Crowdcurity traz testes de hackers crowdsourced para Bitcoin

Os sites de Bitcoin são os PRIME alvos de ataques cibernéticos. Agora, uma empresa chamada Multidão de segurançaquer aplicar a sabedoria das multidões para torná-las mais seguras. Como isso vai funcionar?

Proteger-se contra ataques T é opcional se você quiser KEEP seu aplicativo Bitcoin baseado na web em atividade. Aplicativos Bitcoin podem frequentemente conter centenas em moedas individuais, deixando seus usuários incorrendo em perdas financeiras significativas se forem comprometidos. Isso é particularmente verdadeiro no caso de exchanges.

Por exemplo, o site de negociação de margem Bitcoinica foiprocessado por US$ 460.000 em 2012depois de ser hackeado duas vezes. A bolsa BitFloor, sediada nos EUA, sofreu um grande constrangimento depois24.000 bitcoins foram roubados após um hack em setembro de 2012 – um número que representou quase dez anos de taxas de transação. Essa é uma perda difícil de se recuperar. Esta T é a primeira vez, os problemas são ainda mais antigos: A Vicurex viu sua carteira comprometidaem 2011. E estes são apenas exemplos de umaconjunto muito maior.

Invadindo um aplicativo da web

Nem todos esses roubos de Bitcoin são explicitamente o resultado de problemas no site. Alguns decorrem de erro Human , e alguns são, até agora, inexplicáveis. Mas uma coisa é certa: código mal projetado T ajuda, e é responsável por pelo menos alguns desses problemas.

De quantas maneiras uma pessoa pode invadir um aplicativo da web? Existem dezenas delas, mas o Open Web Application Security Project (OWASP) as divide emdez categorias amplas. Ele atualiza a lista a cada ano, e a de 2013 é uma leitura horripilante.

No topo da lista? Injeção. Isso acontece quando alguém injeta código que T deveria estar lá em um aplicativo da web, geralmente por meio de um parâmetro passado para uma URL. Pode ser usado para executar comandos não intencionais, incluindo colocar malware perigoso em uma página da web para infectar máquinas visitantes ou despejar detalhes do cliente, por exemplo.

Outros ataques potenciais incluem explorar configuração de segurança ruim (incluindo configuração de servidores de hospedagem) e autenticação quebrada, na qual as sessões não são gerenciadas adequadamente, permitindo que invasores sequestrem contas. Outro velho conhecido é o ataque de script entre sites, no qual dados ruins são enviados para um navegador usando JavaScript, fazendo com que ele se comporte mal. O fato de que esses ataques ainda são possíveis anos depois de terem sido descobertos pela primeira vez é um descrédito para a comunidade de desenvolvimento de software.

O problema para muitos desenvolvedores de software no espaço Bitcoin e em outros lugares é que é difícil detectar todos os bugs. Vários sites Bitcoin empregam 'bug bounties' para resolver o problema, oferecendo recompensas aos membros mais atentos da comunidade para detectar e consertar problemas.

A Coinbase tem uma

, com um pagamento mínimo de 5 BTC e nenhum pagamento máximo. No momento em que este artigo foi escrito, ele havia concedido bitcoins a 27 pessoas, totalizando pelo menos 135 BTC. A Payward, que administra o site de negociação de margem Kraken, é mais mesquinha sobre seu programa de recompensas, oferecendo um mínimo de um único Bitcoin por bug. Outro site de negociação de Bitcoin , 1Broker, também executou um programa.

Entre no Crowdcurity

A Crowdcurity espera padronizar o conceito de bug bounty terceirizando o processo. O serviço online conecta empresas que têm software para depurar com uma comunidade de cerca de 250 testadores de software, que ele encontrou por meio de fóruns de segurança.

A empresa T é focada somente em Bitcoin , pois seu processo pode ser aplicado a qualquer aplicativo baseado na web. No entanto, é um mercado importante para a empresa. “As empresas de Bitcoin já estão muito focadas em segurança e sabem que precisam se concentrar nisso”, diz Jacob Hansen, fundador da Crowdcurity, que já está negociando com pelo menos um grande negócio baseado em bitcoin. “Os e-business tradicionais T sempre têm a mesma conscientização.”

[post-citação]

Os clientes podem criar um programa de recompensa com o site, definindo regras e valores para programas de bugs. O desafio é então enviado para a comunidade de testes, que trabalha no relato de vulnerabilidades. O cliente valida os bugs em conjunto com a Crowdcurity, e os pagamentos são concedidos com base na gravidade do bug.

Mais da metade dos pagamentos foram feitos em bitcoins para o único cliente com o qual a empresa lidou até a semana passada. “Muitos desses pagamentos podem ser de US$ 25 a US$ 50 se os bugs forem de baixa criticidade, e com bitcoins você tem taxas mais baixas, e isso torna os pagamentos mais rápidos”, diz Hansen.

Os testadores do site podem mirar em um site de teste, ou em um site operacional que já esteja processando dados ao vivo, explica Hansen. Mas os sites T devem depender apenas de testadores externos, ele argumenta.

Crowdcurity é efetivamente um serviço de teste de penetração, no qual uma multidão de testadores tenta hackear um site. Mas o que eles T fazem é olhar o código de um site. Em um sentido, isso é uma coisa boa, porque sites de código fechado T vão querer pessoas cobiçando sua propriedade intelectual. Em outro sentido, ele deixa a análise do código para a empresa, que então tem que encontrar as habilidades para fazê-lo.

“Eles devem fazer revisões de segurança de seu código internamente. Então, há muitas ferramentas automáticas por aí que podem olhar seu código e descobrir vulnerabilidades comuns.” A Crowdcurity usa ferramentas comoFreiopara seu próprio site, que escaneia vulnerabilidades em aplicativos Ruby on Rails. Há mais para outras linguagens – mas as empresas precisam ter as habilidades e disciplina para usá-las.

À medida que o Bitcoin cresce e as empresas obtêm melhor financiamento, os desenvolvedores de software estarão, esperançosamente, em melhor posição para cobrir todas as suas bases de segurança. E talvez veremos menos histórias de desastres como Bitcoinica ou Bitfloor.