• Baltās cepures uzlaušana ir būtiska kiberdrošības sastāvdaļa, taču tā var būt pretrunīga — kā nesen tika parādīts CertiK strīdā ar Krakenu.

Baltās cepures uzlaušana jeb ētiskā uzlaušana ir būtiska kiberdrošības sastāvdaļa. Tā ir uzlaušana, kas ļauj “labajiem puišiem” izšķirt lietojumprogrammas, ziņot pārdevējiem par drošības ievainojamībām un izmantot informāciju, lai uzlabotu ekosistēmas drošības stāvokli. 

Tas nav unikāls jēdziens blokķēdē. tas pastāv vietās, tostarp mākonī, mākslīgajā intelektā, operētājsistēmas drošībā un daudz ko citu. 

Tomēr visos gadījumos pārdevēji un drošības pētnieki ir izveidojuši smalkas, bet spēcīgas attiecības, kuru pamatā ir uzticības līdzsvarošanas akts.

Blokķēdes telpā auditori, piemēram, Trail of Bits, Halborn un Open Zeppelin, gadiem ilgi ir analizējuši un labojuši dažādus viedos līgumus un strādājuši ar vislielāko profesionalitāti, veidojot spēcīgu uzticības sajūtu.

CertiK un Krakena strīds

17. maijā pētnieki no CertiK atklāja ievainojamību Kraken's Digital Asset Exchange atlikuma aprēķināšanas un depozīta mehānismā. 

CertiK nesen atklāja virkni kritisku ievainojamību @krakenfx apmaiņā, kas potenciāli varētu radīt simtiem miljonu dolāru zaudējumus.

Sākot ar atradumu @krakenfx depozīta sistēmā, kurā var neizdoties atšķirt dažādus iekšējos… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 2024. gada 19. jūnijs

Kraken drošības komanda to pareizi definēja kā kritisku problēmu un ziņoja, ka tā ir atrisināta 47 minūšu laikā.

Lai gan sākotnēji šķietami nevainīga, šāda veida ievainojamība ļauj uzbrucējiem “dubultot tēriņus”, kas nozīmē, ka viņiem ir iespēja viltot depozītu biržā. 

Tiklīdz viņu atlikums biržā tiek kļūdaini atjaunināts, viņi apgriežas un izņem tādu pašu summu. 

Šis akts noņem naudu no biržas galvenā kases maka (to izmanto lielākā daļa centralizēto biržu, lai pārvaldītu glabāšanas līdzekļus, līdzīgi kā bankas).

CertiK arī publicēja viltotu depozītu darījumu sarakstu, izmantojot ievainojamību vismaz 20 reizes piecu dienu laikā, vienlaikus apgalvojot, ka viņi tikai pārbauda Kraken noteikšanas mehānismus.

Pēc efektīvas koncepcijas pierādījuma iegūšanas CertiK pētniekiem vajadzēja nekavējoties ziņot par problēmu Krakenam un apturēt jebkādu turpmāku ievainojamības izmantošanu. 

Tomēr kopš incidenta visi līdzekļi, kas tika paņemti šīs tā dēvētās “testēšanas” laikā, ir atgriezti Krakenam, izņemot nelielu summu, kas tika zaudēta maksās.

Ietvars ētiskai uzlaušanai

Balto cepuru uzlaušana ir delikāta.

Mērķis ir uzlabot lietojumprogrammu drošību, nodrošinot uzticēšanos un caurspīdīgumu, neapdraudot pārdevēja biznesu.

Tomēr pamatā esošā patiesība ir tāda, ka balto cepuru hakeri bieži vien ir PR vadīti un nepareizu motīvu dēļ tiecas uz drosmīgāko virsrakstu. 

Piemēram, “CertiK izdevās paņemt no Krakenas 3 miljonus dolāru, nevienam nemanot” ir daudz intriģējošāks virsraksts nekā “Pētnieki Krakenā atrada kritisku kļūdu un ietaupīja miljoniem dolāru”.

Šeit spriedze kļūst augsta. Paredzams, ka ētikas pētnieki ziņos par saviem atklājumiem, cik drīz vien iespējams, un viņiem būs vismazākais koncepcijas pierādījums, lai netiktu traucēta pārdevēja bizness. 

Vienīgais izņēmums ir gadījumi, kad pārdevējs aicina pētniekus veikt iespiešanās testēšanu, un tādā gadījumā viņi būtu vienojušies par testēšanas apjomu un rīcības kodeksu.

Diemžēl šajā gadījumā tas tā nebija, jo “nelūgtā” iespiešanās pārbaude turpinājās četras dienas pēc tam, kad CertiK veica veiksmīgu koncepcijas pierādījumu. 

CertiK vajadzēja atgriezt līdzekļus pirms sākotnējās atskaites vai tās laikā. Tik lielu līdzekļu apjomu nekad nevajadzēja ņemt no Krakena kases vai kādas citas biržas.

Kur Trust atrod vietu

Mums kā nozarei ir jāturas kopā un jāuzmanās vienam par otru neatkarīgi no uzmanības, ko kaitīgs virsraksts pievērstu konkurējošam uzņēmumam.

Mūsu nozare saskaras ar lielu skaitu ļauno hakeru, ar kuriem jācīnās. Par laimi, pat pēc tādiem neapmierinošiem notikumiem kā šis, mēs turpinām uzlabot drošības produktus un praksi, kamēr inovācija nepārtraukti virzās uz priekšu. 

Nozares puses sadarbība, kurā konkurenti apmainās ar intīmu un vērtīgu informāciju, ir ļoti svarīga, jo galu galā drošība ir komandas sporta veids.

Mēs varam virzīties uz priekšu kā nozare tikai tad, ja starp visiem "labajiem puišiem" ir uzticēšanās. Patiesībā nevajadzētu būt “mēs” pret “viņiem” — mēs visi strādājam, lai panāktu kopīgu labumu, un mums tas vispirms ir jāpatur prātā.