10 zagrożeń bezpieczeństwa związanych z NFT i kryptowalutami, z którymi muszą się mierzyć CISO

Technologie zdecentralizowane mogą podnosić poziom niepokoju CISO, ale istnieją sposoby na uniknięcie ryzyka związanego z bezpieczeństwem

10 zagrożeń bezpieczeństwa związanych z NFT i kryptowalutami, z którymi muszą się mierzyć CISO

Romanovskyy/ Getty Images

Lista firm akceptujących płatności w kryptowalucie stale się wydłuża, dzięki czemu klienci mogą kupić niemal wszystko, czego zapragną: elektronikę, dyplomy ukończenia studiów i cappuccino. W tym samym czasie rynek niezbywalnych tokenów (NFT) gwałtownie rośnie, a nowi artyści stają się milionerami, a bardziej znane nazwiska, takie jak Snoop Dogg, Martha Stewart i Grimes, kapitalizują ten trend.

Kryptowaluty i NFT znajdują się na liście priorytetów wielu organizacji, które dyskutują o konsekwencjach Web3 i możliwościach, jakie ze sobą niesie. Ta nowa, istotna zmiana w ewolucji Internetu obiecuje decentralizację naszego cyfrowego świata, oferując użytkownikom większą kontrolę i bardziej przejrzysty przepływ informacji.

Zobacz również:

  • Chainguard wprowadza Enforce - natywne oprogramowanie zgodności z Kubernetes
  • Guy Rosen został Chief Information security officer w Meta

Firmy z różnych branż starają się jak najlepiej dostosować do nowego paradygmatu. Jednak lista obaw CISO jest długa, począwszy od bezpieczeństwa cybernetycznego i oszustw związanych z tożsamością, poprzez zagrożenia bezpieczeństwa na rynku, zarządzanie kluczami i danymi, aż po prywatność.

Kryptowaluta w każdej postaci, w tym NFT, niesie ze sobą szereg zagrożeń i problemów związanych z bezpieczeństwem, które mogą nie być znane większości firm. „Wymaga ona szeregu nowych procedur operacyjnych, powoduje narażenie na działanie nowego zestawu systemów (publicznych blockchainów) i pociąga za sobą ryzyko, z którym wiele firm nie jest zaznajomionych” - mówi Doug Schwenk, dyrektor generalny Digital Asset Research.

Sposób myślenia CISO o tych kwestiach może mieć wpływ na użytkowników i partnerów biznesowych. „Kompromitacja ma natychmiastowe skutki finansowe dla firmy, jej użytkowników i/lub kolekcjonerów NFT” - mówi Eliya Stein, starszy inżynier ds. bezpieczeństwa w firmie Confiant.

Oto dziesięć najistotniejszych zagrożeń bezpieczeństwa, jakie kryptowaluty i NFT stanowią dla CISO.

1. Integracja protokołów blockchain może być skomplikowana

Blockchain jest stosunkowo nową technologią. W związku z tym włączenie protokołów blockchain do projektu staje się nieco trudne. „Głównym wyzwaniem związanym z blockchain jest brak świadomości istnienia tej technologii, zwłaszcza w sektorach innych niż bankowość, oraz powszechny brak zrozumienia, jak ona działa” - czytamy w raporcie firmy Deloitte. „To utrudnia inwestycje i badanie pomysłów”.

Firmy powinny dokładnie ocenić każdy wspierany łańcuch pod kątem dojrzałości i przydatności. „Przyjęcie protokołu [blockchain], który jest na wczesnym etapie, może prowadzić do przestojów i zagrożeń bezpieczeństwa, natomiast protokoły na późniejszym etapie mają obecnie wyższe opłaty za transakcje” - mówi Schwenk. „Po wybraniu protokołu do pożądanego zastosowania (np. płatności) może się okazać, że sponsor nie będzie w stanie zapewnić żadnego wsparcia. Przypomina to raczej przyjmowanie otwartego oprogramowania, w przypadku którego do pełnego wykorzystania wartości mogą być potrzebni konkretni dostawcy usług”.

2. Zmiana norm dotyczących własności aktywów

Kiedy ktoś kupuje NFT, nie kupuje w rzeczywistości obrazu, ponieważ przechowywanie zdjęć w blockchainie jest niepraktyczne ze względu na ich rozmiar. Zamiast tego użytkownicy otrzymują pewnego rodzaju pokwitowanie, które wskazuje im drogę do danego zdjęcia.

W blockchainie przechowywana jest jedynie identyfikacja zdjęcia, którą może być hash lub adres URL. Często stosowany jest protokół HTTP, ale zdecentralizowaną alternatywą dla niego jest Międzyplanetarny System Plików (IPFS). Organizacje, które zdecydują się na IPFS, muszą zdawać sobie sprawę, że węzeł IPFS będzie zarządzany przez firmę, która sprzedaje NFT, i jeśli ta firma zdecyduje się zamknąć sklep, użytkownicy mogą stracić dostęp do obrazu, na który wskazuje NFT.

„Chociaż technicznie możliwe jest ponowne załadowanie pliku do IPFS, jest mało prawdopodobne, aby zwykły użytkownik był w stanie to zrobić, ponieważ proces ten jest skomplikowany” - mówi niezależny badacz bezpieczeństwa Anatol Prisacaru. "Jednak dobrą stroną jest to, że ze względu na zdecentralizowaną i pozbawioną uprawnień naturę, każdy może to zrobić - nie tylko twórcy projektu”.

3. Ryzyko związane z bezpieczeństwem rynku

Chociaż NFT opierają się na technologii blockchain, powiązane z nimi zdjęcia lub filmy mogą być przechowywane na platformie scentralizowanej lub zdecentralizowanej. Często, ze względu na wygodę, wybiera się model scentralizowany, ponieważ ułatwia on użytkownikom interakcję z aktywami cyfrowymi. Wadą tego rozwiązania jest to, że rynki NFT mogą odziedziczyć słabości Web2. Ponadto, podczas gdy tradycyjne transakcje bankowe są odwracalne, te na blockchainie nie.

„Skompromitowany serwer może przedstawić użytkownikowi mylące informacje, nakłaniając go do wykonania transakcji, które wyczerpie jego portfel” - mówi Prisacaru. Jednak poświęcenie odpowiedniej ilości czasu i wysiłku na prawidłowe wdrożenie systemu może uchronić przed atakami, zwłaszcza jeśli chodzi o korzystanie ze zdecentralizowanej platformy.

„Jednak niektóre rynki idą na skróty i poświęcają bezpieczeństwo i decentralizację na rzecz większej kontroli” - mówi Prisacaru.

4. Oszustwo tożsamości i oszustwa kryptowalutowe

Oszustwa związane z kryptowalutami są powszechne, a ich ofiarami może paść duża liczba osób. „Oszuści regularnie śledzą bardzo oczekiwane premiery NFT i zazwyczaj mają dziesiątki oszukańczych stron menniczych gotowych do promocji wraz z oficjalną premierą” - mówi Stein. Klienci, którzy padają ofiarą tych oszustw, są często jednymi z najbardziej lojalnych, a takie złe doświadczenia mogą potencjalnie wpłynąć na to, jak postrzegają daną markę. Dlatego ochrona ich ma kluczowe znaczenie.

Często użytkownicy otrzymują złośliwe e-maile z informacją, że na jednym z ich kont zauważono podejrzane zachowanie. W celu rozwiązania tego problemu są proszeni o podanie swoich danych uwierzytelniających w celu weryfikacji konta. Jeśli użytkownik da się na to nabrać, jego dane uwierzytelniające są zagrożone. „Każda marka próbująca wejść w obszar NFT skorzysta na przeznaczeniu środków na monitorowanie i łagodzenie skutków tego typu ataków phishingowych” - mówi Stein.

5. Mosty blockchain stanowią rosnące zagrożenie

Różne blockchainy mają różne monety i podlegają różnym zasadom. Na przykład, jeśli ktoś posiada Bitcoina, ale chce wydać Ethereum, potrzebuje połączenia między tymi dwoma blockchainami, które umożliwia transfer aktywów.

Most blockchain, czasami nazywany mostem krzyżowym (cross-chain bridge), właśnie to robi. „Ze względu na swoją naturę, zazwyczaj nie są one implementowane ściśle przy użyciu inteligentnych kontraktów i opierają się na komponentach poza łańcuchem, które inicjują transakcję na drugim łańcuchu, gdy użytkownik wpłaca aktywa na oryginalny łańcuch” - mówi Prisacaru.

Niektóre z największych włamań do kryptowalut dotyczą mostów międzyłańcuchowych, takich jak Ronin, Poly Network, Wormhole. Na przykład podczas włamania na blockchain gier Ronin pod koniec marca 2022 r. napastnicy zdobyli Ethereum i USDC o wartości 625 mln USD. Również podczas ataku na Poly Network w sierpniu 2021 r. haker przelał ponad 600 mln dolarów w tokenach do wielu portfeli kryptowalutowych. Na szczęście w tym przypadku pieniądze zostały zwrócone dwa tygodnie później.

6. Kod powinien być dokładnie przetestowany i skontrolowany

Posiadanie dobrego kodu powinno być priorytetem od początku każdego projektu. Prisacaru przekonuje, że programiści powinni być wykwalifikowani i chętni do zwracania uwagi na szczegóły. W przeciwnym razie wzrasta ryzyko, że padną ofiarą incydentu bezpieczeństwa. Na przykład, w ataku na Poly Network, agresor wykorzystał lukę pomiędzy wywołaniami kontraktów.

Aby zapobiec incydentowi, zespoły powinny przeprowadzać dokładne testy. Organizacja powinna również zlecić stronie trzeciej przeprowadzenie audytu bezpieczeństwa, choć może to być kosztowne i czasochłonne. Audyty oferują systematyczny przegląd kodu, który pomaga zidentyfikować najbardziej znane podatności.

Oczywiście, sprawdzenie kodu jest konieczne, ale niewystarczające, a fakt, że firma przeprowadziła audyt, nie gwarantuje, że nie będzie miała problemów. „Na blockchainie inteligentne kontrakty są zazwyczaj bardzo złożone i często wchodzą w interakcje z innymi protokołami” - mówi Prisacaru. „Przedsiębiorstwa mają jednak kontrolę tylko nad własnym kodem, a interakcja z zewnętrznymi protokołami zwiększa ryzyko”.

Zarówno osoby prywatne, jak i firmy mogą zbadać inną drogę zarządzania ryzykiem: ubezpieczenie, które pomaga firmom zmniejszyć koszty włamań do inteligentnych kontraktów lub powierników.

7. Zarządzanie kluczami

„W samym sercu kryptowalut jest po prostu zarządzanie kluczami prywatnymi. Dla wielu firm brzmi to prosto, a CISO mogą być świadomi problemów i najlepszych praktyk” - mówi Schwenk.

Istnieje kilka dostępnych rozwiązań do zarządzania kluczami. Jednym z nich są portfele sprzętowe, takie jak Trezor, Ledger lub Lattice1. Są to urządzenia USB, które generują i przechowują materiał kryptograficzny na swoich bezpiecznych elementach, uniemożliwiając atakującym dostęp do kluczy prywatnych nawet wtedy, gdy mają dostęp do komputera, na przykład za pomocą wirusa/backdoora.

Inną linią obrony są tzw. multi-sigs, które mogą być stosowane razem z portfelami sprzętowymi. „Multi-sig to portfel inteligentnych kontraktów, który wymaga, aby transakcje były potwierdzane przez kilku jego właścicieli” - mówi Prisacaru. „Na przykład, można mieć pięciu właścicieli i wymagać, aby co najmniej trzy osoby podpisały transakcję przed jej wysłaniem. W ten sposób atakujący musiałby skompromitować więcej niż jedną osobę, aby skompromitować portfel”.

8. Edukacja pracowników i użytkowników

Organizacje, które chciałyby zintegrować technologie Web3, muszą przeszkolić swoich pracowników, ponieważ do przeprowadzania transakcji na różnych blockchainach potrzebne są nowe narzędzia. „Handel aktywami cyfrowymi może wydawać się znajomy dla tradycyjnego e-handlu, ale narzędzia i wtyczki do przeglądarek potrzebne do biegłości w tym nowym świecie są zupełnie inne niż te, do których przywykły zespoły finansowe” - mówi Aaron Higbee, współzałożyciel i CTO firmy Cofense.

Chociaż każda firma musi się martwić atakami phishingowymi opartymi na wiadomościach e-mail, pracownicy, którzy mają do czynienia z aktywami cyfrowymi, mogą być częściej celem ataków. Celem szkolenia jest upewnienie się, że wszyscy w zespole stosują najnowsze najlepsze praktyki i dobrze rozumieją zasady bezpieczeństwa. Oded Vanunu, szef działu badań nad podatnością produktów w firmie Check Point, twierdzi, że zauważył duże braki w wiedzy na temat kryptowalut, co może sprawić, że w niektórych firmach sytuacja stanie się „nieco chaotyczna”. „Organizacje, które chciałyby zintegrować technologie Web3 muszą zrozumieć, że projekty te muszą mieć głębokie przeglądy bezpieczeństwa i zrozumienie bezpieczeństwa, co oznacza, że muszą rozumieć liczby i implikacje, które mogą się wydarzyć” - mówi.

Niektóre organizacje, które nie chcą zarządzać kluczami prywatnymi, decydują się na korzystanie z systemu scentralizowanego, co naraża je na problemy związane z bezpieczeństwem Web2. „Apeluję, aby w przypadku integracji technologii Web3 z Web2 był to projekt, w którym zostanie przeprowadzona dogłębna analiza bezpieczeństwa i zostaną wdrożone najlepsze praktyki bezpieczeństwa” - mówi Vanunu.

9. Trwałość NFT i zdecentralizowanych aplikacji Web3

Wiele przedsiębiorstw rezygnuje z produktów, które już nie służą ich potrzebom, ale nie dotyczy to zazwyczaj aktywów opartych na blockchainie, jeśli są one wykonane prawidłowo. „NFT nie powinny być traktowane jako jednorazowy wysiłek marketingowy” - mówi Stein. „Jeśli sam NFT nie jest w łańcuchu, na firmie spoczywa ciężar utrzymania go przez cały czas. Jeśli projekt okaże się szalonym sukcesem, firma bierze na siebie poważne zadanie wspierania kolekcjonerów tych NFT w przypadku wpadek, oszustw itp.

Jednym z takich wirusowych projektów jest ten uruchomiony przez rząd Ukrainy, który sprzedawał NFT w oparciu o oś czasu wojny. „Miejsce, w którym przechowuje się pamięć o wojnie. Miejsce świętowania ukraińskiej tożsamości i wolności” - czytamy w tweecie Mychajło Fedorowa, wicepremiera Ukrainy i ministra ds. transformacji cyfrowej. Entuzjaści NFT zareagowali pozytywnie, mówiąc, że chcą kupić kawałek historii i wesprzeć Ukrainę. Oczekują jednak, że projekt będzie kontynuowany.

10. Blockchain nie zawsze jest właściwym narzędziem

Nowe technologie są zawsze ekscytujące, ale przed ich wprowadzeniem organizacje powinny zadać sobie pytanie, czy rzeczywiście rozwiązują one problem i czy jest to właściwy moment na ich zastosowanie. Projekty oparte na Blockchainie mają potencjał, aby zmienić firmy na lepsze, ale mogą również pochłaniać zasoby, przynajmniej w początkowej fazie.

„Ważną częścią decyzji będzie ocena stosunku ryzyka do korzyści, a odpowiednie finansowanie działań związanych z bezpieczeństwem, zarówno na etapie wdrażania, jak i w trakcie ich realizacji, ma kluczowe znaczenie. Ocena stosunku ryzyka do korzyści w przypadku tych nowych zagrożeń może nie być (jeszcze) kluczową kompetencją, a łatwo jest dać się wciągnąć w szum, który jest często związany z kryptowalutami” - podsumowuje Schwenk.

Źródło: CSO

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200