Krypto

Michael perklin von ledger labs: shapeshift ist über und jenseits

Krypto Michael perklin von ledger labs: shapeshift ist über und jenseits

The Blockchain and Us: Guido Rudolphi on "A system without government" (September 2018).

Anonim

ShapeShift hat sich zu einer der beliebtesten Plattformen für den digitalen Währungsumtausch entwickelt. Die Idee von Bitcoin Early Adopter und Unternehmer Erik Voorhees, das Unternehmen gilt weithin als Vorreiter bei Transaktionen zwischen der explodierenden Anzahl von Kryptowährungen, die jetzt die globale Landschaft punktieren.

Als ShapeShift am 7. April 2016 einen Verstoß erlitt, ging Voorhees sofort in die Schadenskontrolle. In einer am nächsten Tag veröffentlichten Website gab er bekannt, dass "mehrere Beweise dafür vorliegen, dass unsere Serverinfrastruktur gefährdet und bedroht ist" und dass die Entscheidung getroffen wurde, diese Infrastruktur zu verschrotten und komplett neu und sicher zu bauen Umgebung. "

Während der Diebstahl aus der heißen Brieftasche des Unternehmens etwa 230.000 USD betrug," wurde kein Cent der Kundengelder verloren ", sagte Voorhees.

"Hacks können unvermeidlich sein, aber Kundenverluste sollten nicht sein. "

Die oberste Priorität laut Voorhees bestand darin, alle ausstehenden Aufträge zu adressieren, die über ShapeShift verarbeitet wurden, als die Site offline ging. ShapeShift hat außerdem öffentlich versprochen, diese Mittel innerhalb von 24 Stunden nach dem Zeitpunkt der Entdeckung des Verstoßes an die betroffenen Kunden zurückzugeben.

Nach frühen Informationen, die während der folgenden Untersuchung gesammelt wurden, machte Voorhees die etwas überraschende Ankündigung, dass ein ehemaliges ShapeShift-Teammitglied beteiligt gewesen war und einem Außenhacker bei dem Überfall geholfen hatte.

Aufruf zur Kavallerie

Die Ergebnisse einer digitalen Untersuchung wurden am 18. April in einem Bericht mit dem Titel ShapeShift Cyberangriff Postmortem veröffentlicht, der von Michael Perklin, Leiter der Abteilung für Sicherheits- und Ermittlungsdienste bei Ledger Labs, einem Beratungsunternehmen mit Sitz in Toronto, entworfen wurde konzentrierte sich auf Blockchain-Entwicklung. Perklin ist ein Informationssicherheitsexperte mit mehr als einem Jahrzehnt Erfahrung in der Durchführung von digitalen forensischen Untersuchungen, Cyber-Untersuchungen und Incident Response Post-Mortems.

"Ich kenne Michael seit ein paar Jahren als aufrechten Mitglied der Bitcoin-Community, und er wird von anderen, die ich respektiere, sehr empfohlen", sagte Voorhees zu BTCMANAGER . "Seine jahrzehntelange Erfahrung in der digitalen Forensik vorher , um Blockchain-Fähigkeiten zu erlangen, war das relevante Fachwissen, das wir brauchten. "

Perkin, dessen Firma Bitcoinsultants im Jahr 2016 mit LedgerLabs im Rahmen eines erweiterten Betriebs fusionierte, kennt diese breitere digitale Währungslandschaft. Er hat über Blockchains im Ausschuss für Banken, Handel und Handel des kanadischen Senats ausgesagt und wurde als Sachverständiger vor den Gerichten Kanadas und anderer Nationen auf der ganzen Welt qualifiziert.

Dem Bericht zufolge wandte sich ShapeShift am 9. April an Ledger Labs, um nach zwei Datenschutzverletzungen in den vergangenen drei Tagen digitale forensische Hilfe anzufordern. Perkin flog zum ShapeShift-Hauptquartier, um an der Untersuchung zu arbeiten.

Neben der genauen Festlegung der Ereignisreihen bestand das primäre Ziel darin, die Sicherheitsverletzungen zu ermitteln und anschließend die Infrastruktur- und Sicherheitsprotokolle von ShapeShift gemäß dem Cryptocurrency Security Standard (CCSS) zu bewerten, um zukünftige Vorfälle zu vermeiden. Ledger Labs wird weiterhin eng mit dem ShapeShift-Team zusammenarbeiten, um eine Reihe kritischer Änderungen einzuleiten, bevor die Website neu gestartet wird, um die höchste Sicherheitsqualität für den Austausch zu gewährleisten.

Perklin ist Mitglied des Board of Directors des CryptoCurrency Certification Consortium (C4), zusammen mit Andreas Antonopoulos, Vitalik Buterin, Joshua McDougall und Pamela Morgan. C4 ist verantwortlich für die Veröffentlichung des CryptoCurrency Sicherheitsstandards.

"Ironischerweise hatten wir vor dem Vorfall etwa einen Monat lang mit den CCSS-Leuten gesprochen. Eines von vielen Dingen, die auf unserer "To-do-Liste" standen ", sagte Voorhees. "Mit den Upgrades, die wir im Zuge des Hacks gemacht haben, sind wir bereits weit fortgeschritten. Die letzten Schritte, um L3 mit CCSS zu bekommen, sind eine offensichtliche und weise Entscheidung. Wir werden dieses Jahr bis zum dritten Quartal zertifiziert. "

Gemäß dem CCSS Github-Dokument:

Ein Informationssystem, das Level III-Sicherheit erreicht hat, hat im Rahmen seiner Prüfung nachgewiesen, dass es mit formalisierten Richtlinien und Verfahren, die bei jedem Schritt in seinem Unternehmen durchgesetzt werden, höhere Sicherheitsstandards überschreitet Prozesse. Für alle kritischen Aktionen werden mehrere Akteure benötigt, erweiterte Authentifizierungsmechanismen stellen die Authentizität aller Daten sicher und die Ressourcen werden geografisch und organisatorisch so verteilt, dass sie gegen die Gefährdung von Personen oder Organisationen resistent sind.

"ShapeShift hat bereits einige Steuerelemente implementiert, mit denen sie in bestimmten Aspekten als Level I, Level II und sogar Level III punkten können", sagte Perklin zu BTCMANAGER . "Sie planen, die verbleibenden Kontrollen in den nächsten Wochen abzuschließen, so dass alle Aspekte einstimmig mit CCSS Level I übereinstimmen." Von dort aus wird das Unternehmen weiterhin alle erforderlichen Kontrollen durchführen, um Level III zu erreichen.

Obwohl das Unternehmen noch einige Sicherheitsmaßnahmen zu implementieren hatte, stellte der Bericht fest, dass keine Benutzernamen, Kennwörter oder E-Mail-Adressen durch die einzigartige, informationslose Austauscharchitektur von ShapeShift beeinträchtigt wurden.

Lernmomente für die Cryptocurrency Community

Während die sofortige mediale Aufmerksamkeit bei solchen Verstößen oft in Spekulationen und Negativität stecken bleibt, ist es wichtig, einen Schritt zurückzutreten und auf Fakten zu warten. Jetzt, da der forensische Bericht aus dem ShapeShift-Vorfall veröffentlicht wurde, kann die Community von einigen wichtigen Erkenntnissen profitieren und besser verstehen, wie diese Szenarien so umsichtig wie möglich gehandhabt werden können.

Was hat ShapeShift aus dieser Erfahrung gelernt?

"Viele", sagte Voorhees. Er listet die folgenden drei Lektionen auf:

  1. Führen Sie Hintergrundprüfungen für Mitarbeiter durch
  2. Formatieren Sie alle Computer und Datenleitungen nach einem Vertrauensbruch durch einen Insider.
  3. Lassen Sie keine Computer geöffnet oder entsperrt. Sei paranoid.

Darüber hinaus kann der Rest der Gemeinschaft auch von dem Ansatz lernen, den Voorhees unternommen hat, um sein Unternehmen und seinen Ruf zu sichern. Die ShapeShift-Plattform wurde abgebaut und wird neu erstellt. Dieser langsame, bewusste Ansatz seitens des Unternehmens ist angesichts der Bedeutung dieses Bruchs und der Wichtigkeit, die richtige Lösung zu finden, wohl ein kluger Schachzug. Voorhees merkte an, dass die Firma es hasst, den Dienst offline zu haben, es ist in der Tat ein sicherer Weg, bis alles sicher und wieder betriebsbereit ist.

Sagt Perklin: "Noch nie habe ich eine Verletzung gesehen, die so transparent, entweder im Bitcoin-Raum oder anderswo, veröffentlicht wurde. Die meisten Unternehmen verstecken sich, wenn sie oft aus Peinlichkeit gehackt werden, um ihren Ruf zu schützen und ihre Investoren glücklich zu machen. Erik und sein Team von ShapeShift sollten dafür gelobt werden, wie sie dieses schwierige Szenario angehen. "

Laut dem Bericht an die Nationen: Über Betrug und Missbrauch am Arbeitsplatz: 2016 Globale Betrugsuntersuchung durch den Verband der zertifizierten Betrugsprüfer, in 40%. 7% aller Fälle, Opfer Organisationen wählen, ihre Betrugsfälle Gesetz zu verweisen Durchsetzung, wobei "Angst vor schlechter Publicity" der am häufigsten genannte Grund ist.

Die sofortige Reaktion auf ShapeShift wird einen großen Beitrag dazu leisten, das Vertrauen der Kunden und der Branche wiederherzustellen. Die Tatsache, dass Kundendaten und -mittel intakt bleiben und alle notwendigen Vorkehrungen getroffen werden, um in Zukunft höchste Sicherheit zu gewährleisten, stellt für die Blockchain-Technologie im Allgemeinen eine "Federspitze" dar, insbesondere angesichts wachsender Bedenken der Öffentlichkeit in Bezug auf Identitätsdiebstahl und Internetkriminalität umfassender Verbraucherschutz. Dies ist zweifellos ein hoffnungsvolles Zeichen für Digital-Währungs-Enthusiasten, angesichts der unzähligen Austausch-Plattformen, die in den letzten Jahren durchbrochen wurden, oft mit massiven Mengen an Benutzergeldern, die gestohlen wurden.

"ShapeShift geht über das normale Protokoll hinaus, um dies so weit wie möglich zu veröffentlichen. Sie stellten sogar Transaktions-IDs der Diebstähle bereit, die die Bitcoin-Community seit Jahren bei anderen Börsen anruft, die seit Jahren Hacks erlebt haben, insbesondere bei MtGox und seinen derzeitigen Administratoren. "

Michael Perklin

Da die digitale Währungsbewegung weiter in Richtung globaler Adoption schreitet, bedeutet dieser Bruch einen profunden Lernmoment, der, wenn er sorgfältig erwogen wird, ein Modell zur Prävention und Milderung von kriminellen Handlungen bietet könnte sonst einen abschreckenden Effekt auf die Entwicklung der digitalen Währung weltweit haben.

Mit Notizen von Christie Harkin

Beliebte Beiträge