克里斯托弗托马斯

当有人提到区块链时,首先想到的是什么?你们中的许多人可能会说比特币,考虑到比特币是第一个制造的主要加密货币,这是可以预期的。blockchain家喻户晓的名字。然而,比特币只是众多加密货币中的一种,虽然它是区块链技术的第一次大规模实施,但它只是区块链可以帮助社会和商业的许多用途的一种应用。

区块链技术提供了一种在分布式分类帐中存储数据的方法。数据存储在一个块中,在那里它被数字记录并与其他块链接在一起,形成一个链。该链提供所有记录数据的完整历史记录。数据以交易的形式提交给链。只有在区块链网络的共识协议验证之后才会添加交易,因此只有一个版本的事实。存储在区块链上的任何数据都是“不可变的”,这意味着它无法更改。此外,所有网络参与者都拥有数据的副本,这意味着一切都是透明的,每个人都有相同的真实版本。

区块链技术的第一个主要实施是在2008年随着比特币的发布而引入的,但仅在过去几年中企业才开始掌握该技术的潜力。这种情况正在发生,因为在过去十年中,安全存储,计算能力和通信的成本大幅降低。因此,更多创新进入主流市场,服务于普通消费者。

这同样适用于商业领域。如今,我们开始在许多行业看到更多的区块链采用,包括金融,食品服务,医疗保健,航空,汽车和物流。 2017年,区块链市场价值7.08亿美元。两份单独的报告估计,到2024年至2025年,市场可以在两者之间进行估值$20 to $60 billion。这一显着增长在不到10年的时间内增加了8,300%。

我们仍处于探索这项技术的早期阶段,需要时间来充分实现其应用和潜力。例如,计算机的采用率达到了近10年80 percent。对于企业来说,大规模的区块链技术只能存在since late 2015。那究竟是什么意思呢?随着我们看到一项新技术的出现和稳步发展,喜欢处于技术前沿的人们对区块链提供的无限可能性感到兴奋。也就是说,新技术也带来了新的挑战,特别是在安全方面。

深刻理解区块链基础设施的人通常是区块链开发人员和架构师,他们的数量正在增加,但仍然很少。如果您对区块链安全专业知识进行分层,您会发现该数字甚至更小。几乎没有任何关于区块链安全性的公开信息或指导。

那么,开发这些成熟的解决方案对于可能导致整个系统崩溃的潜在攻击媒介和风险知之甚少有何意义呢?本质上,区块链的分散性与共识协议相结合,有助于解决一些安全需求,但如果没有充分探索安全性,后果可能会很严重。

如前所述,区块链概念的核心是简单:它是一个分布式,不可变,加密保证的分类帐,可以拥有应用程序,通常称为“智能合约”,与之接口。

智能合约由多行代码组成,这些代码存储在区块链中。当满足预定条款和条件时,这些合同自动执行。它们是复制流程或业务逻辑的小程序,可用于在多方之间执行协议,使得他们可以确定结果,而无需任何中间人。

例如,智能合约可用于医疗保健行业。用户的数据(例如血压和其他指标)可以发布到链中,一旦指标超过指定阈值,智能合约就可以执行诸如通知用户和/或过程之类的操作,例如与专家进一步协商解决他们的健康问题。能够破坏智能合约的漏洞可能允许攻击者修改代码中的关键细节。在上面的示例中,如果攻击者能够影响业务逻辑或引入其他代码来执行意外操作,会发生什么?

但与许多强大的技术一样,虽然区块链在概念上很简单,但如果实施不当,缺陷和漏洞可能会导致风险和安全后果。想想如果智能合约的数据存储在链条之前可以改变什么会发生什么?链上的数据应该是值得信赖的,对吧?智能合约缺陷如何导致业务逻辑不按预期运行?

在过去的几年里,X-Force Red在区块链生态系统中引入了过多的风险,可能会滥用用户和管理层面的访问控制。例如,某些漏洞可能使攻击者能够将恶意代码注入网络,从而有效地破坏所有节点。

抛开技术,您的标准日常应用程序(即Web /移动应用程序)仍需要在某种程度上与链接接口。我们的渗透测试人员有可能破坏这些组件并转向后端系统,这些系统几乎没有安全性,使攻击者能够在链上插入数据或执行任何暴露的功能。功能可能包括更高权限的管理访问权限或访问用户无权访问的数据。如果发生这种情况,环境如何保护自己免受恶意行为的侵害?

安全性是关于提高标准,以至于攻击者将极其难以利用任何漏洞。如果他们要进行攻击,他们就会在网络上发出足够的噪音进行检测,并且事故响应程序有望砰地关上门。因此,从应用程序和网络级别进行监控是关键保护区块链实施。内部主机是否应该扫描您的内部网络?我想不是!

另一个预防措施是从着名的电视节目“X档案”中取一页,并且不相信任何人:

这些只是您可以采取的一些基本操作,以帮助保护启用区块链的环境的完整性,可用性和机密性。

在X-Force Red,我们有许多经验丰富的黑客,他们使用区块链特定的技能来对区块链技术和连接基础设施中的任何内容进行安全评估和渗透测试。

IBM is an 区块链技术的行业领导者因此,我们的X-Force Red黑客在与该领域的领先专家合作时会接触到该技术的众多领域。

这一切最终都拥有深入的技术理解,并能够从端到端的角度评估任何支持区块链的解决方案。 X-Force Red可以从设计/架构的角度审查环境,并手动审查智能合约,访问控制,关键组件的配置等。我们还可以测试与区块链接口的所有应用程序和技术,与关键利益相关者和开发人员合作,充分发现他们可能面临的潜在风险,并协助降低妥协风险。

区块链:奖励大于风险