Что такое программа баунти баунти?. С криптовалютой на сумму более 1,5 млрд долларов, украденной в 2018 году, индустрия оказалась раем для хакеров. Все разговоры о безопасности технологии blockchain не делают ее пуленепробиваемой. А что касается вторичного программного обеспечения, такого как поставщики кошельков и биржи, многие из них по-прежнему остаются крайне уязвимыми. Это место, где превентивные инициативы, такие как программа баунти ошибок приходят.
Что такое программа баунти баунти?
На самом деле, “баунти ошибок” стала модным словом де жур. Другими названиями для этого типа кибербезопасности являются этический взлом, взлом белой шляпы, программа поощрения уязвимости (VRP) и так далее.
Тем не менее, ключевое отличие программы баунти баунти от взлома белой шляпы заключается в том, что программа инициируется самой компанией. Они активно приглашают хакеров искать недостатки в своей системе и компенсировать их, когда они это делают.
Многие веб-сайты и поставщики программного обеспечения платят здоровую компенсацию этическим хакерам, которые находят недостатки и сообщают о них. Отчеты об ошибках должны содержать достаточно информации, чтобы компания могла воспроизвести уязвимость самостоятельно.
Компенсация определяется масштабами и масштабами уязвимости и последствиями, которые она может иметь. Согласно источникам, Mozilla обычно выплачивала фиксированную плату в размере $3 000 за баунти, в то время как Facebook заплатил до $20 000. Apple даже обстреливала целых 200 000 долларов за недостаток в своих компонентах прошивки для безопасной загрузки iOS.
Остановка хакеров перед нанесением ущерба
Оставаться на шаг впереди хакеров крайне важно. Вот почему блокчейн-компании всегда должны иметь какую-то программу баунти ошибок или непрерывную оценку безопасности Crowdsource (OCSA). Однако, согласно исследованиям, проведенным в топ-100 криптовалютных биржах, только 13% из них делают.
Программы багов, как правило, очень эффективны, но они могут быть спорными. В конце концов, вы по существу стимулируете незаконную деятельность - или, что еще хуже, поощряете хакеров, которые уже крадут средства, чтобы заработать дополнительную жизнь.
Тем не менее, программа “баунти баунти” также может привести к трудоустройству и долгосрочным отношениям, как это имеет место в случае специалистов по кибербезопасности Red4Sec и NEO.
Пример этического хакерства как услуги
По словам соучредителей Red4Sec Фернандо Диаса Толедано и Хайме Кинделана, программы баунти в блокчейне еще более актуальны, чем традиционные интернет-приложения. Почему? Из-за неизменности блокчейна.
Хайме объясняет: “Главное отличие заключается в том, что если вы совершаете ошибку с блокчейном, она неизменна. Таким образом, если вы обнаружите проблему, ее гораздо сложнее исправить. Блокчейн предназначен для того, чтобы не изменяться. Так что гораздо важнее быть в курсе всех потенциальных проблем на начальном этапе”.
Фернандо повторяет его слова: “Если вы обнаружите недостаток в блокчейне, изменить его не так просто. Это уже написано в блокчейне, это не похоже на сеть. Как и с хаками, как только средства ушли, они ушли. Поэтому гораздо важнее сосредоточиться на безопасности и предотвращении на начальном этапе”.
Здесь вступает в игру этический взлом (или баунти ошибок). Команда Red4Sec уже много лет предлагает традиционные услуги кибербезопасности. Но, взволнованные новыми технологиями и всегда стремясь узнать больше, они начали анализировать блокчейн в 2017 году и решили сосредоточиться на ОСЗ.
Хайме вспоминает: “В результате нашего анализа мы обнаружили несколько важных уязвимостей и сообщили об этом NEO. Им понравилось, как мы это сделали, они дали нам компенсацию и трехмесячный пробный мониторинг их блокчейна. С тех пор мы продолжаем работать с ними, а также с разработчиками City of Zion”.
Фернандо прерывает: “У нас очень хорошие отношения с ними сейчас, мы на самом деле члены города Сион и мы также являемся членами основной команды разработчиков NEO. Мы очень близки”.
Поставив себя в шкуре хакера
Я спрашиваю, что первое, что они делают, когда ищут способы взломать блокчейн. А для читателей, которые не знали, это миф о том, что блокчейны нельзя взломать. Просто усилия против компромиссов вознаграждения выше на некоторых блокчейнах, чем другие.
Взлом блокчейна Bitcoin, например, технически возможно, но это потребует ресурсов небольшой страны, и выплата будет меньше расходов. Меньшие блокчейны и, конечно, частные блокчейны гораздо проще.
Хайме продолжает: “Мы анализируем код приложения, смарт-контракт или сам блокчейн и гарантируем отсутствие уязвимостей безопасности.
“Затем мы делаем аудиторский этап.... Мы ставим себя на место хакера и пытаемся подумать о том, как хакер атакует и как они украдут деньги. Как только мы нашли путь, мы исправляем его так, чтобы окно возможностей исчезло”.
Заключительные мысли
Ошибки, этический взлом и любой тип программы, которая находит недостатки перед хакерами, имеет жизненно важное значение для дальнейшей безопасности и эволюции технологии blockchain.
Такие компании, как Red4Sec, безусловно, имеют много работы, учитывая огромный объем нарушений и взлома в биржах, блокчейнах и смарт-контрактах. Тем не менее, даже созерцая все более большую поверхность атаки, эта команда не сдерживается. Они по-прежнему считают, что блокчейн — это будущее и что все приложения в конечном итоге перейдут на него.
И хотя есть много нарушений, Фернандо заканчивается на положительной ноте: “Когда мы начали работать в блокчейн-безопасности, мы определенно увидели много проектов, которые были слабы с их безопасностью и не изучили его достаточно. В последнее время мы видели гораздо больше осведомленности о безопасности, и это определенно улучшается”.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.