Выбрать страницу

Создатель URI, URL, HTTP, HTML и Всемирной паутины Тим Бернерс-Ли ввел термин Web 3.0 для обозначения сети, основанной на данных, которые могут обрабатывать не только люди, но и машины.

«Если вам что-то предлагают бесплатно, значит товар – это вы» — истина, которую вынуждены были принять многие пользователи Интернета. Ключевое преимущество Web 3.0 заключается в том, что он полностью меняет способ, которым Web 2.0 превратила пользователя в товар. Передавая данные обратно в руки тех, кто ими владеет, децентрализованная сеть дает пользователям возможность определять, как и с кем ими можно делиться. Но значит ли это, что в Web 3.0 проблемы с безопасностью полностью устранены? Есть большие сомнения…

Как в Web 1.0, так и в Web 2.0 модели безопасности менялись вместе с архитектурой приложений. Протокол Secure Sockets Layer (SSL) был впервые применен компанией Netscape в Web 1.0 для обеспечения безопасной связи между клиентом и сервером. Доверенные посредники Web 2.0, такие как Google, Microsoft, Amazon и центры сертификации, сыграли центральную роль в реализации Transport Layer Security (TLS), преемника SSL.

То же самое произойдет и с Web 3.0,
считает Вэй Лиен Данг, руководитель инвестиционной компании Unusual Ventures. Это основная причина, по которой инвестиции в безопасность Web 3.0 в прошлом году увеличились более чем в десять раз и превысили миллиард долларов .

Так, успех Web 3.0 будет зависеть от инноваций, позволяющих решать новые проблемы безопасности, создаваемые различными архитектурами приложений. В Web 3.0 децентрализованные приложения или dApps создаются без опоры на традиционную логику приложений и уровни базы данных, которые существуют в Web 2.0. Вместо этого для управления используются блокчейн, ноды и смарт-контракты.

Пользователи по-прежнему получают доступ к внешнему интерфейсу, который подключается к серверам для обновления данных. Эти действия требуют, чтобы пользователи подписывали транзакции, используя свои закрытые ключи, обычно привязанные к программному кошельку, модель, которая предназначена для сохранения пользовательского контроля и конфиденциальности. Транзакции в блокчейн полностью прозрачны, общедоступны и неизменяемы.

Как и любая система, эта конструкция имеет проблемы с безопасностью. Блокчейн не требует доверия к субъектам, как в Web 2.0, но делать обновления для решения проблем безопасности сложнее. Пользователи могут контролировать идентификацию, но не существует посредников, которые могли бы предоставить помощь в случае атак или компрометации ключей (например, как провайдеры Web 2.0 могут вернуть украденные средства или сбросить пароли).

Есть
много вопросов к безопасности Web 3.0, которые беспокоят сообщество.

Качество данных. Если Web 1.0 полагался на репутацию компаний, то Web 2.0 снизил качество данных, что привело к огромному количеству дезинформации в Интернете. Будет ли Web 3.0 включать проверку точности?

Манипуляция данными. Когда Microsoft решила обучить своего чат-бота Tay, позволив ему учиться на Twitter, люди намеренно отправляли вредоносные твиты, которые обучали машину расизму. Представьте, что может сделать национальное государство, чтобы разрушить мир, передав машине неверные данные или изменив значение слов. Как специалисты по кибербезопасности будут находить, блокировать и удалять их?

Доступность Web 3.0. Если наши системы зависят от данных, что происходит, когда эти данные недоступны? Интернет сегодня полон битых ссылок. Машины должны будут либо делать локальные копии всего, что есть в Интернете, либо извлекать информацию по запросу, как, например, в Web 2.0. Это может увеличить зависимость от доступности систем, которые ИТ-команды не контролируют.

Превентивная защита

Первые версии SSL/TLS имели критические уязвимости. Ранние инструменты безопасности были в лучшем случае рудиментарными и только со временем стали более надежными.

Но если в Web 2.0 существенная часть модели безопасности связана с реагированием на инциденты, то в Web 3.0, транзакции не могут быть изменены после выполнения, поэтому необходимы превентивные механизмы. Другими словами, безопасность должна быть эффективна для предотвращения.

Это означает, что сообщество Web 3.0 должно выяснить, как лучше всего технически устранить системные недостатки, чтобы предотвратить новые векторы атак, которые нацелены на все, от криптографических примитивов до уязвимостей смарт-контрактов. Компании занимающиеся безопасностью блокчейн, такие как Certik, Forta, Slithe и Securify используют технологии искусственного интеллекта для защиты и мониторинга протоколов и смарт-контрактов, так же как их традиционные коллеги занимаются сканированием кода и тестированием безопасности приложений, разработанных для Web 1.0 и Web 2.0.

Существуют как минимум четыре инициативы, которые будут продвигать превентивную модель безопасности Web 3.0.

Достоверные данные об уязвимостях. Необходим надежный источник информации об обнаруженных уязвимостях Web 3.0. Сегодня основную информацию предоставляет Национальная база данных уязвимостей (National Vulnerability Database). Web 3.0 нуждается в эквиваленте. На данный момент неполная информация разбросана по разным местам, таким как SWC Registry, Rekt, Smart Contract Attack Vectors и DeFi Threat Matrix. Для выявления новых уязвимостей нужны специальные программы вознаграждения.

Модели принятия решений. Модель принятия решений для в Web 3.0 в настоящее время неизвестна. Децентрализация может привести к серьезным последствиям для пользователей. Такие примеры, как недавняя уязвимость Log4j, являются предостережением для всех.

Необходимо понимать, как децентрализованные автономные организации (DAO), эксперты по безопасности, поставщики ПО, такие как Alchemy и Infura планируют сотрудничество в решении возникающих проблем. В качестве образца можно взять то, как большие сообщества Open Source сформировали консультативные группы OpenSSF и CNCF и установили правила для решения проблем безопасности.

Аутентификация и подпись. Большинство децентрализованных приложений, в том числе самые известные, сегодня не аутентифицируют и не подписывают свои ответы на запросы. Это означает, что когда программный кошелек пользователя извлекает данные из этих приложений, существует пробел в проверке того, что ответ исходит от настоящего приложения и что данные не были каким-либо образом подделаны.

Если в приложениях не используется базовое обеспечение безопасности, пользователи не смогут сами определить уровень своей защиты. Как минимум, должны быть более эффективные методы выявления рисков.

Простое управление ключами под контролем пользователя. Криптографические ключи известны своей сложностью в управлении. Они лежат в основе способности пользователей совершать транзакции в парадигме Web 3.0.

Сложность и риск, связанные с управлением закрытыми ключами, являются основным фактором, который побуждает пользователей выбирать hosted wallet – кошельки, управляемые третьей стороной, вместо некастодиальных (non-custodial). Однако «горячие» кошельки приводят к компромиссу: за ними стоят «посредники», такие как CoinBase, которые ограничивают возможности использовать все, что может предложить Web 3.0.

Исследования

В сентября Brave Research опубликовала
технический отчет о проблемах конфиденциальности и безопасности Web 3.0. Она составила список из 78 децентрализованных финансовых сервисов (DeFi) и создала сканер для анализа этих сервисов на предмет проблем безопасности и конфиденциальности.

Исследователи обнаружили, что некоторые сайты DeFi полагаются на третьих лиц и иногда даже передают им адрес Ethereum. Утечка адреса Ethereum в Google особенно проблематична, потому что у компании, скорее всего, уже есть персональные данные пользователя, которые она может связать с адресом Ethereum, а он затем может быть связан с историей транзакций в блокчейн. Google, будучи рекламным бизнесом, заинтересован в монетизации этих данных.

Было также обнаружено, что многие сайты встраивают сторонние скрипты, что всегда представляет собой угрозу безопасности, но этот риск особенно заметен в DeFi, учитывая, что на карту поставлены средства, а сторонние скрипты могут заниматься фишингом, инициируя мошеннические транзакции кошелька, чтобы повысить вероятность того, что пользователь примет их. Среди 78 проанализированных сервисов DeFi 48 (66%) встраивают как минимум один сторонний скрипт от третьих сторон. Неудивительно, что присутствие Google среди этих скриптов широко распространено: 41 сервис DeFi (56%) встраивает как минимум один скрипт, предоставленный Google.

***

Проблемы, которые создает централизованная сеть, не новость. Нарушения конфиденциальности, неправомерное использование пользовательской информации и монополии на данные находятся в центре внимания всего мира. Правительства пытаются обуздать технологических гигантов с помощью новых правил, в то время как сами компании также предпринимают шаги по защите данных, чтобы восстановить доверие потребителей. Сегодня одной из самых обнадеживающих перспектив является то, что инновации в области безопасности Web 3.0 проходят открыто, а это вполне может привести к творческим решениям.