اخبار پر بازدیدبلاک چین

گزارش ایران سایبر: تحلیلی بر روش های هک و امنیت فناوری بلاک چین – Blockchain

بلاک چین

فناوری توسعه Blockchain یک موضوع داغ امروزی است و نه تنها در امور مالی، cryptocurrency و … بلکه در حوزه امنیت سایبری نیز بحث های فراوانی در بین متخصصان این فناوری در حال انجام است. این فناوری مانند یک فرآیند ‘work in progress’ در حال توسعه و پیشرفت است و هنوز  در مراحل اولیه قرار دارد. از این رو ، من فکر می کنم خیلی زود است که آن را یک فناوری  100 درصد ایمن بدانیم.

تخمین زده می شود که شرکت های فناوری محور blockchain انتظار دارند که درآمد آنها تا سال 2020 از 6 میلیارد  فراتر رود. به نظر می رسد این یک خبر خوبی باشد ، اینطور نیست؟

اما متأسفانه این همه چیز نیست. در صورتی که آسیب پذیری های امنیتی blockchain در بحثهای امنیتی امروزی در مورد این فناوری توزیع شده نادیده گرفته شود ، ممکن است نه تنها سود واقعی نداشته باشد بلکه موجب بروز خسارات زیادی هم بشود.

توسعه برنامه blockchain یک فناوری امنیتی می باشد اما در حوزه های تخصصی امنیتی بسیار متروک مانده است.
هک کردن مبادلات بیت کوین در شبکه های باز و عمومی امکان پذیر است و در آن هر شخص نفوذگری می تواند یک یا چند گره (node) ایجاد کند، اما برنامه های blockchain سازمانی متفاوت از موارد عمومی است. آنها شبکه های خصوصی و مجوز دار هستند و در دسترس همگانی قرار نگرفته اند.

اگرچه تکنولوژی blockchain ممکن است یک هدف سخت برای هکرها باشد اما غیر قابل شکست نیست. متخصصان Blockchain هشدار داده اند که تحولات blockchain می تواند آسیب پذیری هایی را برای آنها ایجاد کند که سازمان ها باید از آنها آگاه باشند. با بیشتر شدن blockchain ، بازار راه حل های شخص ثالث رشد خواهد کرد. زمینه های برتر اجرای blockchain که در آن می توان انتظار داشت بزرگترین راه حل های شخص ثالث شامل پلت فرم های ادغام blockchain ، کیف پول ، سیستم عامل های پرداخت و غیره باشد.

آیا سازمان شما نیز روی برنامه های blockchain  کار می کند؟ آیا از حساسیت های امنیتی که می تواند به هک تبدیل شود، آگاه هستید؟ در زیر لیستی از 5 ضعف امنیتی برتر (such) وجود دارد که می تواند منجر به هک شدن فناوری بلاک چین یک سازمان شود.

دسترسی به blockchain – کلید عمومی یا خصوصی:
یکی از محتمل ترین موارد قرار گرفتن در معرض خطر ، اجرای خود blockchain خارج از محدوده پیاده سازی است. Terminus یا به اصطلاح فنی آن “نقطه پایانی” نقطه تماس کاربر و فناوری blockchain است.
Blockchain را می توان از طریق کلیدهای عمومی یا خصوصی اجرا کرد. این کلیدها رشته های رمزگذاری شده ای از کاراکتر هایی با طول مناسب هستند تا امکان حدس زدن آنها تقریباً غیر ممکن باشد. از آنجا که دسترسی به داده های مربوط به blockchain بدون ترکیب دقیق کلیدهای خصوصی و عمومی غیر ممکن است ، این هم توانایی بالا و هم ضعف این فناوری را نشان می دهد.
از قدرت بالای این فرآیند می توانیم هکری را مثال بزنیم که نمی تواند به داده ها بدون کلید دسترسی پیدا کند. و برعکس آن ، اگر یک هکر به کلید یا کلیدها دسترسی پیدا کند می تواند به تمام داده های شما دسترسی داشته باشد و اعمال خود را روی آن ها اجرا کند. در اختیار داشتن کلیدها به اندازه داشتن یک blockchain تقریبا کامل است و می تواند کل زنجیره را به خطر بی اندازد. بهترین راه برای به دست آوردن این کلیدها هک کردن دستگاه کاربر – لپ تاپ یا موبایل است.

قرار گرفتن در معرض خطر فروشندگان

از آنجا که فناوری blockchain پذیرش نامحدودی دارد، بازار و سیاست های فروشندگان رشد چشمگیری داشته است. محدوده های مهم اجرای blockchain که در آن می توان انتظار بزرگترین سیاست های فروشندگان را داشت شامل پلت فرم های ادغام blockchain ، کیف پول ، سیستم عامل های پرداخت و غیره است.

در کنار این مسئله، پتانسیل قرار گرفتن در معرض خطر از طرف فروشنده نیز مطرح می شود. و همچنین در صورت وجود فروشندگان قابل اعتماد، سازمانها می توانند فرآیندهای مطمئن blockchain را در سیاست کاری خود داشته باشند. امنیت ضعیف در سیستم عامل ها، کد نادرست و همچنین نقاط ضعف پرسنل می توانند اعتبار و اطلاعات مربوط به مشتریان را در اختیار شخص غیرقانونی یا هکرها قرار دهند. این تهدید از نظر “قراردادهای هوشمند” خطرات بیشتری را نسبت به مخاطرات امنیتی فنی به همراه دارد.

در شعاع سناریو ‘full scale’
معماری blockchain ذاتاً مقیاس پذیر است اما هیچ کس نمی داند که در مقیاس کامل چه اتفاقی خواهد افتاد؟ وقتی تغییرات خاصی ایجاد می شوند، با یک گره مقیاس می شوند. رشد یک blockchain مطابق با FSOC (شورای نظارت بر ثبات مالی – یک سازمان فدرال مستقر در ایالات متحده ) دو خطر عمده را به همراه دارد.

اولا ، این محفظه امروزی محدود است و از این رو عادت کرده ایم که مشکلات را فقط در این قلمرو “محدود” حل و فصل کنیم. اما با گسترش هر گیگابایت ، این تجربه با قیمت خود همراه خواهد شد که تاکنون آنقدر زیاد نیست که نیاز به تغییر اساسی در یک سیستم کامل باشد.

ثانیا ، ممکن است ما مستعد ابتلا به مشکلات به اصطلاح 51٪ شویم . یک کلاهبرداری که در آن اکثر شرکت کنندگان ممکن است قانونی نباشند و ممکن است علیه سایر شرکت کنندگان توافق کنند. اگر تعداد زیادی ماینر در کشورهایی ایجاد شود که برق به راحتی مقرون به صرفه باشد، این تهدید می تواند واقعی به نظر برسد.

عدم وجود اصول و اساسنامه
طبق گزارشات امنیتی ارائه شده، یکی از اصلی ترین ضعف امنیتی blockchain عدم وجود اصول و قانون است. صرف مراجعه به قوانین و استانداردها ، رادیکال های blockchain باید در معرض هوشیاری کامل قرار بگیرند. فقدان رویه ها و پروتکل های استاندارد به این معنی است که توسعه دهندگان blockchain نمی توانند از اشتباهات دیگران درس عبرت بگیرند.

اگر هر شرکت ، هر انجمن و هر یک از برنامه ها مشغول به کار هستند و از قوانینی پیروی می کنند که به اصطلاح apples و oranges است، ممکن است خطرات ناشی از هر نوع فناوری سفارشی ساخته شده در دسترس قرار بگیرد. علاوه بر این، برخی اوقات ممکن است زنجیره هایی برای یکپارچه سازی لازم باشند که عدم وجود این استانداردها منجر به تهدیدات امنیتی از ادغام پیاده سازی های متنوع فن آوری خواهد شد.

کد فرضی – Hypothetical code
با وجوداینکه مدت 8 سال از گسترش بیت کوین گذشته است ، بلاک چین مربوط به cryptocurrency به صورت فرضی باقی مانده است. برخی از سازمانها مشتاق هستند كه كد آزمایش نشده خود را روی بلاک چین های live و یا بلاک های زنجیره ای جدید مستقر كنند. نمونه بارز چنین فعالیتی حمله DAO است. برخی از سازمان ها برای تبلیغات خود مشتاق هستند که کد آزمایش نشده خود را روی بلاک های زنده یا یک کلکسیون زنجیره ای جدید مستقر کنند. نمونه بارز چنین فعالیتی حمله DAO است.

DAO یک سازمان خودمختار غیر متمرکز است که بر روی زنجیره ایجاد شده و هدف آن اجرای کد برای قراردادهای هوشمند اصلی سازمان است.  DAO در سال 2016 توسط تیم اتریوم ایجاد و در آخر هک شد.

این هکر از نقاط ضعف کد DAO آگاهی داشت و یک حساب Child DAO ایجاد کرد تا  برای انتقال پول از اولین حساب در زنجیره درخواست های مکرری را انجام دهد. هکر پس از انتقال 55 میلیون دلار از اتر ، سرقت را پایان داد و هنوز دلیل عدم توقف این هک مشخص نیست.

سخن پایانی نویسنده :

بلاکچین از یک طرف پتانسیل بالایی برای تغییر جهان دارد اما از طرف دیگر، در مرحله اولیه با آسیب پذیری های خاص خود روبرو است. از این رو سازمان ها باید  موارد استفاده در مشاغل ، مخاطرات ، ضعف های پلتفرم و غیره را کاملا تحلیل و بررسی کنند و سپس راه حل های خود را با امنیت بالا و آزمایش داخل و خارج پیاده سازی کنند.

دیدگاهتان را بنویسید