Přiznám se, že jsem se, o tenhle fenomén dnešní doby přes nějž podle zpráv teče obří množství peněz, moc nezajímal. Až včerejška, než jsem objevil na TechCrunch zajímavou zprávu, že hacker, který hacknul tu slavnou Bitcoin směnárnu Mt. Gox, zveřejnil kód. A tak jsem se na něj mrknul a nevěřil jsem svým očím! První věc, která mě napadla bylo jen - to fakt někdo myslí vážně?
techcrunch.com
A pak jsem si vzpoměl na nedávnou debatu v hospodě, jak mi několik lidí tvrdilo, jak je Bitcoin lepší, než banky a kolik tam, kdo nalil. Byl jsem skeptický, ale to jsem netušil, jak ten slavný Bitcoin vypadá. Až do včerejška!
Pokud tedy „tohle“ má být budoucnost financí, tak tedy jen říkám – potěš koště. Ano, jsem jen paraniodní ajťák, ale...tohle je fakt peklo. Pokud totiž takhle celý funguje a zřejmě ano, protože ten slavný Mt. Gox co přišel o 750 000 kreditů a tím pádem se z něj vypařilo 26 milionů dolarů, jistě nebude sám.
Proč? Jelikož jsem teprve dnes zjistil, že Bitcoin má API, veřejné rozhraní a tím pádem si na to každý může napsat svůj vlastní „Exchange“ směnárnu a pak už jen nalákat důvěřivé lidi reklamou, ať tam dají prachy! To je geniální!
Takže si popíšeme chování uživatele „investora“ do Bitcoinu. Najdu si na Google „směnárnu Bitcoin“. Vlezu na URL a tam je Nakoupit Bitcoiny. Takže tam zajdu zaregistruju se a „převedu“ peníze z reálného bankovního systému na virtuální měnu, která běží přes „bankovní“ systém vlastněný a napsaný někým, koho neznám a jehož jediné umění spočívá v tom napsat aplikaci pomocí veřejného dostupného kodu zde. (https://bitcoin.org/en/bitcoin-for-developers)
A tomuhle opravdu někdo věří a reálně tam vloží peníze? A to jako fakt? Pokud je tohle pravda, tak tedy klobouk dolů, kdo Bitcoin vymyslel. Tohle se snad dá přirovnat jen k South Sea Bubble, nebo k tomu Skotovi, co si vymyslel vlastni zemi. Lidstvo je nepoučitelné. Takže, opět se opakuje známá scéna popsaná knize This Time Is Different: Eight Centuries of Financial Folly od Carmen M. Reinhart a Kenneth Rogoff a opět si tu někdo namlouvá, že „tentokrát to je jiné." (http://www.amazon.com/This-Time-Different-Centuries-Financial/dp/0691152640)
Vždyť tohle je přímo učebnicová ukázka bubliny!
Jasně, že bublina nezačíná vždy špatným úmyslem, ale prostě se to jen vymkne z rukou. A pokud se podíváte na to, co se děje kolem Bitcoin, že někdo „hackne“ směnárnu a ta má „náhodou“ napsaný kód v PHP, veřejném programovacím jazyku v němž se rozhodně žádné bankovní systémy nebudují. Navíc ten kód je v jednom dlouhém kuse 1700 řádků a mnoho funkcí je tam doslova napsáno natvrdo – místo toho, aby to bylo řešeno modulárně a tím se oddělil přístup k jednotlivým funkcím.
Pokud tedy takhle funguje budoucí systém, který má nahradit banky, jejichž systémy jsou stavěny modulárně, mají z bezpečnostních důvodů množství ochran a rozhodně neběží vše na jednom dlouhém kódu a především jsou ty systémy validovány podle nějakých norem, tak to opravdu nevím.
Nebo teda spíš vím, protože za takových kód by kohokoliv dělající bankovní systém zastřelili na místě. Tam je porušeno snad úplně všechno, co se týká bezpečnosti informačních systémů. A pokud to tedy není fejk a je to skutečně ten kód z té Bitcoin směnárny, tak to bude na světě hodně veselo. Jelikož podobných „hacků“ jako Mt. Gox nás bude čekat víc.
Proč? Tak se nad tím zamyslete. Pokud tenhle „hack“ byl na jeden z nejznámějších Exchange a výsledkem čehož je, že někdo dal dokonce celý kód na internet. Co se asi stane, až si někdo s tím kódem pohraje a místo publicita na internetu jen „malinko“ předělá, jak to funguje. Směnárna se bude tvářit, že vše funguje krásně, až na jednu drobnost, nějak ze systému začnou vypadávat malinkaté částky. Tím se budou postupně testovat díry v systému a pokud si nikdo nic nevšimne, přesměruje se obsah celého Exchange někam jinam. Jelikož to celé je open source postavím si rychle vlastní paralelní kopii té hackované směnárny a tu původní vyřadím. Pro Bitcoin se budu tvářit jako autorizovaná směnárna a já mezitím vyvedu peníze někam mimo. Až útok skončím, změním opět nastavení, aktivuju původní směnárnu a zavřu tu paralelní. Mezitím pustím DDoS (distribuovaný útok jimž vyřadím služby původní směnárny). Tam vznikne panika a když se jim podaří systém znovu nahodit vše bude vymazáno. A tudíž jim sice bude běžet systém, ale nic v něm nebude. Takhle podobně to proběhlo i u Mt. Gox a podobně to proběhne u dalších.
Pokud totiž banka má otevřený systém, kde nejsou regulace a není validován software vykonávající transakce, je to ráj pro hackery, protože s takhle přátelským systémem si jde pohrát, jak víno.
Jsem asi konzervativní, ale vůbec mě nevadí, že Komerční banka nezveřejnuje svoje API na internetu a ani nikde nejsou návody, jak se k ní připojit. Ale pokud někdo hodlá věřit v to, že je lepší dávat peníze do směnáren napsaných PHP netestovaných, nevalidovaným na bezpečnost ať si to užije. Já se k tomu nepřipojím jelikož si nemyslím, že ....This time is different.
Jo a kdybyste chtěli ten kod tak, ten je tady...
http://pastebin.com/W8B3CGiN
