Blockchain přináší i významná bezpečnostní rizika

Aleš Pikora, , 15. srpen 2018 10:30
Blockchain přináší i významná bezpečnostní rizika

Ransomware, minery, ale i hrozba selhání celých obchodních platforem: Studie společnosti McAfee Blockchain Threat Report ukazuje, že stejně jako každá inovativní technologie, také blockchain a kryptoměny vystavují koncové uživatele a firmy řadě souvisejících bezpečnostních hrozeb. Vznikly již i nové specializované formy kybernetické kriminality.

Analýza McAfee rozděluje bezpečnostní rizika kolem blockchainu do několika kategorií. První je celkem elementární. Tak jako všechny aktuální trendy (událost, věci, o nichž se mluví), také blockchain se používá k phishingu a podobně triviálním podvodům, kdy jde o to přimět uživatele kliknout na nějaký odkaz, objednat kryptoměny, poskytnout přihlašovací údaje apod. V roce 2017 se objevily nabídky služeb pro správu peněženek s kryptoměnami, které je prostě vyprázdní. Za nástroje pro těžbu kryptoměn se vydává malware (nebo je do skutečně takto fungujících programů přibalen další nežádoucí software).

Druhá rovina podvodů souvisejících s blockchainem/kryptoměnami obnáší jejich využití podvodníky pro anonymizaci. Epidemie ransomwaru by nikdy nemohla dosáhnout takových rozměrů, kdyby podvodníci neměli k dispozici možnost požadovat převod v rámci bitcoinů – využívat při vydírání běžných bankovních služeb by bylo proveditelné mnohem obtížněji (bez ohledu na to, nakolik jsou vystopovatelné i transakce v bitcoinech; tvůrci ransomwaru navíc již zneužívají např. i kryptoměny Monero, Ethereum, Dash nebo Kirk).

Třetí souvislost mezi kryptoměnami a podvodníky spočívá v tom, že nyní mají útočníci jednoduchou možnost, jak monetizovat nakažené systémy – zneužijí jejich výkon k těžbě kryptoměn. Programy pro „dolování“ (minery) dokonce podle posledních statistik předstihly co do četnosti i ransomware. Výhodou útočníků je zde především nenápadnost. Nedávný průzkum laboratoří McAfee Labs uvádí, že množství vzorků malwaru čerpající kryptoměny vzrostlo v 1. čtvrtletí letošního roku meziročně o 629 %. Navíc zde existuje „šedá zóna“, kdy využívání běží např. v rámci webového prohlížeče při návštěvě určitého webu, který takto může mít i postaven svůj celý obchodní model (legálnost postupu závisí zřejmě hlavně na tom, zda je návštěvník o všem informován a zda zneužití skončí při opuštění stránky).

Hrozba selhání celých ekosystémů

Studie Blockchain Threat Report však navíc mapuje i čtvrtou oblast, která není tak známá, a to bezpečnostní rizika spojená s legitimním zaváděním technologie blockchain. V posledních letech došlo například k útokům na celou řadu burz pro obchodování s kryptoměnami. Počátkem r. 2018 bylo z japonské burzy Coincheck ukradeno 532 milionů dolarů a škoda vznikla 260 000 investorům.

Ukazuje se tedy, že i když nedojde k prolomení samotných šifrovacích algoritmů, zranitelné jsou konkrétní implementace (nástroje pro práci), v nichž se technologie blockchain používá. Totéž pak hrozí podnikům, které chtějí na základě blockchainu realizovat transakce se svými zákazníky, dodavateli a dalšími partnery. Protože kolem technologie panuje velké nadšení, podvodníci mají značnou naději, že ve vznikajících komplexních ekosystémech najdou bezpečnostní mezery, a to bez ohledu na robustní bezpečnost samotného jádra technologie. Každý takový složitý systém je stejně zranitelný jako jeho nejslabší bod.

McAfee odhaduje, že v roce 2024 dosáhne trh se službami blockchain 9,6 miliard dolarů, současně ovšem výrazně porostou i ztráty, které podniky utrpí kvůli souvisejícím bezpečnostním incidentům. Část těchto škod padá na vrub příliš rychlé, neuvážené implementaci blockchainu do firemního IT. Podniky se těmto zbytečným nákladům mohou ale vyhnout. Blockchain přitom není nasazován jen v technologických firmách, ale experimentují s ním i vládní agentury nebo největší podniky. Případné selhání této transakční infrastruktury pak zasáhne všechny zúčastněné strany a může mít obrovský dopad. Organizace by při nasazování blockchainu každopádně měly využít nějakou sadu doporučených postupů (best practices). Vyplatí se konzultovat s bezpečnostními firmami a dalšími odborníky na problematiku firemní IT bezpečnosti.

Aleš Pikora, ředitel divize DataGuard
PCS, spol. s r. o.

Aleš Pikora,

Aleš Pikora,

Autor je ředitelem divize DataGuard spol. PCS, spol. s r. o.


RSS 

Komentujeme

Estonsko a Itálie

Pavel Houser , 11. září 2018 06:00
Pavel Houser

Estonsko se vzhledem k pokročilé digitalizaci tamní státní správy a s tím související minimalizaci b...

Více

Kalendář

21. 09.

23. 09.
WebExpo 2018
26. 09. Data Management Workshop 2018
01. 10.

05. 10.
MSV 2018







RSS 

Zprávičky

Iniciativa 202020: právo na digitální služby státu

Pavel Houser , 20. září 2018 13:41

Iniciativa 202020, za kterou stojí ICT Unie a další profesní či zaměstnavatelská sdružení a asociace...

Více 0 komentářů

Facebook chce, aby ho české firmy více využívaly pro prodej přes hranice

ČTK , 20. září 2018 13:07

Počet Čechů na Facebooku stoupl o pět procent na 5,1 milionu....

Více 0 komentářů

Škoda rozšiřuje největší podnikové datové centrum v ČR

Pavel Houser , 20. září 2018 09:00

Centrum bude disponovat kapacitou 15 petaFLOPS a mít příkon 10 megawattů....

Více 0 komentářů

Starší zprávičky

Amazon zvyšuje podíl na trhu s internetovou reklamou

ČTK , 20. září 2018 08:00

Amazon překoná Microsoft a AOL/Yahoo, i když zůstane daleko za Googlem a Facebookem....

Více 0 komentářů

Zalando opět snižuje letošní výhled, akcie klesly o pětinu

ČTK , 19. září 2018 10:46

Berlínský start-up se postupně vyvinul v největšího on-line prodejce oblečení v Evropě, i před Amazo...

Více 0 komentářů

Gartner: veřejný cloud poroste v příštím roce o 17.3 %, ve východní Evropě o 23 %

Pavel Houser , 19. září 2018 09:00

Nejrychleji rostoucím segmentem trhu jsou cloudové infrastrukturní služby, největším segmentem softw...

Více 0 komentářů

Apple uhradil irské vládě daňový nedoplatek přes 14 miliard eur

ČTK , 19. září 2018 08:00

Pravděpodobně bude trvat několik let, než se případ u evropských soudů vyřeší....

Více 0 komentářů