Bezpieczeństwo w sieci

Blockchain i kryzys zarządzania: hakerzy jako awaryjna usługa systemu

Redakcja Antyweb
Blockchain i kryzys zarządzania: hakerzy jako awaryjna usługa systemu
7

Obecnie zmienia się nie tylko sposób, w jaki budujemy firmy i branże, ale także struktury społeczne. Następuje zmiana z posiadania na używanie, od silnej kontroli centralnej do wspólnej odpowiedzialności w sposób zdecentralizowany. Jest to zgodne z naszym dążeniem do zrównoważonego rozwoju, w którym materiały są dzielone w bardziej sprawiedliwy sposób, a jednocześnie eliminowane są nie wartościowe strony trzecie.

Ta zmiana tradycyjnych ról i obowiązków ma również wadę - istniejące struktury przeznaczone do kontroli i zarządzania kryzysowego mogą już nie być dostępne.

Przejście od centralnego zarządzania i kontroli do zdecentralizowanego środowiska

Od kilku lat zdecentralizowane inicjatywy blockchain rosną. Dzięki tej nowej technologii możliwe jest projektowanie procesów i modeli branżowych w taki sposób, że tradycyjne zaufane strony trzecie mogą wydawać się przestarzałe.

"Inteligentne umowy" (tzw. smart contracts) umożliwiają transfer wartości bez korzystania z usług banku, ubezpieczyciela, notariusza, firmy depozytowej lub akredytyw. Inteligentne kontrakty oparte na Blockchain są wyjątkowe, ponieważ mogą przechowywać i przekazywać wartość w zaprogramowany sposób, a także mogą przechowywać i aktualizować informacje wewnętrzne na podstawie odebranych wiadomości.

Warto zobaczyć: Czym jest blockchain? Oto co warto wiedzieć

Inteligentne wykonanie kontraktu i przechowywanie wartości są realizowane przez blockchain. Uważa się, że po wdrożeniu inteligentna umowa ma ustalony kod operacji i nie może on zostać zmieniany - jest to tylko częściowo prawda. Chociaż kodu nie można już zmienić, wciąż istnieją możliwości, które z odpowiednimi uprawnieniami i zgodą wszystkich zaangażowanych stron, pozwalają na aktualizowanie zmiennych w ramach umowy, takie jak terminy wykonania, warunki płatności, kwoty, a nawet właścicieli kontraktu. Ta właściwość może skutkować bardziej wydajnymi procesami, w których transfer wartości odgrywa ważną rolę, prowadząc do szybszych i tańszych transakcji oraz większej przejrzystości. Rachunek powierniczy mógłby, w najbardziej ekstremalnej formie, być już skonfigurowany za koszty kilku groszy.

Z kolei wadą nowych technologii jest to, że interwencja jest możliwa tylko w bardzo ograniczonych przypadkach, jeśli w ogóle. Ta właściwość może być bardzo niewygodna, gdy dojdzie do sporu między zaangażowanymi stronami. Ze względu na przejrzystość, wszystkie zaangażowane strony są znane, a spory te można rozwiązać za pomocą klasycznych metod sądowych. Co gorsza, jeśli hakerom uda się przeniknąć kod inteligentnych umów, aby wykonać niepożądane zmiany lub działania, brak jest stron trzecich, które będą interweniować i przywracać kod do pierwotnej formy. Eliminacja zaufanej strony w tym przypadku wydaje się być zatem bardzo niedogodna.

Ponadto hakerzy mogą przeglądać kontrakty blockchain i szukać podobnych z analogiczną wadą. Po zidentyfikowaniu, haker może zmienić wszystkie kontrakty, które wpisują się w ten schemat, a tym samym wpływać na wiele podmiotów. Strony te nie będą mogły skontaktować się z zaufaną stroną, aby ich inteligentne kontrakty stały się "offline".

Niespodziewane zarządzanie kryzysem w zdecentralizowanym świecie

Sytuacja opisana powyżej nastąpiła w blockchainie "Ethereum" w lipcu 2017 roku. Pewien inteligentny kontrakt, zawierał przepływ, który z perspektywy czasu, który mógł zostać wykorzystany przez złośliwego hakera. W tamtym czasie, i wciąż do dzisiaj, te szczególne portfele, w których wiele podmiotów musi podpisać się przed transferem wartości, były/są postrzegane jako najbezpieczniejsze online. Wada w tym konkretnym kontrakcie spowodowała, że ktoś, kto nie był jedną z wyznaczonych osób, mógł przekazać wartości bez podpisywania się.

W dniu 19 lipca 2017 roku około 240 mln USD w kryptowalutach mogło zostać skradzione przez hakera. Z powodu braku zaufanej strony trzeciej wyznaczonej do monitorowania i ewentualnej interwencji, nie można byłoby powstrzymać hakera, gdyby nie został wykryty przez społeczność. Jednak tej nocy wydarzyło się coś nieoczekiwanego. Przez przypadek jedna z zaangażowanych stron, która została zhakowana przez „złego” hakera, miała kontakt ze społecznością „dobrych” hakerów, którzy łamią kod bez złośliwych intencji, aby ostrzec społeczność o potencjalnych wadach bezpieczeństwa. Korzystając z tego samego kodu, hakerzy ci przesłali tak wiele funduszy z portfeli jak było to możliwe. Równocześnie, opublikowali listę zhakowanych kont, umożliwiającą każdemu, kto miał dowód pierwotnej własności tych kont, odzyskania zapisanych środków na zabezpieczonym koncie. Ta operacja uratowała 210 milionów dolarów i tylko 30 milionów dolarów zostało skradzionych przez „złych” hakerów.

Pomimo braku centralnej i niezależnej strony monitorującej, wspólnota zdołała zainterweniować i zredukować szkody strukturalne do zaledwie 30 milionów dolarów, jednocześnie zabezpieczając 210 milionów dolarów. Jest to piękny przykład zarządzania kryzysowego, który ma miejsce w zdecentralizowanym i nieustrukturyzowanym środowisku. Kontakt z „dobrymi” hakerami miał zasadnicze znaczenie dla obecnego rozwiązania. Większość firm pracujących z blockchainami nie ma takich kontaktów, co narażaj je na możliwe złośliwe ataki. Ten przykład prowadzi do dwóch ważnych pytań:

  • Czy byłoby możliwe stworzenie takiej (centralnej) jednostki ostrzegawczej w zdecentralizowanym świecie?
  • Czy „dobrzy” hakerzy byliby chronieni przez prawo w takiej sytuacji?

Interwencja etycznych („dobrych”) hakerów jako model zarządzania?

Powyższy przykład pokazuje, że hakerzy bez złośliwych zamiarów mogą odegrać kluczową rolę w zapobieganiu atakom i kontroli szkód. Interwencja hakerów może być jednak postrzegana przez ustawodawców jako czyn przestępczy. Odzyskiwanie zaangażowanych wartości (kryptowaluty lub tokeny) może być uznane za kradzież, natomiast umieszczenie tych wartości na zabezpieczonym niezależnym koncie może być postrzegane jako oszustwo, ponieważ hakerzy nie działali według określonego porządku lub za pośrednictwem pełnomocnictwa prawowitych właścicieli.

Możliwym i logicznym rozwiązaniem może być (zgodnie przykładowo z holenderskim prawem) uczynienie „dobrych” hakerów "specjalnymi śledczymi kryminalnymi". Należy zaprojektować specjalną witrynę, w której każda potencjalna ofiara może nacisnąć "czerwony przycisk", a śledczy hakerzy będą mogli wtedy rozpocząć dochodzenie i działać w imieniu policji lub innej organizacji rządowej w celu uniknięcia ataku. Głównym problemem w takiej sytuacji jest to, że hakerzy często nie ufają żadnej organizacji rządowej i nie są gotowi porzucić swojej anonimowości.

Zobacz również: Przyszłość blockchain w bankowości

Możliwe rozwiązania

„Dobrzy” hakerzy są wolnymi duchami chroniącymi własną tożsamość. Są luźną grupą i często z natury nie chcą być zorganizowani. W sytuacji kryzysowej muszą być zatwierdzeni oraz być częścią oficjalnej organizacji, stosując się do rygorystycznych procedur i zatwierdzeń w celu ochrony przed ewentualnym postępowaniem karnym. Taka grupa musi przejść surową kontrolę i zatwierdzenie z należytym poszanowaniem ich anonimowości. Ten dany antagonizm prowadzi do złożonych sytuacji i wymaga zastanowienia się czy takie rozwiązanie jest możliwe.

Artykuł ekspercki przekazany Antyweb przez TAXO.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu