Cybersecurity per la Blockchain e la Blockchain per la cybersecurity (1/3)

Introduzione

Di solito quando una nuova architettura e tecnologia vengono inserite nel mercato, le persone pensano ai vantaggi e all’innovazione trascurando un aspetto molto importante: la sicurezza informatica della nuova soluzione. Questo non è però un aspetto peculiare dell’informatica, ahimè è valido in generale in molti contesti. Un esempio è la F1, infatti le norme sulla sicurezza vengono molto spesso aggiornate solo a seguito di un grave incidente.

Se consideriamo il campo della CyberSecurity, purtroppo questo è ancora più grave. Oggi ci affidiamo all’Information Technology e, una volta che adottiamo una tecnologia, trasferiamo irreversibilmente al suo interno i nostri processi senza curarci di verificarne prima la sicurezza. Trascurare la sicurezza informatica in ambito aeroportuale, ad esempio, in un’applicazione di check-in che non funziona correttamente potrà portare l’aereo a non decollare e costringerà l’utente a rimanere in aeroporto.

L’ Intelligenza Artificiale gioca un ruolo rilevante nello sviluppo della Blockchain; infatti, permette di gestire processi in maniera più efficiente ed aggiungendone valore. Ma cosa succederebbe se l’Intelligenza Artificiale venisse hackerata? Il meccanismo di attacco è identico al Cloud e all’ Internet of Things (IoT). Oggi dobbiamo chiederci: la Blockchain può quindi essere hackerata come già è successo per soluzioni Cloud e IoT?

Un altro elemento che vogliamo considerare è il seguente:

  • Gli hacker sono tecnici, persone molto esperte di tecnologia e che studiano ogni giorno come sfruttare una vulnerabilità, come avere successo con un attacco.

La tecnologia può contare sulla sua efficienza, ma molto probabilmente anche gli hacker saranno riusciti a trarre vantaggio dalla specifica tecnologia per migliorare i propri attacchi. Pertanto, la domanda è: gli hacker stanno usando la Blockchain?

La Blockchain può essere hackerata?

Per rispondere a questa domanda, si deve pensare come un hacker e nel dettaglio un hacker pensa solitamente a questi tre elementi:

  1. Qual è il punto di vulnerabilità?
  2. Quali sono le vulnerabilità che possono essere sfruttate?
  3. Qualcun altro ha già avuto successo nell’hacking?

Punto di vulnerabilità

  • Nodo: server dei partecipanti coinvolti nella blockchain
  • Transazione: insieme di dati scambiati tra due endpoint e che richiedono la verifica, approvazione e archiviazione
  • Blocco: insieme di transazioni verificate, approvate e archiviate
  • Registro (ledger): registro pubblico in cui vengono archiviate le transazioni. Nel ledger ci sono blocchi “concatenati” uno con l’altro con algoritmi di crittografia e hash
  • Hash: è una funzione che trasforma una stringa in un’altra di lunghezza costante. L’hash identifica il blocco e non può essere utilizzato per invertire le informazioni e che le transazioni sono molto probabilmente avviate da esseri umani e l’architettura generale è basata sull’idea di fiducia (trust).

È importante analizzare i tre elementi elencati prima:

  • Qual è il punto di vulnerabilità?
  • Quali sono le vulnerabilità che possono essere sfruttate?
  • Qualcun altro ha già avuto successo nell’hacking?

Vulnerabilità

Endpoint

Una delle vulnerabilità più probabili della blockchain è al di fuori della blockchain stessa. Definiamo “vulnerabilità degli endpoint”.

Gli endpoint, proprio come ci si potrebbe aspettare, sono gli spazi in cui uomini e Blockchain si incontrano. Per la maggior parte, gli endpoint sono i computer che gli individui e le aziende utilizzano per accedere ai servizi Blockchain.

Indipendentemente dal fatto che i fornitori di tali servizi siano istituzioni finanziarie, industrie o criptovalute, l’uso di una Blockchain inizia con le informazioni inserite in un computer e termina con le informazioni restituite da un computer. È durante il processo di accesso alla Blockchain che i dati sulla catena sono più vulnerabili.

In particolare, le credenziali necessarie per accedere alla Blockchain possono rappresentare l’elemento di esposizione agli aggressori sugli endpoint. Si tratta, in effetti, di un limite dell’utente e questo ci ricorda che nella sicurezza informatica il comportamento umano è la più grande vulnerabilità utilizzata dagli aggressori.

Sicurezza della chiave pubblica e privata

L’accesso a una Blockchain richiede sia una chiave pubblica che una privata. Poiché è impossibile accedere ai dati all’interno di una Blockchain senza la giusta combinazione di chiavi pubbliche e private, questo rappresenta il punto di forza e di debolezza della tecnologia Blockchain. Senza le chiavi idonee, nessun hacker potrà mai accedere ai dati. Nel mondo della Blockchain, il possesso di chiavi e proprietà dei contenuti sono assolutamente sinonimi.

Poiché gli hacker di solito non disperdono tempo a indovinare, la migliore possibilità di ottenere le chiavi è quella di attaccare il punto più debole dell’intero sistema: il personal computer o il dispositivo mobile.

Ogni volta che le chiavi Blockchain vengono inserite, visualizzate o archiviate non crittografate su tali dispositivi, gli hacker possono acquisirle. Sfortunatamente, la maggior parte delle persone non protegge adeguatamente i propri dispositivi.

Pertanto, non si può pensare che la Blockchain sia sicura di per sé, ma lo diventa solamente se si attuano le giuste forme di protezione, ad esempio proteggendo il proprio laptop o dispositivo.

Rischi del fornitore

La Blockchain di per sé non ha alcun valore, lo acquista se si possano trasferire le informazioni dentro e fuori da essa. Pertanto, la Blockchain non ha valore se non ci sono applicazioni in esecuzione su di essa. Man mano che l’adozione della Blockchain diventa maggiore e le applicazioni che a loro volta la utilizzano crescono, è possibile aspettarsi di assistere allo sviluppo di terze parti all’interno dell’ecosistema Blockchain ed in particolare in queste sei aree principali:

  1. Piattaforme di integrazione Blockchain
  2. Processori di pagamento
  3. Wallet
  4. Fintech
  5. Piattaforme di pagamento Blockchain
  6. Smart contract

Le organizzazioni che desiderano distribuire applicazioni e piattaforme Blockchain di terze parti devono essere consapevoli che la loro sicurezza dipende dalla sicurezza del loro fornitore.

Scalabilità

Una delle principali preoccupazioni sulla sicurezza della Blockchain è quella a cui molti nel settore preferirebbero non pensare: cosa succede su larga scala?

Le architetture Blockchain sono ovviamente scalabili. Ad oggi, non ci sono stati problemi di sicurezza significativi derivanti dall’espansione organica delle Blockchain; tuttavia: “siamo così sicuri che rimarrà lo stesso per sempre”?

Nessuno standard e regolamenti

I puristi della Blockchain sono preoccupati per regolamenti o standard.

I governi e le istituzioni finanziarie spingono affinché la Blockchain venga sottoposta a regolamenti, ma molti degli utenti attuali presumibilmente lasceranno le piattaforme qualora queste dovessero essere sottoposte a nuovi regolamenti più stringenti.

Siamo quindi alle prese con un dilemma. Molti degli utenti attuali lasceranno le piattaforme quando saranno presenti più regole, ma le stesse, sono necessarie nella maggior parte dei settori in cui la più grande innovazione è la Blockchain.

Se ci riferissimo alla seconda vulnerabilità discussa in questo articolo, rischi del fornitore, diventa difficile vedere come una qualsiasi delle sei applicazioni menzionate non possa beneficiare di un certo livello di standardizzazione, se non di regolamentazione.

La mancanza di protocolli standard significa che gli sviluppatori di Blockchain non possono beneficiare facilmente degli errori degli altri. Con ogni azienda, ogni consorzio e ogni prodotto che opera secondo un diverso insieme di regole, sono presenti i rischi che derivano da una tecnologia non standard di qualsiasi tipo.

Inoltre, a un certo punto, potrebbe essere necessario integrare le catene. La mancanza di standardizzazione può significare nuovi rischi per la sicurezza a causa della fusione di diverse tecnologie.

La soluzione alla questione delle norme e dei regolamenti è più complessa di quella della maggior parte delle questioni tecniche. Tuttavia, queste domande alla fine si risolveranno da sole.

Come molte altre tecnologie, l’evoluzione porterà alla fine alle seguenti regole:

  1. Regolamentazione forzata e standard laddove ha senso;
  2. Regolamentazione e standardizzazione autoimposte tra consorzi nelle aree in cui è necessaria l’innovazione;
  3. Nessuna regolamentazione o standardizzazione per le Blockchain built in-house e utilizzate solo all’interno dell’organizzazione.

La Blockchain e tutte le applicazioni sono testate contro la CyberSecurity?

Blockchain e applicazioni si basano su Internet, su software, su sistemi operativi. Questo è qualcosa che vale anche per le infrastrutture critiche. Le vulnerabilità possono dipendere da migliaia di fattori e possono essere testate solo in produzione.

Per le infrastrutture critiche non è possibile applicare tutti i controlli di sicurezza in quanto la loro applicazione non è possibile. Ad esempio, non è possibile effettuare penetration test in produzione in quanto il rischio è di bloccare uno SCADA. Anche per la Blockchain non è possibile testare in anticipo, poiché costruire un ambiente replicato sarebbe difficile e molto costoso.

È necessario garantire supporto nella risposta e nella gestione degli incidenti di cybersecurity (PSIRT), in quanto la segnalazione, la rapida eliminazione e l’informazione sulle vulnerabilità di sicurezza contribuiscono al fatto vengano soddisfatti sempre i vigenti requisiti di sicurezza.

Conclusione

Come ridurre il rischio? Proteggendo l’endpoint, assicurandosi che il fornitore sia sicuro e ciò significa cercare fornitori che forniscano applicazioni e registri (ledger), controllare che abbiano un PSIRT (Product Security Incident Response Team) e se condividono le informazioni. Infine, incentivare la possibilità di avere regolamenti o autoregolamentazioni.

 

Articolo a cura di Rosita Galiandro

Profilo Autore

Rosita Galiandro ha conseguito la laurea Magistrale in Sicurezza Informatica presso l’Università di Bari.
Attualmente ricopre il ruolo di Responsabile Osservatorio CyberSecurity presso Exprivia.
Contribuisce alle attività di prevendita, ha partecipato a progetti di risk assessment e GDPR compliance e collabora in piani di insegnamento con diverse università nell’ambito CyberSecurity e nel progetto CyberChallenge.IT. Fa parte della community Women For Security.

Condividi sui Social Network:

Articoli simili