Naraščajoče bolečine kibernetske varnosti Crypto in Blockchain: od napadov Sybil do ozkih grl
Gostujoča objava HodlX Pošljite svojo objavo
Kripto uporabniki in vlagatelji so zaskrbljeni, da bi blokovne verige lahko vdrli, toda kljub strahu kripto industrija napreduje s številnimi težavami..
Blockchains so prišli v ospredje in trdijo, da imajo uporabnike kriptovalut nepredušno varnost in zanesljivost. Vendar pa je nedavni izbruh javni napadi na več različnih verig blokov je sprožil vprašanje kibernetske varnosti in opozoril vrtoglave kripto pionirje, da je tako kot pri običajnem internetu brezhibna varnost nemogoča.
Zdi se, da lahko najboljši uporabniki upajo, da bodo očitna tveganja ublažena – do določene točke. Ta točka ali prag je morda le človeška napaka, saj je kljub najbolj iznajdljivim varnostnim ukrepom v kombinaciji z najučinkovitejšo metodologijo platforme kibernetska varnost le tako dobra kot posameznik, ki drži ključe.
Enako bi lahko rekli za varnostne ukrepe brez povezave. Vaša rezidenca bi lahko imela najnaprednejše detektorje gibanja, ojačana vrata, ključavnice in okna, da o psu čuvaru niti ne govorimo. Če pa lastnik stanovanja izgubi svoje ključe, jih omogoči kopiranje ali pa jih ukrade hudobni vlomilec, postane oropanje družinskih draguljev primer vstopa skozi vhodna vrata in spet nazaj..
Zbiranje dokazov
Glede na velike razlike v infrastrukturi kibernetske varnosti med potrošniki, prodajalci, podjetji in ponudniki storitev se odmevne kršitve podatkov pojavljajo dosledno redno.
Resničnost je taka, da takoj, ko lahko izkoristimo eno šibko točko (običajno jo iznajdljivi hekerji), postane celoten sistem dovzeten. Druga težava je, da nimajo vsi agenti v katerem koli medsebojno povezanem sistemu enake stopnje varnosti, kar dejansko pomeni, da lahko hekerji arbitrirajo glede varnostnih pomanjkljivosti in okužijo celoten sistem.
Sedanja internetna infrastruktura verjetno ni kos izzivu preprečevanja zapletenih kibernetskih napadov. Vzemimo primere Equifax, WannaCry, Bitfinex in decentralizirane avtonomne organizacije (DAO). Vsak od teh napadov ni nastal zaradi ranljivosti v sami arhitekturi, temveč na načine, kako je arhitekturo izvajalo določeno podjetje ali posameznik..
Dobra novica je, da težava ni bila sama infrastruktura, ampak varnostna metodologija, ki se je izvajala. Slaba novica je, da ne glede na izvedene ukrepe kibernetske varnosti vedno obstajajo podvigi hekerjev.
V primeru Bitfinexa leta 2016, platforme za trgovanje s kriptovalutami, ki jo je prvi ustanovil Raphael Nicolle, je njeno vdiranje povzročilo krajo Bitcoina v vrednosti 60 milijonov dolarjev.
Oblikovanje napadov
Od rojstva tehnologije veriženja blokov in kriptovalut so bili razviti različni načini napada, da bi izkoristili milijone dolarjev, ki jih uporabniki izmenjujejo. Razumljivo je, da je tehnologija veriženja blokov nov pojav, zato ima različne težave z zobmi, ki jih skušajo razvijalci postopoma izkoreniniti sčasoma (podobno kot vsi drugi novi tehnološki dosežki)..
Tu je le nekaj razvojnih podvigov in njihovega delovanja:
Sybil napad
Tako imenovani napad Sybil je bil poimenovan v čast knjige Flore Schreiber “Sybil”, ki se je poglobila v zdravljenje bolnika z večkratno osebnostno motnjo. V svetu kriptovalut napad Sybil vključuje veliko število vozlišč v enem omrežju, ki je v lasti iste stranke (torej povezava s knjigo), da bi motil omrežno dejavnost. Glavni metodi motenj sta preplavitev omrežja s slabimi transakcijami ali manipulacija načina prenosa veljavnih transakcij.
Strokovnjaki za računalništvo trdijo, da so napadi Sybila teoretični (doslej) in se morda nikoli ne bodo uresničili, ker je eden od temeljnih konceptov oblikovanja, na katerem temeljijo kriptovalute, vključevanje obrambnih mehanizmov, ki preprečujejo to posebno obliko kršitve. Bitcoin preprečuje napade Sybila prek tako imenovanega “algoritma za dokazovanje dela”, ki zahteva, da vozlišča porabijo sredstva (v obliki energije) za prejemanje kovancev, s čimer je lastništvo velike večine vozlišč precej drago. Različni projekti različno rešujejo odpornost proti Sybilu, vendar ga rešujejo skoraj vsi.
Za zdaj so napadi Sybil zgolj pika na radarju, sčasoma pa bi lahko zadeli veliko bližje domu – zlasti s številnimi kripto nastavitvami, ki se zdaj širijo na trg in spodbujajo številne podjetnike, da ostrijo varnost, da bi spodbudili večje sodelovanje v njihovih novih bleščečih kriptokovancih.
Usmerjevalni napad
Usmerjevalni napadi delujejo tako, da prestrežejo internetni promet, poslan med avtonomnimi sistemi in vozlišči na najvišji ravni, ki tvorijo arhitekturo interneta. Ta vozlišča delujejo na hierarhični strukturi, kar pomeni, da lahko hekerji, če se infiltrirajo le v eno ali dve vozlišči na vrhu, razširijo različne mehanizme za prestrezanje prometa, ki se pošilja v preostali del sistema. Končni rezultat je množica zlorab in ja, uganili ste, veliko ukradenih kovancev.
Napadi usmerjanja se redno pojavljajo po vsem internetu in so zdaj prilagojeni tako, da spodkopavajo verige blokov in kriptovalut na splošno..
Po navedbah raziskavo opravil ETHZurich, 13 ponudnikov internetnih storitev gosti 30% Bitcoin omrežja, medtem ko le 3 ponudniki internetnih storitev usmerjajo 60% celotnega prometa transakcij za omrežje. To bi lahko postalo glavna osrednja točka za hekerje, če bi bil ponudnik internetnih storitev ogrožen ali pokvarjen.
Neposredna zavrnitev storitve
Napad z neposredno zavrnitvijo storitve (DDoS) je poskus zlonamernih uporabnikov, da učinkovito uničijo strežnike, spletna mesta in celo vozlišča Bitcoin, tako da ga preplavijo z veliko količino zahtev in internetnim prometom.
V primeru običajnega spletnega mesta napad DDoS preprečuje legitimnim zahtevam, da prejmejo vire, ki jih potrebujejo. V primeru vozlišča Bitcoin to pomeni, da se pošlje ogromno majhnih ali neveljavnih transakcij, ki preplavijo omrežje in preprečijo obdelavo zakonitih transakcij..
DDoS-napadi so izjemno pogosti v internetu in skoraj vsako veliko podjetje ali vladna služba se je moralo v zadnjih desetletjih spopadati s takšnimi napadi. Zdi se, da hekerji favorizirajo velike subjekte, ko iščejo podvige, verjetno zaradi večjega plena (ali obsežnejših motenj), če jim uspe izkoriščanje uspeti.
Ta metoda napada se je tako pogosto uporabljala, da strokovnjaki pravijo, da je zdaj DDoS-napad sorazmerno enostavno kupiti od poljubnega števila uglednih “hekerjev” ali podjetij, ki se tam skrivajo, da bi postregla z najvišjim ponudnikom.
Ozka grla
Junija 2015 je Coinwallet.eu izvedel stresni test Bitcoin omrežja, tako da je po omrežju poslal tisoče transakcij, da bi poudaril, da je treba povečati velikost blokov. Takrat so bili razvijalci Coinwallet trdno prepričani, da so napadi neželene pošte preprost način za zamašitev celotnega omrežja in učinkovito zaustavitev katere koli kriptovalute..
Približno mesec dni kasneje je bilo v tako imenovanem »napadu poplav« istočasno v Bitcoin omrežju poslanih 80.000 mikro transakcij, da bi ustvarili obremenjujoče zaostanke, ki so grozili, da bodo Bitcoin ustavili in potencialno ustvarili paniko med svojimi muhastimi uporabniki.
Bitcoin omrežje je bilo učinkovito rešena, šele po posredovanje F2Pool, eden največjih svetovnih rudarskih bazenov. Družba je bila prisiljena posvetiti celoten blok združevanju vseh neporavnanih neželenih transakcij, preden jih je dokončno očistila in obnovila Bitcoin omrežje nazaj v stanje delovanja.
51% ali “večinski napad”
Glede na to, da je varnost verige blokov neposredno povezana z obsegom računalniške moči, ki ustvarja sam blok verigo, vedno obstaja tveganje, da nekdo pridobi nadzor nad večino razpršene moči omrežja. Teoretično bi to omogočilo napadalcu, da bi miniral bloke hitreje kot ostalo omrežje skupaj, in s tem odprlo vrata tako imenovanemu “dvojnemu trošenju”.
Dvojna poraba je metoda goljufije kriptovalute, ki vključuje pošiljanje transakcij v verigo blokov, prejemanje izdelka ali storitve, za katero je bilo plačano, in nato uporabo večinske zgoščevalne moči za vilico verige na mestu pred transakcijo. V bistvu dvojna poraba izbriše transakcije iz zgodovine verige, kar napadalcu omogoča, da že drugič opravi transakcijo z istimi kovanci.
Preprosto povedano, podobno kot če bi plačilo za več izdelkov s čekom unovčili samo enkrat. Najbolj škodljiv vidik takšnega napada je manj stabilnost arhitekture blokovne verige, še bolj pa vpliv na širše zaupanje drugih uporabnikov – podobno, kot bi lahko govorice o ponarejeni fiat valuti storile v sodobnem gospodarstvu.
Prava grožnja
Prišla je tehnologija Blockchain, ki je s seboj prinesla kriptovalute. Storitve, ki jih vodi kripto, lahko potencialno spremenijo naše poslovanje, hkrati pa opolnomočijo ustvarjanje široke palete izboljšav v družbi. Blockchains si prizadevajo vrniti moč končnim uporabnikom, ne pa izkoriščevalnim platformam za izmenjavo podatkov.
Vendar ne glede na to, kako močni so verige blokov, niso imuni na napade. Vsaka tehnologija ima šibke točke in vektorje napadov, verige blokov pa niso nobena izjema.
Neizogibna težava v kibernetski varnosti (in še posebej vdiranju kripto) je, da je varnost katere koli kriptovalute tako dobra kot oseba, ki ima ključe. Tudi najboljši zaščitni mehanizem lahko postane nepomemben uporabnik, ki ne pazi, kar morda poudarja temeljno resnico človeške narave: ljudje niso tako dobri v pozornosti ali pazljivosti, zlasti kadar se valijo v lažnem občutku varnosti.
Ponovna uporaba gesel, žrtev phishing prevar, neprevidni upravljavci spletnih strani in malomarni uslužbenci izmenjave so še vedno najnevarnejše točke neuspeha, ko gre za zdravje kripto ekonomije..
Skupnost razvijalcev aktivno omili različne oblike kripto hektarstva, ki je daleč večje od števila hekerjev, ki delujejo v nasprotni smeri. Ko obe strani boja za kibernetsko varnost razvijata večje in boljše orožje, vojna med razvijalci in hekerji divja in verjetno kmalu ne bo zagotovo pokazala jasnega zmagovalca.
Demetrios Zamboglou je glavni operativni direktor pri ICON Capital Reserve SA. Je tudi večkrat nagrajeni izvršni direktor Fintecha, strokovnjak za Blockchain in svetovalec za ICO z doktoratom iz raziskav na področju upravljanja. Pred ICON-om je Zamboglou opravljal vodstvene funkcije v Lykke, FX ™, zebrafx in Forex Club, specializiran za vprašanja, vključno z razvojem podjetja, strategijo, obvladovanjem tveganj, trženjem in skladnostjo.