Oscar Lage, CISO de Tecnalia, realiza esta ponencia "Ciberseguridad en Blockchain", en el marco de las V Jornadas de Ciberseguridad de Andalucía celebradas el 13 de junio 2018.
3. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage
Blockchain como Tecnología
4. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 4 ▌
Arquitectura de ciberseguridad basada en algoritmos
y tecnologías que en conjunto ofrecen por diseño:
– No-repudio de las transacciones
– Integridad de la información
– Tamper Resistant Software
– Alta Disponibilidad
– Arquitectura descentralizada
– Autenticación robusta
Cuidado! Blockchain no ofrece confidencialidad por
diseño
Blockchain como Tecnología
5. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage
Visión
Blockchain es una de las
tecnologías más disruptivas
de la actualidad, puede
cambiar los procedimientos
y negocios tal y como los
conocemos a día de hoy.
5 ▌
6. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 6 ▌
1er Laboratorio blockchain industrial de europa
7. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage
Análisis de
incidentes
8. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 8 ▌
Clasificación por activos
9. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 9 ▌
Clasificación por vector
10. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage
Retos de
Ciberseguridad
11. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 11 ▌
Retos
Tradicionales
12. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 12 ▌
Retos tradicionales de cualquier SW:
Injection, Broken Authentication and
Session Management, Cross-Site
Scriptiong (XSS), Broken Access
Control, Security Misconfiguration,
Sensitive Data Exposure, Insufficient
Attack Protection, Cross-Site Request
Forgery (CSRF), Using Components
with Known Vulnerabilities,
Unprotected APIs, etc.
Retos tradicionales
13. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 13 ▌
Retos tradicionales
Retos tradicionales asociados a la
criptografía que aplican a la Blockchain:
• Gestión de claves
• Custodia
• Gestión pérdida y robo
• Generación de claves
14. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 14 ▌
Retos Específicos
de Blockchain
15. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 15 ▌
Consensus hijack:
• Ataque del 51% en blockchains basadas en prueba de trabajo
• Un atacante podría:
• Omitir/Alterar transacciones
• Ejecutar el temido doble uso.
• Crear cadenas alternativas con información manipulada
Retos Específicos de Blockchain
16. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 16 ▌
Sidechains (cadenas laterales)
• Pueden tener un soporte menor (menor cómputo o menor
interés de un gran número de usuarios por mantener la
operación)
• Gateways pueden suponer puntos de fallo o pérdida de activos
por un bloqueo no válido en la cadena principal.
• Exceso de transacciones si se cierra (resuelve) una sidechain o si
está fuera de servicio
Retos Específicos de Blockchain
17. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 17 ▌
Blockchains privadas:
• Pueden llegar a ser más vulnerables (menos puntos de ataque para lograr un
Consensus Hijack)
• En algunos casos la gestión de la identidad puede ser centralizada
Distributed Denial of Service (DDoS)
• En Marzo 2016 ya ocurrió el primer ataque DDoS en Bitcoin debido a una
wallets enviando transacciones incorrectas con grandes fees asociados a las
mismas.
• Las cadenas privadas son menos vulnerables porque pueden bloquear o
ignorar por consenso al atacante.
Retos Específicos de Blockchain
18. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 18 ▌
Vulnerabilidades de los Smart Contract:
• Los contratos tienen acceso a la información y les delegamos el
poder de realizar operaciones automáticamente.
• Peter Vesseness encontró hace meses vulnerabilidades en
numerosas plantillas de contratos para Ethereum. En su análisis
de contratos más populares disponibles en
https://dapps.ethercasts.com/ encontró un promedio de 100
bugs por cada 1000 líneas
Retos Específicos de Blockchain
19. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 19 ▌
Los fallos más comunes de los contratos:
• Pérdida del control sobre los activos del contrato (bloqueo
de bienes)
• Posibilidad de sustracción de los fondos (robo de bienes)
• Código que no realiza las funciones que deberían
• Uso ineficiente del procesamiento (gasto de GAS)
Retos Específicos de Blockchain
20. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage
Buenas Prácticas
21. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 21 ▌
Gestión de claves
• Almacenamiento seguro de claves (Elementos seguros, HW, cifrado, etc.)
• Contemplar el uso de agentes/técnicas de recuperación de contraseñas
• Implementación de sistemas multifirma para operaciones sensibles
• Generación segura de claves y tamaño/cripto adecuada usando estándares
y buenas prácticas tradicionales (IETF/RFC 4107 cryptographic key
management guidelines)
Buenas Prácticas
22. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 22 ▌
Privacidad
Cifrado de las transacciones para que sólo terceros autorizados
puedan acceder a la información
Uso de algoritmos de cifrado basado en atributos (Attribute-
Based Encryption)
Técnicas de sharding (limitando los nodos que verifican ciertas
transacciones)
Técnicas de pruning para eliminar el cuerpo de los mensajes en
los bloques
Buenas Prácticas
23. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 23 ▌
Código
Implantar procedimientos de auditoría de código para las
aplicaciones Blockchain y librerías asociadas o utilizar servicios
de terceros y prácticas de desarrollo seguro de software
Analizar meticulosamente la custodia de claves de wallets y
librerías cliente
Estandarización de funciones habituales en librerías
Buenas Prácticas
24. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 24 ▌
Red
Monitorización de incrementos de capacidad de cómputo de
nodos y su posible aumento de resolución de bloques.
Restringir qué nodos pueden propagar nuevas transacciones
para su validación
Creación de una buena y transparente política (criterios) para la
aceptación de nuevos miembros, así como la revocación de los
mismos (REDES PRIVADAS)
Buenas Prácticas
25. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage
“Estar preparado es la
mitad de la victoria”
Miguel de Cervantes
26. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage
Oscar Lage Serrano
oscar.lage@tecnalia.com
@Oscar_Lage
Muchas gracias por su atención