ایمن شماره 3: تیم های امنیتی | وبلاگ بنیاد اتریوم
در طول سال گذشته، بنیاد اتریوم به طور قابل توجهی تیم خود را از محققان و مهندسان امنیتی اختصاص داده است. اعضا با پیشینههای مختلف از رمزنگاری، معماری امنیتی، مدیریت ریسک، توسعه بهرهبرداری و همچنین کار بر روی تیمهای قرمز و آبی به این گروه پیوستهاند. اعضا از حوزههای مختلفی میآیند و روی ایمنسازی همه
در طول سال گذشته، بنیاد اتریوم به طور قابل توجهی تیم خود را از محققان و مهندسان امنیتی اختصاص داده است. اعضا با پیشینههای مختلف از رمزنگاری، معماری امنیتی، مدیریت ریسک، توسعه بهرهبرداری و همچنین کار بر روی تیمهای قرمز و آبی به این گروه پیوستهاند. اعضا از حوزههای مختلفی میآیند و روی ایمنسازی همه چیز از خدمات اینترنتی که همه ما هر روز به آن وابسته هستیم، تا سیستمهای ملی مراقبتهای بهداشتی و بانکهای مرکزی کار کردهاند.
با نزدیک شدن به The Merge، تلاش زیادی از تیم صرف تجزیه و تحلیل، ممیزی و تحقیق بر روی لایه اجماع به طرق مختلف و همچنین خود The Merge می شود. نمونه کار در زیر آمده است.
ممیزی های پیاده سازی مشتری 🛡️
اعضای تیم پیاده سازی های مختلف مشتری را با ابزارها و تکنیک های مختلف بررسی می کنند.
اسکن خودکار 🤖
هدف اسکنهای خودکار برای پایگاههای کد، یافتن میوههای کم آویزان مانند آسیبپذیریهای وابستگی (و آسیبپذیریهای احتمالی) یا مناطق بهبود در کد است. برخی از ابزارهای مورد استفاده برای تجزیه و تحلیل استاتیک عبارتند از CodeQL، semgrep، ErrorProne و Nosy.
از آنجایی که زبانهای مختلفی بین کلاینتها استفاده میشود، ما از اسکنرهای عمومی و خاص زبان برای پایگاههای کد و تصاویر استفاده میکنیم. اینها از طریق سیستمی که یافتههای جدید را از همه ابزارها به کانالهای مربوطه تجزیه و تحلیل و گزارش میکند، به هم متصل میشوند. این اسکنهای خودکار دریافت سریع گزارشهایی در مورد مسائلی که دشمنان احتمالی احتمالاً به راحتی آنها را پیدا میکنند، ممکن میسازد، بنابراین شانس رفع مشکلات را قبل از سوء استفاده افزایش میدهد.
ممیزی های دستی 🔨
ممیزی دستی اجزای پشته نیز یک تکنیک مهم است. این تلاشها شامل ممیزی وابستگیهای مشترک حیاتی (BLS)، libp2p، عملکرد جدید در هاردفورکها (مثلاً کمیتههای همگامسازی در Altair)، ممیزی کامل در پیادهسازی مشتری خاص، یا ممیزی L2 و پلها است.
علاوه بر این، زمانی که آسیبپذیریها از طریق برنامه Ethereum Bug Bounty گزارش میشوند، محققان میتوانند مشکلات را در برابر همه مشتریان بررسی کنند تا ببینند آیا آنها نیز تحت تأثیر مشکل گزارششده قرار میگیرند یا خیر.
ممیزی شخص ثالث 🧑🔧
در مواقعی، شرکت های شخص ثالث درگیر حسابرسی اجزای مختلف هستند. ممیزی شخص ثالث برای جلب توجه خارجی به مشتریان جدید، مشخصات پروتکل به روز شده، ارتقاء شبکه آینده یا هر چیز دیگری که ارزش بالایی دارد، استفاده می شود.
در طول ممیزی شخص ثالث، توسعهدهندگان نرمافزار و محققان امنیتی تیم ما با حسابرسان همکاری میکنند تا در تمام این مدت آموزش و کمک کنند.
گیج کننده 🦾
بسیاری از تلاشهای مبهم در حال انجام است که توسط محققان امنیتی ما، اعضای تیمهای مشتری، و همچنین مشارکتکنندگان در اکوسیستم هدایت میشوند. اکثر ابزارها منبع باز هستند و بر روی زیرساخت های اختصاصی اجرا می شوند. فازرها سطوح حمله حیاتی مانند کنترلکنندههای RPC، انتقال حالت و پیادهسازی انتخاب چنگال، و غیره را هدف قرار میدهند. تلاشهای اضافی شامل Nosy Neighbor (تولید مهار فاز خودکار مبتنی بر AST) است که مبتنی بر CI است و از کتابخانه Go Parser ساخته شده است.
شبیه سازی و تست سطح شبکه 🕸️
محققان امنیتی تیم ما ابزارهایی را برای شبیه سازی، آزمایش و حمله به محیط های شبکه کنترل شده می سازند و از آنها استفاده می کنند. این ابزارها میتوانند به سرعت شبکههای آزمایشی محلی و خارجی («حملهها») را که تحت پیکربندیهای مختلف اجرا میشوند، بچرخانند تا سناریوهای عجیب و غریبی را که کلاینتها باید در برابر آنها سختتر شوند (مانند DDOS، جداسازی همتا، تخریب شبکه) آزمایش کنند.
Attacknet ها یک محیط کارآمد و امن برای آزمایش سریع ایده ها/حملات مختلف در یک محیط خصوصی فراهم می کنند. اتکنتهای خصوصی نمیتوانند توسط دشمنان بالقوه نظارت شوند و به ما اجازه میدهند بدون ایجاد اختلال در تجربه کاربر شبکههای آزمایشی عمومی، چیزهایی را بشکنیم. در این محیطها، ما به طور منظم از تکنیکهای مخرب مانند توقف رشته و پارتیشنبندی شبکه برای گسترش بیشتر سناریوها استفاده میکنیم.
تحقیق تنوع مشتری و زیرساخت 🔬
تنوع مشتری و زیرساخت مورد توجه بسیاری از جامعه قرار گرفته است. ما ابزارهایی برای نظارت بر تنوع از آمار مشتری، سیستم عامل، ISP و خزنده داریم. علاوه بر این، نرخ مشارکت شبکه، ناهنجاریهای زمانبندی گواهی و سلامت عمومی شبکه را تجزیه و تحلیل میکنیم. این اطلاعات به اشتراک گذاشته شده است چندگانه مکان هایی برای برجسته کردن هرگونه خطر بالقوه
برنامه باگ باونتی 🐛
EF در حال حاضر میزبان دو برنامه پاداش باگ است. یکی لایه اجرایی و دیگری لایه اجماع را هدف قرار می دهد. اعضای تیم امنیتی گزارشهای دریافتی را نظارت میکنند، برای تأیید صحت و تأثیر آنها کار میکنند، و سپس هر گونه مشکلی را در برابر سایر مشتریان بررسی میکنند. اخیراً، ما افشای تمام آسیبپذیریهای گزارش شده قبلی را منتشر کردیم.
به زودی، این دو برنامه در یک برنامه ادغام می شوند، پلت فرم کلی بهبود می یابد و پاداش های اضافی برای شکارچیان جایزه در نظر گرفته می شود. به زودی منتظر اطلاعات بیشتر در این مورد باشید!
امنیت عملیاتی 🔒
امنیت عملیاتی شامل تلاش های بسیاری در EF است. به عنوان مثال، نظارت بر دارایی راه اندازی شده است که به طور مداوم زیرساخت ها و دامنه ها را برای آسیب پذیری های شناخته شده رصد می کند.
مانیتورینگ شبکه اتریوم 🩺
یک سیستم جدید نظارت بر شبکه اتریوم در حال توسعه است. این سیستم شبیه به SIEM کار می کند و برای گوش دادن و نظارت بر شبکه اتریوم برای قوانین تشخیص از پیش پیکربندی شده و همچنین تشخیص ناهنجاری پویا که رویدادهای پرت را اسکن می کند ساخته شده است. این سیستم پس از راه اندازی، اخطارهای اولیه در مورد اختلالات شبکه در حال پیشرفت یا در حال ظهور را ارائه می دهد.
تحلیل تهدید 🩻
تیم ما تجزیه و تحلیل تهدید را با تمرکز بر روی The Merge انجام داد تا مناطقی را شناسایی کند که می توانند از نظر امنیت بهبود یابند. در این کار، ما اقدامات امنیتی را برای بررسی کد، امنیت زیرساخت، امنیت توسعهدهنده، امنیت ساخت (DAST، SCA و SAST داخلی در CI، و غیره)، امنیت مخزن و موارد دیگر از تیمهای مشتری جمعآوری و ممیزی کردیم. علاوه بر این، این تجزیه و تحلیل چگونگی جلوگیری از اطلاعات نادرست، که ممکن است بلایای طبیعی از آن رخ دهد، و چگونه جامعه ممکن است در سناریوهای مختلف بهبود یابد، بررسی کرد. برخی از تلاشهای مربوط به تمرینهای بازیابی بلایا نیز مورد توجه است.
گروه امنیتی مشتری اتریوم 🤝
با نزدیک شدن به The Merge، ما یک گروه امنیتی تشکیل دادیم که متشکل از اعضای تیم های مشتری است که هم روی لایه اجرا و هم بر روی لایه اجماع کار می کنند. این گروه به طور منظم برای بحث در مورد موضوعات مرتبط با امنیت مانند آسیب پذیری ها، حوادث، بهترین شیوه ها، کار امنیتی در حال انجام، پیشنهادات و غیره ملاقات خواهد کرد.
واکنش به حادثه 🚒
تلاشهای تیم آبی به پر کردن شکاف بین لایه اجرا و لایه اجماع با نزدیکتر شدن The Merge کمک میکند. اتاقهای جنگ برای واکنش به حوادث در گذشته به خوبی کار میکردند، جایی که چتها با افراد مرتبط در حین حوادث شروع میشد، اما با The Merge پیچیدگی جدیدی به وجود میآید. کارهای بیشتری برای (به عنوان مثال) به اشتراک گذاری ابزار، ایجاد قابلیت های دیباگ و تریاژ اضافی و ایجاد مستندات در حال انجام است.
با تشکر از شما و مشارکت 💪
اینها برخی از تلاشهایی است که در حال حاضر به اشکال مختلف انجام میشود، و ما مشتاقانه منتظریم تا در آینده موارد بیشتری را با شما به اشتراک بگذاریم!
اگر فکر میکنید یک آسیبپذیری امنیتی یا هر اشکالی پیدا کردهاید، لطفاً گزارش اشکال را به لایه اجرا یا برنامههای پاداش باگ لایه توافقی ارسال کنید! 💜🦄
| آموزش مجازی مدیریت عالی حرفه ای کسب و کار Post DBA + مدرک معتبر قابل ترجمه رسمی با مهر دادگستری و وزارت امور خارجه |  آموزش مجازی مدیریت عالی و حرفه ای کسب و کار DBA+ مدرک معتبر قابل ترجمه رسمی با مهر دادگستری و وزارت امور خارجه |  آموزش مجازی مدیریت کسب و کار MBA+ مدرک معتبر قابل ترجمه رسمی با مهر دادگستری و وزارت امور خارجه |
 مدیریت حرفه ای کافی شاپ |  حقوقدان خبره |  سرآشپز حرفه ای |
 آموزش مجازی تعمیرات موبایل |  آموزش مجازی ICDL مهارت های رایانه کار درجه یک و دو |  آموزش مجازی کارشناس معاملات املاک_ مشاور املاک |
- نظرات ارسال شده توسط شما، پس از تایید توسط مدیران سایت منتشر خواهد شد.
- نظراتی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
- نظراتی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.
ارسال نظر شما
مجموع نظرات : 0 در انتظار بررسی : 0 انتشار یافته : ۰