Blockchain Teknolojisi Gerçekten Güvenli mi?
Andersen CEO’su Alexandr Khomich tarafından
Blockchain, veri depolamak ve iletmek için en güvenli teknolojilerden biri olarak kabul edilir. Yılda ortalama 1.200’den fazla siber saldırı ile, şimdiye kadar maksimum kripto para birimi değişimi hack sayısı 12 olmuştur. Blockchain güvenliği nedir? Teknoloji güvenilir mi?
Blok zincirine kısa bir bakış
Blockchain, veritabanları oluşturmak için merkezi olmayan bir mimaridir. Ayrıca işlemleri (finansal işlemler veya değeri olan her şeyin kayıtları) depolamak için güvenli, sınırsız bir günlük olabilir. Bir veritabanı, ortak bir sunucuda değil, milyonlarca bilgisayarda (node) depolanır.
Bir blockchain ağında iki tür katılımcı vardır:
– verilerin geçerliliğini kontrol eden doğrulayıcılar (madenciler);
– bir blok zincirinde işlem olarak kaydedilen işlemleri başlatan kullanıcılar.
Doğrulayıcılar, birikmiş işlemlerden yeni bloklar oluşturur. Bir blok oluşturmak için birikmiş kayıtların sayısı, blok zincirinin türüne bağlıdır. Teknoloji geliştirmenin başlangıcında, bir blok yaklaşık 500 işlem içerebilir. Yeni bir blok, bir kriptografik hash ile şifrelenir. Madencilik yoluyla bir zincire katılır.
Her blok bir başlık, bir işlem listesi, benzersiz bir hash, önceki “ana” bloğun hash’i, oluşturma tarihi ve saati ve diğer verileri içerir. Ana blok değişirse, hash’i ve alt bloğun hash’i de değişir. Böylece, kademeli bir etki, ağı bilgisayar korsanlarından korur. Bir blok zincirini kırmak için zincirdeki her bağlantıya erişmeniz gerekir. Üst düzey bir bilgisayar olmadan bu imkansız
Bir bloktaki işlemler, ağ katılımcıları arasında paylaşılır. Verileri değiştirmek veya taklit etmek zordur. Bu, düğüm bilgisayarlarının %51’inin hacklenmesi anlamına gelir ve bir blockchain ağında milyonlarcası olabilir. Bir mutabakat mekanizması, her ağ kullanıcısının veri doğruluğunu manuel olarak doğrulamasını engeller. Bu algoritma, bir işlemin doğru olup olmadığını ve ağ katılımcılarının güvenlik kurallarına uyup uymadığını izler.
Blockchain güvenliğinin özü
Blockchain güvenliğinin üç ayağı şunlardır:
– yerinden yönetim;
– kriptografik şifreleme;
– mutabakat mekanizması.
Bir blok zinciri tamamen savunmasız olamaz, ancak ademi merkeziyetçilik güçlü bir savunma sağlar. Bir ağ dağıtılır; bu nedenle, birçok kişi buna katılır. Birbirlerinin eylemlerini kontrol ederler ve böylece vicdansız katılımcıların sistemi hacklemelerini önlerler. Blokları ele geçirmek için bir bilgisayar korsanının bilgisayarların %50’sinden fazlasına erişmesi gerekir. Aynı anda yüzbinlerce cihazı hacklemek son derece zordur.
Kriptografi, blok işlemleri bir karma işleve dönüştürür. Özel bir algoritma kullanılarak rastgele bir hash oluşturulur ve bir ana bloğun hash değeriyle ilişkilidir. Bu nedenle, bir saldırgan bir blok zincirini hacklemek istediğinde, yalnızca kademeli olarak bağlı karmaların şifresini çözmesi değil, aynı zamanda tüm bloklarda değişiklik yapması gerekir. Örneğin, bir zincirde dört blok vardır. Son işlemdeki işlemler bir kez, ilk işlemdeki kayıtlar ise dört kez onaylanacaktır. Bir ağdaki milyonlarca blokla, kayıtları değiştirmek ve karmaları yeniden hesaplamak neredeyse imkansızdır. Böyle bir işlemi gerçekleştirmek için büyük bir bilgi işlem gücüne ihtiyaç vardır.
Fikir birliği, birbirini tanımayan ağ üyeleri arasındaki güveni sağlar. Bir protokol, blockchain katılımcılarının davranışlarına ilişkin kuralları içerir. Her yeni bloğun orijinal ve ağdaki düğümler arasında tutarlı olmasını sağlar. Bu nedenle, mutabakat mekanizması, verileri tahrif etme, silme veya “çifte harcama” numarası yapma girişimlerini takip eder.
Genel ve özel blok zincirlerinin güvenliği
Blockchain ağları, verilere erişimi olan ağ katılımcılarına bağlı olarak genel ve özel olarak ayrılır. Farklı güvenlik mekanizmalarına sahiptirler.
Genel bir blok zinciri, protokolü okuyarak herkesin katılabileceği açık bir ağdır. Katılım için özel bir davetiye gerekmemektedir. İşlemler herkese açıktır ve düğümler eştir. Doğrulamadan sonra veriler bloklara yazılır ve artık değiştirilemez. Örneğin, Ethereum platformu halka açık bir blok zinciridir. Ağa katılmak için bir kripto cüzdanı açmanız, ETH paraları satın almanız ve bunları ona aktarmanız gerekiyor. Genel anahtarlar güvenlik sağlar ve ek kontrol ve tanımlama yöntemleri yoktur.
Özel bir blok zinciri, “merkezileştirilmiş ademi merkeziyetçilik” ile ağ operasyonunun geleneksel olmayan bir temsilidir. Böyle bir blok zinciri belirli bir kuruluşa aittir ve şirket temsilcileri birisini buna katılmaya davet edebilir. Katılımcılar blok zincirini okuma, yazma veya doğrulama izni olmadan hareket edemezler. Yalnızca ayrıcalıklı üyeler işlemleri doğrular ve günlük tutar. Özel bir ağda kişisel tanımlama ve diğer erişim kontrol mekanizmalarına ihtiyaç vardır.
Kural olarak, özel ağ genel ağdan daha güvenlidir. Blockchain seçimi, yazılım geliştirmenin hedeflerine bağlıdır.
Dolandırıcılar blok zincirlerine nasıl saldırır?
Güçlü korumaya rağmen, blockchain teknolojisinin belirli güvenlik açıkları vardır. SelfKey analitiğine göre, siber korsanlar blok zincirlerini hacklemek için daha sofistike yollar buluyor. 2011’de iki kripto para borsası saldırısı kaydedildi. Buna karşılık, 2020 yılında olay sayısı 6 kat arttı. Ayrıca siber saldırılar, tüm saldırı türlerinin toplam sayısının %15-25’ini oluşturuyor.
Saldırganlar dört ana bilgisayar korsanlığı yöntemi kullanır: kimlik avı, yönlendirme, Sybil saldırıları ve %51 saldırıları.
Kimlik avı: zayıf bağlantı saldırıları
Kimlik avı, siber suçların bir numaralı nedenidir. Bir sistem ne kadar güçlü olursa olsun, içinde her zaman bir zayıf halka vardır. Örneğin, kimlik avı e-postalarını açan ve şüpheli bağlantılara tıklayan saf bir kişi olabilir.
Bilgisayar korsanları, meşru görünen sahte jetonlar veya kripto cüzdan anahtarları içeren e-postalar gönderir. Bir bağlantıyı takip etmek için kişisel veriler girilmelidir. Dolandırıcılar, kullanıcı verilerini elde ettikten sonra kripto cüzdanlarına ve bir blockchain ağına erişim elde eder. Bu türden en son yüksek profilli vaka, 55 milyon dolar çalındığında bZx’in cüzdanının ele geçirilmesiydi.
Yönlendirme saldırıları: dijital para biriminin “kaçırılması”
Bir blockchain ağının çalışması, İnternet yönlendirme altyapısı aracılığıyla kesilebilir. Bilgisayar korsanları, bir ISP tarafından iletilen verileri ele geçirmeye çalışarak bundan yararlanır. Özetle bir saldırı şöyle olur. Saldırgan, bir ağı birkaç bileşene bölerek düğümler arasındaki iletişimi engeller ve paralel blok zincirleri oluşturur. Bir saldırıdan sonra, mayınlı bloklar atılır ve dolandırıcı, gizli verileri ve para birimini alır.
Sybil saldırıları ve %51 saldırıları: çok sayıda düğümü ele geçirme
Diğer saldırganlar, tek bir kişi olarak birçok hesap veya düğüm oluşturarak bir ağı manipüle etmeye çalışır (Sybil saldırıları). Bilgisayar korsanları, sözde kimlikler oluşturarak oyların çoğunluğunu ele geçirmeye çalışır. Bu şekilde düğümleri kontrol edebilir, bilgi toplayabilir ve sahte düğümler oluşturabilirler. Tipik olarak, bu tür eylemler %51 saldırısına yol açar: bilgisayar korsanları, ağın işlem gücünün veya hash oranının çoğunu kontrol eder. Ve bu, katılımcıların verilerini elde etmenin doğrudan bir yoludur.
Blockchain güvenliği nasıl sağlanır?
Bir blockchain uygulamasını olası risklerden korumak için bir işletme, teknoloji yığınının her seviyesinde güvenliği sağlamalıdır. Geleneksel mekanizmalar ve benzersiz blockchain güvenlik yöntemleri içeren kapsamlı bir çözüm geliştirmek önemlidir:
– kimlik ve erişim yönetimini kurun;
– İnternette güvenli iletişim sağlayın (web uygulaması güvenlik duvarı, DDoS koruması, gelişmiş bot koruması);
– API tabanlı işlemler için güvenli bir API;
– akıllı sözleşmelerde erişimi kontrol edin;
– çok faktörlü kimlik doğrulamayı uygulayın;
– katılımcıların özel anahtarlarını HSM cihazlarında saklayın;
– doğru mutabakat mekanizmasını seçin;
– şüpheli e-postalardaki bağlantıları izlememeye çalışın.
Blockchain platformunuzu korumak için güvenli bir çözüm geliştirmenize yardımcı olacak bir siber güvenlik uzmanıyla iletişime geçin. Kurumsal blockchain altyapısını izleyecek, düğümlerin durumunu değerlendirecek ve ağdaki şüpheli etkinliklere yanıt verecekler.
Çözüm
Blockchain güvenli bir teknoloji olmasına rağmen %100 güvenli değildir. Diğer veritabanlarına göre güvenilirdir ancak güvenlik açıkları vardır. Doğru blockchain güvenlik taktiklerini kullanarak etkilerini en aza indirebilirsiniz.
yazar hakkında
Adım Alexandr Khomich ve bir yazılım geliştirme şirketi olan Andersen’in CEO’suyum. 2007’den beri şirketimin büyümesinin her aşamasında liderlik ettim: yönetim, güvenlik, pazarlama ve finans. Büyük ölçekli veri kümelerinden eyleme dönüştürülebilir içgörüler oluşturma konusunda önemli bir deneyime sahibim ve planlama, eleştirel düşünme ve çözülmesi için benzersiz içgörüler gerektiren az yön gerektiren karmaşık sorunlar üzerinde çalışmaktan keyif alıyorum.
Alexandr Khomich’e çevrimiçi olarak Lnkedin (https://www.linkedin.com/in/a-khomich) ve şirketimizin web sitesi https://andersenlab.com adresinden ulaşılabilir.