研究人员将在black hat推出故意“易受攻击”的区块链
为了提高人们对区块链漏洞的认识,网络安全公司kudelski security下周计划推出该行业首个“故意易受攻击”的区块链 - 并将在下个月的黑帽 大会上进行演示。
据kudelski网络安全研究主管nathan hamiel称,kudelski security的fumblechain项目旨在突出区块链生态系统的脆弱性。
有缺陷的区块链分类帐是用python 3.0编写的,任何人都可以轻松阅读和修改其源代码,并且它是模块化的 - 允许用户破解并添加新的挑战以促进持续学习。
kudelski区块链将作为github上的代码下载和公司网站上的演示版提供,允许测试人员使用其功能并了解其工作原理,而无需下载代码。
“在大多数情况下,区块链本身并不安全,”哈米尔说。“区块链周围有一个完整的生态系统,就像传统应用程序一样。通常情况下,您会遇到容易出现在相当意外的地方的漏洞。我们想要做的是创建这个预制的区块链,围绕它创建这个教育框架,这样你就可以了解更多关于区块链安全性的信息。“
这个概念类似于其他开源项目,例如创建web应用程序,因此开发人员可以测试攻击它们的技能以暴露漏洞。
作为一次写入,附加许多技术,区块链本身是高度安全的,但专家指出,分布式分类帐技术并非真空。为了使用,加密货币等应用程序嵌入到区块链中 - 使其容易受到某些攻击媒介的攻击。
从最基本的角度来看,该技术是一种基于点对点的分布式账本或数据库,由一组协议和区块链组成。实质上,它是一系列加密的数据集,可记录随时间变化的不可变更改。虽然这可能相对简单,但如何实施该技术可以导致各种排列。
“像大多数事情一样,魔鬼在细节中,”j. gold associates的首席研究分析师jack gold说。“blockchain不仅仅是一种技术规范,而且是一种相对宽松的规范。......有多种方法可以实现它......所以如果你以不安全的方式实现它,它就会被打破。”
idc worldwide blockchain strategies的研究主管james wester表示,他经常负责定义区块链以及属于“区块链”标题的“一揽子技术”,包括 标记化资产,加密货币, 加密钱包,智能合约和 自我主权身份 ; 所有后一组都是可以在区块链网络上运行的应用程序或体系结构,但不是该技术的本机部分。
“有可能在没有真正了解其中一些差异的情况下进行相对聪明的技术讨论,因此许多半知情人士甚至都不愿意学习术语和技术,”韦斯特说。
公共和私有区块链 - 需要预先批准加入的区域链 - 本身是安全的,因为它们是不可变的(即,每个记录或块都是不可更改的并且与所有其他区块相关联),并且添加新块需要用户之间达成共识。(共识必须有多大取决于使用的区块链;对于某些人来说,它是50%,对于其他人来说,它更多。)
区块链的不变性和共识要求使它们本身比大多数其他网络技术更安全。但是,根据体系结构和运行节点的人以及区块链容易受到攻击的情况,正如一次又一次所见。
虽然区块链为其上记录的数据的完整性提供了安全性,但根据明尼阿波利斯联邦储备银行的报告,区块链本身没有其他技术或系统,无法防止未经授权的访问,例如数据泄露。
例如,最近对以太坊经典令牌交换的 “51%攻击” 表明,为什么即使区块链也不会对游戏不透气。51%的攻击是指在加密货币挖掘池中获得对大多数cpu的控制权的不良行为者。此类攻击通常仅限于具有较少节点的较小区块链,因为它们更容易受到基于工作证明(pow)共识机制的单个人控制控制的影响。
存储私钥的cryptocurrency钱包可以访问比特币和其他数字货币,也容易受到攻击。
“如果你是一家希望使用区块链的公司 - 而不仅仅是用于加密货币 - 你为确保分类账和流程的各个组成部分所花费的时间和精力是关键,”gold说。
数据透明度或区块链上所有各方查看交易的能力是其吸引力的一部分,因为如果不良行为者试图添加未经验证的数据,则可以快速识别。然而,这种透明度也可能构成威胁。例如,在保密性可能是安全性的关键组成部分的金融机构的结算或清算系统中,系统数据透明度是一种安全风险,美联储报告指出。
hamiel说,blockchain是一种沉浸在炒作中的技术,经常导致相互矛盾的主张:拥护者称赞它并声称它将改变世界而“讨厌” - 无论区块链实际解决了什么问题 - 拒绝采用它。
“真相就在中间,”哈米尔说。“区块链肯定存在问题,我认为这是一个有趣的领域,人们对此有很多疑问。人们对这项技术感到好奇,但他们没有办法轻松获取有关它的信息,而无需花费大量时间来了解它。我希望这能解决这个问题。