Blockchain aziendali: protette ma vulnerabili

Come si hackera una blockchain aziendale? Potremmo scoprirlo abbastanza presto.

Prodotti blockchain aziendali sono state progettate principalmente come reti private, limitate a parti autorizzate. Ciò dovrebbe renderle più efficienti delle catene pubbliche come Bitcoin ed Ethereum perché meno computer devono raggiungere un accordo su chi possiede cosa, e in un certo senso più sicure perché i partecipanti si conoscono.

Questi prodotti applicano la Tecnologie originariamente sviluppata per il Far West della Criptovaluta a una serie di attività aziendali poco affascinanti, tra cui transazioni transfrontaliere, archiviazione di registri e tracciamento di beni e informazioni. La loro promessa ha attratto alcune delle più grandi aziende e venditori di software del mondo.

Ma come qualsiasi software, in teoria possono esserehackerato, anche se T è ben documentato come prevenire tale hacking.

"T ricordo una sola grande azienda che abbia annunciato una perdita di alcun tipo a causa di un hack su una blockchain privata", afferma Paul Brody, responsabile globale della blockchain presso colosso della consulenza EY.

Continua a leggere: Incontra Red Date, la società tecnologica poco conosciuta dietro la grande visione blockchain della Cina

La situazione potrebbe cambiare nel NEAR futuro, quando le aziende inizieranno a portare questi sistemi gated fuori dai laboratori e a utilizzarli nella vita reale.

"Le grandi aziende lavorano sulle app blockchain da un paio d'anni ormai", ha affermato Pavel Pokrovsky, responsabile blockchain presso Kaspersky, il fornitore di software antivirus con sede a Mosca. "Presto inizieranno a spingere queste app in produzione e potrebbero affrontare nuove sfide nella gestione dei rischi. Man mano che vengono implementate più soluzioni di questo tipo, gli attacchi contro di esse potrebbero diventare più frequenti".

Lavori interni

ONE dei problemi è che i sistemi privati ​​e autorizzati sono i più vulnerabili alle minacce interne, hanno affermato sia Pokrovsky che Brody.

"Il rischio interno è particolarmente elevato nelle blockchain private perché il lavoro che di solito viene svolto per proteggere le informazioni all'interno della rete privata è molto basso rispetto alle reti pubbliche", ha affermato Brody di EY, che è stato unvoce RAREtra le quattro grandi società di servizi professionali insostenendo i sistemi aperti"Sulle reti pubbliche, facciamo ampio uso di prove a conoscenza zero e altri strumenti per KEEP i dati sensibili fuori dalla catena".

Solo ONE o due clienti aziendali di EY si sono spinti così oltre con le reti private, ha detto. "Di conseguenza, se riesci ad accedere alla rete o se la possiedi già come insider, quasi tutti i dati critici sono effettivamente visibili a tutti i membri".

In generale, ha detto Pokrovsky, il tipo di attacco più comune che può essere teoricamente impiegato contro una rete blockchain aziendale è un attacco denial of service. Questo è diverso da un DDoS, o denial of service distribuito, in cui i server di un'azienda vengono inondati di richieste inutili che li sopraffanno.

Continua a leggere: I minatori ingannano il protocollo Stablecoin PegNet, trasformando 11$ in un tesoro da quasi 7 milioni di dollari

Il diniego di servizio, d'altro canto, è un attacco mirato che sfrutta la conoscenza (ad esempio quella di un ex dipendente) anziché la potenza muscolare elettronica.

"Supponiamo che un dipendente di un'azienda venga licenziato e sia arrabbiato con il suo ex datore di lavoro. Va sul dark web e vende la sua conoscenza delle vulnerabilità del sistema agli hacker", ha detto Pokrovsky.

Nel caso delle blockchain aziendali, un aggressore avrebbe bisogno di conoscere gli indirizzi dei nodi e cosa potrebbe metterli offline.

"Un aggressore può sopraffare la capacità di archiviazione dati del nodo, inondandolo di calcoli inutili", ha affermato Pokrovsky. "Ad esempio, ONE dei nodi dei nostri clienti non è in grado di elaborare numeri molto grandi, diciamo 12 zeri e oltre. Si bloccherebbero e basta".

La cura per questo tipo di attacco è un corretto filtraggio dei dati che entrano nei nodi, ha affermato: "È un errore molto diffuso, non filtrare i dati in arrivo".

Trucco a buon mercato

Sfruttare una simile vulnerabilità è facile quando si sa dove si trovano i nodi e, a differenza degli attacchi DDoS, non richiede di acquistare traffico sotto forma di bot che inondano il bersaglio con traffico indesiderato o di distribuire una grande quantità di hardware per attaccare il server.

"Basta scrivere uno script semplice e inviarlo ai nodi", ha detto Pokrovsky. Quindi i nodi vanno offline. Questo può essere utilizzato per scopi criminali, dal sabotaggio di un concorrente agli attacchi terroristici, ha detto Pokrovsky.

La situazione può essere aggravata dal fatto che il modo più comodo per impostare nodi per una blockchain privata è utilizzare un'infrastruttura cloud, in modo che le aziende T debbano capire come impostare un nodo fisico nel loro ufficio.

"La maggior parte delle blockchain private ha pochissimi nodi e, in molti casi, risiedono tutti all'interno di un'unica infrastruttura cloud, creando un singolo punto di errore", ha affermato Brody. "Ciò significa anche che, lungi dall'essere archivi immutabili di informazioni, sono in realtà facili da cancellare o chiudere".

I rischi possono variare. Ad esempio,Catena principale, la blockchain aziendale per le banche sviluppata sotto gli auspici della banca centrale russa, è una fork, o copia modificata, della blockchain Ethereum , che utilizza un meccanismo di consenso proof-of-work. L'eliminazione dei nodi su tale rete porterebbe alla ridistribuzione del consenso tra i nodi rimanenti, che continuerebbero a convalidare le transazioni.

Tuttavia, se si scoprisse che tutti i nodi rimanenti sono controllati dalla banca centrale, i partecipanti alla rete potrebbero sostenere che le transazioni registrate mentre tutti gli altri erano inattivi non sono legittime, ha affermato Pokrovsky.

Continua a leggere: Il progetto DeFi dForce rimborsa tutti gli utenti interessati dopo l'hacking da 25 milioni di dollari

"DDoS è un attacco facile ed economico da organizzare, ma è anche facile da prevenire, e servizi come Cloudflare possono identificarlo e prevenirlo efficacemente. Ma il denial of service non è identificabile dai filtri che tali servizi utilizzano", ha affermato Pokrovsky, aggiungendo che a volte gli aggressori T hanno nemmeno bisogno di un insider per localizzare i nodi: è possibile trovare tali informazioni tramite metodi di intelligence open source.

"È molto difficile risolvere tali vulnerabilità mentre l'attacco è in corso, quando tutto è in crash, tutti corrono in giro e tutto è in fiamme", ha affermato: è meglio cercare di prevedere tali situazioni in un ambiente di test.

Contratti non proprio intelligenti

Se una blockchain utilizza contratti intelligenti, anche questi possono essere attaccati, ha affermato Pokrovsky.

"Per le blockchain aziendali, l'attacco tipico si verifica quando un contratto contiene variabili che possono risultare diverse per ogni nodo, ad esempio timestamp o numeri casuali", ha affermato. "In questo caso, ogni nodo eseguirebbe lo smart contract con un risultato diverso e la transazione non verrà registrata nella blockchain di conseguenza".

Se uno smart contract fa riferimento a documenti, esiste un altro possibile modo per attaccarlo: inserire codice dannoso nel documento.

Continua a leggere: Un hacker sfrutta una falla nell'exchange decentralizzato Bitcoin Bisq per rubare 250.000 $

"È lo stesso delAttacco di iniezione SQLe per evitarlo è necessario filtrare i dati in arrivo e limitare l'uso di dati esterni da parte dello smart contract", ha affermato Pokrovsky.

Secondo Brody, anche il fatto che la maggior parte delle blockchain private T riceva l'attenzione di un'ampia comunità blockchain è un punto debole.

"Forse il rischio più grande rappresentato dalle blockchain private è il rischio di compiacenza", ha affermato. "Il codice open source che T è ampiamente utilizzato e T ha una comunità vigile che lo testa e lo ispeziona è molto meno sicuro e affidabile di sistemi come Bitcoin ed Ethereum, che sono costantemente rafforzati da attacchi quasi costanti e ispezioni pubbliche".

L’angolazione di Kaspersky

Forse con l'obiettivo di ampliare il proprio flusso di entrate, nel 2018 Kaspersky si è lanciata nella ricerca e nella consulenza incentrate sulla blockchain, concentrandosi inizialmente sulle blockchain pubbliche, tra cui Bitcoin ed Ethereum.

Kaspersky ha collaborato con gli exchange Cripto e completato un controllo di sicurezzaaudit per la società di software di trading Merkeleon nell'ottobre 2018.

Nell'ottobre 2019, Kaspersky ha iniziato a lavorare anche con le blockchain aziendali. Pokrovsky ha detto a CoinDesk che la società ha verificato un certo numero di tali sistemi, solo due dei quali ha potuto nominare pubblicamente: la startup blockchain russa Insolar e WAVES, che è stata rimettere a fuocodalle blockchain pubbliche a quelle private a partire dall'anno scorso.

Il software Kaspersky è statoelencatotra i primi 10 prodotti antivirus a livello mondiale da PC Magazine a marzo, ma è statovietatodall'essere installato sui computer del governo degli Stati Uniti dal 2017 come parte della risposta degli Stati Uniti all'ingerenza russa nelle elezioni presidenziali del 2016. Quel divieto ha causato un crollo delle vendite negli Stati Uniti e in Europa, ma si sono espansi anche in Russia e in Africa. KasperskysegnalatoCrescita del fatturato del 4 percento nel 2018.

L'audit WAVES Enterprise di Kaspersky è durato tre mesi, da novembre 2019 a fine gennaio 2020. "Il compito era verificare la sicurezza dei nodi, dell'infrastruttura di rete e delle interfacce web dei nodi", ha affermato Pokrovsky.

L'azienda di sicurezza ha eseguito quello che chiama test "grey box", in cui il tester non ha accesso al codice completo della piattaforma blockchain, ma ha accesso al sistema a livello di amministratore. Questo tipo di test mostrerebbe possibili minacce interne, come un ex dipendente che si comporta in modo scorretto.

Una volta terminato il test, Kaspersky presenta al client l'elenco delle vulnerabilità e il client le corregge. Quindi il test viene eseguito di nuovo.

Pokrovsky non ha voluto rivelare quali debolezze dovevano essere "corrette" nella blockchain di WAVES Enterprise. (WAVES ha confermato di aver assunto Kaspersky.)