امن شماره 3: تیم های امنیتی | وبلاگ بنیاد اتریوم

تحریریه
26 آبان 1401
دقیقه زمان برای مطالعه

در طول سال گذشته، بنیاد اتریوم به طور قابل توجهی تیم خود را از محققان و مهندسان امنیتی اختصاص داده است. اعضا با پیشینه‌های مختلف از رمزنگاری، معماری امنیتی، مدیریت ریسک، توسعه بهره‌برداری و همچنین کار در تیم‌های قرمز و آبی به این گروه پیوسته‌اند. اعضا از حوزه‌های مختلف می‌آیند و روی تأمین امنیت همه چیز از خدمات اینترنتی که همه ما هر روز به آن وابسته هستیم، تا سیستم‌های ملی مراقبت‌های بهداشتی و بانک‌های مرکزی کار کرده‌اند.

با نزدیک شدن به The Merge، تلاش زیادی از تیم صرف تجزیه و تحلیل، ممیزی و تحقیق بر روی لایه اجماع به طرق مختلف و همچنین خود The Merge می شود. نمونه کار در زیر آمده است.

ممیزی های پیاده سازی مشتری 🛡️

اعضای تیم پیاده سازی های مختلف مشتری را با ابزارها و تکنیک های مختلف بررسی می کنند.

اسکن خودکار 🤖

هدف اسکن‌های خودکار برای پایگاه‌های کد، یافتن میوه‌های کم آویزان مانند آسیب‌پذیری‌های وابستگی (و آسیب‌پذیری‌های بالقوه) یا مناطق بهبود در کد است. برخی از ابزارهای مورد استفاده برای تجزیه و تحلیل استاتیک عبارتند از CodeQL، semgrep، ErrorProne و Nosy.

از آنجایی که زبان‌های مختلفی بین کلاینت‌ها استفاده می‌شود، ما از اسکنرهای عمومی و زبان خاص برای پایگاه‌های کد و تصاویر استفاده می‌کنیم. اینها از طریق سیستمی به هم متصل می شوند که یافته های جدید را از همه ابزارها به کانال های مربوطه تجزیه و تحلیل و گزارش می کند. این اسکن‌های خودکار دریافت سریع گزارش‌هایی در مورد مسائلی که دشمنان احتمالی احتمالاً به راحتی آن‌ها را پیدا می‌کنند، ممکن می‌سازد، بنابراین شانس رفع مشکلات را قبل از سوء استفاده افزایش می‌دهد.

ممیزی های دستی 🔨

ممیزی دستی اجزای پشته نیز یک تکنیک مهم است. این تلاش‌ها شامل ممیزی وابستگی‌های مشترک حیاتی (BLS)، libp2p، عملکردهای جدید در هاردفورک‌ها (مثلاً کمیته‌های همگام‌سازی در Altair)، ممیزی کامل در پیاده‌سازی مشتری خاص، یا ممیزی L2 و پل‌ها است.

علاوه بر این، زمانی که آسیب‌پذیری‌ها از طریق برنامه Bounty Bug Ethereum، محققان می توانند مسائل مربوط به همه مشتریان را بررسی کنند تا ببینند آیا آنها نیز تحت تأثیر مشکل گزارش شده قرار دارند یا خیر.

ممیزی شخص ثالث 🧑‍🔧

در مواقعی، شرکت های شخص ثالث درگیر حسابرسی اجزای مختلف هستند. ممیزی شخص ثالث برای جلب توجه خارجی به مشتریان جدید، مشخصات پروتکل به روز شده، ارتقاء شبکه آینده یا هر چیز دیگری که ارزش بالایی دارد استفاده می شود.

در طول ممیزی شخص ثالث، توسعه‌دهندگان نرم‌افزار و محققان امنیتی تیم ما با حسابرسان همکاری می‌کنند تا در تمام مدت آموزش و کمک کنند.

گیج کننده 🦾

بسیاری از تلاش‌های مبهم در حال انجام است که توسط محققان امنیتی ما، اعضای تیم‌های مشتری، و همچنین مشارکت‌کنندگان در اکوسیستم هدایت می‌شوند. اکثر ابزارها منبع باز هستند و بر روی زیرساخت های اختصاصی اجرا می شوند. فازرها سطوح حمله حیاتی مانند کنترل‌کننده‌های RPC، انتقال حالت و پیاده‌سازی انتخاب چنگال، و غیره را هدف قرار می‌دهند. تلاش‌های اضافی شامل Nosy Neighbor (تولید مهار فاز خودکار مبتنی بر AST) است که مبتنی بر CI است و از کتابخانه Go Parser ساخته شده است.

شبیه سازی و تست سطح شبکه 🕸️

محققان امنیتی تیم ما ابزارهایی را برای شبیه سازی، آزمایش و حمله به محیط های شبکه کنترل شده می سازند و از آنها استفاده می کنند. این ابزارها می‌توانند به سرعت شبکه‌های آزمایشی محلی و خارجی (“حمله‌ها”) را که تحت پیکربندی‌های مختلف اجرا می‌شوند، بچرخانند تا سناریوهای عجیب و غریبی را آزمایش کنند که کلاینت‌ها باید در برابر آن‌ها سخت‌تر شوند (مانند DDOS، جداسازی همتا، تخریب شبکه).

اتک نت ها یک محیط کارآمد و امن برای آزمایش سریع ایده ها/حملات مختلف در یک محیط خصوصی فراهم می کنند. اتک‌نت‌های خصوصی نمی‌توانند توسط دشمنان بالقوه نظارت شوند و به ما اجازه می‌دهند بدون ایجاد اختلال در تجربه کاربر شبکه‌های آزمایشی عمومی، چیزهایی را بشکنیم. در این محیط‌ها، ما به طور منظم از تکنیک‌های مخرب مانند توقف رشته و پارتیشن بندی شبکه برای گسترش بیشتر سناریوها استفاده می‌کنیم.

تحقیق تنوع مشتری و زیرساخت 🔬

تنوع مشتری و زیرساخت مورد توجه بسیاری از جامعه قرار گرفته است. ما ابزارهایی برای نظارت بر تنوع از آمار مشتری، سیستم عامل، ISP و خزنده داریم. علاوه بر این، نرخ مشارکت شبکه، ناهنجاری‌های زمان‌بندی گواهی و سلامت عمومی شبکه را تجزیه و تحلیل می‌کنیم. این اطلاعات است به اشتراک گذاشته شده است در سراسر چندگانه مکان هایی برای برجسته کردن هرگونه خطر بالقوه

برنامه باگ باونتی 🐛

EF در حال حاضر میزبان دو برنامه پاداش باگ است. یکی را هدف قرار می دهد لایه اجرا و دیگری هدف قرار دادن لایه اجماع. اعضای تیم امنیتی گزارش‌های دریافتی را نظارت می‌کنند، برای تأیید صحت و تأثیر آن‌ها کار می‌کنند و سپس هرگونه مشکلی را در برابر سایر مشتریان بررسی می‌کنند. اخیراً ما افشای همه موارد را منتشر کردیم آسیب پذیری هایی که قبلا گزارش شده بود.

به زودی، این دو برنامه در یک برنامه ادغام می شوند، پلت فرم کلی بهبود می یابد و پاداش های اضافی برای شکارچیان جایزه در نظر گرفته می شود. به زودی منتظر اطلاعات بیشتر در این مورد باشید!

امنیت عملیاتی 🔒

امنیت عملیاتی شامل تلاش های بسیاری در EF است. به عنوان مثال، نظارت بر دارایی راه اندازی شده است که به طور مداوم زیرساخت ها و دامنه ها را برای آسیب پذیری های شناخته شده رصد می کند.

مانیتورینگ شبکه اتریوم 🩺

یک سیستم جدید نظارت بر شبکه اتریوم در حال توسعه است. این سیستم مشابه a کار می کند SIEM و برای گوش دادن و نظارت بر شبکه اتریوم برای قوانین تشخیص از پیش پیکربندی شده و همچنین تشخیص ناهنجاری پویا که رویدادهای پرت را اسکن می کند ساخته شده است. این سیستم پس از راه اندازی، هشدارهای اولیه را در مورد اختلالات شبکه در حال پیشرفت یا در راه بودن ارائه می دهد.

تحلیل تهدید 🩻

تیم ما یک تجزیه و تحلیل تهدید را با تمرکز بر روی The Merge انجام داد تا مناطقی را شناسایی کند که می‌توانند از نظر امنیت بهبود یابند. در این کار، ما اقدامات امنیتی را برای بررسی کد، امنیت زیرساخت، امنیت توسعه‌دهنده، امنیت ساخت (DAST، SCA و SAST داخلی در CI، و غیره)، امنیت مخزن و موارد دیگر از تیم‌های مشتری جمع‌آوری و ممیزی کردیم. علاوه بر این، این تجزیه و تحلیل چگونگی جلوگیری از اطلاعات نادرست، حوادثی که ممکن است رخ دهد و اینکه چگونه جامعه ممکن است در سناریوهای مختلف بهبود یابد را مورد بررسی قرار داد. برخی از تلاش‌های مربوط به تمرین‌های بازیابی بلایا نیز مورد توجه است.

گروه امنیتی اتریوم کلاینت 🤝

با نزدیک شدن به The Merge، ما یک گروه امنیتی تشکیل دادیم که متشکل از اعضای تیم های مشتری است که هم روی لایه اجرا و هم بر روی لایه اجماع کار می کنند. این گروه به طور منظم برای بحث در مورد مسائل مربوط به امنیت مانند آسیب پذیری ها، حوادث، بهترین شیوه ها، کار امنیتی در حال انجام، پیشنهادات و غیره ملاقات خواهد کرد.

واکنش به حادثه 🚒

تلاش‌های تیم آبی به پر کردن شکاف بین لایه اجرا و لایه اجماع با نزدیک‌تر شدن The Merge کمک می‌کند. اتاق‌های جنگ برای واکنش به حوادث در گذشته به خوبی کار می‌کردند، جایی که چت‌ها با افراد مرتبط در طول حوادث به وجود می‌آمد، اما با The Merge پیچیدگی جدیدی به وجود می‌آید. کار بیشتر برای (به عنوان مثال) به اشتراک گذاری ابزار، ایجاد قابلیت های دیباگ و تریاژ اضافی و ایجاد مستندات در حال انجام است.

ممنونم و مشارکت کنید 💪

اینها برخی از تلاش‌هایی است که در حال حاضر به اشکال مختلف انجام می‌شود و ما مشتاقانه منتظر هستیم تا در آینده موارد بیشتری را با شما به اشتراک بگذاریم!

اگر فکر می‌کنید یک آسیب‌پذیری امنیتی یا هر اشکالی پیدا کرده‌اید، لطفاً گزارش اشکال را به آن ارسال کنید لایه اجرا یا لایه اجماع برنامه های پاداش باگ! 💜🦄





منبع

0 0 رای
امتیاز خود را ثبت کنید
guest
0 دیدگاه بیان شده
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها
Select the fields to be shown. Others will be hidden. Drag and drop to rearrange the order.
  • تصویر
  • SKU
  • نمره
  • قیمت
  • موجود
  • Availability
  • توضیح
  • عرض
  • اندازه
  • Attributes
  • Custom fields
مقایسه
preloader