بهکارگیری زنجیرهبلوکی در امنیت سایبری چه معنایی دارد؟
زنجیرهبلوکی به شکل بالقوهای میتواند کیفیت و عملکرد رمزگذاری و احراز هویت را بهبود بخشد. این حرف به این معنا است که نهتنها امنیت اکوسیستمهای نوینی مثل اینترنت اشیا بهبود پیدا میکند، بلکه به سازمانها و وبمسترها اجازه میدهد از این فناوری در جهت پیشگیری از بروز حملات انکار سرویس توزیع شده استفاده کنند
به اعتقاد برخی از کارشناسان، انقلابی که زنجیرهبلوکی در یک دهه آینده رقم خواهد زد، مشابه با جهانشمولی اینترنت خواهد بود.
البته پیشبینیهای مشابهی در ارتباط با فناوریهایی مثل رایانش ابری، هوش مصنوعی و واقعیت مجازی نیز انجام شده که نشان میدهد در یک دهه آینده صنعت فناوری اطلاعات کاملاً متحول خواهد شد، بااینحال تأثیرگذاری زنجیرهبلوکی بر حوزههای مختلف بهویژه امنیت سایبری موضوعی نیست که بتوان بهسادگی از کنار آن گذشت.
لیانا ام دویلت گازمن معاون ارشد پیشرفت زنجیرهبلوکی در شرکت Skillshare بر این باور است که شاید زنجیرهبلوکی کلید حل تمام مشکلات حوزه امنیت نباشد و کارشناسان درباره قابلیتهای بالقوه این فناوری در امنیت مبالغه کردهاند. بااینحال، یک حقیقت روشن وجود دارد که حضور زنجیرهبلوکی در حوزه امنیت ظرفیت رشد زیادی دارد.
گزارشی که مؤسسه Grand View Research منتشر کرده نشان میدهد بازار فناوری زنجیرهبلوکی تا سال 1403 شمسی حدود 7.74 میلیارد دلار خواهد بود.
زنجیرهبلوکی چیست؟
زنجیرهبلوکی (Blockchain) یک سیستم غیرمتمرکز ذخیرهسازی اطلاعات است. در این سیستم، تمامی اطلاعات با الگوریتم AES 256 بیت رمزنگاری میشوند و دادهها به بلوکهای متفاوت تقسیم میشوند.
هر بلوک توسط کلیدی که از بلوک قبلی به دست میآید قابل رمزگشایی است، اما این کلید شرط کافی برای باز کردن یک بلوک نیست. به زبان ساده، هر بلوک توسط ایجاد معادلات ریاضی که بازگشتناپذیر هستند ایجاد میشود.
یکی از مزایای بسیار مهم زنجیرهبلوکی در ارتباط با قراردادهای هوشمند (Smart Contracts) است. این نوع قراردادها که در واقع کدهای کامپیوتری هستند، توافق دوطرفه و بدون واسطه بین یک فروشنده و خریدار هستند. در صورت قصور در انجام تعهدات هر یک از طرفین، طرفی که نتوانسته است تعهدات خود را بهجا آورد، شامل جریمه (مادی یا غیرمادی) میشود.
با این توصیف مشاهده میکنیم یک زنجیره دیجیتالی مجموعهای متشکل از بلوکها است. هر زمان فردی بخواهد یک تراکنش انجام دهد، انگار که یک بلوک ساخته و میخواهد این بلوک را به سایر بلوکها متصل کند و بنابراین حلقهای دیگر به زنجیرهبلوکی اضافه میشود.
هنگامی که یک بلوک جدید ایجاد میشود به انتهای زنجیره اضافه میشود، قابلیت جداناپذیری دارد و به این شکل زنجیره پاره نمیشود. برخلاف بیشتر روشهایی که دادهها در آن نوشته میشوند، در اینجا از ابتدای ایجاد زنجیره تا نقطه جاری هر تراکنشی که انجام شده باشد قابل رویت است.
برای مثال اگر من یک پردازشگر متن داشته باشیم که همانند زنجیرهبلوکی عمل کند، هر تغییری که در این مقاله اعمال شود توسط پردازشگر قابلپیگیری است، به این معنی که هر کسی میتواند مشاهده کند که از ابتدا تا انتهای مقاله چه چیزهایی تغییر پیدا کردهاند. گازمن میگوید: «زنجیرههای بلوکی، شبکههای تراکنشی هستند؛ یک زنجیرهبلوکی یک پایگاهداده امن است که به شکل سراسری در مقیاس جهانی تکثیر میشود. شما میتوانید آن را بهعنوان یک صفحه گسترده امن، تغییرناپذیر و ماندگار در فضای ابری تصور کنید. تنها پروتکل زنجیرهبلوکی که امروزه به شکل فراگیر از آن استفاده میشود و بیتکوین نام دارد برای هشت سال متمادی بدون وقفه در حال اجرا است. عملکرد شبکه فوق به این صورت است که اگر یکی از گرهها آفلاین شود، شبکه میتواند به ثبت تراکنشها بدون لحظهای وقفه ادامه دهد.»
با اینحال، چند زنجیرهبلوکی آزمایشی قرار است به دنیای فناوری معرفی شوند. به طور مثال، شرکت کشتیرانی بینالمللی Maersk با همکاری آیبیام در حال کار روی پروژهای است که به مدیریت زنجیره تأمین در سراسر جهان کمک میکند و قادر است مدارک ثبت شده دهها میلیون کانتینر کشتیرانی در سراسر جهان را ردگیری کند.
در نمونه دیگری خیریه نجات کودکان انگلستان به دنبال ساخت یک گذرنامه بشردوستانه از طریق زنجیرهبلوکی است. خردهفروشی والمارت در چین از زنجیرهبلوکی برای ردگیری زنجیره تأمین مواد غذایی و بررسی وضعیت سلامت و استانداردهای ایمنی آنها استفاده میکند.
اینگونه به نظر میرسد که فناوری فوق موردتوجه شرکتهای بزرگی قرار دارد، بهویژه شرکتهایی که در زمینه خدمات مالی فعالت میکنند. دیوید یانگ، کارمند ارشد فناوری Metro Bank در خصوص مزایای کلیدی فناوری مذکور میگوید: «جدیدترین بانک خردهفروشی انگلستان بهطورجدی درحالتوسعه این فناوری است.»
با این حال، جان پالفریمن مدیر اجرایی زنجیرهبلوکی در بخش رایانش ابری آیبیام میگوید: «ساختار زنجیرهبلوکی بهخودیخود نسبت به ساختارهای دیگر حوزه فناوری امنتر یا غیر امنتر نیست.
جذابیت اصلی زنجیرهبلوکی مزایای امنیتی این فناوری نیست، بلکه برنامههایی است که بهوسیله آن میتوان آنها را فعال کرد. کدی که زنجیرهبلوکی را پشتیبانی میکند نسبتاً جدید و آزمایش نشده است.»
زنجیرهبلوکی چه مزایای امنیتی دارد؟
زنجیرهبلوکی میتواند شکافهایی را که بهواسطه پیادهسازی ضعیف مکانیزمهای امنیتی به وجود آمده و باعث شده در برخی موارد حس بیاعتمادی در ارتباط با یکسری فناوریها به وجود آید، پر کند.
امروزه کارشناسان حوزه امنیت باید فرایند رمزنگاری را به شکل پیشفرض روی همه دستگاهها تنظیم کنند. در مقطع فعلی شما نمیتوانید اطمینان حاصل کنید هنگامی که ایمیلی را برای فرد دیگری ارسال میکنید، شخص ثالثی آن را مشاهده کرده یا خیر.
در برخی موارد ما حتی نمیتوانیم هویت ارسالکننده ایمیل را تأیید کنیم. اما از طریق بهکارگیری روشهایی که بلاکچین ارائه میکند، قادر هستیم تراکنشهای خود را امضا کرده یا اصالت آنها را تأیید کنیم.
درحالیکه امروزه اخبار مرتبط با بلاکچین بیشتر حول محور ارزهای دیجیتالی قرار دارد، اما واقعیت این است که پیادهسازی راهکارهای مبتنی بر بلاکچین باعث میشوند ما به شکل قابلاعتمادتری از سرویسهای دیجیتالی رایج استفاده کنیم.
بزرگترین کاربرد بلاکچین در ارتباط با بخش عمومی است که اجازه میدهد زیرساختهای شهری متمرکز بر شهروند محور بودن را ایجاد کنیم. از آنجایی که امنیت سایبری به یکی از چالشبرانگیزترین بخشهای کسبوکارهای آنلاین تبدیل شده، بسیاری از سازمانهای فناوری اطلاعات به دنبال واکاوی این مسئله هستند که آیا زنجیرهبلوکی میتواند در ایمنتر و قدرتمندتر کردن راهحلهای امنیتی مؤثر واقع شود و اگر پاسخ مثبت است، چگونه این کار را انجام میدهد؟
دکتر خوآو فریرا متخصص امنیت سایبری در دانشگاه Teeside انگلستان بر این باور است که زنجیرهبلوکی دو مزیت کلیدی ثبات و پابرجا ماندن را دارد. آقای فریرا دراینارتباط میگوید: «به لحاظ تئوری، مداخله در دادهها غیرممکن است، شما نمیتوانید یک داده ثبت شده در زنجیرهبلوکی را بهسادگی تغییر دهید، زیرا دادهها یک ساختار هش توزیع شده دارند.
بیشتر حملههای سایبری به دلیل توانایی هکرها در تغییر اطلاعات اتفاق میافتند، زنجیرهبلوکی میتواند برای پیشگیری از بروز چنین اتفاقی مورداستفاده قرار گیرد و همین قابلیت است که باعث شده کارشناسان به فکر بهکارگیری گسترده زنجیرهبلوکی در حوزه امنیت باشند.»
زنجیرهبلوکی از یک الگوریتم اجماع (توافق عام) استفاده میکند و بنابراین هرگونه تغییر در آن باید توسط شبکه مورد تأیید قرار بگیرد که هزینه زیادی به همراه دارد. فریرا میگوید: «برای پیادهسازی هر تغییری باید هزینهای پرداخت شود، بنابراین هرگونه حمله به سرویس مبتنی بر زنجیرهبلوکی با دشواریهای زیادی همراه است، زیرا اگر برای پیادهسازی تغییر نیاز به پرداخت هزینه باشد، در این صورت حملههای سایبری گران تمام میشوند.»
دومین مزیت زنجیرهبلوکی در حوزه فناوری اطلاعات، ریسک پایینتر آن در مواجهه با حملههای انکار سرویس توزیع شده است، زیرا سطح حمله بهجای آنکه متمرکز باشد توزیع شده است. به بیان دقیقتر، سختی و دشواری ویرایش اطلاعات به دلیل ماهیت ذاتی زنجیرهبلوکی، یک زیربنای ارتجاعی در اختیار کسبوکارها قرار میدهد که با اطمینان خاطر به آن تکیه کنند.
دکتر فریرا میگوید: «اگر یک هکر، نسخه زنجیرهبلوکی مرا از میان ببرد، ممکن است من سرویسهایم را از دست بدهم، اما سایر مردم هنوز هم میتوانند از آن استفاده کنند، بنابراین یک حمله انکار سرویس در دنیای زنجیرهبلوکی معنای چندان خاصی ندارد.»
گرت بیکر تحلیلگر شرکت مشاوره فناوری اطلاعات research 451 میگوید: زنجیرهبلوکی یک سامانه غیرمتمرکز است و نسبت به معماریهای فعلی که یک نقطه خرابی (Single Point of Failure) دارند برتری دارد.
ما سازمانهای فعال در زمینه مرجع گواهینامه (CA) را مشاهده کردیم که دچار مخاطرات امنیتی شدهاند و مشاهده کردیم با ازکارافتادن یک ارائهدهنده سامانه نام دامنه چه اتفاقاتی میافتد.
درست همانند حمله باتنت میرای که ضربه سنگینی به شرکت داین (Dyn) وارد کرد. بااینحال، شک دارم که زنجیرهبلوکی بتواند عملکرد بهتری در این زمینه داشته باشد و بتواند استفاده از زیرساخت کلید عمومی (PKI) را با حذف وابستگی به مرجع صدور گواهینامه بهعنوان نقطه مطمئن تسهیل کند.
زنجیرهبلوکی در مقابل اینترنت اشیا
هیچ سازمانی وجود ندارد که امیدوار باشد با استفاده از زنجیرهبلوکی بتواند یکی از بزرگترین دردسرهای حال حاضر صنعت فناوری اطلاعات یعنی ایمنسازی اینترنت اشیا را حل کند. شرکت Isle of Man با همکاری اعضای انجمن زنجیرهبلوکی در حال کار روی پروژهای است تا نشان دهد آیا فناوری فوق میتواند از دستگاههای اینترنت اشیا در برابر حملههای هکری محافظت کند.
برایان دانگن سرپرست عملیات خدمات مالی و بانکداری و توسعه شرکت Isle of Man میگوید: «به دنبال آن هستیم تا یکلایه امنیتی پیرامون دستگاهها اضافه کنیم تا هر دادهای که از خارج به آنها وارد میشود به درون یک شبکه توری (Mesh) هدایت شود و بهدقت در این شبکه تحلیل شود. اگر این شیوه بهدرستی پیادهسازی شود، شرایط مهیا میشود تا الگوی رفتاری بستهها را پیشبینی کرد و هرگونه تغییر در الگوی ساختاری بستهها را بهسرعت شناسایی و به مقابله با آنها پرداخت. با استفاده مستمر از زنجیرهبلوکی به شبکهای از دستگاهها دسترسی پیدا میکنید که زنجیرهبلوکی یکلایه محافظتی پیرامون آنها ایجاد کرده است. آمارها نشان میدهند بخش عمدهای از حملهها به دلیل توانایی هکرها در تغییر اطلاعات انجام میشوند، درحالیکه زنجیرهبلوکی میتواند برای پیشگیری از بروز چنین حملههایی کاملاً مؤثر واقع شود.»
قدرت بیشتر مسئولیت بیشتری به وجود میآورد
قانونگذاران تلاش میکنند همگام با توسعه فناوریهای راهبردی و مهم گام بردارند و قوانین مربوطه را تصویب کنند. بر همین اساس افرادی که فناوری و خدمات زنجیرهبلوکی را برای سازمانها پیادهسازی میکنند نسبت به هرگونه حادثهای مسئول خواهند بود و باید بدانند که چگونه مخاطرات امنیتی ممکن است به زیرساختهای ارتباطی سازمانها آسیب وارد کنند. لوک اسکانلون، وکیل ارشد فناوری در شرکت Pinsent Masons میگوید: «شرکتهای ارائهدهنده خدمات زنجیرهبلوکی باید اطمینان حاصل کنند که درک درستی از فشاری دارند که از سمت قانون و مشتریان به آنها وارد میشود و آنچه در توان دارند برای کاهش ریسک انجام دهند. بدترین حالت برای شرکتها زمانی است که از همسویی با فناوریهای جدید ناتوان هستند، به دلیل اینکه فراهمکنندگان قادر نیستند تضمینی در خصوص ایمن بودن فناوری جدید ارائه دهند.» این موضوع مهم است، زیرا زنجیرهبلوکی مخاطراتی به وجود میآورد. دکتر فریرا میگوید: «هیچ سامانهای وجود ندارد که 100 درصد ایمن باشد. به طور مثال، سرقت بینکوین از کیفهای پول رمزی (Cryptowallet) نمونهای روشن در این زمینه است. خطر کلیدی زنجیرهبلوکی درست مانند فناوریهایی است که جنبه انسانی در آنها تأثیرگذار است. درست است که انتظار داریم کاربران به مدیریت کیفهای پول رمز ارزی خود بپردازند، اما واقعیت این است که مشکلات زیادی در این زمینه وجود دارد، زیرا هکرها میتوانند بهراحتی از طریق مهندسی اجتماعی به سوءاستفاده از افراد بپردازند. در اینجا، هکرها میتوانند بهراحتی به تعداد زیادی از فایلها که آدرس و ماندهحساب شما را بهصورت رمز در خود جایدادهاند دسترسی پیدا کنند. اگر این فایلها را از دست بدهید، هویت، پول و تمام ارزهای رمزنگاری شده را از دست میدهید. حتی شرکتهای ارائهدهنده این خدمات نیز در معرض نفوذهای امنیتی قرار دارند. سال گذشته یک قرارداد هوشمند DAO که مبتنی بر رمزارز اتریوم بود هک شد، بهطوری که باعث خروج 50 میلیون دلار از صندوق سرمایه مجازی شد. اشتباه در نوشتن قراردادهای هوشمند رایج است و هکرها آماده بهرهبرداری از آسیبپذیریهای مستتر در این قراردادها هستند. سازمانهای خودگردان (DAO) افراد خوب و برنامهنویسان متبحر را استخدام میکنند، اما همواره باگهایی وجود دارد که هکرها قادر به سوءاستفاده از آنها هستند.»
برخی از مزایای زنجیرهبلوکی مثل ناشناس ماندن، میتواند بر علیه سازمانها استفاده شود، زیرا هکرها به دنبال پنهانکردن تراکنشهای غیرقانونی مثل پرداختهای باجافزاری هستند. بهکارگیری هویتهای مبتنی بر زنجیرهبلوکی برای کنترل دسترسی به سرویسها خیال کاربرانی که دوست دارند هویتشان ناشناس باقی بماند را آسوده میکند، اما اگر زنجیرهبلوکی دچار شکافی شود و دادهها افشا شوند، آسیب جدی به اعتبار شرکت مسئول وارد میشود. هرچه فناوریها پیچیدهتر شوند، عمق فاجعه بیشتر میشود.
چه آیندهای پیش روی زنجیرهبلوکی و امنیت سایبری است؟
درست در مرحله پیادهسازی، زنجیرهبلوکی و امنیت سایبری در تضاد با یکدیگر قرار میگیرند. اگر یک زنجیرهبلوکی به شکل اشتباهی پیادهسازی شود، ریسک بزرگی را متوجه سازمانها و مشتریان آنها میکند.
فلورینا مالکی از شرکت امنیت فناوری اطلاعات sonicWall میگوید: «این فناوری هنوز بهاندازه کافی ایمن نشده و به بلوغ نرسیده تا نگرانیهای پیرامون امنیت را کم کند و اجازه دهد سازمانها با اطمینان بیشتری به سراغ آن بروند.
کدی که زنجیرهبلوکی را پشتیبانی میکند تقریباً جدید است و در برابر ظرفیتهای بالقوه حملههای هکری به شکل دقیق آزمایش نشده، به همین دلیل هیچ راه قابل اطمینانی برای شناسایی باگها و آسیبپذیریهای ناپیدا در دسترس نیست.»
زنجیرهبلوکی بازتعریف جدیدی از امنیت سایبری نیست، بلکه زیرساختی برای قدرتمندتر کردن امنیت است. با ترکیب آن با راهحلهای کاربردی موجود در زمینه امنیت فناوری اطلاعات، زنجیرهبلوکی میتواند امنیت بیشتری ارائه کند.
هرچه سازمانها سطح دانششان در ارتباط با این فناوری را بیشتر کنند، احتمال حلکردن چالشهای امنیتی توسط زنجیرهبلوکی بهجای پدیدآمدن چالشهای جدید بیشتر میشود