Notícia

O Vento do Mal de Intercâmbio de Bitcoin - Uma vez mordido, duas vezes tímido (Parte 2)

A tecnologia blockchain está agora sentada em um estágio de evolução que é de alguma forma semelhante ao da internet na década de 1990; Ninguém pode ignorar os milhões de dólares investidos, a grande adoção mercante e o grande número de empresas inspiradas pelo bitcoin e pela tecnologia blockchain. No entanto, a falta de modelos de segurança padronizados tornou a maioria dos intercâmbios e empresas de bitcoína de hoje vulneráveis ​​a ataques de hack, especialmente quando as medidas básicas de segurança são ignoradas.

As conseqüências desse manejo imaturo e inconsistente de problemas de segurança revelaram muitas brechas de segurança que atingiram uma série de grandes intercâmbios de bitcoins e empresas (veja a parte 1 deste artigo). Consequentemente, analisaremos os padrões de segurança mais sofisticados que devem ser adotados por trocas e outras formas de negócios em linha de bitcoin para evitar ataques de hack, roubo, fraude e outras formas de violações de segurança.

Critério Padrões de segurança

Toda instituição financeira do mundo tem seus padrões de segurança especializados para proteger seus ativos físicos e digitais, incluindo bancos, corretoras, processadores de pagamento e negócios de comércio eletrônico. Infelizmente, nenhum padrão formal de segurança já foi formulado para trocas de bitcoin e outras formas de negócios on-line com base na tecnologia blockchain.

Depois de fazer algumas pesquisas, formulei um guia passo a passo que pode representar um núcleo para futuros padrões de cryptocurrency que podem imunizar negócios online de criptografia contra roubo e fraude.

Os padrões de segurança de crdtocircuito podem ser resumidos coletivamente nos seguintes pontos:

1- Proteção SSL e DDoS

2- Proteção de chave / geração de semente

3- Proteção de armazenamento de chaves

4- Proteção de logs de auditoria

5- Prova de armazenamento

6- Armazenamento em frio

Certificados SSL e proteção DDoS:

Certificados SSL e proteção DDoS são medidas de segurança básicas indispensáveis ​​para empresas online, incluindo trocas de criptografia.

O que são certificados SSL?

As camadas de soquete seguro ou os certificados SSL são formas especiais de protocolos de segurança que são usados ​​para gerenciar informações confidenciais, incluindo nomes de clientes, informações bancárias pessoais, informações de contato (endereços, números de telefone ... etc) e senhas de contas. Os certificados SSL criam uma conexão criptografada segura entre o navegador de internet de um cliente e os servidores da empresa on-line com quem ele está interagindo. Os certificados SSL são cruciais para uma grande variedade de nichos de negócios on-line, incluindo intercâmbios de criptografia, portais de comércio eletrônico, plataformas de negociação Forex, corretoras ... etc.

Um visitante de um site com um certificado SSL notará um protocolo "https" em a barra de endereço do navegador, em vez do protocolo "http" usual, juntamente com uma imagem de "bloqueio" que aparece ao lado do favicon do site.

Coletivamente, qualquer site aceitando pagamentos, seja sob a forma de Fiat, criptos ou qualquer outra moeda digital, precisa implementar um certificado SSL. De acordo com os padrões do Payment Card Industry (PCI), para que um site comece a aceitar pagamentos com cartão de crédito, ele deve implementar um certificado SSL com um tamanho de chave de criptografia de pelo menos 128 bits. Da mesma forma, os intercâmbios e outros negócios on-line que aceitam pagamentos de criptografia também devem seguir o mesmo caminho (1) .

Como os certificados SSL podem impulsionar a segurança das trocas Bitcoin? :

Um certificado SSL criptografa dados para que seja lido e armazenado apenas pelas partes pretendidas. Os dados transmitidos on-line geralmente são retransmitidos através de vários computadores / servidores antes de atingir seu destino pré-planejado. Quanto maior o número de "relés", maior a probabilidade de um terceiro não intencional acessar os dados transmitidos. Os certificados SSL criptografar dados através da inserção de caracteres aleatórios que tornam impossível a compreensão dos dados transmitidos sem a chave de criptografia apropriada. Consequentemente, sempre que os dados transmitidos são interceptados por uma festa não intencional, nunca será legível ou compreensível.

O que são ataques DDoS?

DDoS significa "ataque perturbado de negação de serviço". É uma forma de ataques de "negação de serviço" que ocorre quando um grupo de sistemas comprometidos, geralmente infectados por um cavalo de Tróia, tentam tornar um servidor, uma máquina ou um site indisponível para seus usuários.

Geralmente, os hackers codificam um cavalo de Tróia e espalham-na através de fóruns, mídias sociais, e-mails spam ... etc. Este Trojan enviará um grande número de usuários para o site alvo de um ataque "DDoS". Por outro lado, às vezes os usuários participam intencionalmente de ataques DDoS contra empresas de alto perfil, especialmente quando pensam que essas empresas exercem ações que eles acreditam serem ilegais, injustas ou reprimidas. Isso ocorreu em 2010, quando grandes empresas como Visa, Mastercard e Paypal foram atingidas por ataques DDoS quando essas empresas decidiram cortar seus serviços para o Wikileaks (2) .

Conseqüências de um ataque DDoS em um intercâmbio Bitcoin:

O custo das interrupções secundárias aos ataques DDoS em uma troca bitcoin pode ser drástico, especialmente que não só os custos operacionais aumentam, mas também a receita diminui como conseqüência de ataques DDoS de alto impacto. O seguinte representa o impacto financeiro de um ataque DDoS em uma troca de cryptocurrency:

- Cessação de negociação, que geralmente é seguido por um padrão de mercado caótico inflamado pelo pânico dos usuários.

- Aumento do fluxo de tickets recebido pelo "help desk" que pode aumentar suas despesas.

- Aumento do número de "drop outs" de clientes e reembolsos.

- Degradação da reputação da troca que entrava o crescimento geral do negócio.

Defesas DDoS:

Embora os sistemas de defesa DDoS possam salvaguardar as operações de negociação que ocorrem na plataforma de negociação de uma criptografia, o alto custo dos sistemas de defesa DDoS mais disponíveis implica que se deve sempre pesar o custo de implementação de DDoS serviços de proteção contra o retorno do investimento (ROI).

A maioria das táticas de defesa usadas hoje são centradas na mitigação e asseguram os serviços de continuidade oferecidos pelo site. Blackholing é uma tática defensiva DDoS que envolve o bloqueio de todo o tráfego da web para o site atacado, redirecionando-o para um "buraco de bloco" na tentativa de salvar o site e seus clientes. Os roteadores utilizam listas de controle de acesso (ACLs) para peneirar "tráfego indesejável", durante um ataque DDoS. Embora os roteadores possam proteger um site contra ataques DDoS simples, como ataques de ping, eles não podem proteger um site contra a maioria das formas mais sofisticadas de ataques DDoS de hoje (3) .

Proteção de chave / geração de sementes:

A criação de chaves / sementes que são usadas dentro de uma troca de criptografia deve ser um processo criptografado para endossar a segurança da plataforma de negociação. É crucial garantir que todas as chaves recém-geradas não possam ser abatidas por partes não intencionais. A privacidade pode ser garantida quando chaves e sementes codificadas são geradas somente pelo usuário que irá usá-lo. Um Deterministic Random Bit Generator (DRBG) é um algoritmo perfeito para gerar chaves e sementes criptografadas. Alternativamente, um True Random Number Generator também pode ser usado em relação ao que é compatível com os padrões atuais da indústria para aleatoriedade estatística.

Proteção de armazenamento de chaves:

As chaves privadas de várias carteiras de criptografia em uma troca devem ser armazenadas com segurança quando o usuário não as estiver usando ativamente na plataforma de negociação. A confidencialidade das chaves privadas deve ser impulsionada através da utilização de algoritmos de criptografia, bloqueios físicos e compartilhamento secreto quando apropriado.

As chaves privadas armazenadas devem ser criptografadas usando um algoritmo de criptografia que tornaria a chave impossível de decifrar, usando o poder de computação global estimado x1000, dentro do período esperado durante o qual a chave seria usada. O AES-256 é um exemplo de um algoritmo de criptografia que pode fornecer esse nível de segurança.

Pelo menos um backup das chaves criptográficas geradas (papel, digital ... etc.) deve ser criado. O backup deve ser protegido contra vários perigos ambientais, incluindo incêndios, inundações e outras formas de desastres naturais.

Prova de Reserva:

A prova de reserva refere-se a evidências da capacidade do script do site da troca de lidar com 100% dos fundos de todos os usuários em toda a plataforma de negociação. Uma prova de reserva assegura a todos os usuários que todas as suas moedas e dinheiro Fiat estão disponíveis para o sistema da troca, o que minimiza os riscos de perda de fundos. A prova da reserva deve ser apoiada pela conclusão e publicação de provas de auditorias de reserva regularmente programadas que são assinadas por um terceiro independente.

Registros de auditoria de segurança:

Os registros de auditoria fornecem um registro de todas as mudanças informativas e transações que ocorrem em toda a plataforma de negociação. Sempre que uma violação de segurança é encontrada, os logs de auditoria são ferramentas indispensáveis ​​que podem auxiliar os pesquisadores no diagnóstico da causa e no tratamento de tais incidentes.Isso pode ser alcançado através de:

- Registros de auditoria parcial : que incluem registros de todos os depósitos e retiradas ocorrendo em toda a plataforma de negociação da troca.

- " Ações de todos os usuários" auditorias : que incluem uma gravação de todas as tentativas de login e logout com uma gravação de todos os endereços IP usados ​​para acessar as contas dos usuários.

- Backup completo de auditoria : todas as auditorias devem ser copiadas regularmente para um servidor diferente da hospedagem da troca (4) .

Armazenamento a frio:

O armazenamento a frio refere-se ao processo de armazenamento das chaves privadas do bitcoin ou de qualquer outra cruptocurrency, offline usando uma carteira de papel, disco rígido físico ... etc. Embora o armazenamento a frio possa prejudicar uma troca "Prova de reserva", pode ser usado nos casos em que os usuários usariam as carteiras da troca para economias de longo prazo. Além disso, o armazenamento a frio deve ser usado durante os horários não comerciais e os períodos de manutenção do servidor.

Proteger uma troca de criptografia é uma tarefa desafiadora que deve ser continuamente revisada e avaliada. O teste de penetração regular deve fazer parte do processo de avaliação contínua da segurança de qualquer negócio online envolvendo cryptocurrency. O recrutamento de hackers éticos que estão entusiasmados com o bitcoin pode servir como ferramenta valiosa no inventário de uma troca segura de bitcoins.

Conclusão:

A tecnologia blockchain é, de longe, a criação financeira mais inovadora nos últimos 500 anos. É como uma mutação genética que sobreviverá apesar de quão difícil todos os grandes "bancos centrais" do mundo tentariam destruí-lo. No entanto, violações de segurança e ataques de pirataria representam um perigo eminente que pode ameaçar o futuro da "economia bitcoin". Protocolos de segurança na Internet, algoritmos de criptografia de primeira qualidade, testes de penetração regulares e adoção de bitcoin entusiastas, hackers éticos podem ajudar a proteger a moeda digital favorita não descentralizada do mundo.

Referências:

1- Recursos do Conselho de Normas de Segurança PCI para comerciantes. // www. padrões de segurança do pc. org / comerciantes / índice. php

2- MasterCard, Visa outros atingidos pelo ataque DDoS sobre o Wikileaks. MUNDO DE COMPUTADOR. Por Jaikumar Vijaya // www. mundo de computador. com / artigo / 2514804 / cybercrime-hacking / update-mastercard-visa-others-hit-by-ddos-attacks-over-wikileaks. html

3- White Paper: Derrota DDoS Attacks. Dispositivos de mitigação DDoS da Cisco Guard. // www. cisco. com / c / en / us / products / colateral / security / traffic-anomaly-detector-xt-5600a / prod_white_paper0900aecd8011e927. html

4- Cryptocurrency Security Standards // www. Scribd. com / doc / 256083263 / CCSS-Draft-Proposal