Ang Crowdcurity ay nagdadala ng crowdsourced hacker testing sa Bitcoin

Ang mga website ng Bitcoin ay PRIME target para sa mga cyber-attack. Ngayon, tumawag ang isang kumpanya Crowdcurity gustong ilapat ang karunungan ng mga pulutong upang gawin silang mas ligtas. Paano ito gagana?

Ang pagprotekta laban sa mga pag-atake ay T opsyonal kung gusto mong KEEP ang iyong web-based Bitcoin app sa negosyo. Ang mga Bitcoin app ay kadalasang maaaring magkaroon ng daan-daan sa mga indibidwal na barya, na nag-iiwan sa kanilang mga user na magkakaroon ng malaking pagkalugi sa pananalapi kung sila ay nakompromiso. Ito ay partikular na totoo sa kaso ng mga palitan.

Halimbawa, ang margin-trading site na Bitcoinica ay nagdemanda ng $460,000 noong 2012 matapos ma-hack ng dalawang beses. Ang exchange na nakabase sa US na BitFloor ay dumanas ng malaking kahihiyan pagkatapos 24,000 bitcoins ang ninakaw kasunod ng isang hack noong Setyembre 2012 – isang figure na kumakatawan sa halos sampung taon ng mga bayarin sa transaksyon. Iyan ay isang mahirap na pagkawala na babalikan. T ito ang unang pagkakataon, bumabalik pa rin ang mga problema: Nakita ni Vicurex na nakompromiso ang wallet nito noong 2011. At ito ay mga halimbawa lamang mula sa a mas malaking set.

Pagpasok sa isang web app

Hindi lahat ng mga pagnanakaw ng Bitcoin na ito ay tahasang resulta ng mga problema sa website. Ang ilan ay nagmula sa kamalian ng Human , at ang ilan ay, hanggang ngayon, hindi maipaliwanag. Ngunit ONE bagay ang sigurado: T nakakatulong ang hindi magandang disenyong code, at responsable ito sa kahit ilan sa mga isyung ito.

Ilang paraan ang maaaring pumasok ang isang tao sa isang web application? Mayroong sampu sa kanila, ngunit pinaghiwa-hiwalay sila ng Open Web Application Security Project (OWASP). sampung malawak na kategorya. Ina-update nito ang listahan bawat taon, at ang 2013 ay gumagawa ng nakakatakot na pagbabasa.

Sa tuktok ng listahan? Iniksyon. Nangyayari ito kapag may nag-inject ng code na T dapat naroroon sa isang web application, kadalasan sa pamamagitan ng isang parameter na ipinasa sa isang URL. Maaari itong magamit upang magsagawa ng mga hindi sinasadyang utos, kabilang ang paglalagay ng mapanganib na malware sa isang web page upang mahawahan ang mga bumibisitang machine, o paglalaglag ng mga detalye ng customer, halimbawa.

Kasama sa iba pang potensyal na pag-atake ang pagsasamantala sa hindi magandang configuration ng seguridad (kabilang ang configuration ng mga server ng pagho-host), at sirang pagpapatotoo, kung saan hindi maayos na pinamamahalaan ang mga session, na nagbibigay-daan sa mga umaatake na ma-hijack ang mga account. Ang isa pang lumang kastanyas ay ang cross-site scripting attack, kung saan ang masamang data ay ipinapadala sa isang browser gamit ang JavaScript, na nagiging sanhi ng hindi magandang pagkilos nito. Ang katotohanan na ang mga pag-atake na ito ay posible pa rin mga taon pagkatapos ng unang pagtuklas ng mga ito ay isang discredit sa komunidad ng software development.

Ang problema para sa maraming software developer sa Bitcoin space at sa ibang lugar ay mahirap makita ang lahat ng mga bug. Maraming mga Bitcoin site ang gumagamit ng 'bug bounties' upang malutas ang problema, na nag-aalok ng mga agila-eyed na miyembro ng komunidad ng mga gantimpala upang makita at ayusin ang mga problema.

May ONE ang Coinbase

, na may minimum na payout na 5 BTC, at walang maximum na payout. Sa oras ng pagsulat, ito ay nagbigay ng mga bitcoin sa 27 tao, na nagkakahalaga ng hindi bababa sa 135 BTC. Ang Payward, na nagpapatakbo ng Kraken margin trading site, ay mas mahigpit tungkol sa bounty program nito, na nag-aalok ng minimum na isang Bitcoin bawat bug. Isa pang Bitcoin trading site, 1Broker, din nagpatakbo ng isang programa.

Ipasok ang Crowdcurity

Inaasahan ng Crowdcurity na i-standardize ang konsepto ng bug bounty sa pamamagitan ng outsourcing ng proseso. Ang online na serbisyo ay nag-uugnay sa mga kumpanyang may software na i-debug sa isang komunidad na may humigit-kumulang 250 software tester, na natagpuan nito sa pamamagitan ng mga forum ng seguridad.

Ang kumpanya ay T lamang nakatuon sa Bitcoin , dahil ang proseso nito ay maaaring ilapat sa anumang web-based na application. Gayunpaman, ito ay isang mahalagang merkado para sa kumpanya. "Ang mga kumpanya ng Bitcoin ay nakatuon na sa seguridad at alam nila na kailangan nilang tumuon dito," sabi ni Jacob Hansen, tagapagtatag ng Crowdcurity, na nakikipag-usap na sa kahit ONE malaking negosyong nakabase sa bitcoin. "Ang mga tradisyonal na e-negosyo ay T palaging may parehong kamalayan."

[post-quote]

Maaaring lumikha ang mga customer ng reward program sa site, magtakda ng mga panuntunan at halaga para sa mga bug program. Ang hamon ay ipinadala sa komunidad ng pagsubok, na gumagana sa pag-uulat ng mga kahinaan. Pinapatunayan ng customer ang mga bug kasabay ng Crowdcurity, at iginagawad ang mga payout batay sa kalubhaan ng bug.

Mahigit sa kalahati ng mga payout ang ginawa sa bitcoins para sa nag-iisang customer na hinarap ng kompanya noong nakaraang linggo. "Marami sa mga pagbabayad na ito ay maaaring $25-$50 kung ang mga bug ay mababa ang pagiging kritikal, at sa mga bitcoin ay mayroon kang mas mababang mga bayarin, at ito ay gumagawa ng mga pagbabayad nang mas mabilis," sabi ni Hansen.

Ang mga tagasubok ng site ay maaaring mag-target ng isang pagsubok na site, o isang operational na site na nagpoproseso na ng live na data, paliwanag ni Hansen. Ngunit ang mga site ay T dapat umasa lamang sa mga panlabas na tester, ang sabi niya.

Ang Crowdcurity ay epektibong isang serbisyo ng pagsubok sa pagtagos, kung saan sinusubukan ng maraming mga tagasubok na i-hack ang isang website. Ngunit ang T nila ginagawa ay tumingin sa code ng isang site. Sa ONE kahulugan, ito ay isang magandang bagay, dahil ang mga closed source na site ay T gugustuhin na makita ng mga tao ang kanilang intelektwal na ari-arian. Sa ibang kahulugan, ipinauubaya nito sa kumpanya ang pagsusuri ng code, na pagkatapos ay kailangang hanapin ang mga kasanayan upang gawin ito.

"Dapat silang gumawa ng mga panseguridad na pagsusuri ng kanilang code sa loob. Pagkatapos, mayroong maraming awtomatikong tool doon na maaaring tumingin sa iyong code at tumuklas ng mga karaniwang kahinaan." Gumagamit ang Crowdcurity ng mga tool tulad ng Brakeman para sa sarili nitong site, na nag-scan para sa kahinaan sa Ruby on Rails app. Mayroong higit pa para sa iba pang mga wika - ngunit ang mga kumpanya ay kailangang magkaroon ng mga kasanayan at disiplina upang magamit ang mga ito.

Habang lumalaki ang Bitcoin at ang mga kumpanya ay nakakakuha ng mas mahusay na pagpopondo, ang mga developer ng software ay sana ay nasa isang mas mahusay na posisyon upang masakop ang lahat ng kanilang mga base ng seguridad. At baka mas kaunting kwento ng kalamidad ang makikita natin tulad ng Bitcoinica o Bitfloor.