Crowdcurity внедряет краудсорсинговое хакерское тестирование в Bitcoin

Сайты Bitcoin являются PRIME целями для кибератак. Теперь компания под названием Crowdcurityхочет применить мудрость толпы, чтобы сделать их более безопасными. Как это будет работать?

Защита от атак T является необязательной, если вы хотите KEEP свое веб-приложение Bitcoin в бизнесе. Приложения Bitcoin часто могут хранить сотни отдельных монет, в результате чего их пользователи несут значительные финансовые потери в случае их взлома. Это особенно актуально в случае бирж.

Например, сайт маржинальной торговли Bitcoinica былпредъявлен иск на сумму 460 000 долларов в 2012 годупосле того, как ее дважды взломали. Американская биржа BitFloor потерпела серьезный крах после того, какБыло украдено 24 000 биткоинов после взлома в сентябре 2012 года – сумма, которая представляла собой почти десять лет комиссий за транзакции. Это сложная потеря, от которой трудно оправиться. Это T первый случай, проблемы уходят еще дальше: Кошелек Vicurex был скомпрометированв 2011 году. И это только примеры изгораздо больший набор.

Взлом веб-приложения

Не все эти кражи Bitcoin являются явным результатом проблем с сайтом. Некоторые из них происходят из-за Human ошибки, а некоторые пока не объяснены. Но ONE можно сказать наверняка: плохо спроектированный код T помогает и несет ответственность по крайней мере за некоторые из этих проблем.

Сколько способов может взломать веб-приложение? Их десятки, но Open Web Application Security Project (OWASP) делит их надесять широких категорий. Список обновляется каждый год, и список 2013 года — это жуткое чтение.

В верхней части списка? Инъекция. Это происходит, когда кто-то внедряет код, которого там быть T должно, в веб-приложение, обычно через параметр, переданный в URL. Его можно использовать для выполнения непреднамеренных команд, включая размещение опасного вредоносного ПО на веб-странице для заражения машин посетителей или, например, сброс данных клиентов.

Другие потенциальные атаки включают использование плохой конфигурации безопасности (включая конфигурацию хостинговых серверов) и сломанную аутентификацию, при которой сеансы не управляются должным образом, что позволяет злоумышленникам захватывать учетные записи. Еще одна старая загвоздка — атака с использованием межсайтового скриптинга, при которой в браузер отправляются неверные данные с помощью JavaScript, что приводит к его неправильному поведению. Тот факт, что эти атаки все еще возможны спустя годы после их первого обнаружения, дискредитирует сообщество разработчиков программного обеспечения.

Проблема многих разработчиков программного обеспечения в Bitcoin пространстве и не только заключается в том, что сложно обнаружить все ошибки. Несколько Bitcoin сайтов используют «баунти за ошибки», чтобы решить эту проблему, предлагая зорким членам сообщества награды за обнаружение и устранение проблем.

У Coinbase есть ONE

, с минимальной выплатой 5 BTC и без максимальной выплаты. На момент написания статьи он наградил биткойнами 27 человек, что составило не менее 135 BTC. Payward, управляющий сайтом маржинальной торговли Kraken, более скуп на свою программу вознаграждений, предлагая минимум один Bitcoin за ошибку. Другой сайт торговли Bitcoin , 1Broker, также запустил программу.

Введите Crowdcurity

Crowdcurity надеется стандартизировать концепцию bug bounty, передав этот процесс на аутсорсинг. Онлайн-сервис связывает компании, у которых есть программное обеспечение для отладки, с сообществом из примерно 250 тестировщиков программного обеспечения, которых он нашел через форумы по безопасности.

Фирма T сосредоточена исключительно на Bitcoin , поскольку ее процесс может быть применен к любому веб-приложению. Тем не менее, это важный рынок для фирмы. «Bitcoin компании уже очень сосредоточены на безопасности, и они знают, что им нужно сосредоточиться на ней», — говорит Джейкоб Хансен, основатель Crowdcurity, который уже ведет переговоры по крайней мере с ONE крупным бизнесом, основанным на биткоинах. «Традиционные электронные компании T всегда обладают такой же осведомленностью».

[после цитаты]

Клиенты могут создать программу вознаграждения на сайте, установив правила и суммы для программ по обнаружению ошибок. Затем задача отправляется в сообщество тестировщиков, которое работает над сообщением об уязвимостях. Клиент проверяет ошибки совместно с Crowdcurity, и выплаты присуждаются на основе серьезности ошибки.

Более половины выплат были сделаны в биткойнах для одного клиента, с которым фирма имела дело на прошлой неделе. «Многие из этих платежей могут составлять от 25 до 50 долларов, если ошибки имеют низкую критичность, а с биткойнами у вас более низкие комиссии, и это ускоряет выплаты», — говорит Хансен.

Тестировщики сайта могут нацеливаться на тестовый сайт или на действующий сайт, который уже обрабатывает живые данные, объясняет Хансен. Но сайты T должны полагаться только на внешних тестировщиков, утверждает он.

Crowdcurity — это фактически сервис тестирования на проникновение, в котором толпа тестировщиков пытается взломать веб-сайт. Но чего они T делают, так это не смотрят на код сайта. В ONE-то смысле это хорошо, потому что сайты с закрытым исходным кодом T захотят, чтобы люди пялились на их интеллектуальную собственность. В другом смысле он оставляет анализ кода на усмотрение компании, которая затем должна найти навыки, чтобы сделать это.

«Они должны проводить внутренние проверки безопасности своего кода. Кроме того, существует множество автоматических инструментов, которые могут просматривать ваш код и обнаруживать распространенные уязвимости». Crowdcurity использует такие инструменты, какТормозной мастердля собственного сайта, который сканирует уязвимости в приложениях Ruby on Rails. Для других языков их больше, но компании должны иметь навыки и дисциплину, чтобы их использовать.

По мере того, как Bitcoin растет, а компании получают лучшее финансирование, разработчики программного обеспечения, как мы надеемся, будут в лучшем положении, чтобы охватить все свои базы безопасности. И, возможно, мы увидим меньше историй катастроф, таких как Bitcoinica или Bitfloor.