Blockchains de empresa: amurallado pero vulnerable

Blockchains de empresa: amurallado pero vulnerable

¿Cómo se piratea una blockchain empresarial? Podemos descubrirlo pronto.

Productos de blockchain empresariales han sido diseñados principalmente como redes privadas, limitadas a partes autorizadas. Se supone que esto los hace más eficientes que las cadenas públicas como Bitcoin y Ethereum porque menos computadoras tienen que llegar a un acuerdo sobre quién posee qué, y en un sentido más seguro porque los participantes se conocen entre sí.

Estos productos aplican tecnología desarrollada originalmente para el Lejano Oeste de la criptomoneda a una variedad de actividades corporativas poco atractivas, incluidas las transacciones transfronterizas, el almacenamiento de registros y el seguimiento de productos e información. Su promesa ha atraído a algunas de las corporaciones y proveedores de software más grandes del mundo.

Pero como cualquier software, en teoría pueden ser pirateado, aunque no está bien documentado cómo prevenir ese hackeo.

«No puedo recordar una sola compañía importante que anuncie una pérdida de ningún tipo por un hack en una cadena de bloques privada», dice Paul Brody, líder global de blockchain en Consultora gigante EY.

Lee mas: Conoce a Red Date, la empresa tecnológica poco conocida detrás de la gran visión de blockchain de China

Eso puede cambiar en el futuro cercano a medida que las empresas comiencen a sacar estos sistemas cerrados del laboratorio y los usen en el mundo real.

«Las grandes compañías han estado trabajando en aplicaciones de blockchain durante un par de años», dijo Pavel Pokrovsky, el líder de blockchain en Kaspersky, el proveedor de software antivirus con sede en Moscú. “Pronto, comenzarán a impulsar esas aplicaciones a producción y podrían enfrentar nuevos desafíos en la gestión de sus riesgos. A medida que se implementen más soluciones de este tipo, los ataques contra ellas podrían volverse más frecuentes «.

Empleos internos

Un problema es que los sistemas privados autorizados son los más vulnerables a las amenazas internas, dijeron Pokrovsky y Brody.

«El riesgo interno es particularmente alto en blockchains privados porque el trabajo que generalmente se hace para asegurar la información dentro de la red privada es muy bajo en comparación con las redes públicas», dijo Brody de EY, quien ha sido un voz rara entre las cuatro grandes empresas de servicios profesionales en tocones para sistemas abiertos. «En las redes públicas, hacemos un uso extensivo de pruebas de conocimiento cero y otras herramientas para mantener los datos confidenciales fuera de la cadena».

Solo uno o dos de los clientes corporativos de EY llegaron a tal extremo con las redes privadas, dijo. «Como resultado, si puede obtener acceso a la red o si ya la tiene como información privilegiada, casi todos los datos críticos son realmente visibles para todos los miembros».

En general, dijo Pokrovsky, el tipo de ataque más común que en teoría puede emplearse contra una red de blockchain empresarial es un ataque de denegación de servicio. Esto es diferente de un DDoS, o denegación de servicio distribuida, donde los servidores de una empresa están inundados de solicitudes inútiles que los abruman.

Lee mas: Los mineros engañan al protocolo Stagcoin de PegNet, convirtiendo $ 11 en casi $ 7 millones

La denegación de servicio, por otro lado, es un ataque enfocado que utiliza el conocimiento, tal vez un ex empleado, en lugar de la potencia muscular electrónica.

«Digamos que un empleado de una empresa es despedido y está enojado con su ex empleador. Él va a la red oscura y vende su conocimiento de las vulnerabilidades en el sistema a los piratas informáticos «, dijo Pokrovsky.

En el caso de las blockchains empresariales, un atacante necesitaría conocer las direcciones de los nodos y qué puede ponerlos fuera de línea.

«Un atacante puede abrumar la capacidad de almacenamiento de datos del nodo, inundarlo con cálculos inútiles», dijo Pokrovsky. «Por ejemplo, uno de los nodos de nuestros clientes no podía procesar números muy grandes, digamos, 12 ceros y más. Simplemente se congelarían «.

La cura para ese tipo de ataque es el filtrado adecuado de los datos que ingresan a los nodos, dijo: «Es un error muy generalizado, no filtrar los datos entrantes».

Truco barato

Explotar dicha vulnerabilidad es fácil cuando se sabe dónde están los nodos y, a diferencia de DDoS, no requiere comprar tráfico en forma de bots que inundan su objetivo con tráfico de basura, o desplegar una gran cantidad de hardware para atacar el servidor.

«Simplemente escribes un script simple y lo envías a los nodos», dijo Pokrovsky. Entonces los nodos se desconectan. Esto se puede utilizar con fines criminales, desde sabotear a un competidor hasta ataques terroristas, dijo Pokrovsky.

La situación puede verse exacerbada por el hecho de que la forma más conveniente de configurar nodos para una cadena de bloques privada es usar la infraestructura de la nube para que las empresas no tengan que descubrir cómo configurar un nodo físico en su oficina.

«La mayoría de las blockchains privadas tienen muy pocos nodos y, en muchos casos, todos residen dentro de una única infraestructura de nube, creando un único punto de falla», dijo Brody. «Eso también significa que lejos de ser almacenes de información inmutables, de hecho son fáciles de borrar o cerrar».

Los riesgos pueden variar. Por ejemplo, Masterchain, la blockchain empresarial para bancos desarrollada bajo los auspicios del banco central de Rusia, es una bifurcación, o copia modificada, de la blockchain Ethereum, que utiliza un mecanismo de consenso de prueba de trabajo. Eliminar nodos en una red de este tipo conduciría a una redistribución consensuada entre los nodos restantes, lo que continuaría validando las transacciones.

Sin embargo, si resulta que todos los nodos restantes están controlados por el banco central, podrían argumentar los participantes de la red, las transacciones registradas mientras todos los demás estaban inactivos no son legítimas, dijo Pokrovsky.

Lee mas: DeFi Project dForce reembolsa a todos los usuarios afectados después de un pirateo de $ 25 millones

«DDoS es un ataque fácil y barato de organizar, pero también es fácil de prevenir, y servicios como Cloudflare pueden identificarlo y prevenirlo de manera efectiva. Pero la denegación de servicio no es identificable por los filtros que utilizan dichos servicios «, dijo Pokrovsky, y agregó que a veces los atacantes ni siquiera necesitan una información privilegiada para localizar los nodos; es posible encontrar dicha información a través de métodos de inteligencia de código abierto.

«Es muy difícil reparar tales vulnerabilidades ya que el ataque está ocurriendo, cuando todo falla, todos corren y todo está en llamas», dijo, es mejor tratar de predecir tales situaciones en un entorno de prueba.

Contratos no tan inteligentes

Si una cadena de bloques usa contratos inteligentes, también pueden ser atacados, dijo Pokrovsky.

«Para las blockchains empresariales, el ataque típico es cuando un contrato contiene variables que pueden resultar diferentes para cada nodo, por ejemplo, marcas de tiempo o números aleatorios», dijo. «En este caso, cada nodo ejecutaría el contrato inteligente con un resultado diferente y, como resultado, la transacción no se registrará en la cadena de bloques».

Si un contrato inteligente se refiere a documentos, hay otra forma posible de atacarlo: insertando código malicioso en el documento.

Lee mas: El hacker explota la falla en el intercambio descentralizado de Bitcoin Bisq para robar $ 250K

«Es lo mismo que el Ataque de inyección SQL y para evitarlo, debe filtrar los datos entrantes y limitar el uso de datos externos por el contrato inteligente «, dijo Pokrovsky.

El hecho de que la mayoría de las blockchains privadas no disfruten de la atención de una amplia comunidad de blockchain también es una debilidad, dijo Brody.

«Quizás el mayor riesgo que representan las cadenas de bloques privadas es el riesgo de complacencia», dijo. «El código fuente abierto que no se usa ampliamente y no cuenta con una comunidad vigilante que lo prueba e inspecciona, es mucho menos seguro y confiable que sistemas como Bitcoin y Ethereum, que se fortalecen continuamente por ataques casi constantes e inspección pública».

Ángulo de Kaspersky

Con el objetivo quizás de ampliar su flujo de ingresos, Kaspersky se mudó a la investigación y consultoría orientada a blockchain en 2018, centrándose primero en blockchains públicos, incluidos Bitcoin y Ethereum.

Kaspersky ha estado trabajando con intercambios de cifrado y completado una seguridad auditoría para la empresa de software comercial Merkeleon en octubre de 2018.

En octubre de 2019, Kaspersky también comenzó a trabajar con blockchains empresariales. Pokrovsky le dijo a CoinDesk que la compañía auditó varios de esos sistemas, de los cuales solo dos pudo nombrar públicamente: la empresa de blockchain Insolar y Waves, con sede en Rusia, que ha sido reenfoque de blockchains públicos a privados desde el año pasado.

El software de Kaspersky ha sido listado entre los 10 mejores productos antivirus a nivel mundial por PC Magazine en marzo, pero ha sido prohibido desde que se instaló en computadoras del gobierno de EE. UU. desde 2017 como parte de la respuesta de EE. UU. a la intromisión rusa en las elecciones presidenciales de 2016. Esa prohibición provocó una caída de las ventas en Estados Unidos y Europa, pero se expandió en Rusia y África. Kaspersky reportado Crecimiento de ingresos del 4 por ciento en 2018.

La auditoría de Waves de Kaspersky tomó tres meses, desde noviembre de 2019 hasta finales de enero de 2020. «La tarea era verificar la seguridad de los nodos, la infraestructura de red y las interfaces web de los nodos», dijo Pokrovsky.

La empresa de seguridad realizó lo que llama pruebas de «caja gris», en las que el probador no tiene acceso al código completo de la plataforma blockchain, pero sí tiene acceso de nivel de administrador al sistema. Este tipo de prueba mostraría posibles amenazas internas, como un ex empleado que se vuelve pícaro.

Una vez finalizadas las pruebas, Kaspersky presenta al cliente la lista de vulnerabilidades y el cliente las corrige. Luego la prueba se ejecuta nuevamente.

Pokrovsky no reveló qué debilidades tenían que ser «arregladas» en la cadena de bloques de Waves. (Waves confirmó que contrató a Kaspersky).

Divulgar Leer Más

Líder en noticias de blockchain, CoinDesk es un medio de comunicación que lucha por los más altos estándares periodísticos y cumple con un estricto conjunto de políticas editoriales. CoinDesk es una subsidiaria operativa independiente de Digital Currency Group, que invierte en criptomonedas y startups de blockchain.

Source link

adminJgr

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *