Stiahnuť a spustiť je bežná denná prax drvivej väčšiny ľudí, ktorá vlastní počítač a inteligentný telefón. Viete ale, čo naozaj sťahujete a následne spúšťate? Dávna múdrosť hovorí „Never, ale preveruj“. A ak nič neoverujeme, tak jednoducho niečomu a niekomu slepo dôverujeme. A nie je otázkou, či sa nám to vypomstí, ale kedy sa nám to vypomstí. Ak si napríklad neoveríte bitcoinovú peňaženku, ktorú ste si práve stiahli z internetu, tak sa vám tiež pokojne môže stať, že o všetky mince prídete.
Stiahli ste si bitcoinovú peňaženku s malvérom? Nie? A ako to môžete vedieť?
Než spustíte to, čo ste práve stiahli z internetu, na chvíľu sa zastavte a premýšľajte. Čo ak je k aplikácii pribalený vírus, malvér, trójsky kôň alebo iná neplecha? Overenie zaberie len chvíľku a stojí to za to.
Ak sa na dnešný článok pozeráte neveriacky s otvorenými ústami a krútite hlavou, nie ste sami. Nedeste sa. Overovanie softvéru je niečo, o čom vám rodičia pravdepodobne nepovedali, pretože to sami nevedia. V škole sa o tom tiež nezabudli len náhodou zmieniť. Len im to ten, kto písal osnovy, nepovedal, pretože o tom tiež nepočul. Bežný človek dnes už nevie, že je internet nehostinné a vcelku nepriateľské miesto plné nástrah. A ak vlastníte nejaké cenné dáta, máte terč na chrbte.
V súčasnosti je bežnou praxou sťahovať obsah z internetu cez najrôznejšie AppStory, Google Play, Microsoft Story, Steamy, Ubisoft Connecty či ďalších herných alebo softvérových klientov. Bez toho, aby sme si to uvedomovali, automaticky týmto aplikáciám veríme, že nám stiahnu to, čo chceme, bez problémov a akýchkoľvek nástrah. Tak v čom je problém? V tom, že opäť nič neoverujeme, len túto zodpovednosť presúvame na niekoho iného a dúfame, že to za nás urobí poriadne.
Vo väčšine prípadov sa nič nestane. Alebo si to ani nevšimneme, kým nebude neskoro. Keďže si väčšina bežných používateľov svojich dát a svojho súkromia necení natoľko, aby s tým niečo robila, vezmime si ako príklad bitcoin. Bitcoin už je niečo, čo väčšina ľudí vie, že má nejakú hodnotu. Je jedno, čo si o Bitcoine myslíte, faktom je, že sa v tejto chvíli cena za jednu mincu pohybuje cez 48 000 €. A to už pre množstvo technicky schopných ľudí môže byť dostatočná motivácia dať si tú prácu, a bitcoin alebo jeho časť vám ukradnúť.
Už ste počuli o hardvérových peňaženkách?
Jednou z najlepších možností, ako mať svoje bitcoiny v bezpečí, je hardvérová peňaženka typu Trezor. Pre viac informácií si preštudujte náš článok: Hardvérové peňaženky – Ako bezpečne uchovávať bitcoin a ďalšie kryptomeny?
Ako k takej veci dôjde? Jednoducho. Stiahnete si bitcoinovú peňaženku alebo jej novú verziu a bez toho, aby ste si čokoľvek overili, ju nainštalujete. Aj s malvérom, ktorý vám ukradne vaše privátne kľúče k vašim bitcoinom. Úplne rovnako a jednoducho, ako niekto hackol oficiálne stránky projektu Monera a návštevníkom podstrčil peňaženku obohatenú o malvér. Jeden z tých, ktorí si peňaženku stiahli a neoverili, tak prišiel o 7 000 USD a pravdepodobne nebol sám. A stačilo jediné. Overiť stiahnutý súbor peňaženky pred tým, ako ho tento chudák spustil.
Znie vám predstava overovania desivo? Verte alebo nie, to, čo sa vám môže stať, je niekoľkokrát desivejšie. Len ešte nemáte dostatočnú predstavu o tom, čo sa stať môže, pokiaľ nič overovať nebudete. Základy sú pritom úplne jednoduché a s trochou snahy ich pochopí každý. Stojí to za to. Ak budete chcieť, máte k dispozícii neuveriteľne silný nástroj, matematiku – kryptografiu, ktorá sa nemýli a neklame.
PGP (skratka pre Dosť Dobré Súkromie) je šifrovací softvér, ktorý venoval svetu kryptografer Phil Zimmermann už v roku 1991. PGP vzniklo za účelom nielen šifrovania správ, ale aj overovania, či správu napísal naozaj ten, od koho správu čakáte. A nielen to! V podstate vznikol spôsob, ako overovať dáta a ich zdroj. PGP tak našlo využitie nielen v oblasti podpisovania a šifrovania mailov, ale aj podpisovania súborov, zložiek, či dokonca celých diskov.
Privátny kľúč je matematické tajomstvo, ktoré zo svojej podstaty pozná len jeho vlastník. V našom prípade vydavateľ softvéru – bitcoinovej peňaženky. S týmto kľúčom môže vydavateľ podpísať aplikáciu, ktorú nahral na internet a poskytol ju ostatným na stiahnutie.
Verejný kľúč už nie je tajomstvom. Je to vlastne verejná identita vlastníka privátneho kľúča. Pomocou verejného kľúča môžeme zistiť, či to, čo overujeme, bolo podpísané správnym privátnym kľúčom. Inými slovami, môžeme zistiť, či k sebe verejný a privátny kľúč patria bez toho, aby sme poznali pravé znenie privátneho kľúča. Vitajte vo svete čiernej mágie – asymetrickej kryptografie.
Podpis je súbor navyše, s ktorým sa v drvivej väčšine prípadov nestretnete. Prečo? Pretože nezodpovední vydavatelia softvéru nepovažujú za dôležité, aby ste si overili, že súbor, ktorý ste stiahli z internetu, je naozaj ten, ktorý na internet osobne nahrali. Zodpovedný vydavateľ aplikácie, v našom prípade bitcoinovej peňaženky, pripojí na stiahnutie nielen svoj verejný kľúč, ale aj podpis súboru, ktorý podpísal svojím privátnym kľúčom.
Hash je v podstate unikátny odtlačok. Inými slovami, pokiaľ na slovo bitcoin použijeme hashovaciu funkciu SHA256, dostaneme vždy výsledok 6b88c087247aa2f07ee1c5956b8e1a9f4c7f892a70e324f1bb3d161e05ca107b. Ak slovo bitcoin zmeníme na bitcoin cash, dostaneme vždy výsledok 204f6581512af856b350979b8e3b8872a8c802dac0e8d15daf4ccb0703416209. Skúste si to sami.
V praxi sa overovanie pomocou hashu využíva tak, že zodpovedný vydavateľ aplikácie zverejní správu s hashom, ktorú podpíše svojím privátnym kľúčom.
Pomocou aplikácie 7-zip si spočítate hash súboru, ktorý ste stiahli z internetu, a porovnáte ho s hashom, ktorý zverejnil vydavateľ aplikácie. Zostáva už len overiť, či správa s hashom bola podpísaná príslušným privátnym kľúčom. Ak je správa s hashom v poriadku a hash sedí na oboch stranách, máte minimálne riziko, že sa vám prihodí niečo, čo by ste inak mohli ľutovať. Nie je to také zložité, ako sa na prvý pohľad môže zdať, a tak sa poďme rovno vrhnúť do praxe.
V prvom rade budete potrebovať nástroj, ktorý dokáže spomínanú matematiku spočítať. Tomuto nástroju sa hovorí GnuPG, skrátene GPG. Ide o open-source implementáciu štandardu OpenPGP, na ktorého vývoji sa podieľal aj Hal Finney, jeden z prvých vývojárov samotného Bitcoinu, ktorému sám Satoshi Nakamoto poslal historicky prvú bitcoinovú transakciu.
Používatelia operačného systému Windows 10 budú potrebovať aplikáciu Gpg4win, ktorú stiahnete tu. Všimnite si odkaz Check Integrity. Už na prvý pohľad je zrejmé, že ide o zodpovedného vydavateľa softvéru. Pokiaľ na odkaz kliknete, uvidíte spomínané hashe (SHA256 checksums), podpisy k súborom (OpenPGP signatures) a pod nimi verejné kľúče (Previous public key (used up to 2021)). Pri inštalácii Gpg4win zvoľte možnosť aplikácie Kleopatra.
Pre používateľov macOS je k dispozícii GPGTool s grafickým rozhraním. Skúsenejší Apple používatelia pravdepodobne používajú Homebrew, pomocou ktorého stačí jediný príkaz v Termináli brew install gpg.
Používatelia linuxových distribúcií si tu s najväčšou pravdepodobnosťou budú vedieť poradiť. Ak budete inštalovať aplikácie z oficiálnych repozitárov, overovanie za vás spoľahlivo urobí operačný systém. Niekedy ale nemáte na výber a musíte aplikáciu stiahnuť ručne a následne ju pred inštaláciou overiť. Stačí zadať príkaz v Termináli apt install gnupg. Pokiaľ vám viac vyhovuje grafické prostredie, aj pre vás je k dispozícii Kleopatra pomocou jednoduchého príkazu apt install kleopatra.
Bitcoin Core je najpoužívanejšia implementácia bitcoinového protokolu, ktorého súčasťou je aj bitcoinová peňaženka. Na stránke bitcoincore.org/en/download nájdete aktuálnu verziu peňaženky pre váš operačný systém. Ihneď pod tým si všimnite odkaz Verify release signatures, stiahnite ho a uložte do rovnakého priečinka, kam ste uložili inštalačný súbor Bitcoin Core. Nižšie uvidíte Bitcoin Core Release Signature Keys v0.11.0+ 01EA5486DE18A882D4C2684590C8019E36C2E964.
Spustíme Kleopatru, klikneme na Vyhľadať na serveri a vyhľadáme vyššie spomínaný odtlačok verejného kľúča 01EA5486DE18A882D4C2684590C8019E36C2E964 hlavného správcu projektu Bitcoin Core Wladimira J. van der Laana a odtlačok importujeme. V tejto chvíli máme Wladimirov verejný kľúč v našej kľúčenke verejných kľúčov. Ak budeme kedykoľvek v budúcnosti overovať niečo, čo mohol Wladimir podpísať svojím privátnym kľúčom, bude jeho verejný kľúč z našej kľúčenky automaticky použitý na overenie súboru.
Pre lepšie pochopenie si na chvíľu predstavte, že máte svoju kľúčenku so zväzkom fyzických kľúčov, o ktorých viete, že odomykajú iba také dvere, ktorými je bezpečné prejsť. Dvere, za ktorými číha nebezpečenstvo, kľúče na kľúčenke neotvoria.
Celý systém PGP bohužiaľ nikdy nezískal dobré UX ani UI, a tak niektoré veci, než si na ne zvyknete, môžu viac či menej miasť. Pomocou Kleopatry otvorte súbor SHA256SUMS.asc – inštalácia Gpg4win nastavila Kleopatru ako predvolenú aplikáciu na otváranie súboru s koncovkou .asc .sig a pod. V ľavom okne je pre overenie podstatná správa Podpis vytvorený štvrtok 14. januára 2021 13:35:31 S certifikátom: Wladimir J. van der Laan (Bitcoin Core binary release signing key)
Kleopatra overila súbor SHA256SUM.asc s Wladimirovým podpisom a hovorí nám, že súbor bol Wladimirom naozaj podpísaný. Vďaka tomu vieme, že obsah SHA256SUM.asc je v poriadku a naozaj ho vytvoril Wladimir a nie niekto iný.
Teraz budete potrebovať nejaký nástroj na overenie hashu inštalačného súboru Bitcoin Core, ktorý ste stiahli z internetu. S najväčšou pravdepodobnosťou ho už dávno používate, je to napr. 7-Zip slúžiaci na komprimovanie a dekomprimovanie súborov.
Kliknite pravým tlačidlom na inštalačný súbor Bitcoin Core, vyberte CRC SHA a zvoľte SHA-256. Okamžite vyskočí okno s hashom súboru. Porovnajte ho s hashom príslušnej verzie v súbore SHASUM256.ASC pomocou poznámkového bloku a dôkladne oba hashe porovnajte.
Oba hashe sú zhodné Ak áno, môžete bez ostychu inštaláciu Bitcoin Core spustiť. Ak nie, v žiadnom prípade inštaláciu nespúšťajte! Skúste inštalačný súbor stiahnuť znova. Je možné, že sa stiahol poškodený kvôli nestabilnému internetovému pripojeniu. Pokiaľ hash stále nesedí, majte sa na pozore, pretože pravdepodobne niečo nie je v poriadku.
Bisq je decentralizovaná bitcoinová peer to peer burza, na ktorej môžete kúpiť aj predať bitcoiny bez toho, aby ste svoju dušu zapredali diablovi. Ak ste o Bisq nikdy nepočuli, urýchlene to napravte s pomocou nášho článku: Decentralizovaná P2P burza Bisq – Ako správne nakúpiť a predať bitcoin? (NÁVOD).
Stiahnite a do rovnakého priečinka v počítači uložte súbor .exe, PGP Signature z rovnakého riadka a PGP Public Key z posledného riadka Verification. Treba podotknúť, že existuje viacero spôsobov, ako overovať pravosť súborov stiahnutých z internetu. V tomto prípade nemáme podpis k textovému súboru s hashmi, ktoré by sme ručne porovnávali, ale priamo k inštalačnému súboru .exe
Ako prvý otvoríme súbor 29CDFD3B.asc, čo je verejný PGP kľúč Christophera Attendera alias Ripcurlx, hlavného vývojára a vydavateľa Bisq. Verejný kľúč sa opäť otvorí pomocou Kleopatry a ponúkne nám import do našej kľúčenky. Následne otvoríme podpis inštalačného súboru s príponou .asc, v našom prípade teda Bisq-64bit-1.5.5.exe.asc
V tejto chvíli máte istotu, že inštalačný súbor je v poriadku a môžete sa pustiť do inštalácie. Výhodou Bisq je, že pri prípadnej ďalšej aktualizácii celý proces overenia urobí za vás. Samozrejme je vždy lepšie, ak sa presvedčíte sami osobne.
Samourai Wallet je unikátna bitcoinová peňaženka pre Android, nabitá radom nástrojov vylepšujúcich transakčné súkromie pri posielaní bitcoinu. Pokiaľ ste o nej ešte nepočuli alebo ju ešte nepoužívate, odporúčame naštudovať si náš článok: Samourai Wallet – Bitcoin peňaženka so súkromím na steroidoch. Samourai Wallet zaobchádza s vašimi privátnymi kľúčmi, a tak je dôležité mať istotu, že ste stiahli správny súbor a nie jeho prípadnú modifikáciu, ktorá by mohla obsahovať malvér, ktorý by vám privátne kľúče – bitcoiny ukradol.
Peňaženku môžete samozrejme stiahnuť aj cez Google Play, v ktorom sa tradične objavujú podvodné kópie aplikácií, teda tento spôsob inštalácie odporučiť nemôžeme. Druhou možnosťou je F-Droid, čo je lepšia a hlavne bezpečnejšia alternatíva ku Google Play so striktnými pravidlami, ktoré aplikácie sa v F-Droide budú vyskytovať. Ale stále tam máme to, že niečo alebo niekto urobí overenie za nás. A najlepšie je spoľahnúť sa iba sám na seba.
Do tretice sa stretávame opäť s overovaním pomocou porovnávania hashov. S tým rozdielom, že nemáme k dispozícii žiadny .asc súbor s hashmi ako v prípade Bitcoin Core. Ako prvé musíme nejako dostať do našej kľúčenky verejné kľúče vývojárov Samourai Wallet. Tie sú publikované na oficiálnej stránke peňaženky tu: samouraiwallet.com/pgp.txt – otvorí sa nám dlhý text so všetkými verejnými kľúčmi vývojárov, ktorí sa na projekte podieľajú. Klikneme kamkoľvek do priestoru pravým tlačidlom myši a vyberieme Uložiť ako a súbor uložíme s príponou .txt.
Importom .txt súboru pomocou Kleopatry nám v našej kľúčenke pribudli celkom štyri verejné kľúče vývojárov Samourai Wallet.
Na Gitlabe Samourai Wallet projektu je vždy ku každému inštalačnému súboru podpísaná správa s hashom od vývojára TDevD. Celý obsah správy skopírujeme, otvoríme poznámkový blok, správu vložíme a uložíme s príponou .asc – napríklad podpis.asc.
Ak vám Kleopatra hlási, že má správa dobrý podpis od TDevD, znamená to, že hash v podpísanej správe je ten, ktorý TDevD na Gitlab nahral, a nejde o podvod. Teraz už stačí zo stránok či z Gitlabu stiahnuť inštalačný súbor .APK a porovnať hashe, tak ako v prípade Bitcoin Core.
Hash instalačného .APK súboru a hash zo správy, ktorú TDevD podpísal svojím privátnym kľúčom, sa zhodujú a všetko je v poriadku. Teraz už môžete Samourai Wallet v kľude nainštalovať a s radosťou využívať všetky funkcie, ktoré ponúka.
V dnešnom článku sme si ukázali, ako overovať súbory na desktope či na notebooku. Overovanie súborov, ktoré spúšťame na smartfóne, je nemenej dôležité. Aplikáciu pre smartfón môžete stiahnuť a overiť na vlastnom PC a následne si ju nahrať do telefónu. Na Android je k dispozícii open-source aplikácia Termux, pomocou ktorej nainštalujete gpg, a na účely kľúčenky je skvelá OpenKeyChain. Stačí sa naučiť pár základných príkazov s príkazovým riadkom a môžete v kľude overovať aj na telefóne.
Pamätajte, že ak inštalujete appky cez AppStore (iOS) či GooglePlay (Android), tieto obchody robia overovanie za vás. Či im budete veriť, alebo nie, je už na vás. Áno, je to pohodlné, ale stojí to za to? Na druhej strane je potrebné uznať, že riziko prípadného útoku cez dôveryhodný AppStore je pravdepodobne oveľa nižšie ako v prípade aplikácie stiahnutej niekde z internetu od bohvie koho. Pokiaľ to je len trochu možné, vyberajte si aplikácie z repozitárov F-Droidu, prípade z repozitárov, ktoré za sebou nemajú históriu failov, kedy do svojho obchodu pustili nebezpečné aplikácie.
Takmer na záver je potrebné vzniesť otázku, čo je vlastne dôvera a akú funkciu má v digitálnom svete. Cypherpunkeri a bitcoineri majú motto „Never, ale preveruj“. A ak by snáď z dnešného článku vyplynulo, že odteraz nesmiete nikomu, ničomu a v ničom veriť, bolo by to zle, pretože by to nebolo uskutočniteľné. A či chcete alebo nie, na konci dňa musíte vždy niečomu alebo niekomu veriť. Čo ale môžete urobiť, je minimalizovať potrebu dôvery na každom rohu a namiesto dvoch extrémov – veriť/neveriť – sa rozhodovať podľa faktora dôveryhodnosti.
Ak by sme šli dopodrobna v tom, koľkým ľuďom, firmám a technologickým štruktúram dôverujeme pri bežnom používaní počítača, asi by sme sa z toho zbláznili a skončili čoskoro na psychiatrii. Smutným faktom žiaľ je, že dnešný digitálny svet je neuveriteľne fragilnou záležitosťou a ten fyzický sa už bez neho nezaobíde, čím sa stáva nemenej krehkým a náchylným na zlyhanie. Dnešný článok nie je o tom vás vydesiť, ale ukázať vám, že aj vy môžete niekde začať. Môžete začať pri sebe, pomalými krôčikmi a vaším vlastným tempom a napríklad si začať overovať to, čo ste si práve stiahli z internetu.
Uf, dočítali ste až sem? Ak áno, gratulujem. Pokiaľ vás z toho bolí hlava a objavila sa frustrácia, oddýchnite si a bežte na vzduch. Overovanie súborov je extrémne dôležité, a pokiaľ ide o Bitcoin, platí to dvojnásobne. S rastúcou cenou za mincu pribúda zlodušských plánov vás o vaše drahocenné coiny okradnúť. A ak sa naučíte súbory stiahnuté z internetu overovať, šancu na ich úspech minimalizujete.
Overovaním čohokoľvek vo všeobecnom slova zmysle získate dobrý návyk mať sa na pozore, získate kritický cit pre zvláštne situácie, keď je niečo podozrivé, a zbavíte sa vedomej aj podvedomej naivity a neopatrnosti. Žijeme v pomerne obskúrnych časoch, keď ľudia zabudli, čo to je súkromie, a o digitálnom súkromí už nemajú žiadne povedomie. Začnite sa o svoje súkromie a bezpečnosť zaujímať čo i len z tretiny tak, ako sa zaujímate o svoju prácu, zábavu či zdravie. A ak nie pre seba, tak pre svoje deti a budúce generácie.
A pár rád na záver? Premýšľajte častejšie o tom, ako veci fungujú. Ak tomu nerozumiete, opýtajte sa, vyhľadávajte informácie a nevzdávajte to. Ako ľudstvo žijeme v digitálnej totalite, a ak s tým niečo neurobíme, bude horšie. Neinštalujte každú aplikáciu, majte ich len minimum. Dávajte prednosť open-source softvéru s otvoreným zdrojovým kódom. Používajte šifrovanú komunikáciu, zdieľajte verejne len minimum svojich dát. Nikto vám za vaše dáta neplatí, tak prečo ich v obrovských množstvách vysielať do verejného priestoru? Pre pár sekúnd internetovej relevancie a trochu dopamínu?
I'm not giving you my phone number to use Bitcoin
— Beautyon (@Beautyon_) February 19, 2021
I'm not sending you my ID to use Bitcoin
I'm not giving you my address to use Bitcoin
If you ask me for these, I delete your app instantly
I don't care how good you think it is. I don't care at all
My words and money are mine pic.twitter.com/0xdemFidzb
Pokiaľ to ešte neviete, máte k dispozícii skvelé nástroje, ktoré vracajú veci do vašich rúk, a dnešný článok je toho dôkazom. Zistite si, ktoré to sú, naučte sa ich používať a používajte ich. Bitcoin je nástrojom finančnej zvrchovanosti, ale s ním to ani náhodou nezačína, ani nekončí. Pomaly a postupne prevezmite kontrolu nad svojím digitálnym životom, v budúcnosti sa poďakujete. A to najdôležitejšie, učte sa. Učte sa a keď sa na to budete cítiť, odovzdávajte skúsenosti ďalej a učte ostatných.
Overujte, overujte a overujte. A pokiaľ sa vám niečo nezdá, neinštalujte to. Majte sa na pozore, pretože na digitálnom divokom západe čaká nebezpečenstvo na každom kroku.
