Cybersecurity me tjera da poželim plakati
Snimak aktivnog udarca Equifaxa u živo
Postojimo u vrijeme redovitog kršenja podataka visokog profila i zabrinutosti zbog sigurnosti i privatnosti digitalnih podataka, opsjednutih starom internetskom infrastrukturom koja očito nije do izazova u sprječavanju sofisticiranih cyber napada. Od Equifaxa do WannaCryja, iluzija kibernetičnosti rastvara se pred našim očima.
Sve češće izlaze na vidjelo vijesti o hakiranju ili izlaganju osobnih podataka. Sve se više otkriva da oni kojima smo povjerili ključeve naših podataka zlouporabljavaju te podatke i izdaju naše povjerenje. Sve je jasnije da centralizirani sustavi koji su nas stigli tako daleko neće biti dovoljni da nas zaštite u kretanju naprijed.
Blockchain tehnologija obećava da će riješiti ove probleme uklanjanjem povjerenja uključenog u pohranu i pristup našem digitalnom sadržaju. Premještanjem podataka na rubove mreže i korištenjem jake kriptografije za održavanje individualne kontrole nad tim podacima, blockchains imaju za cilj vratiti snagu u ruke krajnjih korisnika i kreatora podataka, a ne (očito nespretne) ruke platforme koje koristimo za dijeljenje podataka.
Blockchains nisu neizvodljivi
Međutim, koliko god blockchains bili moćni, nisu imuni na napad. Bilo koja tehnologija ima slabe točke i vektore napada, a blockchain nije iznimka. Ovdje ćemo istražiti razne vektore napada (redoslijedom povećavanja prijetnje) i pogledati nekoliko primjera iz kratke, ali uzbudljive povijesti kriptovaluta do sada.
Sybil Attack
Sybil napad je napad u kojem je ogroman broj čvorova na jednoj mreži u vlasništvu iste strane i pokušava poremetiti mrežne aktivnosti preplavljivanjem mreže lošim transakcijama ili manipulacijom prenošenja valjanih transakcija.
Ovi su napadi zasad teoretski i većinom se možda nikada neće vidjeti, jer je jedna od temeljnih dizajnerskih odluka donesenih prilikom razvoja sustava kriptovaluta kako spriječiti napade Sybil.
Bitcoin ih sprječava putem svog algoritma Proof-of-Work, zahtijevajući od čvorova da troše resurse (u obliku energije) za primanje kovanica, čineći tako posjedovanje velike većine čvorova vrlo skupim. Različiti se projekti različito nose s otpornošću na Sybil, ali gotovo svi se s tim nose.
Usmjeravanje napada
Napad usmjeravanjem napad je omogućen kompromisom ili suradnjom davatelja internetskih usluga (ISP). Iako je tehnički moguće pokretati Bitcoin (ili druge kovanice) čvor bilo gdje u svijetu, trenutna je stvarnost da su čvorovi trenutno relativno centralizirani u smislu ISP-ova koji prenose internetski promet od i do.
Prema istraživanje koje je izveo ETHZurich, 13 ISP-a hostira 30% Bitcoin mreže, dok 3 ISP-a usmjeravaju 60% cjelokupnog prometa transakcija za mrežu. To je glavna točka neuspjeha ako se ISP ugrozi i ošteti.
Napad usmjeravanja djeluje presretanjem internetskog prometa koji se šalje između autonomnih sustava, čvorova najviše razine u arhitekturi interneta, kojih je malo dovoljno za presretanje s relativnom lakoćom. Ovo je fenomen viđen često, čak i svakodnevno, na internetu u divljini i zasigurno se može koristiti protiv Bitcoina ili drugog prometa kriptovaluta.
Korištenjem ove metode mreža kriptovaluta mogla bi se podijeliti na dvije ili više zasebnih mreža, izlažući obje strane particije napadima dvostruke potrošnje jer ne mogu komunicirati s cijelom mrežom radi provjere valjanosti transakcija. Jednom kada bi se kovanice potrošile na jednoj strani mreže i kada bi se primila roba ili usluge, particija bi se mogla ukloniti i ona mreža s kraćim lancem odbiti bi mreža u cjelini i te bi transakcije bile izbrisane.
Koliko nam je poznato, ovakva vrsta napada nije se dogodila, a postoje koraci koji se mogu poduzeti kako bi novčići postali imuni na ovo ponašanje.
Izravno uskraćivanje usluge
Iako ste lako mogli kupiti domenu s moćnim povratnim vezama sa https://www.spamzilla.io, ali jednostavan napad izravnog uskraćivanja usluge (DDoS) mogao bi osakatiti vaš poslužitelj. DDoS je jednostavno pokušaj preplavljivanja poslužitelja velikom količinom prometa. Ovo je definitivno jedan od najčešćih napada viđenih u divljini, jer je relativno lako kupiti DDoS napad od bilo kojeg broja neuglednih “hakera” ili tvrtki vani.
U slučaju web stranice, ovo izgleda kao da se ogroman broj zahtjeva poslužitelju neprekidno šalje tijekom određenog vremenskog razdoblja, sprječavajući legitimne zahtjeve da prime potrebne resurse. U slučaju Bitcoin čvora, ovo izgleda kao da se velike količine malih ili nevaljanih transakcija šalju u pokušaju da preplave mrežu i spriječe obradu legitimnih transakcija.
Glavne mreže poput Bitcoina neprestano su napadnute pokušajima DDoS-a, ali dizajnerske odluke donesene u razvoju Bitcoin mreže djeluju na ublažavanje rizika od pokušaja DDoS-a. Suočeni s uspješnim DDoS napadom, ne prijeti krađa sredstava ili ugrožena sigurnost, jednostavno zaustavljanje mrežne aktivnosti.
Bitcoin Backlog Blues
Međutim, iako nije sigurnosni rizik, ovaj prekid usluge može se koristiti i za druge programe. Postoji nešto kao saga kada su u pitanju “neželjene” transakcije (DDoSing mreža s puno transakcija) i Bitcoin koji se igrao od 2015. do 2017. godine.
U lipnju 2015. godine Coinwallet.eu (sada već neaktivna tvrtka novčanika) proveo je „test opterećenja”Bitcoin mreže slanjem tisuća transakcija na mreži nastojeći utjecati na kontroverznu raspravu o promjeni veličine bloka koja je tada bjesnila, navodeći u svom najavnom postu da su krenuli„ kako bi dali jasan slučaj povećanom blokirajte veličinu demonstrirajući jednostavnost napada neželjene pošte na mrežu. “
Mjesec dana kasnije, u onome što se naziva „napadom poplave“, na Bitcoin mrežu istovremeno je poslano 80 000 sitnih transakcija, stvarajući masovni zaostatak koji je riješen samo naporima F2Poola, jednog od najvećih rudarskih bazena u to vrijeme, koja je cijeli blok posvetila kombiniranju svih neželjenih transakcija i njihovom čišćenju.
Tijekom sljedeće godine, prema analizi LaurentMT-a, tvorca Bitcoin analitičkog alata OXT, poslano je mnogo tisuća ili čak milijuna više neželjene transakcije (uglavnom sitne, beskorisne transakcije koje nikako nisu mogle biti legitimne), začepljene zaostatak Bitcoin UTXO-a, ali glavni su bazeni uglavnom ignorirali ove transakcije.
Odjednom, u drugoj polovici 2016. godine, i to približno u isto vrijeme, glavni tadašnji rudarski bazeni počeli su prihvaćati ove neželjene transakcije u blokove, smanjujući protok legitimnih transakcija baš kad se rasprava o veličini bloka ponovno pojačala i mnogi o bazenima se pričalo da se priklonili “velikim blokerima” preko malih blokera.
Mreža Bitcoin od tada je riješila taj zaostatak i pjevuši, dok su obožavatelji velikog bloka preusmjerili pozornost na Bitcoin Cash, projekt kojemu Jihan Wu (osnivač Bitmaina, najvećeg vlasnika hashpower-a Bitcoin-a do sada) u potpunosti podržava . Istražite sami.
51% ili napad većine
Budući da je sigurnost blockchaina izravno povezana s računalskom snagom koja gradi lanac, postoji prijetnja da će napadač steći kontrolu nad većinom hash snage na mreži. To bi omogućilo napadaču da minira blokove brže od ostatka mreže zajedno, otvarajući vrata “dvostrukom trošenju”.
Dvostruka potrošnja metoda je prijevare kriptovalute koja uključuje podnošenje transakcija lancu, primanje robe ili usluge koju ta transakcija plaća i naknadno korištenje većine hashpower-a za račvanje blockchaina u trenutku prije transakcije. To učinkovito briše tu transakciju iz povijesti lanca, omogućavajući napadaču da po drugi put izvrši transakciju s tim istim novčićima.
Dobivanje većine hashpower-a ne bi omogućilo napadaču da stvori novčiće, pristupi adresama ili na bilo koji drugi način ugrozi mrežu, što ograničava štetu koju ova metoda omogućuje. Najveći učinak takvog napada može biti gubitak povjerenja u mrežu koja je napadnuta i kasniji pad cijena imovine bilo kojeg tokena na mreži.
Ova vrsta većinskog napada vrlo je skupa za izvođenje, a kao rezultat toga, u stvarnosti su samo relativno mali novčići s malo hash-moći osjetljivi na ovaj vektor napada. Glavni novčići poput Bitcoina imaju se malo čega bojati napada od 51% zbog činjenice da bi bilo koji napadač s velikom većinom hashpower-a imao više poticaja da jednostavno minira sve blokove i primi Bitcoin nego da pokušava napasti, pogotovo uzimajući u obzir cijena njihovog ukradenog Bitcoina srušila bi se kad bi izašla vijest o napadu.
51% u divljini
Jedan od zanimljivijih primjera napada u divljini od 51% dolazi zahvaljujući grupi hakera koji su se nazvali ’51 posada. ‘U drugoj polovici 2016. godine, 51 posada počela je držati male Ethereumove klonove za otkupninu, kapitalizirajući svoje niske brzine raspršivanja i centralizirana distribucija rudarstva kako bi se unajmilo dovoljno hardvera za zakrčenje mreže.
Tvrdeći da njihova “namjera nije uništiti projekt”, a oni su to radili samo da bi zaradili novac, tražili su Bitcoin u zamjenu za zaustavljanje njihovog rada i ostavljanje projekata na miru. Ako zahtjevi ne bi bili ispunjeni, račvali bi blockchain novčića do točke prije velike prodaje koju je posada već obavila na burzama.
Dotični projekti, Krypton (sada je ugašen) i Shift (i dalje se trguje na maloj količini), odbili su platiti otkupninu i naknadno su im račvali blokove. Projektni timovi popeli su se na poticanje decentralizacije mreže i uvođenje izmjena u protokole kako bi se spriječile takve zlouporabe, ali ne prije nego što su pogodili prilično.
Kriptografske ranjivosti
Do sada navedeni napadi uglavnom se bave ili dvostrukom potrošnjom ili smanjenjem mrežne usluge. Napadi se skupo izvode i brzo se ispravljaju vlastitim značajkama samopopravke mreže. Iako bi mogle biti stvarne prijetnje povjerenju u kriptovalutu i rezultirati minimalnim gubitkom sredstava, oni su relativno mali krumpir.
Kao i kod bilo kojeg računalnog sustava ili mreže, najveći vektor napada je ljudska pogreška. Najveći gubici sredstava do sada viđeni u kriptozemlju rezultat su pogrešaka u samom softveru novčića. Kriptografske pogreške u sigurnosti kriptovaluta ostavljaju sigurnosne rupe koje sofisticirani hakeri mogu otkriti i iskoristiti kako bi potkopali projekt.
DAO
Možda je najvidljiviji primjer hakovanja omogućenog lošim kodom zloglasni Ethereum DAO hak, toliko loš da je iznjedrio posve novu kriptovalutu i progoni Ethereum projekt do danas.
DAO (Decentralizirana autonomna organizacija) bila je organizacija bez vođe izgrađena na vrhu Ethereuma koristeći pametne ugovore. Ideja je bila dati svima mogućnost da ulažu u tvrtku i glasaju za projekte koje žele financirati, a svima njima sigurno i automatski upravlja DAO kôd pametnog ugovora.
Ako ste uložili u DAO (kupnjom DAO tokena), a zatim ste se kasnije odlučili povući, za to je postojao mehanizam kojim biste mogli vratiti svoj Ethereum u zamjenu za vaše DAO tokene. To je mehanizam nazvan ‘Split Return’ koji je iskoristio pionirski DAOist 17. lipnja 2016.
Podijeljeni povratak postupak je u dva koraka: vratite odgovarajući iznos Ethereuma nositelju tokena koji pokreće povrat, zatim uzmite tokene i registrirajte transakciju na blockchainu kako biste ažurirali stanje DAO tokena. Nepoznati haker shvatio je da bi mogao prevariti sustav da ponovi prvi korak bez prelaska na drugi, što im je omogućilo da iz DAO-a izvuku Ethereum vrijedan 50 milijuna dolara u zasebni DAO koji kontrolira samo napadač.
To je očito potaknulo zajednicu Ethereum, te je napravljen plan soft-forka i povrat sredstava. Mekana vilica bila bi minimalno invazivna, kompatibilna s unatrag i jednostavno bi ‘izbrisala’ DAO hack iz blockchaina. Jednom kad je napravljen plan, shvatilo se da neće letjeti i bit će potrebna tvrda rašlja. To je bilo kontroverzno i rezultiralo je stvaranjem Ethereum Classic (ETC), nastavka izvornog lanca Ethereum s ugrađenim DAO hackom, i Ethereum (ETH), novo teško račvastog projekta koji je nastavio DAO još jedan dan.
Prava prijetnja su korisnici, a ne hakeri
Blockchain tehnologija robusna je i obećavajuća, pa čak i uz sve ove moguće pristupe napada vrlo je malo uspješnih napada ušlo u povijest. To, međutim, nije spriječilo krađu velikog broja novca od korisnika.
Iako sigurnost većine kriptovaluta ostaje netaknuta, sigurnost novčanika, mjenjačnica i računa usluga trećih strana oko tih kriptovaluta ostaje gotovo smiješno loša. Tijekom godina ukradeni su Bitcoin i druge kriptovalute u vrijednosti milijuna i milijuna dolara s ugroženih računa pojedinaca i razmjena.
Iako su gore navedeni napadi uglavnom teoretski i od njih se aktivno brani, očigledna rupa u sigurnosti Bitcoina i bilo koje druge kriptovalute činjenica je da ljudi nisu toliko sjajni u obraćanju pažnje i budnosti. Ponovna upotreba lozinki, žrtve krađe identiteta, neoprezni operateri web stranica i nesavjesni zaposlenici na razmjeni i dalje su jedina najopasnija točka neuspjeha kada je u pitanju zdravlje kripto ekonomije.
Kako idemo naprijed, možda će se počiniti neki napadi na razini blockchaina. Oni mogu doći od ogromnih sila poput vlada ili korporacija koje imaju namjeru kontrolirati ili potkopati ova obećavajuća nova sredstva za pohranu i prijenos bogatstva i vrijednosti. Međutim, dugoročno će napadi poput ovih djelovati samo na jačanje i razvoj tehnologije koja će biti otpornija i robusnija.
No puno više od toga, morat će se napraviti veliki iskoraci u jednostavnosti upotrebe i sigurnosti potrošačkih kripto proizvoda prije nego što se dogodi stvarno usvajanje. Sve dok jedna slučajno podijeljena lozinka ili ostavljeno otvoreno prijenosno računalo može značiti gubitak vaše životne ušteđevine, ne možemo ući u svijet koji radi na kripto.
