Otkrivene slabosti u kripto novčanicima
Hakovanje sistema kripto valuta radi podizanja nivoa bezbednosti
Dr Goran Kunjadić, specijalista za IT bezbednost i kriptozaštitu, nam u kolumni ove nedelje otkriva koliko su bezbedni kripto novčanici.
Pojava blokčejn tehnologije i kripto valuta su doneli pomak kako u tehnološkom tako i u finansijskom pogledu. Kao što smo pominjali u prethodnim nastavcima, dva osnovna pitanja na koja je nova tehnologija trebalo da odgovori su pitanja bezbednosti i anonimnosti.
Pitanje bezbednosti se sasvim očigledno nameće kada su u pitanju novčane transakcije, ma o kojoj valuti se radilo.
Iako su projektanti sistema za kripto valute od samog početka uzimali u obzir sve bezbednosne aspekte - security by design, nikada se ne može tvrditi da je bezbednost nekog sistema potpuna.
Generalno govoreći, apsolutna bezbednost ne postoji ali je intencija da se bezbednosni mehanizmi podignu na što viši nivo.
Pristup koji su primenili projektanti i programeri koji razvijaju softver za kripto valute, postavljanje bezbednosnih osnova prilikom razvoja softvera je svakako potreban ali ne i dovoljan uslov za postizanje odgovarajućeg stepena bezbednosti.
Kriptografija koja igra značajnu ulogu u sistemu kripto valuta pruža dodatne, veoma pouzdane elemente bezbednosti. Dodatno se primenjuju najbolja moguća bezbednosna podešavanja na serverima koji podržavaju ceo sistem.
Očigledno je da se radi o kompleksnom sistemu sa mnoštvom međuzavisnih komponenti. Proceniti bezbednost jednog takvog sistema je veoma teško, ako ne i nemoguće samo na osnovu razmatranja konfiguracije i sastavnih elemenata koji ga čine.
U tu svrhu je razvijeno više različitih načina za testiranje bezbednosti.
U osnovi se koristi opšteprihvaćeni PTES standard koji definiše osnovne postulate testiranja bezbednosti nekog sistema. U samom standardu je definisano kako se bira način testiranja, kako se vrše pripreme za samo testiranje, način izvođenja samog testiranja i na kraju rekapitulacija testa i donošenje zaključaka o nivou bezbednosti kroz pisanje završnog izveštaja.
Pored standardnih, postoje i nestandardne metode testiranja koje često uočavaju neotkrivene ranjivosti pogledom iz sasvim drugog ugla. Jedan o alternativnih pristupa je testiranje ranjivosti površine napada - Attack Surface, pri čemu se sistem testira iz spoljašnjeg okruženja bez ikakvog učešća korisnika sistema koji se testira.
Na taj način testeri mogu pronaći mnoge ranjivosti sistema kojih vlasnici sistema nisu svesni. Sa jedne strane ovakav način testiranja je veoma koristan dok sa druge strane može biti veoma opasan ukoliko bi ga izvodila neka hakerska grupa. Dok testeri samo konstatuju ranjivosti, hakeri bi i iskoristili uočene ranjivosti i naneli štetu sistemu.
Sistem testiranja su primenile i neke platforma za kripto valute. Firma Komodo Platform je testirala Agama wallet aplikaciju koj služi za čuvanje kriptografskih parametara kripto valuta kod korisnika. Uspeli su da otkriju nedostatak sistema - Back Door, pomoću koga su neovlašćeno uspeli da uđu u digitalni novčanik korisnika.
Rezultate svog testiranja su dostavili projektnom timu Agama novčanika, koji je odmah ispravio uočene nedostatke. Na opisani način je postignut viši nivo bezbednosti za korisnike kripto valuta. Ono što je zanimljivo je primena hakerskih metoda u cilju povećavanja bezbednosti. U svakom slučaju bolje je saznati za ranjivosti sopstvenog sistema pre nego što za njih saznaju hakeri.
(Telegraf.rs)