Blockchain přináší i významná bezpečnostní rizika

Aleš Pikora, , 15. August 2018 10:30
Blockchain přináší i významná bezpečnostní rizika

Ransomware, minery, ale i hrozba selhání celých obchodních platforem: Studie společnosti McAfee Blockchain Threat Report ukazuje, že stejně jako každá inovativní technologie, také blockchain a kryptoměny vystavují koncové uživatele a firmy řadě souvisejících bezpečnostních hrozeb. Vznikly již i nové specializované formy kybernetické kriminality.

Analýza McAfee rozděluje bezpečnostní rizika kolem blockchainu do několika kategorií. První je celkem elementární. Tak jako všechny aktuální trendy (událost, věci, o nichž se mluví), také blockchain se používá k phishingu a podobně triviálním podvodům, kdy jde o to přimět uživatele kliknout na nějaký odkaz, objednat kryptoměny, poskytnout přihlašovací údaje apod. V roce 2017 se objevily nabídky služeb pro správu peněženek s kryptoměnami, které je prostě vyprázdní. Za nástroje pro těžbu kryptoměn se vydává malware (nebo je do skutečně takto fungujících programů přibalen další nežádoucí software).

Druhá rovina podvodů souvisejících s blockchainem/kryptoměnami obnáší jejich využití podvodníky pro anonymizaci. Epidemie ransomwaru by nikdy nemohla dosáhnout takových rozměrů, kdyby podvodníci neměli k dispozici možnost požadovat převod v rámci bitcoinů – využívat při vydírání běžných bankovních služeb by bylo proveditelné mnohem obtížněji (bez ohledu na to, nakolik jsou vystopovatelné i transakce v bitcoinech; tvůrci ransomwaru navíc již zneužívají např. i kryptoměny Monero, Ethereum, Dash nebo Kirk).

Třetí souvislost mezi kryptoměnami a podvodníky spočívá v tom, že nyní mají útočníci jednoduchou možnost, jak monetizovat nakažené systémy – zneužijí jejich výkon k těžbě kryptoměn. Programy pro „dolování“ (minery) dokonce podle posledních statistik předstihly co do četnosti i ransomware. Výhodou útočníků je zde především nenápadnost. Nedávný průzkum laboratoří McAfee Labs uvádí, že množství vzorků malwaru čerpající kryptoměny vzrostlo v 1. čtvrtletí letošního roku meziročně o 629 %. Navíc zde existuje „šedá zóna“, kdy využívání běží např. v rámci webového prohlížeče při návštěvě určitého webu, který takto může mít i postaven svůj celý obchodní model (legálnost postupu závisí zřejmě hlavně na tom, zda je návštěvník o všem informován a zda zneužití skončí při opuštění stránky).

Hrozba selhání celých ekosystémů

Studie Blockchain Threat Report však navíc mapuje i čtvrtou oblast, která není tak známá, a to bezpečnostní rizika spojená s legitimním zaváděním technologie blockchain. V posledních letech došlo například k útokům na celou řadu burz pro obchodování s kryptoměnami. Počátkem r. 2018 bylo z japonské burzy Coincheck ukradeno 532 milionů dolarů a škoda vznikla 260 000 investorům.

Ukazuje se tedy, že i když nedojde k prolomení samotných šifrovacích algoritmů, zranitelné jsou konkrétní implementace (nástroje pro práci), v nichž se technologie blockchain používá. Totéž pak hrozí podnikům, které chtějí na základě blockchainu realizovat transakce se svými zákazníky, dodavateli a dalšími partnery. Protože kolem technologie panuje velké nadšení, podvodníci mají značnou naději, že ve vznikajících komplexních ekosystémech najdou bezpečnostní mezery, a to bez ohledu na robustní bezpečnost samotného jádra technologie. Každý takový složitý systém je stejně zranitelný jako jeho nejslabší bod.

McAfee odhaduje, že v roce 2024 dosáhne trh se službami blockchain 9,6 miliard dolarů, současně ovšem výrazně porostou i ztráty, které podniky utrpí kvůli souvisejícím bezpečnostním incidentům. Část těchto škod padá na vrub příliš rychlé, neuvážené implementaci blockchainu do firemního IT. Podniky se těmto zbytečným nákladům mohou ale vyhnout. Blockchain přitom není nasazován jen v technologických firmách, ale experimentují s ním i vládní agentury nebo největší podniky. Případné selhání této transakční infrastruktury pak zasáhne všechny zúčastněné strany a může mít obrovský dopad. Organizace by při nasazování blockchainu každopádně měly využít nějakou sadu doporučených postupů (best practices). Vyplatí se konzultovat s bezpečnostními firmami a dalšími odborníky na problematiku firemní IT bezpečnosti.

Aleš Pikora, ředitel divize DataGuard
PCS, spol. s r. o.

Aleš Pikora,

Aleš Pikora,

Autor je ředitelem divize DataGuard spol. PCS, spol. s r. o.


RSS 

Komentujeme

Počítačové hry v hlavě – a to dokonce multiplayer

Pavel Houser , 03. August 2019 06:30
Pavel Houser

Tetris v podání vědců z University of Washington připomíná málem telepatii – jeden z hráčů vidí pada...

Více



Kalendář

25. 08.

29. 08.
VMworld US 2019
05. 09.

06. 09.
Technical Computing Camp 2019
06. 09.

11. 09.
IFA 2019
RSS 

Zprávičky

Na webu Amazonu se prodávaly tisíce problémových produktů

ČTK , 25. August 2019 08:00

Američtí technologičtí giganti ztratili kontrolu nad svými platformami. Amazon se čím dál víc vyvíjí...

Více 0 komentářů

Huawei uvádí na Ascend 910, procesor pro AI

Pavel Houser , 24. August 2019 08:00

Huawei uvedla procesor Ascend 910 a MindSpore, framework pro výpočty související s umělou inteligenc...

Více 0 komentářů

VMware koupí Pivotal Software a Carbon Black za téměř 5 miliard dolarů

ČTK , 23. August 2019 10:05

Kontrolním akcionářem VMware i Pivotal Software je Dell. ...

Více 0 komentářů

Starší zprávičky

Ostravský startup vyvíjí virtuální realitu pro výrobní firmy

ČTK , 23. August 2019 10:04

Produkty firmy už používají například společnosti Continental nebo Tieto. ...

Více 0 komentářů

Regulátoři EU zkoumají plány Facebooku na digitální měnu

ČTK , 23. August 2019 08:00

Facebook ujišťuje, že nebude mít přístup k údajům o transakcích s novou měnou....

Více 0 komentářů

Nad rámec rozpočtů půjde na digitalizaci příští rok 492 mil. Kč

ČTK , 22. August 2019 10:00

Do roku 2021 má plně fungoval portál občana, tak, aby lidé s novými občanskými průkazy mohli řešit v...

Více 0 komentářů

Amazon pokračuje v náboru pro centrum v Dobrovízi, zvyšuje mzdy

ČTK , 22. August 2019 09:00

Amazon nyní nabírá pracovníky pro distribuční centrum, a to i na kvalifikované pozice....

Více 0 komentářů