私有区块链易受员工内部攻击

关键事实：

Paul Brody和Pavel Pokrovsky对此发表了评论。

例如，企业区块链可能遭受内部攻击，例如前员工。

区块链公司如何被黑客入侵？我们很快就会发现这一点。公司区块链的产品大部分被设计为专用网络。仅限于授权方。这应该使它们比诸如比特币和以太坊之类的公共链更有效率，因为必须由更少的计算机就谁拥有什么达成协议，并且由于参与者彼此了解，因此它们会更加安全。

这些产品将最初为新的加密货币世界开发的这项技术应用到一系列毫不含糊的商业活动中，例如跨境交易，记录存储以及商品和信息跟踪。他的承诺吸引了一些世界领先的软件公司和供应商。

但是像理论上可以被黑客入侵的任何软件一样，尽管避免这种攻击的方法没有得到充分的记录。咨询巨头安永全球区块链负责人保罗·布罗迪（Paul Brody）评论说：“我不记得一家大型公司宣布对私有区块链的攻击造成了任何形式的损失。”

当公司开始将这些安全系统带出实验室并开始在现实世界中使用它们时，这可能会在不久的将来发生变化。位于莫斯科的反病毒软件提供商卡巴斯基（Kaspersky）区块链技术的领导者Pavel Pokrovsky解释说：

大型公司已经致力于区块链应用了一段时间。很快，他们将开始将此类应用程序投入生产，并可能在风险管理方面面临新的挑战。随着更多此类解决方案的推出，针对它们的攻击可能会更加频繁地发生。

卡巴斯基区块链技术领导者Pavel Pokrovsky。

内部工作

一个问题是经许可的私有系统最容易受到内部威胁的攻击波克罗夫斯基和布罗迪说。安永的布罗迪（Brody）为争取开放系统的持久性而一直在四大专业服务公司中难得一见，他指出：

在私有区块链中，内部风险特别高，因为与公共网络相比，通常为保护私有网络中的信息所做的工作非常少。在公共网络上，我们广泛使用零知识测试和其他工具将敏感信息拒之门外。

安永全球区块链负责人Paul Brody。

他说，安永公司的企业客户中只有一两个达到了这种极端状态。他说：“结果，如果您可以访问网络或已经将其用作内部人员，则几乎所有成员都可以看到几乎所有关键信息。”

总的来说，波克罗夫西说，那种从理论上讲，可用于企业区块链网络的最常见攻击是拒绝服务攻击。。这与DDoS或分布式拒绝服务不同，后者的公司服务器被无用的请求所淹没，淹没了它们。

前雇员可能会违反公司的系统。资料来源：DragonImages / Envato Elements。

另一方面，拒绝服务是一种集中攻击，它使用的知识可能来自前雇员，而不是电子肌肉力量。波克罗夫斯基补充说：“比方说，公司的一名雇员被解雇了，并对他的前老板很生气。他进入了黑暗的网络，并将对系统漏洞的了解卖给了黑客。”

就企业区块链而言攻击者将需要知道节点的地址以及使它们脱机的原因。波克罗夫斯基评论：

攻击者可能会淹没节点的数据存储容量，从而使无用的计算泛滥。例如，我们的一个客户端节点无法处理非常大的数字，例如12个零或更多。它将冻结。

卡巴斯基区块链技术领导者Pavel Pokrovsky。

解决这类攻击的方法是对进入节点的数据进行适当的过滤：“不过滤传入的数据是一个很大的错误，”他总结道。

便宜的把戏

当您知道节点的位置时，利用此漏洞很容易。而且，与DDoS不同，无需以僵尸程序淹没目标的机器人程序形式购买流量，或部署大量硬件来攻击服务器。 “您只需编写一个简单的脚本并将其发送到节点。然后，节点断开连接。这可以用于犯罪目的，从破坏竞争对手到恐怖袭击，”波克罗夫斯基说。

由于为私有区块链设置节点的最便捷方法是使用云基础架构，因此公司可能不必弄清楚如何在其办公室中设置物理节点这一事实可能会加剧这种情况。布罗迪解释说：

大多数私有区块链只有很少的节点，在许多情况下，它们都驻留在单个云基础架构中，从而造成单点故障。这也意味着它们实际上不是简单的信息存储，而是易于擦除或关闭。

安永全球区块链负责人Paul Brody。

风险可能会有所不同。例如，Masterchain是在俄罗斯中央银行主持下开发的公司银行区块链，它是以太坊区块链的一个分支（或经过修改的副本），它使用了工作量证明共识机制。删除所述网络中的节点将导致在其余节点之间重新分配共识，它将继续验证交易。

专用和公用网络同样容易受到黑客攻击。资料来源：Rawpixel / Envato Elements。

但是，据波克罗夫斯基说，如果事实证明所有其余节点都由中央银行控制，则网络参与者可能会说其他节点被阻塞时记录的交易是不合法的。

“ DDoS是一种容易且便宜的组织攻击，但也很容易预防，Cloudflare等服务可以识别并有效地阻止它们。但是拒绝服务是无法通过这些服务使用的过滤器来识别的，” Pokrovsky说，并补充说，有时攻击者甚至不需要内部人员来定位节点，就有可能通过以下方式的情报方法来找到信息：开源。

当攻击发生时，所有东西都被销毁，每个人都在运行且所有东西着火时，修复此类漏洞非常困难。最好尝试在测试环境中预测这些情况。

卡巴斯基区块链技术领导者Pavel Pokrovsky。

不太聪明的合同

Pokrovsky说，如果区块链使用智能合约，它们也会受到攻击。

对于企业区块链，典型的攻击是合同包含每个节点可能不同的变量。例如，时间戳或随机数。在这种情况下，所有节点将执行具有不同结果的智能合约，因此交易将不会在区块链中注册。

卡巴斯基区块链技术领导者Pavel Pokrovsky。

如果智能合约是关于文件的，还有另一种可能的攻击方式：将恶意代码插入文档。 Pokrovsky解释说：“它与SQL注入攻击相同，为避免这种情况，必须过滤传入的数据并通过智能合约限制对外部数据的使用。”另一方面，布罗迪说：

大多数私有区块链没有得到广泛的区块链社区的关注也是一个弱点。

私有区块链可能带来的最大风险是自满的风险。没有广泛使用并且没有警惕性的测试和检查的开源代码，其安全性和可靠性远不如比特币和以太坊这样的系统，后者几乎是不断受到攻击和公开检查而不断实施的。

安永全球区块链负责人Paul Brody。

卡巴斯基角

为了扩大收入来源，卡巴斯基于2018年转向了面向区块链的研究和咨询。首先关注包括比特币和以太坊在内的公共区块链。卡巴斯基一直在与加密货币交易所合作，并于2018年10月完成了对商业软件公司Merkeleon的安全审核。

在2019年10月，卡巴斯基也开始与公司区块链合作。波克罗夫斯基说，该公司审核了其中几个系统，尽管它只能列出两个。俄罗斯区块链公司Insolar and Waves自去年以来一直专注于公共区块链到私有区块链。

卡巴斯基近年来专门从事咨询区块链公司的工作。资料来源：TheDigitalWay
/png.com

卡巴斯基软件已于3月被《 PC Magazine》评为全球十大防病毒产品之一。但是，自2017年以来，禁止在美国政府计算机上安装计算机，作为美国对俄罗斯干预2016年总统大选的回应的一部分，该禁令导致美国和欧洲的销售骤降，但在俄罗斯和非洲却有所扩大。卡巴斯基报告2018年收入增长4％。

卡巴斯基对Waves Enterprise的审计从2019年11月到2020年1月结束，历时三个月。“任务是审查节点的安全性，节点的网络基础结构和Web界面，”他说。波克罗夫斯基。

该安全公司进行了他们所谓的“灰箱”测试。在其中评估者无法访问区块链平台的完整代码，但可以在管理员级别访问系统。这些类型的测试将显示潜在的内部威胁，例如前雇员。

测试完成后，卡巴斯基向客户端显示漏洞列表，然后客户端对其进行处理；然后再次运行测试。 Pokrovsky并未透露必须在Waves Enterprise区块链上“修复”哪些弱点。 Waves确认他雇用了卡巴斯基。

Noelle Acheson的文章的翻译版本，发布在CoinDesk上。

—-

原文链接：https://www.criptonoticias.com/seguridad-bitcoin/vulnerabilidades/blockchains-privadas-vulnerables-ataques-internos-perpetrados-por-empleados/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。