-
Una blockchain empresarial podrรญa sufrir ataques internos por parte de un ex-empleado.
-
Los contratos inteligentes de las blockchains privadas, ademรกs, tambiรฉn son vulnerables.
ยฟCรณmo se puede hackear una empresa blockchain? Esto lo podemos averiguarlo muy pronto. Los productos de las blockchains empresariales han sido diseรฑados, en su mayorรญa, como red privadas; limitadas a partes autorizadas. Esto se supone que las hace mรกs eficientes que las cadenas pรบblicas, como Bitcoin y Ethereum, ya que menos computadoras tienen que llegar al acuerdo sobre quiรฉn es dueรฑo de quรฉ, y de cierto modo son mรกs seguras, ya que los participantes se conocen entre ellos.
Dichos productos aplican esta tecnologรญa, originalmente desarrollada para el nuevo mundo de las criptomonedas, a una serie de actividades empresariales poco glamorosas, tales como las transacciones transfronterizas, el almacenamiento de registros y el rastreo de bienes e informaciรณn. Su promesa ha atraรญdo a algunas de las principales corporaciones y vendedores de software del mundo.
Pero como cualquier software, en teorรญa, pueden ser hackeados, aunque la forma de evitarlo no estรก tan bien documentada. Paul Brody, lรญder mundial de blockchain en el gigante de consultorรญa EY, comentรณ: ยซNo recuerdo ni una sola compaรฑรญa importante que anunciara una pรฉrdida de cualquier tipo por un ataque en una blockchain privadaยป.
Eso podrรญa cambiar en el futuro prรณximo, cuando las compaรฑรญas empiecen a sacar estos sistemas seguros del laboratorio y empiecen a utilizarlos en el mundo real. Pavel Pokrovsky, el lรญder de tecnologรญas blockchain en Kaspersky โproveedor de software antivirus, ubicado en Moscรบโ, explicรณ:
Las grandes compaรฑรญas han estado trabajando en aplicaciones blockchain desde hace un tiempo. Pronto, comenzarรกn a empujar dichas aplicaciones a la producciรณn y podrรญan enfrentar nuevos desafรญos en su manejo de riesgos. A medida que se lancen mรกs soluciones de este tipo, los ataques hacia ellas podrรญan suceder mรกs frecuentemente.
Pavel Pokrovsky, lรญder en tecnologรญa blockchain de Kaspersky.
Trabajos internos
Un problema es que los sistemas privados con permiso son los mรกs vulnerables a amenazas internas, dijeron Pokrovsky y Brody. Brody, de EY, que ha sido una voz poco comรบn entre las cuatro grandes empresas de servicios profesionales, puesto que ha luchado por la permanencia de los sistemas abiertos, seรฑalรณ:
Los riesgos internos son particularmente altos en las blockchains privadas, ya que el trabajo que se suele hacer para asegurar la informaciรณn dentro de la red privada es muy bajo en comparaciรณn con las redes pรบblicas. En las redes pรบblicas, hacemos un uso extensivo de pruebas de conocimiento cero y otras herramientas para mantener la informaciรณn sensible fuera de la cadena.
Paul Brody, lรญder mundial de blockchain en EY.
Solo uno o dos de los clientes corporativos de EY llegaron a tales extremos con redes privadas, comentรณ. ยซComo resultado, si puedes obtener acceso a la red o si ya la tienes como alguien interno, casi toda la informaciรณn crรญtica es realmente visible para todos los miembrosยป, destaca.
En general, dijo Pokrovsky, el tipo de ataque mรกs comรบn que puede emplearse teรณricamente contra la red de una blockchain empresarial es un ataque de denegaciรณn de servicio. Esto es distinto a un DDoS, o denegaciรณn de servicio distribuido, donde los servidores de una compaรฑรญa son inundados de solicitudes inรบtiles que los agobian.
La denegaciรณn de servicio, por otro lado, es un ataque enfocado que utiliza los conocimientos, tal vez de un exempleado, en lugar de la fuerza muscular electrรณnica. Pokrovsky aรฑadiรณ: ยซDigamos que un empleado de una compaรฑรญa fue despedido y estรก enojado con su ex jefe. รl va a la dark web, y vende sus conocimientos de las vulnerabilidades del sistema a los hackersยป.
En el caso de las blockchains empresariales, un atacante necesitarรญa saber las direcciones de los nodos y lo que puede ponerlos fuera de lรญnea. Pokrovsky comentรณ:
Un atacante puede sobrepasar la capacidad de almacenamiento de datos del nodo, inundandolo de cรกlculos inรบtiles. Por ejemplo, uno de los nodos de nuestros clientes no podรญa procesar nรบmeros muy grandes, dรญgase, 12 ceros y mรกs. Simplemente se congelarรญa.
Pavel Pokrovsky, lรญder en tecnologรญa blockchain de Kaspersky.
La cura para este tipo de ataque es el filtrado apropiado de los datos que entran en los nodos: ยซEs un gran error, no filtrar los datos entrantesยป, concluyรณ.
Truco barato
Explotar tal vulnerabilidad es fรกcil cuando se sabe dรณnde estรกn ubicados los nodos. Y, a diferencia de DDoS, no requiere comprar trรกfico en forma de bots que inundan el objetivo con trรกfico basura, o desplegar mucho hardware para atacar el servidor. ยซSolo escribes un simple guion y lo envรญas a los nodos. Entonces los nodos se desconectan. Esto puede ser utilizado con fines criminales, desde sabotear a un competidor hasta ataques terroristasยป, dijo Pokrovsky.
La situaciรณn puede ser exacerbada por el hecho de que la forma mรกs conveniente de establecer nodos para una blockchain privada, es usar la infraestructura de la nube para que las empresas no tengan que averiguar cรณmo establecer un nodo fรญsico en su oficina. Brody explicรณ:
La mayorรญa de las blockchains privadas tienen muy pocos nodos y, en muchos casos, todos residen dentro de una sola infraestructura de nube, creando un solo punto de fallo. Eso tambiรฉn significa que lejos de ser almacenes inmutables de informaciรณn, son de hecho fรกcil de borrar o cerrar.
Paul Brody, lรญder mundial de blockchain en EY.
Los riesgos pueden variar. Por ejemplo, Masterchain, la blockchain empresarial para bancos desarrollada bajo los auspicios del banco central de Rusia, es una bifurcaciรณn โo una copia modificadaโ de la blockchain Ethereum, que usa un mecanismo de consenso de prueba de trabajo. Eliminar nodos en dicha red llevarรญa a la redistribuciรณn del consenso entre los nodos restantes, que seguirรกn validando las transacciones.
Sin embargo, si resulta que todos los nodos restantes son controlados por el banco central, los participantes de la red podrรญan decir que las transacciones registradas cuando los demรกs nodos estaban bloqueados no son legรญtimas,ย segรบn Pokrovsky.
ยซDDoS es un ataque fรกcil y barato de organizar, pero tambiรฉn es fรกcil de prevenir, y los servicios como Cloudflare pueden identificarlos y efectivamente prevenirlos. Pero la denegaciรณn de servicio no es identificable por los filtros que usan dichos serviciosยป, dijo Pokrovsky, aรฑadiendo que a veces los atacantes ni siquiera necesitan a una persona interna para localizar los nodos, es posible encontrar esa informaciรณn a travรฉs de mรฉtodos de inteligencia de cรณdigo abierto.
Es muy difรญcil arreglar tales vulnerabilidades cuando el ataque estรก sucediendo, cuando todo estรก destruido, todo el mundo estรก corriendo y todo estรก en llamas. Es mejor tratar de predecir estas situaciones en un entorno de pruebas.
Pavel Pokrovsky, lรญder en tecnologรญa blockchain de Kaspersky.
Contratos no tan inteligentes
Si una blockchain usa contratos inteligentes, pueden ser atacados tambiรฉn, apuntรณ Pokrovsky.
Para las blockchain empresariales, el ataque tรญpico es cuando un contrato contiene variables que pueden resultar distintas para cada nodo. Por ejemplo, marcas de tiempo o nรบmeros aleatorios. En este caso, todos los nodos ejecutarรกn el contrato inteligente con distintos resultados y la transacciรณn no serรก registrada en la blockchain como resultado.
Pavel Pokrovsky, lรญder en tecnologรญa blockchain de Kaspersky.
Si un contrato inteligente se refiere a documentos, hay otra forma posible de atacar: insertando cรณdigos maliciosos en el documento. Pokrovsky explicรณ: ยซEs lo mismo que el ataque de inyecciรณn SQL y para evitarlo se debe filtrar los datos entrantes y limitar el uso de datos externos por el contrato inteligenteยป. Brody, por otro lado, dijo:
El hecho de que la mayorรญa de las blockchains privadas no disfruten de la atenciรณn de una amplia comunidad de blockchain es tambiรฉn una debilidad.
Quizรกs el mayor riesgo que plantean las blockchains privadas es el riesgo de la complacencia. El cรณdigo fuente abierto que no es usado ampliamente y no tiene una comunidad vigilante que lo pruebe e inspecciones es mucho menos seguro y fiable que sistemas como Bitcoin y Ethereum, que se refuerzan continuamente por los casi constantes ataques e inspecciones pรบblicas.
Paul Brody, lรญder mundial de blockchain en EY.
El รกngulo de Kaspersky
Con el posible objetivo de la ampliaciรณn de su flujo de ingresos, Kaspersky pasรณ a la investigaciรณn y consultorรญa orientada a blockchain en el aรฑo 2018; primero enfocรกndose en las blockchain pรบblicas, incluyendo Bitcoin y Ethereum. Kaspersky ha estado trabajando con casas de cambio de criptomonedas, y completรณ una auditorรญa de seguridad para la compaรฑรญa de software comercial Merkeleon en octubre de 2018.
En octubre de 2019, Kaspersky empezรณ a trabajar con blockchain empresariales tambiรฉn. Pokrovsky dijo que la compaรฑรญa auditรณ varios de estos sistemas, aunque solo pudo nombrar a dos. La empresa rusa de blockchain Insolar y Waves, que se ha centrado de blockchains pรบblicas a privadas desde el aรฑo pasado.
El software de Kaspersky ha sido listado entre los 10 principales productos antivirus a nivel mundial, por PC Magazine en marzo. Sin embargo, ha sido prohibida su instalaciรณn en las computadoras del gobierno de Estados Unidos desde 2017, como parte de la respuesta de Estados Unidos a la intromisiรณn rusa en las elecciones presidenciales de 2016. Esta prohibiciรณn causรณ que las ventas se desplomaron en Estados Unidos y Europa, pero se han expandido en Rusia y รfrica. Kaspersky informรณ de un crecimiento del 4% en ingresos en 2018.
La auditorรญa de Kaspersky a la empresa Waves Enterprise durรณ tres meses, desde noviembre de 2019 hasta finales de enero de 2020. โLa tarea era revisar la seguridad de los nodos, la infraestructura de la red y las interfaces web de los nodosโ, comentรณ Pokrovsky.
La empresa de seguridad ejecutรณ lo que llaman pruebas de โGrey Boxโ. En las que el evaluador no tiene acceso al cรณdigo completo de la plataforma de blockchain, pero si tiene acceso al sistema a nivel de administrador. Este tipo de pruebas mostrarรญa las posibles amenazas internas, como un exempleado, por ejemplo.
Una vez que terminan las pruebas, Kaspersky presente al cliente una lista de vulnerabilidad y el cliente se ocupa de ellas; entonces las pruebas se ejecutan de nuevo. Pokrovsky no revelรณ quรฉ debilidades tenรญan que ser โarregladasโ en la blockchain de Waves Enterprise. Waves confirmรณ que contratรณ a Kaspersky.
Versiรณn traducida del artรญculo de Noelle Acheson, publicado en CoinDesk.