امن شماره 3: تیم های امنیتی | وبلاگ بنیاد اتریوم
در طول سال گذشته، بنیاد اتریوم به طور قابل توجهی تیم خود را از محققان و مهندسان امنیتی اختصاص داده است. اعضا با پیشینههای مختلف از رمزنگاری، معماری امنیتی، مدیریت ریسک، توسعه بهرهبرداری و همچنین کار در تیمهای قرمز و آبی به این گروه پیوستهاند. اعضا از حوزههای مختلف میآیند و روی تأمین امنیت همه
در طول سال گذشته، بنیاد اتریوم به طور قابل توجهی تیم خود را از محققان و مهندسان امنیتی اختصاص داده است. اعضا با پیشینههای مختلف از رمزنگاری، معماری امنیتی، مدیریت ریسک، توسعه بهرهبرداری و همچنین کار در تیمهای قرمز و آبی به این گروه پیوستهاند. اعضا از حوزههای مختلف میآیند و روی تأمین امنیت همه چیز از خدمات اینترنتی که همه ما هر روز به آن وابسته هستیم، تا سیستمهای ملی مراقبتهای بهداشتی و بانکهای مرکزی کار کردهاند.
با نزدیک شدن به The Merge، تلاش زیادی از تیم صرف تجزیه و تحلیل، ممیزی و تحقیق بر روی لایه اجماع به طرق مختلف و همچنین خود The Merge می شود. نمونه کار در زیر آمده است.
ممیزی های پیاده سازی مشتری 🛡️
اعضای تیم پیاده سازی های مختلف مشتری را با ابزارها و تکنیک های مختلف بررسی می کنند.
اسکن خودکار 🤖
هدف اسکنهای خودکار برای پایگاههای کد، یافتن میوههای کم آویزان مانند آسیبپذیریهای وابستگی (و آسیبپذیریهای بالقوه) یا مناطق بهبود در کد است. برخی از ابزارهای مورد استفاده برای تجزیه و تحلیل استاتیک عبارتند از CodeQL، semgrep، ErrorProne و Nosy.
از آنجایی که زبانهای مختلفی بین کلاینتها استفاده میشود، ما از اسکنرهای عمومی و زبان خاص برای پایگاههای کد و تصاویر استفاده میکنیم. اینها از طریق سیستمی به هم متصل می شوند که یافته های جدید را از همه ابزارها به کانال های مربوطه تجزیه و تحلیل و گزارش می کند. این اسکنهای خودکار دریافت سریع گزارشهایی در مورد مسائلی که دشمنان احتمالی احتمالاً به راحتی آنها را پیدا میکنند، ممکن میسازد، بنابراین شانس رفع مشکلات را قبل از سوء استفاده افزایش میدهد.
ممیزی های دستی 🔨
ممیزی دستی اجزای پشته نیز یک تکنیک مهم است. این تلاشها شامل ممیزی وابستگیهای مشترک حیاتی (BLS)، libp2p، عملکردهای جدید در هاردفورکها (مثلاً کمیتههای همگامسازی در Altair)، ممیزی کامل در پیادهسازی مشتری خاص، یا ممیزی L2 و پلها است.
علاوه بر این، زمانی که آسیبپذیریها از طریق برنامه Bounty Bug Ethereum، محققان می توانند مسائل مربوط به همه مشتریان را بررسی کنند تا ببینند آیا آنها نیز تحت تأثیر مشکل گزارش شده قرار دارند یا خیر.
ممیزی شخص ثالث 🧑🔧
در مواقعی، شرکت های شخص ثالث درگیر حسابرسی اجزای مختلف هستند. ممیزی شخص ثالث برای جلب توجه خارجی به مشتریان جدید، مشخصات پروتکل به روز شده، ارتقاء شبکه آینده یا هر چیز دیگری که ارزش بالایی دارد استفاده می شود.
در طول ممیزی شخص ثالث، توسعهدهندگان نرمافزار و محققان امنیتی تیم ما با حسابرسان همکاری میکنند تا در تمام مدت آموزش و کمک کنند.
گیج کننده 🦾
بسیاری از تلاشهای مبهم در حال انجام است که توسط محققان امنیتی ما، اعضای تیمهای مشتری، و همچنین مشارکتکنندگان در اکوسیستم هدایت میشوند. اکثر ابزارها منبع باز هستند و بر روی زیرساخت های اختصاصی اجرا می شوند. فازرها سطوح حمله حیاتی مانند کنترلکنندههای RPC، انتقال حالت و پیادهسازی انتخاب چنگال، و غیره را هدف قرار میدهند. تلاشهای اضافی شامل Nosy Neighbor (تولید مهار فاز خودکار مبتنی بر AST) است که مبتنی بر CI است و از کتابخانه Go Parser ساخته شده است.
شبیه سازی و تست سطح شبکه 🕸️
محققان امنیتی تیم ما ابزارهایی را برای شبیه سازی، آزمایش و حمله به محیط های شبکه کنترل شده می سازند و از آنها استفاده می کنند. این ابزارها میتوانند به سرعت شبکههای آزمایشی محلی و خارجی (“حملهها”) را که تحت پیکربندیهای مختلف اجرا میشوند، بچرخانند تا سناریوهای عجیب و غریبی را آزمایش کنند که کلاینتها باید در برابر آنها سختتر شوند (مانند DDOS، جداسازی همتا، تخریب شبکه).
اتک نت ها یک محیط کارآمد و امن برای آزمایش سریع ایده ها/حملات مختلف در یک محیط خصوصی فراهم می کنند. اتکنتهای خصوصی نمیتوانند توسط دشمنان بالقوه نظارت شوند و به ما اجازه میدهند بدون ایجاد اختلال در تجربه کاربر شبکههای آزمایشی عمومی، چیزهایی را بشکنیم. در این محیطها، ما به طور منظم از تکنیکهای مخرب مانند توقف رشته و پارتیشن بندی شبکه برای گسترش بیشتر سناریوها استفاده میکنیم.
تحقیق تنوع مشتری و زیرساخت 🔬
تنوع مشتری و زیرساخت مورد توجه بسیاری از جامعه قرار گرفته است. ما ابزارهایی برای نظارت بر تنوع از آمار مشتری، سیستم عامل، ISP و خزنده داریم. علاوه بر این، نرخ مشارکت شبکه، ناهنجاریهای زمانبندی گواهی و سلامت عمومی شبکه را تجزیه و تحلیل میکنیم. این اطلاعات است به اشتراک گذاشته شده است در سراسر چندگانه مکان هایی برای برجسته کردن هرگونه خطر بالقوه
برنامه باگ بونتی 🐛
EF در حال حاضر میزبان دو برنامه پاداش باگ است. یکی را هدف قرار می دهد لایه اجرا و دیگری هدف قرار دادن لایه اجماع. اعضای تیم امنیتی گزارشهای دریافتی را نظارت میکنند، برای تأیید صحت و تأثیر آنها کار میکنند و سپس هرگونه مشکلی را در برابر سایر مشتریان بررسی میکنند. اخیراً ما افشای همه موارد را منتشر کردیم آسیب پذیری هایی که قبلا گزارش شده بود.
به زودی، این دو برنامه در یک برنامه ادغام می شوند، پلت فرم کلی بهبود می یابد و پاداش های اضافی برای شکارچیان جایزه در نظر گرفته می شود. به زودی منتظر اطلاعات بیشتر در این مورد باشید!
امنیت عملیاتی 🔒
امنیت عملیاتی شامل تلاش های بسیاری در EF است. به عنوان مثال، نظارت بر دارایی راه اندازی شده است که به طور مداوم زیرساخت ها و دامنه ها را برای آسیب پذیری های شناخته شده رصد می کند.
مانیتورینگ شبکه اتریوم 🩺
یک سیستم جدید نظارت بر شبکه اتریوم در حال توسعه است. این سیستم مشابه a کار می کند SIEM و برای گوش دادن و نظارت بر شبکه اتریوم برای قوانین تشخیص از پیش پیکربندی شده و همچنین تشخیص ناهنجاری پویا که رویدادهای پرت را اسکن می کند ساخته شده است. این سیستم پس از راه اندازی، هشدارهای اولیه را در مورد اختلالات شبکه در حال پیشرفت یا در راه بودن ارائه می دهد.
تحلیل تهدید 🩻
تیم ما یک تجزیه و تحلیل تهدید را با تمرکز بر روی The Merge انجام داد تا مناطقی را شناسایی کند که میتوانند از نظر امنیت بهبود یابند. در این کار، روشهای امنیتی را برای بررسی کد، امنیت زیرساخت، امنیت توسعهدهنده، امنیت ساخت (DAST، SCA و SAST داخلی در CI، و غیره)، امنیت مخزن و موارد دیگر از تیمهای مشتری جمعآوری و ممیزی کردیم. علاوه بر این، این تجزیه و تحلیل چگونگی جلوگیری از اطلاعات نادرست، که ممکن است بلایای طبیعی از آن رخ دهد، و چگونه جامعه ممکن است در سناریوهای مختلف بهبود یابد، بررسی کرد. برخی از تلاشهای مربوط به تمرینهای بازیابی بلایا نیز مورد توجه است.
گروه امنیتی اتریوم کلاینت 🤝
با نزدیک شدن به The Merge، ما یک گروه امنیتی تشکیل دادیم که متشکل از اعضای تیم های مشتری است که هم روی لایه اجرا و هم بر روی لایه اجماع کار می کنند. این گروه به طور منظم برای بحث در مورد موضوعات مرتبط با امنیت مانند آسیب پذیری ها، حوادث، بهترین شیوه ها، کار امنیتی در حال انجام، پیشنهادات و غیره ملاقات خواهد کرد.
واکنش به حادثه 🚒
تلاشهای تیم آبی به پر کردن شکاف بین لایه اجرا و لایه اجماع با نزدیکتر شدن The Merge کمک میکند. اتاقهای جنگ برای واکنش به حوادث در گذشته به خوبی کار میکردند، جایی که چتها با افراد مرتبط در حین حوادث شروع میشد، اما با The Merge پیچیدگی جدیدی به وجود میآید. کارهای بیشتری برای (به عنوان مثال) به اشتراک گذاری ابزار، ایجاد قابلیت های دیباگ و تریاژ اضافی و ایجاد مستندات در حال انجام است.
ممنونم و مشارکت کنید 💪
اینها برخی از تلاشهایی است که در حال حاضر به اشکال مختلف انجام میشود و ما مشتاقانه منتظر هستیم تا در آینده موارد بیشتری را با شما به اشتراک بگذاریم!
اگر فکر میکنید یک آسیبپذیری امنیتی یا هر اشکالی پیدا کردهاید، لطفاً گزارش اشکال را به آن ارسال کنید لایه اجرا یا لایه اجماع برنامه های پاداش باگ! 💜🦄
| آموزش مجازی مدیریت عالی حرفه ای کسب و کار Post DBA + مدرک معتبر قابل ترجمه رسمی با مهر دادگستری و وزارت امور خارجه |  آموزش مجازی مدیریت عالی و حرفه ای کسب و کار DBA+ مدرک معتبر قابل ترجمه رسمی با مهر دادگستری و وزارت امور خارجه |  آموزش مجازی مدیریت کسب و کار MBA+ مدرک معتبر قابل ترجمه رسمی با مهر دادگستری و وزارت امور خارجه |
 مدیریت حرفه ای کافی شاپ |  حقوقدان خبره |  سرآشپز حرفه ای |
 آموزش مجازی تعمیرات موبایل |  آموزش مجازی ICDL مهارت های رایانه کار درجه یک و دو |  آموزش مجازی کارشناس معاملات املاک_ مشاور املاک |
- نظرات ارسال شده توسط شما، پس از تایید توسط مدیران سایت منتشر خواهد شد.
- نظراتی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
- نظراتی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.
ارسال نظر شما
مجموع نظرات : 0 در انتظار بررسی : 0 انتشار یافته : ۰