Protéger les actifs Web des échanges de Cryptocurrency –

Cet article a été créé en partenariat avec Incapsula . Merci de soutenir les partenaires qui rendent SitePoint possible.

La montée en puissance de Bitcoin attire l'attention des pirates qui pourraient s'enrichir d'un seul raid réussi. Si les bourses n'utilisent pas une solution DDoS de sociétés comme Incapsula elles sont des canards bien placés pour les hackers hautement qualifiés et hautement motivés.

Willie Sutton, le voleur de banque notoire a été interrogé par un rapport sur les raisons pour lesquelles il a cambriolé des banques et Sutton a répondu simplement: «Parce que c'est là que l'argent est.» Sutton est mort en 1976 et s'il volait aujourd'hui , ce ne serait pas des banques parce que c'est là que l'argent n'est pas . Aujourd'hui, les banques (les physiques) ne disposent réellement que de quelques milliers de dollars pour les petites transactions. Les banques gardent l'argent de leurs clients centralisé sous forme numérique entouré de niveaux de sécurité, qui est régie par les lois fédérales et nationales et les lois de conformité.

Aujourd'hui, les succursales bancaires n'ont en réalité que quelques milliers de dollars pour les petites transactions. Les banques gardent l'argent de leurs clients centralisé sous forme numérique entouré de niveaux de sécurité, qui est régie par les lois fédérales et nationales et les lois de conformité.

Et même avec toute cette protection, les banques sont encore volées avec succès en ligne. Ce n'est pas facile. Le piratage d'une banque nécessite généralement un grand syndicat avec des poches profondes telles que l'État-nation. Les banques ne publient pas les attaques réussies parce que c'est mauvais pour les affaires. Une attaque bien documentée qui s'est produite en 2015 a été un saignement lent par de nombreuses institutions dans plus de 30 pays.

Parce que les banques sont si bien protégées, la prochaine frontière logique pour les pirates informatiques où «l'argent est» sont les échanges de pièces, qui gèrent les monnaies numériques et les affaires avec des offres initiales de pièces de monnaie. Peu importe que des experts financiers comme Warren Buffet qualifient les crypto-monnaies de régimes de ponzi qui finiront mal ils frappent des millionnaires et des milliardaires. Bitcoin, litecoin, ethereum et des douzaines d'ICO ont explosé avec une valeur réelle qui peut être échangée contre des biens et services réels. Lorsque bitcoin a tiré sur le toit en 2018, les Winklevosses sont devenus milliardaires et 50 CENT sont passés de la misère à la richesse.

Les adopteurs précoces ont été attirés par Bitcoin pour ne pas s'enrichir autant que pour l'utiliser comme un échange monétaire en ligne en l'absence d'une autorité centrale régissant les transactions en ligne. Une transaction sécurisée sans une autorité gouvernementale a donné aux acheteurs et aux vendeurs le même anonymat que le paiement en espèces dans le monde réel. Dans le monde réel, une transaction en espèces peut avoir lieu sans un gouvernement, une banque ou les connaissances de quiconque. Cryptocurrency est essentiellement de l'argent sur Internet.

Les adoptants tardifs à bitcoin sont attirés par bitcoin pour s'enrichir de la même manière que les gens essayent de s'enrichir sur les ventres de porc. Les contrats à terme Bitcoin ont commencé à être commercialisés fin février 2018. Cette spéculation pousse la crypto-monnaie à gonfler le prix jamais imaginé auparavant, attirant l'attention des pirates informatiques.

C'était même avant février. À la fin de l'année dernière, le marché minier NiceHash a suspendu ses opérations alors qu'il coopérait avec les autorités pour «attaque professionnelle» .Le hack était «une attaque hautement professionnelle avec une ingénierie sociale sophistiquée» qui a entraîné le vol d'environ 4 700 bitcoins . Mt. Gox a été frappé en 2014.

L'argent est roi

Il est beaucoup plus facile de voler des pièces de monnaie que de voler des banques en ligne parce que les pirates n'ont pas besoin d'obscurcir constamment leurs actions pour retirer l'argent. Une crypto-monnaie a l'anonymat construit dans Hackers seulement besoin de percer dans les portefeuilles en ligne et de chaparder des chaînes de chiffres.

L'ironie est que sans une autorité de régulation ou un séquestre, la force du bitcoin est aussi sa faiblesse. Tout comme la force de l'argent est aussi sa faiblesse. Si votre portefeuille est volé, il n'y a aucun moyen de le récupérer.

Assis dans des domaines relativement peu protégés, les échanges sont les nouvelles cibles des pirates car ils sont aussi vulnérables que quiconque à une attaque DDoS. Eli Feldman chez Incapsula souligne que tandis que la technologie blockchain résiste à l'abus DDoS simplement par sa nature distribuée, les portefeuilles crypto et les ICO initiaux de pièces sont encore centralisés et vulnérables.

"Même les entreprises ayant des activités de base sur blockchain nécessitent des serveurs Web", écrit Feldman. "Ces serveurs ne sont pas nécessairement utilisés pour les sites Web accessibles via les navigateurs. Ils peuvent être utilisés pour les transactions commerciales, les API client-serveur, les API des applications mobiles et d'autres applications. "

Atténuation

Toute entreprise tentant un ICO ou ayant des services qui gèrent des cryptomonnaies est vulnérable aux pirates qui sont bien préparés à exploiter les vulnérabilités. Par exemple, l'année dernière Coindash a accueilli un événement générateur de jeton qui avait deux phases. La première phase était privée où les utilisateurs «en liste blanche» étaient invités à échanger un CDT (CoinDash Token) pour un ETH. C'était 30 minutes. La deuxième phase a ensuite été ouverte au public où tout le monde pouvait faire l'échange. Mais quand la phase publique a commencé, un attaquant malveillant a changé l'adresse de contribution officielle à une autre adresse. Cela a duré sept minutes où 43 000 ETH ont été siphonnés à une adresse malveillante.

Ce type d'attaque aurait pu être évité avec un pare-feu d'application web (WAF), qui aurait pris le commutateur bien à l'avance. Un WAF protège non seulement le service d'être attaqué par les points faibles, mais améliore également la disponibilité pour les services hautement distribués. Il sécurise le service et libère de nombreuses ressources pour réduire les délais de développement.

DDoS

Sans protection adéquate, le site d'échange de pièces est également vulnérable à diverses attaques DDoS. D'une convention couche 3 attaque qui ferme complètement le site à une attaque de couche 7 plus discrète qui ne fait que perturber le service.

À première vue, une attaque DDoS serait contre-intuitive à une attaque réussie parce que si le service en panne que les pirates ne peut pas l'exploiter. Les experts en atténuation des attaques DDoS observent un nombre croissant d'attaques DDoS pour diverses raisons. Une raison comme la raison est de provoquer une distraction. Dans un scénario où les hackers ont déjà pris pied dans le réseau des semaines ou des mois plus tôt, une attaque DDoS attachera l'équipe informatique qui a suffisamment de personnel pour remarquer ou empêcher le vol de leurs actifs numériques.

Par exemple, à la fin de l'année dernière, l'échange de crypto-monnaie Bitfinex a été critiqué avec deux attaques DDoS. Entre les deux attaques, il y a eu un "flash crash" qui aurait poussé certains traders à déclarer des pertes sévères après que les prix des cryptomonnaies NEO, OMG et ETP aient chuté de 90%.

Les échanges de pièces et tout site cherchant à créer une CTO qui n'intègre pas de stratégie d'atténuation des attaques DDoS dans leur profil de sécurité comme celui fourni par Incapsula invitent à l'échec. Le service sera attaqué. C'est juste une question de quand.

Willie Sutton ferait aussi bien en tant que cyber criminel. Sutton a été un pionnier de l'ingénierie sociale. Il s'habillait en tant que concierge ou livreur pour gagner la confiance d'un propriétaire de bijouterie avant de le voler. Plus tard, Sutton s'échappa du pénitencier d'Eastern State en s'habillant comme garde, en montant une échelle et en escaladant le mur de la prison.

Dino travaille pour un cabinet d'avocats multinational en tant qu'ingénieur de sécurité. Il écrit pour Dice et a écrit pour la semaine de l'information et la lecture des ténèbres