La ciberseguretat em fa voler plorar

Pirateria pirata informàtica Equifax

Captura d’acció en directe del hack Equifax

Existeix en un moment de violacions regulars de dades de gran perfil i preocupació per la seguretat i la privadesa de la informació digital, carregat d’una infraestructura d’Internet envellida que, evidentment, no supera el repte de prevenir ciberatacs sofisticats. Des d’Equifax fins a WannaCry, la il·lusió de la ciberseguretat es dissol davant dels nostres ulls.

Cada cop amb més freqüència surten a la llum notícies sobre el pirateig o l’exposició d’informació personal. Cada cop més, es revela que aquells que ens han confiat les claus de les nostres dades utilitzen malament aquestes dades i delaten la nostra confiança. Cada cop és més clar que els sistemes centralitzats que ens han arribat fins aquí no seran suficients per protegir-nos per avançar.

La tecnologia Blockchain promet solucionar aquests problemes eliminant la confiança que implica l’emmagatzematge i l’accés al nostre contingut digital. En moure les dades a les vores de la xarxa i emprar una forta criptografia per mantenir un control individual sobre aquestes dades, les cadenes de blocs pretenen tornar a donar poder als usuaris finals i als creadors de les dades, no a les mans (clarament maldestres) dels plataformes que fem servir per compartir les dades.

Les cadenes de blocs no són inacceptables

No obstant això, per molt poderoses que siguin les cadenes de blocs, no són immunes als atacs. Qualsevol tecnologia té punts febles i vectors d’atac, i el blockchain no és una excepció. Aquí explorarem els diferents vectors d’atac (per ordre d’amenaça creixent) i veurem alguns exemples de cadascun de la curta però emocionant història de la criptomoneda fins ara.

Sybil Attack

Un atac de Sybil és un atac en què un gran nombre de nodes d’una sola xarxa són propietat del mateix partit i intenten interrompre l’activitat de la xarxa inundant la xarxa amb transaccions errònies o manipulant la retransmissió de transaccions vàlides..

Aquests atacs són teòrics fins ara i, en la seva major part, potser mai no es veuran, ja que una de les decisions fonamentals de disseny que es prenen a l’hora de desenvolupar un sistema de criptomonedes és la manera de prevenir els atacs de Sybil.

Bitcoin els impedeix mitjançant el seu algorisme de prova de treball, que requereix que els nodes gastin recursos (en forma d’energia) per rebre monedes, cosa que fa que sigui car la propietat de la gran majoria de nodes. Diferents projectes gestionen la resistència de Sybil de manera diferent, però gairebé tots ho manegen.

Atac d’enrutament

Un atac d’encaminament és un atac possible gràcies al compromís o la cooperació d’un proveïdor de serveis d’Internet (ISP). Tot i que tècnicament és possible executar un node Bitcoin (o altres monedes) a qualsevol part del món, la realitat actual és que ara mateix els nodes estan relativament centralitzats pel que fa als proveïdors d’Internet que transporten el trànsit d’Internet cap a i des de.

D’acord amb recerca fet per ETHZurich, 13 proveïdors d’accés proveïdor allotgen el 30% de la xarxa de Bitcoin, mentre que 3 proveïdors d’accés públic envien el 60% de tot el trànsit de transaccions de la xarxa. Aquest és un gran punt de fracàs si un ISP es comprometi a corrompre.

Un atac d’encaminament funciona interceptant el trànsit d’Internet que s’envia entre sistemes autònoms, nodes de nivell superior en l’arquitectura d’Internet, dels quals n’hi ha prou com per interceptar amb relativa facilitat. Aquest és un fenomen que es veu habitualment, fins i tot diàriament, a Internet en llibertat i que sens dubte es pot utilitzar contra el trànsit de Bitcoin o d’altres criptomonedes.

Mitjançant aquest mètode, una xarxa de criptomonedes es podria particionar en dues o més xarxes separades, exposant els dos costats de la partició a atacs de doble despesa perquè no es poden comunicar amb tota la xarxa per validar les transaccions. Un cop gastades les monedes per una cara de la xarxa i els béns o serveis rebuts, la partició es podria eliminar i la banda de la xarxa amb la cadena més curta seria rebutjada pel conjunt de la xarxa i es transmetrien les transaccions..

Pel que sabem, aquest tipus d’atac no s’ha produït i es poden prendre mesures perquè les monedes siguin immunes a aquest comportament.

Denegació directa del servei

Diagrama d’atac de denegació directa de serveiTot i que podeu comprar fàcilment un domini amb potents enllaços d’entrada de https://www.spamzilla.io, però un simple atac de denegació directa de servei (DDoS) podria paralitzar el vostre servidor. DDoS és simplement un intent que es pot inundar un servidor amb grans volums de trànsit. Sens dubte, aquest és un dels atacs més comuns que es veuen en estat salvatge, ja que és relativament fàcil comprar un atac DDoS a qualsevol nombre de “hackers” o empreses de renom que hi ha.

En el cas d’un lloc web, això sembla un gran volum de sol·licituds al servidor que s’envien de forma contínua durant un període de temps, evitant que les sol·licituds legítimes rebin els recursos que necessiten. En el cas d’un node Bitcoin, sembla que s’envien enormes volums de transaccions petites o no vàlides amb l’objectiu d’inundar la xarxa i evitar que es processin transaccions legítimes..

Les principals xarxes com Bitcoin estan constantment atacades pels intents de DDoS, però les decisions de disseny preses en el desenvolupament de la xarxa de Bitcoin actuen per mitigar el risc d’intents de DDoS. Davant d’un atac DDoS reeixit, no hi ha amenaça de robatori de fons ni seguretat compromesa, simplement una aturada de l’activitat de la xarxa.

Backlog Blues de Bitcoin

Tot i això, tot i que no suposa un risc per a la seguretat, aquesta interrupció del servei es pot utilitzar per a altres agendes. Hi ha alguna cosa d’una saga pel que fa a transaccions de “correu brossa” (DDoSing a la xarxa amb moltes transaccions) i Bitcoin que es van desenvolupar del 2015 al 2017.

El juny de 2015, Coinwallet.eu (una empresa de carteres ja desapareguda) va dur a terme unaprova d’estrès“De la xarxa Bitcoin mitjançant l’enviament de milers de transaccions a la xarxa en un esforç per influir en el controvertit debat sobre el canvi de mida de bloc que feia furor en aquella època, afirmant al seu missatge d’anunci que es proposaven” fer un cas clar per a l’augment mida del bloc demostrant la simplicitat d’un atac de correu brossa a gran escala a la xarxa “.

Un mes després, en el que es denomina “atac de les inundacions”, es van enviar simultàniament 80.000 petites transaccions a la xarxa Bitcoin, creant un retard massiu que només va ser eliminat pels esforços de F2Pool, una de les piscines mineres més grans del moment, que va dedicar tot un bloc a combinar totes les transaccions de correu brossa i esborrar-les.

Al llarg de l’any vinent, segons l’anàlisi de LaurentMT, el creador de l’eina d’anàlisi de Bitcoin OXT, es van enviar molts milers o fins i tot milions de transaccions de correu brossa (majoritàriament petites, inútils que no podrien haver estat legítimes). l’endarreriment de Bitcoin UTXO, però aquestes transaccions van ser ignorades en la seva major part per les principals piscines mineres.

Bitcoin Mempool 2017

De sobte, a la segona meitat del 2016 i gairebé al mateix temps, les principals piscines mineres de l’època van començar a acceptar aquestes transaccions de correu brossa en blocs, reduint el rendiment de transaccions legítimes just quan el debat sobre la mida del bloc s’estava ampliant de nou i molts Es rumoreava que les piscines estaven al costat dels “grans bloquejadors” sobre els petits bloquejadors.

Des de llavors, la xarxa Bitcoin ha esborrat aquest pendent de feina i està tararejant, mentre que els grans fanàtics han centrat la seva atenció en Bitcoin Cash, un projecte al qual Jihan Wu (fundador de Bitmain, el propietari més gran de potència de Bitcoin) és totalment partidari de . Feu la vostra pròpia investigació.

51% o atac majoritari

Atès que la seguretat d’una cadena de blocs està directament relacionada amb la potència de l’ordinador que construeix la cadena, hi ha l’amenaça que un atacant obtingui el control de la majoria de la potència de hash a la xarxa. Això permetria que l’atacant minés blocs més ràpidament que la resta de la xarxa combinada, obrint la porta a la “doble despesa”.

La doble despesa és un mètode per defraudar una criptomoneda que consisteix a enviar transaccions a la cadena, rebre el bé o el servei que paga la transacció i, posteriorment, utilitzar el poder majoritari per forçar la cadena de blocs en un punt anterior a la transacció. Això esborra eficaçment aquesta transacció de la història de la cadena, cosa que permet a l’atacant fer transaccions amb les mateixes monedes per segona vegada.

L’obtenció d’una majoria de potència hash no permetria a un atacant crear monedes, accedir a adreces o comprometre la xarxa de cap altra manera, cosa que limita els danys que permet aquest mètode. L’efecte més important d’aquest atac pot ser la pèrdua de confiança en la xarxa atacada i la caiguda posterior del preu dels actius de qualsevol testimoni de la xarxa..

Aquest tipus d’atac majoritari és molt costós d’aconseguir i, en conseqüència, en realitat, només les monedes relativament petites i de poca potència són susceptibles a aquest vector d’atac. Les principals monedes com Bitcoin tenen poc a témer d’un atac del 51% a causa del fet que qualsevol atacant amb una gran majoria de poder hash tindria més incentius per minar tots els blocs i rebre el Bitcoin que intentar atacar, sobretot tenint en compte el preu del seu Bitcoin robat cauria si les notícies d’un atac sortissin.

51% en estat salvatge

Un dels exemples més interessants d’atacs del 51% en estat salvatge prové de la cortesia d’un grup de pirates informàtics que es deien a si mateixos com a ‘51 Crew’. A la segona meitat del 2016, el 51 Crew va començar a mantenir petits clons d’Ethereum per rescatar-lo, capitalitzant els seus baixes taxes de distribució i distribució minera centralitzada per llogar maquinari suficient per arraconar la xarxa.

Afirmant la seva “intenció de no destruir un projecte” i ho feien només per guanyar diners, van exigir Bitcoin a canvi de tancar la seva operació i deixar els projectes en pau. Si no es complissin les demandes, forcarien la cadena de blocs de la moneda fins a un punt abans de les grans vendes que la tripulació ja havia realitzat en els intercanvis.

Els projectes en qüestió, Krypton (ara desapareguts) i Shift (que encara es cotitzen a un volum reduït), es van negar a pagar el rescat i, posteriorment, es van bifurcar les cadenes de blocs. Els equips del projecte es van esforçar per reforçar la descentralització de la xarxa i fer canvis als protocols per evitar aquests abusos, però no abans d’haver tingut un èxit.

Vulnerabilitats criptogràfiques

Els atacs esbossats fins ara es refereixen principalment a l’àmbit de la doble despesa o de la reducció del servei de xarxa. Els atacs són costosos d’aconseguir i es corregeixen ràpidament per les pròpies funcions d’autoreparació de la xarxa. Tot i que podrien suposar amenaces reals per a la confiança en una criptomoneda i provocar una pèrdua mínima de fons, són patates relativament petites.

Com passa amb qualsevol sistema o xarxa informàtica, el vector d’atac més gran és l’error humà. Les principals pèrdues de fons que s’han vist fins ara a cryptoland són el resultat d’errors en el propi programari de la moneda. Els errors criptogràfics en la seguretat de les criptomonedes deixen forats de seguretat que poden ser descoberts i explotats per pirates informàtics sofisticats per minar un projecte.

El DAO

Potser l’exemple més visible d’un pirateig habilitat mitjançant un codi de mala qualitat és el famós pirateig Ethereum DAO, tan dolent que va generar una nova moneda digital i persegueix el projecte Ethereum fins als nostres dies.

El DAO (Organització Autònoma Descentralitzada) era una organització sense líders construïda sobre Ethereum mitjançant contractes intel·ligents. La idea era donar a qualsevol persona la possibilitat d’invertir a l’empresa i votar sobre els projectes que volia finançar, tot gestionat de forma segura i automàtica pel codi de contracte intel·ligent DAO..

Si heu invertit en DAO (comprant fitxes DAO) i després decidiu retirar-lo, hi hauria un mecanisme pel qual podríeu retornar el vostre Ethereum a canvi dels vostres fitxes DAO. Aquest és el mecanisme anomenat “Retorn dividit” que va ser explotat per un DAOist pioner el 17 de juny de 2016.

La devolució dividida és un procés en dos passos: retornar la quantitat adequada d’Ethereum al titular de la fitxa que activi la devolució, després agafar les fitxes i registrar la transacció a la cadena de blocs per actualitzar el saldo de fitxes DAO. El pirata informàtic desconegut es va adonar que podia enganyar el sistema perquè repetís el primer pas sense passar al segon, cosa que els va permetre sifonar Ethereum per valor de 50 milions de dòlars del DAO i convertir-lo en un DAO separat controlat només per l’atacant..

Evidentment, això va enflamar la comunitat Ethereum i es va fer un pla per restablir i recuperar els fons. Una forquilla suau hauria estat mínimament invasiva, compatible amb la versió posterior i simplement hauria esborrat el hack DAO de la cadena de blocs. Un cop fet el pla, però, es va adonar que no volaria i que seria necessària una bifurcació dura. Això va ser controvertit i va donar lloc a la creació d’Ethereum Classic (ETC), una continuació de la cadena original d’Ethereum amb el hack DAO al seu lloc, i Ethereum (ETH), el recent projecte que va continuar DAO un altre dia.

La veritable amenaça són els usuaris, no els pirates informàtics

La tecnologia Blockchain és robusta i prometedora, i fins i tot amb tots aquests possibles enfocaments d’atac, han passat pocs atacs amb èxit a la història. Tanmateix, això no ha evitat que es robin grans quantitats de diners als usuaris.

Tot i que la seguretat de la majoria de criptomonedes es manté intacta, la seguretat de les carteres, intercanvis i comptes de serveis de tercers al voltant d’aquestes criptomonedes continua sent gairebé ridícul. Al llarg dels anys, s’han robat Bitcoin i altres criptomonedes per milions i milions de dòlars dels comptes compromesos de persones i intercanvis..

Tot i que els atacs esbossats anteriorment són majoritàriament teòrics i es defensen de manera activa, el clamorós forat de la seguretat de Bitcoin i de qualsevol altra criptomoneda és el fet que els humans no són tan bons en prestar atenció i estar vigilants. La reutilització de contrasenyes, les víctimes d’estafes de pesca, operadors de llocs web descuidats i empleats negligents d’intercanvi continuen sent l’únic punt de fracàs més perillós pel que fa a la salut de l’economia criptogràfica..

A mesura que avancem, és possible que es produeixin alguns atacs a nivell de blockchain. Aquests poden provenir d’enormes potències, com ara governs o corporacions, que volen controlar o soscavar aquests prometedors nous mitjans d’emmagatzematge i transferència de riquesa i valor. A la llarga, però, atacs com aquests només actuaran per enfortir i fer evolucionar la tecnologia per ser més resistents i robustos.

Però, molt més que això, caldrà fer grans passos en la facilitat d’ús i seguretat dels productes de criptografia de consum abans que es pugui produir una adopció real. Mentre un usuari hagi compartit una contrasenya o deixi un portàtil obert per accident, pugui suposar la pèrdua d’estalvis de vida, no podem entrar en un món amb criptografia.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me