Корпоративные блокчейны: отгороженные, но уязвимые

Как взломать корпоративный блокчейн? Возможно, мы скоро узнаем.

Корпоративные блокчейн-продукты были разработаны в основном как частные сети, ограниченные авторизованными сторонами. Это должно сделать их более эффективными, чем публичные цепи, такие как Bitcoin и Ethereum, поскольку меньшему количеству компьютеров приходится договариваться о том, кто чем владеет, и в определенном смысле более безопасными, поскольку участники знают друг друга.

Эти продукты применяют Технологии, изначально разработанную для Дикого Запада Криптовалюта, к ряду негламурных корпоративных видов деятельности, включая трансграничные транзакции, хранение записей и отслеживание товаров и информации. Их обещание привлекло некоторые из крупнейших мировых корпораций и поставщиков программного обеспечения.

Но, как и любое программное обеспечение, их теоретически можновзломанный, хотя способы предотвращения взлома T так хорошо документированы.

«Я T могу вспомнить ни одной крупной компании, которая бы объявила о каких-либо убытках из-за взлома частного блокчейна», — говорит Пол Броди, глобальный руководитель направления блокчейн в консалтинговый гигант EY.

Читать дальше: Познакомьтесь с Red Date — малоизвестной технологической фирмой, стоящей за масштабным проектом блокчейна в Китае

Ситуация может измениться в NEAR будущем, поскольку компании начнут выводить эти закрытые системы из лабораторных условий и использовать их в реальных условиях.

«Крупные компании уже пару лет работают над блокчейн-приложениями», — сказал Павел Покровский, руководитель блокчейн-направления в компании «Лаборатория Касперского», московском поставщике антивирусного ПО. «Скоро они начнут внедрять эти приложения в производство и могут столкнуться с новыми проблемами в управлении рисками. По мере развертывания большего количества таких решений атаки на них могут стать более частыми».

Внутренние вакансии

По словам Покровского и Броуди, ONE из проблем заключается в том, что частные, контролируемые системы наиболее уязвимы для внутренних угроз.

«Внутренний риск особенно высок в частных блокчейнах, поскольку работа, которая обычно выполняется для защиты информации в частной сети, очень незначительна по сравнению с публичными сетями», — сказал Броди из EY, который былRARE голоссреди четырех крупнейших компаний, предоставляющих профессиональные услугиПение для открытых систем«В публичных сетях мы широко используем доказательства с нулевым разглашением и другие инструменты, чтобы KEEP конфиденциальные данные вне блокчейна».

По его словам, только ONE или два корпоративных клиента EY зашли так далеко в частных сетях. «В результате, если вы можете получить доступ к сети или у вас уже есть доступ как у инсайдера, почти все критически важные данные фактически видны всем членам».

В целом, сказал Покровский, наиболее распространенный тип атаки, который теоретически может быть применен против корпоративной блокчейн-сети, — это атака типа «отказ в обслуживании». Это отличается от DDoS или распределенного отказа в обслуживании, когда серверы компании завалены бесполезными запросами, которые их перегружают.

Читать дальше: Майнеры обманывают протокол стейблкоинов PegNet, превращая 11 долларов в почти 7 миллионов долларов

С другой стороны, отказ в обслуживании — это целенаправленная атака, использующая знания (возможно, бывшего сотрудника), а не электронную силу.

«Допустим, сотрудника компании увольняют, и он злится на своего бывшего работодателя. Он идет в темную паутину и продает свои знания об уязвимостях системы хакерам», — сказал Покровский.

В случае корпоративных блокчейнов злоумышленнику необходимо знать адреса узлов и то, что может вывести их из строя.

«Злоумышленник может переполнить емкость хранилища данных узла, заполонить его бесполезными вычислениями», — сказал Покровский. «Например, ONE из узлов наших клиентов не мог обрабатывать очень большие числа, скажем, 12 нулей и больше. Они бы просто зависли».

Лекарством от такого рода атак является правильная фильтрация данных, поступающих на узлы, сказал он: «Это очень распространенная ошибка — не фильтровать входящие данные».

Дешевый трюк

Эксплуатировать такую уязвимость легко, когда вы знаете, где находятся узлы, и, в отличие от DDoS, для этого не требуется покупать трафик в виде ботов, которые заваливают вашу цель мусорным трафиком, или развертывать большое количество оборудования для атаки на сервер.

«Вы просто пишете простой скрипт и отправляете его на узлы», — сказал Покровский. Затем узлы отключаются. Это может быть использовано в преступных целях от саботажа конкурента до террористических атак, сказал Покровский.

Ситуация может усугубляться тем фактом, что наиболее удобный способ настройки узлов для частного блокчейна — это использование облачной инфраструктуры, чтобы компаниям T приходилось разбираться, как настроить физический узел в своем офисе.

«Большинство частных блокчейнов имеют очень мало узлов, и во многих случаях все они находятся внутри одной облачной инфраструктуры, создавая единую точку отказа», — сказал Броди. «Это также означает, что они не являются неизменными хранилищами информации, их на самом деле легко стереть или отключить».

Риски могут быть разными. Например,Мастерчейн, корпоративный блокчейн для банков, разработанный под эгидой Центрального банка России, является форком или модифицированной копией блокчейна Ethereum , который использует механизм консенсуса proof-of-work. Отключение узлов в такой сети приведет к перераспределению консенсуса между оставшимися узлами, которые продолжат проверять транзакции.

Однако если выяснится, что все оставшиеся узлы контролируются центральным банком, участники сети могут утверждать, что транзакции, зарегистрированные в то время, когда все остальные были неактивны, не являются легитимными, сказал Покровский.

Читать дальше: Проект DeFi dForce возмещает средства всем пострадавшим пользователям после взлома на сумму 25 миллионов долларов

«DDoS — это атака, которую легко и дешево организовать, но ее также легко предотвратить, и такие сервисы, как Cloudflare, могут ее идентифицировать и эффективно предотвращать. Но отказ в обслуживании не идентифицируется фильтрами, которые используют такие сервисы», — сказал Покровский, добавив, что иногда злоумышленникам даже T нужен инсайдер, чтобы обнаружить узлы — такую ​​информацию можно найти с помощью методов разведки с открытым исходным кодом.

«Очень сложно устранять такие уязвимости, когда происходит атака, когда все рушится, все бегают и все горит», — сказал он. Лучше попытаться предсказать такие ситуации в тестовой среде.

Не очень умные контракты

По словам Покровского, если блокчейн использует смарт-контракты, их также можно атаковать.

«Для корпоративных блокчейнов типичная атака — это когда контракт содержит переменные, которые могут оказаться разными для каждого узла, например, временные метки или случайные числа», — сказал он. «В этом случае каждый узел будет выполнять смарт-контракт с разным результатом, и транзакция в результате не будет записана в блокчейн».

Если смарт-контракт ссылается на документы, существует еще один возможный способ его атаки: внедрение вредоносного кода в документ.

Читать дальше: Хакер воспользовался уязвимостью децентрализованной Bitcoin биржи Bisq, чтобы украсть 250 тыс. долларов

«Это то же самое, что иАтака SQL-инъекциейИ чтобы этого не допустить, нужно фильтровать входящие данные и ограничивать использование внешних данных смарт-контрактом», — сказал Покровский.

По словам Броди, тот факт, что большинство частных блокчейнов T пользуются вниманием широкого сообщества блокчейнов, также является недостатком.

«Возможно, самый большой риск, который представляют частные блокчейны, — это риск самоуспокоенности», — сказал он. «Открытый исходный код, который T используется широко и T имеет бдительного сообщества, тестирующего и проверяющего его, гораздо менее безопасен и надежен, чем такие системы, как Bitcoin и Ethereum, которые постоянно укрепляются почти постоянными атаками и публичными проверками».

Точка зрения Касперского

Вероятно, стремясь расширить свой источник доходов, в 2018 году «Лаборатория Касперского» занялась исследованиями и консалтингом в области блокчейна, сначала сосредоточившись на публичных блокчейнах, включая Bitcoin и Ethereum.

Касперский сотрудничает с Криптo биржами и завершена безопасностьаудит компании-разработчика торгового программного обеспечения Merkeleon в октябре 2018 года.

В октябре 2019 года Касперский также начал работать с корпоративными блокчейнами. Покровский рассказал CoinDesk, что компания провела аудит ряда таких систем, только две из которых он мог назвать публично: российский блокчейн-стартап Insolar и WAVES, который был перефокусировкаот публичных блокчейнов к частным с прошлого года.

Программное обеспечение Kaspersky былоперечисленныесреди 10 лучших антивирусных продуктов в мире по версии журнала PC Magazine в марте, но он былзапрещенот установки на правительственные компьютеры США с 2017 года в рамках ответа США на вмешательство России в президентские выборы 2016 года. Этот запрет привел к падению продаж в США и Европе, но они расширились в России и Африке. KasperskyсообщилиРост выручки в 2018 году составил 4 процента.

Аудит WAVES Enterprise от «Лаборатории Касперского» продолжался три месяца: с ноября 2019 года по конец января 2020 года. «Задача заключалась в проверке безопасности узлов, сетевой инфраструктуры и веб-интерфейсов узлов», — рассказал Покровский.

Фирма по безопасности провела так называемое тестирование «серого ящика», в котором у тестировщика нет доступа к полному коду блокчейн-платформы, но есть доступ к системе на уровне администратора. Такое тестирование показало бы возможные внутренние угрозы, например, когда бывший сотрудник становится мошенником.

После завершения тестирования «Лаборатория Касперского» предоставляет клиенту список уязвимостей, клиент их устраняет. Затем тестирование запускается снова.

Покровский не раскрыл, какие именно уязвимости пришлось «исправить» в блокчейне WAVES Enterprise. (WAVES подтвердила, что наняла Касперского.)