Upozornění Forrester týkající se zabezpečení Web3

0
Upozornění Forrester týkající se zabezpečení Web3

Web nové generace — Web3 — byl oslavován jako bezpečnější než současná inkarnace kyberprostoru, ale zpráva zveřejněná v úterý varuje, že tomu tak nemusí být.

Zatímco Web3 může být obtížné rozvrátit na úrovni infrastruktury, existují další body útoku, které mohou nabídnout aktérům hrozeb více příležitostí k neplechu, než lze nalézt na starším webu, podle zprávy z Forresternárodní technologická výzkumná společnost.

Web3 aplikace, včetně NFT, nejsou zranitelné pouze vůči útokům; často představují širší útočnou plochu než konvenční aplikace kvůli distribuované povaze blockchainů, uvedl Forrester.

Dále dodal, že aplikace Web3 jsou žádoucími cíli, protože tokeny mohou mít hodnotu značných částek peněz.

Na škodu může být i otevřenost Web3, která má být jednou z jeho hlavních výhod. „Kód, který běží na veřejném blockchainu, je snadno dostupný komukoli s požadovanými technickými dovednostmi, odkudkoli na světě – není třeba pronikat do žádné podnikové obrany, abyste se k němu dostali,“ uvedla viceprezidentka a hlavní analytička Forrester Martha Bennettová, která je také spoluautorem zprávy.

„Zdrojový kód je obvykle také snadno dostupný, protože provozování uzavřených „inteligentních smluv“ je odsuzováno. Étos Web3 je koneckonců ‚otevřený kód‘,“ řekla TechNewsWorld.

Nežádoucí složitost

David Rickard, technický ředitel pro Severní Ameriku ve společnosti Šifradivize Prosegur, nadnárodní bezpečnostní společnosti, vysvětlila, že Web3 je založen na distribuovaném řízení dat a identity jeho uživateli.

„To rozšiřuje plochu útoku na jednotlivce, kteří nemusí být ochotni nebo prostě nemohou zvládnout správu svých vlastních dat a identity, což přináší technickou složitost do arény, která vyžaduje ‚snadné použití‘ nad cokoli jiného,“ řekl TechNewsWorld.

“Jednotlivci, jít nad rámec textových zpráv, e-mailů a procházení sociálních médií a nákupních aplikací je pro ně skutečnou výzvou,” dodal.

Myšlenka Web3 učinit kód transparentním a veřejně dostupným pravděpodobně nezíská skutečnou trakci, tvrdil. „Mezi kapitálovými investory a uživateli blockchainových finančních systémů a NFT je v sázce příliš mnoho peněz,“ řekl.

Učinit kód transparentním a veřejným může také zjevnými způsoby rozšířit plochu útoku, pokračoval. “Bezpečné kódovací praktiky, které předpovídají, jak lze systém zneužít k nekalým ziskům, nejsou tak běžně praktikovány,” vysvětlil. “Není snadné předvídat, jak mohou lidé používat systémy pro jiné účely, než pro které jsou určeny.”

„Většina finančních ztrát týkajících se blockchainu a NFT nevyužívá samotný neměnný objekt, ale manipuluje s nimi využíváním aplikací, které je mohou ovlivnit,“ řekl.

Kromě toho, i když mohou být starší systémy staré, mohou být také robustní. „To, co je nové, bývá také nejnebezpečnější,“ prohlásil Matt Chiodi, ředitel důvěry ve společnosti Cerbytvůrce platformy pro správu Shadow IT v San Franciscu.

„Ačkoli čas není vždy přítelem bezpečnosti, umožňuje aplikaci otestovat bitvu,“ řekl TechNewsWorld. „Web3 není jiný. Je nový a hodně nevyzkoušený. Starší aplikace mají výhodu času. Web3 ne.“

NFT se stává oblíbeným cílem

Bez ohledu na to, zda je kód viditelný a přístupný, útočníci najdou slabá místa. Vysvětlilo, že i když je lákavé předpokládat, že útoky na chytré kontrakty a kryptoměnové peněženky jsou omezeny na Divoký západ decentralizovaných financí, stále častěji se projekty NFT stávají oblíbeným cílem.

“Proč jít do složitějšího hacku, když existují jednodušší způsoby, jak dosáhnout toho, co chcete?” zeptal se Bennett. „Jako každé jiné místo, kde se obchoduje s hodnotou, [NFT] tržiště a komunikační nástroje přitahují ty, kteří chtějí krást nebo jinak podvracet pravidla.“

“V čemkoli, co se týká Web3, je rychlost zásadní a mnoho zúčastněných nemá potřebné odborné znalosti ani k posouzení toho, co by mohlo být potenciálním bezpečnostním problémem,” řekla. “Někdy startupy dokonce ani inzerují šéfa bezpečnosti, dokud se nestane něco špatného.”

K jednomu z největších narušení trhu NFT došlo v červnu na OpenSea, které odhalilo přibližně 1,8 milionu e-mailových adres. “Tento konkrétní případ zahrnoval vnitřní hrozbu, ale aplikace zpracovávající transakce mohou být docela zranitelné,” poznamenal Rickard.

“Mohou existovat stovky tisíc způsobů, jak je lze zneužít, které se kodéři musí pokusit zodpovědět, ale hacker musí objevit pouze jeden vektor, jednou, aby došlo k narušení,” řekl.

Hangout pro podvodníky

Společnost Forrester také uvedla, že sociální síť Discord se stala hlavním slabým místem v NFT a dalších veřejných blockchainových projektech. Úspěšné phishingové útoky na Discord jsou kořenem mnoha, ne-li většiny, krádeží NFT, pokračovalo.

Vysvětlilo, že útoky jsou obvykle zaměřeny na komunitní manažery a administrátory. Po úspěšném převzetí účtu správce mají útočníci příležitost krást ve velkém, protože uživatelé mají tendenci věřit zprávám od správců komunity.

Discord byl navržen především jako komunikační fórum pro hráče, nikoli místo pro držení a výměnu hodnoty, poznamenal Bennett, a má zavedené mechanismy ke zmírnění rizika. “Ale tyto mechanismy mohou pomoci pouze tehdy, pokud jsou implementovány, a je jasné, že až příliš často nejsou,” řekla.

“Také,” dodala, “jež Discord je oblíbeným komunikačním mechanismem pro tokenové projekty, přitahuje úměrný podíl phishingových útoků a podvodných zpráv.”

Rickard tvrdil, že komunity Discordu poskytují bohatý zdroj informací pro podvodníky i investory. “Shromažďování kontaktních informací účastníků vede k phishingu,” řekl. “Nabourání do digitálních peněženek není nic neobvyklého.”

“Discord boti byli hacknuti, takže aktéři hrozeb mohou zveřejňovat falešné nabídky těžby, což má za následek krádež kryptoměny,” dodal.

Lepší zabezpečení než starší web?

V rychle se měnícím světě Web3 je lákavé ignorovat zabezpečení ve prospěch rychlých inovací, ale problémy s veřejnou bezpečností mohou snadno vykolejit hlavní spuštění nebo zpomalit produktový tým tím, že je donutí analyzovat a zmírnit kritické bezpečnostní chyby, uvádí zpráva společnosti Forrester.

Firmy mohou identifikovat rizika a chránit jak decentralizované, tak centralizované komponenty své Web3 aplikace zapojením svých bezpečnostních týmů – nejen do životního cyklu vývoje softwaru – ale po celou dobu životního cyklu produktu, dodal.

„Web3 potřebuje přesunout svou pozornost doleva, což znamená dostat zabezpečení co nejblíže vývojářům a učinit z prevence konečný cíl,“ poznamenal Chiodi. „Bez tohoto zaměření Web3 neskončí jinak než Web2. To by byla škoda vzhledem k jeho obrovskému potenciálu, zejména v oblasti decentralizované identity.“

„Distribuovaný přístup Web3 poskytuje různé typy bezpečnostních funkcí, ale základní problémy zůstávají stejné,“ dodal Mark Bower, viceprezident pro produkt ve společnosti Anjunadůvěrná počítačová společnost, v Palo Alto, Kalifornie.

„Pokud útočník získá přístup k přihlašovacím údajům, oprávněním na kořenové úrovni nebo klíčům – zejména soukromým klíčům, které běží v celém ekosystému,“ řekl TechNewsWorld, „pak je konec hry, stejně jako by to bylo na centralizované platformě.“

podobné příspěvky

Leave a Reply