Από την άνοιξη του τρέχοντος έτους, ο Isaac Patka της εταιρείας ασφαλείας AI Shield3 και ο ερευνητικός συνεργάτης της Paradigm Sam, πιο γνωστός ως Samczsun, εργάζονται παράλληλα με έργα blockchain για τη βελτίωση της ασφάλειας στον απόηχο των απειλών στον κυβερνοχώρο που εξακολουθούν να μαστίζουν τη βιομηχανία.
Το δίδυμο κυκλοφόρησε το SEAL 911 στις αρχές Αυγούστου, ένα ρομπότ Telegram που σχεδιάστηκε για να συνδέει τους χρήστες με ελεγμένους ειδικούς σε θέματα ασφάλειας, με στόχο να ενισχύσει την αποκάλυψη της ασφάλειας στον κυβερνοχώρο και να αποτρέψει γρήγορα τις εισβολές DeFi που δυνητικά αξίας εκατοντάδων εκατομμυρίων δολαρίων.
Αυτή η πρωτοβουλία ιδρύθηκε με την ελπίδα να αντιμετωπιστούν πολλαπλά hacks που σχετίζονται με τη βιομηχανία που πραγματοποιήθηκαν φέτος, συμπεριλαμβανομένης της εκμετάλλευσης 70 εκατομμυρίων δολαρίων της Curve Finance τον Ιούλιο.
Τώρα το ζεύγος ελπίζει να ανεβάσει την αρχή, καθιερώνοντας μια νέα πρωτοβουλία άσκησης έκτακτης ανάγκης που έχει σχεδιαστεί για να βοηθήσει τα εκκολαπτόμενα πρωτόκολλα blockchain στον αγώνα τους ενάντια σε κακόβουλους χάκερ και πιθανούς φορείς επιθέσεων.
Η Blockworks προσέγγισε την Πάτκα για να κατανοήσει καλύτερα το εγχείρημά της και τα μαθήματα που έχουν πάρει τους τελευταίους μήνες.
Κατασκευές: Μπορείτε να μας καθοδηγήσετε στην αρχή αυτής της πρωτοβουλίας ασκήσεων έκτακτης ανάγκης; Ποια ήταν η κινητήρια δύναμη πίσω από αυτό;
Πάτκα: Συνάντησα για πρώτη φορά τον Sam μέσω της κοινής μας φίλης Jeanne. Γνώρισα τη Jeanne στο DWeb camp 2022 όταν παρουσίαζα μερικά από τα προηγούμενα έργα ανοιχτού κώδικα και προτύπων. Άκουσα ότι ο Σαμ έψαχνε για κάποια βοήθεια για να δημιουργήσει κάποια υποδομή εκπαίδευσης για τις ομάδες πρωτοκόλλου ώστε να εξασκηθούν σε μια αίθουσα πολέμου πριν από μια πραγματική έκτακτη ανάγκη.
Η ιδέα μου είχε απήχηση επειδή εκείνη την περίοδο δούλευα σε κάποια έρευνα και εργαλεία που σχετίζονται με τον εντοπισμό και την αποφυγή κοινωνικών επιθέσεων και αποτυχιών εξάρτησης σε αποκεντρωμένες κοινότητες.
Προσφέρθηκα εθελοντικά να βοηθήσω να αποκτήσω μια απόδειξη της ιδέας από το έδαφος και μετά από μια γρήγορη κλήση ιδεών την άνοιξη, άρχισα να δουλέψω για να σκιαγραφήσω το πλαίσιο άσκησης για το Compound Labs, το οποίο ήταν η πρώτη ομάδα που προσφέρθηκε να συμμετάσχει σε μια άσκηση.
Κατασκευές: Αναφερθήκατε στο ρόλο της «ολοκληρωτικής επανεξέτασης» στις ασκήσεις σας. Πώς αυτό το αρχικό βήμα θέτει τη βάση για την υπόλοιπη άσκηση;
Πάτκα: Στη φάση της επανεξέτασης, ενημερώνομαι για όλες τις δυνατότητες, τις έξυπνες συμβάσεις, τα έγγραφα και τις δημόσια διαθέσιμες πληροφορίες σχετικά με το πρωτόκολλο προορισμού. Προσπαθώ να καταλάβω ποια είναι η "επιφάνεια ελέγχου" για τυχόν προνομιούχους χρήστες [ή] διαχειριστές, πώς το πρωτόκολλο αλληλεπιδρά με [ή] βασίζεται σε άλλα πρωτόκολλα, πώς παρακολουθούν την υγεία του συστήματος, ποιες διαδικασίες κινδύνου υπάρχουν, πώς εισάγουν πράγματα όπως αναβαθμίσεις πρωτοκόλλου ή εκδόσεις νέων χαρακτηριστικών, και εάν υπάρχουν ασυνέπειες στο σύστημα εάν έχει αναπτυχθεί σε διαφορετικά δίκτυα.
Αυτή η επανεξέταση γίνεται το θεμέλιο για τα επιτραπέζια σενάρια όπου συζητάμε για πιθανά ζητήματα.
Κατασκευές: Η χρήση επιτραπέζιων προσομοιώσεων φαίνεται σαν μια ενδιαφέρουσα προσέγγιση. Θα μπορούσατε να αναλύσετε τι περιλαμβάνει αυτές τις προσομοιώσεις και πώς ενημερώνουν τα επόμενα βήματα;
Πάτκα: Μετά τη φάση της επανεξέτασης, έφτιαξα ένα σενάριο με μερικά σενάρια και τα συζητάω με όλη την ομάδα σε μια κλήση. Αυτά τα σενάρια μας βοηθούν να κατανοήσουμε τις διαδικασίες ανταπόκρισης σε περιστατικά, την παρακολούθησή τους και το στυλ κοινωνικής / επικοινωνίας τους. Οι ερωτήσεις που θέτουμε σε αυτό το σημείο είναι:
- Το «Χ» συνέβη. Πώς ειδοποιήθηκε η ομάδα; Υπήρχε παρακολούθηση που το έπιασε αυτό ή κάποιος από την κοινότητα προσέγγισε την ομάδα;
- Ποιοι είναι οι ενδιαφερόμενοι και οι ειδικοί σε θέματα που ξέρουν πώς να το αντιμετωπίσουν
- Εάν αυτό το περιστατικό επηρεάζει άλλα πρωτόκολλα, ποιος έχει τα στοιχεία επικοινωνίας για αυτήν την ομάδα;
- Εάν αυτό απαιτεί μια απάντηση από ένα multi-sig, ποιοι είναι οι υπογράφοντες και πώς τους προσεγγίζετε; Πόσο γρήγορα πιστεύετε ότι θα ανταποκριθούν;
Όλα αυτά μας βοηθούν να βρούμε πιθανά «καυτά σημεία» ή πράγματα που θέλουμε να κάνουμε τεστ άγχους σε ένα ζωντανό σενάριο.
Κατασκευές: Ποια κριτήρια χρησιμοποιείτε για να επιλέξετε τις ομάδες πρωτοκόλλου με τις οποίες πρόκειται να ασκήσετε; Έχετε κάποιες προϋποθέσεις;
Πάτκα: Σε αυτή τη φάση, προσπαθούμε να συνεργαστούμε με ομάδες όπου πιστεύουμε ότι μπορούμε και οι δύο να τις βοηθήσουμε παρέχοντας κάποια εκπαίδευση, αλλά και να μάθουμε από αυτές για το πώς λειτουργούν οι κορυφαίες ομάδες πρωτοκόλλου στον χώρο και να μοιραστούμε αυτές τις πρακτικές με την ευρύτερη κοινότητα.
Έτσι, παρόλο που δεν έχουμε συγκεκριμένες προϋποθέσεις, τώρα ταιριάζει μια ομάδα που συμβάλλει σε ένα πρωτόκολλο με αρκετά διαδεδομένη υιοθέτηση και έχει ήδη περάσει μερικά περιστατικά, ώστε να μπορούμε να μάθουμε για μια ποικιλία στυλ ομάδας.
Ωστόσο, καθώς η υποδομή μας γίνεται πιο εύρωστη και πιο εύκολη στη δημιουργία, θα μου άρεσε να συνεργάζομαι με ορισμένες ομάδες νωρίτερα στο πρωτόκολλό τους για να παρέχω λίγη εκπαίδευση σε άτομα που δεν έχουν πάει ποτέ ξανά σε αίθουσα πολέμου.
Κατασκευές: Η πρώτη σας δοκιμή ήταν με το πρωτόκολλο Compound. Μπορείτε να εμβαθύνετε σε μερικές από τις μοναδικές προκλήσεις ή τα μαθήματα που αντλήθηκαν από αυτό το αρχικό τεστ;
Πάτκα: Η μεγαλύτερη πρόκληση σχεδιασμού ήταν ο εντοπισμός ενός σεναρίου που δεν ήταν πολύ καταστροφικό για να είναι απογοητευτικό, αλλά αρκετά ενδιαφέρον για να είναι ελκυστικό και θα περιλάμβανε κάποια διάγνωση και συντονισμό.
Εξετάσαμε διάφορα πράγματα, όπως αποτυχίες εξωτερικού πρωτοκόλλου, επιθέσεις διακυβέρνησης και ζητήματα αναβάθμισης συμβολαίων. Καταλήξαμε να προσομοιώνουμε ένα σφάλμα που έκανε το πρωτόκολλο να αρχίσει σιγά-σιγά να χάνει χρήματα, έτσι ώστε να μπορούμε να δούμε πώς η παρακολούθησή τους θα επηρέαζε τη διαδικασία και πώς θα αντιδρούσαν.
Ένα από τα μεγαλύτερα μαθήματα εδώ ήταν στο κοινωνικό επίπεδο συντονισμού. Εντυπωσιάστηκα με τη στενή συνεργασία μεταξύ των προγραμματιστών πρωτοκόλλου και των ελεγκτών και των κηδεμόνων του πρωτοκόλλου στη διάγνωση του προβλήματος.
Σε τεχνικό επίπεδο, η πρώτη άσκηση περιελάμβανε επίσης πολλή υποδομή εντοπισμού σφαλμάτων αργά τη νύχτα, λήψη της διχάλας δικτύου και του εξερευνητή μπλοκ και παρακολούθηση της σταθερότητας των υποδομών.
Κατασκευές: Μιλήσατε για την αποφυγή τρωτών σημείων μηδενικής ημέρας στις ασκήσεις σας. Μπορείτε να εξηγήσετε το σκεπτικό πίσω από αυτήν την απόφαση και πώς επηρεάζει την ακεραιότητα της άσκησης;
Πάτκα: Ο λόγος για τον οποίο αποφεύγουμε τις ευπάθειες «μηδενικής ημέρας» ή άλλες πολύ διαδεδομένες καταστροφές είναι για να μπορέσουμε να δεσμεύσουμε την ομάδα πρωτοκόλλου σε κάτι στο οποίο θα μπορούσε εύλογα να ανταποκριθεί και κάτι που περιέχεται στο οικοσύστημα του πρωτοκόλλου της. Για παράδειγμα, δεν έχουμε κάνει ασκήσεις γύρω από πράγματα όπως σφάλματα μεταγλωττιστή ή αποτυχίες επιπέδου συναίνεσης.
Ωστόσο, νομίζω ότι αυτά τα ευρέως διαδεδομένα ζητήματα θα ήταν ενδιαφέρον να προσομοιωθούν σε ασκήσεις πολλαπλών πρωτοκόλλων, όπου θα μπορούσαμε να κάνουμε πολλές ομάδες και ίσως χρήστες των πρωτοκόλλων να αλληλεπιδρούν όλοι με ένα forknet όπου κάτι έχει πάει στραβά για να το κάνουμε ρεαλιστικό και να χτίσουμε κοινωνική ανθεκτικότητα.
Κατασκευές: Αναφέρατε τις «κάρτες επείγουσας διαδικασίας» του Yearn κατά τη διάρκεια της δοκιμής σας μαζί τους. Πόσο συνηθισμένη είναι αυτή η πρακτική σε άλλα πρωτόκολλα και θα τη συνιστούσατε ως πρότυπο;
Πάτκα: Δεν έχω δει ακόμη άλλα πρωτόκολλα που εφαρμόζουν κάρτες επείγουσας διαδικασίας όπως το Yearn, αλλά θα το συνιστούσα ανεπιφύλακτα. Σε πολλά πρωτόκολλα, αλλά ειδικά με το Yearn, υπάρχουν πολλές εξωτερικές ενσωματώσεις που απαιτούν συγκεκριμένο πλαίσιο και εξειδίκευση στο θέμα.
Όταν συμβαίνει κάποιο περιστατικό, δεν θέλετε να ξοδεύετε χρόνο για να διαβάσετε ξανά τα δικά σας έγγραφα και συμβόλαια αντί να αναλάβετε δράση. Η ύπαρξη διαδικασιών έκτακτης ανάγκης για συγκεκριμένα σενάρια βοηθά τις ομάδες να λαμβάνουν αποφάσεις πιο γρήγορα και με μεγαλύτερη αυτοπεποίθηση. Η σύνταξη αυτών των διαδικασιών έκτακτης ανάγκης είναι ένα υποχρεωτικό βήμα της διαδικασίας κινδύνου [και] επιμέλειας για την ανάπτυξη στρατηγικών Yearn.
Θα συνιστούσα να προσθέσετε διαδικασίες έκτακτης ανάγκης στις διαδικασίες κινδύνου/επιμέλειας για άλλα πρωτόκολλα, για παράδειγμα όταν αποφασίζετε εάν θα ενοποιήσετε ή όχι διάφορα περιουσιακά στοιχεία ως πηγές ασφάλειας ή για να τα προσθέσετε στις αγορές.
Κατασκευές: Ποιοι είναι μερικοί βασικοί δείκτες απόδοσης που εξετάζετε κατά τη διάρκεια και μετά από μια άσκηση για να μετρήσετε την αποτελεσματικότητά της;
Πάτκα: Ψάχνω για μερικούς δείκτες τόσο της απόδοσής μας ως διοργανωτές της άσκησης όσο και του πόσο καλά τα πήγε η ομάδα. Από την πλευρά μας, εξετάζω τη σταθερότητα της υποδομής μας και το πόσο καλά προσαρμόζεται η ομάδα στο προσομοιωμένο περιβάλλον.
Από την πλευρά του έργου, κρατάω ένα χρονοδιάγραμμα για το σε ποιο σημείο ανακαλύπτονται οι εκδότες, πόσο καιρό μέχρι να υπάρξει διάγνωση και πόσο καιρό μέχρι να υπάρξει κάποια συναίνεση σχετικά με τη δράση που πρέπει να ληφθεί.
Στέλνουμε επίσης μια μεταθανάτια έρευνα σε ομάδες για να μάθουμε τι έμαθαν, τι σχεδιάζουν να βελτιώσουν στις διαδικασίες τους και πώς μπορούμε να βελτιώσουμε τις προσομοιώσεις μας.
Κατασκευές: Μπορείτε να μοιραστείτε κάποιες γενικές τάσεις ή κοινά κενά που έχετε παρατηρήσει στην ασφάλεια του πρωτοκόλλου ως αποτέλεσμα αυτών των ασκήσεων;
Πάτκα: Δεν είμαι σίγουρος αν πρόκειται για κενό, αλλά φαίνεται να υπάρχει λιγότερο επίσημο σύστημα "on-call" σε διάφορα πρωτόκολλα από ό,τι περίμενα. Υπάρχει μια πτυχή «πάντα σε απευθείας σύνδεση» της κουλτούρας κρυπτογράφησης, όπου οι άνθρωποι φαίνεται να υποθέτουν ότι ο κατάλληλος προγραμματιστής ή ο κατάλληλος υπογράφοντος πολλαπλών σημάτων θα είναι διαθέσιμος όταν χρειαστεί.
Αυτό γενικά φαίνεται να λειτουργεί, αλλά είμαι περίεργος να διερευνήσω αν θα βοηθούσε κάποια περισσότερη επισημοποίηση ρόλων και προγραμμάτων. Έχω επίσης παρατηρήσει ότι η παρακολούθηση και η διακυβέρνηση διαφέρουν για πρωτόκολλα σε διαφορετικά [layer-1s/layer-2s] όπου έχουν αναπτυχθεί κώδικας. Πιστεύω ότι υπάρχει περιθώριο βελτίωσης σε ολόκληρο τον κλάδο σχετικά με τον τρόπο με τον οποίο τα πρωτόκολλα που περικλείουν πολλά δίκτυα διαχειρίζονται τις συμβάσεις τους.
Κατασκευές: Κοιτάζοντας το μέλλον, υπάρχουν σχέδια για τη διεύρυνση αυτών των ασκήσεων ώστε να περιλαμβάνουν περισσότερα πρωτόκολλα ή ακόμα και διαφορετικούς τύπους δοκιμών;
Πάτκα: Σίγουρα, προσπαθούμε να διευρύνουμε τις ασκήσεις ώστε να συμπεριλάβουμε διαφορετικούς τύπους πρωτοκόλλων ή ίσως πολλαπλά πρωτόκολλα ταυτόχρονα. Θέλουμε επίσης να φτάσουμε στο σημείο όπου είναι αρκετά εύκολο να εκτελεστούν, ώστε οι ομάδες να μπορούν να πραγματοποιούν τακτικές εκπαιδεύσεις για τους συντελεστές της κοινότητας για να χτίσουν την εμπειρία τους στην αντιμετώπιση περιστατικών. Θα ήθελα επίσης να ασχοληθώ με νέους μηχανικούς ασφαλείας που μπορεί να θέλουν να μάθουν για την ασφάλεια σχεδιάζοντας σενάρια και διαμορφώνοντας προσομοιώσεις.
Αυτή η συνέντευξη έχει επεξεργαστεί για συντομία και σαφήνεια.
Μην χάσετε την επόμενη μεγάλη ιστορία – εγγραφείτε στο δωρεάν καθημερινό μας ενημερωτικό δελτίο.
Ακολουθήστε τη δίκη του Sam Bankman-Fried με τα τελευταία νέα από την αίθουσα του δικαστηρίου.
Πηγή: https://blockworks.co/news/blockchain-security-experts-team