ایمن شماره 3: تیم های امنیتی | وبلاگ بنیاد اتریوم

در طول سال گذشته، بنیاد اتریوم به طور قابل توجهی تیم خود را از محققان و مهندسان امنیتی اختصاص داده است. اعضا با پیشینه‌های مختلف از رمزنگاری، معماری امنیتی، مدیریت ریسک، توسعه بهره‌برداری و همچنین کار بر روی تیم‌های قرمز و آبی به این گروه پیوسته‌اند. اعضا از حوزه‌های مختلفی می‌آیند و روی ایمن‌سازی همه

کد خبر : 193410
تاریخ انتشار : پنجشنبه ۲۵ فروردین ۱۴۰۱ - ۱۱:۳۰
ایمن شماره 3: تیم های امنیتی |  وبلاگ بنیاد اتریوم


در طول سال گذشته، بنیاد اتریوم به طور قابل توجهی تیم خود را از محققان و مهندسان امنیتی اختصاص داده است. اعضا با پیشینه‌های مختلف از رمزنگاری، معماری امنیتی، مدیریت ریسک، توسعه بهره‌برداری و همچنین کار بر روی تیم‌های قرمز و آبی به این گروه پیوسته‌اند. اعضا از حوزه‌های مختلفی می‌آیند و روی ایمن‌سازی همه چیز از خدمات اینترنتی که همه ما هر روز به آن وابسته هستیم، تا سیستم‌های ملی مراقبت‌های بهداشتی و بانک‌های مرکزی کار کرده‌اند.

با نزدیک شدن به The Merge، تلاش زیادی از تیم صرف تجزیه و تحلیل، ممیزی و تحقیق بر روی لایه اجماع به طرق مختلف و همچنین خود The Merge می شود. نمونه کار در زیر آمده است.

ممیزی های پیاده سازی مشتری 🛡️

اعضای تیم پیاده سازی های مختلف مشتری را با ابزارها و تکنیک های مختلف بررسی می کنند.

اسکن خودکار 🤖

هدف اسکن‌های خودکار برای پایگاه‌های کد، یافتن میوه‌های کم آویزان مانند آسیب‌پذیری‌های وابستگی (و آسیب‌پذیری‌های احتمالی) یا مناطق بهبود در کد است. برخی از ابزارهای مورد استفاده برای تجزیه و تحلیل استاتیک عبارتند از CodeQL، semgrep، ErrorProne و Nosy.

از آنجایی که زبان‌های مختلفی بین کلاینت‌ها استفاده می‌شود، ما از اسکنرهای عمومی و خاص زبان برای پایگاه‌های کد و تصاویر استفاده می‌کنیم. اینها از طریق سیستمی که یافته‌های جدید را از همه ابزارها به کانال‌های مربوطه تجزیه و تحلیل و گزارش می‌کند، به هم متصل می‌شوند. این اسکن‌های خودکار دریافت سریع گزارش‌هایی در مورد مسائلی که دشمنان احتمالی احتمالاً به راحتی آن‌ها را پیدا می‌کنند، ممکن می‌سازد، بنابراین شانس رفع مشکلات را قبل از سوء استفاده افزایش می‌دهد.

ممیزی های دستی 🔨

ممیزی دستی اجزای پشته نیز یک تکنیک مهم است. این تلاش‌ها شامل ممیزی وابستگی‌های مشترک حیاتی (BLS)، libp2p، عملکرد جدید در هاردفورک‌ها (مثلاً کمیته‌های همگام‌سازی در Altair)، ممیزی کامل در پیاده‌سازی مشتری خاص، یا ممیزی L2 و پل‌ها است.

علاوه بر این، زمانی که آسیب‌پذیری‌ها از طریق برنامه Ethereum Bug Bounty گزارش می‌شوند، محققان می‌توانند مشکلات را در برابر همه مشتریان بررسی کنند تا ببینند آیا آنها نیز تحت تأثیر مشکل گزارش‌شده قرار می‌گیرند یا خیر.

ممیزی شخص ثالث 🧑‍🔧

در مواقعی، شرکت های شخص ثالث درگیر حسابرسی اجزای مختلف هستند. ممیزی شخص ثالث برای جلب توجه خارجی به مشتریان جدید، مشخصات پروتکل به روز شده، ارتقاء شبکه آینده یا هر چیز دیگری که ارزش بالایی دارد، استفاده می شود.

در طول ممیزی شخص ثالث، توسعه‌دهندگان نرم‌افزار و محققان امنیتی تیم ما با حسابرسان همکاری می‌کنند تا در تمام این مدت آموزش و کمک کنند.

گیج کننده 🦾

بسیاری از تلاش‌های مبهم در حال انجام است که توسط محققان امنیتی ما، اعضای تیم‌های مشتری، و همچنین مشارکت‌کنندگان در اکوسیستم هدایت می‌شوند. اکثر ابزارها منبع باز هستند و بر روی زیرساخت های اختصاصی اجرا می شوند. فازرها سطوح حمله حیاتی مانند کنترل‌کننده‌های RPC، انتقال حالت و پیاده‌سازی انتخاب چنگال، و غیره را هدف قرار می‌دهند. تلاش‌های اضافی شامل Nosy Neighbor (تولید مهار فاز خودکار مبتنی بر AST) است که مبتنی بر CI است و از کتابخانه Go Parser ساخته شده است.

شبیه سازی و تست سطح شبکه 🕸️

محققان امنیتی تیم ما ابزارهایی را برای شبیه سازی، آزمایش و حمله به محیط های شبکه کنترل شده می سازند و از آنها استفاده می کنند. این ابزارها می‌توانند به سرعت شبکه‌های آزمایشی محلی و خارجی («حمله‌ها») را که تحت پیکربندی‌های مختلف اجرا می‌شوند، بچرخانند تا سناریوهای عجیب و غریبی را که کلاینت‌ها باید در برابر آن‌ها سخت‌تر شوند (مانند DDOS، جداسازی همتا، تخریب شبکه) آزمایش کنند.

Attacknet ها یک محیط کارآمد و امن برای آزمایش سریع ایده ها/حملات مختلف در یک محیط خصوصی فراهم می کنند. اتک‌نت‌های خصوصی نمی‌توانند توسط دشمنان بالقوه نظارت شوند و به ما اجازه می‌دهند بدون ایجاد اختلال در تجربه کاربر شبکه‌های آزمایشی عمومی، چیزهایی را بشکنیم. در این محیط‌ها، ما به طور منظم از تکنیک‌های مخرب مانند توقف رشته و پارتیشن‌بندی شبکه برای گسترش بیشتر سناریوها استفاده می‌کنیم.

تحقیق تنوع مشتری و زیرساخت 🔬

تنوع مشتری و زیرساخت مورد توجه بسیاری از جامعه قرار گرفته است. ما ابزارهایی برای نظارت بر تنوع از آمار مشتری، سیستم عامل، ISP و خزنده داریم. علاوه بر این، نرخ مشارکت شبکه، ناهنجاری‌های زمان‌بندی گواهی و سلامت عمومی شبکه را تجزیه و تحلیل می‌کنیم. این اطلاعات به اشتراک گذاشته شده است چندگانه مکان هایی برای برجسته کردن هرگونه خطر بالقوه

برنامه باگ باونتی 🐛

EF در حال حاضر میزبان دو برنامه پاداش باگ است. یکی لایه اجرایی و دیگری لایه اجماع را هدف قرار می دهد. اعضای تیم امنیتی گزارش‌های دریافتی را نظارت می‌کنند، برای تأیید صحت و تأثیر آن‌ها کار می‌کنند، و سپس هر گونه مشکلی را در برابر سایر مشتریان بررسی می‌کنند. اخیراً، ما افشای تمام آسیب‌پذیری‌های گزارش شده قبلی را منتشر کردیم.

به زودی، این دو برنامه در یک برنامه ادغام می شوند، پلت فرم کلی بهبود می یابد و پاداش های اضافی برای شکارچیان جایزه در نظر گرفته می شود. به زودی منتظر اطلاعات بیشتر در این مورد باشید!

امنیت عملیاتی 🔒

امنیت عملیاتی شامل تلاش های بسیاری در EF است. به عنوان مثال، نظارت بر دارایی راه اندازی شده است که به طور مداوم زیرساخت ها و دامنه ها را برای آسیب پذیری های شناخته شده رصد می کند.

مانیتورینگ شبکه اتریوم 🩺

یک سیستم جدید نظارت بر شبکه اتریوم در حال توسعه است. این سیستم شبیه به SIEM کار می کند و برای گوش دادن و نظارت بر شبکه اتریوم برای قوانین تشخیص از پیش پیکربندی شده و همچنین تشخیص ناهنجاری پویا که رویدادهای پرت را اسکن می کند ساخته شده است. این سیستم پس از راه اندازی، اخطارهای اولیه در مورد اختلالات شبکه در حال پیشرفت یا در حال ظهور را ارائه می دهد.

تحلیل تهدید 🩻

تیم ما تجزیه و تحلیل تهدید را با تمرکز بر روی The Merge انجام داد تا مناطقی را شناسایی کند که می توانند از نظر امنیت بهبود یابند. در این کار، ما اقدامات امنیتی را برای بررسی کد، امنیت زیرساخت، امنیت توسعه‌دهنده، امنیت ساخت (DAST، SCA و SAST داخلی در CI، و غیره)، امنیت مخزن و موارد دیگر از تیم‌های مشتری جمع‌آوری و ممیزی کردیم. علاوه بر این، این تجزیه و تحلیل چگونگی جلوگیری از اطلاعات نادرست، که ممکن است بلایای طبیعی از آن رخ دهد، و چگونه جامعه ممکن است در سناریوهای مختلف بهبود یابد، بررسی کرد. برخی از تلاش‌های مربوط به تمرین‌های بازیابی بلایا نیز مورد توجه است.

گروه امنیتی مشتری اتریوم 🤝

با نزدیک شدن به The Merge، ما یک گروه امنیتی تشکیل دادیم که متشکل از اعضای تیم های مشتری است که هم روی لایه اجرا و هم بر روی لایه اجماع کار می کنند. این گروه به طور منظم برای بحث در مورد موضوعات مرتبط با امنیت مانند آسیب پذیری ها، حوادث، بهترین شیوه ها، کار امنیتی در حال انجام، پیشنهادات و غیره ملاقات خواهد کرد.

واکنش به حادثه 🚒

تلاش‌های تیم آبی به پر کردن شکاف بین لایه اجرا و لایه اجماع با نزدیک‌تر شدن The Merge کمک می‌کند. اتاق‌های جنگ برای واکنش به حوادث در گذشته به خوبی کار می‌کردند، جایی که چت‌ها با افراد مرتبط در حین حوادث شروع می‌شد، اما با The Merge پیچیدگی جدیدی به وجود می‌آید. کارهای بیشتری برای (به عنوان مثال) به اشتراک گذاری ابزار، ایجاد قابلیت های دیباگ و تریاژ اضافی و ایجاد مستندات در حال انجام است.

با تشکر از شما و مشارکت 💪

اینها برخی از تلاش‌هایی است که در حال حاضر به اشکال مختلف انجام می‌شود، و ما مشتاقانه منتظریم تا در آینده موارد بیشتری را با شما به اشتراک بگذاریم!

اگر فکر می‌کنید یک آسیب‌پذیری امنیتی یا هر اشکالی پیدا کرده‌اید، لطفاً گزارش اشکال را به لایه اجرا یا برنامه‌های پاداش باگ لایه توافقی ارسال کنید! 💜🦄





لینک منبع : هوشمند نیوز

آموزش مجازی مدیریت عالی حرفه ای کسب و کار Post DBA
+ مدرک معتبر قابل ترجمه رسمی با مهر دادگستری و وزارت امور خارجه
آموزش مجازی مدیریت عالی و حرفه ای کسب و کار DBA
+ مدرک معتبر قابل ترجمه رسمی با مهر دادگستری و وزارت امور خارجه
آموزش مجازی مدیریت کسب و کار MBA
+ مدرک معتبر قابل ترجمه رسمی با مهر دادگستری و وزارت امور خارجه
ای کافی شاپ
مدیریت حرفه ای کافی شاپ
خبره
حقوقدان خبره
و حرفه ای
سرآشپز حرفه ای
آموزش مجازی تعمیرات موبایل
آموزش مجازی ICDL مهارت های رایانه کار درجه یک و دو
آموزش مجازی کارشناس معاملات املاک_ مشاور املاک
ارسال نظر شما
مجموع نظرات : 0 در انتظار بررسی : 0 انتشار یافته : ۰
  • نظرات ارسال شده توسط شما، پس از تایید توسط مدیران سایت منتشر خواهد شد.
  • نظراتی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
  • نظراتی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.