Главные преимущества блокчейна — прозрачность проводимых транзакций и открытость. Это полезно при заключении контрактов и проведении сделок. Все участники процесса знают о шагах своих партнеров.
Блокчейн также децентрализован, поэтому скомпрометировать хранимые в нем данные сложно. Эти свойства привели к тому, что технология получила широкое распространение в финансовом секторе. Однако применимость блокчейна не ограничена криптовалютами. Сегодня говорим о том, как технология используется для обеспечения информационной безопасности.
/ изображение Michael Pick CC
Блокчейн становится подспорьем для сервисов, пользователи которых переживают о сохранности данных: IoT, юриспруденция, медицина, страхование и др. Например, за пределы работы с транзакциями его вывели в IBM. Компания создала облачный сервис для тестирования приложений в защищенной среде.
По словам представителей IBM, разработчики могут запустить собственный блокчейн-sandbox за 12 секунд. Через минуту после этого он будет готов к запуску тестовых приложений.
Еще один проект в этой сфере — решение Enigma от MIT, основанное на биткойн-блокчейне. Enigma позволяет запускать любой код на зашифрованных данных, при этом делая их «недосягаемыми» для третьей стороны.
Другие компании тоже ищут применения блокчейну в сфере безопасности. Например, Humaniq, которая планирует использовать блокчейн совместно с технологиями искусственного интеллекта и распознавания биометрии для создания сервиса идентификации личности. Решение окажется полезным при покупке товаров в магазинах, оформлении страховок, даже при простом походе в бар. Похожее решение для авторизации предлагает компания Remme.
Проект Guardtime использует закрытые блокчейны и заменяет цифровые подписи RSA подписями KSI (Keyless Signature Infrastructure). Они используют криптографию с хеш-функциями. Компания надеется, что это позволит избежать проблем в будущем, когда квантовые компьютеры получат распространение (они легко решают задачи факторизации, на которых строится RSA).
Проблема безопасности стоит перед современным миром довольно остро. Растет количество киберугроз, в том числе связанных с кражей идентификационных данных. По информации аналитического агентства Cybersecurity Ventures, ежегодный ущерб от киберпреступлений достигнет 6 триллионов долларов к 2021 году. В 2015 году ущерб составлял 3 триллиона. Поэтому растет и количество средств, вкладываемых в кибербезопасность, — к 2021 году оно превысит 1 триллион долларов.
Компании используют блокчейн, поскольку эта технология способна защитить данные и сделать их аудит более прозрачным. Блокчейн-технологии предотвращают целый спектр различных атак.
Шифрованные соединения (например, HTTPS и TLS) для защиты каналов опираются на инфраструктуру сертификации открытых ключей (PKI) и удостоверяющие центры (CA). Каждый участник сети имеет пару открытый/закрытый ключ. Закрытый ключ он хранит втайне. Открытый ключ хранит CA.
Когда пользователь хочет установить безопасное соединение (зайти на сайт), он запрашивает открытый ключ ресурса у сертификационного центра и шифрует данные перед отправкой. Чтобы расшифровать данные, сайт использует свой закрытый ключ.
Однако в этом случае надежность системы зависит от того, насколько хорошо защищен удостоверяющий центр. Если злоумышленникам удается скомпрометировать CA, то они получают возможность провести атаку man-in-the-middle (MITM). В этом случае выполняется рассылка поддельных открытых ключей, к которым у хакеров есть соответствующие закрытые ключи. С их помощью выполняется расшифровка передаваемой информации.
Например, недавно стало известно об уязвимости в WhatsApp, которая ставила под угрозу приватность пользователей. Баг был связан с реинсталляцией ключей и позволял злоумышленникам подменять их с помощью атаки MITM.
Однако в системе, основанной на блокчейне, MITM не реализуема. Когда пользователь публикует открытый ключ в блокчейн, об этом «узнают» все узлы сети (например, биткойн-блокчейн имеет 10 тыс. активных узлов). Эта информация записывается в блок, и криптография блокчейна защищает целостность реестра. Поэтому опубликовать фейковые ключи у злоумышленников не получится — подделку сразу распознают.
CertCoin — одна из первых реализаций PKI, основанных на блокчейне. Проект, разработанный в MIT, исключает удостоверяющие центры и использует блокчейн как распределенный реестр доменов и ассоциированных с ними публичных ключей.
Другой пример — компания Pomcor. Она представила проект, который не исключает CA, но применяет блокчейн для хранения хешей выданных и отозванных сертификатов. Такой подход дает пользователям возможность проверить аутентичность сертификатов. Это также оптимизирует доступ к сети, поскольку верификация ключа и подписи проводится на локальных копиях блокчейна.
В феврале прошлого года хакеры скомпрометировали сайт Linux Mint и загрузили на него зараженную версию операционной системы со встроенным бэкдором. Обычно разработчики предоставляют хеш-суммы, чтобы пользователи верифицировали копию ПО, однако здесь хакеры смогли опубликовать хеш-суммы своей версии. Поэтому скачавшие ОС пользователи не подозревали о подделке.
Подобная ситуация может произойти с любой информацией, распространяемой в сети. И знать наверняка, что полученные данные аутентичны, нельзя.
Однако в блокчейне участник сети может опубликовать хеш, ассоциированный с отдельным файлом, образом операционной системы и другими данными, требующими защиты. В этом случае, если хакеры доберутся до информации и изменят её, они не смогут подправить хеш-сумму, записанную в блокчейне.
Проекты, реализующие такую задумку, уже есть. Стартап GuardTime предлагает использовать структуру бесключевой подписи (KSI). KSI хранит хеши данных и файлов и верифицирует копии с помощью хеширующих алгоритмов. Таким образом группа надеется заменить процесс аутентификации с использованием ключей.
Технический директор GuardTime Мэттью Джонсон (Matthew Johnson) говорит, что аутентификация данных с помощью блокчейнов гарантирует их целостность за счет математических алгоритмов. Агентство DARPA даже рассматривает KSI в качестве решения для защиты секретной военной информации.
Еще один пример — компания Gem, которая использует блокчейн для контроля медицинской документации. Госпитали работают с большим количеством личной информации о пациентах и ранее подвергались хакерским атакам. По словам представителей компании Gem, блокчейн поможет проверять целостность данных, к которым имеет доступ группа организаций.
«Задачей» распределенных сетевых атак является ограничение пропускной способности сетевого ресурса, например, инфраструктуры, поддерживающей сайт компании. Веб-серверы всегда имеют ограничения по количеству запросов (обрабатываемых одновременно). Если число обращений к серверу превышает возможности какого-либо компонента инфраструктуры, возникают проблемы с уровнем обслуживания. Причем масштаб этих проблем зависит от цели DDoS-атаки.
Массированная DDoS-атака на американского DNS-провайдера Dyn в прошлом октябре оставила миллионы пользователей без таких сервисов, как Twitter, PayPal, Netflix, GitHub и Spotify. DDoS-атака на Dyn проводилась с помощью гигантского ботнета Mirai, включавшего десятки миллионов устройств: роутеры, принтеры, IP-камеры и другие гаджеты, подключенные к интернету. Все вместе они транслировали данные на серверы Dyn со скоростью 1,2 Тбит/с. А в октябре этого года начал распространяться вирус Reaper, заражающий умные гаджеты по всему миру.
Атака на DNS-провайдер Dyn показывает, насколько единые точки отказа и централизованные системы делают всю интернет-инфраструктуру уязвимой. Более серьёзным сценарием развития атак на DNS-серверы будет его компрометация с целью перенаправления пользователей на сайты с вредоносным программным обеспечением.
Однако можно отказаться от центральных DNS-серверов и реализовать систему, в которой пары «имя — IP-адрес» регистрируются в блокчейн-сети и распределяются по всем узлам. Это обеспечит прозрачность и защищенность одновременно. Хакеры не смогут сделать своей целью какую-то одну инфраструктуру, атаковав отдельный кластер. Сами данные будут защищены криптографическими алгоритмами.
Nebulis — это проект, который как раз исследует концепцию распределенных DNS-систем, выдерживающих большие «потоки» запросов. Компания использует Ethereum-блокчейн и межпланетную файловую систему (IPFS), чтобы регистрировать доменные имена.
Блокчейн также исключит сетевые издержки, связанные с чтением DNS. «Налогом» будут облагаться процедуры обновления записей и внесения новых. По словам блокчейн-эксперта Филипа Сандерса (Philip Saunders), это позволит снять нагрузку со «скелета интернета».
/ изображение Henri Bergius CC
Согласно результатам исследования компании F5 Networks, число атак на IoT-устройства и инфраструктуру выросло на 280% с начала текущего года. По большей части это связано с распространением вредоносного программного обеспечения Mirai. Хакеры взламывают девайсы интернета вещей и используют их для проведения DDoS-атак и хостинга инфраструктуры троянов.
При этом, как отмечено в исследовании, преступники изменили тактику формирования ботнетов и специально ищут гаджеты, имеющие известные уязвимости.
Блокчейн обещает защиту IoT по тем же причинам, по которым он является сердцем криптовалют: уверенность в легитимности данных и четкий процесс их утверждения. Так говорит IoT-эксперт Ахмед Банафа (Ahmed Banafa) и преподаватель в Университете штата Калифорния в Сан-Хосе. Банафа написал популярный обзор потенциала блокчейна для решения проблем безопасности IoT.
Однако дело в том, что простой регистрации девайса в блокчейне недостаточно. Как говорит Томас Хардджоно (Thomas Hardjono) из MIT Connection Science, необходима инфраструктура для управления устройствами и контроля доступа к данным.
Одним из решений может стать проект ChainAnchor, разработку которого ведут в MIT. Это фреймворк, который будут поддерживать создатели умных гаджетов, провайдеры данных и независимые разработчики. Идея состоит в том, что участники сети, в обмен на поддерживание безопасности, получат возможность продавать анонимные данные с IoT-устройств. Фреймворк имеет механизмы, позволяющие блокировать скомпрометированные устройства, а также отключать от блокчейна легитимные гаджеты при смене владельца.
Исследователи из Университета Нового Южного Уэльса предлагают иной подход к безопасности IoT. В их модели блокчейн-защищенного умного дома имеется «майнер», который заменяет роутер для управления сетевыми транзакциями. Это устройство руководит коммуникациями между домашними IoT-устройствами и внешним миром: авторизует новые девайсы и отключает гаджеты с подозрительной активностью. Если компонент интернета вещей оказался частью ботнета, блок-майнер увидит это и прекратит высылать его пакеты за пределы домашней сети.
Еще одной работой, основанной на распределенных реестрах, является проект IOTA. Он представляет собой криптожетон для микротранзакций и оптимизирован для использования в интернете вещей. Блокчейн IOTA создается легким, чтобы справиться с сетью умных устройств, число которых в ближайшие десять лет, по некоторым оценкам, вырастет до 50 миллиардов.
Легкость достигается за счёт использования технологии Tangle. Это направленный ациклический граф, в котором отсутствуют направленные циклы (пути, начинающиеся и кончающиеся в одной и той же вершине). Такой подход исключает централизацию майнинга, расширяет пределы масштабируемости и позволяет работать в условиях неограниченного роста данных.
Блокчейн обеспечивает фундаментально иной подход к кибербезопасности, который распространяется за пределы узловых серверов и включает защиту данных пользователей, каналов общения и критической инфраструктуры, поддерживающей бизнес-процессы организаций.
Уязвимости централизованных систем становятся все более очевидными с ростом числа кибератак. Новые угрозы в интернете будут возникать всегда. Блокчейны не станут «серебряной пулей», однако они выступят мощным инструментом, который инженеры смогут использовать для повышения надежности своих систем.
P.S. На нашей страничке в Facebook мы опубликовали дайджест об особенностях блокчейн-технологий. В нем мы собрали материалы из нашего блога на Хабре и англоязычного интернета, посвященные криптографии и консенсусу. Найти его можно по ссылке.
Блокчейн также децентрализован, поэтому скомпрометировать хранимые в нем данные сложно. Эти свойства привели к тому, что технология получила широкое распространение в финансовом секторе. Однако применимость блокчейна не ограничена криптовалютами. Сегодня говорим о том, как технология используется для обеспечения информационной безопасности.
/ изображение Michael Pick CC
Блокчейн становится подспорьем для сервисов, пользователи которых переживают о сохранности данных: IoT, юриспруденция, медицина, страхование и др. Например, за пределы работы с транзакциями его вывели в IBM. Компания создала облачный сервис для тестирования приложений в защищенной среде.
По словам представителей IBM, разработчики могут запустить собственный блокчейн-sandbox за 12 секунд. Через минуту после этого он будет готов к запуску тестовых приложений.
Еще один проект в этой сфере — решение Enigma от MIT, основанное на биткойн-блокчейне. Enigma позволяет запускать любой код на зашифрованных данных, при этом делая их «недосягаемыми» для третьей стороны.
Другие компании тоже ищут применения блокчейну в сфере безопасности. Например, Humaniq, которая планирует использовать блокчейн совместно с технологиями искусственного интеллекта и распознавания биометрии для создания сервиса идентификации личности. Решение окажется полезным при покупке товаров в магазинах, оформлении страховок, даже при простом походе в бар. Похожее решение для авторизации предлагает компания Remme.
Проект Guardtime использует закрытые блокчейны и заменяет цифровые подписи RSA подписями KSI (Keyless Signature Infrastructure). Они используют криптографию с хеш-функциями. Компания надеется, что это позволит избежать проблем в будущем, когда квантовые компьютеры получат распространение (они легко решают задачи факторизации, на которых строится RSA).
От каких угроз защищает блокчейн
Проблема безопасности стоит перед современным миром довольно остро. Растет количество киберугроз, в том числе связанных с кражей идентификационных данных. По информации аналитического агентства Cybersecurity Ventures, ежегодный ущерб от киберпреступлений достигнет 6 триллионов долларов к 2021 году. В 2015 году ущерб составлял 3 триллиона. Поэтому растет и количество средств, вкладываемых в кибербезопасность, — к 2021 году оно превысит 1 триллион долларов.
Компании используют блокчейн, поскольку эта технология способна защитить данные и сделать их аудит более прозрачным. Блокчейн-технологии предотвращают целый спектр различных атак.
Атаки типа man-in-the-middle
Шифрованные соединения (например, HTTPS и TLS) для защиты каналов опираются на инфраструктуру сертификации открытых ключей (PKI) и удостоверяющие центры (CA). Каждый участник сети имеет пару открытый/закрытый ключ. Закрытый ключ он хранит втайне. Открытый ключ хранит CA.
Когда пользователь хочет установить безопасное соединение (зайти на сайт), он запрашивает открытый ключ ресурса у сертификационного центра и шифрует данные перед отправкой. Чтобы расшифровать данные, сайт использует свой закрытый ключ.
Однако в этом случае надежность системы зависит от того, насколько хорошо защищен удостоверяющий центр. Если злоумышленникам удается скомпрометировать CA, то они получают возможность провести атаку man-in-the-middle (MITM). В этом случае выполняется рассылка поддельных открытых ключей, к которым у хакеров есть соответствующие закрытые ключи. С их помощью выполняется расшифровка передаваемой информации.
Например, недавно стало известно об уязвимости в WhatsApp, которая ставила под угрозу приватность пользователей. Баг был связан с реинсталляцией ключей и позволял злоумышленникам подменять их с помощью атаки MITM.
Однако в системе, основанной на блокчейне, MITM не реализуема. Когда пользователь публикует открытый ключ в блокчейн, об этом «узнают» все узлы сети (например, биткойн-блокчейн имеет 10 тыс. активных узлов). Эта информация записывается в блок, и криптография блокчейна защищает целостность реестра. Поэтому опубликовать фейковые ключи у злоумышленников не получится — подделку сразу распознают.
CertCoin — одна из первых реализаций PKI, основанных на блокчейне. Проект, разработанный в MIT, исключает удостоверяющие центры и использует блокчейн как распределенный реестр доменов и ассоциированных с ними публичных ключей.
Другой пример — компания Pomcor. Она представила проект, который не исключает CA, но применяет блокчейн для хранения хешей выданных и отозванных сертификатов. Такой подход дает пользователям возможность проверить аутентичность сертификатов. Это также оптимизирует доступ к сети, поскольку верификация ключа и подписи проводится на локальных копиях блокчейна.
Манипулирование данными
В феврале прошлого года хакеры скомпрометировали сайт Linux Mint и загрузили на него зараженную версию операционной системы со встроенным бэкдором. Обычно разработчики предоставляют хеш-суммы, чтобы пользователи верифицировали копию ПО, однако здесь хакеры смогли опубликовать хеш-суммы своей версии. Поэтому скачавшие ОС пользователи не подозревали о подделке.
Подобная ситуация может произойти с любой информацией, распространяемой в сети. И знать наверняка, что полученные данные аутентичны, нельзя.
Однако в блокчейне участник сети может опубликовать хеш, ассоциированный с отдельным файлом, образом операционной системы и другими данными, требующими защиты. В этом случае, если хакеры доберутся до информации и изменят её, они не смогут подправить хеш-сумму, записанную в блокчейне.
Проекты, реализующие такую задумку, уже есть. Стартап GuardTime предлагает использовать структуру бесключевой подписи (KSI). KSI хранит хеши данных и файлов и верифицирует копии с помощью хеширующих алгоритмов. Таким образом группа надеется заменить процесс аутентификации с использованием ключей.
Технический директор GuardTime Мэттью Джонсон (Matthew Johnson) говорит, что аутентификация данных с помощью блокчейнов гарантирует их целостность за счет математических алгоритмов. Агентство DARPA даже рассматривает KSI в качестве решения для защиты секретной военной информации.
Еще один пример — компания Gem, которая использует блокчейн для контроля медицинской документации. Госпитали работают с большим количеством личной информации о пациентах и ранее подвергались хакерским атакам. По словам представителей компании Gem, блокчейн поможет проверять целостность данных, к которым имеет доступ группа организаций.
DDoS-атаки
«Задачей» распределенных сетевых атак является ограничение пропускной способности сетевого ресурса, например, инфраструктуры, поддерживающей сайт компании. Веб-серверы всегда имеют ограничения по количеству запросов (обрабатываемых одновременно). Если число обращений к серверу превышает возможности какого-либо компонента инфраструктуры, возникают проблемы с уровнем обслуживания. Причем масштаб этих проблем зависит от цели DDoS-атаки.
Массированная DDoS-атака на американского DNS-провайдера Dyn в прошлом октябре оставила миллионы пользователей без таких сервисов, как Twitter, PayPal, Netflix, GitHub и Spotify. DDoS-атака на Dyn проводилась с помощью гигантского ботнета Mirai, включавшего десятки миллионов устройств: роутеры, принтеры, IP-камеры и другие гаджеты, подключенные к интернету. Все вместе они транслировали данные на серверы Dyn со скоростью 1,2 Тбит/с. А в октябре этого года начал распространяться вирус Reaper, заражающий умные гаджеты по всему миру.
Атака на DNS-провайдер Dyn показывает, насколько единые точки отказа и централизованные системы делают всю интернет-инфраструктуру уязвимой. Более серьёзным сценарием развития атак на DNS-серверы будет его компрометация с целью перенаправления пользователей на сайты с вредоносным программным обеспечением.
Однако можно отказаться от центральных DNS-серверов и реализовать систему, в которой пары «имя — IP-адрес» регистрируются в блокчейн-сети и распределяются по всем узлам. Это обеспечит прозрачность и защищенность одновременно. Хакеры не смогут сделать своей целью какую-то одну инфраструктуру, атаковав отдельный кластер. Сами данные будут защищены криптографическими алгоритмами.
Nebulis — это проект, который как раз исследует концепцию распределенных DNS-систем, выдерживающих большие «потоки» запросов. Компания использует Ethereum-блокчейн и межпланетную файловую систему (IPFS), чтобы регистрировать доменные имена.
Блокчейн также исключит сетевые издержки, связанные с чтением DNS. «Налогом» будут облагаться процедуры обновления записей и внесения новых. По словам блокчейн-эксперта Филипа Сандерса (Philip Saunders), это позволит снять нагрузку со «скелета интернета».
/ изображение Henri Bergius CC
Защита IoT-устройств
Согласно результатам исследования компании F5 Networks, число атак на IoT-устройства и инфраструктуру выросло на 280% с начала текущего года. По большей части это связано с распространением вредоносного программного обеспечения Mirai. Хакеры взламывают девайсы интернета вещей и используют их для проведения DDoS-атак и хостинга инфраструктуры троянов.
При этом, как отмечено в исследовании, преступники изменили тактику формирования ботнетов и специально ищут гаджеты, имеющие известные уязвимости.
Блокчейн обещает защиту IoT по тем же причинам, по которым он является сердцем криптовалют: уверенность в легитимности данных и четкий процесс их утверждения. Так говорит IoT-эксперт Ахмед Банафа (Ahmed Banafa) и преподаватель в Университете штата Калифорния в Сан-Хосе. Банафа написал популярный обзор потенциала блокчейна для решения проблем безопасности IoT.
Однако дело в том, что простой регистрации девайса в блокчейне недостаточно. Как говорит Томас Хардджоно (Thomas Hardjono) из MIT Connection Science, необходима инфраструктура для управления устройствами и контроля доступа к данным.
Одним из решений может стать проект ChainAnchor, разработку которого ведут в MIT. Это фреймворк, который будут поддерживать создатели умных гаджетов, провайдеры данных и независимые разработчики. Идея состоит в том, что участники сети, в обмен на поддерживание безопасности, получат возможность продавать анонимные данные с IoT-устройств. Фреймворк имеет механизмы, позволяющие блокировать скомпрометированные устройства, а также отключать от блокчейна легитимные гаджеты при смене владельца.
Исследователи из Университета Нового Южного Уэльса предлагают иной подход к безопасности IoT. В их модели блокчейн-защищенного умного дома имеется «майнер», который заменяет роутер для управления сетевыми транзакциями. Это устройство руководит коммуникациями между домашними IoT-устройствами и внешним миром: авторизует новые девайсы и отключает гаджеты с подозрительной активностью. Если компонент интернета вещей оказался частью ботнета, блок-майнер увидит это и прекратит высылать его пакеты за пределы домашней сети.
Еще одной работой, основанной на распределенных реестрах, является проект IOTA. Он представляет собой криптожетон для микротранзакций и оптимизирован для использования в интернете вещей. Блокчейн IOTA создается легким, чтобы справиться с сетью умных устройств, число которых в ближайшие десять лет, по некоторым оценкам, вырастет до 50 миллиардов.
Легкость достигается за счёт использования технологии Tangle. Это направленный ациклический граф, в котором отсутствуют направленные циклы (пути, начинающиеся и кончающиеся в одной и той же вершине). Такой подход исключает централизацию майнинга, расширяет пределы масштабируемости и позволяет работать в условиях неограниченного роста данных.
Блокчейн и будущее кибербезопасности
Блокчейн обеспечивает фундаментально иной подход к кибербезопасности, который распространяется за пределы узловых серверов и включает защиту данных пользователей, каналов общения и критической инфраструктуры, поддерживающей бизнес-процессы организаций.
Уязвимости централизованных систем становятся все более очевидными с ростом числа кибератак. Новые угрозы в интернете будут возникать всегда. Блокчейны не станут «серебряной пулей», однако они выступят мощным инструментом, который инженеры смогут использовать для повышения надежности своих систем.
P.S. На нашей страничке в Facebook мы опубликовали дайджест об особенностях блокчейн-технологий. В нем мы собрали материалы из нашего блога на Хабре и англоязычного интернета, посвященные криптографии и консенсусу. Найти его можно по ссылке.
