CISO’ların yüzleşmesi gereken 10 NFT ve kripto para güvenlik tehdidi 

 

Kripto para ödemelerini kabul eden şirketlerin listesi, müşterilerin neredeyse istedikleri her şeyi satın alabilmeleri sayesinde sürekli büyüyor: elektronik, diploma, kapuçino.

Aynı zamanda, Snoop Dogg, Martha Stewart ve Grimes gibi daha yerleşik isimlerin trendden faydalanmasıyla, yeni ortaya çıkan sanatçılar milyonerler haline geldikçe, ticarete konu olmayan token ( NFT ) piyasası patlama yaşıyor.

Kripto para birimleri ve NFT’ler, Web3’ün sonuçlarını ve getirdiği fırsatları tartışırken birçok kuruluşun gündeminde.

İnternetin evrimindeki bu yeni büyük değişim, kullanıcılara daha fazla kontrol ve daha şeffaf bir bilgi akışı sağlayarak dijital dünyamızı merkezileştirmeyi vaat ediyor.

Ayrıca şunları kontrol edin:

Çeşitli sektörlerden şirketler yeni paradigmaya uyum sağlamak için ellerinden geleni yapıyor.

Bununla birlikte, CISO endişelerinin listesi uzundur ve siber güvenlik ve kimlik dolandırıcılığından pazar güvenliğine, anahtar yönetimine, veri ve gizlilik tehditlerine kadar uzanır.

NFT dahil herhangi bir biçimdeki kripto para birimi, çoğu işletmenin aşina olmayabileceği bir takım riskler ve güvenlik sorunları taşır.

Digital Asset Research CEO’su Doug Schwenk, “Bir dizi yeni işletim prosedürü gerektiriyor, sizi yeni bir dizi sisteme (genel blokajlar) maruz bırakıyor ve birçok şirketin farkında olmadığı riskler taşıyor” diyor.

CISO’ların bu konulardaki düşünceleri, kullanıcıları ve iş ortaklarını etkileyebilir.

Confiant’ın baş güvenlik mühendisi Ilya Stein, “Anlaşmanın şirket, kullanıcıları ve/veya NFT toplayıcıları için acil mali sonuçları var” diyor.

İşte kripto para birimleri ve NFT’nin CISO’lar için oluşturduğu ilk on güvenlik tehdidi.

1. Blockchain protokollerinin entegrasyonu karmaşık olabilir

Blockchain nispeten yeni bir teknolojidir. Bu nedenle, blockchain protokollerini projeye entegre etmek biraz zorlaşıyor.

Deloitte bir raporda, “Blockchain ile ilgili temel zorluk, özellikle bankacılık dışındaki sektörlerde teknolojinin farkındalığının olmaması ve nasıl çalıştığına dair yaygın anlayış eksikliğidir” dedi.

“Bu, yatırım yapmayı ve fikirleri keşfetmeyi zorlaştırıyor.”

Şirketler, desteklenen her zinciri olgunluk ve uygunluk açısından dikkatlice değerlendirmelidir.

Schwenk, “Erken aşama [blockchain] protokolünün benimsenmesi, kesinti süresine ve güvenlik risklerine yol açabilirken, sonraki aşama protokollerinin şu anda daha yüksek işlem ücretleri var” diyor.

“İstenen kullanım (ödeme gibi) için bir protokol seçildikten sonra, sponsor herhangi bir destek sağlayamayabilir. Bu, daha çok, değeri tam olarak gerçekleştirmek için belirli hizmet sağlayıcıların gerekli olabileceği açık kaynak benimsemeye benzer.”

2. Varlık sahipliği kriterlerinin değiştirilmesi

Birisi bir NFT satın aldığında, aslında bir görüntü satın almıyor çünkü boyutları nedeniyle görüntüleri blok zincirinde depolamak pratik değil.

Bunun yerine, kullanıcılar, görüntüye giden yolu gösteren bir tür makbuz alırlar.

Blok zincirinde yalnızca bir karma veya bir URL olabilen görüntü tanımlaması saklanır. HTTP sıklıkla kullanılır, ancak merkezi olmayan bir alternatif Gezegenler Arası Dosya Sistemidir (IPFS).

IPFS’yi seçen kuruluşlar, IPFS düğümünün NFT’yi satan şirket tarafından yönetileceğini ve bu şirket mağazayı kapatmaya karar verirse, kullanıcıların NFT’nin işaret ettiği görüntüye erişimini kaybedebileceğini bilmelidir.

Bağımsız güvenlik araştırmacısı Anatole Brisacaro, “Bir dosyayı IPFS’ye yeniden yüklemek teknik olarak mümkün olsa da, süreç karmaşık olduğu için ortalama bir kullanıcının bunu yapması pek olası değildir” diyor.

“Ancak, iyi yanı, merkezi olmayan ve savunmasız doğası nedeniyle, bunu sadece proje geliştiricileri değil, herkes yapabilir.”

3. Piyasa güvenliği riskleri

NFT’ler blockchain teknolojisine dayansa da, bunlarla ilişkili görüntüler veya videolar merkezi veya merkezi olmayan bir platformda saklanabilir.

Kullanıcıların dijital varlıklarla etkileşimini kolaylaştırdığı için genellikle kolaylık sağlamak için merkezi bir model seçilir. Bu yaklaşımın dezavantajı, NFT pazarlarının Web2 güvenlik açıklarını devralabilmesidir.

Ayrıca, geleneksel bankacılık işlemleri tersine çevrilebilirken, blok zincirindeki işlemler geri alınamaz.

Brisacaro, “Saldırıya uğramış bir sunucu, kullanıcıya yanıltıcı bilgiler sağlayabilir ve cüzdanlarını tüketecek işlemler yapmaları için onları kandırabilir” diyor.

Ancak, sistemin doğru şekilde uygulanması için doğru miktarda zaman ve çaba harcanması, özellikle merkezi olmayan bir platform kullanılması söz konusu olduğunda, saldırılara karşı koruma sağlayabilir.

Brisacaro, “Ancak, bazı pazarlar daha fazla kontrol için köşeleri kestiriyor ve güvenliği ve ademi merkeziyetçiliği feda ediyor” diyor.

4. Kimlik dolandırıcılığı ve kripto para dolandırıcılığı

Kripto para dolandırıcılığı yaygındır ve çok sayıda insan bunlara kurban gidebilir. Stein, “Dolandırıcılar, yaklaşan NFT lansmanlarını düzenli olarak takip ediyor ve genellikle resmi lansmanla birlikte tanıtım yapmaya hazır düzinelerce dolandırıcılık darphane sitesine sahipler” diyor.

Bu dolandırıcılıkların kurbanı olan müşteriler genellikle en sadık müşterilerinden bazılarıdır ve bu tür kötü deneyimler, belirli bir markayı nasıl algıladıklarını etkileyebilir.

Bu nedenle, onları korumak çok önemlidir.

Kullanıcılar genellikle, hesaplarından birinde şüpheli davranışın fark edildiğine dair kötü amaçlı e-postalar alır. Bu sorunu çözmek için, hesap doğrulaması için kimlik bilgilerini sağlamaları gerekir.

Kullanıcı buna kanarsa, kimlik bilgileri risk altındadır. Stein, “NFT alanına girmeye çalışan herhangi bir marka, kaynakları bu tür kimlik avı saldırılarını izlemeye ve hafifletmeye ayırmanın yararına olacaktır” diyor.

5. Blockchain köprüleri büyüyen bir tehdit

Farklı blok zincirlerinin farklı para birimleri vardır ve farklı kurallara tabidir. Örneğin, birisi Bitcoin’e sahipse ancak Ethereum’u harcamak istiyorsa, varlıkların transferini sağlayan iki blok zinciri arasında bir bağlantıya ihtiyacı vardır.

Bazen zincirler arası köprü olarak adlandırılan bir blockchain köprüsü tam da bunu yapar. Brisacaro, “Doğası gereği, akıllı sözleşmeler kullanılarak sıkı bir şekilde uygulanmaz ve kullanıcı varlıkları orijinal zincire yatırdığında ikinci zincirde bir işlem başlatan zincir dışı bileşenlere dayanır” diyor.

En büyük kripto para birimi saldırılarından bazıları Ronin, Poly Network ve Wormhole gibi çok zincirli köprüleri içerir.

Örneğin, Mart 2022’nin sonlarında Ronin Games blok zinciri hack’i sırasında, saldırganlar 625 milyon dolar değerinde Ethereum ve USDC ele geçirdi.

Ayrıca Ağustos 2021’de Poly Network’e yapılan saldırı sırasında, bilgisayar korsanı birden fazla kripto para birimi cüzdanına 600 milyon dolardan fazla token aktardı.

Neyse ki bu durumda para 2 hafta sonra iade edildi.

6. Kod kapsamlı bir şekilde test edilmeli ve revize edilmelidir

İyi bir koda sahip olmak, herhangi bir projenin başlangıcından itibaren bir öncelik olmalıdır. Brisacaro, geliştiricilerin yetenekli ve ayrıntılara dikkat etmeye istekli olması gerektiğini savunuyor.

Aksi takdirde, bir güvenlik olayının kurbanı olma riski artar. Örneğin Poly Network’e yapılan saldırıda saldırgan, düğüm çağrıları arasındaki boşluktan yararlanmıştır.

Bir kazayı önlemek için ekiplerin kapsamlı testler yapması gerekir. Maliyetli ve zaman alıcı olabilse de, kuruluş ayrıca bir üçüncü tarafa bir güvenlik denetimi yaptırmalıdır.

Denetimler, en yaygın güvenlik açıklarının belirlenmesine yardımcı olan sistematik bir kod incelemesi sağlar.

Elbette kod doğrulaması gereklidir ancak yeterli değildir ve şirketin denetim yapmış olması sorun yaşamayacağını garanti etmez. Brisacaro, “Bir blok zincirinde, akıllı sözleşmeler çok karmaşık olma eğilimindedir ve genellikle diğer protokollerle etkileşime girer” diyor.

“Ancak, yalnızca kuruluşlar kendi kodlarını kontrol eder ve harici protokollerle etkileşim riski artırır.”

Hem bireyler hem de şirketler, risk yönetimi için başka bir yol keşfedebilir: şirketlerin akıllı sözleşmelerin veya saklama saldırılarının maliyetini azaltmasına yardımcı olan sigorta.

7. Yönetim anahtarı

Schwenk , “Kripto para biriminin merkezinde özel anahtarı yönetmek yatıyor. Bu, birçok şirket için basit görünüyor ve CIO’lar sorunlara ve en iyi uygulamalara aşina olabilir” diyor.

Birkaç anahtar yönetimi çözümü mevcuttur.

Bunlardan biri Trezor, Ledger veya Lattice1 gibi donanım cüzdanlarıdır. Bunlar, kriptografik materyal oluşturan ve güvenli bileşenlerinde depolayan, saldırganların örneğin bir virüs/arka kapı yoluyla bilgisayara erişimleri olsa bile özel anahtarlara erişmelerini önleyen USB aygıtlarıdır.

Diğer bir savunma hattı, donanım cüzdanlarıyla kullanılabilen çoklu oluşumlardır. Brisacaro, “Multi-sig, işlemlerin birden çok sahip tarafından onaylanmasını gerektiren akıllı bir sözleşme cüzdanıdır” diyor.

“Örneğin, beş sahibiniz olabilir ve bir işlemi göndermeden önce en az üç kişinin imzalamasını zorunlu tutabilirsiniz. Bu şekilde, saldırganın cüzdanı ele geçirmek için birden fazla kişiden ödün vermesi gerekir.”

8. Kullanıcı ve kullanıcı eğitimi

Web3 teknolojilerini entegre etmek isteyen kuruluşların, farklı blok zincirlerinde işlem gerçekleştirmek için yeni araçlara ihtiyaç duyulduğu için personelini eğitmesi gerekir.

Cofense’nin kurucu ortağı ve baş teknoloji sorumlusu Aaron Higbee diyor.

Her şirketin e-posta tabanlı kimlik avı saldırıları konusunda endişelenmesi gerekse de, dijital varlıklarla ilgilenen çalışanların hedef alınması daha olası olabilir.

Eğitimin amacı, ekipteki herkesin en son uygulamaları kullanmasını ve güvenlik ilkelerini iyi anlamasını sağlamaktır. Check Point Ürün Güvenlik Açıkları Araştırma Başkanı Oded Vanunu, kripto para birimleri hakkında bazı şirketler için işleri “biraz karışık” hale getirebilecek büyük bir bilgi eksikliği fark ettiğini söylüyor.

“Web3 teknolojilerini entegre etmek isteyen kuruluşların, bu projelerin derin bir güvenlik genel bakışına ve güvenlik anlayışına ihtiyaç duyduğunu anlamaları gerekiyor, bu da sayıları ve meydana gelebilecek sonuçları anlamaları gerektiği anlamına geliyor” diyor.

Özel anahtarları yönetmek istemeyen bazı kuruluşlar, onları Web2 güvenlik sorunlarına açık hale getiren merkezi bir sistem kullanmayı tercih eder.

Vanunu, “Derinlemesine güvenlik analizinin ve en iyi güvenlik uygulamalarının uygulandığı bir proje olması için Web3’ü Web2 teknolojileriyle entegre etmeye çağırıyorum” diyor.

9. NFT ve Web3 merkezi olmayan uygulamaların sürekli kullanımı

Pek çok şirket, artık ihtiyaçlarına hizmet etmeyen ürünleri terk ediyor, ancak doğru bir şekilde uygulandığı takdirde, blok zinciri tabanlı varlıklar için durum genellikle böyle değil.

Stein, “NFT’ler tek seferlik bir pazarlama çabası olarak görülmemelidir” diyor.

“NFT’nin kendisi zincirleme değilse, bunu sürdürme sorumluluğu her zaman şirkettedir. Proje çok başarılı olursa, şirket bu NFT’leri toplayanları aksilikler ve dolandırıcılık durumlarında desteklemek gibi ciddi bir görev üstlenir.” , vb. o zamana kadar.

Böyle bir viral proje, bir savaş zaman çizelgesine dayalı olarak NFT satan Ukrayna hükümeti tarafından başlatılan bir projedir.

Savaşın hatırasının korunduğu bir yer. Ukrayna kimliğini ve özgürlüğünü kutlamak için bir yer, ”diye yazıyor Ukrayna Başbakan Yardımcısı ve Dijital Dönüşüm Bakanı Mykhailo Fedorov’un tweet’i .

NFT meraklıları, tarihten bir parça satın almak ve Ukrayna’yı desteklemek istediklerini söyleyerek olumlu yanıt verdiler. Ancak projenin devam etmesini bekliyorlar.

10. Blockchain her zaman doğru araç değildir

Yeni teknolojiler her zaman heyecan vericidir, ancak kuruluşlar bunları uygulamaya koymadan önce sorunu çözüp çözmediklerini ve bunları benimsemek için doğru zaman olup olmadığını kendilerine sormalıdır. Blockchain tabanlı projeler, şirketleri daha iyiye doğru değiştirme potansiyeline sahiptir, ancak en azından ilk aşamada kaynak yoğun da olabilirler.

Risk-fayda oranının değerlendirilmesi, kararın önemli bir parçası olacaktır ve hem uygulama aşamasında hem de bunların uygulanması sırasında güvenlikle ilgili faaliyetler için yeterli finansman kritik öneme sahiptir.

Schwenk, bu yeni tehditlerin risk-fayda oranını değerlendirmek (henüz) temel bir yetkinlik olmayabilir ve genellikle kripto para birimleriyle ilişkilendirilen aldatmacaya kapılmak kolaydır, “diye bitiriyor Schwenk.

Kaynak: STK