Ransomware, minery, ale i hrozba selhání celých obchodních platforem: Studie společnosti McAfee Blockchain Threat Report ukazuje, že stejně jako každá inovativní technologie, také blockchain a kryptoměny vystavují koncové uživatele a firmy řadě souvisejících bezpečnostních hrozeb. Vznikly již i nové specializované formy kybernetické kriminality.
Analýza McAfee rozděluje bezpečnostní rizika kolem blockchainu do několika kategorií. První je celkem elementární. Tak jako všechny aktuální trendy (událost, věci, o nichž se mluví), také blockchain se používá k phishingu a podobně triviálním podvodům, kdy jde o to přimět uživatele kliknout na nějaký odkaz, objednat kryptoměny, poskytnout přihlašovací údaje apod. V roce 2017 se objevily nabídky služeb pro správu peněženek s kryptoměnami, které je prostě vyprázdní. Za nástroje pro těžbu kryptoměn se vydává malware (nebo je do skutečně takto fungujících programů přibalen další nežádoucí software).
Druhá rovina podvodů souvisejících s blockchainem/kryptoměnami obnáší jejich využití podvodníky pro anonymizaci. Epidemie ransomwaru by nikdy nemohla dosáhnout takových rozměrů, kdyby podvodníci neměli k dispozici možnost požadovat převod v rámci bitcoinů – využívat při vydírání běžných bankovních služeb by bylo proveditelné mnohem obtížněji (bez ohledu na to, nakolik jsou vystopovatelné i transakce v bitcoinech; tvůrci ransomwaru navíc již zneužívají např. i kryptoměny Monero, Ethereum, Dash nebo Kirk).
Třetí souvislost mezi kryptoměnami a podvodníky spočívá v tom, že nyní mají útočníci jednoduchou možnost, jak monetizovat nakažené systémy – zneužijí jejich výkon k těžbě kryptoměn. Programy pro „dolování“ (minery) dokonce podle posledních statistik předstihly co do četnosti i ransomware. Výhodou útočníků je zde především nenápadnost. Nedávný průzkum laboratoří McAfee Labs uvádí, že množství vzorků malwaru čerpající kryptoměny vzrostlo v 1. čtvrtletí letošního roku meziročně o 629 %. Navíc zde existuje „šedá zóna“, kdy využívání běží např. v rámci webového prohlížeče při návštěvě určitého webu, který takto může mít i postaven svůj celý obchodní model (legálnost postupu závisí zřejmě hlavně na tom, zda je návštěvník o všem informován a zda zneužití skončí při opuštění stránky).
Hrozba selhání celých ekosystémů
Studie Blockchain Threat Report však navíc mapuje i čtvrtou oblast, která není tak známá, a to bezpečnostní rizika spojená s legitimním zaváděním technologie blockchain. V posledních letech došlo například k útokům na celou řadu burz pro obchodování s kryptoměnami. Počátkem r. 2018 bylo z japonské burzy Coincheck ukradeno 532 milionů dolarů a škoda vznikla 260 000 investorům.
Ukazuje se tedy, že i když nedojde k prolomení samotných šifrovacích algoritmů, zranitelné jsou konkrétní implementace (nástroje pro práci), v nichž se technologie blockchain používá. Totéž pak hrozí podnikům, které chtějí na základě blockchainu realizovat transakce se svými zákazníky, dodavateli a dalšími partnery. Protože kolem technologie panuje velké nadšení, podvodníci mají značnou naději, že ve vznikajících komplexních ekosystémech najdou bezpečnostní mezery, a to bez ohledu na robustní bezpečnost samotného jádra technologie. Každý takový složitý systém je stejně zranitelný jako jeho nejslabší bod.
McAfee odhaduje, že v roce 2024 dosáhne trh se službami blockchain 9,6 miliard dolarů, současně ovšem výrazně porostou i ztráty, které podniky utrpí kvůli souvisejícím bezpečnostním incidentům. Část těchto škod padá na vrub příliš rychlé, neuvážené implementaci blockchainu do firemního IT. Podniky se těmto zbytečným nákladům mohou ale vyhnout. Blockchain přitom není nasazován jen v technologických firmách, ale experimentují s ním i vládní agentury nebo největší podniky. Případné selhání této transakční infrastruktury pak zasáhne všechny zúčastněné strany a může mít obrovský dopad. Organizace by při nasazování blockchainu každopádně měly využít nějakou sadu doporučených postupů (best practices). Vyplatí se konzultovat s bezpečnostními firmami a dalšími odborníky na problematiku firemní IT bezpečnosti.
Aleš Pikora, ředitel divize DataGuard
PCS, spol. s r. o.