er at de største sårbarhetene i dag befinner seg på klientsiden, og at det er der det er enklest å stjele Bitcoins. Bitcoins lagres nemlig ikke i noe sentralt bankhvelv, men i klientmaskinene (laptop, mobiltelefon, o.l.) til hver enkelt bruker, noe som tilsvarer å gjemme pengene i madrassen. Spørsmålet er derfor; hvor sikkert oppbevarer du madrassen din? Ved å bryte seg inn der du lagrer din digitale lommebok kan man slette, overføre eller bruke opp dine Bitcoins, og siden valutaen er internasjonal, forsvinner verdiene raskt et sted hvor ditt lokale politikammer har lite de får gjort.

Christian Kateraas

Christian Kateraas er student ved NTNU og skriver for tiden sin hovedoppgave med tittelen Consumer security with Bitcoins fram til sommeren 2014. Per Håkon Meland ved SINTEF er veileder, og har sammen med Christian definert følgende mål for oppgaven:

  1. Lage et sett med trusselmodeller som viser hvordan man kan utføre angrep mot Bitcoins på klientsiden.
  2. Evaluere hvor lett og sannsynlig det er å gjennomføre disse angrepene.
  3. Bevise hvordan man kan stjele en digitale lommebok med en ondsinnet Bitcoin-klient (proof-of-concept).

Ved å kartlegge hvordan sårbarhetene til Bitcoin kan utnyttes vil vi være i stand til å definere sikrere løsninger for denne og andre digitale valutaer, samt informerer hvilke risikoer brukerne tar. Ta gjerne kontakt med undertegnede eller Christian (kateraas@stud.ntnu.no) dersom du ønsker mer informasjon om dette arbeidet.

Lenker til andre relevante sider: