Crowdcurity bringt Crowdsourced Hacker-Tests zu Bitcoin

Bitcoin-Websites sind vorrangige Ziele für Cyber-Attacken. Nun, eine Firma namens Crowdcurity will die Weisheit der Massen anwenden, um sie sicherer zu machen. Wie wird es funktionieren?

Der Schutz vor Angriffen ist nicht optional, wenn du deine webbasierte Bitcoin App im Geschäft behalten willst. Bitcoin-Apps können oft Hunderte in einzelnen Münzen halten, so dass ihre Benutzer erhebliche finanzielle Verluste erleiden, wenn sie kompromittiert werden. Dies gilt insbesondere für den Austausch.

Zum Beispiel wurde die Margin-Trading-Website Bitcoinica für $ 460, 000 im Jahr 2012 verklagt, nachdem sie zweimal gehackt wurde. US-amerikanischer Austausch BitFloor erlitt große Peinlichkeit nach 24, 000 Bitcoins wurden nach einem Hack im September 2012 gestohlen - eine Zahl, die fast zehn Jahre Transaktionsgebühren darstellte. Das ist ein schwerer Verlust, um zurück zu springen. Dies ist nicht der erste Fall, die Probleme gehen noch weiter zurück: Vicurex sah seine Brieftasche im Jahr 2011 kompromittiert. Und das sind nur Beispiele aus einem weit größeren Satz.

Breaking in eine Web-App

Nicht alle diese Bitcoin Diebstähle sind explizit das Ergebnis von Website-Problemen. Einige stammen aus menschlichem Irrtum, und einige sind noch unerklärt. Aber eines ist sicher: schlecht gestalteter Code hilft nicht und ist für zumindest einige dieser Probleme verantwortlich.

Wie viele Möglichkeiten kann eine Person in eine Web-Anwendung einbinden? Es gibt Dutzende von ihnen, aber das Open Web Application Security Project (OWASP) zerlegt sie in zehn breite Kategorien. Es aktualisiert die Liste jedes Jahr, und 2013 macht grausame Lektüre.

Am Anfang der Liste? Injektion. Dies geschieht, wenn jemand Code einspritzt, der nicht dort in eine Webanwendung sein sollte, in der Regel durch einen Parameter, der an eine URL übergeben wird. Es kann verwendet werden, um unbeabsichtigte Befehle auszuführen, einschließlich, um gefährliche Malware auf einer Webseite zu setzen, um Besuchsmaschinen zu infizieren oder zum Beispiel Kundendaten zu entsorgen.

Weitere potenzielle Angriffe sind die Ausnutzung der schlechten Sicherheitskonfiguration (einschließlich der Konfiguration von Hosting-Servern) und die gebrochene Authentifizierung, in der die Sitzungen nicht ordnungsgemäß verwaltet werden, so dass Angreifer Kongresse entführen können. Eine weitere alte Kastanie ist die Cross-Site-Scripting-Angriff, in dem schlechte Daten an einen Browser mit JavaScript gesendet werden, wodurch es zu missbrauchen. Die Tatsache, dass diese Angriffe noch Jahre sind, nachdem sie zuerst entdeckt wurden, ist ein Diskredit der Softwareentwicklungsgemeinschaft.

Das Problem für viele Softwareentwickler im Bitcoin Space und anderswo ist, dass es schwierig ist, alle Bugs zu erkennen. Mehrere Bitcoin-Sites beschäftigen "Bug-Bounties", um das Problem zu lösen und bieten Adler-eyed Mitglieder der Community Belohnungen, um Probleme zu erkennen und Probleme zu beheben.

Coinbase hat eine, mit einer minimalen Auszahlung von 5 BTC, und keine maximale Auszahlung. Zum Zeitpunkt des Schreibens, hatte es Bitcoins zu 27 Personen, in Höhe von mindestens 135 BTC vergeben. Payward, die die Kraken Margin Trading Site läuft, ist stingier über seine Bounty-Programm, bietet ein Minimum von einem einzigen Bitcoin pro Bug. Eine weitere Bitcoin-Trading-Site, 1Broker, lief auch ein Programm.

Crowdcurity

Crowdcurity hofft, das Bug-Bounty-Konzept durch Outsourcing des Prozesses zu standardisieren. Der Online-Service verbindet Unternehmen, die Software haben, um mit einer Community von rund 250 Software-Testern zu debuggen, die sie über Sicherheitsforen gefunden hat.

Wie Crowdcurity arbeitet

Das Unternehmen ist nicht nur Bitcoin fokussiert, da sein Prozess auf jede webbasierte Anwendung angewendet werden kann. Dennoch ist es ein wichtiger Markt für die Firma. "Bitcoin-Unternehmen sind bereits sehr auf Sicherheit ausgerichtet und wissen, dass sie sich darauf konzentrieren müssen", sagt Jacob Hansen, Gründer von Crowdcurity, der bereits mit mindestens einem großen Bitcoin-basierten Geschäft verhandelt. "Traditionelle E-Unternehmen haben nicht immer das gleiche Bewusstsein. "

" Bitcoin-Unternehmen sind bereits sehr auf Sicherheit ausgerichtet und sie wissen, dass sie sich darauf konzentrieren müssen "

Kunden können ein Belohnungsprogramm mit der Website erstellen, Regeln und Mengen für Bug-Programme festlegen . Die Herausforderung wird dann an die Test-Community gesendet, die auf der Berichterstattung von Schwachstellen arbeitet. Der Kunde prüft die Bugs in Verbindung mit Crowdcurity, und Auszahlungen werden auf der Grundlage der Fehlerschwere vergeben.

Mehr als die Hälfte der Auszahlungen wurden in Bitcoins für den Einzelkunden gemacht, den die Firma ab der vergangenen Woche behandelt hatte. "Viele dieser Zahlungen können $ 25- $ 50 sein, wenn die Bugs eine geringe Kritik haben, und mit Bitcoins haben Sie niedrigere Gebühren, und es macht Zahlungen schneller", sagt Hansen.

Die Tester der Website können auf eine Test-Website oder eine operative Website, die bereits verarbeitet Live-Daten, Hansen erklärt. Aber Seiten sollten sich nicht nur auf externe Tester verlassen, argumentiert er.

Crowdcurity ist effektiv ein Penetration Testing Service, in dem eine Menge von Testern versucht, eine Website zu hacken. Aber was sie nicht tun, schaut auf einen Website-Code. In einem Sinn, das ist eine gute Sache, weil geschlossene Quellen Websites nicht wollen, dass die Menschen ihr geistiges Eigentum. In einem anderen Sinne verlässt es die Analyse des Codes bis hin zur Firma, die dann die Fähigkeiten finden muss, um es zu tun.

"Sie sollten Sicherheitsbewertungen ihres Codes intern durchführen. Dann gibt es viele automatische Werkzeuge da draußen, die Ihren Code ansehen und gemeinsame Schwachstellen entdecken können. "Crowdcurity verwendet Werkzeuge wie Brakeman für seine eigene Website, die auf Anfälligkeit in Ruby on Rails apps scannt. Es gibt mehr für andere Sprachen - aber Unternehmen müssen die Fähigkeiten und Disziplin haben, um sie zu benutzen.

Da Bitcoin aufwächst und Unternehmen eine bessere Finanzierung erhalten, werden Softwareentwickler hoffentlich in einer besseren Position sein, um alle ihre Sicherheitsbasen zu decken. Und vielleicht sehen wir weniger Katastrophengeschichten wie Bitcoinica oder Bitfloor.

Der Führer in Blockchain News, CoinDesk ist eine unabhängige Medien-Steckdose, die für die höchsten journalistischen Standards strebt und sich durch eine strenge Reihe von redaktionellen Richtlinien. Haben Sie Neuigkeiten oder einen Story-Tipp, um unsere Journalisten zu schicken? Kontaktieren Sie uns unter news