بلاک چین در امنیت سایبری به چه معناست؟

کمیته رکن چهارم – آیا بلاک چین‌ها تعریفی دوباره برای امنیت سایبری هستند یا در واقع به جای حل چالش‌های امنیتی، چالش‌های دیگری به آن اضافه می‌کنند؟

بسیاری، تأثیرات لرزه آوری که اینترنت در جهان ایجاد کرده است را با تأثیراتی که بلاک چین در دهه آینده ایجاد خواهد کرد مقایسه کرده‌اند. همین قیاس در خصوص محاسبات ابری یا کلاود، هوش مصنوعی و چندین مورد دیگر از تکنولوژی‌های کلیدی فناوری اطلاعات (IT)  نیز گفته است و به همین دلیل نباید هر آنچه گفته می‌شود را باور کرد.

بعلاوه، خود معاون ارشد پیشرفت بلاک چین ، Liana M. Douillet Guzman  گفته است که “فکر نمی‌کنم بلاک چین راه علاج باشد”.

با این وجود، این ناحیه مشخصاً حوزه‌ای است که احتمال رشد آن در سال‌های پیش رو وجود دارد. در گزارشی که توسط Grand View Research انجام شده است، گفته شده که بازار بلاک چین تا سال ۱۴۰۳رشدی در حدود ۷.۷۴ میلیارد دلار خواهد داشت.

بلاک چین (blockchain) دقیقاً چیست؟

Guzman چنین بیان می‌کند که “بلاک چین‌ها شبکه‌های تراکنشی هستند؛ یک بلاک چین یک پایگاه داده امن است که به صورت جهانی تکثیر شده است. شما می‌توانید آن را به عنوان یک اکسل امن، تغییرناپذیر و ماندگار در کلاود در نظر بگیرید که به لطف طبیعت توزیعی‌اش ریسک مسئولیت را از بین می‌برد”.

او پیش از تأکید بر این مطلب که تنها پروتکل بلاک چین که امروزه به صورت فراگیر در حال استفاده است (بیت کوین)، و برای هشت سال متمادی بدون وقفه عمده‌ای، در حال اجراست، اضافه کرد ” اگر یکی از گره‌ها آفلاین شود، باقی شبکه می‌تواند به ثبت تراکنش‌ها بدون لحظه‌ای وقفه ادامه دهد.”

با این وجود، چندین بلاک چین آزمایشی دیگر نیز در دست اقدام هستند. برای مثال، شرکت کشتیرانی بین‌المللی Maersk همراه IBM بر روی پروژه‌ای کار می‌کند که به مدیریت زنجیره تأمین در سراسر جهان کمک کرده و مدارک مستند شده ده‌ها میلیون از کانتینر‌های کشتیرانی در سرتاسر جهان را ردگیری کرده است.

خیریه نجات کودکان انگلستان قصد ایجاد یک ” گذرنامه بشردوستانه ” با استفاده از بلاک چین را دارد و خرده‌فروشی Walmart در چین از بلاک چین برای ردگیری زنجیره تأمین کالاهای غذایی به منظور بهبود سلامتی و استانداردهای ایمنی استفاده می‌کند.

به نظر می‌رسد که این تکنولوژی در میدان دید هر شرکت بزرگی قرار داشته باشد، خصوصاً شرکت‌هایی که در حوزه خدمات مالی در حال فعالیت‌اند. David Young، کارمند ارشد تکنولوژی که امنیت را یکی از مزایای کلیدی تکنولوژی می‌داند، می‌گوید: Metro Bank، جدیدترین بانک خرده‌فروشی انگستان، حواسش به توسعه‌های در حوزه تکنولوژی هست.

با این حال، John Palfreyman، مدیر اجرایی بلاک چین در بخش کلاود IBM، بر این نکته تأکید کرد که ساختار بلاک چین به خودی خود نسبت به سایر ساختارهای تکنولوژی امن‌تر یا ناامن‌تر نیست. از نظر او، جذابیت اصلی بلاک چین نه مزایای امنیتی آن بلکه برنامه‌هایی است که به وسیله آن می‌توان آن‌ها را فعال نمود.

“کدی که بلاک چین را پشتیبانی می‌کند نسبتاً جدید و تست نشده است”

یک سری مزایای امنیتی وجود دارد

از آنجایی که امنیت سایبری تبدیل به یک نقطه کانونی برای کسب و کارها شده است، بسیاری از سازمان‌های IT در جست وجوی این مطلب خواهند بود که ببینند بلاک چین می‌تواند آن‌ها را در سیستم امنیتی‌شان کاراتر و قوی‌تر سازد و اگر بله چگونه این کار را انجام می‌دهد.

دکتر Joao Ferreira، متخصص امنیت سایبری در دانشگاه Teeside انگلستان، اذعان کرده است که دو مزیت کلیدی وجود دارد، اولین آن ثبات و پابرجا ماندن داده است.

به گفته او “در حالت تئوری، مداخله در داده غیرممکن است؛ شما نمی‌توانید یک داده ثبت‌شده در بلاک چین را به سادگی تغییر دهید چرا که این داده یک ساختار هش دارد که توزیع‌شده است. بسیاری از حملات به علت توانایی مجرمان در تغییر اطلاعات رخ می‌دهند، بلاک چین می‌تواند برای جلوگیری از رخ دادن چنین اتفاقاتی مورد استفاده قرار بگیرد”.

بلاک چین از یک الگوریتم اجماع (توافق عام) استفاده می‌کند و در نتیجه هرگونه تغییر در آن می‌بایست توسط شبکه، مورد تائید قرار بگیرد که اینکار هزینه‌ای را با خود به دنبال دارد.

او می‌گوید “برای ایجاد هر تغییری باید هزینه‌ای پرداخت شود بنابراین هر گونه حمله‌ای به سرویس بر اساس بلاک چین با سختی بیشتری مواجه است چرا که اگر برای ایجاد تغییر نیاز به پرداخت هزینه باشد در این صورت این حملات بسیار گران تمام خواهند شد”.

دومین مزیت بلاک چین در حوزه IT ریسک پائین تر آن در مواجهه با حملات دیداس (DDoS) است چرا که سطح  حمله به جای آنکه متمرکز باشد توزیع‌شده، است.

سختی و دشواریِ تغییر داده با طبیعت توزیع‌شده بلاک چین، زیربنایی ارتجاعی در اختیار کسب‌وکارها قرار می‌دهد تا به آن‌ها تکیه کنند.

دکتر Ferreira عنوان کرد که “این بدین معنی است که اگر یک مجرم، نسخه بلاک چین مرا از بین ببرد، ممکن است من سرویس‌هایم را از دست بدهم اما سایر افراد همچنان می‌توانند از آن استفاده کنند” در نتیجه حمله دیداس خنثی می‌شود.

Garrett Bekker ، تحلیلگر اصلی در شرکت مشاوره فناوری اطلاعات۴۵۱ research توضیح می‌دهد که بلاک چین یک سیستم غیرمتمرکز است و نسبت به معماری‌های مطمئن موجود که یک نقطه خرابی (single point of failure) دارند، برتری دارد.

نظیر (CA(Certificate Authorities مرجعی که اقدام به صدور و یا ISSUE گواهینامه SSL مختلف می‌نماید و ارائه دهندگان DNS.

به گفته او “ما CA هایی را دیده‌ایم که دچار مخاطره شده‌اند و همچنین مشاهده‌ کرده‌ایم که با از کار افتادن یک ارائه دهنده DNS چه اتفاقاتی می‌تواند رخ دهد، درست مانند تأثیر حمله بات نتِ میرای botnet Mirai  به ارائه دهنده Dyn ؛ من شک دارم که بلاک چین بتواند برخورد بهتری با این اتفاق داشته باشد و بتواند استفاده از زیرساخت کلید عمومی(PKI)  را با حذف وابستگی به یک CA به عنوان یک نقطه مطمئن تسهیل کند”.

بلاک چین  در مقابل IoT

هیچ سازمانی وجود ندارد که امیدوار باشد با استفاده از بلاک چین بتواند یکی از بزرگ‌ترین دردسرهای حال حاضر صنعت IT یعنی ایمن‌سازی اینترنت اشیا (IoT) را مرتفع کند.

دولت Isle of Man با همکاری اعضای انجمن بلاک چین بر روی آزمایشی کار می‌کنند تا نشان دهند آیا تکنولوژی می‌تواند دستگاه‌هایIoT را از خطر هک شدن در امان نگاه دارد.

Brian Donegan، سرپرست عملیات، خدمات مالی و بانکداری و توسعه Isle of Man در اینباره می‌گوید “ما می‌خواهیم نشان دهیم که با اضافه کردن یک ‌لایه اطراف دستگاه، هر داده‌ای که از خارج به آن وارد شود می‌تواند فوراً با شبکه مشی (Mesh) که آن را احاطه کرده است ترکیب شود”.

او همچنین اضافه کرد ” اگر این شیوه را بتوان به وضوح توضیح داد، می‌توان آن را با تمام دستگاه‌هایی که پس از آن متصل می‌شوند انجام داد؛ با استفاده مکرر از بلاک چین به شبکه‌ای از دستگاه‌ها دسترسی پیدا می‌کنید که بلاک چین یک‌لایه محافظتی‌ در پیرامون آن‌ها ایجاد کرده است”.

تیم Donegan هنوز چند ماه با گزارش یافته‌هایش از این آزمایش فاصله دارد.

قدرت بیشتر، مسئولیت بیشتری ایجاد می‌کند

قانون همواره در تلاش است همگام با توسعه‌های تکنولوژی پیش برود و کسانی که تکنولوژی و خدمات  بلاک چین را برای سازمان‌ها به وجود آورده‌اند لازم است نسبت به کسانی که مسئول  آن ریسک‌ بوده و اینکه چگونه آن ریسک منتقل شده است محتاط باشند.

Luke Scanlon، وکیل ارشد فناوری در Pinsent Masons می‌گوید ” آن‌ها باید مطمئن شوند که درک کافی از فشاری که از سمت یک دیدگاه قانونی به مشتری وارد می‌شود دارند و هر آنچه در توان دارند انجام دهند تا آن ریسک را کاهش دهند؛ بدترین موقعیت برای شرکت‌هایی پیش می‌آید که از پیشروی با تکنولوژی جدید ناتوان‌اند به این دلیل که فراهم کنندگان نمی‌توانند تضمینی در خصوص این فناوری جدید ارائه کنند”.

این موضوع بسیار حائز اهمیت است چرا که بلاک چین ریسک‌هایی به همراه دارد. همان‌طور که دکتر Ferreira تأکید دارد، “سیستمی وجود ندارد که ۱۰۰ درصد امن باشد” .

او چند مثال در مورد مسائل امنیتی‌ای که فناوری‌های مرتبط با بلاک چین ممکن است با آن‌ها برخورد داشته باشند را بیان می‌کند مانند سرقت بیت کوین از کریپتووالت‌ها (cryptowallet) یا کیف پول حاوی ارز رمزنگاری شده. او می‌گوید که خطر کلیدی بلاک چین درست مانند بسیاری از فناوری‌های دیگر جنبه انسانی آن است.

اگرچه ما انتظار داریم که کاربران cryptowallet‌هایشان را مدیریت کنند، ممکن است در این راه مشکلات زیادی به وجود بیاید چرا که سو استفاده از افراد، زمانی که صحبت از مهندسی اجتماعی به میان می‌آید بسیار ساده است.cryptowallet به این معنی است که شما تعدادی فایل داشته باشید که آدرس و مانده حساب شما را به‌صورت رمز درآورده باشد. اگر آن‌ها را از دست بدهید، هویت و پول‌تان و تمام ارز رمزنگاری‌تان را از دست داده‌اید.

با این حال، حتی آن انسان‌هایی که پشت این فناوری قرار دارند می‌توانند در معرض این نفوذهای امنیتی قرار داشته باشند.

سال گذشته، یک قرارداد هوشمند که DAO خوانده می‌شد بر اساس Etherium(یک تکنولوژی بلاک چین) هک شد، که منجر به خروج ۵۰ میلیون دلار از صندوق سرمایه مجازی شد. دکتر Ferreira توضیح داد که، اشتباه در نوشتن قراردادهای هوشمندانه بسیار رایج است و حمله کنندگان آماده‌ یورش به سمت این آسیب‌پذیری‌ها هستند.

وی در خصوص مورد DAO افزود: آن‌ها افراد خوب و برنامه نویسان خبره‌ای استخدام کردند اما همچنان باگ‌هایی وجود داشت و حمله کننده می‌توانست از آن‌ها سوءاستفاده کند.

برخی از مزایای بلاک چین– نظیر ناشناس ماندن- می‌تواند بر علیه سازمان‌ها مورد استفاده قرار گیرد، چرا که مجرمان به دنبال پنهان کردن تراکنش‌های غیرقانونی‌ای نظیر پرداخت‌های باج افزاری هستند. استفاده از هویت‌های مبتنی بر بلاک چین برای کنترل دسترسی به سرویس‌ها خیال کاربران را از شبه ناشناس‌ ماندن داده‌هایشان راحت می‌کند اما اگر بلاک چین دچار شکاف شود و داده‌ها افشا شوند، شرکت مسئول، دچار آسیب اعتبار جبران‌ناپذیری می‌شود. هرچه فناوری پیچیده‌تر باشد، احتمال فاجعه بزرگ‌تر خواهد بود.

آینده بلاک چین و امنیت سایبری

در مرحله پیاده‌سازی است که بلاک چین و امنیت سایبری با هم تقاطع دارند؛ اگر یک بلاک چین به صورتی نادرست پیاده‌سازی شده باشد، راه را برای ریسک‌های بزرگی به سمت سازمان‌ها و شرکایشان باز می‌کند.

طبق گفته Florian Malecki از شرکت امنیت فناوری اطلاعات SonicWall، این تکنولوژی هنوز به میزان کافی امن یا بالغ نشده است تا نگرانی‌های پیرامون امنیت را تسکین داده و مقبولیت گسترده‌تری را به خود جلب کند.

به گفته او ” کدی که بلاک چین را پشتیبانی می‌کند نسبتاً جدید است و در برابر پتانسیل‌های بالقوه انجمن هکرهای جهانی خیلی آزمایش نشده است و در حال حاضر راهی برای شناخت باگ‌های باقی‌مانده و آسیب‌پذیری‌های حاصل از آن وجود ندارد.”

از دید Karl Hoods، کارمند ارشد اطلاعات در خیریه نجات کودکان انگستان، بلاک چین تعریف دوباره امنیت سایبری نیست بلکه تنها پلتفرمی برای تواناتر ساختن آن است.

با ترکیب آن با روش‌های کاربردی موجود در زمینه امنیت فناوری اطلاعات، فناوری بلاک چین می‌تواند امنیت بیشتری ارائه دهد. هرچه سازمان‌ها میزان درکشان از پیاده‌سازی این تکنولوژی را توسعه دهند، احتمال حل کردن چالش‌های امنیتی توسط آن به جای اضافه کردن چالشی جدید، محتمل‌تر خواهد بود.

منبع: فراست