Джеймсон Лопп: худший враг биткоин-инвестора в контексте безопасности — он сам

Несмотря на продолжающуюся депрессию на криптовалютном рынке, свидетелями которой мы стали в 2018 году, совокупная капитализация цифровых активов все еще превышает отметку в $200 млрд, крупнейшие торговые платформы ежедневно обеспечивают сделки на сотни миллионов долларов США, а институциональные инвесторы начинают аккуратно создавать необходимую для крупных игроков инфраструктуру.

Одновременно с этим мошенники продолжают проводить различные токенсейлы, заманивать в пирамидальные проекты, прикрываясь общей модой на блокчейн и цифровые деньги и скрываясь с миллионами в карманах.

Так, если некоторые рядовые пользователи и потеряли интерес к криптовалютам после неудачных вложений в декабре 2017 года, про злоумышленников разных мастей этого сказать уж никак нельзя.

Хакеры по-прежнему взламывают биржи, осуществляют DoS-атаки, подменивают DNS-сервера популярных кошельков, шантажируют и вымогают, а традиционные представители криминального мира не прочь отобрать у биткоин-инвесторов аппаратные кошельки с целыми состояниями.

Проблема безопасности сообщества остается крайне актуальной, но некоторые его представители не всегда понимают серьезность угроз, которым они подвергаются каждый день.

ForkLog пообщался с разработчиком Bitcoin Core, бывшим инженером BitGo и ведущим экспертом в сфере безопасности криптовалютных кошельков Джеймсоном Лоппом о том, как защитить не только приватные ключи пользователей, но и пользователей от самих себя, о масштабировании биткоина и значимости white paper Сатоши Накамото, а также о том, как далеко готовы зайти некоторые люди, когда на кону огромные деньги.

ForkLog: Здравствуйте, Джеймсон! Давайте поговорим о том, как вы пришли к биткоину. Что сподвигло вас перейти в новую индустрию? Какие проекты сейчас курируете?

Джеймсон: Впервые я узнал о биткоине из древней статьи на Slashdot.com, сейчас я уже и не вспомню ее название. Тогда я занимался бэкенд- и веб-разработкой и поначалу просто игнорировал криптовалюту, как в то время делали многие. Потом же я обнаружил, что биткоин не умирает вопреки моим ожиданиям и решил присмотреться к нему поближе.

Изначально я попытался купить монеты на бирже Mt.Gox, что в действительности оказалось очень сложным и запутанным процессом. Затем, в процессе экспериментов, я все-таки захотел узнать больше о том, как все это работает. Тогда уже существовала определенная техническая документация, однако ее было недостаточно для комплексного понимания функционирования низкоуровневого протокола [на аппаратном уровне].

По этой причине я осуществил форк клиента Bitcoin Core и начал собирать статистику с полной биткоин-ноды. Этот проект, который я назвал Statoshi, помог мне разобраться в принципах работы сетевых узлов. Впоследствии полные ноды стали одной из важнейших тем в дебатах о масштабировании и общей эволюции технологии блокчейн.

Через несколько лет после основания Statoshi я решил полностью перейти в биткоин-индустрию и начал работать в BitGo, где отвечал за бэкенд-инфраструктуру, функционирование и обеспечение криптовалютных нод, которые собирали данные и индексировали их для платформы электронных кошельков.

В BitGo я столкнулся со всевозможными вызовами, связанными с обеспечением нод, а также изучил принцип работы узлов в различных криптовалютных сетях. Я довольно подробно описал все это в своем блоге, и именно этот опыт определил мою позицию в дебатах о масштабировании биткоина в 2015-2016 годах.

ForkLog: Не секрет, что вы были одним из самых ярых сторонников так называемого активируемого пользователями софтфорка (UASF) прошлым летом. Тем не менее BitGo как компания поддержала Нью-Йоркское соглашение и активно продвигала хардфорк SegWit2x. Спровоцировало ли это разногласия внутри команды?

Джеймсон: О, да! Мы провели бесчисленное множество часов в спорах о правильном векторе развития. Разногласия коснулись даже менеджмента.

Я считаю, что основной проблемой Нью-Йоркского соглашения было то, что руководители и основатели компаний решили, что могут представлять интересы пользователей. Оказалось, что биткоин — это не демократия, поскольку вы можете утверждать, что представляете группу людей, которая пользуется вашими услугами, но не можете навязать им это представительство. Расстроить пользователей очень легко, после чего они восстают и уходят от вас. В этом и заключается природа инклюзивных систем.

ForkLog: Почему отменили SegWit2x? Некоторые считают, что многие сторонники увеличения размера блока увидели в Bitcoin Cash оптимальное решение. Как думаете, какова истинная причина?

Джеймсон: Я думаю, что мы никогда не узнаем всей правды. Вероятно, SegWit2x обсуждался во многих закрытых почтовых рассылках и закрытых чатах, и лично мне кажется маловероятным, что кто-либо из участников захочет слить такого рода информацию.

Тем не менее я убежден, что Bitcoin Cash существенно ослабил лагерь SegWit2x, поскольку был на порядок радикальнее. Сторонники августовского форка выступили против каких-либо лимитов на размер блока и за неограниченное ончейн-масштабирование. В этом плане SegWit2x казался компромиссом, который оставил неприятное послевкусие у обеих сторон. Кто-то может сказать, что в действительности это неплохо, поскольку в определенных кругах бытует убеждение, что хороший компромисс — когда недовольны все.

Но появление Bitcoin Cash многое изменило. Мы всегда знали, что хардфорк возможен, но никогда не сталкивались с ним прежде. Фактически это стало новой точкой фокуса для сторонников неограниченного ончейн-масштабирования, которые больше не хотели препираться со своими оппонентами, а стремились доказать жизнеспособность своей концепции и достигнуть поставленных целей.

ForkLog: Апологеты Bitcoin Cash утверждают, что ончейн-масштабирование — это изначальное видение Сатоши, а офчейн-решения являются ложными, своего рода предательством white paper. Что думаете о такой позиции?

Джеймсон: Я думаю, что это может быть правдой лишь частично, поскольку вы действительно можете отыскать записи Сатоши о поддержке больших блоков и ончейн-масштабировании, но также и его размышления об офчейн-решениях и платежных каналах. Он говорил о транзакциях, обновляющихся в частном порядке без трансляции в основной сети, еще до того, как технология была изобретена. А это фундамент платежных каналов и офчейн-масштабирования.

Более того, я считаю, что Сатоши хотел бы, чтобы биткоин развивался в разных направлениях, чтобы в итоге превратиться в глобальную валюту. По моему мнению, это главная цель сообщества, вне зависимости от позиции в вопросе масштабирования. Все мы хотим, чтобы система была доступна как можно большему количеству людей. Другое дело, что у нас разные временные рамки и видение приемлемых компромиссов.

ForkLog: Должен ли исключительно white paper определять вектор развития биткоина?

Джеймсон: White paper был написан после первой имплементации протокола на уровне кода, поэтому такая позиция кажется мне перевернутой с ног на голову. Я думаю, что в моей статье «Никто не понимает биткоин» довольно четко описано развитие технологии и определены важнейшие временные вехи.

Если посмотреть на первые несколько лет существования протокола, то становится очевидным тот факт, что Сатоши не знал всего и фактически учился в процессе. Он внес ряд изменений в протокол уже после релиза, и некоторые из них противоречили white paper, например, правило цепи с наибольшим хешрейтом.

Я не считаю, что white paper задумывался как основополагающая спецификация, от которой нельзя отклоняться. Биткоин — это полностью открытый проект, развитие которого будет органическим. Никто не может диктовать сообществу, какую именно часть white paper оно должно чтить и выполнять. Эволюция биткоина будет куда динамичнее, и никто не знает, каким он будет через 10 или 50 лет.

ForkLog: В одном из своих недавних постов вы заявили, что у вас нет доказательств, что инцидент с осадой вашего дома полицейским спецназом каким-либо образом связан с дебатами о масштабировании биткоина. Означает ли это, что вы допускаете возможность, что люди с противоположными взглядами могли зайти настолько далеко и угрожать безопасности вашей семьи?

Джеймсон: Конечно, это возможно. Я прилагаю некоторые усилия, чтобы найти тех людей, однако очень сомневаюсь, что это кому-либо удастся. Если же мы их не найдем и не спросим напрямую, то все это останется лишь на уровне предположений. Понятно, что они хотели меня напугать. Вероятно, это могло быть связано с деньгами или же моими высказываниями.

Мы стали свидетелями различных видов атак в рамках дебатах о масштабировании. Большая часть из них происходила онлайн: от простых угроз в социальных сетях до серьезных DoS-атак.

Например, в 2015 году ряд нод в сети биткоина подвергся массированной DoS-атаке. Также была совершена аналогичная атака на интернет-соединение в моем доме.

Так происходит, когда на кону большие суммы. Некоторые люди могут предпринимать очень радикальные действия.

ForkLog: Многие пользователи становятся жертвами физических нападений. Если мы не доверяем наши приватные ключи третьим сторонам, то отвечаем за их безопасность сами. И тут какая-то банда врывается в дом и принуждает нас отдать все криптовалютные средства. Может, нам все таки стоит сотрудничать с третьими сторонами в вопросе хранения ключей?

Джеймсон: Эта область все еще требует существенных улучшений. Именно поэтому я перешел работать в Casa. Я думаю, что сейчас у многих людей появились огромные криптовалютные состояния, обеспечивать безопасность которых они были совершенно не готовы.

Многие просто парализованы страхом, поскольку не хотят допустить фатальных ошибок или стать крупными целями, поэтому просто доверяют свои деньги этим новым криптовалютным банкам, поскольку считают, что группы экспертов в области кибербезопасности смогут защитить их приватные ключи лучше.

Я думаю, что существует довольно большой спрос на продукты, которые существенно упрощают процесс обеспечения безопасности для пользователя. В Casa мы предоставляем финансовые услуги, но в то же время мы не являемся банком и не контролируем ключи.

Мы прорабатываем все возможные сценарии и атаки и пытаемся применить лучшие кейсы в управлении ключами. Пользователям нужно только выполнять инструкции без необходимости изучения тысяч образовательных ресурсов.

ForkLog: Если Casa не хранит ключи, то кто же их контролирует?

Джеймсон: В нашем случае пользователь располагает четырьмя ключами из пяти, и большая их часть должна храниться на аппаратных устройствах, например, Trezor или Ledger, которые могут обеспечить высокий уровень безопасности. Но комплексная безопасность системы зависит от числа ключей и их географического расположения. Чтобы добиться большей безопасности, чем в банке, необходимо исключить единую точку отказа.

ForkLog: Означает ли это, что мне необходимо пять ключей для того, чтобы получить доступ к моим средствам?

Джеймсон: Когда пользователь создает хранилище с нашей помощью, ему необходимо три подписи из пяти. Один из ключей хранится на вашем телефоне, другой Casa держит офлайн, чтобы сохранить возможность восстановления, и еще три — на аппаратных кошельках.

Необходимо держать телефон и аппаратные устройства в разных местах, чтобы злоумышленники не могли до них добраться, но при условии, что все эти места надежно защищены от стихийных бедствий, например, пожара или потопа, которые могут уничтожить сразу несколько девайсов одновременно.

Такого уровня безопасности нельзя достичь, если использовать лишь один ключ или единое устройство. Компромисс в этой концепции заключается в том, что существенно усложняется процесс траты монет, поскольку вы сможете получить доступ к ним только преодолев потенциально большие расстояния. Это компромисс между комфортом и безопасностью.

ForkLog: По данным блокчейн-стартапа Chainalysis, почти 4 млн BTC безвозвратно утеряны. И речь не о хакерских атаках или кражах, а о банальной потере приватных ключей. Это почти 20% от эмиссии биткоина. Считаете ли вы, что пользователи — свои худшие враги?

Джеймсон: Я думаю, да. Складывается впечатление, что, помимо атак на биржи, пользователи теряют деньги просто из-за того, что у них недостаточно опыта в IT.

Даже такие технологически изощренные люди вроде меня очень часто игнорируют некоторые меры безопасности, поскольку постоянно заниматься резервным копирование и распределением бэкапов для защиты от различного вида атак крайне нудно.

Тем не менее я убежден, что аппаратные устройства обеспечивают высокий уровень безопасности, а вот процесс создания и распределения бэкапов до сих пор довольно уязвим.

ForkLog: Насколько надежными являются такие решения, как бункер Xapo в Швейцарии?

Джеймсон: Уровень безопасности таких решений кажется довольно высоким. Но компромисс предполагает доверие третьим сторонам, поскольку они выступают в роли кастодиана.

В контексте стихийных бедствий и, вероятно, даже физических нападений такие решения выглядят надежными, но вопрос в том, насколько они уязвимы к атакам изнутри. Я не знаком с их правилами, которые могут помешать сотруднику скомпрометировать приватные ключи, но считаю опасность заговора вероятным.

Одновременно с этим я убежден, что они предпринимают серьезные меры безопасности, включая мультиподпись. Однако мы не знаем этого наверняка, поэтому фактически доверяем им.

ForkLog: Мне кажется, что они используют отпечатки пальцев для предоставления доступа к приватным ключам. Что вы думаете по поводу сканирования отпечатков пальцев и использования технологии распознавания лица в контексте безопасности электронных кошельков?

Джеймсон: В целом биометрия не считается надежной мерой безопасности. Если кто-то захватит доступ к вашим биометрическим данным, последствия могут быть катастрофическими.

Я слышал, что они используют более сложные решения, например, проверку пульса в руке, которая дотрагивается до экрана. Это можно назвать неплохим усовершенствованием, однако меня больше беспокоит предполагаемая уязвимость в лице сотрудника, который может похитить данные. Даже в том случае, если один из работников физически не сможет осуществить такое, это не гарантирует, что более масштабный заговор не увенчается успехом.

ForkLog: Расскажите о проблеме социальной инженерии в контексте краж в цифровом мире.

Джеймсон: Риски здесь крайне малы, а потенциальное вознаграждение — огромное. Именно поэтому мы видим все более изощренные атаки с применением социальной инженерии.

С появлением аппаратных устройств, устойчивых к большинству физических атак, злоумышленники начали искать другие слабые места в системе. Когда вы храните криптовалютные капиталы на аппаратных девайсах, самым слабым местом являетесь именно вы и ваш разум, который можно вынудить сделать что-то не в ваших интересах.

Социальные инженеры — это своего рода взломщики разума, подбирающие нужную комбинацию слов и действий для того, чтобы заставить людей вредить самим себе.

ForkLog: Некоторые радикальные скептики убеждены, что процедура KYC/AML — это скам и атака на сущность биткоина. Что вы думаете об этом?

Джеймсон: Эта проблема больше касается вопросов приватности, но вы действительно можете рассматривать процедуру KYC/AML как потенциально опасную, поскольку как только злоумышленник определит, что конкретный адрес принадлежит вам, он с большей долей вероятности сможет отследить вашу финансовую активность.

Такая атака вероятнее на уровне государств, где правоохранители и налоговые службы пытаются идентифицировать держателей цифровых активов и вынудить их расстаться с какой-то их частью. Тем не менее нельзя сказать, что это обычный тип атаки.

По моему мнению, реальный вопрос касается нашей способности создать технологию, которая позволит приобретать биткоины на бирже с KYC-процедурой и скрывать все последующие транзакции после вывода с платформы. Я уверен, что лучшей защитой будет технология приватности, имплементированная на уровне протокола и работающая по умолчанию.

ForkLog: Каково будущее систем безопасности для приватных ключей? Объясните концепцию криптозамков.

Джеймсон: Идея заключается в том, чтобы пользователь сам превратился в банк. Мы хотим, чтобы люди могли эффективно управлять своими приватными ключами, не вдаваясь в подробности того, что происходит в технологической плоскости. В этом случае вопрос упирается в юзабилити.

Я убежден, что все решения, необходимые для защиты приватных ключей от различных атак и природных угроз, уже разработаны, а нам осталось лишь обеспечить эффективный опыт взаимодействия пользователей с ними.

Именно этим мы и занимаемся в Casa, применяя обширные знания, полученные за последние 10 лет, для разработки специального ПО, которое сможет обучить пользователей и ознакомить с самыми эффективными решениями.

Концепция криптозамков предполагает многоуровневую защиту в виде сторожевых башен (автоматические оповещения), сторожки у ворот (ПО кошелька), мостов (ликвидация простых угроз), каменных стен (мультиподпись) и рвов (физическая изоляция).

Беседовал Nick Schteringard

Источник

[ ОБСУДИТЬ НА ФОРУМЕ ]