Paweł Goleń, blog

Oczywiście jest to "teoria spiskowa", której nie należy traktować poważnie. Raczej jest to pewnego rodzaju eksperyment myślowy. A więc do dzieła.

Co jest główną cechą Bitcoin? Anonimowość? Nie. Bitcoin nie jest anonimowy. Jest to dobrze opisane na stronie projektu Zerocoin:

The Bitcoin payment network offers a highly decentralized mechanism for creating and transferring electronic cash around the world. Unfortunately, Bitcoin suffers from a major limitation: since transactions are stored in a public ledger (called the “block chain”) it may be possible to trace the history of any given payment — even years after the fact. Worse, since the Bitcoin ledger is public, any party can recover this information and data mine to identify users and patterns in the transactions. In other words: Bitcoin transactions are conducted in public.

Alternatywnie polecam lekturę tego wpisu: Zerocoin: making Bitcoin anonymous. I tak, ten wpis został opublikowany w roku 2013 co sprawia, że czuję się staro.

Na początku swojej kariery zawodowej miałem przyjemność pracować w departamencie bezpieczeństwa jednego z banków. Departament ten zajmował się wieloma różnymi ciekawymi rzeczami, IT wcale nie było główną i najbardziej istotną domeną. Istotne było również bezpieczeństwo fizyczne (oddzielne historie) czy pranie brudnych pieniędzy. I właśnie tutaj ciekawym doświadczeniem było podpatrywanie pracy osób zajmujących się tematem "przeciwdziałania praniu brudnych pieniędzy" korzystających z narzędzi do wizualizacji powiązań między kontami i przepływów pieniędzy.

I teraz wiele lat później coraz częściej można usłyszeć o wynikach analizy transaction ledger, często z Chainanalysis w tle. Koncepcyjnie praktycznie to samo, co kiedyś. Z jedną różnicą - zasięg jest globalny.

W ramach ciekawostek - można też o takich śledztwach poczytać w książce TRACERS IN THE DARK: The Global Hunt for the Crime Lords of Cryptocurrency albo posłuchać tutaj: EP 131: WELCOME TO VIDEO.

No więc kim jest Satoshi Nakamoto? Może to ONI stworzyli Bitcoina i przekonali ludzi, że Bitcoin jest czymś (w sensie - oferuje coś), czym w rzeczywistości nie jest. Potem cierpliwie czekali, a teraz...

Abstrakcja? Pewnie tak, ale hej - co z Dual_EC_DRBG? ;)

Tak czytam sobie Notice of Recent Security Incident i mam dziwne przebłyski z przeszłości. Mniej więcej 10 lat temu (konkretnie, w 2011 roku) LastPass również informowało o potencjalnym incydencie. W efekcie powstał wpis Najpierw miało być o LastPass, a potem mnie poniosło.

Wiele się zmieniło od czasu powstania tamtego wpisu, choćby to:

To further increase the security of your master password, LastPass utilizes a stronger-than-typical implementation of 100,100 iterations of the Password-Based Key Derivation Function (PBKDF2), a password-strengthening algorithm that makes it difficult to guess your master password. You can check the current number of PBKDF2 iterations for your LastPass account here.

Nie zmienia to jednak mojej rezerwy odnośnie modelu LassPass. Nie chodzi mi nawet o sam fakt przechowywania zaszyfrowanych baz haseł w chmurze. Boli mnie natomiast możliwość wprowadzenia niewielkich modyfikacji do kodu LastPass, które w efekcie mogą spowodować wyciek masterpassword. Cytując samego siebie:

Z perspektywy ZŁEGO zdecydowanie bardziej efektywnym sposobem uzyskania dostępu do danych użytkowników byłoby wprowadzenie delikatnej zmiany w kodzie (np. aplikacji internetowej) tak, by hasło użytkownika jednak było przesyłane na serwer.

A uzupełniając fragment "a nie mówiłem", to zwracam uwagę, że teraz również główną słabością (potencjalną) są hasła użytkowników. Bo AES-256 to jedno, a i tak wszystko sprowadza się do klucza bo...

(...) Sam algorytm to nie wszystko, ważny jest jeszcze jego klucz i sposób, w jaki został uzyskany...

13 lat temu pisałem, że encoding musi być dostosowany do kontekstu, w którym dane mają być użyte: Znaj swój kontekst. Dokładnie to samo można przeczytać w OWASP Cross Site Scripting Prevention Cheat Sheet. I co? I dalej można spotkać się z sytuacjami, gdy ktoś uważa, że jedna magiczna funkcja problem XSS rozwiązuje raz i na zawsze, w każdym możliwym przypadku. I oczywiście w dalszym ciągu przychodzą Źli Ludzie™ i pokazują, jak bardzo się ktoś myli...

Nie, nie taka "hokus pokus", również nie taka "niewytłumaczalna". Raczej zjawisko, którego wystąpienia się nie spodziewałem. Takie z gatunku tych, kiedy to WiFi działa, albo nie działa, albo jeszcze dawniejszych czasów studiów, gdy problem z niestabilnym połączeniem sieciowym został ostatecznie rozwiązany przesuwając kable sieciowe dalej od wysłużonej lodówki. No i nie tak zaskakujący, jak mordercze moce Rhythm Nation.

Ostatnio postanowiłem dokształcić się z Kubernetes. Dla większej motywacji nabyłem ODROID-C4, na którym zamierzam postawić microk8s. Tak, wiem. Niepotrzebnie, można korzystać albo z jakiegoś sandboxa, albo nawet postawić VM z taką konfiguracją (co zresztą już mam). Ale mnie taka inwestycja motywuje :)

A po co mi to? Z ciekawości. I z tego powodu, że tutaj jest steep learning curve. Jakiś czas temu wpadłem na pomysł, by "pobawić" się Dockerem i to było raczej proste. W tym sensie, że dość łatwo było mi zrozumieć co, jak i dlaczego. W tej chwili mój DYI Smart Home działa na Docker Swarm, choć akurat z trybu Swarm wykorzystuję tylko overlay network. Podejście / logika w Kubernetes jest jednak mocno inna i na razie mam mgliste pojęcie, jak osiągnąć to samo.

I znowu, mam tak dziwnie, że najlepiej uczę się, przez reverse engineering, więc mam niejasne wrażenie, że istotnym krokiem będzie przekonwertowanie mojego docker-compose przy użyciu Kompose.