ITanalyze

آسیه فروردین – استوارت بیکر در مقاله‌ای در lawfareblog نوشت: دولت بایدن درباره پیامدهای امنیت ملی در حوزه‌های امنیت سایبری و ارزهای دیجیتال هشدار داده است. قبل از احساس نگرانی دولت در مورد اشتراک ارز دیجیتال، مساله زمان بسیار مهم است.

همه دشمنان بین‌المللی ایالات متحده در حال تجارت و سوءاستفاده از وضع بد امنیت سایبری هستند و بسیاری از آنها، درآمد حاصل از این سوءاستفاده‌ها را در ارزهای دیجیتال به کار می‌برند. برای هکرهای دولتی کره‌شمالی، جرم سازمان‌یافته روسیه یا فعالان سایبری خصوصی‌سازی‌شده در چین و ایران، طبیعی‌تر از سرقت ارزهای دیجیتال برای تامین مالی عملیات امنیت ملی‌شان نیست. آنها این عرصه را به مثابه یک دَرِ باز خواهند یافت، زیرا به همان اندازه که وضعیت امنیت سایبری، به طور کلی بد است، امنیت ارزهای دیجیتال بدتر است.
اگر اخبار مربوط به ارزهای دیجیتال را به صورت اتفاقی دنبال کنید، از اندازه و فراوانی خرابی‌های امنیتی ارزهای دیجیتال متاثر خواهید شد‌. این تصور شما یا تعصب مطبوعاتی نیست. ارزهای دیجیتال واقعا امنیت بدتری نسبت به سایر فناوری‌های دیجیتال دارند و این احتمال وجود دارد که اوضاع امنیت در این حوزه، همیشه این‌گونه باشد.
به همین دلیل در بخش‌های دیگر اقتصاد دیجیتال، شرکت‌ها به سرعت نقص‌ها و شکاف‌های امنیتی را اصلاح می‌کنند که بسیاری از آنها توسط محققان بیرونی پیدا و مسوولانه فاش شده‌اند. اما مساله اینجاست که چرخه «افشا» برای سیستم‌های ارز دیجیتال کاربرد ندارد.
راه‌هایی برای کارکرد بهتر چرخه افشا و اصلاح ارزهای دیجیتال وجود دارد اما این روش‌ها به مصالحه و سازش جدید، نوآوری سازمانی و شاید حتی قوانین جدید نیاز دارند. این، یک کار طاقت‌فرساست اما تا زمانی که این اتفاق نیفتد، امنیت ارزهای دیجیتال هرگز حتی با استاندارد امنیتی پایین تعیین‌شده توسط سایر فناوری‌های دیجیتال مطابقت نخواهد داشت.

افشای مسوولانه چگونه کار می‌کند؟
نقایص امنیتی نرم‌افزاری مانند آنچه در حوزه ارز دیجیتال وجود دارد، در همه‌جای دنیای محصولات دیجیتال مطرح است. مانند نویسندگانی که نمی‌توانند اشتباهات تایپی‌ خود را ببینند یا بیشتر کدنویس‌ها در دیدن اینکه چگونه می‌توان از نرم‌افزار آنها سوءاستفاده کرد، مشکل دارند. لذا نقص‌های امنیتی در کار آنها معمولا توسط دیگران و اغلب سال‌ها بعد آشکار می‌شود.
آن هم در شرایطی که پژوهشگران، 30 سال پس از تبدیل ویندوز به سیستم‌عامل غالب جهان، همچنان در حال یافتن حفره‌های جدی در آن هستند.
شرکت‌هایی مانند مایکروسافت با امضای قراردادهایی با این پژوهشگران امنیتی، امنیت محصولات خود را بهبود بخشیده‌اند.
زمانی بود که تولیدکنندگان نرم‌افزار، تحقیقات امنیتی مستقل را غیراخلاقی و شاید غیرقانونی می‌دانستند اما آن روزها عمدتا به لطف توافق سخت بین تولیدکنندگان و پژوهشگران امنیتی درباره قوانین «افشای مسوولانه» گذشته است.
بر اساس این قوانین، محققان امنیتی، اشکالات و نواقص یافته‌شده را قبل از اینکه هکرهای کلاه سیاه این نقص را پیدا و از آن سوءاستفاده کنند، به طور «مسوولانه» فقط برای شرکت مربوطه، افشا و در واقع، بدون سروصدا و حاشیه‌سازی آن را اصلاح می‌کنند.
افشای مسوولانه و اصلاح آن، امنیت سیستم‌های رایانه‌ای را تا حد زیادی بهبود می‌بخشد. به همین دلیل است که اکثر شرکت‌های نرم‌افزاری، اکنون به محققانی که نقص‌های امنیتی را در محصولات این شرکت‌ها می‌یابند و گزارش می‌کنند، «هدایای بزرگ» ارایه می‌دهند.
البته این وضعیت، دقیقا عصر طلایی امنیت سایبری را پدید نیاورده اما بدون پیشرفت‌های مستمر که با افشای مسوولانه ممکن شده، وضعیت بسیار بدتری خواهیم داشت. این مشکل، برای ارزهای دیجیتال است. چراکه افشای مسوولانه، حداقل آن‌گونه که به‌ طور سنتی درک می‌شود، در حوزه ارز دیجیتال، کارساز نخواهد بود.

بازیابی ارزهای دیجیتال
بازیابی ارزهای دیجیتال، باز کردن قفل کیف پول افرادی است که به گذرواژه‌ها، کلیدهای خصوصی، سخت‌افزار یا نرم‌افزاری که در ابتدا برای حفظ وجوه خود استفاده می‌کردند، دسترسی ندارند. بازگرداندن دسترسی به چنین کیف پول‌هایی به دو دلیل در طول زمان، یک تجارت رو به رشد است.
اول اینکه بازار این خدمات در حال رشد است. مطبوعات در حال حاضر مملو از داستان‌هایی درباره افرادی است که دسترسی به کیف پول ارزهای دیجیتال خود را از دست داده‌اند.
این امر به این دلیل است که مردم هنگام ذخیره دارایی‌های مجازی، امنیت را در اولویت قرار می‌دهند. آنها متوجه می‌شوند به طور کلی، هرکس که از رمز عبور، کلمات تصادفی (seed) یا کلید خصوصی خود آگاه است، به وجوه مختلف آنها دسترسی کامل دارد. بنابراین افراد رمزهایی را انتخاب می‌کنند که حدس زدن آن، سخت و در نتیجه به خاطر سپردن آن نیز دشوار است و تمایلی هم به نوشتن آنها ندارند. سپس، با گذشت زمان، کم شدن حافظه، یا شاید ناتوانی یا مرگ غیرمنتظره، سرمایه از دسترس خارج می‌شود.
دوم اینکه در عین حال، دسترسی به چنین وجوهی هر سال آسان‌تر است. سخت‌افزار و نرم‌افزاری که برای ایمن‌سازی دارایی‌ها استفاده می‌شد، به مرور زمان، مسدود یا فریز شده‌اند اما پژوهش‌های امنیتی این‌طور نیست. همان‌طور که بروس اشنایر یادآوری می‌کند، حملات به حوزه امنیت «همیشه بهتر می‌شوند و هرگز بدتر نمی‌شوند.» بنابراین محققان امنیتی، هر سال، شانس بیشتری برای یافتن حفره‌ای دارند که قفل آدرس، کیف پول یا قطعه سخت‌افزاری را باز می‌کند.
این، خبر خوبی است برای افرادی که کیف پول خود را قفل کرده‌اند و خبر خوبی برای کسانی است که می‌توانند آنها را دوباره به جای اولیه خود برگردانند. با این حال، پرسش این است که وضعیت درباره افرادی که روی نرم‌افزارهای امنیتی برای حفاظت از دارایی‌های خود حساب کرده بودند، چگونه خواهد شد؟ امنیت بسیاری از آنها نیز در زمان منجمد و مسدود شده است. نرم افزاری که آنها برای ایجاد کیف پول و سخت‌افزاری که برای قفل کردن آن استفاده کرده‌اند، از آن زمان تا کنون، شاید بسیار قدیمی شده باشد.

افشای مسوولانه برای ارزهای دیجیتال کار نمی‌کند؟
اما چرا صنعت ارز دیحیتال نمی‌تواند به روشی که صنایع نرم‌افزاری و سخت‌افزاری، با اصلاح و به‌روزرسانی امنیتی هنگام یافتن شکاف‌های امنیتی عمل می‌کند، مشکل خود را حل کند؟ برای این موضوع، دو دلیل وجود دارد:
نخست: بسیاری از مشتریان ارز دیجیتال با ارایه‌دهندگان سخت‌افزار و نرم‌افزاری که از سرمایه‌شان محافظت می‌کنند، رابطه مستمر ندارند و همچنین انگیزه‌ای برای به‌روزرسانی امنیت به طور منظم ندارند. مراجعه به یک ارایه‌دهنده امنیتی جدید یا استفاده از نرم‌افزار به‌روز، خطراتی را ایجاد می‌کند و با رها کردن همه‌چیز، همان‌طور که بوده، احساس امنیت بیشتری می‌کند. بنابراین کاربران برای پرداخت هزینه و اعمال وصله امنیتی جدید، عجله‌ای ندارند.
دوم: صنعت ارزهای دیجیتال، عمدتا به غیرمتمرکز بودن، ناشناس‌سازی و اصطکاک کم معروف هستند. این بدان معناست که شرکتی که مسوولیت امنیت سخت‌افزاری یا نرم‌افزاری ارز دیجیتال را برعهده دارد، ممکن است راهی برای شناسایی افرادی که از محصول استفاده کرده‌اند یا ارایه راه‌حل اصلاحی به کاربران نداشته باشد.
این امر همچنین به این معناست که بسیاری از کیف‌پول‌های دارای نقص امنیتی که تنها با یک رمز پیچیده محافظت می‌شوند، در دسترس عموم قرار خواهند گرفت. به محض اینکه خبر نفوذ این نقص فاش شود، رمز عبور می‌تواند توسط هرکسی مهندسی معکوس شود و مالکان قانونی احتمالا خود را در رقابتی برای جابه‌جایی دارایی‌های خود با سارقان می‌یابند. حتی در صنعت نرم‌افزار، هکرها به طور معمول، نقایص مایکروسافت را مهندسی معکوس می‌کنند تا شکاف‌های امنیتی را قبل از نصب کامل وصله‌ها برطرف کنند.
در بازار ارزهای دیجیتال، این نوع بهره‌برداری، تقریبا تضمین شده و کوتاه مدت است؛ همان‌طور که در دو رویداد عمومی در ماه آگوست اتفاق افتاد. در یک رویداد، هکرها نزدیک به 200 میلیون دلار از Nomad، که یک «پل» بلاک‌چین برای تبدیل و انتقال ارزهای دیجیتال است، گرفتند. یکی از کاربران شروع به سوء‌استفاده از نقص کد قرارداد هوشمند Nomad کرد. دیگران هم به این سوءاستفاده سوق داده شدند. این جریان به سرعت به یک رفتار جنون‌آمیز تبدیل شد و در نتیجه پل را از تمام سرمایه‌های موجود تخلیه کرد.
در حادثه دیگر، سولانا، یک پلتفرم ارز دیجیتال، شاهد بود هکرها از نزدیک به 8هزار کیف پول چندین میلیون دلار تخلیه کردند. آنها این کار را احتمالا با به خطر انداختن امنیت عبارات اولیه خود و در نتیجه، کنترل کیف پول‌ها به دست گرفتند.
مجموع این مشکلات، افشای مسوولانه را در صنعت ارز دیجیتال تا حد زیادی غیرقابل اجرا می‌کند. به ندرت می‌توان یک حفره امنیتی را به آرامی پر کرد.
در مقابل، هر اصلاح یا وصله احتمالا زمانی که منتشر می‌شود و قبل از اینکه به طور گسترده اجرا شود، در قالب رفتار جنون‌آمیز کاربران، مورد سوءاستفاده قرار می‌گیرد و مهندسی معکوس می‌شود. این یک نقص اساسی در امنیت ارزهای دیجیتال است.
این امر بدان معناست که هک‌ها و سرقت‌های انبوه، همه‌گیر خواهند بود. بنابراین مهم نیست صنعت چقدر روی امنیت کار می‌کند، زیرا مدل افشای مسوولانه برای درمان شکاف‌های امنیتی جدید به سادگی، موثر نخواهد بود.
اکنون سوال اینجاست که به طور کلی، آیا امکان افشای مسوولانه در ارزهای دیجیتال وجود دارد؟ شاید؛ اما نه به راحتی! اینجا دو راه‌حل بالقوه وجود دارد:

امنیت متمرکز
برخی شرکت‌ها می‌توانند مشابه آنچه توسط مایکروسافت، اپل و گوگل در نرم‌افزار مصرف‌کننده رخ می‌دهد، در امنیت ارزهای دیجیتال، نقش ایفا کنند.
در این خصوص مثلا یک صرافی بزرگ که اطلاعات زیادی درباره مشتریان خود دارد و نرم‌افزاری را که آنها برای دسترسی به کیف پول خود استفاده می‌کنند، کنترل می‌کند، قادر است بدون سروصدا اقداماتی را برای محافظت از این وجوه آماده کرده و به سرعت اجرا کند. هرچند ارزش انجام این کار را دارد اما هر تلاشی برای متمرکز کردن امنیت ارزهای دیجیتال با موانعی روبه‌رو خواهد شد.
حتی صرافی‌هایی که از مشتریان فعلی محافظت می‌کنند، به شرایطی برای ارایه خدمات نیاز دارند که به آنها امکان می‌دهد حساب‌های مشتریان خود را تغییر دهند – و شاید آنها را آفلاین کنند – تا این محافظت را ارایه دهند. آنها باید راهی بیابند تا بین خودشان و محققانی که ایراد کار را پیدا می‌کنند، موازنه ایجاد کنند. انجام این کار در فضای ارزهای دیجیتال سخت‌تر است؛ جایی که آنها در برابر یک مقاومت عمیق آزادی‌خواهانه در برابر متمرکز شدن قرار دارند. حتی اگر موفق شوند، بسیاری از شکاف‌های امنیتی، فراتر از توانایی صرافی برای کاهش و تعدیل خواهد بود.

راه‌حل غیرمتمرکز
رویکرد دیگر، یک استراتژی غیرمتمرکز برای افشای مسوولانه است اما نیازمند قوانین یا حداقل دیدگاه جدید نسبت به قوانین فعلی است.
هک Nomad چیزی را نشان می‌دهد که می‌توان آن را «نجات» غیرمتمرکز کیف پول‌های در معرض خطر نامید. این شرکت متوجه شد برخی از افرادی که از این نقص سوء‌استفاده می‌کنند، این کار را برای محافظت از دارایی‌ها انجام می‌دهند.
لذا این شرکت، یک درخواست عمومی برای «هکرهای کلاه سفید و دوستان پژوهشگر اخلاقی» صادر کرد تا هرگونه وجوهی را که نجات می‌دهند به کیف پولی که برای این منظور ایجاد شده، ارسال کنند. این موضوع با ارایه 10 درصد جایزه برای وجوه برگشتی و قول عدم پیگیری اقدامات قانونی علیه کسانی که وجوه را برگردانده‌اند، شیرین‌تر هم شد.
در نتیجه این شرکت گزارش داده 32 میلیون دلار از 190 میلیون دلاری که به سرقت رفته بود، بازگردانده شده است. و این موضوع، در حال تبدیل شدن به یک روش صنعتی شناخته شده است.
در سال 2017، «گروه کلاه سفید» به سرقت 32 میلیون دلاری اتریوم با کاهش 60 میلیون دلار، بیشتر از کیف پول‌های آسیب‌پذیر و سپس بازگرداندن آن پاسخ داد. سال گذشته نیز، Poly Networks حدود 600 میلیون دلار از دارایی‌ها را با ارایه نوعی پاداش عطف به ماسبق به مبلغ 500 هزار دلار – معامله‌ای به میزان 0.1 درصد از ضرر اولیه – و وعده عدم اعمال اتهام برگرداند.
می‌توان فکر کرد این روند به خودی خود ادامه می‌یابد اما نجات‌دهنده‌های ارزهای دیجیتال، ریسک‌های قانونی بزرگی را متحمل می‌شوند. همان‌طور که یکی از ناظران اشاره کرد، «حتی اگر آن را پس بدهید، سرقت بیش از نیم میلیارد دلار از هر نظر که به آن نگاه کنید، جرم است.»
این هکرها بدون وجود لکه روی کلاه، همچنان باید به این موضوع فکر کنند که آیا دادستان‌ها، عملیات نجات آنها را یک سرقت تلقی می‌کنند و به آن مشکوک خواهند شد.
بدتر اینکه، همیشه مشخص نیست وجوه نجات‌یافته باید به چه کسی بازگردانده شود. اگر چند مدعی وجود داشته باشد، نجات‌دهنده، در نهایت مجبور به قضاوت در مورد آن ادعاها می‌شود و هر دو طرف تهدید می‌کنند که اگر تصمیم علیه آنها باشد، شکایت خواهند کرد.
بالاخره حتی اگر نجات‌دهنده، به درستی مالک واقعی را شناسایی کند، این خطر وجود دارد که مالک، یک جنایتکار یا حتی یک طرف تحریم‌شده توسط دفتر کنترل دارایی‌های خارجی (اوفک) باشد!
در واقع، نجات‌دهنده باید مطمئن باشد در معرض خطر تعقیب قضایی برای گرفتن وجوه و همچنین پس دادن آنها نیست. برای اطمینان بخشیدن به نجات‌دهندگان با حسن‌نیت، انگیزه‌های قانونی و مالی باید سیستماتیک‌تر و مطمئن‌تر باشد. شاید آنچه موردنیاز است، یک گروه مستقل، مایل به راه‌اندازی کیف پول رمزنگاری‌شده است تا نجات‌دهندگان، وجوه نجات‌یافته را در آن بریزند. (اگر کیف پول توسط وزارت دادگستری ایجاد شود، می‌تواند به این افراد اطمینان دهد که سپرده‌گذاری، پیگرد قانونی را بعید می‌سازد. همچنین می‌تواند افرادی را که ادعای مالکیت دارند شناسایی و بررسی کند). در نهایت، واقعا باید راهی برای نهادینه کردن این جایزه پیدا کرد. اگر به نجات‌دهندگان مانند محققان امنیتی در اکوسیستم نرم‌افزاری پاداش داده شود، شاهد نجات ارزهای دیجیتال بسیار بیشتری خواهیم بود.
لذا برای افزایش امنیت ارزهای دیجیتال حتی نزدیک به سطح غیرقابل‌توجه توسط صنعت نرم‌افزار، «افشای مسوولانه» باید در یک زمینه کاملا جدید کار کند که شاید «نجات مسوولانه» پاسخ آن باشد. حداقل در حال حاضر، راه‌حل بهتری به ذهن نمی‌رسد.(منبع:عصرارتباط)