Hakowanie metodą „białego kapelusza” jest kluczowym elementem cyberbezpieczeństwa, ale może budzić kontrowersje – jak niedawno pokazał spór CertiK z Krakenem.
Hakowanie metodą białego kapelusza, czyli hakowanie etyczne, jest kluczowym elementem cyberbezpieczeństwa. To hakowanie pozwala „dobrym ludziom” analizować aplikacje, zgłaszać dostawcom luki w zabezpieczeniach i wykorzystywać informacje do poprawy stanu bezpieczeństwa ekosystemu.
Nie jest to unikalna koncepcja w blockchainie. istnieje w takich miejscach, jak chmura, sztuczna inteligencja, bezpieczeństwo systemu operacyjnego i nie tylko.
Jednakże we wszystkich przypadkach dostawcy i badacze ds. bezpieczeństwa stworzyli delikatną, ale silną relację opartą na zaufaniu.
W branży blockchain audytorzy, tacy jak Trail of Bits, Halborn i Open Zeppelin, od lat analizują i naprawiają różne inteligentne kontrakty, działając z najwyższym profesjonalizmem, co pozwoliło im zbudować silne poczucie zaufania.
CertiK i spór Krakena
17 maja badacze z CertiK odkryli lukę w zabezpieczeniach mechanizmu obliczania salda i depozytu giełdy Digital Asset Exchange firmy Kraken.
CertiK niedawno zidentyfikował szereg krytycznych luk w zabezpieczeniach giełdy @krakenfx, które potencjalnie mogą doprowadzić do strat w wysokości setek milionów dolarów.
Zaczynając od odkrycia w systemie depozytowym @krakenfx, gdzie może nie być możliwe rozróżnienie różnych wewnętrznych… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) 19 czerwca 2024 r.
Zespół ds. bezpieczeństwa Kraken słusznie uznał to za problem krytyczny i poinformował, że został rozwiązany w ciągu 47 minut.
Choć na pierwszy rzut oka wydaje się to niegroźne, tego typu podatność pozwala atakującym na „podwójne wydanie”, co oznacza, że mogą sfałszować depozyt na giełdzie.
Gdy saldo ich konta na giełdzie zostanie przez pomyłkę zaktualizowane, wracają i wypłacają tę samą kwotę.
Ustawa ta usuwa pieniądze z głównego portfela skarbowego giełdy (z którego większość scentralizowanych giełd korzysta w celu zarządzania funduszami powierniczymi, podobnie jak banki).
CertiK opublikował również listę fałszywych transakcji depozytowych, wykorzystując lukę w zabezpieczeniach co najmniej 20 razy w ciągu pięciu dni, twierdząc jednocześnie, że jedynie testuje mechanizmy wykrywania Krakena.
Po uzyskaniu działającego dowodu koncepcji badacze CertiK powinni byli natychmiast zgłosić problem do Kraken i zaprzestać dalszego wykorzystywania tej luki w zabezpieczeniach.
Niemniej jednak od czasu incydentu wszystkie środki pobrane podczas tego tak zwanego „testowania” zostały zwrócone Krakenowi, za wyjątkiem niewielkiej kwoty, która przepadła na opłaty.
Ramy etycznego hakowania
Hackowanie w białych kapeluszach jest delikatne.
Celem jest zwiększenie bezpieczeństwa aplikacji przy jednoczesnym zapewnieniu zaufania i przejrzystości bez narażania działalności dostawcy.
Prawda jest jednak taka, że hakerzy „white hat” często kierują się zasadami PR i mają złe intencje, dlatego będą dążyć do uzyskania jak najjaskrawszych nagłówków.
Na przykład „CertiK zdołał zabrać 3 miliony dolarów z Krakena bez niczyjej wiedzy” jest o wiele bardziej intrygującym nagłówkiem niż „Badacze znaleźli krytyczny błąd w Kraken i zaoszczędzili miliony dolarów”.
W tym miejscu napięcie sięga zenitu. Od badaczy etycznych oczekuje się, że przedstawią swoje odkrycia tak szybko, jak to możliwe, i przedstawią możliwie najkrótszy dowód koncepcji, aby działalność dostawcy nie została zakłócona.
Jedynym wyjątkiem jest sytuacja, gdy dostawca zaprasza badaczy do przeprowadzenia testów penetracyjnych; w takim przypadku uzgodniliby zakres testów i kodeks postępowania.
Niestety, w tym przypadku tak się nie stało, ponieważ „niezamawiane” testy penetracyjne trwały cztery dni po tym, jak CertiK przedstawiło pomyślny dowód koncepcji.
CertiK powinien zwrócić środki przed lub w momencie wstępnego raportowania. Tak duża kwota środków nigdy nie powinna zostać pobrana ze skarbca Krakena ani żadnej innej giełdy.
Gdzie zaufanie znajduje swoje miejsce
Jako branża powinniśmy trzymać się razem i dbać o siebie nawzajem, bez względu na to, jak dużą uwagę mógłby przyciągnąć szkodliwy nagłówek do konkurencyjnej firmy.
Nasza branża musi stawić czoła dużej liczbie hakerów, z którymi trzeba walczyć. Na szczęście, nawet po tak rozczarowujących wydarzeniach, nadal udoskonalamy produkty i praktyki bezpieczeństwa, a innowacje stale się rozwijają.
Kluczowa jest współpraca pomiędzy poszczególnymi branżami, w ramach której konkurenci wymieniają się poufnymi i cennymi informacjami, ponieważ bezpieczeństwo jest w końcu sportem zespołowym.
Możemy iść naprzód jako branża tylko wtedy, gdy istnieje zaufanie między wszystkimi „dobrymi ludźmi”. W rzeczywistości nie powinno być „my” kontra „oni” — wszyscy pracujemy na rzecz wspólnego dobra i musimy o tym pamiętać przede wszystkim.