Kibernetinis saugumas priverčia mane verkti

Hakeris įsilaužė į „Equifax“

Tiesioginio veiksmo „Equifax“ įsilaužimo kadras

Mes nuolat reguliariai atkreipiame dėmesį į duomenų pažeidimus ir nerimaujame dėl skaitmeninės informacijos saugumo ir privatumo, apgynę senstančią interneto infrastruktūrą, kuri akivaizdžiai neatitinka sudėtingų kibernetinių atakų prevencijos iššūkio. Nuo „Equifax“ iki „WannaCry“ kibernetinio saugumo iliuzija tirpsta prieš mūsų akis.

Vis dažniau išaiškėja naujienos apie asmeninės informacijos įsilaužimą ar atskleidimą. Vis dažniau paaiškėja, kad tie, kuriems patikėjome raktus į savo duomenis, netinkamai naudoja tuos duomenis ir išduoda pasitikėjimą. Darosi vis aiškiau, kad iki šiol mus pasiekusių centralizuotų sistemų nepakaks, kad apsaugotume mus į priekį.

„Blockchain“ technologija žada išspręsti šias problemas pašalindama pasitikėjimą mūsų skaitmeninio turinio saugojimu ir prieiga. Perkeldami duomenis į tinklo kraštus ir naudodami stiprią kriptografiją, kad išlaikytumėte individualų tų duomenų valdymą, „blockchains“ siekia grąžinti galią į galutinių duomenų naudotojų ir kūrėjų rankas, o ne į (aiškiai gremėzdiškas) duomenų valdytojų rankas. platformos, kurias naudojame dalydamiesi duomenimis.

„Blockchains“ nėra neįmanoma nulaužti

Tačiau, kad ir kokie blokiniai grandinės gali būti, jie nėra apsaugoti nuo atakos. Bet kuri technologija turi silpnąsias vietas ir atakos vektorius, o „blockchain“ nėra išimtis. Čia mes išnagrinėsime įvairius atakos vektorius (didėjančios grėsmės tvarka) ir apžvelgsime keletą jų pavyzdžių iš iki šiol trukusios, bet jaudinančios kriptovaliutos istorijos..

„Sybil Attack“

„Sybil“ ataka yra ataka, kurios metu daugybė mazgų viename tinkle priklauso tai pačiai šaliai ir bando sutrikdyti tinklo veiklą užliedami tinklą blogomis operacijomis arba manipuliuodami galiojančių operacijų perdavimu..

Šios atakos kol kas yra teorinės ir dažniausiai jų niekada nebus galima pamatyti, nes vienas pagrindinių dizaino sprendimų, priimtų kuriant kriptovaliutų sistemą, yra tai, kaip užkirsti kelią „Sybil“ atakoms.

„Bitcoin“ neleidžia jiems naudotis savo darbo įrodymo algoritmu, reikalaudamas, kad mazgai išleistų išteklius (energijos pavidalu) monetoms gauti, todėl didžioji dauguma mazgų priklauso labai brangiai. Skirtingi projektai skirtingai valdo „Sybil“ atsparumą, tačiau beveik visi su tuo susiduria.

Maršruto ataka

Maršruto ataka yra ataka, kurią įmanoma padaryti dėl interneto paslaugų teikėjo (IPT) kompromiso ar bendradarbiavimo. Nors techniškai įmanoma paleisti „Bitcoin“ (ar kitų monetų) mazgą bet kurioje pasaulio vietoje, dabartinė tikrovė yra ta, kad mazgai šiuo metu yra palyginti centralizuoti kalbant apie interneto paslaugų teikėjus, kurie perduoda interneto srautą į ir iš jos..

Pagal tyrimus atliko ETHZurich, 13 IPT priima 30% Bitcoin tinklo, o 3 IPT nukreipia 60% viso tinklo operacijų srauto. Tai yra pagrindinis nesėkmės taškas, jei IPT būtų pažeistas ir sugadintas.

Maršrutizavimo ataka veikia perimant interneto srautą, siunčiamą tarp autonominių sistemų, aukščiausio lygio interneto architektūros mazgų, kurių yra pakankamai mažai, kad būtų galima perimti santykinai lengvai. Tai yra reiškinys, kurį net net kasdien galima pamatyti laukinėje gamtoje ir kurį tikrai galima naudoti prieš Bitcoin ar kitą kriptovaliutų srautą.

Naudojant šį metodą, kriptovaliutų tinklą būtų galima suskirstyti į du ar daugiau atskirų tinklų, dėl kurių bet kuri skaidinio pusė susidurtų su dvigubo išlaidų išpuoliais, nes jie negali bendrauti su visu tinklu, kad patvirtintų operacijas. Išleidus monetas vienoje tinklo pusėje ir gavus prekes ar paslaugas, pertvarą buvo galima pašalinti, o tinklo pusę su trumpesne grandine atmetė visas tinklas ir šios operacijos buvo sunaikintos..

Kiek žinome, tokio pobūdžio išpuolis neįvyko, ir yra priemonių, kurių galima imtis, kad monetos būtų apsaugotos nuo šio elgesio.

Tiesioginis paslaugų atsisakymas

Tiesioginio paslaugų teikimo atsisakymo užpuolimo schemaNors jūs galite lengvai nusipirkti domeną su galingomis atgalinėmis nuorodomis iš https://www.spamzilla.io, bet paprasta tiesioginio paslaugų atsisakymo (DDoS) ataka gali suluošinti jūsų serverį. DDoS yra tiesiog bandymas, kurį galima padaryti užliejant serverį dideliu srautu. Tai neabejotinai yra viena iš labiausiai paplitusių gamtoje atakų, nes palyginti lengva nusipirkti DDoS ataką iš daugybės nepageidaujamų „įsilaužėlių“ ar firmų..

Svetainės atveju tai atrodo kaip didžiulis užklausų kiekis serveriui, nuolat siunčiamas tam tikrą laiką, neleidžiant teisėtoms užklausoms gauti reikiamų išteklių. „Bitcoin“ mazgo atveju tai atrodo kaip didžiulis mažų ar negaliojančių operacijų kiekis, siunčiamas siekiant užlieti tinklą ir užkirsti kelią teisėtų operacijų apdorojimui.

Pagrindiniai tinklai, pvz., „Bitcoin“, yra nuolat atakuojami iš „DDoS“ bandymų, tačiau kuriant „Bitcoin“ tinklą priimti dizaino sprendimai padeda sušvelninti „DDoS“ bandymų riziką. Sėkmingos DDoS atakos akivaizdoje nėra pavogtų lėšų ar pavojaus saugumui grėsmės, paprasčiausiai sustabdoma tinklo veikla.

„Bitcoin‘s Backlog Blues“

Nors šis pavojus saugumui nėra, šį paslaugos nutraukimą galima naudoti kitoms darbotvarkėms. Yra kažkas tokio, kaip kalbant apie „šlamšto“ operacijas („DDoSing“ tinklą su daugybe operacijų) ir „Bitcoin“, kuris vyko nuo 2015 iki 2017 m..

2015 m. Birželio mėn. Coinwallet.eu (dabar jau nebeveikianti piniginių įmonė) atliko „streso testas„Bitcoin tinklo“, siunčiant tūkstančius operacijų tinkle, stengiantis paveikti tuo metu siautėjusias diskusijas dėl bloko dydžio keitimo, skelbimo pranešime nurodydamas, kad jie nusprendė „aiškiai parodyti padidėjusio atvejo atvejį. bloko dydį pademonstruodamas didelio masto šlamšto atakos tinkle paprastumą “.

Praėjus mėnesiui, vadinamojoje „potvynių atakoje“, vienu metu į „Bitcoin“ tinklą buvo išsiųsta 80 000 mažų operacijų, sukuriant didžiulį atsilikimą, kuris buvo pašalintas tik „F2Pool“, vieno iš didžiausių tuo metu kasybos baseinų, pastangomis. kuris visą bloką skyrė visų šlamšto operacijų sujungimui ir jų išvalymui.

Per ateinančius metus, remiantis „Analytics“ analitikos įrankio „OXT“ kūrėjo LaurentMT analize, buvo išsiųsta dar tūkstančiai ar net milijonai šlamšto operacijų (daugiausia mažų, nenaudingų operacijų, kurios negalėjo būti teisėtos). „Bitcoin UTXO“ atsilikimas, tačiau pagrindiniai kasybos fondai į šias operacijas dažniausiai neatsižvelgė.

„Bitcoin Mempool 2017“

Staiga, 2016 m. Antroje pusėje ir tuo pačiu metu, pagrindiniai kasybos fondai tuo metu pradėjo priimti šias šlamšto operacijas į blokus, sumažindami teisėtų sandorių apyvartą, kai vėl kilo diskusijos dėl bloko dydžio ir daugelis iš baseinų buvo gandai, kad jie „dideliais blokatoriais“ stojasi per mažus blokatorius.

Nuo to laiko „Bitcoin“ tinklas pašalino šį atsilikimą ir dūzgia, o didžiųjų blokų gerbėjai atkreipė dėmesį į „Bitcoin Cash“ – projektą, kurį Jihanas Wu („Bitmain“ įkūrėjas – didžiausias iki šiol didžiausio „Bitcoin“ hashpower savininkas) visiškai palaiko . Atlikite savo tyrimus.

51% arba „Daugumos ataka“

Kadangi „blockchain“ saugumas yra tiesiogiai susijęs su kompiuterio galia, kuria grandinę, kyla grėsmė, kad užpuolikas galės kontroliuoti didžiąją tinklo maišos galią. Tai leistų užpuolikui užblokuoti blokus greičiau nei likusioje tinklo dalyje, atveriant duris „dvigubai išlaidauti“.

Dvigubas išleidimas yra kriptovaliutos apgaulės metodas, apimantis sandorių pateikimą grandinei, prekės ar paslaugos, už kurią mokama už operaciją, gavimą ir vėliau panaudojant daugumos maišos blokų grandinę šakoje prieš sandorį. Tai iš tikrųjų pašalina tą sandorį iš grandinės istorijos, leidžiant užpuolikui antrą kartą atlikti operacijas su tomis pačiomis monetomis.

Įsigijus daugumą „hashpower“, užpuolikas negalėtų kurti monetų, pasiekti adresų ar kaip nors kitaip pažeisti tinklo, o tai apriboja šio metodo daromą žalą. Didžiausias tokios atakos poveikis gali būti prarastas pasitikėjimas užpultu tinklu ir vėlesnis bet kurio tinklo simbolio turto kainos kritimas.

Tokio pobūdžio daugumos ataka yra labai brangi, todėl realiai tik santykinai mažos ir mažos galios monetos yra atsparios šiam atakos vektoriui. Pagrindinėms monetoms, tokioms kaip „Bitcoin“, mažai ko reikia bijoti dėl 51% atakos, nes bet kuris užpuolikas, turintis didžiąją dalį pinigų, turėtų daugiau paskatų paprasčiausiai išminuoti visus blokus ir gauti „Bitcoin“, nei bandyti pulti, ypač atsižvelgiant į tai, kad jų pavogto Bitcoin kaina žlugtų, jei pasirodytų žinia apie išpuolį.

Laukinėje gamtoje – 51 proc

Vienas iš įdomesnių pavyzdžių, kai 51% išpuolių laukinėje gamtoje atsirado dėl įsilaužėlių grupės, pasivadinusios „51 įgula“, 2016 m. Antroje pusėje 51 įgula išpirkai pradėjo laikyti mažus „Ethereum“ klonus, pasinaudodama jų maži maišos rodikliai ir centralizuotas kasybos paskirstymas, kad būtų galima išsinuomoti pakankamai aparatūros tinklui pakreipti.

Teigdami, kad „ketinimas nėra sužlugdyti projektą“, jie tai darė tik tam, kad užsidirbtų pinigų, jie reikalavo „Bitcoin“ mainais už savo veiklos nutraukimą ir projektų ramybę. Jei reikalavimai nebuvo patenkinti, jie sugriebė monetos blokų grandinę iki taško prieš didelius pardavimus, kuriuos įgula jau padarė mainais.

Aptariami projektai „Krypton“ (dabar nebeveikiantys) ir „Shift“ (vis dar prekiaujama nedideliu kiekiu) atsisakė mokėti išpirką ir vėliau savo šakų blokus. Projekto komandos siekė decentralizuoti tinklą ir atlikti protokolų pakeitimus, kad būtų išvengta tokių piktnaudžiavimų, bet ne prieš tai, kai sulaukė gana didelio pasisekimo.

Kriptografiniai pažeidžiamumai

Iki šiol aprašytos atakos daugiausia susijusios su dvigubomis išlaidomis arba tinklo paslaugų mažinimu. Išpuolių vykdymas yra brangus ir greitai ištaisomas paties tinklo savitaisos funkcijomis. Nors tai gali kelti realią grėsmę pasitikėjimui kriptovaliuta ir sukelti minimalų lėšų praradimą, tai yra palyginti mažos bulvės.

Kaip ir bet kurioje kompiuterinėje sistemoje ar tinkle, didžiausias atakos vektorius yra žmogaus klaida. Didžiausi iki šiol kriptolandijoje pastebėti lėšų nuostoliai yra pačios monetos programinės įrangos klaidų rezultatas. Kriptografinės klaidos, susijusios su kriptovaliutų saugumu, palieka saugumo spragas, kurias sudėtingi įsilaužėliai gali atrasti ir panaudoti, kad pakenktų projektui.

DAO

Bene akivaizdžiausias įsilaužimo, įjungto per menką kodą, pavyzdys yra liūdnai pagarsėjęs „Ethereum DAO“ įsilaužimas, toks blogas, kad sukėlė visiškai naują kriptovaliutą ir iki šios dienos persekioja „Ethereum“ projektą.

DAO (decentralizuota autonominė organizacija) buvo lyderio neturinti organizacija, pastatyta ant „Ethereum“ viršaus naudojant pažangias sutartis. Idėja buvo suteikti kiekvienam galimybę investuoti į įmonę ir balsuoti už projektus, kuriuos jie nori finansuoti. Visi jie valdomi saugiai ir automatiškai pagal DAO išmaniųjų sutarčių kodą..

Jei investavote į DAO (pirkdami DAO žetonus), o vėliau nusprendėte pasitraukti, tai buvo mechanizmas, pagal kurį galėtumėte grąžinti savo „Ethereum“ mainais už jūsų DAO žetonus. Tai yra mechanizmas, vadinamas „Split Return“, kurį 2016 m. Birželio 17 d. Išnaudojo novatoriškas DAOistas.

„Split Return“ yra dviejų etapų procesas: grąžinkite reikiamą „Ethereum“ kiekį žetono turėtojui, kuris suaktyvina grąžinimą, tada paimkite žetonus ir užregistruokite operaciją „blockchain“, kad atnaujintumėte DAO žetonų balansą. Nežinomas įsilaužėlis suprato, kad jis gali apgauti sistemą pakartoti pirmąjį žingsnį nepereidamas ant antrojo, o tai leido jiems iš DAO išleisti 50 milijonų JAV dolerių vertės Ethereum į atskirą DAO, kurį kontroliuoja tik užpuolikas.

Tai akivaizdžiai pakurstė „Ethereum“ bendruomenę, ir buvo sukurtas planas susigrąžinti lėšas ir susigrąžinti lėšas. Minkšta šakutė būtų buvusi minimaliai invazinė, suderinama su atgal ir paprasčiausiai „ištrynusi“ DAO įsilaužimą iš blokų grandinės. Parengus planą, vis dėlto buvo suprasta, kad jis neskris ir reikės kietos šakės. Tai buvo prieštaringai vertinama ir sukurta „Ethereum Classic“ (ETC), pradinės „Ethereum“ grandinės tąsa su DAO įsilaužimu, ir „Ethereum“ (ETH) – naujai sukonstruotas projektas, kuris kitą dieną tęsėsi DAO..

Tikra grėsmė yra vartotojai, o ne įsilaužėliai

„Blockchain“ technologija yra tvirta ir perspektyvi, ir net taikant visus šiuos galimus atakų metodus, labai nedaug sėkmingų atakų pateko į istoriją. Tačiau tai nesutrukdė vartotojams pavogti didžiules pinigų sumas.

Nors daugumos kriptovaliutų saugumas išlieka nepakitęs, aplink šias kriptovaliutas esančių piniginių, mainų ir trečiųjų šalių paslaugų saugumas tebėra beveik juokingai blogas. Per daugelį metų iš pažeistų asmenų sąskaitų ir mainų buvo pavogta milijonų milijonų dolerių vertės Bitcoin ir kitų kriptovaliutų..

Nors aukščiau aprašyti išpuoliai dažniausiai yra teoriniai ir nuo jų aktyviai ginamasi, akivaizdi Bitcoin ir bet kurios kitos kriptovaliutos saugumo skylė yra tai, kad žmonės ne taip gerai moka atkreipti dėmesį ir yra budrūs. Slaptažodžių pakartotinis naudojimas, sukčiavimo sukčiavimo auka, neatsargūs svetainių operatoriai ir aplaidūs mainų darbuotojai ir toliau yra vienintelis pavojingiausias nesėkmės taškas, kalbant apie kriptografijos ekonomikos sveikatą..

Judant į priekį, gali būti, kad įvykdytos tam tikros „blockchain“ lygio atakos. Tai gali kilti iš didžiulių galių, tokių kaip vyriausybės ar korporacijos, siekdamos kontroliuoti ar pakenkti šioms perspektyvioms naujoms priemonėms saugoti ir perduoti turtus ir vertę. Tačiau ilgainiui tokios atakos padės sustiprinti ir tobulinti technologijas, kad jos būtų atsparesnės ir tvirtesnės.

Tačiau daug daugiau nei tai, prieš pradedant realų pritaikymą, reikės padaryti didelius šuolius, susijusius su paprastu vartotojų kriptografinių produktų naudojimu ir saugumu. Kol vienas netyčia pasidalijo slaptažodžiu arba palikęs atidarytą nešiojamąjį kompiuterį gali prarasti jūsų gyvenimo santaupas, mes negalime patekti į pasaulį, kuriame veikia kriptografija.