Сегодня мы еще раз рассмотрим преимущества блокчейна, на этот раз сосредоточившись на повышении кибербезопасности вашего малого бизнеса. В 2017 году с интервалом в несколько месяцев произошли два резонансных инцидента с криптовалютным кошельком Parity. В июле 2017 года уязвимость в смарт-контракте кошелька Parity привела к убыткам в 30 млн долларов, а в ноябре 2017 года в результате эксплуатации уже другой уязвимости были заблокированы средства пользователей в размере 300 млн долларов. Первой крупной атакой на блокчейн-проект стал взлом The DAO (decentralized autonomous organization) – проекта по децентрализованному управлению инвестициями.
Во-первых, на сегодняшний день популярны методы формального анализа и аудита безопасности смарт-контрактов, которые дают очень высокий уровень защиты от проблем, подобных взлому Ethereum DAO в 2016 году. Чипмейкер Intel представила свой собственный альтернативный согласованный протокол под названием Time Elapsed Test. Эта система работает по принципу PoW, но потребляет гораздо меньше электроэнергии. Кроме того, чтобы участники решали криптографическую головоломку, алгоритм использует надежную среду исполнения (TEE) — такую как SGX — для обеспечения того, чтобы блоки создавались случайным образом, но без необходимой работы.
Он позволяет визуально представить все возможные состояния контракта для дальнейшего решения прикладных задач. Блокчейн предоставляет множество возможностей для обнаружения и предотвращения хакерских атак на веб-сайты. Признаки DDoS-атак сохраняются в блоки, и при повторном обнаружении подобных атак доступ злоумышленнику будет ограничен, такой подход уже используют PayPal, Twitter, Spotify и другие крупные компании. Спрос на вычисления и обработку данных больших объемов постоянно растет как со стороны научного сообщества, так и со стороны бизнеса и частных лиц. На данный момент для решения задач таких объемов используют суперкомпьютеры и серверные кластеры.
Безопасное хранение приватного ключа как основа защиты цифровых активов
Блокчейн — это преобразующая технология, которая обеспечивает большой потенциал для применения информационных технологий в развитии цифровой экономики и решении социальных проблем. Блокчейн имеет потенциал влияния на сферу информационной безопасности и способен привнести в данную среду высокий уровень доверия и целостности. Децентрализованная функциональность блокчейна работает, связывая всех участников рынка без посредников, таким образом, что каждая транзакция прозрачна для всех участников сети. Блокчейн можно охарактеризовать как сеть, позволяющую сторонам передавать право хранения ценных активов в контролируемом порядке, не полагаясь на посредников[11]. От повышения эффективности бизнеса, регистрации сделок с недвижимостью до стимулирования роста смарт-контрактов технология блокчейн начинает вызывать интерес все большего числа организаций и привлекает миллиарды долларов венчурного финансирования.
Метод DPoS был впервые реализован на платформе BitShares, разработанной ведущим разработчиком BitShares Даниэлем Ларимером. С тех пор другие блокчейны, такие как Крипти или Лиск, внедрили аналогичные системы ОИ. Разница между классическим механизмом PoS и механизмом DPoS аналогична разнице между PoS и DPoS. Для классического PoS у каждого пользователя есть определенная криптовалюта, которую он будет блокировать в конце размещения, то есть для участия в процессе проверки транзакции и формирования распределенного консенсуса, чтобы получить вознаграждение.
Риски ее успешного проведения увеличиваются для альтчейнов с
низким хешрейтом (т.е. вычислительной мощностью) сети. Сжигаемое электричество препятствует проведению и «атаки
издалека», которой тоже может быть подвержен блокчейн, использующий консенсус
PoS. Ведь при отсутствии дополнительных ограничений злоумышленник может
построить https://www.xcritical.com/ свой альтернативный блокчейн прямо с генезис-блока и затем выдать его
за правильный. То же затраченное электричество делает невыгодными краткосрочные
атаки («атаки взятками»), когда злоумышленник платит за товар, получает его, а
потом объявляет вознаграждение за строительство усеченного блокчейна с блока,
не включающего его платеж.
«Mythril» на основе байт-кода строит control-граф выполнения программы. Все условия в смарт-контракте представляются в виде байт-кода и в виде ограничений путей. Стоит отметить, что такое представление позволяет использовать Z3 solver.
Все записи в системе защищены от изменения или удаления, что делает ее практически неуязвимой для кибератак. Для того чтобы прохождение данных было эффективным с технологической точки зрения, оно должно удовлетворять определенным требованиям и характеристикам. Источник данных на платформе блокчейна предоставляет полную картину того, как элемент данных был собран, где он хранился и как он использовался. Такая информация может быть полезна для аудита данных и понимания того, соблюдает ли организация определенную политику конфиденциальности данных. В контексте информационной безопасности происхождение данных относится к процессу аудита, используемому для сохранения записи всех действий, выполняемых над данными[13].
Технология блокчейн и её применение
В статье мы рассмотрим, в чем заключаются причины уязвимости решений на базе блокчейн. «Сейчас технологию блокчейн, получившую большой толчок к развитию в связи с криптовалютами, стали активно использовать для работы с разнообразными видами данных, поскольку она позволяет обеспечить целостность информации, — рассказывает Сергей Беззатеев. — Блокчейн — это система хранения данных, которая позволяет защищать их от последующих изменений путем использования контрольных сумм, которые сложно подделать, но легко проверить их правильность. Мы предложили алгоритм, в котором неограниченное число пользователей могут отправлять в единую систему сообщения о дорожных происшествиях, при этом каждому пользователю присваивается персональный ключ, которым подписывается сообщение. Этот ключ не только удостоверяет отправленное сообщение, но также и “запирает” все предыдущие звенья нашей цепи данных, их теперь невозможно изменить.
По мере развития методов кибербезопасности будет развиваться и киберпреступность. Это не означает, что вам не следует использовать блокчейн, потому что он в конечном итоге будет взломан. Это просто напоминание о том, что ничто не может быть полностью защищенным, даже если оно продано вам как таковое. На одном конце спектра быстрый поиск в Google «блокчейн для кибербезопасности» обнаружит много упоминаний «текущих проектов» и организаций, которые опубликовали статьи о том, как блокчейн может повысить безопасность, по крайней мере, теоретически. Модель консорциума – это, по сути, гибридная государственная / частная модель.
С помощью блокчейна можно создать огромную распределенную сеть, узлами которой будут устройства. Работу каждого узла можно четко отследить, поэтому в зависимости от предоставленных вычислительных мощностей участнику сети делается выплата. Каждый узел сети будет характеризоваться собственным рейтингом, предоставляемыми для вычислений мощностями и их ценой. Участники сети получают доступ к задачам или их частям в соответствии с их вычислительными мощностями и рейтингом. Результат вычислений проходит проверку контролирующим центром или другими участниками сети.
Кибербезопасность на основе блокчейна не может быть более безопасной.
Все данные будут случайным образом разбиты на небольшие кусочки (чанки) и распределены по пользователям всей системы. Отдельный пользователь не сможет извлечь из отдельного чанка никакой информации, а злоумышленник не сможет собрать все чанки воедино. Технология блокчейна может трансформировать ключевые отрасли, поскольку она продолжает развиваться. Благодаря высокому уровню безопасности появится технология блокчейн что это больше решений для оптимизации транзакций независимо от их стоимости.Кроме того, для массового внедрения в нескольких отраслях жизненно важную роль будет играть функциональная совместимость. Это не ограничивается простым обменом криптоактивами между блокчейнами; функциональная совместимость облегчит обмен другой информацией, такой как медицинские записи, записи о погоде и многое другое.
Важной особенностью блокчейна является то, что транзакции, которые происходят на блокчейне, не требуют авторизации, верификации или валидации третьей стороной или посредником. Блокчейн предоставляет неоспоримое подтверждение того, что транзакции или данные в блоке существовали в определенное время. Поскольку каждый блок содержит хеш заголовка предыдущего блока, создается автоматическое подтверждение истории, положения и права собственности каждого блока в цепочке.
Чтобы прояснить вопросы безопасности блокчейна, мы обратились к Олегу Ховайко, эксперту в области криптографии и компьютерной безопасности криптовалют. Новости о все новых результатах использования этой технологии в мире бизнеса приходят чуть ли не еженедельно. Так, в июле один из крупнейших канадских банков ATB Financial вместе с компанией SAP SE, финансово-технологическим стартапом Ripple Labs и немецкой банковской фирмой ReiseBank AG осуществили первый международный блокчейн-платеж из Канады в Германию. Тщательно изучив данные блокчейна, поставляемые с каждым бриллиантом, можно будет идентифицировать подозрительные алмазы и мошеннические транзакции.
Основными типами механизмов консенсуса являются «Доказательство работы (PoW — Proof of Work)» и «Доказательство доли (PoS — Proof of Stake)». Используя смарт-контракты, транзакции запускаются автоматически, чтобы помочь повысить эффективность и увеличить скорость, пока выполняются предварительно указанные условия. Это помогает уменьшить зависимость от третьих лиц для проверки соблюдения условий контракта. По мере того, как количество интеренет юзеров и уровень потребления продолжают расти, количество кибератак и злоумышленных действий также постоянно растет, а надежная безопасность необходима для всех компьютерных и сетевых систем в нынешнем виде. Так, для юридической практики [7] сегодня уже недостаточно «чистого» юриста, необходимы дополнительные познания в 1Т, экономике, психологии, что требует междисциплинарных [5] исследований и практик. Специального обучения таким знаниям пользователей блокчейнов и лиц, кто их контролирует.
Пары идентификаторов открытого ключа будут храниться в блокчейне и позволят устройству уточнять запрос цифрового контента. Несмотря на то что многие отрасли изучают использование технологии блокчейн, рост технологии за пределами ее использования в областях финансов, ценных бумагах и авторского права в значительной степени перешел в состояние стагнации. Относительно немногие организации изучают применение технологии блокчейн для защиты критически важной инфраструктуры и цифровых активов. Для того чтобы расширить тематику блокчейн-технологий в сфере информационной безопасности, важно определить, какие темы уже изучены и решены, а какие на данный момент являются актуальными, требующими дальнейших исследований. Изучение научной литературы по исследованию технологии блокчейн[9] показывает, что большая часть контента относится к выявлению использования данной технологии применительно к криптовалютам в целом и биткоину в частности. Интерес к данной технологии растет с 2008 г., когда концепция была впервые разработана.
В США Агентство передовых оборонных исследовательских проектов (DARPA) исследует технологию блокчейн для “создания неархивируемой системы обмена сообщениями”[10]. Основополагающее определение информационной безопасности дано в Указе Президента РФ от 5 декабря 2016 г. Основываясь на данном базовом определении, рассмотрим, каким образом информационные технологии, связанные с применением технологии “распределенного реестра цифровых транзакций”[2], могут повлиять на состояние информационной безопасности. Создание частной цепочки блоков означает, что меньшее количество узлов может получить доступ к сети, а это означает, что ваши данные не будут так широко рассредоточены. По сути, вы централизуете то, что должно быть децентрализованной сетью. Блокчейн решает эту проблему, избавляя пользователя от необходимости постоянного использования личных данных для авторизации в системах, а компании от необходимости поиска надежного хранилища и организации его защиты.
Наконец, если киберпреступнику удалось изменить данные в блокчейне, эти изменения будут обнаружены очень быстро, поскольку каждый раз, когда данные меняются, эти изменения должны проверяться остальной частью цепочки. Ложные данные или данные, измененные без правильных разрешений, будут предупреждать всю цепочку об ошибке, а ложные данные будут исключены из системы, сохраняя ваши данные нетронутыми. В прошлой статье
я рассказал, почему решения распределенного хранения на основе блокчейнов труднее взломать и, следовательно, они более безопасны, чем централизованные системы хранения данных, поэтому я не буду вдаваться в подробности здесь. Добавьте к этому тот факт, что пароли работают в модели инфраструктуры открытых ключей (PKI), которая в конечном итоге полагается на центральный орган (CA) для выдачи, отзыва и хранения пар ключей. С появлением в 2014 году платформы Ethereum технология блокчейн стала ассоциироваться не только с криптовалютами. С помощью смарт-контрактов, появившихся в платформе Ethereum, стало возможным реализовывать на блокчейне бизнес-логику, необходимую для проведения ICO (Initial coin offering) – проектов по привлечению инвестиций.
В ходе исследования применялись методы анализа, синтеза, аналогий, обобщения. Неопределенный статус криптовалют зачастую не дает жертвам
возможности обратиться за помощью в правоохранительные органы. Наиболее
дальновидные участники начинают выделять часть собранных на ICO средств на
информационную безопасность. Создатель блокчейн-платформы Ethereum Виталик Бутерин
поставил на голосование вопрос об откате транзакций злоумышленника. Подавляющее число майнеров его поддержали, хотя остались и принципиальные
сторонники неизменяемости кода, которые продолжили поддерживать старую ветвь,
получившую название Ethereum Classic.
А совместное использование хранилищ приводит к потере основных преимуществ технологии. Следующая проблема — проблема консенсуса — для совершения операций требуются огромные вычислительные мощности компьютеров, что в итоге приводит к высоким затратам электроэнергии. И хотя предложено несколько решений этой проблемы, они пока сомнительны.
Для блокчейн-решений актуальны и традиционные риски
информационной безопасности. На криптовалютной бирже
ShapeShift через программу удаленного администрирования на компьютере
разработчика были украдены персональные данные пользователей. Халатность и
- Всегда возможно отследить менялся ли тайно файл, который мы передаем.
- А если со временем этот хэш все же «зашатался», то ничто не мешает заново опубликовать исходный документ с более сильным хэшем.
- Например, в биткойне реализован алгоритм ECDSA (Elliptic Curve Digital Signature Algorithm).
- Позже протоколы соглашения, такие как проверка работы и подтверждение ставки, отправляются майнерами.
мошенничество сотрудников, социальная инженерия, не измененные
скомпрометированные пароли – вот причины наиболее крупных хищений в 2017 г. Тогда вероятность
формирования участником очередного блока пропорциональна доле, которую
составляют принадлежащие этому участнику расчетные единицы данной криптовалюты. Идея привлекательна и понятна – отказаться от майнинга за счет вероятностного
подхода, при этом давать предпочтение участникам, наиболее заинтересованным в
правильном функционировании системы.
Таким образом совершается отзыв транзакции и задним числом меняется состояние блокчейна. По мере того как блокчейн становится все более распространенным в цифровой сфере, все больше людей, включая киберпреступников, поймут, как он работает. Хакеры уже пытаются подорвать безопасность блокчейна, обращаясь к нему через «вспомогательные системы», такие как операционные системы, как это было в случае, когда хакер украл криптовалюту Ether на 31 миллион долларов
.