Cienie padają na blockchain
Technologii blockchain wróży się świetlaną przyszłość, szczególnie w sektorze finansowym. Rozgłos wokół niej spowodował jednak, że mocno zainteresowali się nią także cyberprzestępcy. Jej wykorzystanie może też budzić pewne zastrzeżenia w kontekście RODO.
Blockchain to stosunkowo młoda technologia, której jednak wróży się świetną przyszłość, m.in. w sektorze finansowym. Firma analityczna IDC podała niedawno, że już w tym roku tylko na Starym Kontynencie inwestycje w blockchain sięgną 400 mln dol. Za cztery lata wydatki na rozwiązania oparte na tej technologii mają sięgnąć w Europie 3,5 mld dol. Oznacza to, że rynek ten rozwijać się będzie z prędkością 80,2 proc. rocznie.
- Dynamiczny rozwój rynku blockchain nie powinien dziwić. To technologia, która wnosi zupełnie nową jakość w obszarze zapisywania i przechowywania danych. Raz zapisanej wartości nie da się zmienić ani wymazać. Wszystko za sprawą zaawansowanej kryptografii i rozproszonego po sieci użytkowników rejestru danych. W branżach, w których przejrzystość, bezpieczeństwo i autentyczność informacji stanowią wysoką wartość, rozwiązania tej klasy są nie do zastąpienia - uważa Krzysztof Gagacki, ekspert w dziedzinie technologii blockchain i twórca IOVO.IO, infrastruktury mającej zdemokratyzować obrót danymi w internecie.
I rzeczywiście blockchain zaczyna znajdować praktyczne zastosowania. We wrześniu PKO BP i Krajowa Izba Rozliczeniowa poinformowały, że PKO Bank Polski zaczął publikować i udostępniać swoim klientom drogą elektroniczną dokumenty publiczne (np. regulaminy czy tabele opłat i prowizji), wykorzystując technologię rejestrów rozproszonych w zgodzie z wymogami trwałego nośnika. Zaletą tego rozwiązania jest pewność, że treść dokumentu przez cały okres przechowywania pliku nie podlega żadnym modyfikacjom.
Równocześnie w dowolnym momencie klient ma dostęp do niezmienionej, pierwotnej wersji dokumentu. Jak podkreślono, anonsując tę informację, opracowane przez KIR i PKO Bank Polski we współpracy z IBM, Accenture oraz innych partnerów technologicznych narzędzie umożliwiło pierwsze produkcyjne wdrożenie blockchain w sektorze bankowym.
Na technologii blockchain zaczynają się jednak pojawiać pierwsze rysy. Jej rozwój wykorzystują także cyberprzestępcy. Jak podała niedawno firma McAfee w raporcie "Blockchain Threat Report", w I kwartale 2018 r. liczba próbek złośliwego oprogramowania do "kopania" kryptowalut (tzw. coin miner) wzrosła o 629 proc. Hakerzy atakują też giełdy wirtualnych pieniędzy. Tylko japoński Coincheck na początku tego roku stracił w wyniku ich działań 532 mln dol. Jedna z kampanii phishingowych przeprowadzonych w 2017 r. przyniosła atakującemu 4 mln dol.
Określenie "crypto-mining malware", które odnosi się do złośliwego oprogramowania wykorzystującego moc CPU lub GPU komputera ofiary w celu wygenerowania kryptowalut, weszło do słownictwa specjalistów od zabezpieczeń IT pewnie jakiś czas temu. Już na początku tego roku firma Check Point ostrzegła, że staje się ono nową zmorą działów IT w firmach. I dodała, że nawet 55 proc. organizacji na całym świecie zostało zainfekowanych tego typu oprogramowaniem. W grudniu 2017 r. to właśnie jeden z jego typów - Coinhive - uplasował się na pierwszym miejscu na liście najpopularniejszych zagrożeń w światowej sieci. Z kolei inny - Cryptoloot - na miejscu trzecim. Badania przeprowadzone przez ekspertów Check Point wykazały, że złośliwe koparki kryptowalut zostały celowo zaimplementowane w czołowych witrynach internetowych, głównie serwisów streamingowych oraz udostępniania plików, bez wiedzy użytkowników. Niektóre z tego typu działań są legalne, jednak narzędzia generowania kryptowalut mogą zostać zhakowane w celu wykorzystania większej mocy obliczeniowej CPU. Według ekspertów w skrajnych przypadkach oprogramowanie może wykorzystywać nawet 65 proc. mocy procesora.
Eksperci McAfee także podkreślają, że cyberprzestępcy coraz agresywniej wykorzystują popularność kryptowalut. Hakerzy zdobywają wirtualne pieniądze, stosując cztery kluczowe rodzaje ataków: ataki phishingowe, złośliwe oprogramowanie (takie jak ransomware czy coin miner), wykorzystanie luk w zabezpieczeniach oraz wykorzystanie samej technologii (np. ataki większościowe, polegające na tym, że atakujący w danym momencie posiada więcej niż 50 proc. mocy całej sieci i może dzięki temu choćby podwójnie wydać te same środki).
- Potencjał technologii blockchain jest ogromny, nic dziwnego zatem, że rośnie jej popularność. Wiele ostatnich ataków na kryptowaluty pokazuje jednak, że nie jest to rozwiązanie całkowicie niezawodne ani wolne od wewnętrznych słabości. A to oznacza, że bezpieczeństwo musi się stać priorytetem w pracach nad jego rozwojem. Blockchain jest dziełem ludzi, a ludzie popełniają błędy - tłumaczy Arkadiusz Krawczyk, country manager w McAfee Poland.
Co ciekawe, McAfee ostatnio zauważył, że choć złośliwe oprogramowanie do wydobywania kryptowalut nadal najczęściej atakuje komputery PC, jego celem stają też inne urządzenia. Przykładem są m.in. telefony Android, które w Chinach i Korei zostały wykorzystane przez program ADB. Miner do generowania kryptowaluty Monero na konto cyberprzestępców.
- Jeszcze kilka lat temu nie pomyślelibyśmy, że routery internetowe, urządzenia do rejestracji nagrań wideo i cały dzisiejszy Internet Rzeczy (IoT) mogą służyć jako platformy do wydobywania kryptowalut, ponieważ ich procesory były zwyczajnie za słabe, aby wspierać taką produktywność - mówi Arkadiusz Krawczyk. - Dziś nagły wzrost liczby tego typu urządzeń oraz ich niestety słabe zabezpieczenia sprawiają, że stają się łatwym celem. Dlaczego? Cyberprzestępca, który w swoim botnecie ma 100 tys. urządzeń IoT, nie musi wykładać praktycznie żadnych pieniędzy, aby wygenerować nowy, całkiem pokaźny przychód z użyciem kryptowalut - dodaje.
Malware do kopania kryptowalut to niejedyny kłopot z technologią blockchain. W końcu ubiegłego roku firma Irdeto ostrzegała producentów i dystrybutorów treści wideo nie tylko przed wykorzystywaniem kryptowalut do płacenia za nielegalne treści, lecz także przed tym, że rozproszone sieci blockchain mogą być wykorzystywane jako repozytorium treści dla piratów i może się to stawać coraz bardziej powszechne.
W tym kontekście Leszek Tasiemski, wiceprezes ds. badań i rozwoju w firmie F-Secure, uważa, że korzystanie z blockchain i kryptowalut może generować większe ryzyko zaistnienia cyberataku oraz narażać na straty wizerunkowe. Cyberprzestępcy preferują niektóre kryptowaluty np. jako formę płatności za odblokowanie komputera zainfekowanego przez ransomware (złośliwe oprogramowanie blokujące dostęp do urządzenia). - Działania tego typu były dawniej problemem związanym głównie z bitcoinem, ale teraz przestępcy wybierają kryptowaluty oferujące większą anonimowość. Firmy, którym zależy na zachowaniu reputacji, powinny się trzymać z daleka od kryptowalut oferujących wysoką anonimowość, jak Monero, a w przyszłości nawet ZCash - wyjaśnia Leszek Tasiemski.
Nie zaprzecza on, że blockchain ma pewne przydatne zastosowania, jednak przestrzega, że trzeba zdawać sobie sprawę z jego wad: skalowalności, problemów z wolumenem transakcji czy zwiększonego ryzyka zaistnienia cyberataku. - Blockchain pełni funkcję stałego rejestru, co oznacza, że próba zapisania na nim zbyt wielu informacji bardzo go obciąża. Ponadto jest nieco ograniczony pod względem liczby transakcji, jakie może przeprowadzać na sekundę - mówi Leszek Tasiemski.
Wskazuje, że pierwsze ryzyko związane z blockchain stanowi to, że jeśli budowana na nim firma zyska dużą popularność, jego niewielkie możliwości przetwarzania danych mogą się okazać czynnikiem ograniczającym. Za przykład służy Ethereum, platforma walutowa wykorzystująca blockchain, która może obsłużyć jedynie ok. 20 transakcji na sekundę.
- Drugim ryzykiem wynikającym z korzystania z blockchain jest problem usuwania informacji, np. ze względów prawnych. Raz zapisanego w ten sposób rejestru nie można zlikwidować, co może być źródłem problemów, np. w kwestii RODO. Istnieją alternatywne rozwiązania oparte na innych algorytmach, np. IOTA czy NANO, które wykorzystują skierowany graf acykliczny (DAG) i wyróżniają się lepszą skalowalnością od blockchain, a także możliwością usuwania nieaktualnych informacji - zauważa Leszek Tasiemski.
W kontekście RODO zwraca on uwagę także na inny fakt. - Osoba śledząca blockchain transakcji związanych z bitcoinem może w łatwy sposób dowiedzieć się, co zostało zakupione w sklepach X, Y i Z, a następnie porównać te informacje z adresem użytkownika i dowiedzieć się, które konta kupiły coś w tych sklepach. Jeśli osoba śledząca to sprzedawca ze sklepu Y, może uzyskać informacje o tym, którzy z jego klientów robią zakupy w sklepach X oraz Z. Tworzy to poważny problem ze względu na RODO - twierdzi Leszek Tasiemski.
Zauważa też, że w dyskusjach o tej technologii często zapomina się o kosztach przetwarzania transakcji przy korzystaniu z blockchain i tworzącej go kryptowaluty. W przypadku Ethereum występuje np. "miner fee" za każdą transakcję oraz "gas fee" za przyśpieszenie jej przeprowadzenia.
- Tak jak wiele innych przełomowych technologii blockchain może mieć rewolucyjny wpływ na rozwiązanie bardzo istotnych problemów biznesowych, ale pod warunkiem, że w imię jak najszybszego wdrożenia tej technologii nie zostanie poświęcone bezpieczeństwo - podsumowuje Raj Samani, główny specjalista w McAfee. - Nie ma żadnych wątpliwości, że cyberprzestępcy będą szukać wszelkich możliwych sposobów, aby wykorzystać luki techniczne oraz błędy ludzkie w ekosystemie blockchain. Rządy państw, dostawcy rozwiązań w zakresie cyberbezpieczeństwa oraz firmy muszą znać zagrożenia i minimalizować czynniki ryzyka. Bez odpowiedniej edukacji użytkowników i branży, bezpiecznego wdrożenia najlepszych praktyk i solidnych standardów bezpieczeństwa technicznego stosowanie technologii blockchain na szeroką skalę przez największe sektory oraz rządy państw może się skończyć miliardowymi stratami, które pogrążą miliony ludzi - dodaje.
Wszystko to potwierdza, że cyberbezpieczeństwo i rozwaga muszą stać u podstaw rozwoju oraz wdrażania technologii blockchain.
Marek Jaślan
