admin 
[ad_1]
No ano passado, a Fundação Ethereum aumentou significativamente sua equipe de cientistas e engenheiros de segurança dedicados. Os participantes vieram de diferentes esferas da vida, variando de criptografia, arquitetura de segurança, gerenciamento de riscos, desenvolvimento de exploração e trabalharam em equipes vermelhas e azuis. Os colaboradores vêm de várias áreas e trabalharam para proteger tudo, desde os serviços de internet dos quais dependemos todos os dias até os sistemas nacionais de saúde e bancos centrais.
À medida que o Merge se aproxima, a equipe gasta muito esforço analisando, auditando e pesquisando o nível de consenso de várias maneiras, assim como o próprio Merge. Uma amostra do trabalho é apresentada a seguir.
Auditoria de Implementação do Cliente 🛡️
Os membros da equipe testam diferentes implementações de clientes usando diferentes ferramentas e técnicas.
Escaneamento automático 🤖
A verificação automatizada da base de código visa identificar os frutos mais fáceis de encontrar, como vulnerabilidades de dependência (e vulnerabilidades em potencial) ou áreas para melhoria no código. Algumas das ferramentas usadas para análise estática são CodeQL, semgrep, ErrorProne e Nosy.
Como existem muitos idiomas diferentes usados entre os clientes, usamos scanners comuns e de idioma para bases de código e imagens. Eles estão interligados por meio de um sistema que analisa e reporta novas descobertas de todas as ferramentas para os canais apropriados. Essas varreduras automatizadas permitem que você relate rapidamente problemas que os adversários em potencial provavelmente encontrarão facilmente, aumentando a chance de corrigir problemas antes que eles possam ser explorados.
Auditorias manuais 🔨
A inspeção manual dos componentes da pilha também é uma técnica importante. Esses esforços incluem auditoria de dependências compartilhadas críticas (BLS), libp2p, novas funcionalidades em hard forks (como comitês de sincronização no Altair), auditoria de perto de uma implementação de cliente específica ou auditoria de L2 e pontes.
Além disso, se as vulnerabilidades forem relatadas por meio de Programa de recompensas por bugs do Ethereumos pesquisadores podem verificar problemas com todos os clientes para ver se eles também são afetados pelo problema relatado.
Auditorias de terceiros 🧑🔧
Às vezes, empresas terceirizadas são contratadas para auditar vários componentes. As auditorias de terceiros são usadas para obter informações externas sobre novos clientes, especificações de protocolo atualizadas, futuras atualizações de rede ou qualquer outra coisa considerada de alto valor.
Durante as auditorias de terceiros, os desenvolvedores de software e pesquisadores de segurança de nossa equipe trabalham com os auditores para educar e auxiliar.
Incrível 🦾
Nossos pesquisadores de segurança, membros de grupos de clientes e membros do ecossistema continuam com muitos esforços de fuzzing. A maioria das ferramentas é de código aberto e roda em infraestrutura dedicada. Phasers têm como alvo superfícies de ataque críticas, como manipuladores RPC, transições de estado e seleção de bifurcação, etc. Esforços adicionais incluem Nosy Neighbor (geração automática de pacote baseado em AST), que é baseado em CI e criado a partir da biblioteca Go Parser.
Modelagem e testes no nível da rede 🕸️
Os pesquisadores de segurança de nossa equipe criam e usam ferramentas para modelar, testar e atacar ambientes de rede controlados. Essas ferramentas podem lançar rapidamente redes de teste locais e externas (“redes de ataque”) em execução em várias configurações para testar cenários exóticos contra os quais os clientes devem ser protegidos (por exemplo, DDOS, segregação ponto a ponto, degradação de rede).
As redes de ataque fornecem um ambiente eficiente e seguro para testar rapidamente diferentes ideias/ataques em um ambiente privado. Redes de ataque privadas não podem ser controladas por adversários em potencial e nos permitem hackear coisas sem interromper a experiência do usuário em redes de teste públicas. Nesses ambientes, usamos rotineiramente técnicas subversivas, como suspensão de thread e particionamento de rede, para ampliar ainda mais os cenários.
Explorando a diversidade de clientes e infraestrutura 🔬
Diversidade de clientes e infraestrutura recebeu muita atenção da sociedade. Temos ferramentas para monitorar uma variedade de estatísticas de clientes, sistemas operacionais, ISPs e scanners. Além disso, analisamos o nível de participação na rede, anomalias de tempo de atestação e a integridade geral da rede. Esta informação está disponível em geral através múltiplo locais para destacar quaisquer riscos potenciais.
Programa de recompensas para bugs 🐛
Atualmente, a EF executa dois programas de recompensas por bugs; um focado em Nível de execução e outro focado em nível acordado. Os membros da equipe de segurança monitoram os relatórios recebidos, verificando sua precisão e impacto e, em seguida, verificando quaisquer problemas com outros clientes. Publicamos recentemente uma divulgação de todos os vulnerabilidades relatadas anteriormente.
Em breve, os dois programas serão fundidos em um, a plataforma geral será aprimorada e recompensas adicionais serão fornecidas aos caçadores de recompensas. Fique ligado para mais informações sobre isso em breve!
Segurança operacional 🔒
A segurança operacional envolve muito esforço na EF. Por exemplo, o monitoramento de ativos foi configurado para monitorar constantemente a infraestrutura e os domínios em busca de vulnerabilidades conhecidas.
Monitoramento de rede Ethereum 🩺
Um novo sistema de monitoramento de rede Ethereum está sendo desenvolvido. Este sistema funciona de forma semelhante a um SIEM e é construído para ouvir e monitorar a rede Ethereum para regras de detecção pré-configuradas, bem como detecção dinâmica de anomalias que verifica exceções. Uma vez instalado, este sistema fornecerá avisos antecipados de falhas de rede ocorrendo ou se aproximando.
Análise de ameaças 🩻
Nossa equipe conduziu uma análise de ameaças focada no The Merge para identificar áreas para melhoria de segurança. Como parte desse trabalho, coletamos e testamos práticas de segurança para revisão de código, segurança de infraestrutura, segurança de desenvolvedor, segurança de compilação (DAST, SCA e SAST incorporados em CI, etc.), segurança de repositório e muito mais de equipes de clientes. Além disso, esta análise analisou como evitar a desinformação, quais desastres podem ocorrer e como a comunidade pode se recuperar em diferentes cenários. Também são interessantes alguns esforços relacionados a exercícios de socorro em desastres.
Equipe de segurança do cliente Ethereum 🤝
À medida que a fusão se aproxima, criamos uma equipe de segurança composta por membros das equipes do cliente que trabalham nas camadas de execução e consenso. Este grupo se reunirá regularmente para discutir questões relacionadas à segurança, como vulnerabilidades, incidentes, melhores práticas, trabalho de segurança em andamento, sugestões, etc.
Resposta a incidentes 🚒
Os esforços do Blue Team estão ajudando a preencher a lacuna entre o nível de execução e o nível de consenso à medida que a fusão se aproxima. As salas de guerra de resposta a incidentes funcionaram bem no passado, quando os incidentes geram bate-papos com as pessoas apropriadas, mas com o The Merge surge uma nova complicação. Mais trabalho está em andamento em (por exemplo) ferramentas de compartilhamento, criação de recursos adicionais de depuração e classificação e criação de documentação.
Obrigado e participe 💪
Aqui estão alguns dos esforços que estão em andamento em várias formas e esperamos compartilhar mais com você no futuro!
Se você acredita ter encontrado uma vulnerabilidade de segurança ou qualquer bug, envie um relatório de bug para camada executável ou camada de consenso programa de recompensa de bug! 💜🦄
[ad_2]
Source link
