Crowdcurity porta i test degli hacker crowdsourced su Bitcoin

I siti web Bitcoin sono obiettivi PRIME per gli attacchi informatici. Ora, una società chiamata Curiosità della follavuole applicare la saggezza delle folle per renderle più sicure. Come funzionerà?

Proteggersi dagli attacchi T è facoltativo se vuoi KEEP in attività la tua app Bitcoin basata sul Web. Le app Bitcoin possono spesso contenere centinaia di monete singole, lasciando i loro utenti a subire perdite finanziarie significative se vengono compromesse. Ciò è particolarmente vero nel caso degli exchange.

Ad esempio, il sito di trading a margine Bitcoinica eracitato in giudizio per 460.000 dollari nel 2012dopo essere stato hackerato due volte. L'exchange statunitense BitFloor ha subito un grave imbarazzo dopoSono stati rubati 24.000 bitcoin in seguito a un hack nel settembre 2012, una cifra che rappresentava quasi dieci anni di commissioni di transazione. È una perdita difficile da cui riprendersi. Non T il primo caso, i problemi risalgono ancora più indietro: Vicurex ha visto il suo portafoglio compromessonel 2011. E questi sono solo esempi di unset molto più grande.

Entrare in un'app web

Non tutti questi furti Bitcoin sono esplicitamente il risultato di problemi del sito web. Alcuni derivano da errori Human e altri sono, per ora, inspiegati. Ma ONE cosa è certa: un codice mal progettato T aiuta ed è responsabile di almeno alcuni di questi problemi.

In quanti modi una persona può entrare in un'applicazione web? Ce ne sono decine, ma l'Open Web Application Security Project (OWASP) li suddivide indieci ampie categorieAggiorna l'elenco ogni anno e quello del 2013 è una lettura raccapricciante.

In cima alla lista? Iniezione. Ciò accade quando qualcuno inietta codice che T dovrebbe esserci in un'applicazione web, solitamente tramite un parametro passato a un URL. Può essere utilizzato per eseguire comandi indesiderati, tra cui l'inserimento di malware pericolosi in una pagina web per infettare le macchine in visita o il dump dei dati dei clienti, ad esempio.

Altri potenziali attacchi includono lo sfruttamento di una configurazione di sicurezza scadente (inclusa la configurazione dei server di hosting) e l'autenticazione interrotta, in cui le sessioni non sono gestite correttamente, consentendo agli aggressori di dirottare gli account. Un altro vecchio argomento è l'attacco cross-site scripting, in cui dati errati vengono inviati a un browser tramite JavaScript, causandone un comportamento anomalo. Il fatto che questi attacchi siano ancora possibili anni dopo la loro prima scoperta è un discredito per la comunità di sviluppo software.

Il problema per molti sviluppatori di software nel settore Bitcoin e altrove è che è difficile individuare tutti i bug. Diversi siti Bitcoin impiegano 'bug bounty' per risolvere il problema, offrendo ricompense ai membri della comunità con gli occhi d'aquila per individuare e risolvere i problemi.

Coinbase ne ha ONE

, con un pagamento minimo di 5 BTC e nessun pagamento massimo. Al momento in cui scrivo, aveva assegnato bitcoin a 27 persone, per un totale di almeno 135 BTC. Payward, che gestisce il sito di trading a margine Kraken, è più avaro riguardo al suo programma di ricompensa, offrendo un minimo di un singolo Bitcoin per bug. Un altro sito di trading Bitcoin , 1Broker, ha eseguito un programma.

Entra Crowdcurity

Crowdcurity spera di standardizzare il concetto di bug bounty esternalizzando il processo. Il servizio online mette in contatto le aziende che hanno software da sottoporre a debug con una comunità di circa 250 tester di software, che ha trovato tramite forum sulla sicurezza.

L'azienda T è focalizzata esclusivamente Bitcoin , poiché il suo processo può essere applicato a qualsiasi applicazione basata sul Web. Tuttavia, è un mercato importante per l'azienda. "Le aziende Bitcoin sono già molto focalizzate sulla sicurezza e sanno di doversi concentrare su questo", afferma Jacob Hansen, fondatore di Crowdcurity, che sta già negoziando con almeno ONE grande azienda basata su Bitcoin. "Le e-business tradizionali T hanno sempre la stessa consapevolezza".

[post-citazione]

I clienti possono creare un programma di premi con il sito, impostando regole e importi per i programmi di bug. La sfida viene quindi inviata alla community di test, che lavora sulla segnalazione delle vulnerabilità. Il cliente convalida i bug insieme a Crowdcurity e i pagamenti vengono assegnati in base alla gravità del bug.

Più della metà dei pagamenti sono stati effettuati in bitcoin per il singolo cliente con cui l'azienda aveva avuto a che fare fino alla scorsa settimana. "Molti di questi pagamenti potrebbero essere di $ 25-$ 50 se i bug sono di bassa criticità, e con i bitcoin hai commissioni più basse e i pagamenti sono più rapidi", afferma Hansen.

I tester del sito possono puntare a un sito di test o a un sito operativo che sta già elaborando dati live, spiega Hansen. Ma i siti T dovrebbero affidarsi solo a tester esterni, sostiene.

Crowdcurity è in effetti un servizio di penetration testing, in cui una folla di tester cerca di hackerare un sito web. Ma ciò che T fanno è guardare il codice di un sito. In ONE senso, questa è una buona cosa, perché i siti closed source T vorranno che la gente ammicchi la loro proprietà intellettuale. In un altro senso, lascia l'analisi del codice all'azienda, che poi deve trovare le competenze per farlo.

"Dovrebbero effettuare revisioni di sicurezza del loro codice internamente. Poi, ci sono molti strumenti automatici là fuori che possono esaminare il tuo codice e scoprire vulnerabilità comuni". Crowdcurity usa strumenti comeFrenatoreper il suo sito, che analizza le vulnerabilità nelle app Ruby on Rails. Ce ne sono altre per altri linguaggi, ma le aziende devono avere le competenze e la disciplina per usarle.

Man mano che Bitcoin cresce e le aziende ottengono maggiori finanziamenti, si spera che gli sviluppatori di software siano in una posizione migliore per coprire tutte le loro basi di sicurezza. E forse vedremo meno storie di disastri come Bitcoinica o Bitfloor.