Блокчейн, общедоступный журнал всех биткойн-транзакций, не только обеспечивает стабильность самой популярной в мире криптовалюты, но и имеет множество других полезных способов применения: от децентрализованного хранилища данных до очень гибкой почтовой системы. Однако его можно использовать и с более зловещими целями.На конференции Black Hat Asia Кристиан Карам (Christian Karam) из Интерпола отметил, что блокчейн можно использовать для хранения механизмов управления вредоносным ПО или для обеспечения доступа к запрещенному контенту, такому как детская порнография. Удалить такие закладки будет неимоверно сложно.

В подтверждение сделанного заявления Виталий Камлюк (Vitaly Kamluk) из Kaspersky Lab, который в настоящее время проходит стажировку в Интерполе, создал ПО, которое для выполнения потенциально вредоносных задач принимает информацию с контролируемого хакером биткойн-адреса (уникальный идентификатор владельца криптовалюты) и хеш транзакции (зашифрованное представление транзакции). Демонстрационное приложение подключается к биткойн-сети, запрашивает определенные данные блокчейна у биткойн-адреса, содержащего потенциально вредоносную информацию, и находит в данных сведения о транзакции, извлекая блоки кода, сохраненные как идентификаторы биткойн-кошельков получателей. После этого блоки объединяются и код запускается.

Злоумышленник может использовать такие приемы для создания загружаемого по сети вредоносного кода, ворующего данные с компьютера жертвы или записывающего пароли, набираемые на клавиатуре. Демонстрационное приложение принимает команды от хакерского инструментария Metasploit, и исследователи отмечают, что такие атаки возможны в любой другой криптовалютной среде, основанной на блокчейне.

Исследователи загрузили в блокчейн данные, чтобы продемонстрировать потенциальный вектор атак

Корнем проблемы является возможность «загрязнения» блокчейна информацией, не имеющей отношения к транзакциям. Есть много разных способов добавления произвольных данных в блокчейн. Несмотря на то, что многие считают возможность такого «раздувания» блокчейна его недостатком, эта функция была реализована умышленно. Именно она позволяет службам вроде PayStamper добавлять в блокчейн данные — в случае PayStamper это информация о транзакциях покупателей. К худу или к добру, но как только информация оказалась в блокчейне, по текущим правилам Биткойна она остается там навсегда, отметил Камлюк.

Уже появлялись сообщения о том, что такие возможности могут быть использованы преступниками. Так, в прошлом году в блокчейн была загружена сигнатура знаменитого вируса Stoned, хотя это не представляет какой-либо очевидной угрозы для пользователей.

Ранее в этом году ученые из Ньюкаслского университета представили «Зомбикойн» — механизм управления ботнетом, позволяющий отправлять команды вредоносному ПО, работающему в биткойн-сети. Для отправки сообщений своим ботам они использовали функцию OP RETURN, которая позволяет пользователям Биткойна вставлять в транзакции до 40 байтов данных. Этого «более чем достаточно для встраивания большинства команд ботнету, которые обычно представляют собой наборы инструкций», сказано в их работе. Ученые также использовали некоторые «скрытые каналы» в подписях, пересылаемых по сети.
Используя эти приемы, ученые смогли успешно отдать ботам целый ряд команд, в том числе приказали им собрать и отправить обратно в главную систему ботнета зашифрованные снимки экранов. Они утверждают, что любые попытки удалить из блокчейна «плохие» данные или ввести какую-либо регуляцию блокчейна отрицательно скажутся на криптовалюте, потому что такие сценарии использования в ней не предусмотрены.

«Мы считаем, что это направление привлекательно для ботмастеров и что они могут попытаться использовать его в ближайшем будущем… Биткойн — идеальная среда для распространения средств управления ботнетами», — сказано в исследовательской статье.

«Важнее всего то, что управляющие коммуникации по биткойн-сети нельзя прервать, конфисковав несколько серверов или изменив таблицы маршрутизации. Более того, нарушить такие коммуникации, не навредив порядочным пользователям Биткойна и не причинив вред биткойн-сети будет очень сложно».

«Регуляция в какой бы то ни было форме была бы явным нарушением либертарианской идеологии, лежащей в основе Биткойна. Она также потребовала бы существенного изменения протокола на большинстве биткойн-клиентов, распределенных по всему миру».

Иттай Эйал (Ittay Eyal), исследователь Биткойна с факультета компьютерных наук Корнелльского университета, считает, что владельцы ботнетов не захотят использовать блокчейн для взаимодействия с ботами, потому что «им нужно оперативно отдавать команды и получать обратную связь». Однако ньюкаслское исследование показало, что в половине случаев боты отвечали в течение пяти секунд с момента отправки команды, а за 10 секунд удавалось получить 90% ответов.

Таха Али (Taha Ali) из Ньюкаслского университета сказал Forbes, что использованию блокчейна для ботнет-атак препятствуют два фактора. Крупный ботнет создавал бы слишком много подключений к биткойн-сети, блокируя доступ к ней для других пользователей, — по сути, осуществляя на Биткойн распределенную атаку «отказ в обслуживании». Поскольку Биткойн имеет пока довольно ограниченное применение, сетевые администраторы в крупных компаниях заподозрили бы неладное, если бы вдруг множество компьютеров стало подключаться к биткойн-сети. «Однако по мере роста популярности Биткойна сценарий с ботнетом становится для злоумышленников очень привлекательным, — добавил Али. — Преступникам не придется создавать собственную инфраструктуру управления ботнетом, Биткойн уже устойчив против типичных приемов борьбы с ботнетами, он анонимен и защищен».
Экспериментирование с ботнетами на основе блокчейна пока остается уделом ученых, а не преступников, но возможность использовать их для тайного взаимодействия с вредоносным ПО не может не тревожить. «Использование блокчейна для управления вредоносным ПО неимоверно сложно контролировать, поскольку инструкции можно закодировать так, что они будут понятны только вредоносному коду. У этой проблемы нет хорошего решения: это цена, которую мы вынуждены платить за возможность свободной передачи информации», — добавил коллега Эйала Эмин Гюн Сирер (Emin Gün Sirer).

Гэвин Андресен, ведущий ученый в Bitcoin Foundation, заявил, что реализовать управление вредоносным ПО на блокчейне было бы «очень дорого» из-за комиссий с транзакций, которые хакерам пришлось бы платить. Он также отметил, что операторам ботнетов не понравится, что следы их преступлений сохранятся навсегда. «Если их командный сервер будет захвачен, им придется ответить за все, что они когда-либо сделали с его помощью. Для злоумышленников гораздо лучше, если их команды хранятся лишь временно. Использование пиринговой биткойн-сети (а не блокчейна) имеет гораздо больше смысла, но существуют намного более крупные пиринговые сети, в которых проще скрыть активность ботнетов, поэтому едва ли какой-нибудь оператор ботнета захочет воспользоваться биткойн-сетью».
Реальные случаи управления ботнетом через блокчейн пока неизвестны, зато зарегистрированы случаи добавления в блокчейн нелегального контента. Так, в 2013 году в блокчейн якобы были помещены ссылки на изображения с насилием над детьми.

«Это плохо и для сети, и для базы данных», — добавил Карам, который обеспокоен тем, что такие материалы остаются доступны навсегда. Ему хотелось бы, чтобы биткойн-сообщество обратило внимание на проблему загрязнения блокчейна.

Представители компании Blockchain.info, которая предоставляет сервисы просмотра и анализа блокчейна, а также кошельки, отказались прокомментировать эту статью.

Томас Фокс-Брюстер (Thomas Fox-Brewster)

http://bitnovosti.com/2015/04/20/blockchain-offers-safe-haven-for-malware/