Beveiliging Casascius munten gekraakt

on .

CASASCIUS-COINS-GEHACKED
Elk jaar tijdens de Defcon Hacking Conference gaan hackers aan de slag en houden zich bezig met het kraken van veilig gewaande systemen. Dit jaar was de fysieke bitcoin-munt van Casascius aan de beurt. Defcon-onderzoekers Stits en Datagram richtten hun vaardigheden op deze fysieke Bitcoin munt en wisten er binnen ongeveer tien minuten de privésleutel aan te ontfutselen. Maar volgens de twee hackers was het met wat oefening ook in één of twee minuten gelukt.

‘Ik heb nog nooit zo’n munt aangeraakt,’ zei Datagram,‘maar toch was het bij het eerste chemische oplosmiddel dat ik probeerde raak.’ De werkwijze van de twee hackers bestond uit het inbrengen van een injectienaald om kleine hoeveelheden ongespecificeerd en ‘ongepolariseerd oplosmiddel’ tussen de holografische veiligheidssticker en de koperen laag te injecteren. Nadat het oplosmiddel de lijm had opgelost, kon de holografische folie worden verwijderd en kwam de onderliggende privésleutel bloot te liggen. De sticker werd daarna gewoon vervangen. Stits bracht wel een tweede lijmlaag aan, want van de oorspronkelijke lijm was weinig meer over. De opnieuw gemonteerde munt had alleen maar een klein krasje aan de rand van de folie waar de naald de eerste keer was ingebracht. Maar dit spoor is gemakkelijk te verwarren met normale slijtage door contact met andere munten in bijvoorbeeld een portefeuille. Stits gaf aan dat zulke krasjes zelfs vermeden kunnen worden door de munt volledig in het oplosmiddel onder te dompelen of in een damp te zetten, zodat de folie krasloos loslaat. Natuurlijk hadden de hackers enkele suggesties om de beveiliging van nieuwe munten te verbeteren.

Kort na het hacken hing de ontwikkelaar van de munt al met het sabotageteam aan de lijn om zulke inbraken te voorkomen door bijvoorbeeld meerdere lagen holografische folie aan te brengen, de sticker in te snijden en zelfs door de plastic en koperen randen van de munt te versmelten. Het is nog onduidelijk welke stappen zullen worden ondernomen, maar dat er iets moet gebeuren is duidelijk. Welk ‘ongepolariseerd oplosmiddel’ er werd gebruikt, blijft ongenoemd, maar er zijn slechts een tiental van zulke oplosmiddelen bekend en deze zijn vrij eenvoudig te vinden. Tolueen bijvoorbeeld, dat meestal wordt verkocht als verdunner, en hexaan, een zeer algemeen oplosmiddel dat vaak in de voedingsmiddelenindustrie wordt gebruikt. Stits en Datagram gaven aan graag de duurdere, zilveren munten zouden willen uitproberen, want ze verwachten dat het zachtere en minder reactieve edelmetaal nog eenvoudiger is om mee te werken dan het goedkopere koper.

Ik zou graag wat tips willen geven aan bezitters van fysieke bitcoins om de digitale veiligheid van hun munten te garanderen, maar jammer genoeg er is er weinig advies te geven. Voor een paar euro’s en een ritje naar de doe-het-zelfzaak kan iedereen bitcoin-munten kraken. Zelfs het controleren van het saldo op het moment van aankoop biedt weinig tot geen soelaas, omdat een kwaadwillende de privésleutel kan verwijderen voordat de munt wordt opgestuurd. Eerlijkheidshalve moet wel worden gezegd dat deze inbraak werd uitgevoerd door hackers met jarenlange ervaring op het gebied van sabotagegevoelige zegels. Aan de andere kant hebben we — en in dit geval Caldwell/Casascius — ook te maken met een eenvoudig te imiteren handelswijze, waarvoor de deur nu officieel openstaat.

Het slechte nieuws is dat alle Casascius-munten in omloop nu gevaar lopen, tenzij ze rechtstreeks van Casascius worden gekocht. Het goede nieuws is natuurlijk dat het onvermijdelijke herontwerp van de bitcoin-munt ertoe zal leiden dat bestaande munten, ondanks hun gecompromitteerde waarde, zeldzaam worden en dus een hogere verzamelaarswaarde krijgen.




Bron: http://codinginmysleep.com/casascius-physical-bitcoins-cracked-at-defcon/

Add comment


Security code
Refresh