آسیب پذیری ها در مقابل امنیت سایبری کیف پولها
پس از همه گیری و شیوع کرونا که منجر به خانه نشینی اکثر مردم جهان شد، به کرار شاهد حملات بی وقفه سایبری در حوزه های مختلف بودیم، جالب اینکه توجه سیل این حملات با رشد و شهرت چشمگیر صنعت رمزنگاری در کوتاه مدت به حوزه کریپتو معطوف شد و امنیت بلاکچین را مورد تهدید قرار داد، به گونه ای که در سال جاری کیف پول نرم افزاری Ronin، در سال 2021 هک Poly Network و در سال 2020 شاهد سرقت بزرگ دارایی های دیجیتال از صرافی Kucoin بودیم.
به جرات می توان گفت که تیم های فنی در لجر در سال های 2020 و 2021 دو سال طولانی را پشت سر گذاشتند، آنها با همکاری یکدیگر توانستند که این آسیب پذیری ها را فاش کنند و سخت تلاش کردند تا مطمئن شوند که به طوری کامل و سریع تمام آنچه که تاکنون پیش آمده را برطرف کنند و برای مسائلی که در آینده ممکن است پیش آید، تدابیری پیشگیرانه بیاندیشند.
بسیاری از این حملات سایبری شامل ایمیل های فیشینگ پیچیده بود که هرچند در برابر تلفیق رمزنگاری با سخت افزار ناتوان هستند، اما می توانند برای کاربرانی که دانش امنیت اطلاعات ندارند، خطرناک باشند. در همین راستا جالب است بدانیم که بخش امنیتی لجر با بررسی و آزمایش همین ایمیل ها در طول ماه ها متوجه شد که صنعت کریپتو تنها صنعتی نیست که بواسطه شهرت زودهنگامش مورد حملات متعدد قرار دارد.
تشخیص هک در مقابل آسیب پذیری
خوب است بدانیم که حتی آشنایان با صنعت کریپتو نیز اغلب طرفدار یک تصور غلط اما رایج هستند، تصور اینکه هک یک صرافی یا پایگاه داده بزرگ به مفهوم همان «آسیب پذیری» در یک سیستم کوچکتر مانند کیف پول ها است.
مهم است که تفاوت های بین این دو اصطلاح و پیامدهای آن ها را بدانیم، به ویژه در این برهه از زمان که برخی از محتوای منتشر شده در رسانه های اجتماعی و “سرفصل های کلیک طعمه ای” به طور خاص برای برانگیختن واکنش احساسی کاربران طراحی شده اند.
به عنوان مثال، وقتی شخصی به داده ها یا وجوه شما دسترسی غیرمجاز پیدا می کند و تراکنش های غیرمجاز انجام می دهد، این یک هک است اما آسیب پذیری در امنیت سایبری، به نقطه ضعفی گفته می شود که می تواند مورد سوء استفاده قرار گیرد و تنها در صورتی که تشخیص داده نشود، می تواند در آینده منجر به هک یا نقض امنیت شود.
ترسناک به نظر می رسد اما آسیب پذیری ها در واقع فرصتی برای بهبود سیستم های موجود بوده و نیز فراهم کننده موقعیتی هستند که می تواند برای یادگیری نحوه بهبود نقاط ضعف مختلف قبل از سوء استفاده از انواع آسیب پذیری ها مفید باشد. به بیان دیگر؛ وجود این آسیب پذیری ها می تواند روحیه پیشگیری را در توسعه دهندگان تقویت کرده و آنها را در حسابرسی کدهایشان دقیق تر کند.
آسیب پذیری ها می توانند ناشی از عوامل مختلفی باشند که همه آنها مربوط به سخت افزار نیستند. علاوه بر مسائل سختافزاری، خوب است که به واقعیت های صنعت (مشکلات احتمالی ناشی از ویژگیهای فناوری مانند فورک)، مشکلات طراحی (واسط های کاربری که به صورت غیرضروری پیچیده یا گیج کننده طراحی شده اند)، و بسیاری از موارد و متغییرهای دیگر که تاثیر مستقیم یا غیر مستقیم بر ایجاد این آسیب پذیری ها دارند، توجه کنیم.
اهمیت آموزش
با وجود شبکه های اجتماعی مجازی متعدد مثل توییتر یا ردیت و رفتن جهان به سمت تمرکززدایی اقتصاد داده محور، کمبود آموزش مشکلی است که به سرعت به بقیه دنیا سرایت می کند. این عدم آموزش می تواند منجر به هک های مبتنی بر مهندسی اجتماعی شود که در آن هکر بعنوان مثال؛ کارمندان توییتر را برای دسترسی به اطلاعات و داده های کاربران این شبکه اجتماعی هدف قرار می دهد.
در کریپتو، احتمال بیشتری وجود دارد که شاهد حملات فیشینگ باشیم، و اینجا دقیقا همان جایی است که بازیگران بد وانمود می کنند یک ارائه دهنده خدمات قابل اعتماد هستند و از کاربران می خواهند تا داده های حساسی مانند اطلاعات ورود به صرافی یا عبارت بازیابی ۲۴ کلمه ای خود را در پلتفرم آنها وارد کنند.
متأسفانه، تنها راه جلوگیری از کلاهبرداری های فیشینگ این است که مراقب آنها باشیم و پیش از هرگونه اعتمادی به dAppهای جدید، از کفایت اطلاعات و دانش خود برای متصل شدن به آنها مطمئن شویم. همچنین جهت اطمینان بیشتر به منظور اینکه این هکرها نتوانند به کلید خصوصی کیف پول ما دسترسی پیدا کنند، خوب است تا از کیف پول های سخت افزاری مطمئن و معروف مثل لجر یا کول ولت استفاده کنیم.
همچنین نباید از یاد ببریم که در صنعت رمزنگاری و رمزارزی، اهمیت آموزش فراتر از پذیرش جریان اصلی تمرکززدایی است. زیرا با فضایی رو به رو هستیم که از کاربرانش می خواهد تا خودشان را آموزش دهند. به بیان ساده تر، تمرکززدایی نیاز به آموزش دارد. چه به تازگی شروع به کار کرده باشیم و چه درک فنی و عمیقی از این فناوری داشته باشیم، مهندسی اجتماعی همیشه چیزی است که باید مراقب آن باشیم.
تنها راه پیش رو
واقعیت این است که هیچ سیستم غیرقابل هکی وجود ندارد و بهترین راه برای محافظت از خود این است که توسط آموزش و استفاده از ابزار صحیح و مطمئن به تلاش برای پیشگیری از حملات احتمالی بپردازیم.
امنیت سایبری، درست مانند بقیه فناوری ها، یک صنعت نوپا است. به طوری که همه ما دائماً در حال یادگیری چیزهای جدیدی در مورد آن هستیم، از اشتباهات خود درس می گیریم و با اکتشافات جدید خود دست و پنجه نرم می کنیم.
همچنین آن دسته از افراد که دانش عمیق تری نسبت به این صنعت دارند، عمداً آسیب پذیری ها را جستجو می کنند و بسته به میزان دانش و خلاقیت خود آن را بهبود می بخشند، برخی دیگر نیز از نهادهای یاری رسانی چون کریپتوهمراه کمک می گیرند. چرا که اگر در این برهه از زمان بخواهیم از جستجوی آسیب پذیری ها دست برداریم، مثل این می ماند که آزمایش نوعی ویروس را که به منظور ساخت واکسن از آن بهره می بریم، در میانه راه یک بیماری همه گیر متوقف کنیم.
اهمیت حفظ کلید خصوصی
بخشی از چیزی که کیف پول های سخت افزاری را ایمن می کند این است که هر شرکت بزرگ امنیت سایبری به طور فعال به دنبال آسیب پذیری های موجود است و به طور شفاف، برای هشدار دادن به اکوسیستم بلاکچین و رفع این آسیب پذیری ها با دیگر موسسات و افراد فعال در زمینه امنیت سایبری همکاری می کند.
این شرکت ها معمولا تا جایی پیش می روند که به محققان امنیتی و هکرهای کلاه سفید پاداش می دهند تا نقاط آسیب پذیر خود را کشف کنند. به عنوان مثال، کمپانی Ledger یک آزمایشگاه حمله داخلی به نام Donjon دارد که زمان خود را به هک کردن محصولات لجر و همچنین رقبای آنها اختصاص می دهد. در نتیجه می توان اطمینان حاصل کرد که علی رغم آنچه در رسانه های اجتماعی می خوانیم، آسیب پذیری ها به معنای هک نیستند و کیف پول های سخت افزاری هنوز امن ترین مکان برای ذخیره دارایی های دیجیتال محسوب می شوند.
اجماع
در نهایت، برای کسانی که دانش فنی عمیقی دارند، آسیب پذیری ها به معنای آن چیزی است که بصورت بالقوه ممکن است، نه آنچه که محتمل است. این خطرات معمولا فقط توسط کارشناسان امنیتی یا کاربرانی که فعالانه به دنبال آنها می روند (مثلا کاربرانی که به هر دلیلی علاقه مند به امتحان کردن قراردادهای هوشمند جدید هستند)، قابل دسترس خواهد بود و برخی دیگر فقط در شرایط متفاوت یا حتی غیرممکن مورد اینگونه سوء استفاده ها قرار می گیرند.
با تمام آنچه تا اینجا گفته شد اما علیرغم ذکر واژه آسیب پذیری در اخبار و رسانه های اجتماعی، اکثر آسیب پذیری ها هک نیستند و آسیب پذیری های موجود در کیف پول های سخت افزاری؛ امنیت سایبری آنها را زیر سوال نمی برند. بلکه در حال حاضر امن ترین راه برای حفظ دارایی های دیجیتال همچنان به مفهوم حفظ امنیت کلیدهای خصوصی است که کیف پول های سخت افزاری این امکان را به خوبی برای کاربران فراهم کرده اند.
دیدگاهتان را بنویسید