Pratima Harigunani
Zacięcia papierem nie są tak groźne jak ukąszenia węży. Wiemy to. A skoro mowa o bezpieczeństwie, widelce nie są tak straszne jak noże. To. Jeszcze nie wiemy.
To nie miało się tak stać; ale kiedyż życie (i technologia) działa na przypuszczeniach! Wokół kapsuły zgromadzili się ludzie – genialni, mądrzy, odważni i zbuntowani ludzie. Niektórzy przebierali nogami, gdy wykonywano pierwsze cięcie. Niektórzy wzdrygali się i zamykali oczy, gdy igła wchodziła i wychodziła, tworząc szew. Niektórzy uśmiechali się, gdy ciało ożywało z nowym dźwiękiem. Niezrównane i odziane w żelazo stworzenie właśnie zostało zoperowane. Gdy chirurdzy opuścili pomieszczenie, kilka oczu skierowało się na stworzenie. Nieśmiali i zaniepokojeni, mamrotali coś do siebie.
„Ale czy ten gatunek nie został zaprojektowany tak, aby nigdy się nie zmieniać?
„Czy mutacje były konieczne?
„A co, jeśli te nowe geny zrobią z tego Frankensteina?”
„Lewa strona będzie działać inaczej, a narządy po prawej stronie w ogóle nie będą przeszkadzać? Jak to w ogóle będzie działać?
"Zapomnij, że. Nie widziałeś, otworzyliśmy jego laminację! Bóg jeden wie, jakie wirusy wkradły się, zanim to zamknęliśmy!”
Ich słyszalne rozmyślania przerwało mocne pukanie do drzwi. Nadszedł czas, aby wyjść i mieć nadzieję, że wszystko pójdzie gładko. I bezpieczny.
Widły – nie tylko zmiażdżony palec u nogi
Robienie zamieszania z powodu niewielkich zmian pogody jest prawem każdego neurotyka. I często nie brakuje im uczciwych argumentów. Nikt nie wiedział, że świat nie do zdobycia blockchain pewnego dnia będzie miał swój własny udział w przewidywaniach zagrożeń i hackach w stylu Houdiniego. A jednak w 2019 roku mamy już za sobą szereg włamań do Exchange, złośliwego oprogramowania wydobywającego kryptowaluty, kradzieży portfeli i nie tylko.
Mamy zagrożenie McAfee Blockchain Zgłoś dobrze ostrzegając branżę – „Bez jasnego zrozumienia, gdzie leży ryzyko, możesz pokładać nadmierne zaufanie w swoich wdrożeniach blockchain. Jak widzieliśmy, błędy są łatwe do popełnienia. Użytkownicy są jeszcze trudniejsi do kontrolowania i mogą negatywnie wpływać na ryzyko. Musimy wyciągnąć wnioski z ostatnich wydarzeń, aby podejmować lepsze decyzje dotyczące zabezpieczenia naszych technologii na przyszłość.
Nawet raport bezpieczeństwa Checkpoint za rok 2019, analiza trendów cyberataków podkreśla, że Jenkins Miner, RubyMiner itp. były znaczącymi zagrożeniami, które należy uwzględnić w zeszłym roku; przy czym ponad 20 procent organizacji co tydzień doświadcza szkodliwego oprogramowania służącego do cryptojackingu. „Rok po tym, jak szturmem podbili świat, górnicy kryptowalut nie mają zamiaru wkrótce zwalniać. Nowe, wyrafinowane rodziny złośliwego oprogramowania stale integrują możliwości wydobywania ze swoim kodem…” Kiedy zestawienia najważniejszych złośliwych programów z 2018 r. pokazują szkodliwe oprogramowanie do wydobywania kryptowalut z globalnym wpływem wynoszącym około 40% – nie ma paranoi, jeśli martwisz się tym, co będzie dalej
Nikt nie spodziewał się, że dobrze ugruntowany świat kryptowalut będzie miał jakiekolwiek wgniecenia; a mimo to mamy rok naznaczony atakami. A widelce lub aktualizacje protokołu będą dobrym pretekstem dla roztrzęsionych, aby sięgać po środek dezynfekujący co 15 sekund. Czy zbudowaliśmy lepszą odporność czy większą kruchość, wybierając twarde i miękkie widelce?
Urządzenie MRI na ból głowy?
Uaktualnienia mogą być stratą paniki. Albo nie. W końcu bezpieczeństwo łańcucha bloków opiera się na pewnych założeniach – takich jak wkład w sieć, „współczynnik mieszania” jest dobrze rozłożony, co pozwala żadnemu podmiotowi ani grupie współpracy nie przetwarzać w żadnym momencie więcej niż 50 procent sieci.
Co się wtedy stanie, gdy forki, szczególnie kontrowersyjne, doprowadzą do przetasowań wśród deweloperów i górników? A co, jeśli podwójne wydawanie stanie się łatwe (jeśli nie po lub z powodu, to przynajmniej w trakcie widelca), tak że tę samą monetę można wydać wiele razy i pozostawić jednego odbiorcę z pustymi rękami? Czy nie musimy uczyć się o ryzyku mniejszych monet i łańcuszków na podstawie tego, co widzieliśmy w przypadku Verge lub Krypton?
Ponadto, czy wewnętrznie opracowane łańcuchy lub łańcuchy boczne byłyby z natury podatne na brak uczciwych węzłów – co stanowi kolejną podstawę lub założenie bezpieczeństwa łańcucha bloków?
Jeśli nie cokolwiek innego, warto się trochę napocić nad dwoma natychmiastowymi i sprawdzonymi kulami strachu:
- Złodzieje kieszonkowi w popłochu lub w małej uliczce:
Faza przejściowa od starego widelca do nowego uaktualnienia wymaga czasu – do czasu, aż wszyscy pojmą wielką zmianę. Może to być dobry moment dla hakerów, aby celować w słabych lub nieświadomych użytkowników portfeli i giełd, szczególnie scentralizowanych. Ponadto, chociaż luki w implementacji (np Bitcoin wiki zawiera listę typowych luk w zabezpieczeniach i zagrożeń związanych z oficjalnymi narzędziami) – które są powszechnie wykrywane i naprawiane po wydaniu – odnotowaliśmy spowolnienie w wykrywaniu. Jednak obszar narzędzi społecznościowych i zewnętrznych nadal pozostaje znakiem zapytania. Przypomnijmy, że exploit dnia zerowego zaatakował PyBitmessage (luty 2018 r.), narzędzie do przesyłania wiadomości peer-to-peer, które odzwierciedlało system blokowego przesyłania waluty. Mniejsze społeczności i mniej zasobów, jak zaobserwowano w połowie lipca 2017 r. w przypadku Iota, również mogą stać się podatne na kradzież monet.
Ponadto, gdy użytkownicy odbierają monetę typu hard-fork lub przeorganizują pieniądze po forku lub opróżniają pieniądze z wcześniejszych portfeli, pojawia się nowa luka w zabezpieczeniach wynikająca z ujawnienia informacji o kluczu prywatnym potrzebnych do roszczenia. Jeśli nie to, przynajmniej istnieje ryzyko, że prywatność finansowa trafi pod niszczarkę dokumentów. - Zamieszanie i powielanie:
Podwójne wydatki i kolizje skrótów nie są łatwe do zignorowania – nawet jeśli stanowią jedynie teoretyczne zagrożenie. Ktoś słusznie przypomniał złotą zasadę kryptografii „Nie twórz własnego krypto”, gdy podkreślono potrzebę szczególnej dbałości o dowolny niestandardowy kod (lub zmiany funkcji związanych z kryptografią). Forki i aktualizacje muszą zostać dokładnie sprawdzone przed rozpoczęciem produkcji, szczególnie gdy mówimy o zasadniczo zdecentralizowanej społeczności, takiej jak blockchain. Kiedy same widelce są pełne tarć i niekończących się debat, obawy te mogą się nasilić. Migracje z haszowania MD5 do SHA-1 do SHA-256 i rozwój Verge są istotnymi przykładami potrzeby dobrej gotowości produkcyjnej. Jako eksperci z Digital Asset Badania przestrzegli: „W przypadku forków kluczowy jest kontekst i czas”. Tym bardziej w przypadku zmian, które są zarówno drastyczne, jak i nagłe.
Co więcej, istnieje możliwość (choć na razie tylko na papierze) wstępnego wydobywania monet lub ataków polegających na powtarzaniu, które mogą wykorzystywać duplikację do bicia pieniędzy kosztem innych. Jeśli nie ma „zabezpieczenia przed ponownym odtwarzaniem”, transakcje obejmujące transfer monet oryginalnego łańcucha bloków są ważne w obu łańcuchach, w związku z czym otwiera się luka dla hakerów, którzy mogą w złośliwy sposób odtworzyć tę samą transakcję na nowym rozwidlonym łańcuchu bloków.
Nie, Rachel, nie wyglądasz grubo na prześwietleniu
Na szczęście nie doszło dotychczas do żadnych poważnych alarmów ani uszkodzeń w związku z wykonanymi widłami. Może tak być ponownie, dzięki uprzejmości leżącej u podstaw siły i staranności społeczności, w jaką wyposażony został blockchain. Właściwie nawet w internecie Debaty na temat „czy górnicy mogą kraść transakcje SegWit na prawdziwym Bitcoinie?” miał odpowiedzi mówiące – „… jasne, można przeprowadzić hard fork i ukraść monety wydane w transakcjach Segwit, ale nikogo by to nie obchodziło, ponieważ byłby to hard fork i stałby się kolejnym altcoinem, o którym nikt nawet nie myśli”.
Innym interesującym zabezpieczeniem, które się pojawiło, jest sposób, w jaki górnicy są zachęcani do unikania hard forków i kradzieży monet. Jednak w przypadku internetowych ping-pongów ludzie zastanawiają się także nad krótkoterminowym i długoterminowym bezpieczeństwem obu łańcuchów, ponieważ moc mieszania jest rozłożona na dwa łańcuchy, co może mieć negatywny wpływ na wartość. Jak jeden komentarz dobrze to zamieszano: „… rozwidlenie projektu wprawiłoby społeczność w zamieszanie. Niektórzy programiści mogą odejść, niektóre firmy mogą zbankrutować, a wielu użytkowników straci pieniądze. Społeczność musiałaby się zreorganizować, popracować nad zarządzaniem, wypracować nowe cele i odbudować zespoły. Bloki będą zwalniać z powodu podziału mocy mieszającej na dwa łańcuchy…”
A potem pojawiają się szersze pytania, jak ta postawiona przez Jannesa: „Dlaczego ktoś miałby ufać systemowi, którego podstawowe zasady można zmienić zwykłą mniejszością większości? Co to za gwarancja „cyfrowego złota”?
Or tweety coś w tym stylu, co powoduje, że niespokojni użytkownicy obgryzają dobrze wypielęgnowane paznokcie: „Górnik SV może legalnie zabić nawet łańcuch. Takie jest prawo górnika” – główny naukowiec z nChain podkreślił również znaczenie zachęt ekonomicznych zamiast tak zwanej matematyki jako prawdziwej marchewki dla górników, aby pozostali uczciwi. Niestosowanie ochrony przed powtórkami jako prawdziwego testu „uczciwej większości” może być dobre dla sprawdzenia wytrzymałości jednego łańcucha, ale może wywołać panikę u użytkowników. Naukowcy wskazali także inne zagrożenia, takie jak ataki typu „truc-block”, ataki typu „odmowa usługi”, ataki na partycje sieciowe i exploity zero-day, jako ważne obszary budzące obawy.
Jak na razie wody są spokojne – z wyjątkiem burz w niektórych filiżankach herbaty. Jak zapewnia Sanjay Katkar, dyrektor ds. technicznych w firmie Quick Heal Technologies: „Aktualizacje oprogramowania tylko zwiększają bezpieczeństwo sieci. Cokolwiek przyjdzie później, zawsze jest silniejsze i lepiej wyposażone. Nie ma żadnych obaw także podczas przejścia – dzięki sposobowi zaprojektowania oprogramowania. Stare będzie działać jak zwykle, a nowe będzie bezpieczniejsze.” Zapewnia jednak, że rezygnacja programistów może stanowić wyzwanie, biorąc pod uwagę otwarty i rozproszony charakter blockchainu. „Im więcej programistów, tym lepiej dla bezpieczeństwa”.
Niemniej jednak nie zaszkodzi uważać na to, co jest możliwe i być przygotowanym. Operacja została wykonana. Stworzenie nie wykazuje większych oznak niepokoju – nie ma chwiejnych stóp, nie wydaje dziwnych dźwięków, nie ma dziwnych beknięć.
Może gdybyśmy przestali szukać zaginionych kanarków. Ale dla kotów, które je zjadły. Albo dla psów, które nie szczekają.
