Насколько безопасен блокчейн? Мелехин Иван
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Насколько безопасен блокчейн?
Фото спикера
Мелехин Иван Обязательно круг
с белым контуром
imelekhin@ptsecurity.com Толщина 3пт
Фото Ч/Б
Ключевые факты о компании
15 ЛЕТ КРУПНЕЙШИЙ 150 ПАРТНЕРОВ МЕЖДУНАРОДНОЕ
НА РЫНКЕ ИБ В ЕВРОПЕ — ЛИДЕРОВ РЫНКА ПРИЗНАНИЕ
Среди клиентов: исследовательский центр Среди технологических партнеров:
• Члены OWASP, WASC,
CIS, CEH, ISACA
• В залах славы Google,
Apple, Adobe
• Визионеры магического
квадранта Gartner по
продуктам класса WAF
• Спикеры
международных
конференций, включая
Defcon, ССС, Black Hat
Наш опыт За 2017 год мы провели 20 проектов по оценке защищенности блокчейн-систем.
Блокчейн сегодня
«Газпром нефть» успешно Швеция введет регистрацию
завершила пилотный права на землю через блокчейн
логистический проект по к 2019 году
использованию блокчейн для
Интернета вещей
Государственный земельный
кадастр Украины перешел на
технологию Blockchain
ОАО «Медицина» первой среди
медицинских учреждений
России перейдет на работу по
технологии блокчейн Реестр недвижимости Грузии
переехал на Blockchain
Блокчейн безопасен!
Безопасность — одно из ключевых
преимуществ технологии
+ “Для борьбы с контрафактом используется самая трендовая
технология в сфере безопасности - blockchain. Ее суть в том, что
информацию о товаре и производителе невозможно
подделать. “
+ “Таким образом, блокчейн Ethereum позволяет отойти от
.....
задач криптографии и защиты важной информации и сразу
приступить к реализации бизнес задач. “
+ “Смарт-контракт невозможно обмануть”
Из описания одного проекта
Последствия атак
На сегодняшний день
978 млн $
потеряно в результате
краж в блокчейн-системах
финансового сектора
Блокчейн безопасен?
Реальный мир Нода блокчейна
Клиент Фронтенд Нода блокчейна Нода блокчейна
Инфраструктура
Угрозы блокчейн: Аналитика
За 2017 год мы провели 20 проектов
по оценке защищенности блокчейн-систем.
Неотъемлемые компоненты блокчейн-системы
Смарт-
контракты
• 71% проектов с уязвимостями в смарт-контрактах
• 50% проектов с уязвимостями в веб-приложениях, включая точки
Новые вектора входа через блокчейн
атак через связи
с блокчейном • 100% проектов с уязвимостями в мобильных приложениях
Технология
Для успешной атаки достаточно лишь одной уязвимости,
блокчейн
! неважно в каком компоненте системы она находится.
Веб-приложения
Данные из других наших исследований:
Мобильные
• 77% вторжений в сеть — через уязвимости веб-приложений
приложения
• 55% вторжений приводят к полному доступу к ресурсам
— вне зависимости от того, используется блокчейн или нет
Угрозы блокчейн
Блокчейн-платформы:
Внешние
• Ethereum веб-
приложения
Риски:
1. Уязвимости в смарт- Смарт-
контрактах контракт
2. Неверная настройка
CORS (Cross-origin
Веб-
resource sharing) Нода и
Пользователь API
блокчейна мобильные
3. Блокчейн как точка приложения
входа
4. Уязвимые приложения с
доступом к API Инфра- DB REST
структура API
5. Неверная настройка
прав доступа
Уязвимости смарт-контрактов
• Возможность проведения Reentrancy
• Integer overflow/underflow
• Short Address attacks
• Несоответствие стандарту ERC20
• и др.
Возможные последствия:
• Потеря средств
• Невозможность проведения
операций Доли уязвимостей различного уровня риска,
выявленных в смарт-контрактах
• Самые крупные потери из-за
уязвимостей смарт-контрактов
https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/ICO-Threats-rus.pdfУязвимости веб-приложений
Общие данные:
Веб-приложения фронтенда менее уязвимы, чем корпоративные
Веб- Веб-
приложения приложения
для бизнеса ICO
Доли уязвимостей различного уровня рискаЧеловеческий фактор Человеческий фактор: • Возможность получения e-mail и телефонных номеров в социальных сетях или поиске • Пароли ищутся в базах утёкших паролей (доступны в даркнете) • Обход 2FA с помощью сервисов по получению текста sms • Для всех проектов продаются схожие домены
Последствия атак Финансовые потери Полная блокировка работы системы Проникновение в сеть организации Несанкционированное внесение данных в реестр Атаки на пользователей со стороны блокчейна
Что делать?
В случае успешной атаки возможны лишь две меры:
1. Hard fork блокчейна — откат состояния блокчейна до момента совершения атаки (недоступно
для Ethereum). Транзакции, совершенные после атаки, будут утеряны, их придется добавлять
заново.
2. Принятие последствий
HARD FORK
Block A Block A Block A Block A
Block Block Block Block
Block B Block B Block B Block B
До: Одна цепочка блоков После: две цепочки блоков с общей историейКак обеспечить безопасность
Вызовы:
Неотъемлемые компоненты блокчейн-системы
Смарт-
контракты
• Высокая цена потерь
Новые вектора
атак через связи
с блокчейном • Множество уязвимостей, при этом для
успешной атаки достаточно лишь одной
Технология
блокчейн • Сложно или практически невозможно
бороться с последствиями
Веб-приложения
Мобильные
Чтобы минимизировать риски, мы рекомендуем
приложения основательный и всесторонний подход к обеспечению
безопасности блокчейн-системКак обеспечить безопасность
Анализ защищенности Тренинги по безопасной
инфраструктуры разработке смарт-контрактов и
внедрению блокчейн-систем
+ PT Blockchain
Antifraud
Аудит смарт- + PT Application Анализ защищенности
контрактов и Inspector блокчейн-терминалов
приложений
+ PT Application Firewall
+ PT MaxPatrol SIEM
+ PT MaxPatrol
Всесторонняя защита 24/7 мониторинг
инфраструктуры от атак с 24/7 безопасности силами SOC
помощью специальных
решений PTВы также можете почитать
