Tails w wersji 1.0 wydany

Projekt Tails, czyli dystrybucji Linuksa ułatwiającej zachowanie anonimowości (szerzej opisana w tym wpisie) doczekał się w końcu wersji 1.0. Poza kosmetycznymi zmianami w nazwie i logo, wydanie przynosi tradycyjne aktualizacje bezpieczeństwa typu aktualizacja przeglądarki Firefox i aktualizacja oprogramowania Tor, w szczególności pod kątem niedawnego błędu Heartbleed.

Prawdę mówiąc uważam, że przeskok numeracji nieco przedwczesny, gdyż na czerwiec przewidziane jest wydanie wersji bazującej na Debianie Wheezy (aktualnie Tails oparty jest o Squeeze). Ale w sumie to tylko cyferki – sam system działa nieźle od dłuższego czasu. Co ciekawe, twórcy donoszą, że liczba użytkowników wzrosła w ciągu ostatniego półtora roku czterokrotnie.

Jakie wady ma Bitcoin?

Tak się składa, że hype związany z Bitcoin czy Litecoin nadal trwa i w ostatnich dniach przeprowadziłem minimum dwie rozmowy o kryptowalutach. Konkretnie o popularniejszej z nich, czyli Bitcoin. Nie ukrywam, że zainteresowałem się nim wcześnie, ale wrodzony sceptycyzm nie przerodził się w uruchomienie kopalni. Z perspektywy czasu żałuję, bo były to czasy (okolice marca 2011 jak widzę), gdy kopanie BTC na karcie graficznej zwracało sprzęt po 4-5 m-cach, wg ówczesnych cen. Jakbym nie wydał tylko trzymał do dziś, to pewnie byłoby minimum niezłe auto…

Bitcoin logo

Źródło: Bitcoin Wikipedia

Było, minęło. Sceptykiem pozostałem, szczególnie gdy zestawię moje podejście z zachwytem niektórych osób, że to takie krypto, pozapaństwowe, anonimowe i w ogóle przyszłość i cudowna alternatywa dla istniejących walut.

Żeby nie rozpisywać się od nowa przy każdej tego typu okazji, poniżej krótkie zestawienie wad, jakie widzę w Bitcoin (ale nie tylko, sporo odnosi się także do innych kryptowalut, np. Litecoin).

Podatność na spekulację

Niby oczywista sprawa, ale nie dla wszystkich. Ja rozumiem, że kurs (póki co) generalnie rośnie w długim okresie, ale to mały rynek, przez co podatny na spekulację. Zmiany kursu o kilkadziesiąt procent w krótkim okresie nie są niczym niezwykłym. W przypadku happeningu sprawa pomijalna, w przypadku podstawowego środka płatniczego – a tak niektórzy zdają się widzieć BTC – nie można tego nie zauważać.

Totalna kontrola przeprowadzanych transakcji

Brak znajomości tego zjawiska dziwi mniej. W końcu krypto w nazwie sugeruje, że coś jest szyfrowane i/lub anonimowe. Tymczasem jest dokładnie odwrotnie. Historię każdego BTC można prześledzić do samego początku. Implikacje z punktu widzenia anonimowości czy prywatności są nie do zignorowania. Wielu ludzi kręci nosem, że bank wie o nich wszystko z historii rachunku. To teraz wyobraźmy sobie, że każdy przelew między kontami wiązałby się z ujawnieniem wszystkich transakcji przeprowadzonych przez obie strony przy użyciu danych rachunków. W przeszłości i przyszłości.

Dokładniej nie tyle ujawnienie wszystkich kwot transakcji i rachunków (bo to można zrobić nie będąc stroną), ale powiązanie ich z konkretnym płatnikiem. Gdyby Bitcoin był w powszechnym użyciu, pozwalałoby to określić, gdzie dana osoba mieszka, co ostatnio kupiła itd. itp. Dla stalkerów i marketingowców raj. Chociaż podobno marketingowcy nie umieją korzystać z danych. Ale implikacje są poważniejsze, chociażby w przypadku wglądu ubezpieczalni w zakupy np. leku czy alkoholu. Albo płatności za mandaty. Sky is the limit.

Oczywiście można się przed tym zabezpieczać. Np. często zmieniać konta. Tylko to średnio wygodne. No i trzeba jakoś przetransferować BTC między kontami. A znana jest cała historia… Są nawet serwisy typu blockchain.info czy sharedcoin.com, pomagające anonimizować transfery przy użyciu BTC. Co dają? Znajomy, z którym dyskutowałem przytoczył cytat:

How can you guarantee that the transaction chain will be broken?
There is no guess work involved, each shared transaction analyzes up to 50,000 outputs or 250 levels deep in the blockchain to ensure the coins sent to the destination  address are 100% untainted with the original coins.

Faktycznie sporo. Zakładając, że ktoś chciałby to analizować ręcznie, rzecz jasna. Komputer poradzi sobie z analizą takiej transakcji w ciągu ułamków sekund. Identyfikacja kont używanych przez taki serwis też nie jest specjalnie trudna. Może nie ze 100% pewnością, ale przy dobrym algorytmie kilkadziesiąt procent pewności nie powinno być trudne do uzyskania.

IMO w kwestii anonimowości nic nie przebije gotówki. Dlatego banki i państwa powoli, ale systematycznie dążą do jej marginalizacji.

Brak organów kontrolnych

Dla jednych wada, dla drugich zaleta. Pamiętam, że w podstawówce wymyśliliśmy sobie własną walutę. Produkowaliśmy banknoty z pociętych kartek. Każdy swoją. Ręcznie (tylko!). Z podpisem. Nawet jakieś kursy wymiany były. Nie dam głowy, czy nie udało się kupić np. lizaka od kumpla za to. Zaliczyliśmy i inflację (najpierw IIRC były odpowiedniki istniejących nominałów, potem i milion dolarów był, chociaż przyznam, że te miliony ratowały się wartością artystyczną) i totalną utratę wartości. Pamiętam, że znalazłem trochę tej waluty w jakimś zapomnianym pudełku sporo po podstawówce. Chyba tylko dlatego zapamiętałem, że takie coś miało miejsce.

Z Bitcoin jest podobnie. Działa, bo ludzie umówili się, że ma wartość, ale nikt tej wartości nie gwarantuje. Dziś można przy jego pomocy kupić, jutro – niekoniecznie. W przypadku zwykłych walut były gwarancje wymiany na np. złoto (OK, też umowne…). Piszę były, bo AFAIK gwaranci od tego odeszli. Niemniej państwo – jakie by nie było – jest postrzegane jako lepszy gwarant, niż grupka ludzi, którzy tak się umówili.

Brak organów kontrolujących rynek sprzyja też poruszonej na początku spekulacji. Jak pokazują ostatnie wydarzenia, które doprowadziły jeden z kantorów BTC do zawieszenia sprzedaży, brak nadzoru i audytu powoduje ryzyko błędnych implementacji. Podobnie sytuacja miała się z włamaniami do kantorów i kopalń BTC. Ogólnie sam algorytm, oprogramowanie i protokoły posiadają ryzyko błędów. Nawet jeśli sam algorytm Bitcoin jest OK, pozostaje ryzyko błędów w oprogramowaniu i protokole. Ostatnie zamieszanie związane z Mt. Gox jest takim przykładem błędów w implementacji.

Ryzyko delegalizacji

O ile państwa nie nauczą się kontrolować transakcji wykonywanych przy pomocy Bitcoin, może im wpaść do głowy pomysł delegalizacji tej kryptowaluty. Szczególnie, jeśli – mimo wyżej opisanych wad – zacznie zdobywać większą popularność. Szansa na to jest niewielka i oczywiście delegalizacja BTC nie spowoduje zupełnego zaprzestania jego używania, ale skutecznie ograniczy zakres dostępnych dóbr.

Wymaga wiedzy i technologii

Nie ma co ukrywać, że obecnie kryptowaluty to domena ludzi związanych z kryptografią i/lub komputerami. Albo osób, które z konieczności szukają środków płatniczych w cieniu (głównie nielegalna działalność). Ogólnie: wąska grupa geeków. Od pozostałych ludzi wymaga nauczenia się, jak to działa, instalacji dodatkowego oprogramowania i ogólnie przełamania nieufności. Dodatkowo, wymaga posiadania komputera (smartfona) i połączenia z siecią. Paradoksalnie, niekoniecznie jest to taki wielki problem – w końcu płatności przy pomocy telefonów są wprowadzane przez tradycyjne banki, a ludziom nie przeszkadza brak zrozumienia stojących za płatnościami tego typu zagrożeń.

Liczna konkurencja

Bitcoin, który jest obecnie najbardziej znaną kryptowalutą i o największej wartości rynku, nie jest jednak jedyny. Co chwila powstają nowe alternatywy, każda wyróżniająca się albo bardziej odpornym na wydobycie nie na CPU, czyli bardziej sprawiedliwym algorytmem (np. scrypt w przypadku Litecoin), albo – jak ostatnio powstały Riecoin – podstawami naukowymi (liczby pierwsze, szczegóły na stronie projektu). Bałkanizacja rynku kryptowalut z pewnością nie pomoże im na przebicie się do mainstreamu – obok pytania czy implementować obsługę, dochodzi pytanie, którą lub które kryptowaluty wybrać.

Podsumowując, w żadnym razie nie jest tak, że Bitcoin do niczego się nie nadaje. Nawet chyba poszukam portfeli (ciekawe, czy pustych?) i uruchomię możliwość postawienia mi piwa w ten sposób. Już znalazłem w poolu, w którym kopałem testowo (na CPU!), BTC warte obecnie jakieś 7 dolarów. Natomiast nie wierzę, że kiedykolwiek zapłacę BTC za pizzę, hotel czy w supermarkecie. Po prostu się nie przyjmie i nie będzie liczącą się alternatywą dla tradycyjnego (w tym elektronicznego) pieniądza.

Bitcoin to nie waluta

Niedawno rząd USA uznał Bitcoin nie za walutę, a za własność. Na potrzeby podatków, oczywiście. Coś jak akcje. Czyli jeśli ktoś kupuje pewną ilość BTC za jednego dolara, wartość zakupionych BTC rośnie do dwóch dolarów na skutek zmiany kursu, a następnie ktoś kupuje za tę ilość BTC kawę (wartą dwa dolary), to kupujący powinien zapłacić podatek od 1 dolara (różnica wartości kupna i sprzedaży BTC), a sklep podatek dochodowy od dwóch dolarów.

UPDATE Dodany akapit o konkurencji. Mt. Gox ostatecznie upadł i wpływ na BTC miało to niemały – spadek cen z ponad 800 dolarów do 400 dolarów (połączony ze znacznym wzrostem wolumenu wymienianych BTC, co ładnie pokazuje spekulacyjny charakter rynku).

Botnet w Torze.

Napisałem dziś na µblogu, że mam dylemat. I podałem tego linka do bloga projektu Tor. Ostatnio zajmowałem się czym innym i zupełnie przegapiłem opisywany gwałtowny wzrost użytkowników Tora. Dziś zagadka została wyjaśniona – winny jest botnet, który korzysta z Tora do zarządzania węzłami (dobre źródło, po polsku i blog ogólnie ciekawy). Mój dylemat polega na tym, że w chwili obecnej 80% węzłów Tora stanowią komputery zombie wykorzystywane do ataków DDoS, wysyłania spamu itp., a ja nie chcę pomagać spamerom/abuserom.

Jasne, wiadome było, że nie tylko do szczytnych zastosowań Tor służy, ale do tej pory nie miałem żadnych konkretnych, jednoznacznych danych. Teraz je mam.

Sytuacja jest bardzo niekorzystna dla projektu, o czym autorzy nie piszą. Botnet prosto można rozbroić np. wyłączając mu komunikację. Czyli – na poziomie operatora ISP – np. blackhole’ując wszystkie node’y Tora (pośredniczące, czyli relay nodes; lista węzłów wyjściowych i pośredniczących jest publiczna, o czym pisałem we wpisie nt. walki z Tor). Chyba, że botnet jest naprawdę sprytny i korzysta z bridge node’ów, ale coś mi mówi, że raczej nie. Poza tym, zablokowanie – albo przynajmniej drastyczne utrudnienie – dostępu do informacji o bridge nodes też nie jest specjalnie trudne dla ISP…

Twórcy Tora są więc w trudnej sytuacji. Z jednej strony projekt powstał dlatego, że chcą zapewnić swobodną komunikacją. Z drugiej – jeśli nie będą interweniować i nie wyłączą w jakiś sposób botnetu, to istnieje ryzyko, że cała sieć Tor stanie się obiektem ataku jako wspierająca botnet.

Póki co, mój dylemat rozwiązałem tak, że drastycznie zredukowałem pasmo na moim relay node. I czekam na rozwiązanie sprawy. Jeśli trend się utrzyma, nie wykluczam wyłączenia węzła w ogóle.

PS. Jest jeszcze też oczywiście spiskowa teoria. Wszystko to dzieło wspierających kontrolę użytkowników i obywateli i zemsta za dekonspirację PRISM.