Насколько высок уровень безопасности технологии блокчейн на самом деле? Безопасность блокчейн


насколько качественно работает система защиты технологии

Содержание статьи

Технология блокчейн была создана, в частности, чтобы позволить людям, которые не доверяют друг другу, делиться ценными данными безопасным и защищенным способом. Это связано с тем, что блочная цепочка хранит данные, используя сложные математические и инновационные правила программного обеспечения, которые чрезвычайно сложно преодолеть посредством хакерской атаки  для последующих манипуляций.

Но безопасность блокчейна — даже самых совершенных систем — может потерпеть неудачу в тех местах, где причудливые математические и программные правила вступают в контакт с людьми, которые являются опытными читерами. В реальном мире все намного легче может лишиться упорядоченности.

Чтобы понять, почему, стоит начать с попытки выяснить, что же делает блочную технологию «безопасной» в принципе. Хорошим примером в этом случае является Биткоин. В его блокчейне хранятся общие данные — это история каждой транзакции монет. Его базу данных также называют распределенной книгой. Она хранится в большом количестве экземплярах в сети пользователей криптовалютой, называемых «узлами». Каждый раз, когда кто-то отправляет транзакцию в регистр, узлы проверяют, чтобы убедиться, что она действительна.

Большое количество таких пользователей конкурируют за размещение действительных транзакций в блоки и добавление их в цепочку из предыдущих. Владельцы таких сетевых узлов называются майнерами. В качестве вознаграждения за участие в поддержании работы сети они получают выплаты в Биткоине.

Технология блокчейн и криптовалюты. Быстрый старт

Получите книгу и узнайте все основы технологии блокчейн и криптовалюты за один вечер

Скачать книгу

Систему делают теоретически защищенной от несанкционированного доступа две вещи: криптографический код, уникальный для каждого блока, и «консенсусный протокол». Это процесс, посредством которого узлы в сети согласуются с общей историей транзакций.

Уникальный код (хеш) требует много времени и энергии для генерации. Он служит доказательством того, что майнер, добавивший блок в цепочку, проделал определенный объем вычислительной работы, чтобы заработать вознаграждение. По этой причине алгоритм Биткоина носит название «доказательство выполнения работы». Он также служит своего рода печатью, поскольку для изменения блока потребуется генерация нового хеша. Проверка хеша на соответствие определенному блоку очень проста, и как только узлы завершают этот процесс, они обновляют свои соответствующие копии блочной цепочки, после присоединения нового блока. Этот алгоритм носит название «консенсусный протокол».

Последний элемент безопасности состоит в том, что все хеши также служат связями в блок-цепочке. Каждый блок включает в себя уникальный хеш предыдущего блока. Поэтому, для внесения изменений в сеть потребуется вычислить новый хеш не только для блока, в котором он находится, но и для каждого последующего блока. И сделать это нужно до того, как другие узлы добавят следующий блок в цепочку. Поэтому, такой процесс требует огромной вычислительной мощности, которой современные компьютеры пока не обладают. Но даже в этом случае гарантировать успех невозможно. Добавляемые блоки будут конфликтовать с существующими, а другие узлы автоматически отклонят вносимые изменения. Это делает blockchain защищенным от несанкционированного доступа и любых попыток изменить хранящуюся в нем информацию.

Творческие способы обмана

Несмотря на обширную теорию, реализация всего этого объема теоретических расчетов на практике намного сложнее, чем кажется. Сам факт того, что любая система на базе блокчейна работает как Биткоин и многие другие криптовалюты, это не означает, что такие ресурсы обладают аналогичной безопасностью.

Даже когда речь заходит об использовании проверенных криптографических инструментов, их безопасность легко можно повредить случайным образом. Такого мнения придерживается Неха Нарула, директор Digital Currency Initiative MIT. Он отмечает, что Биткоин существует дольше всех блокчейн-проектов, поэтому прошел проверку временем.

Однако люди нашли творческие способы обмануть систему безопасности блокчейна. Эмин Гюн Сиер и его коллеги из Корнельского университета выявили способ прорвать защиту блочной цепочки, даже в случае контроля меньшее половины сетевых узлов. По их словам, нечестный на руку майнер способен добиться преимущества, заманив другие узлы в ловушку для разгадки уже решенных криптографических головоломок.

Другая возможность — это так называемая «атака затмения». Узлы блочной цепочки должны оставаться в постоянной связи, чтобы сравнивать данные. Злоумышленник, которому удастся управлять связью одного узла и обманывать его в принятии ложных данных, которые будут якобы поступать из остальной сети, потенциально может обмануть его в процессе расходование ресурсов или путем подтверждения поддельных транзакций.

Наконец, независимо от того, насколько безопасен протокол блокчейна, он существует не в вакууме. Криптовалютные баги обычно представляют собой сбои в тех местах сети, где блочные системы соединяются с реальным миром. Например, в клиентских программах и ​​сторонних приложениях.

Так, хакеры могут проникнуть в «горячие кошельки» (подключенные к интернету приложения для хранения приватных ключей) и перевести средства на свой цифровой бумажник. Кошельки, принадлежащие онлайн-сервисам, занимающимся обменом криптовалют, стали основными целями хакеров. Многие биржи заявляют, что держат большую часть денег своих клиентов в «холодных» аппаратных кошельках (устройства хранения, отключенные от интернета). Но случай с японской биржей Coincheck в январе 2018 года, когда злоумышленники похитили более $500 млн, свидетельствует, что торговые площадки не всегда заботятся о безопасности средств трейдеров.

Возможно, самыми сложными контактными точками между блочными цепями и реальным миром являются смарт-контракты. Они представляют собой компьютерные программы, хранящиеся в определенных типах блокчейнов, которые могут автоматизировать транзакции. В 2016 году хакеры использовали непредвиденный баг в смарт-контракте, написанном на блокчейне Ethereum, чтобы украсть токенов ETH на сумму около $80 млн (по курсу на тот момент) из децентрализованной автономной организации (DAO).

Поскольку код DAO размещался на blockchain, сообществу Ethereum пришлось пойти на спорное обновление программного обеспечения — хардфорк. Это позволило им вернут свои деньги обратно, создав новую версию истории блочной цепочки, в которой кражи денег не было.

Вопрос централизации

Одной из предполагаемых гарантий безопасности блок-системы является децентрализация. Если копии блок-цепи хранятся на большой и широко распределенной сети узлов и нет ни одной слабой точки для внешних атак, то хакерам очень трудно собрать воедино достаточный объем вычислительной мощности для проникновения в сеть.

Однако недавняя работа ученых говорит о том, что ни Биткоин, ни Эфириум не децентрализованы, как принято считать. Они обнаружили, что в четырех наиболее крупных операциях по добыче BTC было сосредоточено более 53% среднего объема эмиссии токенов в неделю. В сети Ethereum в аналогичной ситуации на трех крупных майнеров пришлась доля в 61% от среднего недельного объема.

Некоторые говорят, что альтернативные протоколы консенсуса, которые не полагаются на традиционную эмиссию цифровых валют путем майнинга, могут быть более безопасными. Но эта гипотеза не была протестирована в широких масштабах, и новые протоколы, скорее всего, также будут иметь свои проблемы с безопасностью.

Другие видят будущий потенциал в развитии блочных цепочек, которым требуется разрешение на присоединение, в отличие от блокчейна Биткоина, где любой, кто загружает программное обеспечение, может стать участником сети. Такие системы являются анафемой анти-иерархической этики криптоконверсий, но этот подход привлекает финансовые и другие институты, которые хотят использовать преимущества единой криптографической базы данных.

Однако внедрение и таких систем вызывает немало вопросов. Кто будет иметь право выдавать разрешение? Как система обеспечит верификацию и контроль валидаторов сети? Система получения разрешений может обеспечить некоторое ощущение безопасности пользователей, но на самом деле такой подход просто обеспечит им больше контроля. Это, в свою очередь, означает, что они смогут вносить изменения независимо от того, согласны ли с ними другие участники сети. В такой ситуации фанаты криптовалют наверняка увидят нарушение основ самой идеи децентрализации цифровых денег.

Таким образом, в конечном итоге очень трудно говорить однозначно о безопасности блокчейна. От кого следует защищать сеть? В чем выражается эта безопасность? Как считают эксперты, «все зависит вашей перспективы».

Источник:

https://www.technologyreview.com/

Редакция: Команда BlockChainWiki

Технология блокчейн и криптовалюты. Быстрый старт

Получите книгу и узнайте все основы технологии блокчейн и криптовалюты за один вечер

Скачать книгу

blockchainwiki.ru

решение проблем с идентификацией и контролем

Содержание статьи

Технология блокчейн и ее зашифрованная и неизменная система записи данных в конечном итоге будет использоваться для создания универсальных цифровых идентификаторов. Безопасность блокчейна будет на таком уровне, что пользователи смогут контролировать всю свою личную информацию в таких сетях, связанных с банками-эмитентами, правительствами или даже работодателями.

Финтех-фирмы, специализирующиеся на разработке программного обеспечения (ПО), поставщики телекоммуникационных услуг и другие компания объединили свои усилия в создании сети на базе блокчейна. Такая система позволит каждому участнику обмениваться цифровыми данными в интернете без риска утечки приватной информации.

Большинство таких компаний являются частью фонда Sovrin, новой некоммерческой организации, которая в данное время разрабатывает одноименную сеть. В будущем она позволит любому пользователю обмениваться предварительно проверенными данными с любым объектом в рамках сети.

Онлайновые учетные данные сегодня играют роль информационных идентификаторов, которые большинство людей привыкли видеть в физической форме, например, водительские права или банковские карты.

Технология блокчейн и криптовалюты. Быстрый старт

Получите книгу и узнайте все основы технологии блокчейн и криптовалюты за один вечер

Скачать книгу

Однако вместо физических идентификаторов в цифровых кошельках будут зашифрованы их цифровые варианты, которые смогут связываться с различными учреждениями, которые их создали: банками, правительственными органами и даже работодателями. Все контакты будут устанавливаться через блок-цепочку в автоматическом режиме с последующей проверкой информации запрашивающим лицом.

Владелец такого цифрового идентификатора сможет определить, какую информацию он готов предоставить по запросу.

Обеспечение контроля

Недавно компания IBM объявила о своем присоединении к сети Sovrin для оказания помощи предприятиям, некоммерческим организациям и правительствам в построении инфраструктуры и приложений, которые позволят потребителям совершать сделки с ними.

Наряду с другими членами фонда Sovrin IBM работает с органом отраслевых стандартов — Децентрализованным фондом идентификации, чтобы обеспечить единый интерфейс. IBM займется внедрением своего аппаратного обеспечения и систем безопасности для оказания помощи в функционировании системы.

Кроме IBM, основатели Sovrin включают еще 22 предприятия из самых разных отраслей, в том числе ATB Financial и SICPA, T-Labs, Deutsche Telekom и другие.

В цифровой экономике, где потребители и предприятия покупают товары, подают заявки на ипотечные кредиты и займы, отправляют идентифицирующую их информацию для множества целей, необходимы гарантии, что конфиденциальность данных будет первостепенной целью. Это особенно актуально после многих громких скандалов с утечками персональных данных.

Решение проблемы интернет-безопасности

В прошлом году более 2,9 млрд учетных записей были скомпрометированы из-за нескольких инцидентов с безопасностью в разных отраслях промышленности. Речь идет, в том числе о 143 млн американских потребителей, чья конфиденциальная личная информация была раскрыта в результате нарушения базы данных в агентстве по кредитованию Equifax.

Чтобы найти способ устранить текущие недостатки интернет-инфраструктуры, сеть Sovrin займется развитием недостающего уровня идентификации на основе неизменяемых записей данных в блокчейне. Это приведет к созданию первого и пока единственного независимого и безопасного цифрового аутентификатора.

В настоящее время сеть находится в стадии бета-тестирования и должен быть общедоступной летом 2018 года. Банки и клиенты смогут обмениваться некоррелируемыми идентификаторами. Для этого будет достаточно просто сканировать QR-код и подписаться на новый сервис идентификации, который будет доступен через смартфон.

Sovrin не одинок

Это отнюдь не первый блокчейн-проект, направленный на использование системы связывания идентификаторов пользователей с различными системами через распределенный блочный регистр.

Так, Microsoft планирует создать собственную платформу цифрового идентификатора на основе блокчейна, который позволит пользователям контролировать доступ к конфиденциальной онлайн-информации через зашифрованный центр данных.

В январе Microsoft присоединилась к альянсу ID2020, глобальному партнерству, которое работает над созданием системы цифровой идентификации с открытым исходным кодом на базе блочной технологии. Альянс ID2020 разрабатывает систему для людей, которым не хватает фундаментальных прав и услуг, таких как голосование, здравоохранение, жилье и образование, и которые привязаны к традиционным системам идентификации.

Цифровой кошелек

Концепция цифровых кошельков использовалась в течение многих лет после появления криптовалют. таких как Биткоин. Она позволяет проверить, есть ли у пользователя реальные средства для покупки цифровой валюты, сохраняя при этом его анонимность.

В криптографии имеется понятие, которое называется «доказательство с нулевым разглашением». Этот метод позволяет ссылаться на проверяющего человека или учреждение, не передавая никакой дополнительной информации, кроме той, которую они запрашивают.

Так, например, банк может запросить данные клиента о том, зарабатывает ли он в год определенную сумму при рассмотрении заявки на получение кредита. Работодатель может проверить, тратит ли его сотрудник более $75 тысяч в год. При этом его фактический годовой доход будет сохранен в тайне.

Компании и правительственные организации, которые проверяют идентификаторы потребителей и их личные данные, будут известны как «доверительные привязки» в сети. Эти доверительные привязки могут также удалять и изменять полномочия пользователя.

Основа новой трастовой экономики

Самостоятельная сеть аутентификации на основе блочной цепи также может позволить соблюдать новые строгие требования к бизнесу для обеспечения прозрачности всех сделок.

Так называемые правила «знай своего клиента» были введены в действие около 4-5 лет назад для решения вопроса об увеличении контроля за отмыванием денег и финансированием террористической деятельности. Через сеть блокчейн-идентификаторов банки получили возможность проверять личности своих клиентов и устанавливать, не были ли они замешаны в нелегальной деятельности.

Существует много спецификаций blockchain. Многие из них основаны на ПО с открытым исходным кодом. Проект Sovrin основана на спецификации Hyperledger Indy Linux Foundation, которая была создана с нуля для проверки личности пользователей.

Недавно блокчейн начал использоваться для деловых операций, таких как автоматизация управления цепочками поставок и международные денежные переводы.

Сегодня многие предприятия и правительства ряда стран полагают, что блокчейн может стать основой новой трастовой экономики, построенной на основе одноранговых сетей, не зависящих от традиционных методов, таких как кредитные рейтинги.

Это может обеспечить значительные перспективы в сфере кибербезопасности, а также снизить ряд рисков, которым подвергаются многие IT-системы. Однако все они нуждаются в дальнейшей оценке со стороны регулирующих органов и представителей бизнеса.

Источник:

https://www.computerworld.com/

Редакция: Команда BlockChainWiki

Технология блокчейн и криптовалюты. Быстрый старт

Получите книгу и узнайте все основы технологии блокчейн и криптовалюты за один вечер

Скачать книгу

blockchainwiki.ru

Влияние блокчейн на информационную безопасность

С момента своего появления в 2009 году, концепция блокчейн расширила свое первоначальное использование в качестве биткоина на многие другие направления. По своей природе эта распределенная база данных предоставляет прекрасную платформу для управления криптовалютой. Но ее особенности привлекли внимание специалистов, занимающихся широким спектром других приложений. Возможно, наибольший интерес был связан с безопасностью. Блокчейн предлагает более безопасные транзакции, защиту от определенных хакерских атак и даже, в определенной степени, избавляет от необходимости паролей.

Что такое блокчейн?

Блокчейн (blockchain) – это распределенная база данных, состоящая из строковых блоков и разработанная таким образом, чтобы избежать последующих модификаций. После того как данные были опубликованы в ней, используя надежную технику простановки времени и сложной ссылки на предыдущий блок, считается, что уже невозможно откатить назад и внести какие-то изменения в запись. Блокчейн стал бесценным инструментом, идеально подходящим для обеспечения безопасности, но он также используется для таких задач, как хранение и подтверждение данных – метод, который в настоящее время используется для интеллектуального анализа данных (дата-майнинг). Блокчейн – это результат многолетних достижений в криптографии и информационной безопасности.

Блокчейн в сервисе безопасности

Некоторые эксперты начали анализировать потенциал блокчейна в отношении сервисов, предлагаемых DNS-серверами. В силу нерушимости и децентрализации блокчейна, если бы эта технология использовалась для замены системы доменных имен, то атаки типа «отказ в обслуживании» (DDoS-атаки) стали бы невозможны.

Более общее применение (и это уже реализовано) – это использование блокчейн в криптографии. Ведь это очень логичный способ использования данной технологии, учитывая, что она позволяет передавать информацию очень безопасным способом. Она также используется для предотвращения манипуляции с данными. Поскольку природа блоков неизменна, используя последовательное хэширование вместе с криптографией в децентрализованной структуре, мы можем построить систему, которой будет практически невозможно манипулировать.

Информационная безопасность, несомненно, идет по пути адаптации технологии блокчейна в не столь отдаленном будущем. Принципиальное отличие в технологическом подходе позволяет выйти за пределы конечных устройств, включая безопасность цифровой «личности» пользователя, передачу информации и защиту критической инфраструктуры. Это очень сложные преобразования, но мы уже видим первые результаты такого подхода.

Безопасность блокчейна подвергается проверке

С технической точки зрения, будучи распределенной и «взаимозависимой» базой данных, блокчейн представляет собой прочную скалу. Впрочем, в зависимости от доступности блока, он может быть не настолько интегрирован, как может показаться. Для уточнения: существует огромная разница между публичными и приватными блокчейнами. В то время как публичные блокчейны не имеют ограничения на то, кто может получить доступ к данным (которые могут быть зашифрованы, а могут – и нет) или осуществлять транзакции, в приватных блокчейнах эти операции доступны только для определенного круга лиц.

Первые обеспечивают прозрачность, а вторые предоставляют более высокие уровни контроля, но только со стороны определенных администраторов. В обоих случаях мы можем найти дыры безопасности, зачастую косвенно связанные с технологией (например, черный рынок криптовалют). Блокчейн – это все же пока развивающаяся технология, так что для ее доведения до совершенства пройдут еще долгие годы. Как и любая технология подобного типа, она сталкивается с изменяющимся технологическим контекстом: появление квантовых вычислений, изменения в законодательстве, суперкомпьютеры… Но очевидно, что блокчейн скоро будет играть ведущую роль в сфере информационной безопасности.

www.cloudav.ru

Все о безопасности блокчейн | KV.by

Благодаря возросшему интересу к биткоину и другим криптовалютам, технология блокчейн начинает пользоваться все более широким спросом и известностью. Блокчейн – это крайне универсальное изобретение, а его предполагаемое применение выходит далеко за пределы IT-сферы.

Заслуженно ли данная система считается чуть ли не идеальной для проведения самых различных операций, либо мы упускаем какую-то важную информацию?

 

Как работает технология блокчейн

Давайте начнем с краткого описания того, как работает эта технология и как вообще блокчейн развивался в течение последних нескольких лет. По сути, он представляет собой некую цифровую книгу учета, которая дублируется на тысячи компьютеров и распределяет информацию между ними. Такие компьютеры называются «узлами».

У каждого пользователя есть публичный и приватный ключ – оба ключа являются безопасными и защищены шифрованием. Они позволяют совершать определенный набор действий в системе. Предположим, два пользователя хотят совершить обмен посредством валюты, например, биткоина. Один из пользователей при помощи своих публичного и приватного ключей запускает процесс транзакции, а другой, также используя свои ключи, подтверждает действие. В результате подобных совместных действий транзакция передается на рассмотрение в публичную одноранговую систему.

На этом этапе один из участков целой системы проверяет информацию о транзакции. Это делается для того, чтобы удостовериться, что данные совпадают с уже имеющейся информацией. Иначе говоря, в том случае, если проверяющие информацию узлы подтвердят, что запустившая транзакцию сторона на самом деле не обладает той криптовалютой, которую она пытается использовать для передачи, тогда транзакция будет отклонена. Если же информация о наличии средств подтвердится, то транзакция будет одобрена и станет новым «блоком» в цепи.

 

 

Главные принципы безопасности

Вам наверняка всегда было интересно, почему же блокчейн считается настолько безопасной системой? Ведь работающие подобным образом технологии – далеко не новинка. Да и, казалось бы, совместные действия пользователей, происходящие в цифровой среде, могут быть отслежены злоумышленниками.

По сути, подобные опасения более чем разумны. И именно они являются одной из причин настолько значительных скачков курса биткоина.

 

Основные особенности системы защиты блокчейна

Давайте рассмотрим основные особенности, благодаря которым система считается защищенной.

Основой технологии блокчейн является электронный реестр всех финансовых транзакций. Как правило, такие электронные «бухгалтерские книги» являются одной из главных точек уязвимости. Если злоумышленники получат доступ к главному реестру записей, то это может привести к полнейшему «падению» системы, ведь, получив доступ к записям, злоумышленник может украсть неограниченную сумму денег либо овладеть какой-либо личной информацией, просто просмотрев список транзакций.

В блокчейне реестр записей является децентрализованным – это означает, что одиночный компьютер или система не могут получить контроль над всей «бухгалтерской книгой». А значит, для того, чтобы получить доступ к главному реестру записей, понадобилось бы организовать невероятно сложную и четко скоординированную операцию, согласно которой в один момент тысячи устройств были бы атакованы одновременно.

Другим принципом, обеспечивающим исключительную безопасность, является сама цепь транзакций. Главный реестр записей представляет собой длинную цепочку последовательных блоков. Каждый блок, входящий в данную цепь, является лишь частью общей структуры,  которая берет свое начало от самой первой произведенной в данной системе операции. 

Это значит, что любому, кто решит изменить информацию об одной транзакции, перед этим придется крайне аккуратно и точно изменить все записи, ведущие к этой транзакции. Исходя из чего, предполагаемое вмешательство выглядит крайне сложным процессом, что также является одним из плюсов в построении безопасности блокчейна.

 

Другие элементы системы безопасности

Кроме того, есть также и другие элементы, обеспечивающие защиту блокчейна.

Более двух пользователей подтверждают и обеспечивают безопасность проводимой транзакции. Даже в большинстве современных процессинговых систем в проверке задействованы только несколько уровней верификации – как правило, это продавец, покупатель и какие-то третьи лица (чаще всего банк или кредитное агентство).

Однако в системе блокчейна существует от нескольких сотен до нескольких тысяч различных узлов, на каждом из которых хранится полная копия реестра записей. Поэтому любой из этих узлов также может участвовать в проверке транзакции, и если узел по каким-то причинам не принимает транзакцию, то она будет отменена. Подобный расклад почти до минимума снижает возможность создания ложной или мошеннической транзакции.

Криптографические ключи, используемые системой в обменных процессах, также являются чудом современной кибербезопасности. Каждый зашифрованный ключ представляет собой длинную, сложную последовательность данных, практически не поддающуюся расшифровке. А если учесть, что для подтверждения требуются два таких уникальных ключа, то система начинает выглядеть чуть ли не неприступной крепостью. При этом считается, что блокчейн обладает уникальной системой безопасности, потому что при подобном уровне защиты в нем удается сохранить почти полную прозрачность транзакций.

 

Самые незащищенные места

Но, как уже говорилось, даже блокчейн не идеален. У него, как и у любой другой системы, есть слабые места. Так что, если вы планируете использовать криптовалюту и вкладывать в неё свои средства, или если вам в будущем придется иметь дело с блокчейном, то просто необходимо знать и понимать потенциально уязвимые места технологии. Поэтому постарайтесь запомнить следующие особенности, касающиеся безопасности данной технологии:

  • Сложность системы

Если вы решите создать систему на основе технологии блокчейн с нуля, то одна небольшая ошибка может стать фатальной и «положить» всю вашу разработку. Конечно же, это нельзя считать недостатком самого блокчейна – это, скорее, касается особенностей его использования. Кроме того, среднестатистическому человеку намного труднее разобраться в блокчейне из-за его сложности, что, в свою очередь, означает, что многие не до конца понимают риски, связанные с использование системы,  а также не полностью используют доступный функционал.

Для работы блокчейна необходимы как минимум несколько сотен, а еще лучше несколько тысяч согласованно работающих узлов. Именно из-за этого система является крайне уязвимой к атакам на начальных этапах работы. К примеру, если какой-либо пользователь сможет получить контроль над 51% узлов системы, то он сможет полностью контролировать результат работы. А если в системе всего 20 узлов, то подобный вариант развития событий более чем возможен.

  • Скорость и эффективность сети

Структура блокчейна – это также одна из причин, по которой может быть нарушено нормальное функционирование системы. Так, если система получит слишком широкое распространение, а инфраструктура блокчейна окажется не готовой к такому объему операций, то в результате может снизиться скорость проведения транзакций, могут появиться проблемы с хранением данных, а это все не лучшим образом повлияет на эффективность сети. 

  • Политика использования

Хоть и нельзя сказать, что данный пункт напрямую связан с безопасностью блокчейна, но политика системы может повлиять на ее применение и дальнейшее развитие. Учитывая то, что валюта в системе блокчейн является международной и децентрализованной, это, по сути, обесценивает национальную валюту, контролируемую государством. И, естественно, на данный момент управляющие органы некоторых государств стремятся ввести более строгие ограничения на использование блокчейна. Правительства разных стран надеются взять систему под контроль до того, как она станет серьезным конкурентом и начнет угрожать их экономике. Косвенным образом это также является существенной угрозой безопасности блокчейна, которая может значительно замедлить распространение технологии.

  • Сторонние системы

К примеру, NiceHash – сторонний рынок для майнинга биткоина – был не так давно взломан, в результате чего было украдено криптовалюты на более чем 60 миллионов долларов. Как оказалось, данная платформа была небезопасной. То есть, это не ошибка безопасности самой системы блокчейн. Скорее, наоборот, киберпреступники получили доступ к системе NiceHash при помощи блокчейна.

  • При транзакциях в системе blockchain используются публичные и приватные криптографические ключи

Сами по себе такие ключи взломать почти невозможно, однако киберпреступник может получить их более простым и привычным способом. Например, ключи можно достать в том случае, если вы храните их на небезопасной или слабозащищенной платформе. Так, если кто-то взломает ваш почтовый ящик, то он сможет получить доступ ко всем вашим письмам, а значит, и к ключам вашего профиля в блокчейне. В таком случае злоумышленник сможет завладеть вашими средствами, выдав себя за вас. И это один из главных вопросов, касающихся безопасности системы. 

  • Традиционные мошеннические уловки

Пользователи системы также могут попасться на другие, более традиционные уловки мошенников. По сути, такие мошеннические схемы не считаются слабым местом в системе безопасности  блокчейна. Так, к примеру, вы можете получить электронное письмо, в котором незнакомый вам человек будет убеждать вас, что именно вы стали тем счастливчиком, который выиграл что-то значительное. Либо же мошенники могут предложить вам потратить вашу криптовалюту на какой-то товар или услугу, которую вы никогда не получите.

 

Можно ли действительно назвать блокчейн защищенным?

Можно ли теперь, рассмотрев все эти пункты, с уверенностью сказать, что блокчейн – это защищенная и безопасная система?

Скорее, стоит сделать вывод, что система будет функционировать должным образом в том случае, если использовать ее правильно и аккуратно. Также стоит иметь в виду, что ее безопасность зависит от наличия достаточного количества пользователей, а многие бреши в безопасности появляются банально из-за человеческого фактора. Поэтому не стоит забывать, что у любой системы есть слабые места, и блокчейн совсем не исключение из этого правила. 

Источник

www.kv.by

Влияние блокчейн на информационную безопасность

С момента своего появления в 2009 году, концепция блокчейн расширила свое первоначальное использование в качестве биткоина на многие другие направления. По своей природе эта распределенная база данных предоставляет прекрасную платформу для управления криптовалютой. Но ее особенности привлекли внимание специалистов, занимающихся широким спектром других приложений. Возможно, наибольший интерес был связан с безопасностью. Блокчейн предлагает более безопасные транзакции, защиту от определенных хакерских атак и даже, в определенной степени, избавляет от необходимости паролей.

Что такое блокчейн?

Блокчейн (blockchain) – это распределенная база данных, состоящая из строковых блоков и разработанная таким образом, чтобы избежать последующих модификаций.  После того как данные были опубликованы в ней, используя надежную технику простановки времени и сложной ссылки на предыдущий блок, считается, что уже невозможно откатить назад и внести какие-то изменения в запись. Блокчейн стал бесценным инструментом, идеально подходящим для обеспечения безопасности, но он также используется для таких задач, как хранение и подтверждение данных – метод, который в настоящее время используется для интеллектуального анализа данных (дата-майнинг). Блокчейн – это результат многолетних достижений в криптографии и информационной безопасности.

Блокчейн в сервисе безопасности

Некоторые эксперты начали анализировать потенциал блокчейна в отношении сервисов, предлагаемых DNS-серверами. В силу нерушимости и децентрализации блокчейна, если бы эта технология использовалась для замены системы доменных имен, то атаки типа «отказ в обслуживании» (DDoS-атаки) стали бы невозможны.

Более общее применение (и это уже реализовано) – это использование блокчейн в криптографии. Ведь это очень логичный способ использования данной технологии, учитывая, что она позволяет передавать информацию очень безопасным способом. Она также используется для предотвращения манипуляции с данными. Поскольку природа блоков неизменна, используя последовательное хэширование вместе с криптографией в децентрализованной структуре, мы можем построить систему, которой будет практически невозможно манипулировать.

Информационная безопасность, несомненно, идет по пути адаптации технологии блокчейна в не столь отдаленном будущем. Принципиальное отличие в технологическом подходе позволяет выйти за пределы конечных устройств, включая безопасность цифровой «личности» пользователя, передачу информации и защиту критической инфраструктуры. Это очень сложные преобразования, но мы уже видим первые результаты такого подхода.

Безопасность блокчейна подвергается проверке

С технической точки зрения, будучи распределенной и «взаимозависимой» базой данных, блокчейн представляет собой прочную скалу. Впрочем, в зависимости от доступности блока, он может быть не настолько интегрирован, как может показаться. Для уточнения: существует огромная разница между публичными и приватными блокчейнами. В то время как публичные блокчейны не имеют ограничения на то, кто может получить доступ к данным (которые могут быть зашифрованы, а могут – и нет) или осуществлять транзакции, в приватных блокчейнах эти операции доступны только для определенного круга лиц.

Первые обеспечивают прозрачность, а вторые предоставляют более высокие  уровни контроля, но только со стороны определенных администраторов. В обоих случаях мы можем найти дыры безопасности, зачастую косвенно связанные с технологией (например, черный рынок криптовалют). Блокчейн – это все же пока развивающаяся технология, так что для ее доведения до совершенства пройдут еще долгие годы. Как и любая технология подобного типа, она сталкивается с изменяющимся технологическим контекстом: появление квантовых вычислений, изменения в законодательстве, суперкомпьютеры… Но очевидно, что блокчейн скоро будет играть ведущую роль в сфере информационной безопасности.

 

 

Panda Security в России

 +7(495)105 94 51, [email protected]ecurity.com

 http://www.pandasecurity.com

Данный материал является частной записью члена сообщества Club.CNews.Редакция CNews не несет ответственности за его содержание.

club.cnews.ru

Кибербезопасность и блокчейн

Автор: SteelKiwi Dev

Обеспечение мировой кибер-безопасности за последние несколько лет стало настоящей проблемой. И, судя по количеству и масштабу недавних хакерских атак, ситуация становится только хуже. 

Несмотря на то, что хакеры активно развиваются в своем ремесле, способов борьбы с ними становится все больше и больше. На самом деле, уже существует непроницаемая для хакеров технология блокчейн, которая может защитить информацию от кибер-атак и повысить уровень кибер-безопасности во многих индустриях.

Блокчейн-технология 001

Блокчейн-технология появилась примерно десять лет назад, и изначально она была создана как основа для первой криптовалюты ­– биткоина. Однако технология уже распространилась по всему миру: люди внедряют блокчейн во многие индустрии, включая сферу кибер-безопасности.

Что такое блокчейн?

Блокчейн – это распределённая публичный реестр, работающий за счет миллионов пользователей по всему миру, подключенных к одной сети. Каждый пользователь может добавлять информацию в блокчейн, который защищен криптографией. Также каждый пользователь обязан проверить новую информацию на достоверность (proof of work) прежде, чем добавить ее в цепь. Весь процесс осуществляется при помощи трех ключей: публичного, приватного и ключа получателя. Эти ключи позволяют участника цепи проверять подлинность информации. 

Мы публиковали множество статей о том, что такое блокчейн и где он может быть полезен – предлагаем вам более подробно ознакомиться с принципами работы данной технологии, пройдя по этой ссылке.

Как GuardTime использует блокчейн для защиты данных

GuardTime уже сегодня успешно использует технологию для обеспечения безопасности информации. Более того, компания не использует ключи для верификации информации. Вместо этого они распределяют фрагменты данных между узлами сети. Если кто-то пытается изменить информацию, система анализирует весь массив цепи, сравнивает с пакетом метаданных и исключает те блоки информации, которые не совпадают. Это означает, что стереть всю цепь можно только единственным способом – удалить каждый узел цепи по отдельности. Если даже всего один узел остается активным, всю систему можно перезапустить.

Подобным образом и работает система Guardtime, что позволяет определять, когда было внесено изменение в цепь и, соответственно, проверять эти изменения. Фактически нет никакой возможности изменить какой-либо блок, сохранив всю цепь неизменной – система сразу начинает проверку.

Предотвращение атак на отказ в обслуживании (distributed denial of service (DDoS))

Принцип работы DDoS-атак довольно прост, но крайне губителен. Хакеры могут использовать несколько инструментов для инициирования атаки, например, отправляя бесконечное количество запросов на сайт, тем самым увеличивая трафик настолько, что сайт не может с этим справиться. И такая атака продолжается до тех пор, пока сайт не выйдет из строя. DDoS-атаки происходят довольно часто, нанося ущерб таким компаниям, как Twitter, Spotify, SoundCloud и др.

На сегодняшний день проблема в предотвращении подобных атак кроется в системе доменных имен (Domain Name System, DNS). DNS представляет собой частично децентрализованное взаимное сопоставление IP-адресов с доменным именами и работает примерно по такому же принципу, как телефонная книга для интернета. Эта система отвечает за замену/сопоставление распознаваемых человеком имен доменов (например, steelkiwi.com) на машиночитаемые IP-адреса (состоящие из цифр). 

Проблема в том, что фраза «частично децентрализованный» означает уязвимость системы перед хакерами, так как они могут атаковать центр сети DNS (главный узел, который концентрирует основной массив информации) и продолжать взламывать один сайт за другим. 

Блокчейн как способ предотвратить DDoS-атаки

Внедрение блокченй-технологии позволит полностью децентрализовать DNS, распределяя информацию среди большого количества узлов сети, тем самым защищая систему от хакерских атак. Право редактировать домен будет только у тех, кто им владеет, и никакой другой пользователь не сможет внести изменения, что значительно снижает риск проникновения неавторизованных пользователей. Данная технология может обеспечить безопасность работу всей системы и сделать ее устойчивой к атакам кроме случая, когда одновременно будут удалены все узлы цепи.

Некоторые компании уже внедряют блокчейн для предотвращения подобных атак. Например, Blockstack обеспечивает полную децентрализацию DNS. Основной принцип, которым руководствуется компания, чтобы сделать сеть полностью децентрализованной – это убрать третьи стороны от управления серверами, ID системами и базами данных.

Если в сегодняшнюю систему DNS внедрить блокчейн, пользователи все также смогут создавать доменные имена, но только авторизованные пользователи смогут внести изменения в домены. Поскольку данные будут храниться на различных узлах (компьютерах) цепи, и у каждого отдельного пользователя будет копия всей информации на блокчейне – система фактически становится неуязвимой.

MaidSafe – аналогичная компания в Англии. Их цель также полностью децентрализовать сеть и создать что-то вроде альтернативы интернету, где каждый пользователь может пользоваться приложениями, хранить информацию и, в принципе, делать все то, что мы и делаем сейчас онлайн, но только в более безопасной среде. При регистрации на данном сервере вы сможете выбрать, какой объем своего хранилища вы можете отдать сети, за что система отдает вам взамен safecoin. Каждый файл, помещенный на сервер MaidSafe, шифруется, фрагментируется и распределяется между пользователями. Единственный человек, который может открыть доступ к информации – это ее владелец, что, по факту, является гарантом того, что в систему не может проникнуть неавторизованный пользователь.

Инновационное применение технологии блокчейн

Чем больше людей подключаются к сети, чем активнее развиваются технологии – тем больше производится информации, и тем больше хакеров пытаются украсть эту информацию или просто стереть ее. Технология блокчейн позволяет пользователям защищать свою информацию, тем самым влияя на будущее интернета. 

Применение блокчейна уже давно вышло за рамки криптовалют и может быть крайне полезно в сфере кибер-безопасности. Внедрение строгого шифрования и системы распределения протоколов в сети может гарантировать любому бизнесу, что информация будет защищена от злоумышленников.

Источник 

chainmedia.ru

IT Manager: Блокчейн для бизнеса: вопросы безопасности

IT ManagerБезопасностьУправление ИБ

Алексей Раевский | 20.08.2018

На сегодняшний день блокчейн – модная технология. Бурный рост популярности криптовалют, а также поддерживающей их архитектуры привел к появлению концепции «блокчейн-где-угодно», которая не только не всегда оправдывает себя, но и может создать дополнительные проблемы в сфере безопасности. Нужен ли вам блокчейн и в каком качестве – можете ответить только вы сами. Какие вызовы создает использование блокчейна и как можно решить проблемы, возникающие перед выбравшими технологию компаниями?

Если говорить о сферах очевидного применения блокчейна, то наибольший интерес к технологии наблюдается в областях государственного управления, финансов и производства. Согласно результатам исследования компании Greenwich Associates, инвестиции в новое направление продолжают расти, и один только финансовый сектор в 2016 году вложил в исследования технологии свыше 1 млрд евро. Кстати, именно в 2016-м аналитики Gartner включили блокчейн в число самых популярных технологий, отметив, что согласно кривой Hype Cycle (цикл зрелости технологии) в настоящее время блокчейн находится на пике – то есть преодолел ранние этапы и приближается к своей зрелости. Более того, серьезным аргументом в пользу блокчейна становится тот факт, что Bitcoin так никому и не удалось взломать, другими словами, технология достаточно надежна. Однако это не значит, что уже сегодня можно взять и использовать блокчейн повсюду. И для этого есть шесть веских причин.

1. Излишняя прозрачность

Криптовалюты стали столь популярны именно потому, что блокчейн позволяет обеспечить прозрачность транзакций для всех пользователей. То есть за совершением сделок в сети фактически постоянно следит все сообщество, и каждый желающий может прочитать содержимое очередного блока. Такая схема прекрасно подходит для публикации государственных документов, но совершенно не соответствует многим бизнес-задачам. Какой из этого следует выход? Теоретически можно начать шифровать данные в блоках, но тогда теряются преимущества контроля участников сети над транзакциями. Поэтому многие компании начинают создавать приватный блокчейн, не завязанный на общественные сети. Но и он не лишен недостатков.

2. Атаки 51%

В приватном блокчейне возникает проблема, практически решенная для крупных публичных сетей. Механизм проверки транзакций в блокчейне не позволяет зарегистрировать новое событие, если оно не будет подтверждено большей частью сети. И если речь идет о миллионах пользователей, захватить более 50% компьютеров даже для кражи внушительной суммы будет очень сложно и затратно, а быть может, – и вовсе нереально. Но для частных блокчейнов, в которых участвует не так много узлов, атаки со взломом 51% машин становятся реальными. Поэтому при проектировании системы необходимо учитывать такую угрозу и предусматривать соответствующие меры безопасности.

3. Проблема сохранности ключей

Наконец, ключи от кошельков в блокчейне являются фактически цифровыми удостоверениями личности, при этом чаще всего – единственными. То есть у компании, использующей технологию, возникает потребность организовать хранение собственных ключей и ключей клиентов. Для этого нужно либо запускать отдельный облачный сервис, либо создавать аппаратные модули, либо доверять пользователям хранение своих собственных ключей. Но что делать, если кто-то потеряет свой ключ? В таком случае доступ к своему кошельку будет утрачен, ведь с новой криптотехнологией нельзя прийти, как в отделение банка, с паспортом и получить реквизиты заново.

4. Отсутствие стандартов

Многие компании не спешат внедрять блокчейн из-за отсутствия регулирования и четких стандартов в данной сфере. И это действительно может оказаться проблемой, особенно если компания работает в разных странах – в одной могут принимать блокчейн, как технологическую основу, а в другой – напротив, потребовать получения дополнительных разрешений. К тому же отсутствие законодательной базы для технологии говорит о том, что в какой-то момент она может появиться и бизнесу придется переделывать систему в зависимости от требований, добиваться новых разрешений и т. д. Ведь никто не гарантирует, что созданная сегодня система будет соответствовать требованиям, которые появятся завтра.

5. Потребность в «криптоюристах»

Еще одна очень важная проблема – соответствие смарт-контрактов реальным договоренностям. Смарт-контракт является результатом программирования, и в бизнес-практике уже были случаи, когда ошибки в смарт-контрактах позволяли взламывать приватные блокчейны и устраивать DDoS-атаки. А что если в смарт-контракте намеренно сделаны лазейки или двояко прописаны условия каких-то сделок? Для того чтобы застраховаться как от случайных недочетов, так и от злонамеренных действий, необходимо проверять код смарт-контракта перед его запуском, ведь изменения в блокчейн внести будет уже невозможно. Текст бумажных контрактов готовится и проверяется юристами, а «криптоюристов», которые могли бы удостовериться, что код смарт-контракта соответствует условиям сделки, на рынке пока не наблюдается.

6. Соответствие требованиям законов

Наконец, блокчейн создает определенные проблемы, если мы говорим о текущей нормативной базе. Например, европейский набор нормативных актов по защите персональных данных GDPR диктует в том числе право на забвение – удаление всей информации о пользователе. Кстати, аналогичный закон действует сегодня и в России. Но удалить данные из блокчейна невозможно. Они фиксируются там «навечно» — пока не будут отключены узлы сети. Если говорить конкретно о праве на забвение, скорее всего, оно не будет распространяться на блокчейн, так как проблема невозможности удаления данных очевидна. В любых других случаях остается лишь перед записью в блокчейн анализировать информацию и сохранять ее в том формате, в котором она не будет нарушать существующих законов.

Выход – классический подход к ИБ

И тем не менее блокчейн вызывает огромный интерес со стороны компаний, для которых использование распределенного реестра может обеспечить финансовые выгоды, конкурентные преимущества. С точки зрения безопасности к блокчейну можно и нужно применять классические подходы, такие как CIA (Confidentiality-Integrity-Accessibility), предлагающие оценивать параметры конфиденциальности, целостности и доступности, а также гексаду Паркера, которая дополняет эти три правила параметрами контроля, аутентичности и полезности. И блокчейн, равно как и все другие технологии, необходимо оценивать с точки зрения комплексной безопасности, учитывая риски по всем шести направлениям. Например, чтобы публичный блокчейн не создавал угрозы конфиденциальности, доступ к нему можно ограничить на уровне приложений. Чтобы не потерять полезность данных, нужно следить за инфраструктурой ключей и не допускать их утраты. Для обеспечения контроля над процессами следует уделять пристальное внимание разработке смарт-контрактов и так далее.

Самое важное, что нужно иметь в виду на пике популярности криптотехнологий, – блокчейн не может быть на 100% безопасен сам по себе, как и любая другая система «из коробки». В недавнем прошлом мы видели аналогичную картину с виртуализацией и облачными сервисами, над защитой которых пришлось изрядно поработать на протяжении нескольких лет. Так и сегодня желающим получить преимущества от новых криптотехнологий нужно будет потрудиться, создавая для них модель угроз и обеспечивая соответствующую защиту. Интересно, что при изучении рисков нового подхода порой компании приходят к выводу, что в определенных сферах им вовсе не нужен блокчейн. И это вполне типично для технологий, находящихся на пике Hype Cycle. Поэтому сегодня нужно не стремиться внедрить эту технологию как таковую, а реально оценить преимущества и недостатки использования новых решений, не забывая о том, что безопасность блокчейна зависит от несколько иных факторов, чем безопасность облачных сред или распределенных хранилищ данных.

Ключевые слова: блокчейн, безопасность

Горячие темы: Угрозы и риски ИБ

Журнал IT-Manager № 08/2018

Компания: Zecurion

www.it-world.ru