研究人员在黑帽子上故意推出'脆弱'区块
希望提高对区间脆弱性的认识,网络安全公司Kudelski安全下周计划推出该行业的第一个“有目的地脆弱”区块链 - 并将在下个月的黑色帽会议上演示。
Nathan Hamiel(Kudelski的网络安全研究负责人的说法,Kudelski Security的FumbleChain项目旨在突出区块链生态系统中的脆弱性。
[阅读下载:初学者区块链特别报告的指南]缺陷的BlockChain分类帐位于Python 3.0中,使任何人都可以轻松阅读和修改其源代码,并且它的模块化 - 允许用户破解并增加促进持续学习的新挑战。
Kudelski BlockChain将在Github上的代码下载和作为公司网站上的演示,允许测试人员使用其功能,并在不必下载代码的情况下了解它的工作原理。
“在大多数情况下,区块链本质上并不安全,”哈米尔说。“围绕BlockChain的整个生态系统,就像传统应用一样。通常,您通常会在诸如意外的地方播种漏洞。我们想做的是创建这个预先制作的区块链,围绕它创建了这个教育框架,以便您了解有关它的更多信息,并更多地有关区块链安全性。“
该概念类似于其他开源项目,例如创建Web应用程序,因此开发人员可以测试他们的技能攻击它们以暴露漏洞。
作为一次性的,附加 - 许多技术,区块链本身非常安全,但专家指出分布式分区技术不住在真空中。为了使用,诸如加密电阻等的应用程序嵌入到区块链中 - 使其容易受到某些攻击向量。
在其最基本的基本上,该技术是由一组协议组织的对等基于分布式分类帐,或数据库,组织与区块链组织;实质上,它是一系列加密的数据集,这些数据会随着时间的推移记录不变的变化。虽然这可能相对简单,但是如何实现技术可以导致各种排列。
“像大多数事情一样,魔鬼详细说明,”J.Gold Associates的主要研究分析师Jack Gold说。“区块链是一个比一种技术更具规格,而且具有相对宽松的规格。......有各种方法可以实现它......,所以如果你以不安全的方式实施,它可以被打破。“
詹姆斯·韦斯特(James Wester)IDC全球区块链策略的研究总监表示,他经常任务与落在“区块链”一般标题下的“技术篮子”,包括牌状资产,加密货币,加密钱包,智能合同和智能合同自主身份;所有后一组都是可以在区块链中运行的应用程序或架构,但不是技术的本地部分。
“它可以在没有实际了解这些差异的情况下对技术进行相对聪明的讨论,这么多半通知的人们甚至不害怕了解条款和技术,”韦斯特说。
既有公共和私有区块链 - 需要预先批准加入的那些 - 是自然保护的,因为它们是不可变的(即,每个记录或块是不可改变的,并向所有其他记录或绑定),并添加新块需要在用户之间共识。(共识必须取决于使用区块链;对于一些人来说,它为其他人来说,它的50%是更多的。)
Bloctchains的不可变和共识要求使它们自然地比大多数其他网络技术更安全。但是,根据架构以及运行节点的架构以及谁在哪里,区块链易受攻击,正如已被播放的时间和时间再次出现。
虽然BlockChain提供了记录在其上的数据的完整性的安全性,但根据美联盟波利斯联邦储备银行的报告,单独的区块链在没有其他技术或系统的情况下,不能防止诸如数据泄露的未经授权的访问。
例如,Etreum Classic Token Exchange上最近的“51%攻击”显示为什么甚至区块链不可渗透。51%的攻击是指一个糟糕的演员,他在加密货币挖掘中获得了大多数CPU的控制。这种攻击通常限于具有较少节点的较小区块,因为它们“重新对单个人的捕获控制更容易基于工作证明(Pow)共识机制。
加密货币钱包,存储私人钥匙,可以访问比特币和其他数字货币,也一直容易受到攻击。
“如果你是一个寻求使用区块链的公司 - 而不只是因为加密货币 - 所以你在保护分类帐和过程的各种组成部分的时间和努力是关键,”Gold说。
数据透明度,或者在区块链中查看事务的所有各方的能力是其上诉的一部分,因为如果尝试添加未验证的数据,可以快速识别错误的演员。然而,透明度也可能是威胁。例如,在保密可能是安全性的金融机构的结算或清算系统中,联邦储备报告指出,系统数据透明度是安全风险。
哈希尔表示,哈希尔说,炒作估计的技术往往会导致矛盾的声称:倡导者赞美它并声称它会在“仇恨”时改变世界 - 无论区块链,实际上是否解决了什么 - 拒绝通过它。
“真相是中间的某个地方,”哈里尔说。“肯定有区块形的解决方案,我认为这是一个有趣的区域,人们对有关的问题。人们对这项技术很好奇,但他们没有一种方法可以轻松获得有关它的信息,而无需花费大量时间来了解它。我希望这解决了这一点。“