Mga Blockchain ng Enterprise: Na-wall Off Ngunit Masugatan

Paano mo ihack ang isang enterprise blockchain? Baka malalaman natin sa lalong madaling panahon.

Mga produktong blockchain ng enterprise ay halos idinisenyo bilang mga pribadong network, limitado sa mga awtorisadong partido. Ito ay dapat na gawing mas mahusay ang mga ito kaysa sa mga pampublikong chain tulad ng Bitcoin at Ethereum dahil mas kaunting mga computer ang kailangang magkasundo kung sino ang nagmamay-ari ng kung ano, at sa isang kahulugan ay mas ligtas dahil ang mga kalahok ay magkakilala.

Ang mga produktong ito ay naglalapat ng Technology orihinal na binuo para sa Wild West ng Cryptocurrency sa isang hanay ng mga hindi magandang aktibidad ng kumpanya, kabilang ang mga transaksyong cross-border, pag-iimbak ng mga talaan, at pagsubaybay sa mga produkto at impormasyon. Ang kanilang pangako ay naakit ang ilan sa mga pinakamalaking korporasyon at software vendor sa mundo.

Ngunit tulad ng anumang software, maaari silang maging sa teorya na-hack, kahit na kung paano maiwasan ang pag-hack na iyon ay T masyadong dokumentado.

"T ko matandaan ang isang solong pangunahing kumpanya na nag-anunsyo ng pagkawala ng anumang uri mula sa isang hack sa isang pribadong blockchain," sabi ni Paul Brody, global blockchain lead sa pagkonsulta sa higanteng EY.

Read More: Kilalanin ang Red Date, ang Little-Known Tech Firm sa Likod ng Malaking Blockchain Vision ng China

Maaaring magbago iyon sa NEAR na hinaharap habang sinisimulan ng mga kumpanyang ilabas ang mga gated system na ito sa lab at sa paggamit sa totoong mundo.

"Ang malalaking kumpanya ay nagtatrabaho sa blockchain apps sa loob ng ilang taon na ngayon," sabi ni Pavel Pokrovsky, ang blockchain lead sa Kaspersky, ang Moscow-based na anti-virus software vendor. "Sa lalong madaling panahon, sisimulan na nilang itulak ang mga app na iyon sa produksyon at maaaring humarap sa mga bagong hamon sa pamamahala ng kanilang mga panganib. Habang mas maraming ganitong solusyon ang nade-deploy, maaaring maging mas madalas ang mga pag-atake sa kanila."

Mga trabaho sa loob

Ang ONE problema ay ang pribado, pinahintulutang mga sistema ay pinaka-mahina sa mga banta ng tagaloob, parehong sinabi ni Pokrovsky at Brody.

"Ang panganib ng tagaloob ay partikular na mataas sa mga pribadong blockchain dahil ang gawaing karaniwang ginagawa upang ma-secure ang impormasyon sa loob ng pribadong network ay napakababa kumpara sa mga pampublikong network," sabi ni EY's Brody, na naging isang RARE boses kabilang sa Big Four na mga kumpanya ng propesyonal na serbisyo sa stumping para sa mga bukas na sistema. "Sa mga pampublikong network, malawakang ginagamit namin ang mga zero-knowledge proof at iba pang tool para KEEP off-chain ang sensitibong data."

ONE o dalawa lang sa mga corporate client ng EY ang nagpunta sa mga pribadong network, aniya. "Bilang resulta, kung maaari kang makakuha ng access sa network o mayroon ka na nito bilang isang tagaloob, halos lahat ng kritikal na data ay talagang nakikita ng lahat ng mga miyembro."

Sa pangkalahatan, sinabi ni Pokrovsky, ang pinakakaraniwang uri ng pag-atake na maaaring theoretically magamit laban sa isang enterprise blockchain network ay isang pagtanggi sa pag-atake ng serbisyo. Ito ay iba sa isang DDoS, o distributed denial of service, kung saan ang mga server ng isang kumpanya ay binabaha ng mga walang kwentang kahilingan na sumisira sa kanila.

Read More: Minero Trick Stablecoin Protocol PegNet, Ginagawang Halos $7M Hoard ang $11

Ang pagtanggi sa serbisyo, sa kabilang banda, ay isang nakatutok na pag-atake na gumagamit ng kaalaman - marahil isang dating empleyado - sa halip na elektronikong lakas ng kalamnan.

"Sabihin natin na ang isang empleyado ng isang kumpanya ay tinanggal at siya ay nagagalit sa kanyang dating employer. Siya ay pumupunta sa dark web at ibinebenta ang kanyang kaalaman sa mga kahinaan sa system sa mga hacker," sabi ni Pokrovsky.

Sa kaso ng mga enterprise blockchain, kailangang malaman ng isang attacker ang mga address ng mga node at kung ano ang maaaring maglagay sa kanila nang offline.

"Maaaring madaig ng isang umaatake ang kapasidad ng pag-iimbak ng data ng node, bahain ito ng mga walang kwentang kalkulasyon," sabi ni Pokrovsky. "Halimbawa, hindi maproseso ng ONE sa mga node ng aming mga kliyente ang napakalaking numero, halimbawa, 12 zero at higit pa. Mag-freeze lang sila."

Ang lunas para sa ganoong uri ng pag-atake ay ang wastong pag-filter ng data na pumapasok sa mga node, sinabi niya: "Ito ay isang napakalawak na pagkakamali, hindi pag-filter ng papasok na data."

Murang trick

Madali ang pagsasamantala sa gayong kahinaan kapag alam mo kung nasaan ang mga node at, hindi tulad ng DDoS, hindi ito nangangailangan ng pagbili ng trapiko sa anyo ng mga bot na binabaha ang iyong target ng trapiko ng basura, o nagde-deploy ng maraming hardware upang atakehin ang server.

"Sumusulat ka lang ng isang simpleng script at ipadala ito sa mga node," sabi ni Pokrovsky. Pagkatapos ay mag-offline ang mga node. Ito ay maaaring gamitin para sa mga layuning kriminal mula sa sabotahe ng isang katunggali sa mga pag-atake ng terorista, sabi ni Pokrovsky.

Ang sitwasyon ay maaaring lumala sa pamamagitan ng katotohanan na ang pinaka-maginhawang paraan upang mag-set up ng mga node para sa isang pribadong blockchain ay ang paggamit ng imprastraktura ng ulap upang ang mga kumpanya ay T kailangang malaman kung paano mag-set up ng isang pisikal na node sa kanilang opisina.

"Karamihan sa mga pribadong blockchain ay may napakakaunting mga node at, sa maraming mga kaso, lahat sila ay naninirahan sa loob ng isang solong imprastraktura ng ulap, na lumilikha ng isang punto ng pagkabigo," sabi ni Brody. "Nangangahulugan din iyon na malayo sa pagiging hindi nababagong mga tindahan ng impormasyon, sa katunayan ay madaling burahin o isara ang mga ito."

Ang mga panganib ay maaaring mag-iba. Halimbawa, Masterchain, ang enterprise blockchain para sa mga bangko na binuo sa ilalim ng tangkilik ng central bank ng Russia, ay isang tinidor, o binagong kopya, ng Ethereum blockchain, na gumagamit ng proof-of-work consensus mechanism. Ang pagtatanggal ng mga node sa naturang network ay hahantong sa muling pamamahagi ng consensus sa mga natitirang node, na patuloy na magpapatunay ng mga transaksyon.

Gayunpaman, kung lumabas na ang lahat ng natitirang mga node ay kontrolado ng sentral na bangko, ang mga kalahok sa network ay maaaring magtaltalan, ang mga transaksyon na naitala habang ang iba ay down ay hindi lehitimo, sabi ni Pokrovsky.

Read More: DeFi Project dForce Refund Lahat ng Apektadong User Pagkatapos ng $25M Hack

"Ang DDoS ay isang pag-atake na madali at murang ayusin, ngunit madali rin itong pigilan, at ang mga serbisyo tulad ng Cloudflare ay maaaring makilala at epektibong maiwasan ito. Ngunit ang pagtanggi sa serbisyo ay hindi makikilala sa pamamagitan ng mga filter na ginagamit ng mga naturang serbisyo," sabi ni Pokrovsky, at idinagdag na kung minsan ang mga umaatake ay T na nangangailangan ng tagaloob upang mahanap ang mga node - posible na makahanap ng naturang impormasyon sa pamamagitan ng open source na mga pamamaraan.

"Napakahirap ayusin ang mga ganitong kahinaan habang ang pag-atake ay nangyayari, kapag ang lahat ay nag-crash, ang lahat ay tumatakbo sa paligid at ang lahat ay nasusunog," sabi niya - mas mahusay na subukang hulaan ang mga ganoong sitwasyon sa isang pagsubok na kapaligiran.

Mga hindi masyadong matalinong kontrata

Kung ang isang blockchain ay gumagamit ng mga matalinong kontrata, maaari din silang atakihin, sabi ni Pokrovsky.

"Para sa mga enterprise blockchain, ang karaniwang pag-atake ay kapag ang isang kontrata ay naglalaman ng mga variable na maaaring maging iba para sa bawat node, halimbawa, mga timestamp o random na numero," sabi niya. "Sa kasong ito, ang bawat node ay isasagawa ang matalinong kontrata na may ibang resulta at ang transaksyon ay hindi maitatala sa blockchain bilang isang resulta."

Kung ang isang matalinong kontrata ay tumutukoy sa mga dokumento, may isa pang posibleng paraan upang atakehin ito: pagpasok ng malisyosong code sa dokumento.

Read More: Sinamantala ng Hacker ang Kapintasan sa Desentralisadong Bitcoin Exchange Bisq para Magnakaw ng $250K

“Ito ay pareho sa Pag-atake ng SQL injection at upang maiwasan ito kailangan mong i-filter ang papasok na data at limitahan ang paggamit ng panlabas na data ng matalinong kontrata," sabi ni Pokrovsky.

Ang katotohanan na ang karamihan sa mga pribadong blockchain ay T nasisiyahan sa atensyon ng isang malawak na komunidad ng blockchain ay isang kahinaan din, sabi ni Brody.

"Marahil ang pinakamalaking panganib na ibinabanta ng mga pribadong blockchain ay ang panganib ng kasiyahan," sabi niya. “Open source code na T gaanong ginagamit at T mapagbantay na pagsubok sa komunidad at pag-inspeksyon nito ay hindi gaanong secure at maaasahan kaysa sa mga system tulad ng Bitcoin at Ethereum, na patuloy na pinatigas ng halos palagiang pag-atake at pampublikong inspeksyon.”

Anggulo ng Kaspersky

Sa isang mata marahil sa pagpapalawak ng stream ng kita nito, lumipat ang Kaspersky sa pananaliksik at pagkonsulta na nakatuon sa blockchain noong 2018, na unang tumutuon sa mga pampublikong blockchain kabilang ang Bitcoin at Ethereum.

Ang Kaspersky ay nagtatrabaho sa mga palitan ng Crypto at nakatapos ng isang seguridad audit para sa trading software company na Merkeleon noong Oktubre 2018.

Noong Oktubre 2019, nagsimula ring magtrabaho ang Kaspersky sa mga enterprise blockchain. Sinabi ni Pokrovsky sa CoinDesk na ang kumpanya ay nag-audit ng isang bilang ng mga naturang sistema, dalawa lamang ang maaari niyang pangalanan sa publiko: ang Russia-based blockchain startup na Insolar at WAVES, na naging muling pagtutok mula sa pampubliko hanggang sa pribadong blockchain mula noong nakaraang taon.

Kaspersky software ay naging nakalista kabilang sa nangungunang 10 antivirus na produkto sa buong mundo ng PC Magazine noong Marso ngunit ito ay naging pinagbawalan mula sa pagkaka-install sa mga computer ng gobyerno ng U.S. mula noong 2017 bilang bahagi ng tugon ng U.S. sa pakikialam ng Russia sa 2016 presidential election. Ang pagbabawal na iyon ay naging sanhi ng pagbagsak ng mga benta sa U.S. at Europa ngunit lumawak sila sa Russia pati na rin sa Africa. Kaspersky iniulat 4 na porsyentong paglago ng kita sa 2018.

Ang pag-audit ng WAVES Enterprise ng Kaspersky ay tumagal ng tatlong buwan, mula Nobyembre 2019 hanggang sa katapusan ng Enero 2020. "Ang gawain ay suriin ang seguridad ng mga node, imprastraktura ng network at mga web interface ng node," sabi ni Pokrovsky.

Ang security firm ay nagpatakbo ng tinatawag nitong “grey box” na pagsubok, kung saan ang tester ay walang access sa buong code ng blockchain platform, ngunit mayroon itong administrator-level na access sa system. Ang ganitong uri ng pagsubok ay magpapakita ng mga posibleng pagbabanta ng tagaloob, tulad ng isang dating empleyado na nagnanakaw.

Pagkatapos ng pagsubok, ipinakita ng Kaspersky sa kliyente ang listahan ng mga kahinaan at inaayos ng kliyente ang mga ito. Pagkatapos ay tatakbo muli ang pagsubok.

Hindi isisiwalat ni Pokrovsky kung anong mga kahinaan ang kailangang "ayusin" sa blockchain ng WAVES Enterprise. ( Kinumpirma ng WAVES na tinanggap nito ang Kaspersky.)