Žao mi je, ali blockchain baze podataka nisu baš tako bezbedne

Preuranjeni, neprovereni softver, kriminalna infiltracija, višestruke varijacije u tehnologiji i nedostatak iskustva su samo neki od razloga za nepoverenje u distribuirane hiper glavne knjige u vašem poslu.

Svaka diskusija o blockchain-u čini se da počinje sa nekom varijantom izraza „sigurna, distribuirana hiper glavna knjiga“. Ne poričem činjenicu da je to hiper glavna knjiga – drugim rečima, kontinuirano rastuća lista povezanih zapisa. I prihvatam da se opisuje kao distribuirana – u ovom slučaju, na mreži među ravnopravnim partnerima koji komuniciraju preko protokola koji opisuje kako se overavaju novi zapisi koji se dodaju u lanac.

Međutim, čini mi se da prenagljujemo ako opisujemo blockchain kao „bezbedan“. To je tvrdnja koja za bilo koji sistem mora stalno da se dokazuje na raznim nivoima, scenarijima, aplikacijama i drugim kontekstima. Bilo bi preciznije opisati tehnologiju kao kriptografski obezbeđenu distribuiranu hiper knjigu. Ova definicija ostavlja otvorenim ključno pitanje da li je ta taktika sama za sebe dovoljna da bi se smanjila ranjivost blockchaina od fajsifikata, krađe lozinki, zlonamernog softvera za uskraćivanje usluga i drugih napada.

Zapravo, ne morate previše da kopate po rastućoj literaturi o blockchainima da bi vam pale u oči bezbednosne ranjivosti. U stvari, pitanja bezbednosti sa blockchainom izgledaju kao lanac za sebe, u kojem slabe veze sve više nadjačavaju snagu koja se dobija osnovnim osloncem ove tehnologije na jaku kriptografiju javnih ključeva. Bezbednosna ranjivost ove tehnologije počinje da dobija na značaju u vašoj svesti ako razmišljate o tome kako sve više skladištenog bogatstva i komercijalne razmene u svetu počinje da se čuva u raznovrsnim blockchainima.

Blockchain je više od distribuirane baze podataka – to je rastući sistem zapisa na koji će se globalna ekonomija čvrsto oslanjati. Koliko je ona bezbedna, u stvari? I koliko troškova, vremena i nevolja treba bilo ko od nas da utroši da bi svoje blockchain implementacije doveli u dovoljno bezbedno stanje da bismo opravdali stavljanje kritičnih podataka u distribuiranu hiper knjigu?

Ono što je jasno jeste da smo najčešće mi korisnici najslabija karika u blockchainu. Napadači će uvek iskorišćavati ranjivosti na krajnjoj tački – drugim rečima, našu sopstvenu nesposobnost da obezbedimo identitet blokova, ključeve, akreditive i softver koji instaliramo na našim računarima, mobilnim telefonima i drugim sistemima. U praksi bi to moglo da nas izloži pecanju, zlonamernom softveru, napadima rečnicima za lozinke i drugim vrstama napada koji naše podatke u lancu – kao što je kriptovaluta – ostavljaju izložene krađi.

Kada podržava složene komercijalne transakcije, blockchain će često izvršavati ono što je poznato kao „pametni ugovori“, koji bi sami po sebi mogli da predstavljaju ozbiljnu bezbednosnu ranjivost. Pametni ugovori, koji se upišu u blockchain, mogu da kodiraju složene poslovne, finansijske i pravne aranžmane. Ako dobiju pristup administratorskim ključevima blockchain-a sa dozvolama, kriminalci će moći da ubace lažne pametne ugovore koji će im omogućiti da prikriveno pristupaju poverljivim informacijama, kradu kriptografske ključeve, pokreću neovlašćene prenose sredstava i učestvuju u drugim napadima na vaše poslovne resurse.

Složenost potpuno izgrađenog blockchain ekosistema je takođe ranjivost koje prosečan korisnik može da ne bude svestan. Pored potrebe za obezbeđivanjem krajnjih tačaka i sistema koji upravljaju pametnim ugovorima, biće vam potrebna i garantovana bezbednost procesora plaćanja kriptovalutom i rešenja koja integrišu blockchain u sisteme aplikacija vašeg preduzeća. To, zatim, zahteva intenzivno proveravanje pouzdanosti proizvođača blockchain sistema, koja se može dovesti u pitanje, s obzirom na to koliko malo IT profesionalaca ima iskustva sa ovom nedozrelom tehnologijom.

Nažalost, sa novim proizvođačima blockchain rešenja koji se pojavljuju svakog dana, mnogi od njih možda nemaju evidenciju, referentne kupce ili studije slučaja na koje se možete pouzdati kako biste se uverili u njihovu pouzdanost.

Čak i sa afirmisanim provajderima, komercijalna rešenja za blockchain mogu da budu nova na tržištu ili se objavljuju u alfa ili beta verziji mnogo pre nego što su spremna za primenu u preduzećima, tako da rizikujete da pokrenete blockchain sa neproverenim, nepravilnim, nebezbednim kodom koji još uvek nije očvršćen na terenu i čije skaliranje nije dokazano.

Štaviše, postoje brojni protokoli za blockchaine, mehanizmi pametnih ugovora, mrežni prolazi i centrale, svaki sa sopstvenim greškama i bezbednosnim ranjivostima. Vaše preduzeće može implementirati raznovrsne blockchaine – sa dozvolama i bez dozvola, interne i B2B – u spremištima koja podržavaju različite aplikacije. Morate da se pozabavite ugroženostima svakog okruženja u izolaciji i, ako pokušate da ih povežete jedne sa drugima ili u veći Big Data ekosistem, pokušajte da svedete na minimum sve bezbednosne probleme koji će iskrsnuti u kompleksnim interakcijama među ovim okruženjima.

Ako nekim od blockchaina u kojem učestvujete upravlja konzorcijum, moraćete detaljno proučiti operativne postupke te organizacije da biste se uverili da ona upravlja okruženjem sa kraja na kraj uz čvrstu bezbednost. S obzirom na to da ne postoje univerzalni propisi koje ovi konzorcijumi moraju da poštuju, moraćete odvojeno da procenite bezbednosnu praksu svakog konzorcijuma, bez garancije da je nivo bezbednosti jednog blockchaina direktno uporediv sa drugima. Neki konzorcijumi blockchainova omogućavaju učesnicima da zadrže anonimnost, pa to može pružiti pokriće za prevaru i otežati vlastima da pronađu izvršioca.

Još više zabrinjava činjenica da su farme za prekopavanje na kojima se grade blockchainovi udomljene širom svijeta. Mada to može blockchainu da pruži određen stepen redundantnosti i otpornosti, to bi moglo da ga izloži pustošenju sumnjivih špekulanata koji obmanjuju nesvesne učesnike blockchaina preko onog što se često naziva „napad od 51 procenta“. Ako jedna stranka ili grupa zaverenika kontroliše više od polovine računarskih čvorova koji se trenutno koriste za prekopavanje na datom blockchainu, ona može da postigne konsenzus „dokaza o radu“ koji je potreban da bi se u taj lanac kradomice upisale lažne transakcije u svoju korist na račun drugih učesnika.

Ova pretnja je naročito opasna kada se blockchain tek započinje, kada je broj čvorova prekopavanja mali i stoga je lakše da jedan pojedinac ili grupa zaverenika sekne najmanje polovinu dostupne računarske snage. Opasnost je još veća pošto se operacije kripto prekopavanja prebacuju ofšor u države i regione gde je električna energija jeftina, regulatorni nadzor nije prisutan, a kriminalci i teroristi obiluju.

Kako da industrija blockchainova rešava ove ranjivosti na sveobuhvatan način? Za početak, Wikibon (istraživačka firma za koju radim) poziva Linux Fondaciju da pokrene projekat hiper knjige namenjen uspostavljanju otvorenog, fleksibilnog radnog okvira koji će obezbeđivati sigurnost blockchainova sa kraja na kraj, obuhvatati krajnje tačke aplikacija, mrežne prolaze preduzeća i tako dalje. Wikibon takođe poziva proizvođače poslovnog softvera da ugrađuju snažnu bezbednost u svoje akceleratore za raspoređivanja blochchainova.

Nemojte da se zanosite utopističkim pričama o blockchainu. Ove hiper knjige otvorenog koda su samo tema više u okruženjima podataka u hibridnim oblacima na kojima više preduzeća razmešta svoje kritične aplikacije.

Blockchaine bi trebalo da implementirate jedino ako ste proverili njihove ranjivosti, uveli potrebne tehničke i proceduralne zaštitne mere i utvrdili da je potencijalna poslovna vrednost veća od rizika.

Izvor: InfoWorld

4944-xa-zao-mi-je-ali-blockchain-baze-podataka-nisu-bas-tako-bezbedne-xa