Home  >  Segurança

Pesquisadores lançarão Blockchain intencionalmente ‘vulnerável’

Iniciativa dos especialistas, que acontecerá na conferência Black Hat, quer aumentar conscientização sobre vulnerabilidades da tecnologia

Lucas Mearian, Computerworld / EUA

27/07/2019 às 10h00

Foto: Shutterstock

Para aumentar a conscientização sobre as vulnerabilidades do Blockchain, a empresa de segurança cibernética Kudelski Security planeja lançar a primeira Blockchain "propositalmente vulnerável da indústria" - e a apresentará durante a conferência Black Hat no mês que vem. Segundo Nathan Hamiel, chefe de pesquisas de segurança cibernética da Kudelski, o projeto, batizado como FumbleChain, tem como objetivo destacar as falhas nos ecossistemas de blockchain.

De acordo com as informações, o sistema vulnerável foi escrito no Python 3.0, facilitando a leitura e as modificações do código-fonte. Além disso, o ledger é modular, o que permite que os usuários hackeiem e adicionem novos desafios para promover o aprendizado contínuo. O FumbleChain estará disponível como download de código no GitHub e como demo no site da companhia, permitindo que os testadores brinquem com os seus recursos e aprendam como o sistema funciona.

"Na maior parte, Blockchains não são inerentemente seguros", disse Hamiel. “Há todo um ecossistema em torno do Blockchain, assim como há em torno de aplicativos tradicionais. Muitas vezes você terá vulnerabilidades que surgem em lugares que são bastante inesperados. O que nós queremos fazer é criar este Blockchain pré-fabricado, criar esse framework educacional para que você possa aprender mais sobre ele e mais sobre a segurança Blockchain.”

O conceito do FumbleChain é semelhante a outros projetos de código aberto, como a criação de aplicativos, para que os desenvolvedores possam testar suas habilidades, atacando-os para expor vulnerabilidades. Na sua forma mais básica, a tecnologia é um livro-razão distribuído baseado em peer-to-peer, ou banco de dados, organizado como um conjunto de protocolos combinado com uma Blockchain. Essencialmente, é uma série de conjuntos de dados criptografados que registram mudanças ao longo do tempo. Apesar de parecer relativamente simples, a maneira como a tecnologia é implementada pode levar a uma variedade de transformações.

"Como a maioria das coisas, o problema está nos detalhes", afirmou Jack Gold, analista-chefe de pesquisas da J. Gold Associates. "Blockchain é uma especificação relativamente solta. Existem várias maneiras de implementá-la... então, se você implementar de uma maneira insegura, ela pode ser quebrada."

James Wester, diretor de pesquisa da IDC Worldwide Blockchain Strategies, explicou que muitas vezes é responsável por definir Blockchain junto com uma "cesta de tecnologias" que se enquadra no título geral de "blockchain", incluindo ativos simbólicos, criptomoedas, cripto-carteiras e contratos inteligentes; Todos os últimos grupos são aplicativos ou arquiteturas que podem ser executados em cima de uma rede Blockchain, mas não são parte nativa da tecnologia.

"É possível ter discussões relativamente inteligentes sobre a tecnologia sem realmente conhecer algumas dessas diferenças, então muitas pessoas semi-informadas nem se dão ao trabalho de aprender os termos e a tecnologia", desabafou Wester.

As Blockchains públicas e privadas - aquelas que exigem pré-aprovação para ingressar - são nativamente seguras porque são imutáveis ​​(ou seja, cada registro ou bloco é imutável e vinculado a todos os outros), e a adição de novos blocos requer um consenso entre os usuários.

Os requisitos de imutabilidade e consenso das Blockchains as tornam mais seguras do que a maioria das outras tecnologias de rede. Mas, dependendo da arquitetura e onde e quem está executando os nós, as Blockchains ficam vulneráveis ​​a ataques.

Conforme explicitado pelo relatório do Federal Reserve Bank de Minneapolis, embora a Blockchain forneça segurança para a integridade dos dados gravados, a solução isolada, ou seja, sem tecnologias ou sistemas adicionais, não pode proteger a rede contra acessos não autorizados, como a violação de dados.

Por exemplo, um recente "ataque de 51%" na troca de tokens do Ethereum Classic mostrou porque o Blockchain não é impenetrável. Um ataque de 51% está relacionado ao ataque de um hacker que obtém o controle da maioria dos processadores em um pool de mineração de criptomoeda. Tais ataques são geralmente limitados a Blockchains menores, com menos nós, pois são mais suscetíveis à tomada de controle por uma única pessoa com base em um mecanismo de consenso de Prova de Trabalho (PoW).

Carteiras de criptomoeda, que armazenam chaves privadas que permitem acesso a bitcoins e outras moedas digitais, também estão vulneráveis ​​a ataques. "Se você é uma empresa que quer usar Blockchain - e não apenas para criptografia -, a quantidade de tempo e esforço que você investe para proteger os vários componentes do livro e do processo é fundamental", disse Gold.

A transparência de dados, ou a capacidade de todas as partes em um Blockchain de exibir transações, é parte de seu recurso, pois os agentes mal intencionados podem ser rapidamente identificados se tentarem adicionar dados não verificados. Essa transparência, no entanto, também pode ser uma ameaça. Por exemplo, em um sistema de liquidação ou compensação para instituições financeiras, onde a confidencialidade pode ser um componente-chave da segurança, a transparência dos dados do sistema se torna um risco de segurança, observou o relatório do Federal Reserve.

Para Hamiel, a Blockchain é uma tecnologia permeada por exageros, que muitas vezes levam a afirmações contraditórias: os defensores elogiam e alegam que a solução vai mudar o mundo, enquanto "inimigos" - não importa o problema que o blockchain realmente resolva - se recusam a adotá-lo.

"A verdade está em algum lugar no meio disso", disse Hamiel. “Certamente há problemas na resolução de Blockchain, e acho que é uma área interessante sobre a qual as pessoas têm muitas perguntas. As pessoas estão curiosas sobre a tecnologia, mas não têm uma maneira de acessar facilmente informações sobre ela sem gastar muito tempo para aprender sobre isso."