Jump to content
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Blockchain mniej bezpieczny niż się wydawało

Recommended Posts

Blockchain, jeszcze do niedawna uważana za odporną na cyberataki, coraz częściej pada ofiarą cyberprzestępców. Ten typ bazy danych jest tym bardziej atrakcyjnym celem ataków, że opierają się na nim sieci kryptowalut. Statystyki mówią same za siebie. Od początku 2017 roku przestępcy ukradli kryptowaluty o łącznej wartości niemal 2 miliardów dolarów. A mowa tu tylko o kwotach, które zostały publicznie ujawnione. Większości kradzieży dokonano na internetowych giełdach, a atakami zajmują się już nie tylko samotni hakerzy, ale i zorganizowane grupy przestępcze. Firma analityczna Chainalysis informuje, że tylko dwie grupy, które prawdopodobnie wciąż są aktywne, ukradły w sumie około miliarda dolarów.

Na początku lutego firma Coinbase zauważyła dziwną aktywność na blockchainie Ethereum Classic. Cały blockchain był właśnie celem ataku. Napastnik w jakiś sposób przejął kontrolę nad ponad połową zasobów obliczeniowych blockchaina i nadpisywał jej historię. Taki atak, który jeszcze rok temu był czysto teoretyczny, pozwalał na wydanie tych samych pieniędzy więcej niż jeden raz. Ten atak udało się powstrzymać.

Blockchain ma dodatkową zaletę z punktu widzenia przestępców. Oszukańczych transakcji nie można tutaj bowiem odwrócić. W tradycyjnym systemie finansowym, gdy ktoś ukradnie nam pieniądze z konta czy posłuży się naszą kartą płatniczą, możliwe jest cofnięcie transakcji. Tutaj takiej możliwości nie ma.

Blockchain to rozproszona otwartoźródłowa szyfrowana baza danych bez punktu centralnego. Poszczególne dołączone doń komputery, węzły, wykorzystują złożony protoków, który pozwala na weryfikacje transakcji i dodawanie ich do bazy. Protokół korzysta z szyfrowania i teorii gier oraz wbudowano weń zachęty, które powodują, że bardziej opłaca się wykorzystać moc obliczeniową do współpracy, niż do atakowania sieci. Atak na poprawnie skonfigurowany blockchain powinien być niezwykle trudny i kosztowny, a z drugiej strony weryfikacja prawdziwych transakcji powinna być dość łatwa. Te zalety spowodowały, że blockchain cieszy się coraz większym zainteresowaniem przemysłu. Blockchain jest testowany przez Walmart, a właściciel Giełdy Nowojorskiej, firma Intercontinental Exchange, ma zamiar uruchomić wkrótce swój własny blockchain.

Im jednak blockchain bardziej złożony, tym łatwiej w nim o błędy. Niedawno firma stojąca za kryptowalutą Zcash pinofrmowała, że poprawiła „subtelny błąd kryptograficzny” w blockchainie. Pozwalał on napastnikowi na sfałszowanie dowolnej liczby Zcash. Błędy pojawiają się nie tylko w protokole. We wrześniu deweloperzy Bitcoin Core, głównego klienta kryptowaluty bitcoin poprawili błąd – szczegóły są trzymane w tajemnicy – który pozwalał na wydobycie większej liczby bitcoinów niż to dozwolone.

Większość ataków na kryptowaluty, jak już wspomniano, przeprowadzono na giełdach i można za nie winić same giełdy. Jednak wszystko zmieniło się po styczniowym ataku na Ethereum Classic.

Większość kryptowalut jest podatnych na atak 51%. Dzieje się tak, gdyż wykorzystywane blockchainy uwiarygadniają użytkowników w ten sposób, że każdy z węzłów musi spędzić dużo czasu i zaangażować dużo swojej mocy obliczeniowej na pracę na rzecz całej sieci, by się uwiarygodnić i zyskać prawo dodawania informacji do bazy danych. Teoretycznie więc, jeśli ktoś uzyska kontorlę nad większością (wspomniane 51%) węzłów może uwiarygodnić się wobec całej sieci wysyłając płatności do innych węzłów, a później stworzyć alternatywną wersję blockchaina, w której płatności nigdy nie miały miejsca. Taki fałszywy blockchain staje się całkowicie wiarygodny i możliwe jest wielokrotne wydanie tych samych pieniędzy.

Tego typu ataki mogą być jednak niezwykle kosztowne. Jak mówią specjaliści, wynajęcie mocy obliczeniowej potrzebnej do ataku na Bitcoin kosztowałoby ponad 260 000 USD za godzinę. Jednak obecnie istnieje ponad 1500 kryptowalut, a im mniej popularna kryptowaluta, tym mniejszy blockchain i tym łatwiej się w nim uwiarygodnić. Około połowy 2018 roku rozpoczęła się seria ataków na mniej popularne kryptowaluty. Przestępcy ukradli około 20 milionów UDS. Jesienią podczas serii ataków na Vertcoin skradziono 100 000 dolarów. Atak przeciwko Ehtereum Classic, podczas którego ukradziono ponad milion dolarów był pierwszym przeciwko kryptowalucie znajdującej się wśród 20 największych. Specjaliści uważają, że tego typu ataki będą coraz częstsze i coraz silniejsze.

Jednak 51% to nie jedyny problem blockchainów. Innym są programy typu smart contract. To oprogramowanie automatyzujące przepływ kryptowalut zgodnie z założonymi wcześniej warunkami i zasadami. Jest ono wykorzystywane np. do zawierania umów czy przeprowadzania złożonych transakcji. Pozwala też np. na stworzenie mechanizmu głosowania, który pozwala członkom firmy inwestycyjnej na podjęcie decyzji co do alokacji kapitału.

W 2016 roku w blockchainie Ethereum uruchomiono fundusz o nazwie Decentralized Autonomous Organization. Wkrótce potem napastnik ukradł z niego ponad 60 milionów USD. Wykorzystał bowiem błąd, który pozwalał mu na wycofywanie pieniędzy z kont, a system nie rejestrował, że pieniądze zostały wycofane. W tradycyjnym systemie bankowym wystarczyłoby cofnąć transakcje i zastosować łatę. W blockchainie transakcji nie da się cofnąć, zatem dołączane doń oprogramowania od początku powinno być pozbawione błędów. Istnieją sposoby na częściowe poradzenie sobie z tym problemem. Można bowiem stworzyć kolejne oprogramowanie smart contract, które będzie wchodziło w interakcje z już istniejącym. Możliwe jest stworzenie centralnego wyłącznika, który zatrzymuje całą sieć w momencie, gdy wykryto atak. Jednak transakcje przeprowadzone wcześniej nie mogą zostać cofnięte, a ukradzionych pieniędzy niemal nie da się odzyskać. Niemal, bo istnieje jedna drastyczna metoda. Można nadpisać historę, cofnąć się do czasu sprzed ataku i w ten sposób stworzyć nowy blockchain. Użytkownicy starego powinni wówczas zgodzić się, że będą używali nowego. To właśnie zrobili w przeszłości twórcy Ethereum. Większość społeczności przesiadła się na nowy blockchain znany obecnie jako Ethereum, ale część pozostała przy oryginalnym, Ethereum Classic.

Smart contracts stają się najpoważniejszym problemem blockchaina. Eksperci twierdzą, że setki, a może nawet tysiące tego typu programów zawierają lub mogą zawierać błędy. Te zaś z pewnością zostaną przez przestępców odnalezione, gdyż, jak już wspomniano, blockchain opiera się na otwartych źródłach, do których dostęp ma każdy.

Powstaje jednak coraz więcej inicjatyw i firm, których celem jest zabezpieczenie blockchaina. Pojawił się też pomysł ustanowienia nagród pieniężnych za odnajdowanie i informowanie o dziurach w oprogramowaniu.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Kupę czasu temu wspominałem tu, że ataki 51% są realne (w co wyznawcy kryptowalut woleli nie wierzyć - dziwne jak na ludzi wiary...), a pisałem to nie dlatego że jestem taki mądry, tylko że kto inny już wtedy te ataki obserwował od ponad roku.

Porada ode mnie: kupić popcorn, wygodnie usiąść i cieszyć oko widowiskiem. Jest droższe od najbardziej wypasionych produkcji holyłudu.

Share this post


Link to post
Share on other sites

Nie sądzę żeby był to jakiś wielki problem, zagrażający idei blockchain. Na wiele sposobów można sobie z tym poradzić. Tak szybko jak takie ataki staną się poważnym problemem tak szybko zostaną wprowadzone metody radzenia sobie z nimi. Sam temat jest jednak niezwykle ciekawy. Postęp kryptografii przypomina ewolucyjny rozwój drapieżnika i ofiary. Możliwe że każdy system jest podatny na atak. Możliwe też że zawsze można stworzyć system, którego atakowanie aktualnie się nie opłaca. Właśnie tych systemów będziemy używali.

Share this post


Link to post
Share on other sites
2 godziny temu, gooostaw napisał:

Nie sądzę żeby był to jakiś wielki problem, zagrażający idei blockchain.

Idea może się obroni, ale każdy przypadek przełamania będzie szalenie kosztowny - jako narzędzie inwestowania i spekulacji znaczenie mocno spadnie.

Share this post


Link to post
Share on other sites
1 minutę temu, Jajcenty napisał:

Idea może się obroni, ale każdy przypadek przełamania będzie szalenie kosztowny - jako narzędzie inwestowania i spekulacji znaczenie mocno spadnie.

Trudno się nie zgodzić. Pozostaje mieć nadzieję że na dłuższą metę blockchain sobie z tym poradzi i udowodni że technologia i społeczność jest w stanie się adaptować. Ja mam nadzieję że tak się stanie i takie sytuacje nie spowodują zbyt dużych spadków wartości i zaufania. Ostatecznie może się okazać że będzie wręcz przeciwnie i pomysł się utrzyma. Trzeba w końcu pamiętać o wszystkich zaletach tego rozwiązania. Są zbyt kuszące żeby łatwo z tego rezygnować.

Share this post


Link to post
Share on other sites
5 godzin temu, Przemek Kobel napisał:

Kupę czasu temu wspominałem tu, że ataki 51% są realne (w co wyznawcy kryptowalut woleli nie wierzyć - dziwne jak na ludzi wiary...), a pisałem to nie dlatego że jestem taki mądry, tylko że kto inny już wtedy te ataki obserwował od ponad roku.

To uściślij w jakich warunkach są możliwe :D

I podaj chociaż parę przykładów takiej udanej kradzieży :D dla popularnej kryptowaluty.
Ja Ci mogę napisać:

- kradzież z banku jest możliwa
- kradzież z Twojego domu jest możliwa
- kradzież z Twojego portfela jest możliwa
- fałszowanie banknotów jest możliwe
Przykładów kradzieży z banków, domów i portfeli chyba ode mnie nie będziesz wymagał?  A może jednak?
Kradzieże na rynku kryptowalut przeważnie miały charakter łamania kont indywidualnych albo zabezpieczeń giełd. Giełdy były robione często "po taniości" - zwłaszcza dla mniejszych projektów - były i są słabo zabezpieczone. Ale giełdy nie są esencją trzymania jakiejkolwiek wartości.
To samo dotyczy mało popularnych kryptowalut - ale te też mają zazwyczaj mały budżet i słabsze zabezpieczenia.
Ale oceniać blockchain po najsłabszych krytpowalutach to jak oceniać zabezpieczenie dolarów czy złotówek po zabezpieczeniu tynfów.

Edited by thikim

Share this post


Link to post
Share on other sites

A ja prosiłem o jakąś poważną kryptowalutę a nie klony i półscamy.

Tylko zauważ że ja już napisałem:

15 godzin temu, thikim napisał:

Ale oceniać blockchain po najsłabszych krytpowalutach to jak oceniać zabezpieczenie dolarów czy złotówek po zabezpieczeniu tynfów.

Zabawne jest komentować czyjś post - przed tym postem.
To podasz jakiś przykład udanej kradzieży 51% dla głównych kryptowalut? :D Przykład - nie teoretyczne rozważania.
Zdajesz sobie mam nadzieję sprawę że w opozycji do jakiś tam jednostkowych przykładów ataku na kryptowaluty - stoją tysiące przykładów fałszowania banknotów i monet? A i tak to tylko przykład wierzchołka góry lodowej słabości jaką mają tradycyjne środki płatnicze. Zaletę mają w zasadzie tylko jedną: działają bez prądu.

Edited by thikim

Share this post


Link to post
Share on other sites

Mam wrażenie, że artykuł trochę rozmywa pojęcia. Blockchain to typ bazy danych. Bitcoin implementuje blockchain w jakiś tam sposób, Ethereum w inny, a inne kryptowaluty w jeszcze inny. Tak samo relacyjne bazy danych to typ baz danych. Model relacyjnych baz danych implementuje MySQL, Oracle czy PostgreSQL. To, że znaleziono lukę bezpieczeństwa w MySQL nie koniecznie oznacza, że użytkownicy PostgreSQL mają się czego obawiać. Zgoda, mowa tutaj o dość istotnym ogólnym problemie z blockchainem, jednak problem 51% to jest coś o czym każdy użytkownik kryptowalut powinien wiedzieć. Jest bardzo mało prawdopodobne żeby coś takiego przydarzyło się Bitcoinowi, chyba żeby postanowił zrobić to jakiś rząd lub podmioty bankowe, którym model kryptowalut może zaszkodzić, bo żeby w ten sposób Bitcoina zdestabilizować, trzeba by wydać ogrom pieniędzy, który by się nie zwrócił przez samo wyprowadzenie pieniędzy z kryptowaluty, bo po takim czymś kurs Bitcoina poleciałby na łeb na szyję i wszystkie giełdy by się załamały.

Zazwyczaj pieniądze są tracone, bo ludzie dla wygody obchodzą się z kryptowalutami w odradzany sposób i trzymają pieniądze na giełdzie, w gorącym portfelu.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      FBI wydało oficjalne ostrzeżenie przed atakami, jakie na prywatne i rządowe cele w USA przeprowadza elita irańskich hakerów powiązanych z rządem w Teheranie. W ostrzeżeniu nie pada nazwa grupy, jednak dziennikarze nieoficjalnie dowiedzieli się, że chodzi o grupę zwaną Fox Kitten lub Parasite, która jest od dłuższego czasu obserwowana przez międzynarodową społeczność zajmującą się cyberbezpieczeństwem.
      Grupa ta to elitarny zespół, którego zadaniem jest przygotowanie pola pod działania innych irańskich organizacji hakerskich. Fox Kitten przygotowują „przyczółki”, z których mogą działać takie grupy jak APT33 (Shamoon), Oilrig (APT34) czy Cnafer.
      Fox Kitten atakują najbardziej zaawansowany sprzęt sieciowy, wykorzystując najnowsze odkryte w nim dziury. Do ataków dochodzi bardzo szybko po odkryciu luk. Hakerzy liczą na to, że właściciele urządzeń nie zdążyli ich jeszcze załatać. Jako, że mówimy o kosztownym sprzęcie, to oczywistym jest, że to sprzęt działający w sieciach rządowych oraz dużych prywatnych firm. Po udanym ataku na urządzeniu instalowane są tylne drzwi, przez które inni mogą kontynuować ataki.
      Wiadomo, że Fox Kitten stosują taką taktykę co najmniej od roku, kiedy to zaatakowali servery VPN firm Fortinet, Pulse Secure, Palo Alto Networks oraz Citrix. FBI ostrzega przed powtórzeniem tych ataków oraz przed możliwymi atakami na BIG-IP firmy F5 Networks, w którym odkryto luki.
      Już teraz wiadomo, że w ubiegłym tygodniu agenci FBI zostali wezwani do dwóch amerykańskich firm, w których doszło do udanych ataków przeprowadzonych przez Fox Kitten.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Amazon poinformował, że jego chmura obliczeniowa AWS odparła jeden z najpotężniejszych ataków DDoS w historii. Do ataku doszło w lutym. W szczytowym momencie napastnicy wygenerowali ruch dochodzących do 2,3 terabitów na sekundę. Poprzedni najpotężniejszy atak w szczytowym momencie generował 1,7 Tbit/s.
      Lutowy atak był o 44% potężniejszy niż jakikolwiek wcześniej doświadczony przez Amazon Web Srvices. Chmura Amazona obsługuje wiele witryn internetowych. Nie zdradzono jednak, która z nich była celem ataku.
      Przedstawiciele Amazona poinformowali, że przez 3 dni po ataku w AWS obowiązywał stan podwyższonego alertu. Jak dowiadujemy się z oświadczenia prasowego, mieliśmy do czynienia z atakiem, który Amazon określił mianem „CLDAP reflection”. Najprawdopodobniej, chociaż Amazon nie mówi tego wprost, napastnik wykorzystał błędy konfiguracyjne w protokole CLDAP w serwerze strony trzeciej, który pozwolił mu na zwiększenie siły ataku.
      Ataki DDoS i związane z tym zakłócenia pracy infrastruktury informatycznej, mogą być bardzo kosztowne dla ofiary. Specjaliści oceniają, że sama tylko Wielka Brytania może tracić na takich atakach około 1 miliarda funtów rocznie. Dużym problemem jest fakt, że tego typu ataku są łatwe i tanie do przeprowadzenia.
      Firma Kaspersky informuje, że w I kwartale bieżącego roku doszło do znaczącego wzrostu liczby i jakości ataków DDoS. Nie tylko jest ich obecnie dwukrotnie więcej niż przed rokiem, ale 80% z nich trwa dłużej.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Przed kilkoma dniami doszło do wielkiego atak na 1,3 miliona witryn korzystających z oprogramowania WordPress. Przestępcy próbowali ukraść pliki konfiguracyjne oraz informacje potrzebne do logowania do bazy danych. Nieudana próba ataku została przeprowadzona na stare luki XSS w pluginach i skórkach do WordPressa.
      Jak poinformowali specjaliści z firmy Wordfence, którzy powstrzymali napastników, przestępcy chcieli pobrać pliki wp-config.php. Ich zdobycie pozwoliłoby im na uzyskanie dostępu du baz danych. Pomiędzy 29 a 31 maja zaobserwowano i zablokowano ponad 130 milionów prób ataku skierowanych przeciwko 1,3 milionowi witryn. Szczyt nastąpił 30 maja. W tym dniu dokonano 75% wszystkich prób nielegalnego zdobycia danych, usiłując wykorzystać dziury w pluginach i skórkach na platformach WordPress, czytamy w wydanym komunikacie.
      Badacze połączyli te ataki z działaniem tej samej grupy, która 28 kwietnia próbowała wstrzyknąć na witryny złośliwy kod JavaScript. Jego zadaniem było przekierowywanie użytkownika z uprawnieniami administratora na złośliwą witrynę, z której można było dokonać ataku. Oba ataki udało się połączyć dzięki temu, że zarówno w kwietniu jak i maju przestępcy korzystali z tej samej puli 20 000 adresów IP.
      Eksperci przypominają właścicielom witryn, że jeśli ich strona padła ofiarą ataku, należy natychmiast zmienić hasła dostępu oraz klucze uwierzytelniające. Jeśli konfiguracja twojego serwera pozwala na uzyskanie zdalnego dostępu do bazy danych, napastnik, który zdobył taki dostęp może z łatwością dodać konto administratora, uzyskać dostęp do poufnych informacji lub w ogóle zlikwidować twoją witrynę. Nawet jeśli twój serwer nie pozwala na zdalny dostęp do bazy danych, to jeśli napastnik zdobył klucze uwierzytelniające, może ich użyć do ominięcia kolejnych zabezpieczeń, czytamy w oświadczeniu.
      Osoby korzystające z WordPressa powinny też upewnić się, czy wykorzystują najnowsze wersje dodatków i czy na bieżąco łatają pojawiające się dziury. Warto przypomnieć, że przed kilkoma tygodniami znaleziono dwie dziury w pluginie Page Builder. Plugin ten jest zainstalowany na milionie witryn, a zanlezione dziury pozwalają przestępcom na przejęcie kontroli nad witryną.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Grupa hakerska Shiny Hunters włamała się na GitHub-owe konto Microsoftu, skąd ukradła 500 gigabajtów danych z prywatnych repozytoriów technologicznego giganta. Dane te zostały następnie upublicznione na jednym z hakerskich forów. Nic nie wskazuje na to, by zawierały one jakieś poufne czy krytyczne informacje.
      Ataku dokonali ci sami przestępcy, którzy niedawno ukradli dane 91 milionów użytkowników największej indonezyjskiej platformy e-commerce Tokopedii i sprzedali je za 5000 USD. Jak mówią eksperci, Shiny Hunters zmienili w ostatnim czasie taktykę.
      Na dowód dokonania ataku na konto Microsoftu hakerzy dostarczyli dziennikarzom zrzut ekranowy, na którym widzimy listę prywatnych plików developerów Microsoftu. Początkowo przestępcy planowali sprzedać te dane, ale w końcu zdecydowali się udostępnić je publicznie.
      Jako, że w ukradzionych danych znajduje się m.in. tekst i komentarze w języku chińskim, niektórzy powątpiewają, czy rzeczywiście są to pliki ukradzione Microsoftowi. Jednak, jak zapewniają redaktorzy witryny Hack Read, ukradziono rzeczywiście pliki giganta z Redmond. Przedstawiciele Shiny Hunters informują, że nie mają już dostępu do konta, które okradli. Microsoft może zatem przeprowadzić śledztwo i poinformować swoich klientów o ewentualnych konsekwencjach ataku. Sama firma nie odniosła się jeszcze do informacji o włamaniu.
      GitHub to niezwykle popularna platforma developerska używana do kontroli wersji, z której korzysta 40 milionów programistów z całego świata. W październiku 2018 roku została ona zakupiona przez Microsoft za kwotę 7,5 miliarda dolarów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      W chipsetach Intela używanych od ostatnich pięciu lat istnieje dziura, która pozwala cyberprzestępcom na ominięcie zabezpieczeń i zainstalowanie szkodliwego kodu takiego jak keyloggery. Co gorsza, luki nie można całkowicie załatać.
      Jak poinformowała firma Positive Technologies, błąd jest zakodowany w pamięci ROM, z której komputer pobiera dane podczas startu. Występuje on na poziomie sprzętowym, nie można go usunąć. Pozwala za to na przeprowadzenie niezauważalnego ataku, na który narażone są miliony urządzeń.
      Na szczęście możliwości napastnika są dość mocno ograniczone. Przeprowadzenie skutecznego ataku wymaga bowiem bezpośredniego dostępu do komputera lub sieci lokalnej, w której się on znajduje. Ponadto przeszkodę stanowi też klucz kryptograficzny wewnątrz programowalnej pamięci OTP (one-time programable). Jednak jednostka inicjująca klucz szyfrujący jest również podatna na atak.
      Problem jest poważny, szczególnie zaś dotyczy przedsiębiorstw, które mogą być przez niego narażone na szpiegostwo przemysłowe. Jako, że błąd w ROM pozwala na przejęcie kontroli zanim jeszcze zabezpieczony zostanie sprzętowy mechanizm generowania klucza kryptograficznego i jako, że błędu tego nie można naprawić, sądzimy, że zdobycie tego klucza jest tylko kwestią czasu, stwierdzili przedstawiciele Positive Technologies.
      Błąd występuję w chipsetach Intela sprzedawanych w przeciągu ostatnich 5 lat. Wyjątkiem są najnowsze chipsety 10. generacji, w której został on poprawiony.
      Intel dowiedział się o dziurze jesienią ubiegłego roku. Przed kilkoma dniami firma opublikowała poprawkę, która rozwiązuje problem. Firma przyznaje, że programowe naprawienie dziury jest niemożliwe. Dlatego też poprawka działa poprzez poddanie kwarantannie wszystkich potencjalnych celów ataku.
      Dziura znajduje się w Converged Security Management Engine (CSME), który jest odpowiedzialny za bezpieczeństwo firmware'u we wszystkich maszynach wykorzystujących sprzęt Intela.

      « powrót do artykułu
×
×
  • Create New...