Blockchain přináší i významná bezpečnostní rizika

Aleš Pikora, , 15. srpen 2018 10:30
Blockchain přináší i významná bezpečnostní rizika

Ransomware, minery, ale i hrozba selhání celých obchodních platforem: Studie společnosti McAfee Blockchain Threat Report ukazuje, že stejně jako každá inovativní technologie, také blockchain a kryptoměny vystavují koncové uživatele a firmy řadě souvisejících bezpečnostních hrozeb. Vznikly již i nové specializované formy kybernetické kriminality.

Analýza McAfee rozděluje bezpečnostní rizika kolem blockchainu do několika kategorií. První je celkem elementární. Tak jako všechny aktuální trendy (událost, věci, o nichž se mluví), také blockchain se používá k phishingu a podobně triviálním podvodům, kdy jde o to přimět uživatele kliknout na nějaký odkaz, objednat kryptoměny, poskytnout přihlašovací údaje apod. V roce 2017 se objevily nabídky služeb pro správu peněženek s kryptoměnami, které je prostě vyprázdní. Za nástroje pro těžbu kryptoměn se vydává malware (nebo je do skutečně takto fungujících programů přibalen další nežádoucí software).

Druhá rovina podvodů souvisejících s blockchainem/kryptoměnami obnáší jejich využití podvodníky pro anonymizaci. Epidemie ransomwaru by nikdy nemohla dosáhnout takových rozměrů, kdyby podvodníci neměli k dispozici možnost požadovat převod v rámci bitcoinů – využívat při vydírání běžných bankovních služeb by bylo proveditelné mnohem obtížněji (bez ohledu na to, nakolik jsou vystopovatelné i transakce v bitcoinech; tvůrci ransomwaru navíc již zneužívají např. i kryptoměny Monero, Ethereum, Dash nebo Kirk).

Třetí souvislost mezi kryptoměnami a podvodníky spočívá v tom, že nyní mají útočníci jednoduchou možnost, jak monetizovat nakažené systémy – zneužijí jejich výkon k těžbě kryptoměn. Programy pro „dolování“ (minery) dokonce podle posledních statistik předstihly co do četnosti i ransomware. Výhodou útočníků je zde především nenápadnost. Nedávný průzkum laboratoří McAfee Labs uvádí, že množství vzorků malwaru čerpající kryptoměny vzrostlo v 1. čtvrtletí letošního roku meziročně o 629 %. Navíc zde existuje „šedá zóna“, kdy využívání běží např. v rámci webového prohlížeče při návštěvě určitého webu, který takto může mít i postaven svůj celý obchodní model (legálnost postupu závisí zřejmě hlavně na tom, zda je návštěvník o všem informován a zda zneužití skončí při opuštění stránky).

Hrozba selhání celých ekosystémů

Studie Blockchain Threat Report však navíc mapuje i čtvrtou oblast, která není tak známá, a to bezpečnostní rizika spojená s legitimním zaváděním technologie blockchain. V posledních letech došlo například k útokům na celou řadu burz pro obchodování s kryptoměnami. Počátkem r. 2018 bylo z japonské burzy Coincheck ukradeno 532 milionů dolarů a škoda vznikla 260 000 investorům.

Ukazuje se tedy, že i když nedojde k prolomení samotných šifrovacích algoritmů, zranitelné jsou konkrétní implementace (nástroje pro práci), v nichž se technologie blockchain používá. Totéž pak hrozí podnikům, které chtějí na základě blockchainu realizovat transakce se svými zákazníky, dodavateli a dalšími partnery. Protože kolem technologie panuje velké nadšení, podvodníci mají značnou naději, že ve vznikajících komplexních ekosystémech najdou bezpečnostní mezery, a to bez ohledu na robustní bezpečnost samotného jádra technologie. Každý takový složitý systém je stejně zranitelný jako jeho nejslabší bod.

McAfee odhaduje, že v roce 2024 dosáhne trh se službami blockchain 9,6 miliard dolarů, současně ovšem výrazně porostou i ztráty, které podniky utrpí kvůli souvisejícím bezpečnostním incidentům. Část těchto škod padá na vrub příliš rychlé, neuvážené implementaci blockchainu do firemního IT. Podniky se těmto zbytečným nákladům mohou ale vyhnout. Blockchain přitom není nasazován jen v technologických firmách, ale experimentují s ním i vládní agentury nebo největší podniky. Případné selhání této transakční infrastruktury pak zasáhne všechny zúčastněné strany a může mít obrovský dopad. Organizace by při nasazování blockchainu každopádně měly využít nějakou sadu doporučených postupů (best practices). Vyplatí se konzultovat s bezpečnostními firmami a dalšími odborníky na problematiku firemní IT bezpečnosti.

Aleš Pikora, ředitel divize DataGuard
PCS, spol. s r. o.

Aleš Pikora,

Aleš Pikora,

Autor je ředitelem divize DataGuard spol. PCS, spol. s r. o.


RSS 

Komentujeme

Brexit a osobní data

Tomáš Jirásko , 17. únor 2019 06:30

Blížící se Brexit přináší společnostem řadu komplikací a nejasností ohledně budoucnosti. Ať již dojd...

Více







RSS 

Zprávičky

Lenovo se ve čtvrtém čtvrtletí vrací k zisku

ČTK , 21. únor 2019 10:17

Příjmy z prodeje osobních počítačů a chytrých přístrojů se zvýšily o 12 % na rekordních 10,7 miliard...

Více 0 komentářů

Zástupci zemí EU schválili dohodu o autorských právech na internetu

ČTK , 21. únor 2019 09:00

článek 13 pak dává internetovým platformám povinnost řešit, zda uživateli nahrávaný obsah neporušuje...

Více 0 komentářů

Nový fond má pomoci rozšířit platební terminály mezi živnostníky

ČTK , 21. únor 2019 08:00

Na tisíc obyvatel je v ČR 15 platebních terminálů, evropský průměr je přitom 23....

Více 0 komentářů

Starší zprávičky

Německo je nakloněno účasti Huawei při budování sítí 5G

ČTK , 20. únor 2019 10:00

Německá vláda nyní nezávisle na kauze Huawei připravuje změny telekomunikačních zákonů. ...

Více 1 komentářů

Generální finanční ředitelství zrušilo tendr na daňový portál

ČTK , 20. únor 2019 09:00

Generální finanční ředitelství nyní pracuje na řešení, které neponese rizika soudních průtahů....

Více 0 komentářů

Aukce kmitočtů pro mobilní sítě láká investory z USA i Koreje

ČTK , 20. únor 2019 08:00

Češi platí podle analýzy Point Topic za 1 GB stažených dat přes mobilní sítě LTE nejvíce v Evropě....

Více 0 komentářů

Představenstvo Seznam.cz opouští majitel a zakladatel firmy

Pavel Houser , 19. únor 2019 13:24

Ivo Lukačovič, majitel a zakladatel společnosti Seznam.cz, opouští pozici předsedy představenstva na...

Více 0 komentářů