Kyberturvallisuus saa minut itkemään

Hakkerit hakkeroivat Equifaxia

Live-action-laukaus Equifax-hakkeroinnista

Olemme säännöllisesti korkean profiilin tietoturvaloukkausten aikoina ja huolestuneina digitaalisen tiedon turvallisuudesta ja yksityisyydestä. Vanhentunut Internet-infrastruktuuri, joka ei selvästikään vastaa haasteita estää kehittyneitä tietoverkkohyökkäyksiä. Kyberturvallisuuden illuusio liukenee silmiemme edessä Equifaxista WannaCryyn.

Yhä useammin paljastuu uutisia henkilötietojen hakkeroinnista tai paljastamisesta. Yhä useammin paljastetaan, että ne, joille olemme uskoneet avaimet tietoihimme, käyttävät kyseisiä tietoja väärin ja pettävät luottamuksemme. On yhä selvempi, että keskitetyt järjestelmät, jotka ovat päässeet tähän asti, eivät riitä suojelemaan meitä eteenpäin.

Blockchain-tekniikka lupaa ratkaista nämä ongelmat poistamalla luottamuksen digitaalisen sisällön varastointiin ja saatavuuteen. Siirtämällä tietoja verkon reunoille ja käyttämällä vahvaa kryptografiaa ylläpitääkseen yksilöllistä hallintaa kyseisissä tiedoissa, lohkoketjut pyrkivät asettamaan virran takaisin loppukäyttäjien ja tietojen luojien, ei tietojen (selvästi kömpelöihin) käsiin. alustoilla, joita käytämme tietojen jakamiseen.

Blockchainit eivät ole hämmästyttäviä

Kuitenkin niin tehokkaat kuin estoketjut voivat olla, he eivät ole immuuneja hyökkäyksille. Kaikilla tekniikoilla on heikkoja kohtia ja hyökkäysvektoreita, eikä lohkoketju ole poikkeus. Tässä tutkitaan hyökkäyksen eri vektoreita (lisääntyvän uhan järjestyksessä) ja katsotaan joitain esimerkkejä kustakin kryptoarvon toistaisesta lyhyestä mutta jännittävästä historiasta.

Sybil Attack

Sybil-hyökkäys on hyökkäys, jossa valtava määrä yhden verkon solmuja on saman osapuolen omistuksessa ja yrittää häiritä verkon toimintaa tulvimalla verkkoa huonoilla tapahtumilla tai manipuloimalla kelvollisten tapahtumien välittämistä.

Nämä hyökkäykset ovat toistaiseksi teoreettisia ja suurimmaksi osaksi niitä ei koskaan voida nähdä, koska yksi kriittisen valuutan järjestelmää kehitettäessä tehdyistä perustavanlaatuisista suunnittelupäätöksistä on Sybil-hyökkäysten estäminen.

Bitcoin estää heitä Proof-of-Work -algoritminsa kautta ja vaatii solmuja käyttämään resursseja (energian muodossa) kolikoiden vastaanottamiseen, mikä tekee valtaosan solmujen omistamisesta erittäin kallista. Eri projektit käsittelevät Sybil-resistenssiä eri tavoin, mutta melkein kaikki käsittelevät sitä.

Reittihyökkäys

Reitityshyökkäys on hyökkäys, jonka mahdollistaa Internet-palveluntarjoajan (ISP) kompromissi tai yhteistyö. Vaikka on teknisesti mahdollista käyttää Bitcoin (tai muita kolikoita) solmua missä tahansa päin maailmaa, nykyinen tosiasia on, että solmut ovat suhteellisen keskiteltyjä tällä hetkellä Internet-palveluntarjoajien suhteen, jotka siirtävät Internet-liikennettä edestakaisin..

Mukaan tutkimusta ETHZurich, 13 Internet-palveluntarjoajaa isännöi 30% Bitcoin-verkosta, kun taas 3 Internet-palveluntarjoajaa reitittää 60% verkon kaikista liikennetapahtumista. Tämä on merkittävä epäonnistumiskohta, jos Internet-palveluntarjoaja vaarantuu vioittuneeksi.

Reitityshyökkäys toimii sieppaamalla Internet-liikennettä, joka lähetetään autonomisten järjestelmien, Internet-arkkitehtuurin ylimmän tason solmujen, välillä. Niitä on tarpeeksi vähän sieppaamaan suhteellisen helposti. Tämä on ilmiö, jota nähdään yleisesti, jopa päivittäin, Internetissä luonnossa, ja sitä voidaan varmasti käyttää Bitcoinia tai muuta kryptovaluuttaliikennettä vastaan.

Tätä menetelmää käyttämällä kryptovaluuttaverkko voidaan jakaa kahteen tai useampaan erilliseen verkkoon, jolloin osion molemmat puolet altistetaan kaksinkertaisen kulutuksen hyökkäyksille, koska ne eivät voi kommunikoida koko verkon kanssa tapahtumien vahvistamiseksi. Kun kolikot oli käytetty verkon yhdelle puolelle ja vastaanotetut tavarat tai palvelut, osio voitiin poistaa ja verkko hylkäsi verkon puolet lyhyemmän ketjun kanssa ja pyyhkäisi nämä tapahtumat pois.

Sikäli kuin tiedämme, tällaista hyökkäystä ei ole tapahtunut, ja on olemassa toimia, jotka voidaan tehdä kolikoiden immuuniksi tälle käyttäytymiselle.

Suora palvelunesto

Suoran palvelunestohyökkäyksen kaavioVaikka voit helposti ostaa verkkotunnuksen tehokkailla käänteisillä linkeillä osoitteesta https://www.spamzilla.io, mutta yksinkertainen suoran palvelunestohyökkäys (DDoS) voi lamauttaa palvelimesi. DDoS on yksinkertaisesti yritys, joka voidaan tehdä täyttämällä palvelin suurella määrällä liikennettä. Tämä on ehdottomasti yksi yleisimmistä luonnossa havaituista hyökkäyksistä, koska DDoS-hyökkäyksen ostaminen on suhteellisen helppoa mistä tahansa maineikkaasta “hakkeriista” tai yrityksestä.

Sivuston tapauksessa tämä näyttää valtavalta määrältä palvelimelle lähetettyjä pyyntöjä, joita lähetetään jatkuvasti tietyn ajanjakson ajan, mikä estää oikeutettuja pyyntöjä saamasta tarvitsemiaan resursseja. Bitcoin-solmun tapauksessa tämä näyttää siltä, ​​että valtavia määriä pieniä tai virheellisiä tapahtumia lähetetään verkon tulviksi ja laillisten tapahtumien käsittelyn estämiseksi..

Suurimmat verkot, kuten Bitcoin, ovat jatkuvasti DDoS-yritysten hyökkäysten kohteena, mutta Bitcoin-verkon kehittämisessä tehdyt suunnittelupäätökset vähentävät DDoS-yritysten riskiä. Onnistuneen DDoS-hyökkäyksen edessä ei ole uhkaa varastetuista varoista tai vaarantuneesta turvallisuudesta, yksinkertaisesti verkkotoiminnan pysäyttäminen.

Bitcoin’s Backlog Blues

Tätä palvelun keskeytystä ei kuitenkaan voida käyttää turvallisuusriskinä, mutta sitä voidaan käyttää muissa esityslistoissa. Siellä on jotain saagaa, kun on kyse roskapostitapahtumista (DDoSing verkko, jossa on paljon tapahtumia) ja Bitcoinista, jota pelattiin vuosina 2015-2017.

Kesäkuussa 2015 Coinwallet.eu (nyt lakannut lompakkoyritys) järjestistressitesti”Bitcoin-verkosta lähettämällä tuhansia tapahtumia verkossa pyrkiessään vaikuttamaan tuolloin kiihtyneeseen kiistanalaiseen lohkokoon muutoskeskusteluun toteamalla ilmoituksessaan, että he aikovat tehdä selvän tapauksen lisääntyneelle estää lohkon koon osoittamalla laajamittaisen roskapostihyökkäyksen yksinkertaisuus verkossa. “

Kuukautta myöhemmin, niin sanotussa “tulva-iskussa”, 80 000 pientä tapahtumaa lähetettiin samanaikaisesti Bitcoin-verkkoon, mikä loi valtavan virheen, joka selvitettiin vain F2Poolin, yhden tuolloin suurimpien kaivospoolien, ponnisteluilla, joka omisti koko lohkon kaikkien roskapostitapahtumien yhdistämiseen ja niiden tyhjentämiseen.

Ensi vuoden aikana Bitcoin-analyysityökalun OXT luojan LaurentMT: n analyysin mukaan lähetettiin vielä tuhansia tai jopa miljoonia muita roskapostitapahtumia (enimmäkseen pieniä, hyödyttömiä tapahtumia, jotka eivät olisi voineet olla laillisia). Bitcoin UTXO -lause, mutta suurimmat kaivospoolit jättivät nämä transaktiot suurimmaksi osaksi huomiotta.

Bitcoin Mempool 2017

Yhtäkkiä vuoden 2016 jälkipuoliskolla ja kaikki samaan aikaan suuret kaivospoolit alkoivat hyväksyä nämä roskapostitapahtumat lohkoiksi vähentäen laillisten liiketapahtumien määrää juuri samalla kun lohkokokoinen keskustelu oli taas kiihtymässä ja monet altaista huhuttiin olevan sivussa “isojen salpaajien” kanssa pienten salpaajien yli.

Bitcoin-verkko on sittemmin selvittänyt tämän virheen ja humisee, kun taas suurten lohkojen fanit ovat kiinnittäneet huomionsa Bitcoin Cashiin, projektiin, jota Jihan Wu (Bitmainin perustaja, joka on ylivoimaisesti suurin Bitcoin hashpower -omistaja) tukee täysin . Tee oma tutkimus.

51% tai enemmistöhyökkäys

Koska lohkoketjun turvallisuus liittyy suoraan ketjua rakentavaan tietokonevirtaan, on olemassa uhka, että hyökkääjä saa hallintaansa verkon hash-tehon suurimman osan. Tämä antaisi hyökkääjälle mahdollisuuden kaivaa estoja nopeammin kuin muu verkko yhteensä, mikä avaisi oven “kaksinkertaiseen kulutukseen”.

Kaksinkertainen kulutus on menetelmä salakirjoituksen huijaamiseksi, johon liittyy tapahtumien lähettäminen ketjulle, tavaran tai palvelun vastaanottaminen, jonka liiketoimi maksaa, ja sen jälkeen enemmistön hashpowerin käyttäminen haarautumaan lohkoketjuun ennen tapahtumaa. Tämä poistaa kyseisen tapahtuman ketjuhistoriasta, jolloin hyökkääjä voi suorittaa kauppaa samojen kolikoiden kanssa toisen kerran.

Suurimman osan hajautusvoimasta saaminen ei salli hyökkääjän luoda kolikoita, käyttää osoitteita tai vaarantaa verkkoa millään muulla tavalla, mikä rajoittaa tämän menetelmän aiheuttamia vahinkoja. Suurin vaikutus tällaisella hyökkäyksellä voi hyvinkin olla luottamuksen menetys hyökkäysverkkoon ja sen jälkeen minkä tahansa verkon tunnuksen omaisuuden hinta laskee.

Tällainen enemmistöhyökkäys on erittäin kallista vetää, ja seurauksena todellisuudessa vain suhteellisen pienet ja vähäisen voiman kolikot ovat alttiita tälle hyökkäysvektorille. Suurimmilla kolikoilla, kuten Bitcoinilla, on vähän pelättävää 51 prosentin hyökkäyksestä johtuen siitä, että kaikilla hyökkääjillä, joilla on valtaosa hashowerista, olisi enemmän kannustimia yksinkertaisesti kaivaa kaikki lohkot ja vastaanottaa Bitcoin kuin yrittää hyökätä, varsinkin kun otetaan huomioon varastetun Bitcoinin hinta romahtaisi, jos uutiset hyökkäyksestä tulisivat esiin.

51% luonnossa

Yksi mielenkiintoisimmista esimerkeistä 51%: n hyökkäyksistä luonnossa on hakkeriryhmän ystävyys, joka kutsui itseään ’51 -mieheksi ‘. Vuoden 2016 jälkipuoliskolla 51miehistö alkoi pitää pieniä Ethereum-klooneja lunnaita varten hyödyntämällä alhaiset hajautusasteet ja keskitetty kaivostoiminta jakamaan tarpeeksi laitteistoja verkon nurkkaamiseksi.

Väittäen, että heidän aikomuksensa ei ole tuhota projekti, ja he tekivät tämän vain ansaitsemaan rahaa, he vaativat Bitcoinia vastineeksi toiminnan lopettamisesta ja projektien rauhasta. Jos vaatimuksia ei täytetty, he haastaisivat kolikon lohkoketjun pisteeseen ennen suurta myyntiä, jonka miehistö oli jo tehnyt vaihdoissa.

Kyseiset projektit, Krypton (nyt lakkautettu) ja Shift (käytiin edelleen kauppaa pienellä määrällä), kieltäytyivät maksamasta lunnaita ja saivat sitten lohkoketjut haarautumaan. Projektiryhmät ryhtyivät tukemaan verkon hajauttamista ja tekemään muutoksia protokolliin tällaisten väärinkäytösten estämiseksi, mutta eivät ennen kuin he saivat melkoisen osuman.

Salaushaavoittuvuudet

Tähän mennessä hahmotellut hyökkäykset koskevat enimmäkseen joko kaksinkertaista kulutusta tai verkkopalvelujen vähentämistä. Hyökkäykset ovat kalliita käynnistää, ja verkon omat korjaavat ominaisuudet korjaavat ne nopeasti. Vaikka ne voivat olla todellisia uhkia luottamus kryptovaluuttaan ja johtaa minimaaliseen varojen menetykseen, ne ovat suhteellisen pieniä perunoita.

Kuten minkä tahansa tietokonejärjestelmän tai verkon kohdalla, suurin hyökkäysvektori on inhimillinen virhe. Cryptolandissa tähän mennessä nähneet suurimmat varojen menetykset johtuvat itse kolikon ohjelmistovirheistä. Salausvirheet salausvaluutan turvallisuudessa jättävät turva-aukkoja, jotka hienostuneet hakkerit voivat löytää ja hyödyntää projektin heikentämiseksi.

DAO

Ehkä näkyvin esimerkki huonoista koodeista käyttöönotetusta hakkeroinnista on surullisen Ethereum DAO -hakkerointi, niin huono, että se synnytti kokonaan uuden kryptovaluutan ja kummittelee Ethereum-projektia tähän päivään asti.

DAO (Decentralized Autonomous Organization) oli johtajaton organisaatio, joka rakennettiin Ethereumin päälle älykkäiden sopimusten avulla. Ajatuksena oli antaa kenellekään mahdollisuus sijoittaa yritykseen ja äänestää hankkeista, jotka he halusivat saada rahoitusta, joita kaikkia hallitaan turvallisesti ja automaattisesti DAO: n älykkäällä sopimuskoodilla.

Jos olet sijoittanut DAO: han (ostamalla DAO-tunnuksia) ja sitten myöhemmin päättänyt vetäytyä, tähän oli olemassa mekanismi, jolla voisit saada Ethereumin palauttamaan sinulle vastineeksi DAO-tunnuksistasi. Tämä on Split Return -mekanismi, jota uraauurtava DAOist käytti hyväkseen 17. kesäkuuta 2016.

Jaettu palautus on kaksivaiheinen prosessi: palauta asianmukainen määrä Ethereumia palautuksen käynnistävälle tunnuksen haltijalle, ota sitten tunnukset ja rekisteröi tapahtuma lohkoketjussa päivittääksesi DAO-tunnussaldon. Tuntematon hakkeri tajusi voivansa huijata järjestelmän toistamaan ensimmäisen vaiheen siirtymättä toiseen, mikä antoi heille mahdollisuuden sifonoida 50 miljoonan dollarin arvoinen Ethereum DAO: sta ulos erilliseen DAO: han, jota vain hyökkääjä ohjasi..

Tämä ilmeisesti sytytti Ethereum-yhteisöä, ja tehtiin suunnitelma varojen pehmeään haarautumiseen ja palauttamiseen. Pehmeä haarukka olisi ollut minimaalisesti invasiivinen, yhteensopiva taaksepäin ja yksinkertaisesti ‘pyyhkinyt’ DAO-hakkeroinnin lohkoketjusta. Kun suunnitelma oli tehty, huomattiin, ettei se lentäisi ja tarvitsisi kovan haarukan. Tämä oli kiistanalaista ja johti Ethereum Classicin (ETC), jatkoa alkuperäiseen Ethereum-ketjuun, jossa DAO-hakkerointi oli paikallaan, ja Ethereum (ETH), uusi kovaa haaroitettua projektia, joka jatkoi DAO: ta toisena päivänä.

Todellinen uhka on käyttäjiä, ei hakkereita

Blockchain-tekniikka on vankka ja lupaava, ja vaikka kaikki nämä mahdollisesti hyökkäyslähestymistavat ovatkin, vain harvat onnistuneet hyökkäykset ovat menneet historiaan. Tämä ei kuitenkaan ole estänyt käyttäjiltä varastamasta suuria määriä rahaa.

Vaikka useimpien kryptovaluuttojen turvallisuus pysyy ennallaan, lompakoiden, keskusten ja kolmansien osapuolten palveluiden turvallisuus näiden salausvaluuttojen ympärillä on melkein naurettavan huono. Miljoonien miljoonien dollarien arvosta Bitcoinia ja muita kryptovaluuttoja on vuosien varrella varastettu yksityishenkilöiden ja vaihdon vaarantuneilta tileiltä.

Vaikka yllä kuvatut hyökkäykset ovat enimmäkseen teoreettisia ja niitä puolustetaan aktiivisesti, Bitcoinin ja muun salausvaluutan turvallisuudessa oleva räikeä aukko on se, että ihmiset eivät ole niin suuria kiinnittämään huomiota ja olemaan valppaana. Salasanojen uudelleenkäyttö, phishing-huijausten uhri, huolimattomat verkkosivustojen ylläpitäjät ja huolimattomat vaihtoon osallistuvat työntekijät ovat edelleen ainoa vaarallisin epäonnistumispaikka salaustalouden terveydelle.

Kun etenemme, saattaa hyvinkin olla joitain blockchain-tason hyökkäyksiä. Ne voivat tulla valtavilta voimilta, kuten hallituksilta tai yrityksiltä, ​​jotka ovat sitoutuneet hallitsemaan tai heikentämään näitä lupaavia uusia keinoja varallisuuden ja arvon säilyttämiseen ja siirtämiseen. Pitkällä aikavälillä tällaiset hyökkäykset kuitenkin vain vahvistavat ja kehittävät tekniikkaa kestävämmäksi ja kestävämmäksi.

Mutta paljon enemmän kuin tämä, kuluttajien salaustuotteiden helppokäyttöisyydessä ja turvallisuudessa on tehtävä suuria hyppyjä ennen kuin todellinen käyttöönotto voi tapahtua. Niin kauan kuin yksi vahingossa jaettu salasana tai jätetty avoin kannettava tietokone voi merkitä menetettyjä elämäsäästösi, emme voi mennä salaukseen ajettuun maailmaan.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me