Blockchains empresariales: amuralladas pero vulnerables

¿Cómo se hackea una blockchain empresarial? Quizás lo descubramos pronto.

Productos blockchain empresariales Se han diseñado principalmente como redes privadas, limitadas a partes autorizadas. Esto supuestamente las hace más eficientes que las cadenas públicas como Bitcoin y Ethereum, ya que menos computadoras tienen que ponerse de acuerdo sobre quién posee qué, y, en cierto sentido, más seguras porque los participantes se conocen entre sí.

Estos productos aplican Tecnología desarrollada originalmente para el Salvaje Oeste de las Criptomonedas a una gama de actividades corporativas poco atractivas, como transacciones transfronterizas, almacenamiento de registros y rastreo de bienes e información. Su potencial ha atraído a algunas de las corporaciones y proveedores de software más grandes del mundo.

Pero como cualquier software, en teoría pueden ser...hackeado, aunque la forma de prevenir ese hackeo no está tan bien documentada.

"No recuerdo que una sola empresa importante haya anunciado pérdidas de ningún tipo debido a un ataque informático a una cadena de bloques privada", afirma Paul Brody, responsable global de cadenas de bloques en El gigante consultor EY.

Sigue leyendo: Conozca a Red Date, la empresa tecnológica poco conocida detrás de la gran visión blockchain de China.

Esto podría cambiar en el futuro NEAR a medida que las empresas comiencen a sacar estos sistemas cerrados del laboratorio y a usarlos en el mundo real.

“Las grandes empresas llevan un par de años trabajando en aplicaciones de blockchain”, afirmó Pavel Pokrovsky, responsable de blockchain en Kaspersky, el proveedor de software antivirus con sede en Moscú. “Pronto, empezarán a implementar estas aplicaciones en producción y podrían enfrentarse a nuevos retos en la gestión de riesgos. A medida que se implementen más soluciones de este tipo, los ataques contra ellas podrían volverse más frecuentes”.

Trabajos internos

Un problema es que los sistemas privados y con permisos son los más vulnerables a las amenazas internas, dijeron Pokrovsky y Brody.

“El riesgo interno es particularmente alto en las cadenas de bloques privadas porque el trabajo que generalmente se realiza para proteger la información dentro de la red privada es muy bajo en comparación con las redes públicas”, dijo Brody de EY, quien ha sido unvoz RAREEntre las cuatro grandes firmas de servicios profesionales enstumping para sistemas abiertosEn las redes públicas, hacemos un uso extensivo de pruebas de conocimiento cero y otras herramientas para KEEP los datos confidenciales fuera de la cadena.

Solo ONE o dos clientes corporativos de EY llegaron a tales extremos con las redes privadas, afirmó. "Como resultado, si se puede acceder a la red o si ya se tiene acceso como miembro interno, casi todos los datos críticos son visibles para todos los miembros".

En general, según Pokrovsky, el tipo de ataque más común que, en teoría, puede emplearse contra una red blockchain empresarial es un ataque de denegación de servicio (DDoS). Esto difiere de un ataque de denegación de servicio distribuido (DDoS), en el que los servidores de una empresa se ven inundados de solicitudes inútiles que los saturan.

Sigue leyendo: Mineros engañan al protocolo de stablecoin PegNet y convierten $11 en un tesoro de casi $7 millones

La denegación de servicio, por otro lado, es un ataque focalizado que utiliza el conocimiento (quizás de un ex empleado) en lugar del poder muscular electrónico.

“Supongamos que un empleado de una empresa es despedido y está enojado con su exempleador. Acude a la red oscura y vende su conocimiento sobre las vulnerabilidades del sistema a hackers”, dijo Pokrovsky.

En el caso de las cadenas de bloques empresariales, un atacante necesitaría conocer las direcciones de los nodos y qué puede dejarlos fuera de línea.

“Un atacante puede saturar la capacidad de almacenamiento de datos del nodo e inundarlo con cálculos inútiles”, dijo Pokrovsky. “Por ejemplo, el nodo de ONE de nuestros clientes no podría procesar números muy grandes, digamos 12 ceros o más. Simplemente se congelaría”.

La cura para ese tipo de ataque es el filtrado adecuado de los datos que entran a los nodos, dijo: "Es un error muy común no filtrar los datos entrantes".

Truco barato

Explotar una vulnerabilidad de este tipo es fácil cuando se sabe dónde están los nodos y, a diferencia de un DDoS, no requiere comprar tráfico en forma de bots que inundan el objetivo con tráfico basura, ni implementar una gran cantidad de hardware para atacar el servidor.

"Simplemente escribes un script sencillo y lo envías a los nodos", explicó Pokrovsky. Luego, los nodos se desconectan. Esto puede utilizarse con fines delictivos, desde sabotear a un competidor hasta cometer ataques terroristas, añadió Pokrovsky.

La situación puede verse agravada por el hecho de que la forma más conveniente de configurar nodos para una cadena de bloques privada es utilizar la infraestructura en la nube, de modo que las empresas no tienen que averiguar cómo configurar un nodo físico en su oficina.

“La mayoría de las cadenas de bloques privadas tienen muy pocos nodos y, en muchos casos, todos residen dentro de una única infraestructura en la nube, lo que crea un único punto de fallo”, afirmó Brody. “Esto también significa que, lejos de ser almacenes de información inmutables, son fáciles de borrar o desactivar”.

Los riesgos pueden variar. Por ejemplo,Cadena maestra, la blockchain empresarial para bancos desarrollada bajo los auspicios del banco central de Rusia, es una bifurcación, o copia modificada, de la blockchain de Ethereum , que utiliza un mecanismo de consenso de prueba de trabajo. La desactivación de nodos en dicha red provocaría la redistribución del consenso entre los nodos restantes, que continuarían validando las transacciones.

Sin embargo, si resulta que todos los nodos restantes están controlados por el banco central, los participantes de la red podrían argumentar que las transacciones registradas mientras todos los demás estaban caídos no son legítimas, dijo Pokrovsky.

Sigue leyendo: El proyecto DeFi dForce reembolsa a todos los usuarios afectados tras un hackeo de 25 millones de dólares

“Los ataques DDoS son fáciles y económicos de organizar, pero también fáciles de prevenir, y servicios como Cloudflare pueden identificarlos y prevenirlos eficazmente. Sin embargo, la denegación de servicio no es identificable por los filtros que utilizan estos servicios”, afirmó Pokrovsky, añadiendo que, a veces, los atacantes T siquiera necesitan a alguien interno para localizar los nodos; es posible obtener dicha información mediante métodos de inteligencia de código abierto.

"Es muy difícil corregir estas vulnerabilidades mientras se produce el ataque, cuando todo se cae, todos corren de un lado a otro y todo está en llamas", dijo. Es mejor intentar predecir estas situaciones en un entorno de prueba.

Contratos no tan inteligentes

Si una cadena de bloques utiliza contratos inteligentes, también pueden ser atacados, dijo Pokrovsky.

“En las cadenas de bloques empresariales, el ataque típico ocurre cuando un contrato contiene variables que pueden resultar diferentes para cada nodo, por ejemplo, marcas de tiempo o números aleatorios”, explicó. “En este caso, cada nodo ejecutaría el contrato inteligente con un resultado distinto y, como resultado, la transacción no se registraría en la cadena de bloques”.

Si un contrato inteligente hace referencia a documentos, existe otra forma posible de atacarlo: insertar código malicioso en el documento.

Sigue leyendo: Un hacker explota una falla en Bisq, el exchange descentralizado de Bitcoin , para robar 250.000 dólares.

“Es lo mismo que elAtaque de inyección SQL“Y para evitarlo es necesario filtrar los datos entrantes y limitar el uso de datos externos por parte del contrato inteligente”, dijo Pokrovsky.

El hecho de que la mayoría de las cadenas de bloques privadas no disfruten de la atención de una amplia comunidad de cadenas de bloques también es una debilidad, dijo Brody.

“Quizás el mayor riesgo que representan las cadenas de bloques privadas es el riesgo de la complacencia”, afirmó. “El código abierto, que no se usa ampliamente y no cuenta con una comunidad vigilante que lo pruebe e inspeccione, es mucho menos seguro y confiable que sistemas como Bitcoin y Ethereum, que se ven continuamente reforzados por ataques casi constantes e inspección pública”.

El punto de vista de Kaspersky

Con la intención quizás de ampliar su flujo de ingresos, Kaspersky se adentró en la investigación y consultoría orientada a blockchain en 2018, centrándose primero en cadenas de bloques públicas, incluidas Bitcoin y Ethereum.

Kaspersky ha estado trabajando con intercambios de Cripto y completó una seguridadAuditoría para la empresa de software comercial Merkeleon en octubre de 2018.

En octubre de 2019, Kaspersky también comenzó a trabajar con cadenas de bloques empresariales. Pokrovsky declaró a CoinDesk que la compañía auditó varios de estos sistemas, de los cuales solo pudo nombrar públicamente dos: la startup rusa de cadenas de bloques Insolar y WAVES, que ha estado... reenfocandoDe cadenas de bloques públicas a privadas desde el año pasado.

El software de Kaspersky ha sidolistadoentre los 10 mejores productos antivirus a nivel mundial según PC Magazine en marzo, pero ha sidoprohibidoSe prohibió su instalación en computadoras del gobierno estadounidense desde 2017 como parte de la respuesta estadounidense a la intromisión rusa en las elecciones presidenciales de 2016. Esta prohibición provocó una caída en picado de las ventas en EE. UU. y Europa, pero se ha expandido tanto en Rusia como en África. KasperskyreportadoCrecimiento de ingresos del 4 por ciento en 2018.

La auditoría de WAVES Enterprise de Kaspersky duró tres meses, desde noviembre de 2019 hasta finales de enero de 2020. «La tarea consistía en comprobar la seguridad de los nodos, la infraestructura de red y las interfaces web de los nodos», explicó Pokrovsky.

La empresa de seguridad realizó lo que denomina pruebas de "caja gris", en las que el evaluador no tiene acceso al código completo de la plataforma blockchain, pero sí tiene acceso de administrador al sistema. Este tipo de pruebas detectaría posibles amenazas internas, como un exempleado que se vuelve corrupto.

Una vez finalizadas las pruebas, Kaspersky presenta al cliente la lista de vulnerabilidades y este las corrige. A continuación, se vuelven a ejecutar las pruebas.

Pokrovsky no reveló qué debilidades debían corregirse en la cadena de bloques de WAVES Enterprise. (WAVES confirmó que contrató a Kaspersky).