Brain wallets: il paradiso degli hacker?

Dal suo lancio nel 2009, Bitcoin è di sicuro stata la cryptovaluta che ha avuto piu successo, attraendo parecchia ricerca durante gli ultimi anni. Proprio come ogni altra cryptovaluta, l’autorizzazione di trasferimenti di bitcoin da un account a un altro si basa su firme digitali ECDSA. La crescente popolarita di bitcoin, specialmente tra le persone che magari non sono cosi techno-fan o che non hanno parecchia esperienza con la crittografia ha fatto si che al giorno d’oggi esistano molti utenti che non sanno usare le loro private keys (vedere guida scritta qui su come fare nel caso non sapeste neanche voi).

Il termine Brain wallet si riferisce alle chiavi crittografiche private che sono dispoticamente derivate dalle password. Invece di gestire le proprie chiavi crittografiche mettendole su un PC o con hardware wallets, i brain wallets sono molto piu convenienti per gli user che possono spendere i loro coin semplicemente inserendo la loro password. I brain wallets inoltre non possono subire attacchi di phishing perche non tengono in modo permanente le chiavi private su un dispositivo. Pero, un brain wallet è una maniera assolutamente non sicura di tenere i propri bitcoin, visto che un hacker potrebbe indovinare la password e rubare tutti i bitcoin istantaneamente.
Un attacker che indovina una password, puo provare a vedere se coincide a quella di qualsiasi brain wallet semplicemente cercando l’utilizzo della chiave pubblica derivata sulla blockchain, dove tutte le transazioni sono segnate. Una ricerca pubblicata recentemente ha presentato la prima analisi su larga scala rispetto all’utilizzo di brain wallets tra gli utenti bitcoin. I ricercatori hanno replicato l’attacco basato sull’indovinare le password provando delle password “candidate” per vedere quelle che erano state usate sulla blockchain come indirizzi di brain wallet.

Ecco qui un riassunto della ricerca, che include risultati interessanti:

Come sono state trovate e usate le password candidate?

I ricercatori hanno costruito un gruppo gigante di password, derivate da diverse fonti online. C’erano password trovate da leaks, come il leak di Yahoo!, di Rockyou e di LinkedIn; parole e liste di frasi, includendo Wikiquote e Wikipedia; informazioni derivate dai forum di community di bitcoin, maggiormente bitcointalk.org. Insieme, circa 300 miliardi di password sono state usate per provare a indovinare i brain wallets bitcoin. Le liste di parole erano derivate da:

1) La liste delle parole inglesi che arriva con Ubuntu 12.04
2) Urban Dictionary
3) La combinazione di due parole: due parole inglesi o una parole inglese piu una parola in slang/urbana combinata con uno strumento apposito
4) WikiQuotes: frasi in inglese, russo, tedesco, e spagnolo
5) Titoli di canzoni e testi comprati da andymoore.info
6) Xkcd

Inoltre, i ricercatori hanno usato attacchi di forza bruta e hanno provato a modificare password di brain wallets che erano gia stati hackerati.

I risultati

I ricercatori hanno scoperto 884 diversi brain wallets con 845 diverse password iniziando dal lancio di bitcoin fino ad Agosto 2015. In totale, questi wallets possedevano 1806 BTC. Anche se la maggior parte di questi brain wallet avevano pochi soldi, 10 brain wallets avevano circa l’85% del totale.
Visto che l’indirizzo del brain wallet è formulato dalla password, un attacker potrebbe hackerare la password e svuotare il wallet. Pensate che appunto, 863 degli 864 wallet trovati erano gia stati svuotati dagli hacker, il che riflette la mancanza di sicurezza all’intero dei brain wallets. Il 50% dei brain wallet è stato svuotato in meno di 21 minuti, e tutti in meno di 24 ore.
Quindi, visti i dati e lo vuotamento facile dei wallet che avviene attraverso bot, pensarci due volte prima di renderci la vita meno sicura usando un brain wallet.

2 Comments

  1. Generally I do not learn post on blogs, however I wish to say
    that this write-up very forced me to check out and
    do so! Your writing style has been amazed me. Thank you, quite nice article.

  2. It’s impressive that you are getting thoughts from this
    paragraph as well as from our argument made at this place.

Leave a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*