Pratima Harigunani
Papiersnitte is nie so ernstig soos slangbyte nie. Ons weet dit. Van sekuriteit gepraat, vurke is nie so skrikwekkend soos messe nie. Daardie. Ons weet nog nie.
Dit was nie veronderstel om so te gebeur nie; maar dan, wanneer werk die lewe (en tegnologie) op veronderstellings! Mense – geniale-slim-dapper-rebelse mense – het om die kapsule saamgedrom. Sommige het hul voete geskuifel toe die eerste sny gemaak is. Sommige het ineengekrimp en hul oë toegemaak terwyl die naald in- en uitstap vir 'n steek. Sommige het geglimlag terwyl die liggaam met 'n nuwe klank weer lewendig word. Die onnavolgbare en ysterbeklede wese is pas geopereer. Terwyl die chirurge uit die kamer beweeg het, het 'n paar oë op die wese gebly. Skugter en bekommerd mompel hulle vir mekaar.
“Maar was hierdie spesie nie ontwerp om nooit op enige manier te verander nie?
“Was die mutasies nodig?
"Wat as hierdie nuwe gene 'n Frankenstein daarvan maak?"
“Die linkerkant sal anders funksioneer en die organe aan die regterkant sal glad nie inmeng nie? Hoe sal dit selfs werk?
"Vergeet dit. Het jy nie gesien nie, ons het sy laminering oopgemaak! God weet watter virusse ingegly het voordat ons dit terug verseël het!”
Hulle hoorbare gedagtes is onderbreek met 'n ferm klop aan die deur. Dit was tyd om uit te stap en te hoop alles sal glad bly. En veilig.
Vurke – nie net 'n stomptoon nie
Om 'n ophef te maak oor geringe veranderinge in weer is elke neurotikus se reg. En dikwels is hulle nie sonder 'n regverdige argument nie. Niemand het geweet dat die onneembare wêreld van blockchain sal eendag sy eie deel van bedreigingsvoorspellings en Houdini-styl hacks hê. En tog is ons hier, in 2019, verby 'n reeks Exchange-inbrake, wanware wat krip, beursie diefstal en wat nie.
Ons het 'n McAfee Blockchain-bedreiging verslag waarsku die bedryf goed - "Sonder 'n duidelike begrip van waar die risiko's is, kan jy onbehoorlike vertroue in jou blokketting-implementerings plaas. Soos ons gesien het, is foute maklik om te maak. Gebruikers is selfs moeiliker om te beheer en kan negatief bydra tot die risiko. Ons moet leer uit onlangse gebeure om beter besluite te neem om ons tegnologie vir môre te verseker.
Selfs Checkpoint se 2019 Sekuriteitsverslag, Cyber Attack Trend Analysis beklemtoon hoe Jenkins Miner, RubyMiner ens. prominente bedreigings was om verlede jaar te reken; met meer as 20 persent organisasies wat elke week deur cryptojacking wanware beïnvloed word. "'n Jaar nadat hulle die wêreld met storm verower het, toon kriptomners geen voorneme om binnekort te verlangsaam nie. Nuwe, gesofistikeerde wanware-families hou aan om mynbouvermoëns by hul kode te integreer ...” Wanneer top wanware-kaarte van 2018 kripto-malware met 'n wêreldwye impak van ongeveer 40 persent wys – dan is dit nie paranoïes om bekommerd te wees oor wat volgende kom nie
Niemand het verwag dat die goed gesementeerde wêreld van kripto-geldeenhede enige duike sou hê nie; en tog het ons 'n jaar vol aanvalle. En vurke, of opgradering van die protokol, gaan goeie verskonings wees vir die zenuwagtiges om elke 15 sekondes na die ontsmettingsmiddel te gryp. Het ons beter immuniteit of meer broosheid opgebou deur harde en sagte vurke te kies?
MRI-masjien vir hoofpyn?
Opgraderings kan 'n mors van paniek wees. Of nie. Die sekuriteit van 'n blokketting hang immers af van sekere aannames - soos die bydrae tot die netwerk, word die 'hash rate' goed versprei sodat geen enkele entiteit of samewerkende groep meer as 50 persent van die netwerk te eniger tyd kan verwerk nie.
Wat gebeur dan wanneer vurke, veral omstrede, lei tot 'n herskommeling van ontwikkelaars en mynwerkers? Of wat as dubbelbesteding maklik word (indien nie na of as gevolg van, dan ten minste, tydens 'n vurk) sodat dieselfde muntstuk verskeie kere spandeer kan word en een ontvanger met leë hande laat? Het ons nie nodig om te leer oor die risiko van kleiner munte en kettings uit wat ons met Verge of Krypton gesien het nie.
Sou intern-ontwikkelde kettings of sykettings ook inherent kwesbaar wees vir 'n gebrek aan eerlike nodusse - nog 'n onderbou of aanname van 'n blokketting se sekuriteit?
Indien nie enigiets anders nie, is twee onmiddellike en bewese vreeskoeëls die moeite werd om 'n bietjie oor te sweet:
- Piksakkies in 'n stormloop of in 'n klein stegie:
Die oorgangsfase van ou vurk na nuwe opgradering neem tyd – totdat almal hul koppe om die groot verandering kry. Dit kan 'n ryp venster wees vir kuberkrakers om te mik na swak of ideelose beursie-gebruikers en -uitruilings, spesiaal gesentraliseerde. Ook, terwyl implementeringskwesbaarhede (die Bitcoin wiki het 'n lys van algemene kwesbaarhede en blootstellings wat verband hou met amptelike nutsgoed) – wat algemeen ontdek en reggemaak word na vrystelling – het 'n verlangsaming in ontdekking gesien. Maar die gebied van gemeenskaps- en derdeparty-instrumente is steeds 'n vraagteken. Onthou die nul-dag-uitbuiting wat PyBitmessage (Feb 2018) getref het, 'n peer-to-peer-boodskap-oordraginstrument wat die geldeenheid se blokoordragstelsel weerspieël. Kleiner gemeenskappe en minder hulpbronne, soos in die middel van Julie 2017 met Iota gesien, kan ook vatbaar word vir muntdiefstal.
Boonop, wanneer gebruikers 'n hardvurkte munt opeis of geld na 'n vurk herrangskik of geld uit vroeëre beursies leegmaak, is daar 'n nuwe kwesbaarheid oop van die blootstelling van private sleutelinligting wat nodig is vir die eis. Indien nie dit nie, is daar ten minste 'n risiko dat finansiële privaatheid onder die papierversnipperaar kom. - Verwarring en duplisering:
Dubbelbesteding en hash-botsings is nie maklik om te ignoreer nie - al is dit net 'n teorie-bedreiging. Iemand het tereg die goue reël van kriptografie 'Moenie jou eie kripto skep nie' herinner toe die behoefte aan ekstra sorg vir enige pasgemaakte kode (of veranderinge aan kripto-verwante funksies) uitgelig is. Vurke en opgraderings moet streng gekontroleer word voor produksie, veral wanneer ons praat oor 'n wesenlik-gedesentraliseerde gemeenskap soos blockchain. Wanneer vurke self vol wrywing en eindelose debatte is, kan hierdie bekommernisse versterk word. Die migrasies van MD5 na SHA-1 na SHA-256 hashing en Verge-ontwikkeling is wesenlike voorbeelde van die behoefte aan goeie produksiegereedheid hier. As kundiges van Digital Asset navorsing het gewaarsku: "Konteks en tydsberekening is die sleutel wanneer dit by vurke kom." Meer nog, met veranderinge wat beide drasties en skielik is.
Om hierby te voeg, is daar moontlikheid (al is dit vir eers net op papier) om munte of herhalingsaanvalle vooraf te ontgin wat duplisering kan gebruik om geld te munt ten koste van ander. As geen 'herhalingsbeskerming' in plek is nie, is transaksies wat die oordrag van die oorspronklike blokketting se munte behels, geldig op beide kettings, en dus maak 'n skuiwergat oop vir kuberkrakers om hierdie selfde transaksie kwaadwillig op die nuwe gevurkte blokketting te speel.
Nee Rachel, jy lyk nie vet in 'n X-straal nie
Gelukkig het geen groot alarm of skade plaasgevind van die vurke wat tot dusver gedoen is nie. Dit kan weer wees, met vergunning van die onderliggende krag en gemeenskapsywer waarmee blockchain toegerus is. Trouens, selfs aanlyn debatte oor 'of mynwerkers moontlik SegWit-transaksies op The Real Bitcoin kan steel?' het antwoorde gehad wat sê - " ... seker, jy kan munte wat in Segwit-transaksies bestee is hardvurk en steel, maar niemand sal omgee nie, want dit sal 'n harde vurk wees en dit sal net nog 'n altcoin word waaraan niemand ooit dink nie."
Nog 'n interessante beskerming wat na vore gekom het, is hoe mynwerkers aangespoor word om nie hardvurk en munte te steel nie. Maar hierdie aanlyn tafeltennis laat mense ook wonder oor die korttermyn, sowel as langtermyn, sekuriteit van beide kettings aangesien die hash-krag na twee kettings versprei word en daar 'n negatiewe uitwerking op waarde is wat kan ontstaan. Soos een opmerking het dit goed aangewakker- “... 'n projekvurk sou die gemeenskap in beroering bring. Sommige ontwikkelaars gaan dalk weg, sommige maatskappye kan bankrot wees, baie gebruikers sal geld verloor. Die gemeenskap sal moet herorganiseer, aan bestuur moet werk, nuwe doelwitte moet uitwerk en spanne moet herbou. Blokke sal stadiger word as gevolg van hash-krag wat na twee kettings verdeel word ..."
En dan is daar breër vrae, soos hierdie een deur Jannes gestel het: “Waarom sou enigiemand ’n stelsel vertrou waarvan die fundamentele reëls deur ’n eenvoudige mindere meerderheid verander kan word? Watter soort "digitale goud" waarborg is dit?
Or tweets soos hierdie wat angstige gebruikers goed versorgde naels laat byt: “’n SV-mynwerker kan selfs wettiglik ’n ketting doodmaak. Dit is die mynwerker se reg,” het 'n Hoofwetenskaplike van nChain ook die belangrikheid van ekonomiese aansporings in plaas van die sogenaamde Wiskunde onderstreep as die ware wortel vir mynwerkers om eerlik te bly. Om nie herhalingsbeskerming te gebruik nie as die werklike toets van 'eerlike meerderheid' kan goed wees vir een ketting se stewigheidstoets, maar kan 'n paniek-oomblik vir gebruikers wees. Die wetenskaplikes hier het ook ander bedreigings soos gifblokaanval, ontkenning-van-diensaanvalle, netwerkpartisie-aanvalle en nul-dag-uitbuitings as belangrike areas van kommer genoem.
Tot dusver is die waters kalm – behalwe vir sommige storms in sommige teekoppies. Soos Sanjay Katkar, CTO, Quick Heal Technologies gerusstel: "Sagteware-opgraderings maak die ketting net veiliger. Wat ook al later kom, is altyd sterker en beter toegerus. Daar is ook geen kommer tydens oorgang nie – danksy die manier waarop die sagteware ontwerp is. Die oue sal aangaan soos gewoonlik en die nuwe sal veiliger wees.” Hy meen egter dat ontwikkelaars wat onttrek 'n uitdaging kan wees gegewe die oop en verspreide aard van die blokketting. "Hoe meer ontwikkelaars, hoe beter is dit ook vir sekuriteit."
Nietemin, dit maak nooit seer om op te let vir wat moontlik is en voorbereid te wees nie. Die operasie word gedoen. Die wese het geen groot tekens van alarm nie – geen wankelende voete, geen vreemde geluide, geen vreemde burpe nie.
Miskien as ons ophou soek na vermiste kanaries. Maar vir katte wat hulle geëet het. Of vir honde wat nie blaf nie.
