Bảo mật thông tin trong Kỷ nguyên Web3.0

Tác giả: Jackie Singh

Biên dịch nguyên văn: Viện nghiên cứu Baize (được tác giả nguyên tác cho phép in lại)

Jackie Singh là giám đốc Dự án Giám sát Công nghệ phi lợi nhuận và là thành viên tích cực của cộng đồng Web3.0. Một cựu quân nhân Hoa Kỳ và là nhà thầu quốc phòng trước đây, Singh trước đây đã thành lập công ty tư vấn an ninh mạng, Spyglass Security, và từng là người phụ trách ứng phó sự cố mạng cho chiến dịch tranh cử tổng thống của Biden.

Web 3.0 mang đến cơ hội để thoát khỏi những sai lầm về an ninh mạng trong quá khứ -- các chuyên gia bảo mật thông tin có đầu óc cởi mở, những người nhận ra tiềm năng của công nghệ đã đầu tư vào nó.

Với sự phát triển nhanh chóng của Web3.0, với tư cách là một học viên bảo mật thông tin, tôi không thể không chú ý nhiều hơn. Nhiều người trong ngành công nghệ vẫn tin rằng chuỗi khối, tiền điện tử và NFT là lừa đảo, đang phá hủy nền kinh tế và sẽ bị tiêu diệt. Nhưng việc áp dụng nhanh chóng các công nghệ này, được nhiều tập đoàn đa quốc gia áp dụng, chưa kể đến sắc lệnh hành pháp gần đây của Tổng thống Biden về tài sản kỹ thuật số - tất cả đều cho thấy rằng Web 3.0 không chỉ là một từ thông dụng.

tiêu đề cấp đầu tiên

Từ Chia sẻ MP3 đến Chuỗi khối

Lần đầu tiên tôi thấy sự đổi mới phi tập trung ở quy mô này là Napster, nhà cung cấp dịch vụ phát trực tuyến âm thanh ngang hàng được thành lập vào năm 1999.

Gần đây, "đám mây" đã trở thành một từ thông dụng giống như blockchain. Một thập kỷ trước, tôi và các đồng nghiệp đã nói đùa về sự vô nghĩa của thuật ngữ này: "Không có đám mây, chỉ có máy tính của người khác."

Ngày nay, điện toán đám mây đã trở nên lớn hơn nhiều so với những gì chúng ta dự đoán. Trên thực tế, có thể khó hiểu được các sắc thái liên quan đến việc bảo mật công nghệ đám mây nếu không chuyên về nền tảng của một nhà cung cấp cụ thể. Tôi hy vọng sự phát triển tương tự sẽ xảy ra với Web 3.0 - từ các từ thông dụng đến các công nghệ Internet cơ bản.

tiêu đề cấp đầu tiên

Gian hàng bảo mật thông tin

Mặc dù ngày nay, nhiều công ty đang chi tiêu nhiều hơn bao giờ hết cho an ninh mạng, nhưng hầu như tuần nào chúng tôi cũng nghe về các vụ vi phạm dữ liệu bom tấn mới. Đồng thời, sự đổi mới trong lĩnh vực bảo mật thông tin đã chậm lại so với các lĩnh vực công nghệ khác, chẳng hạn như điện toán đám mây.

Nhìn chung, người ta thiếu chú ý đến yếu tố con người trong lĩnh vực bảo mật thông tin, khiến người dùng trở thành con mồi của các trò gian lận, chẳng hạn như nhấp vào liên kết sai hoặc không biết cách giữ an toàn cho bản thân khi trực tuyến. Lấy ví dụ, tranh cãi gần đây về quảng cáo Super Bowl của Coinbase, trong đó có mã QR để chuyển hướng đến một trang web. Mọi người có nên lo lắng về việc quét mã QR không?

Đồng thời, cộng đồng infosec có xu hướng tiếp tục dựa vào các biện pháp phòng thủ không hiệu quả và trước đây chúng tôi đã mô tả các mạng phòng thủ là mạng M&M: một vành đai cứng, dễ vỡ với phần bên trong mềm, tan chảy và dễ bị tổn thương. Mặt khác, việc tập trung dữ liệu nhật ký nhạy cảm, khả năng cốt lõi của mọi trung tâm điều hành bảo mật chức năng, tạo ra các vấn đề về quản trị, tuân thủ và đạo đức liên quan đến giám sát dữ liệu sẽ chỉ trở nên tồi tệ hơn trên quy mô lớn .

tiêu đề cấp đầu tiên

Nhập Web3.0

Cuối cùng, việc dựa vào hệ thống phòng thủ cơ bản của một hệ sinh thái phân tán, chẳng hạn như chuỗi khối, sẽ hiệu quả hơn là cố gắng khai thác một mạng dễ bị tổn thương với sự giám sát tập trung riêng tư.

Một chuỗi khối hiệu quả hơn không sử dụng PoW có thể làm giảm bớt lo ngại về mức tiêu thụ năng lượng của các hệ thống như Bitcoin. Nhiều người, bao gồm cả tôi, cảm thấy mệt mỏi khi chờ đợi kế hoạch nâng cấp dài hạn của Ethereum lên cơ chế đồng thuận không yêu cầu sử dụng nhiều năng lượng, khiến việc sử dụng Ethereum trở thành một lựa chọn tồi cho Odaily của chúng tôi vào lúc này. Bất chấp lợi thế của người tiên phong Ethereum, các chuỗi khối khác đã xuất hiện với các đặc tính xanh hơn cơ chế bằng chứng công việc của Ethereum hoặc Bitcoin. Ví dụ: Solana là một chuỗi khối trung hòa carbon cho phép các nhà phát triển xây dựng bảo mật từ đầu thông qua các hợp đồng thông minh được triển khai bằng ngôn ngữ lập trình Rust. Sử dụng Rust giúp loại bỏ tất cả các loại rủi ro bảo mật và có lẽ là một trong những công cụ tốt nhất mà chúng tôi có để ngăn chặn các lỗ hổng mã.

Có lẽ không có cách nào tốt hơn để phát hiện lỗi hơn là hiển thị giao diện cho người dùng. Khi kẻ tấn công và người phòng thủ có quyền truy cập vào cùng một thông tin, nó sẽ san bằng sân chơi theo cách tập trung vào phòng ngừa hơn. Điều này sẽ cho phép ngành bảo mật thông tin giải quyết các điểm yếu hệ thống theo thời gian.

Tuy nhiên, không có blockchain nào ngày nay hoàn toàn phi tập trung. Sự phi tập trung thực sự vẫn là một mục tiêu cao cả đối với nhiều người đam mê Web 3.0—rất ít người cố gắng giải thích một hệ thống như vậy sẽ trông như thế nào trong thực tế. Tuy nhiên, không tin cậy và không được phép vẫn là các nguyên tắc chính hướng dẫn tích cực thiết kế hệ thống trong hệ sinh thái Web 3.0. Lý tưởng nhất là bản thân chuỗi khối và các hợp đồng thông minh được triển khai để làm trung gian giao dịch giữa những người dùng — thay vì mã không rõ ràng trên máy chủ mà chỉ quản trị viên mới có thể nhìn thấy.

Chuỗi khối cho phép chúng tôi xác nhận một số sự kiện cơ bản nhất định bằng cách sử dụng mật mã và khi chúng tôi cần biết điều gì đó, chúng tôi sẽ xem xét chuỗi khối. Các nhà phát triển ứng dụng phi tập trung (dApp) được khuyến khích lưu trữ dữ liệu trên chuỗi, tránh thực hiện các tính toán quan trọng ngoài chuỗi và phát triển các cơ chế truy cập ngoài ví cá nhân của họ. Điều này chuyển thành tính toàn vẹn dữ liệu cao hơn và khả năng quan sát đầu vào, tính toán và đầu ra đầy đủ hơn.

Người dùng cần chủ quyền lớn hơn đối với dữ liệu của họ, trong khi các nhà phát triển quan tâm đến việc giảm thiểu việc thu thập dữ liệu để bảo vệ quyền riêng tư. Web 3.0 có thể giúp đạt được những mục tiêu này bằng cách chuyển quyền quản lý khóa cho người dùng, giúp mọi người có nhiều quyền kiểm soát hơn đối với dữ liệu của họ. Quyền giám sát cá nhân đối với các khóa cá nhân mang đến cho người dùng cơ hội cuối cùng để duy trì quyền sở hữu danh tính của họ trên chuỗi khối. Mặc dù điều này khác với cách chúng tôi đã quản lý các mạng quy mô doanh nghiệp trước đây, nhưng chúng tôi nên hoan nghênh các kiến ​​trúc mới này như một cách để trao quyền cho người dùng đồng thời giảm rủi ro tổ chức liên quan đến thu thập dữ liệu và quản lý truy cập.

tiêu đề cấp đầu tiên

cơ hội mới

Thế giới bảo mật thông tin trong kỷ nguyên Web 3.0 dường như đang thay đổi, bằng chứng là số lượng nỗ lực bảo mật thông tin ngày càng tăng và những tổn thất to lớn do khai thác thành công các lỗ hổng hợp đồng thông minh và chuỗi khối.

Các công ty trong Web 2.0 thường có thể bỏ qua các vi phạm do các yếu tố giảm nhẹ như bảo hiểm mạng được tiêu chuẩn hóa và không có tác động lâu dài đến công ty, nhưng các tổ chức Web 3.0 không thể bỏ qua các mối lo ngại về bảo mật, trong đó một sai lầm đơn lẻ có thể gây thiệt hại hàng triệu đô la, thậm chí dẫn đến hậu quả là sự tan rã của toàn bộ tổ chức do mất tất cả các quỹ.

Trong bối cảnh đó, phần thưởng tiền thưởng lỗi trong Web 3.0 đạt đến con số đáng kinh ngạc. Trong hướng dẫn về Immunefi, nền tảng tiền thưởng tìm lỗi Web3.0 lớn nhất, công ty cho biết: "Một số nhân viên bảo mật thông tin, hacker mũ trắng, đã bị đối xử tệ và bị trả lương thấp trong Web2.0 trước khi họ tham gia Web3.0. Họ mang thái độ đó đến Immunefi - giờ đây họ đã có được nhiều quyền lực và sự tôn trọng hơn trước."

Như đã lưu ý, hacker Jay Freeman đã nói gần đây sau khi được thưởng 2 triệu đô la vì đã tìm ra lỗ hổng bảo mật: “Tuy nhiên, chúng tôi đã thấy hết dự án tiền điện tử này đến dự án khác cố gắng thuê ngoài chi phí xem xét các thiết kế cốt lõi của họ cho infosec Một nhóm được xây dựng xung quanh các nhà toán học, các nhà kinh tế và chuyên gia bảo mật." Trong khi chính sách và quy định đang được tiến hành và các yêu cầu tuân thủ có thể sẽ phù hợp với những yêu cầu trong không gian tài chính truyền thống -- ngành công nghiệp Web 3.0 cũng sẽ thấy Những lỗ hổng này cuối cùng phải được giải quyết bởi các chuyên gia bảo mật kỹ thuật cao, các chiến lược gia dài hạn, thay vì hệ thống kiểm toán viên bên ngoài và tiền thưởng hiện tại.

Hãng bảo mật Hacken đã mô tả triển vọng của mình đối với ngành Web 3.0 trong một báo cáo gần đây, dự đoán rằng nhu cầu kiểm tra bảo mật thường xuyên sẽ tăng lên trong vòng 5 năm tới.

Ngoài ra còn có một thị trường ngách mới nổi của các công ty “phân tích chuỗi khối” hoặc “điều tra chuỗi khối”, với những cái tên như Chainalysis, CipherTrace (vừa được Mastercard mua lại), Elliptic và TRM Labs (thuộc sở hữu của A16z, JP Morgan, PayPal, Salesforce, vân vân.). Các công ty này sử dụng phần mềm chuyên dụng và các nhà phân tích con người để phân tích, phát hiện và theo dõi các mối đe dọa đối với chuỗi khối, đồng thời gợi nhớ đến các công ty an ninh mạng thời kỳ đầu của Web 2.0 như Mandiant và Foundstone, những công ty đã phát triển nhanh chóng với Web 2.0.

tiêu đề cấp đầu tiên

Sự khác biệt là gì?

Các chuỗi khối minh bạch và cởi mở, và đối với những người đã quen với cơ sở dữ liệu đóng và các hoạt động mờ đục, đây là thứ đòi hỏi một cái nhìn mới mẻ. Các công ty chuỗi khối và tiền điện tử có xu hướng ít quan tâm đến việc bảo vệ quyền sở hữu trí tuệ hơn so với các công ty Web 2.0 điển hình. Mã thường là mã nguồn mở và dựa trên kiểm toán bảo mật công cộng để tạo niềm tin cho người dùng.

Thực tiễn bảo mật Web 2.0 tập trung vào giải quyết hậu quả chứ không phải tránh nó ngay từ đầu; bảo mật thông tin Web 3.0 chuyển sang mã, kỹ thuật và kiến ​​trúc, tập trung vào phòng ngừa.

Hệ sinh thái Web3.0 về bản chất cởi mở hơn và các dự án thường được lưu trữ trong các cộng đồng trên Discord, Twitter. Trong một bài báo gần đây, hai nhà quản lý dự án Web 3.0, Lenny Rachitsky và Jason Shah, đã mô tả cách sự nghiệp của họ chuyển đổi sang Web 3.0 và kêu gọi hoàn toàn rời bỏ mô hình làm việc công nghệ hiện tại. Họ thấy thiếu hệ sinh thái giám sát/thu thập dữ liệu làm nền tảng cho Web 3.0 và nhu cầu đảm bảo mã không có lỗi nhất có thể khi phát hành.

tiêu đề cấp đầu tiên

tài năng đang chảy

Không chỉ những người nhìn thấy tiềm năng mới nhảy vào Web 3.0, một số tin tặc giỏi nhất trên thế giới đã làm việc toàn thời gian trên Web 3.0. Ví dụ:

Các chuyên gia bảo mật thông tin nên làm quen với các mạng chuỗi khối "lớp một" khác nhau như Bitcoin và Ethereum, các đồng tiền riêng tư có liên quan đặc biệt đến không gian bảo mật thông tin như Monero và Zcash, đồng thời tìm hiểu thêm về tiền điện tử, mã thông báo, ý nghĩa của DeFi, NFT.

Các chuyên gia bảo mật thông tin cần bắt đầu học sớm để họ có kiến ​​thức về tiền điện tử trong các trường hợp và điều tra bảo mật trong tương lai.

Dưới đây là một số mẹo và tài nguyên dành cho những người muốn tìm hiểu thêm:

• Xem các blog của công ty bảo mật viết nghiên cứu về Web 3.0 và những tiếng nói tin rằng Web 3.0 có khả năng trao quyền cho mọi người về mặt kỹ thuật số và tự do thể hiện bản thân.

• Hãy thử thiết lập ví tiền điện tử và thực hiện chuyển tiền vào và ra, sau đó xem chuỗi khối để xem các giao dịch đó hoạt động như thế nào.

• Tìm hiểu về các nền tảng hợp đồng thông minh chính, môi trường thực thi của chúng và các ngôn ngữ lập trình liên quan. Bạn muốn xây dựng một dApp? Bạn có thể tham khảo một số hướng dẫn về BuildSpace hoặc tham gia các cộng đồng tài nguyên như Developer DAO, Surge. Kiểm tra các kho lưu trữ bảo mật dành riêng cho chuỗi khối trên Github, chẳng hạn như awesome-ethereum-security và awesome-evm-security.

• Tham gia vào một số tiền thưởng mở trên Immunefi.

• Hãy suy nghĩ về cách giám sát ví của các chuỗi khối khác nhau và cách lấy dữ liệu này.

• Tìm hiểu về các vectơ và phương thức lừa đảo phổ biến, đặc biệt là các mối đe dọa trên Discord và Twitter. Tìm hiểu về các cảnh báo nguy hiểm như giao dịch rửa NFT và các trò gian lận khác. Kiểm tra các vụ hack lớn trước đây và các vụ lừa đảo gần đây.

• tiêu đề cấp đầu tiên

Con đường dài phía trước

Không có viên đạn bạc nào cho bảo mật thông tin và blockchain cũng không ngoại lệ và các hệ thống phi tập trung phải đối mặt với rủi ro tương tự như rủi ro của các máy tính khác. Chuỗi khối là một mạng vốn không an toàn — nhưng nó đặt nền tảng cho các giao dịch an toàn trên quy mô lớn, một khả năng rất quan trọng đối với việc tiếp tục mở rộng các dịch vụ internet.

Cũng cần lưu ý rằng công nghệ phi tập trung không tự động tạo ra sức mạnh phi tập trung và Web 3.0 vẫn còn một chặng đường dài.Các chuyên gia bảo mật có thể trợ giúp bằng cách thúc đẩy cấu trúc quyền lực hợp lý trong các hệ thống Web 3.0, đặt bảo mật và quyền riêng tư ở trung tâm của hệ thống.

Như các chiến lược gia công nghệ Scott Smith và Lina Srivastava viết trên Tạp chí Đổi mới Xã hội của Stanford: "Nếu Web 3.0 mang lại cơ hội giải quyết các vấn đề của Web 2.0, thì nó đòi hỏi toàn bộ hệ thống giá trị. Điều này có nghĩa là lợi ích xã hội không chỉ là một phần không thể thiếu của một đạo đức xã hội, mà là một phần không thể thiếu trong kiến ​​trúc của bất kỳ mạng hoặc công nghệ mới nào."

Bất chấp tiềm năng rõ ràng của Web 3.0 và chuỗi khối, những công nghệ này không có khả năng vốn có để hỗ trợ nhân quyền hoặc dân chủ. Những người thực hành an toàn thông tin có thể giúp họ tích hợp các giá trị tích cực như một phần mở rộng tầm nhìn của họ để bảo vệ người dùng Internet.Theo "Thông báo về việc tiếp tục ngăn chặn và xử lý rủi ro thổi phồng trong giao dịch tiền ảo" do ngân hàng trung ương và các ban ngành khác ban hành, nội dung bài viết này chỉ mang tính chất chia sẻ thông tin, không quảng bá hay xác nhận bất kỳ hoạt động và đầu tư nào. Tham gia vào bất kỳ hoạt động tài chính bất hợp pháp nào.

cảnh báo rủi ro:

Theo "Thông báo về việc tiếp tục ngăn chặn và xử lý rủi ro thổi phồng trong giao dịch tiền ảo" do ngân hàng trung ương và các ban ngành khác ban hành, nội dung bài viết này chỉ mang tính chất chia sẻ thông tin, không quảng bá hay xác nhận bất kỳ hoạt động và đầu tư nào. Tham gia vào bất kỳ hoạt động tài chính bất hợp pháp nào.