Aspectos de segurança na rede Bitcoin

Transcrição

1 COOPERAÇÃO E M R E D ES 8 Douglas Emanuel da Silva 1 Introdução A Internet, hoje, é um instituto intrínseco na vida de qualquer pessoa. Nesse sentido, sua extensa gama de serviços tem aproximado não só as pessoas, através das redes sociais, mas, também, pessoas e empresas ou, até mesmo, entre empresas, por meio do comércio eletrônico. No que tange ao comércio eletrônico, sua franca expansão representa um mercado bilionário que, a cada dia, cresce seja em representatividade ou em demanda por serviços de segurança da informação. Deste modo, o modelo de negócio econômico por trás da Internet muda constantemente. Precipuamente, a mudança ocorre sob dois aspectos: a forma de transferência de dinheiro entre as partes e a garantia da segurança neste processo. E, exatamente neste contexto, é que se insere o Bitcoin (PAUL, 2013; ULRICH, 2014). O Bitcoin, notadamente, desde fins de 2012, tem ganhado destaque quase que cotidiano na mídia, principalmente quanto a sua aceitação como moeda digital, regulação financeira e valor monetário. Porém, contrastando com a crescente populari- 221

2 dade, a segurança da rede Bitcoin (BRITO, CASTILLO, 2013; REID, 2012), incluindo aspectos internos (protocolo Bitcoin) e externos (serviços de wallet e exchange), detém destaque superficial, o que abre espaço para a especulação e a desinformação. Portanto, é de grande relevância analisar sua segurança, cabendo abordar: O contexto tecnológico ao qual o Bitcoin se insere; identificando os conceitos básicos da criptomoeda; o valor monetário e a aceitação como bem de troca; aspectos gerais de segurança financeira; e, aspectos gerais de segurança tecnológica; A tecnologia Bitcoin; criação da moeda; duplo gasto e blockchain; anonimato na rede Bitcoin; e, transferência de Bitcoins; Serviços associados; endereço Bitcoin; wallets; exchanges; Segurança do protocolo Bitcoin; ataques de DoS; ataque de isolamento de nós; spam de transações; atacantes com elevado poder computacional; segmentação da blockchain; e, transaction malleability; Segurança dos serviços da rede Bitcoin; segurança nas carteiras; roubo de Bitcoins; Considerações finais; perspectivas para o futuro; o Bitcoin na mídia; avaliando a Segurança da Informação ao sistema Bitcoin; e, propostas para trabalhos futuros; 2 Contextualizando o Bitcoin O Bitcoin, por se tratar de uma tecnologia recente (DAI, 2014; NAKAMOTO, 2008), guarda inúmeros conceitos ainda não completamente analisados. Desta forma, vários estudos (BRITO, CASTILLO, 2013; REID, 2014; KARAME, 2012; MOORE, 2013) estão sendo feitos no intuito de apontar deficiências ou, até mesmo, ratificar a segurança do protocolo. Por tal, muitos querem entendê-lo, para poder usá-lo. Nesse sentido, faz-se pertinente sua devida apresentação. 2.1 Origem Cronologicamente, sua origem remonta ao artigo publicado em outubro de 2008 por Satoshi Nakamoto (NAKAMOTO, 2008) explicando o funcionamento de um sistema de dinheiro eletrônico peer-to-peer. Posteriormente, no dia 9 de janeiro de 2009 foi anunciado o lançamento do software oficial na lista de discussões online 222 Coletânea Luso-Brasileira v Gestão da Informação, Cooperação em Redes e Competitividade

3 de criptografia. Este software detém código-fonte aberto, permitindo o download, modificação e a inspeção gratuita de suas funcões por qualquer indivíduo. Por conseguinte, tanto a origem quanto o funcionamento e as regras do sistema são completamente conhecidos, transparentes e publicamente disponíveis a quem se dispuser a pesquisar (BITCOIN, 2014). 2.2 Conceituação A priori, o termo Bitcoin se trata de um conjunto de tecnologias de criptografia e matemática complexa, mas, também, assume conceitos multidisciplinares (BITCOIN, 2014; B. TIMOTHY, 2013; NAKAMOTO, 2008). Assim, assume diversos pontos de vista, podendo, inclusive, ser explicado por dois pontos principais; ora como modelo econômico financeiro, ora como um conjunto integrado de tecnologias e serviços da informação. Sob o ponto de vista econômico financeiro (ANDREESEN, 2014; B. TIMO- THY, 2013; PAUL, 2013; ULRICH, 2014) temos: o Bitcoin trata-se de uma forma de dinheiro, tal como o real, o dólar, o euro, porém puramente digital. Dessa forma, em linhas gerais, dispõe das mesmas premissas pertinentes ao tema. Entretanto, apresenta algumas particularidades, das quais se destacam: o seu valor monetário é livremente definido pelo mercado; baixa liquidez; bastante suscetível a ataques especulativos; não é emitida por nenhum governo; proporciona transações online de forma rápida, barata (com quase nenhum custo) e segura; permite transferências para qualquer lugar do mundo sem precisar confiar em um terceiro (por exemplo, banco central) para realizar a tarefa; o usuário custodia o seu próprio saldo, isto é, o usuário é depositante e depositário ao mesmo tempo; possui oferta limitada rígida em 21 milhões de unidades, a ser atingida gradualmente no futuro. Sob o ponto de vista de tecnologia e serviços da informação (BRITO, CASTILLO, 2013, REID, 2012; BAKAMOTO, 2008), temos; o Bitcoin é um software de código-fonte aberto que se ampara em uma rede de computadores distribuída (peer-to-peer), inexistindo, neste contexto, servidor central nem entidade controlando a rede, cada nó é simultaneamente cliente e servidor; sua criação dá-se pelo esforço computacional de várias máquinas que ao resolver problemas complexos produzem a moeda, em um processo conhecido como mineração; o core do sistema, isto é, seu protocolo, baseia-se nas premissas de irreversibilidade de transações, garantia de idoneidade das transferências através de segurança por meio de um complexo 223

4 algoritmo criptográfico e uma relação de confiança entre os nós, assegurando um consenso generalizado acerca da veracidade das transações realizadas. Enfim, cumpre observar que o conceito de Bitcoin depende do ângulo em que é analisado. Assim sendo, de acordo com o escopo desejado, podem ser dadas duas conceituações, ampla e restrita. Em sentido amplo, temos por definição: Rede distribuída e descentralizada de transferência de dados criptográficos entre nós adjacentes cuja informação individualizada possa ser valorada financeiramente como moeda. E, em sentido restrito, como: Moeda criptográfica puramente digital com valor agregado seja econômico ou tecnológico. 2.3 Valor monetário Em relação ao valor monetário, a análise (BARBER, 2012; B. TIMOTHY, 2013; PAUL, 2013) deve ser feita sob o seguinte prisma: à medida que mais empresas utilizarem-no como forma de pagamento e mais consumidores e vendedores o acreditar como meio de troca, consequentemente maior será sua liquidez e menor tende a ser sua volatilidade. Desta forma, a cotação da moeda no mercado é mero reflexo do seu crescimento e aceitação. Em um mercado que se autorregula, o Bitcoin terá uma cotação mais estável permitindo investimentos saudáveis, de forma a atrair maior adesão das instituições financeiras, vide bancos privados. Adicionalmente, o mercado Bitcoin, necessita de casas de câmbio, exchange, para trocá-lo por outras moedas nacionais, por exemplo dólar ou euro. Atualmente, temos como principais casas de câmbio a Bitstamp (BISTAMP, 2014) (sediada na Eslovênia), a MtGox (mt. gox, 2013) (baseada no Japão) finalizou as atividades por problemas de segurança e a BTC-E (BTC-E, 2014) (com sede na Bulgária). No Brasil, temos o MercadoBitcoin (Mercado Bitcoin, 2014), que, inclusive, na Campus Party 2014 em São Paulo, apresentou o primeiro ATM (caixa eletrônico) de Bitcoin da América do Sul. 224 Coletânea Luso-Brasileira v Gestão da Informação, Cooperação em Redes e Competitividade

5 2.4 Aspectos gerais de segurança financeira Apesar dos benefícios do uso da moeda digital (PAUL, 2013), vários são os questionamentos acerca da segurança do sistema. Ironicamente, o maior problema de segurança sob a perspectiva econômica também é apontado como uma grande qualidade do sistema, qual seja; a falta de regulamentação por autoridade central. A confusão tem sido tanta neste aspecto que os governos e reguladores de mercado, ora estão vacilantes quanto à aceitação do Bitcoin, ora receptivos. A análise da vantajosidade como forma de pagamento, diante do inegável crescimento do seu uso, tem provocado uma onda de ações governamentais contrastantes e, por vezes, exacerbadas. A título de exemplo (ULRICH, 2014), em relação ao mercado regulador, temos: na Alemanha, o reconhecimento pelo ministério da fazenda do Bitcoin como unidade conta e dinheiro privado para fins fiscais, contudo, demonstra preocupação sobre o uso da moeda, principalmente quanto ao seu caráter especulativo; na China, especificamente em Hong Kong, a autoridade reguladora deixa claro que está monitorando a atividade da moeda para fins de verificar instabilidades no mercado financeiro local; na Bélgica, o banco nacional não tem intenções de regular a moeda além das próprias leis vigentes, permitindo, assim, o seu uso; e, em Cingapura, local onde a moeda mostra-se mais aceitável, inclusive com parecer favorável do banco central, dando um tratamento legal às transações possíveis envolvendo o Bitcoin, a IRAS (Inland Revenue Authority of Singapure), definiu detalhadamente a metodologia de tributação do Bitcoin. De fato, a preocupação econômica com a falta de regulamentação mostra-se procedente, ainda mais ao avaliarmos a sonegação de impostos, evasão de divisas nacionais e aparente facilidade de uso da moeda para fins ilícitos. 2.5 Aspectos gerais de segurança tecnológica Em relação à segurança sob a ótica tecnológica temos dois aspectos a tratar; a segurança interna, isto é, do protocolo por trás do Bitcoin e a segurança externa, isto é, dos serviços associados que prestam a manipulação (transações), guarda e troca da moeda. O protocolo da moeda, em si, encontra-se em processo contínuo de amadurecimento (BRITO, CASTILLO, 2013). Apesar de estável e suficientemente compreendido pela comunidade, por vezes, alguns erros estão sendo reportados e corrigidos pelos desenvolvedores do software, por exemplo, o bug, chamado de transaction malleability que ocasionou a quebra de uma importante exchange, MtGox (ULRICH, 2014). 225

6 Portanto, além de cautela, faz-se necessário o acompanhamento de perto acerca do desenvolvimento do software. Por outro lado, na prática, o elo mais fraco da corrente tem sido a segurança externa. Esses serviços externos são executados, basicamente, por exchanges e wallets, ambos os serviços disponíveis no modo online. Por tal, temos todos os riscos associados à utilização deste tipo de serviço, sendo o usuário sujeito a toda sorte de inconveniências, tais como: ataques de negação de serviço (DoS), roubo de informações, propagação de malwares, vírus etc. 3 A tecnologia Bitcoin O principal trunfo do protocolo Bitcoin é a eliminação do intermediário centralizador, criando um sistema onde a confiança cega não é necessária, de modo que a consciência coletiva aquiesce quanto à veracidade das informações, registrando-a e propagando-a por toda a rede. Essa é a essência do protocolo Bitcoin (REID, 2012; NAKAMOTO, 2008). Diante ao exposto, percebe-se que as tecnologias do Bitcoin, em suma, convergem para dois pontos, quais sejam; transparência e descentralização. Quanto ao primeiro, como principal tecnologia, temos: o blockchain, quanto ao segundo, temos: a transferência de moeda, e quanto a ambos, temos: o duplo gasto, a criação da moeda e o anonimato da rede. E, justamente, sobre estes pontos serão discorridos a seguir. 3.1 Criação da moeda O Bitcoin, apesar de ser puramente digital, não surge do nada, isto é, não é arbitrariamente criado por mera vontade do usuário. O processo de criação consiste do resultado do processamento matemático, dito esforço computacional, de colaboradores da rede denominados de mineradores (LIU, 2013; ULRICH, 2014). Os mineradores, ao realizar o processamento do software Bitcoin, buscam encontrar uma sequência de dados (é a resposta do desafio, denominado nonce, na verdade, trata-se de um número que tem o seu valor influenciado pelo grau de dificuldade do bloco, definido pelo software básico do Bitcoin). Esta sequência de dados deve solucionar a seguinte situação: (nonce) + (hash do bloco anterior da cadeia do blockchain) + (hash do bloco a ser processado) = (hash final específico, que inicie com 12 zeros) [20]. 226 Coletânea Luso-Brasileira v Gestão da Informação, Cooperação em Redes e Competitividade

7 Quando tal combinação ocorre, o minerador ganha um prêmio em Bitcoins proporcional ao trabalho executado (atualmente 25 Bitcoins). Justamente este prêmio, representa as novas moedas que surgem na rede. Vale ressaltar que esta proporcionalidade diz respeito ao esforço individual de processamento em encontrar a sequencia de dados válido, ou seja, o trabalho pode ser totalmente individual, caso em que o minerador leva 100% do prêmio, ou parcelado, pois existem grupos (pools) de mineradores que unem esforços para encontrar a resposta, nesse caso, a recompensa é partilhada de acordo com critérios definidos pelo pool. Assim sendo, é importante frisar um ponto. O software da rede gradativamente irá reduzir a quantidade de Bitcoins como prêmio por bloco encontrado. Esse efeito, ao longo do tempo, irá reduzir a taxa com que a moeda será inserida na rede até chegar ao seu limite rígido. Portanto, esse processo de mineração não continuará indefinidamente. O Bitcoin foi projetado de modo que somente um número limitado e previamente conhecido poderá ser minerado, cuja quantidade arbitrária escolhida foi de 21 milhões de moedas. Uma vez que a última unidade tenha sido encontrada, os mineradores que direcionarem sua potência de processamento para a verificação das transações serão recompensados com taxas de serviço em vez de Bitcoins recém- -criados. Isso garante que os mineradores ainda tenham um incentivo de manter a rede operando após à extração do último Bitcoin. 3.2 Duplo gasto e a blockchain Antes do Bitcoin, as transações online requeriam a participação de um terceiro que além de deter a confiança dos interessados na transação, atuava intermediando o procedimento. Exemplificando, se Pedro quisesse enviar dinheiro a Flávia por meio da internet, ele teria que depender de serviços de terceiros como, por exemplo, uma operadora de cartão de crédito, que, por sua vez, mantêm um registro dos saldos em conta dos clientes. Assim, caso Pedro envie dinheiro para Flávia, a intermediária debita a quantia de sua conta, creditando-a na de Flávia. Sem tais intermediários, abriria espaço para que Pedro gastasse a moeda digital diversas vezes. Neste contexto, imagine que não haja intermediários com registros históricos, e que o dinheiro digital seja simplesmente um arquivo de computador, da mesma forma que documentos digitais. Pedro, então, poderia enviar para Flávia a moeda simplesmente anexando o arquivo de dinheiro em uma mensagem. Mas, 227

8 assim como ocorre com um , enviar um arquivo como anexo não o remove do computador originário da mensagem eletrônica. Pedro reteria a cópia do arquivo após tê-lo enviado em anexo à mensagem. Dessa forma, ele poderia facilmente enviar a mesma quantia à outra pessoa qualquer. Esta situação, em ciência da computação, é conhecida como o problema do duplo gasto, e, até a chegada do Bitcoin, essa questão só poderia ser solucionada por meio de um terceiro que empregasse um registro histórico de transações (KARAME, 2012; MORRE, 2013). A invenção do Bitcoin é revolucionária neste sentido, pois, pela primeira vez, o problema do duplo gasto pode ser resolvido sem a necessidade de um terceiro. Simplificadamente, o Bitcoin o faz distribuindo o registro histórico a todos os usuários do sistema via rede peer-to-peer. Todas as transações que ocorrem na economia Bitcoin são registradas em uma espécie de livro-razão público e distribuído chamado de blockchain (corrente de blocos ou simplesmente um registro público de transações), o que nada mais é do que um grande banco de dados público, contendo o histórico de todas as transações realizadas. Novas transações são verificadas contrapondo-as com a blockchain de modo a assegurar que os mesmos Bitcoins não tenham sido previamente gastos, eliminando o problema do duplo gasto. A rede global peer-to-peer, composta de milhares de usuários, torna-se o próprio intermediário. Assim, Pedro e Flávia podem transacionar sem a presença de um intermediário. Portanto, as transações são verificadas, e o duplo gasto é prevenido, por meio do uso de criptografia de chave pública. Tal mecanismo exige que a cada usuário sejam atribuídas duas chaves, uma privada, que é mantida em segredo, e outra pública, que pode ser compartilhada com todos. Quando Pedro decide transferir Bitcoins a Flávia, ele cria uma mensagem, chamada de transação, que contém a chave pública de Flávia, assinando com sua chave privada. Dessa forma, utilizando a chave pública de Pedro, qualquer um pode verificar que a transação foi de fato assinada com sua chave privada, sendo, assim, uma troca autêntica, e que Flávia é a nova proprietária dos fundos. A transação é registrada, carimbada com data e hora e exposta em um bloco da blockchain. A criptografia de chave pública garante que todos os computadores na rede tenham um registro constantemente atualizado e verificado de todas as transações dentro da rede, o que impede o duplo gasto dentre outros tipos de fraude (RARAME, 2012). 228 Coletânea Luso-Brasileira v Gestão da Informação, Cooperação em Redes e Competitividade

9 3.3 Anonimato na rede Bitcoin O suposto anonimato que a moeda digital permite aos seus usuários provém de um erro de entendimento não só do Bitcoin, mas da ideia de moeda digital em si (REID, 2008). Observe que; se uma pessoa entrega para outra em dinheiro vivo, não há intermediário nem registro da transação. E, se neste processo, ambos não se conhecerem, pode-se dizer que a transação é completamente anônima. Deduz-se, que o anonimato é fato comum no nosso dia-a-dia, o que não ocorre em se tratando da moeda digital. Apesar das transações online até hoje necessitarem de um terceiro intermediário, elas não são anônimas. A Mastercard, por exemplo, mantém o registro de toda a vez que seus usuários enviam dinheiro. E devido às contas na Mastercard serem amarradas nas respectivas contas bancárias, as identidades dos envolvidos na transação é provavelmente conhecido. O Bitcoin encaixa-se em algum ponto entre esses dois extremos. Por um lado, Bitcoins são como dinheiro vivo, pois, quando um usuário envia moedas a outro, o primeiro não mais as possui, e o outro passa a possuí-los, não há nenhum terceiro intermediário entre eles que conhece suas respectivas identidades. Por outro lado, o fato de que a transação ocorreu entre duas chaves públicas, em determinado dia e hora, com certa quantidade, além de outras informações, é registrado na blockchain. Na realidade, qualquer e toda transação já efetuada na história da economia Bitcoin pode ser vista na blockchain. Enquanto as chaves públicas de todas as transações, também conhecidas como endereços Bitcoin, são registradas na blockchain, tais chaves não são vinculadas à identidade de ninguém. Porém, se a identidade de uma pessoa estivesse associada a uma chave pública, poderíamos vasculhar as transações na blockchain e facilmente ver todas as transações associadas a essa chave. Dessa forma, ainda que o Bitcoin seja bastante semelhante ao dinheiro vivo, em que as partes podem transacionar sem revelar suas identidades a um terceiro ou entre si, é também distinto do dinheiro vivo, pois todas as transações de e para um endereço Bitcoin qualquer podem ser rastreadas. Nesse sentido, Bitcoin não garante o anonimato, mas permite o uso de pseudônimo. Vincular uma identidade do mundo real a um endereço Bitcoin não é tão difícil quanto se possa imaginar. Para começar, a identidade de uma pessoa (ou pelo menos informação de identificação, como um endereço IP) é frequentemente registrada quando alguém realiza uma transação de Bitcoin em uma página web ou troca 229

10 dólares por Bitcoins em uma casa de câmbio, exchanges. Para aumentar as chances de manter o pseudônimo, seria necessário empregar softwares de anonimato como Tor, e ter o cui dado de nunca transacionar com um endereço Bitcoin na qual poderia ser rastreada a identidade do usuário. Diante ao exposto, os usuários de Bitcoin desfrutam de um nível muito maior de privacidade do que usuários de serviços tradicionais de transferência digital, os quais precisam fornecer informação pessoal detalhada a terceiros que facilitam a troca financeira. Ainda que o Bitcoin seja frequentemente referido como uma moeda anônima, na realidade, é bastante difícil permanecer anônimo na rede Bitcoin. Pseudônimos ligados a transações armazenadas no registro público podem ser identificados anos após a realização de uma troca. Por fim, uma vez que as exchanges estejam em dia com as regulações financeiras requeridas, tal qual ocorre com os intermediários financeiros tradicionais, o anonimato será ainda menos garantido, porque, certamente, será exigida a coleta de dados pessoais de seus clientes. 3.4 Transferência de Bitcoins Uma transferência nada mais é do que a passagem da titularidade da moeda entre um endereço e outro. Primeiramente, é importante frisar que a própria rede, por meio da leitura da blockchain, aquiesce quanto ao saldo disponível em cada endereço. Este consenso visa evitar fraudes na rede (OBER, KATZENBEISSER, HAMA- CHER, 2013; ULRICH, 2014; BITCOIN, 2014). Antes mesmo de efetuar qualquer transferência, o usuário terá que se preparar, pois, obrigatoriamente, deve-se utilizar uma carteira. Assim, no primeiro momento, o usuário deverá escolher o tipo de carteira desejado, inclusive, caso a carteira seja instalado em sua máquina local (software wallet), o usuário deverá sincronizar- -se com a blockchain, isto é, deve-se efetuar o download de toda a blockchain, de modo que possua o status completo da rede. Após a sincronia, a carteira está apta a transferir. O processo de transferência em si é bem simples. Vide esquema na figura Coletânea Luso-Brasileira v Gestão da Informação, Cooperação em Redes e Competitividade

11 Figura 1 Transferência de Bitcoins Percebe-se que o processo de transação tem como entrada o hash da transação anterior e a chave pública do próximo dono. Ambos passam por um processo de soma e, por fim, assinados com a chave privada do dono atual. O portador da moeda envia esta mensagem assinada por broadcast através da rede. À medida que os nós da rede recebem a mensagem criptografada, verificam sua validade abrindo a mensagem com a chave pública do antigo dono e, também por broadcast, mandam mensagens confirmando a transferência. Forma-se, assim, um consenso de validade da transação, porém, trata-se de uma confirmação regional. O próximo passo é a ratificação global da transação por toda a rede. O conjunto de todas as transações dos últimos 10 minutos, segundo o timestamp da blockchain, é usado pelos mineradores no processo de criação de blocos, denominado proof of work, prova de trabalho, que irá compor a blockchain. Desse modo, os mineradores processam essa coletânea de transações e executando o algoritmo do Bitcoin, mineram encontrando como resultado um bloco válido que irá compor a blockchain. Só então, toda a rede confirma a transação, tornando-a irrevogável. Uma verdadeira linha do tempo de transações é incluída de forma contínua na cadeia de blocos da blockchain. Estes blocos não podem ser alterados sem refazer todo o trabalho requerido para criar os blocos posteriores ao modificado. A cadeia longa, isto é, a maior sequencia de blocos da blockchain, serve não somente como prova de uma sequencia de eventos, mas também registra a sequencia de eventos que foi verificada pela maioria do poder computacional da rede Bitcoin. 231

12 3.5 Serviços Associados Endereço Bitcoins O endereço Bitcoin corresponde a um identificador único composto por letras e números case sensitive, começando com o dígito 1 ou 3, por exemplo, 3FfmbHfpoi- ZjKFvyi1okTjJJusN455paPI, que caracteriza uma conta válida e capaz de receber e enviar moedas. Cada endereço é criado através de um algoritmo que associa a um par de chaves criptográficas, pública e privada, utilizando o algoritmo ECDSA (Elliptc curve DAS). Algumas particularidades adicionais quanto ao endereço Bitcoin devem ser observadas. Primeiro, se o usuário perder a chave privada associada ao endereço, fatalmente não conseguirá mais ter acesso ao mesmo, e por tal, perderá o saldo disponível neste endereço. Dessa forma, é de fundamental importância que o usuário tenha backup das chaves. Segundo é computacionalmente possível, porém improvável, que duas pessoas tenham o mesmo endereço Bitcoin podendo, assim, receber e gastar seu saldo. Isto não corresponde necessariamente a uma falha de segurança, apesar de ser uma deficiência do protocolo. Existe um número gigantesco de possibilidades de endereços, assim, até por questões de segurança e anonimato, muitas pessoas associam a cada transferência um endereço Bitcoin diferente. Por tal, é comum uma carteira administrar vários endereços, apresentando como saldo a soma de todos os endereços por ela gerenciados Wallets Wallets Bitcoin ou genericamente carteiras, corresponde a um serviço de gerenciamento de endereços Bitcoin. Suas principais funcionalidades consistem em: envio e recebimento de Bitcoins; geração de endereços; gerenciar saldos, e, proteger as chaves do usuário por meio de senhas e criptografia dos dados. Existem, atualmente, diversos tipos de carteira, das quais podem ser classificadas em: web wallets, software wallets e paper wallets. Os softwares wallets são programas que podem ser instalados nos dispositivos do usuário capazes de se conectar diretamente à rede Bitcoin, sincronizando a blockchain localmente, e permitem a manipulação da moeda. Ainda, podem conter recursos adicionais como a leitura de códigos QR. Como exemplos, temos o Multibit, vide figura 2, e o Bitcoin-Qt. 232 Coletânea Luso-Brasileira v Gestão da Informação, Cooperação em Redes e Competitividade

13 Figura 2 Exemplo de software wallet Os web wallets são sites web que disponibilizam o mesmo serviço que o software wallet, porém com alguns recursos limitados, a depender de cada site, e, normalmente, cobram taxas de manutenção de conta e transações. Sua principal vantagem é o fornecimento de segurança e gerenciamento para as chaves privadas dos usuários e desnecessidade de ter que sincronizar como a blockchain. Como desvantajem, existe a dependência do serviço por parte do usuário e o risco associado à idoneidade do site. Como exemplo temos a Coinbase, vide figura 3. Figura 3 Exemplo de web wallet 233

14 Os paper wallets são impressões em papel dos endereços Bitcoin mais o par de chaves privada e pública. É considerado um meio offline de gerenciamento de chaves que se aproxima da noção de moeda tradicional. Figura 3 Exemplo de paper wallet Exchanges As exchanges fazem o papel de porta na rede Bitcoin, seja de entrada seja de saída. O seu funcionamento é idêntico a uma casa de câmbio, ou seja, uma parte troca o Bitcoin por moeda nacional com a intermediação da exchange, que sobre a operação cobra uma taxa. Entretanto, até pela natureza do Bitcoin, existem algumas particularidades. A maioria das exchanges exigem que seus usuários abram contas na qual depositam o dinheiro a ser transacionado, ou seja, funcionam como depositário, e no caso do Bitcoin, funcionam como uma espécie de wallet. Assim, deve haver uma relação de confiança entre usuário e a exchange. Relação esta, ficou muito abalada após o caso MtGox (ULRICH, 2014; ULRICH, 2014b). Hoje, muito se têm discutido acerca da segurança dessas empresas e de sua metodologia de serviço, inclusive, com forte pressão pela regulamentação de suas atividades. 4 Segurança da rede Bitcoin É necessário cautela antes de rotular o Bitcoin como sendo seguro ou inseguro. Embora seu código aberto demonstre transparência, o caráter descentralizado e a falta de autoridade central mostram incerteza e certa obscuridade. Contudo, não se deve, precipitadamente, julgá-lo. É possível, porém improvável, que um bug recém- -descoberto ou vulnerabilidade de segurança no cliente padrão possa levar a uma divisão da blockchain, ou a necessidade de cada nó ter de se atualizar em um curto 234 Coletânea Luso-Brasileira v Gestão da Informação, Cooperação em Redes e Competitividade

15 período de tempo. Por exemplo, uma única mensagem adaptada para explorar uma vulnerabilidade específica, quando se espalhar de nó a nó, poderia causar o desligamento de toda a rede em poucas horas. Erros que quebram o anonimato do usuário, ao contrário, foram identificados, uma vez que o cárater de pseudo-anonimato do Bitcoin foi, até então, menos analisado. Notadamente, o ritmo de atualizações do software básico, em suas seções críticas do código fonte está sendo atualizado com uma frequência cada vez menor, o que demonstra estabilidade do código. Ainda, o cliente Bitcoin desenvolvido por Satoshi está on-line por mais de 3 anos, sem nenhuma vulnerabilidade explorada de forma a comprometer todo o sistema. 4.1 Segurança do Protocolo Bitcoin Ataques de Denial of Service (DoS) O cliente padrão Bitcoin possui, embutido, prevenção moderada contra ataques de DoS, mas é provável que ainda possa ser vulnerável a ataques mais sofisticados (DAVID SCHNARTZ, 2011). O cliente está programado para derrubar conexões com qualquer nó que esteja enviando dados Bitcoin não válidos (informação que não é nem uma transação válida, bloco ou outra mensagem propriamente dita). Se o cliente estabelecer apenas conexões de saída (outbound), seria muito difícil de sobrecarregá-lo com um ataque DoS. Entretanto, se ele aceitar conexões de entrada (inbound), constantes solicitações de reconexão por parte de um nó malicioso com endereços diferentes, caracterizariam um ataque DoS. Um nó malicioso pode tentar usar mensagens válidas Bitcoin de transação para executar um ataque de negação de serviço, mas isso exigiria uma grande quantidade de moedas. A execução correta de um ataque DoS contra uma cliente Bitcoin poderia desconectá-lo ou dificultar transações não maliciosas de serem transmitidas através da rede. No primeiro cenário, é um caso de um ataque bem conhecido de DoS, não sendo exclusivo para o Bitcoin. O segundo caso é mais explorado no tópico Ataque de isolamento de nós Este método de ataque caracteriza-se por um atacante tentar encher a rede com clientes comprometidos, espécie de ataque man-in-the-middle (MOORE, 2013). Dessa forma, muito provavelmente, um cliente ao se conectar nesta rede estaria 235