Crowdcurity привносить краудсорсингове тестування хакерів на Bitcoin

Веб-сайти з Bitcoin є PRIME цілями для кібератак. Тепер подзвонила компанія Crowdcurity хоче застосувати мудрість натовпу, щоб зробити його більш безпечним. Як це буде працювати?

Захист від атак T , якщо ви хочете KEEP свою веб-програму для Bitcoin . Bitcoin -програми часто можуть містити сотні окремих монет, через що їхні користувачі зазнають значних фінансових втрат, якщо їх зламано. Особливо це стосується обмінів.

Наприклад, був сайт маржинальної торгівлі Bitcoinica подали до суду на 460 000 доларів у 2012 році після того, як його двічі зламали. Після цього американська біржа BitFloor зазнала серйозного збентеження Було вкрадено 24 000 біткоінів після злому у вересні 2012 року – цифра, яка представляє майже десять років комісії за транзакції. Від цієї втрати важко відновитися. Це T перший випадок, проблеми сягають і далі: Vicurex побачив, що його гаманець скомпрометований у 2011 році. І це лише приклади з a набагато більший набір.

Злом веб-програми

Не всі ці крадіжки Bitcoin є явним результатом проблем веб-сайту. Деякі є результатом Human помилки, а деякі поки що не знайшли пояснення. Але ONE можна сказати напевно: погано розроблений код T допомагає, і є відповідальним за принаймні деякі з цих проблем.

Скількома способами людина може зламати веб-програму? Їх десятки, але Open Web Application Security Project (OWASP) розбиває їх на десять широких категорій. Він оновлює список щороку, і 2013 рік є жахливим.

У верхній частині списку? Ін'єкційний. Це трапляється, коли хтось вставляє у веб-програму код, якого там T повинно бути, зазвичай через параметр, який передається URL-адресі. Його можна використовувати для виконання ненавмисних команд, зокрема для розміщення небезпечного зловмисного програмного забезпечення на веб-сторінці для зараження відвідуваних машин або, наприклад, видалення інформації про клієнта.

Інші потенційні атаки включають використання поганої конфігурації безпеки (включно з конфігурацією хостинг-серверів) і несправну автентифікацію, під час якої сеанси не керуються належним чином, що дозволяє зловмисникам викрадати облікові записи. Ще одна застаріла проблема — атака міжсайтового сценарію, під час якої неправильні дані надсилаються до браузера за допомогою JavaScript, що спричиняє його неправильну роботу. Той факт, що ці атаки все ще можливі через роки після того, як вони були вперше виявлені, є дискредитацією спільноти розробників програмного забезпечення.

Проблема багатьох розробників програмного забезпечення в Bitcoin простір і в інших країнах полягає в тому, що важко виявити всі помилки. Кілька Bitcoin сайтів використовують «винагороди за помилки», щоб вирішити проблему, пропонуючи щирим членам спільноти винагороди за виявлення та вирішення проблем.

У Coinbase є ONE

, з мінімальною виплатою 5 BTC і без максимальної виплати. На момент написання статті він нагородив біткойнами 27 людей на суму щонайменше 135 BTC. Payward, який керує сайтом маржинальної торгівлі Kraken, скромніше ставиться до своєї програми винагород, пропонуючи мінімум один Bitcoin за помилку. Ще один сайт для торгівлі Bitcoin , 1Broker, також запустив програму.

Введіть Crowdcurity

Crowdcurity сподівається стандартизувати концепцію винагороди за помилки, передавши процес аутсорсингу. Онлайн-сервіс об’єднує компанії, які мають програмне забезпечення для налагодження, зі спільнотою з близько 250 тестувальників програмного забезпечення, яких він знайшов на форумах безпеки.

Фірма T зосереджена виключно на Bitcoin , оскільки її процес можна застосувати до будь-якої веб-програми. Тим не менш, це важливий ринок для фірми. «Bitcoin компанії вже дуже зосереджені на безпеці, і вони знають, що їм потрібно зосередитися на цьому», — каже Джейкоб Хансен, засновник Crowdcurity, який уже веде переговори принаймні з ONE великим бізнесом, що базується на біткойнах. «Традиційний електронний бізнес T завжди має однакову обізнаність».

[пост-цитата]

Клієнти можуть створювати програму винагород із сайтом, встановлюючи правила та суми для програм із помилками. Потім виклик надсилається спільноті тестувальників, яка працює над повідомленням про вразливості. Клієнт перевіряє помилки разом із Crowdcurity, і виплати присуджуються залежно від серйозності помилки.

Більше половини виплат було здійснено в біткойнах для одного клієнта, з яким фірма мала справу станом на минулий тиждень. «Багато з цих платежів можуть становити 25-50 доларів США, якщо помилки мають низьку критичність, а з біткойнами у вас нижчі комісії, і це робить платежі швидшими», — говорить Хансен.

Хансен пояснює, що тестувальники сайту можуть орієнтуватися на тестовий сайт або на робочий сайт, який уже обробляє живі дані. Але сайти T повинні покладатися лише на зовнішніх тестувальників, стверджує він.

Crowdcurity — це фактично служба тестування на проникнення, за допомогою якої натовп тестувальників намагається зламати веб-сайт. Але чого вони T роблять, так це дивляться на код сайту. З ONE сенсу це добре, тому що сайти із закритим кодом T хочуть, щоб люди дивилися на їхню інтелектуальну власність. З іншого боку, це залишає аналіз коду компанії, яка потім має знайти навички для цього.

"Вони повинні перевіряти безпеку свого коду всередині себе. Крім того, існує багато автоматичних інструментів, які можуть переглядати ваш код і виявляти загальні вразливості". Crowdcurity використовує такі інструменти, як гальмівник для власного сайту, який шукає вразливості в програмах Ruby on Rails. Для інших мов є більше, але компанії повинні мати навички та дисципліну, щоб ними користуватися.

Сподіваємось, у міру того, як Bitcoin зростатиме, а компанії отримають краще фінансування, розробники програмного забезпечення матимуть кращі можливості для покриття всіх своїх основ безпеки. І, можливо, ми побачимо менше катастрофічних історій, таких як Bitcoinica або Bitfloor.