Банкам стоит поучиться у криптовалют в деле поиска багов

Ссылка на оригинал

dash_i_banki

Финансовые учреждения являются основными целями для хакеров, но есть одна жертва, которая может быть ещё более привлекательна: цифровая валюта.
За последние шесть месяцев общая ценность не только Биткойна, но и всего криптовалютного рынка сильно выросла, и одна из валют ни при каких условиях не допустит, чтобы её система была подвергнута риску.

Создатели Dash, соперника Биткойна, наняли компанию Bugcrowd (Сан-Франциско) для запуска от её имени программы по поиску багов, предлагающей независимым экспертам по безопасности внимательно исследовать код криптовалюты и получить вознаграждение за каждый найденный недостаток системы.

“Как и следует проекту с открытым исходным кодом, весь наш код доступен для аудита любому человеку. Это действительно привлечёт профессионалов высокого уровня и поможет убедиться, что код настолько надёжен, насколько возможно,” – говорит Райан Тейлор, генеральный директор проекта Dash Core, который функционирует как некоммерческий проект.

Поговорите с инсайдерами криптовалюты, такими как Тейлор, людьми, которые помогали создавать и защищать эти уникальные компоненты программного обеспечения, и они расскажут вам, что банки могут научиться у таких проектов с открытым исходным кодом, как Dash, тому, как создавать приложения и защищать свои сети.

В конце концов, сейчас уже нет возможности притворяться, что можно сделать приложение или сеть неприступными с момента их запуска, если эта возможность когда-либо вообще существовала. Новая парадигма безопасности заключается в “постоянной угрозе”, где самым безопасным предположением является то, что вредитель уже проник в вашу систему.

За работу

“Вместо того, чтобы пытаться скрыть недостатки, – говорит Райан Тейлор о проекте Dash, – мы стараемся предоставить как можно большему количеству людей возможности найти их, а затем исправить.”

Является ли код основой банковской системы или интернет-валюты, “уязвимости заложены уже в самом способе создания программного обеспечения, – говорит Кейси Эллис, председатель и технический директор Bugcrowd, – это факт жизни.”

Он считает, что это происходит потому, что люди производят что-либо для того, чтобы оно делало то, что должно делать. Разработчики программного обеспечения обычно думают о том, как сделать свои приложения не безопасными, а в первую очередь эффективными.

По словам Эллиса, для команды Dash, так же, как и для всех других своих клиентов, Bugcrowd хочет создать “цепочку обратной связи между людьми, которые думают, как строители, и людьми, которые думают, как разрушители.” В ходе этого процесса возникает устойчивый продукт.

Эта устойчивость стала ещё более важной после того, как цена Dash резко возросла. 26 августа был установлен рекорд – около 400 USD за 1 DASH, увеличившись с 1 января на 3384%. Рыночная капитализация Dash в течение короткого времени дошла до 3 млрд. долларов, прежде чем опуститься примерно до 2,2 млрд. долларов на текущий момент.

“Учитывая, что речь идёт о финансовом продукте, чрезвычайно важно исследовать все возможные пути, чтобы сделать сеть максимально безопасной,” – говорит Тейлор.
Dash имеет самофинансирование: сообщество Dash финансирует текущее программное обеспечение и развитие криптовалюты с помощью части новых монет, которые создаются по прошествию регулярных промежутков времени через “вознаграждение за блок”. На данный момент десятки разработчиков и других сотрудников получают оплату своего труда в команде Dash.

По мере повышения стоимости криптовалюты вознаграждения за блок становятся более доходными. Это в том числе упростило выделение 200 000 долларов на награду за поиск багов. Деньги будут распределяться между любыми исследователями, которые обнаружат уязвимость и сообщат о ней. Чем серьёзнее будет эта уязвимость, тем выше вознаграждение – вплоть до 10 000 долларов за наиболее важные недостатки.

Bugcrowd планирует начать программу с малого, изначально раскрыв код Dash только нескольким десяткам высококвалифицированных экспертов по безопасности, прежде чем вовлекать в процесс большое количество людей. В итоге, все 60.000 исследователей сети Bugcrowd получат возможность участия в проекте.
Для банкиров, привыкших самостоятельно заниматься собственным программным обеспечением, такой подход может показаться слишком радикальным.

“Вместо того, чтобы пытаться скрыть недостатки, – говорит Тейлор, – мы стараемся предоставить как можно большему количеству людей возможность найти их, а затем исправить.”

Опыт для банков

Эта радикальная прозрачность творит чудеса для Биткойна.
Хотя сеть цифровых валют не была скомпрометирована уже в течение многих лет, говорит Тейлор, в августе 2010 года произошёл инцидент, когда хакер использовал ошибку в коде, чтобы создать из воздуха 92 миллиарда Биткойнов, сильно раздувая эмиссию валюты, которая должна была иметь жёсткий лимит в 21 миллион монет. Анонимный создатель Биткойна, Сатоси Накамото, был вынужден совершить аварийный форк кода, чтобы решить эту проблему.

С тех пор десятки разработчиков улучшили код, а бесчисленные сторонние наблюдатели его изучили. Долгое время Эллис скептически относился к безопасности Биткойна. Он решил, что рано или поздно будет обнаружен катастрофический эксплойт, и значение криптовалюты упадёт до нуля. Но этого так и не произошло.

“Если подумать, то результат довольно ошеломляющий. Биткойн полностью открыт, но последний значительный взлом его произошёл семь лет назад. – говорит Тейлор. – В конечном итоге вы получаете высокозащищённую систему, несмотря на то, что не финансируете какие-либо брандмауэры, не финансируете сотрудников службы безопасности и не финансируете какие-либо системы обнаружения. Ничто из этого не требуется, если вы изначально разрабатываете код устойчивым к хакерским атакам.”

В то время как Биткойн-кошельки и биржи были скомпрометированы много раз, сама сеть стала образцом того, что автор Нассим Николас Талеб называет антихрупкостью – она стала более устойчива в противостоянии атакам.

Такой стиль разработки является анафемой для банков, которые традиционно полагаются на секретность, сохраняя свой код закрытым, независимо от того, был ли он разработан собственными силами или написан такими компаниями, как Fiserv, FIS или Jack Henry. Также для обеспечения безопасности своих систем, банки работают над тем, что пытаются не допустить хакерскую атаку.

Справедливости ради следует отметить, что в последние годы это постепенно меняется, так как ряд банков, включая Citigroup, BBVA, JPMorgan Chase, Wells Fargo и Capital One, привлекли третьих лиц и предоставили им доступ к некоторым частям кодам и данным. Некоторые крупные банки используют программы премирования за поиск недостатков, хотя и не любят рассказывать об этом, а некоторые из них серьезно тестируют и рассматривают технологии блокчейн с открытым исходным кодом, включая Hyperledger и Quorum, для определённых целей, таких как клиринг деривативов. И есть несколько банковских инициатив с открытым исходным кодом, таких как Open Bank Project и Apache Fineract, хотя они не получили широкого распространения в США.

Тем не менее, даже если финансовые учреждения не могут или не хотят полностью принять концепцию безопасности посредством прозрачности, они могут извлечь уроки из подобных практик. Первым шагом может быть принятие практики премирования разработчиков за поиск и исправление ошибок.

“Программистам нравится создавать. – говорит Тейлор. – Гораздо менее привлекательно исследовать устаревший код, который существует уже много лет, в попытке найти в нём уязвимости. И очень маловероятно, что их руководство поблагодарит их за кучу времени, потраченного на поиск ненайденных в итоге ошибок. А если они даже и найдут их, то им скажут: “Окей, круто, молодец.” Но в этом нет стимула. Если они ничего не находят, их ругают, а если находят, то это считается просто везением.”
Например, внедрение в структуру оплаты разработчиков бонусов за поиск ошибок несло бы посыл о том, что качество программного обеспечения важнее, чем количество.

“Если вы будете стимулировать программистов на поиск и устранение ошибок, это изменит их поведение,” – говорит Тейлор.

Банки также могли бы начать приоткрывать некоторые сегменты своих систем, считает Алекс Уотерс, бывший Биткойн-инженер по контролю качества и главный технический директор стелс-стартап GetKelvin.

“Есть аспекты их приложений, которые, вероятно, должны быть открыты, такие как аутентификация и коммуникация, – говорит Уотерс. – Это не означает, что они будут открывать исходные данные. Конечно, нет. Просто они могут, например, сделать доступным для публичного просмотра сам принцип аутентификации.”

Тейлор соглашается, с оговоркой, что любое программное обеспечение, представляющее истинное конкурентное преимущество, должно храниться в тайне. Но, по его словам, для товарных функций и услуг банки могут снизить свои риски касаемо безопасности, используя программное обеспечение с открытым исходным кодом. “И я не думаю, что они когда-либо на самом деле будут это рассматривать. Я думаю, что они вслепую используют программное обеспечение с закрытым исходным кодом или коммерческое программное обеспечение для всего.”

Ничего такого, с чем банки не могут справиться

Уотрес, консультировавший банки, убеждён в преимуществах работы с открытым исходным кодом.
“В сущности, крупные проекты с открытым исходным кодом гораздо более безопасны, чем собственное закрытое программное обеспечение, – говорит он. – И в рамках крупных проектов с открытым исходным кодом криптовалюты являются наиболее безопасными, по причине их базирования на криптографии.”

А что насчёт банков, работающих с криптовалютами? На вопрос, должны ли финансовые институты быть осторожными с этими новыми технологиями, поскольку в целом они не могут быть централизованно контролируемы, Эллис из Bugcrowd отвечает: “Нет”.
“Я не рассматриваю криптовалюты как уникальный или особый случай с точки зрения уязвимости,” – говорит он.

Вы можете рассчитывать, что в любой момент может произойти атака на любое программное обеспечение, пояснил он. Что делает цифровую валюту уникальной, так это то, что “стоимость зависит от кода”, поэтому серьёзные недостатки в коде могут иметь катастрофические финансовые последствия. Необходимо проявлять особую заботу и внимание, и именно в этом может помочь его краудсорсинговая компания по обеспечению безопасности.

“Вы не строите трёхметровый забор для защиты от десятиметрового атакующего, потому что это будет неэффективно, – говорит он, – но вы также не строите десятиметровый забор для защиты от трёхметрового атакующего, потому что это будет экономически иррационально.”

В конечном счёте, проблемы безопасности, возникающие у криптовалют, не такие, с которыми банки не смогли бы справиться, говорит Уотерс, при условии, что они “применят всё, что стало известно”. Какая отрасль в сравнении с криптовалютами может лучше всего справиться с хранением, урегулированием и компенсацией, чем банковская индустрия, которая делает это уже в течение многих лет? Банки полностью оснащены, чтобы понимать все возможные риски и действовать так, чтобы их избегать.”

coininvestpro