Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

#CibersegAnd18. La Ciberseguridad en Blockchain.

Oscar Lage, CISO de Tecnalia, realiza esta ponencia "Ciberseguridad en Blockchain", en el marco de las V Jornadas de Ciberseguridad de Andalucía celebradas el 13 de junio 2018.

  • Loggen Sie sich ein, um Kommentare anzuzeigen.

  • Gehören Sie zu den Ersten, denen das gefällt!

#CibersegAnd18. La Ciberseguridad en Blockchain.

  1. 1. La Ciberseguridad en Blockchain Oscar Lage Serrano CISO. Tecnalia
  2. 2. La Ciberseguridad en Blockchain Oscar Lage Serrano oscar.lage@tecnalia.com @Oscar_Lage
  3. 3. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Blockchain como Tecnología
  4. 4. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 4 ▌ Arquitectura de ciberseguridad basada en algoritmos y tecnologías que en conjunto ofrecen por diseño: – No-repudio de las transacciones – Integridad de la información – Tamper Resistant Software – Alta Disponibilidad – Arquitectura descentralizada – Autenticación robusta Cuidado! Blockchain no ofrece confidencialidad por diseño Blockchain como Tecnología
  5. 5. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Visión Blockchain es una de las tecnologías más disruptivas de la actualidad, puede cambiar los procedimientos y negocios tal y como los conocemos a día de hoy. 5 ▌
  6. 6. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 6 ▌ 1er Laboratorio blockchain industrial de europa
  7. 7. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Análisis de incidentes
  8. 8. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 8 ▌ Clasificación por activos
  9. 9. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 9 ▌ Clasificación por vector
  10. 10. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Retos de Ciberseguridad
  11. 11. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 11 ▌ Retos Tradicionales
  12. 12. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 12 ▌ Retos tradicionales de cualquier SW: Injection, Broken Authentication and Session Management, Cross-Site Scriptiong (XSS), Broken Access Control, Security Misconfiguration, Sensitive Data Exposure, Insufficient Attack Protection, Cross-Site Request Forgery (CSRF), Using Components with Known Vulnerabilities, Unprotected APIs, etc. Retos tradicionales
  13. 13. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 13 ▌ Retos tradicionales Retos tradicionales asociados a la criptografía que aplican a la Blockchain: • Gestión de claves • Custodia • Gestión pérdida y robo • Generación de claves
  14. 14. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 14 ▌ Retos Específicos de Blockchain
  15. 15. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 15 ▌ Consensus hijack: • Ataque del 51% en blockchains basadas en prueba de trabajo • Un atacante podría: • Omitir/Alterar transacciones • Ejecutar el temido doble uso. • Crear cadenas alternativas con información manipulada Retos Específicos de Blockchain
  16. 16. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 16 ▌ Sidechains (cadenas laterales) • Pueden tener un soporte menor (menor cómputo o menor interés de un gran número de usuarios por mantener la operación) • Gateways pueden suponer puntos de fallo o pérdida de activos por un bloqueo no válido en la cadena principal. • Exceso de transacciones si se cierra (resuelve) una sidechain o si está fuera de servicio Retos Específicos de Blockchain
  17. 17. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 17 ▌ Blockchains privadas: • Pueden llegar a ser más vulnerables (menos puntos de ataque para lograr un Consensus Hijack) • En algunos casos la gestión de la identidad puede ser centralizada Distributed Denial of Service (DDoS) • En Marzo 2016 ya ocurrió el primer ataque DDoS en Bitcoin debido a una wallets enviando transacciones incorrectas con grandes fees asociados a las mismas. • Las cadenas privadas son menos vulnerables porque pueden bloquear o ignorar por consenso al atacante. Retos Específicos de Blockchain
  18. 18. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 18 ▌ Vulnerabilidades de los Smart Contract: • Los contratos tienen acceso a la información y les delegamos el poder de realizar operaciones automáticamente. • Peter Vesseness encontró hace meses vulnerabilidades en numerosas plantillas de contratos para Ethereum. En su análisis de contratos más populares disponibles en https://dapps.ethercasts.com/ encontró un promedio de 100 bugs por cada 1000 líneas Retos Específicos de Blockchain
  19. 19. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 19 ▌ Los fallos más comunes de los contratos: • Pérdida del control sobre los activos del contrato (bloqueo de bienes) • Posibilidad de sustracción de los fondos (robo de bienes) • Código que no realiza las funciones que deberían • Uso ineficiente del procesamiento (gasto de GAS) Retos Específicos de Blockchain
  20. 20. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Buenas Prácticas
  21. 21. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 21 ▌ Gestión de claves • Almacenamiento seguro de claves (Elementos seguros, HW, cifrado, etc.) • Contemplar el uso de agentes/técnicas de recuperación de contraseñas • Implementación de sistemas multifirma para operaciones sensibles • Generación segura de claves y tamaño/cripto adecuada usando estándares y buenas prácticas tradicionales (IETF/RFC 4107 cryptographic key management guidelines) Buenas Prácticas
  22. 22. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 22 ▌ Privacidad  Cifrado de las transacciones para que sólo terceros autorizados puedan acceder a la información  Uso de algoritmos de cifrado basado en atributos (Attribute- Based Encryption)  Técnicas de sharding (limitando los nodos que verifican ciertas transacciones)  Técnicas de pruning para eliminar el cuerpo de los mensajes en los bloques Buenas Prácticas
  23. 23. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 23 ▌ Código  Implantar procedimientos de auditoría de código para las aplicaciones Blockchain y librerías asociadas o utilizar servicios de terceros y prácticas de desarrollo seguro de software  Analizar meticulosamente la custodia de claves de wallets y librerías cliente  Estandarización de funciones habituales en librerías Buenas Prácticas
  24. 24. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 24 ▌ Red  Monitorización de incrementos de capacidad de cómputo de nodos y su posible aumento de resolución de bloques.  Restringir qué nodos pueden propagar nuevas transacciones para su validación  Creación de una buena y transparente política (criterios) para la aceptación de nuevos miembros, así como la revocación de los mismos (REDES PRIVADAS) Buenas Prácticas
  25. 25. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage “Estar preparado es la mitad de la victoria” Miguel de Cervantes
  26. 26. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Oscar Lage Serrano oscar.lage@tecnalia.com @Oscar_Lage Muchas gracias por su atención

×