Nova ferramenta de cracking expõe falha grave em carteiras cerebrais de Bitcoin

Um hacker white-hat lançou uma nova ferramenta projetada para ilustrar a facilidade com que agentes ilícitos podem roubar bitcoins de brainwallets, um tipo de iteração de carteira de Bitcoin onde as senhas não são armazenadas digitalmente, mas na memória do usuário.

Originalmente concebido como uma forma de KEEP dados confidenciais da carteira offline e tornar os endereços de Bitcoin mais fáceis de lembrar, a carteira cerebral foi parcialmente desfeito devido à forma como ele interage com o blockchain do Bitcoin . Um brainwallet usa uma única senha ou frase longa, converte-a em uma chave privada, uma chave pública e, finalmente, um endereço. Usando um ataque offline, é possível adivinhar rapidamente senhas potenciais para ver se estão corretas.

Uma nova pesquisa de Ryan Castellucci, pesquisador de segurança na empresa de fraude digital White Ops, indica que há uma falha importante nesse método. Ele destaca que o endereço final do Bitcoin é registrado no blockchain como um hash de senha. Quando usados ​​para autenticação de site, os hashes de senha ajudam a determinar se a palavra ou frase fornecida está correta, o que significa que esses dados podem ser usados ​​como referência para atores mal-intencionados que procuram a senha.

Lançado em 7 de agosto na DEF CON 23, uma das maiores convenções anuais de hackers do mundo, o cracker de carteira cerebral de Castellucci, chamado Brainflayer, é capaz de adivinhar 130.000 senhas por segundo. Rodando em computadores mais potentes, US$ 1 pode ser usado para verificar 560 milhões de frases-senha, de acordo com seu criador.

Quando esse poder de fogo é aplicado a senhas ASCII, aquelas construídas a partir de caracteres do teclado dos EUA, e senhas XKCD, aquelas compostas de quatro palavras comuns, Castellucci sugeriu que uma botnet poderia verificar todos os endereços de Bitcoin que já receberam fundos em um único dia.

Em uma entrevista, Castellucci tentou enfatizar que, embora a ferramenta que ele lançou possa ser usada por criminosos, ele espera que seu lançamento incentive os usuários de Bitcoin a adotar melhores práticas de segurança.

Castellucci disse ao CoinDesk:

"Você pode gritar dos telhados que algo é fraco e vulnerável, mas muitas pessoas simplesmente permanecerão em negação sem uma prova de conceito funcional. Acho que o conceito de deixar humanos escolherem suas próprias senhas e frases-senha para aplicativos de alta segurança é fundamentalmente falho."

Neste caso, porém, a apresentação de Castellucci T caiu em ouvidos moucos.

Após o lançamento,Carteira Cerebral.org, um site que usava JavaScript para gerar chaves privadas para usuários, saiu do ar. Embora outros serviços permaneçam disponíveis, o fechamento foiamplamente elogiado por membros da comunidade de segurança do Bitcoin .

Início do projeto

De acordo com Castellucci, a gênese do projeto ocorreu em meados de 2013, quando os usuários de Bitcoin começaram a relatar problemas com a segurança do brainwallet.

Na mesma época, um usuário vigilante do Reddit conhecido comobtcrobinhood começaram a roubar carteiras cerebrais, devolvendo os fundos aos seus legítimos proprietários, em um esforço para expor a vulnerabilidade da Tecnologia.

Inspirado, Castellucci criou um cracker original capaz de emitir 10.000 tentativas de senha por segundo, muito longe das capacidades do Brainflayer. Ainda assim, como ele lembra, ele foi capaz de alimentar o programa com listas de palavras simples e obter resultados poderosos.

Quando ele voltou ao seu computador, ele encontrou o protótipo que o Brainflayer havia recuperado250 BTC, então avaliado em US$ 20.000, provenientes de carteiras cerebrais quebradas.

Castellucci disse que foi colocado em uma situação ética difícil como resultado. Ele tinha duas opções – pegar alguns bitcoins como parte de um esforço para alertar o usuário da carteira de que sua segurança é vulnerável, ou tentar contatá-lo por outros meios. No final das contas, ele disse que T tinha certeza do que fazer.

"Por um tempo, eu simplesmente parei minha pesquisa", ele disse. "Eu esperava que o problema desaparecesse. Afinal, muitos especialistas estavam dizendo que as carteiras cerebrais eram ruins."

Quando o problema T desapareceu, ele decidiu retornar à pesquisa, argumentando que era sua responsabilidade revelar a vulnerabilidade para que as pessoas pudessem tomar as medidas adequadas para se KEEP protegidas.

"A ideia é que, se alguém como eu descobre um bug, faça um esforço de boa-fé para consertar o bug antes de compartilhá-lo com o mundo. Já fiz isso no passado e acho que geralmente é a abordagem correta", disse ele em uma postagem de blog recente.

Futuro da tecnologia

O problema com as carteiras cerebrais, no entanto, também ONE qualquer coisa protegida por senha, de acordo com Castellucci.

Como tal, ele sugeriu que aqueles que estão usando brainwallets considerem WarpWallets, que atualmente são considerados iterações melhoradas da ideia. Um gerador de warpwallet disponível emBase de Chaves, por exemplo, permite que os usuários nunca precisem salvar ou armazenar suas chaves privadas em lugar nenhum, desde que escolham "uma senha realmente boa".

Com WarpWallets, Castellucci disse, um "salt", ou dados aleatórios usados como entrada para funções de hash, é integrado à equação. Isso significa que se o salt de um usuário fosse seu endereço de e-mail, um ladrão em potencial precisaria saber tanto o salt quanto a senha para comprometer os fundos.

Ainda assim, Castellucci aconselha aqueles que usam essas carteiras a usarjogo de dadospara gerar senhas, um processo pelo qual as senhas são criadas por um par de dados e um gerador de números aleatórios.

"Parece ser muito, muito difícil KEEP que as pessoas escolham o nome do cachorro e a data de aniversário como senha. O Scrypt T pode salvar pessoas que usam 'P@ssw0rd'", disse ele. "Muitas pessoas pareciam pensar que uma senha longa era uma senha segura, e acho que provei que isso não é necessariamente verdade."

Achados e perdidos

Quando questionado sobre como planeja continuar seu trabalho, Castellucci disse que ainda está considerando ações de acompanhamento.

Até agora, ele considerou adicionar suporte para outras ferramentas semelhantes a brainwallet ao Brainflayer, incluindo um modo que escanearia com chaves privadas brutas. Ainda assim, ele lamenta o estresse que alcançar qualquer avanço na segurança da carteira Bitcoin pode trazer.

"Ainda temo a possibilidade de encontrar outra grande carteira cerebral", disse ele. "Fora da Criptomoeda, se você encontrasse um monte de dinheiro e T tivesse certeza de quem ele pertencia, você o entregaria à polícia e deixaria que fosse problema deles."

Esse processo ainda T funciona no ecossistema Bitcoin . Como Castellucci observou, formas online de dinheiro não têm achados e perdidos, lugares onde os fundos poderiam ser armazenados com um terceiro confiável até que pudessem ser reivindicados por seu dono.

Ainda assim, embora ele goste da ideia, ainda restam algumas perguntas:

"Quem comandaria uma coisa dessas? E quais seriam as implicações legais? Não tenho certeza."

Ver Castellucci'sapresentação completa DEF CON aqui.

Visualização de hackersvia Shutterstock