Brain Wallet est un moyen fiable de transférer votre bitcoin vers des crackers

La Active Attackers Society vide souvent les portefeuilles virtuels quelques minutes après leur activation.


Photo: NoHoDamon

Les pirates ont retiré environ 103 000 $ des comptes Bitcoin protégés par des mesures de sécurité alternatives. C'est ce montant dont parlent les chercheurs qui ont suivi les transactions sur le réseau Bitcoin pendant plusieurs années. Et ce n'est qu'une fraction de ce qui a été enregistré. Le problème concerne les comptes protégés par des mots de passe faciles à mémoriser au lieu des longues clés cryptographiques couramment utilisées. Nous parlons des soi-disant "portefeuilles cérébraux": l'utilisateur invente un mot de passe, l'exécute via une fonction de hachage et reçoit en sortie sa clé cryptographique. Dans ce cas, vous devez vous souvenir uniquement de votre mot secret, de votre mot de passe et non de la clé elle-même. Est-ce pratique? Oui Est-ce sûr? Il s'avère que non.

Les crackers numériques ont vidé environ 900 comptes dont les utilisateurs ont utilisé les mots de passe du cerveau pour créer les clés de cryptage privées nécessaires pour retirer des fonds. Dans de nombreux cas, les comptes vulnérables ont été vidés quelques minutes, voire quelques secondes après l'activation et la fermeture d'un compte en ligne. Dans le même temps, pendant de nombreuses années, les utilisateurs de Bitcoin ont essayé de se souvenir des mots de passe, au lieu d'utiliser des clés de chiffrement, considérant cette méthode comme sûre et pratique. Les experts ont averti qu'il s'agissait d'une erreur, mais les avertissements n'ont guère aidé.

Il n'y a aucun problème pour un attaquant à pirater un compte «portefeuille de cerveau». Chez Defcon, il n'y a pas si longtemps, une technologie de craquage de portefeuilles a été démontrée, qui montrait clairement l'insécurité des mots de passe. Les comptes sans sel , mais avec des mots de passe mémorisés, ont été piratés en quelques fractions de seconde. Les attaquants ont piraté des groupes de comptes entiers en une seule fois. Dans le même temps, il convient de rappeler que les mots de passe hachés sont stockés dans des chaînes de blocs, fournissant des informations aux pirates impliqués dans le piratage.

Le problème avec cette méthode de protection est sa prévisibilité. Ainsi, les chercheurs parlent de l'utilisation fréquente d'expressions comme «dites bonjour à mon petit ami» («dites bonjour à mon petit ami»), «être ou ne pas être», «entrer dans cette pièce» ("Entrez dans cette salle"), "fête comme si c'était 1999" ("Amusez-vous comme si vous étiez en 1999"), "yohohoandabottleofrum" ("yohohoibutkylkaroma") et une phrase très simple "Arnold Schwarzenegger" ("Arnold Schwarzenegger").

Au cours d'une période d'observation de 6 ans, les chercheurs en sécurité des réseaux ont pu identifier 884 attaques de pirates réussies, ce qui a permis aux attaquants de voler 1806 bitcoins. Le coût total des crypto-monnaies au taux au moment du vol était de 103 000 $. La majeure partie du montant a été volée dans les 10 portefeuilles les plus riches. Sur la base des résultats de leurs travaux, les experts ont publié une analyse détaillée de la situation, l'ouvrage « The Bitcoin Brain Drain: A Short Paper on the Use and Abuse of Bitcoin Brain Wallets .

Pour détecter les portefeuilles cérébraux et les casser, les chercheurs ont testé environ 300 milliards de mots de passe qui étaient provenant de 20 sources, y compris le dictionnaire urbain, Wikipédia en anglais, les mots de passe divulgués de la ressource de jeu RockYou et d'autres.

Tous ces mots de passe ont été exécutés via une fonction de hachage (SHA256) pour obtenir une liste qui a déjà été testée sur de vrais portefeuilles. Dans le travail, une méthode telle que la cryptographie sur les courbes elliptiques a été utilisée . Cette méthode a été utilisée pour trouver la clé publique correspondant à chacune des clés privées. Étant donné que les chaînes de blocs contiennent des informations sur n'importe quel portefeuille réseau, les spécialistes ont pu savoir quand le mot de passe présumé a été utilisé par un véritable utilisateur du système.

Fait intéressant, parmi les crackers se trouvaient ceux qui ont rendu des fonds volés. Ainsi, les utilisateurs de Reddit Robin Hood b Little John ont rendu des fonds aux gens s'ils pouvaient prouver que le portefeuille piraté leur appartenait.

La conclusion? Une personne ne peut pas trouver un mot de passe assez fort, le «porte-monnaie» est un système vulnérable pour protéger son compte Bitcoin. Certains experts en sécurité de l'information ont mis en garde contre leur vulnérabilité auparavant, et plus d'une fois. Mais cela n'a abouti à rien. Peut-être que maintenant la situation va s'améliorer.

Source: https://habr.com/ru/post/fr390487/