Trending News

BTC
ETH
LTC
DASH
XMR
NXT
ETC

सुरक्षित #3: सुरक्षा दल | एथेरियम फाउंडेशन ब्लॉग

0



पिछले एक साल में, Ethereum Foundation ने समर्पित सुरक्षा शोधकर्ताओं और इंजीनियरों की अपनी टीम को महत्वपूर्ण रूप से विकसित किया है। सदस्य क्रिप्टोग्राफी, सुरक्षा वास्तुकला, जोखिम प्रबंधन, शोषण विकास के साथ-साथ लाल और नीली टीमों पर काम करने से लेकर विभिन्न पृष्ठभूमि से जुड़े हैं। सदस्य अलग-अलग क्षेत्रों से आते हैं और इंटरनेट सेवाओं से लेकर राष्ट्रीय स्वास्थ्य प्रणालियों और केंद्रीय बैंकों तक हर दिन हम सभी पर निर्भर इंटरनेट सेवाओं से सब कुछ हासिल करने पर काम किया है।

जैसे-जैसे मर्ज निकट आता है, टीम की ओर से कई तरह से सर्वसम्मति परत का विश्लेषण, ऑडिट और शोध करने में खर्च किया जाता है और साथ ही साथ मर्ज भी किया जाता है। काम का एक नमूना नीचे पाया गया है।

ग्राहक कार्यान्वयन लेखा परीक्षा 🛡️

टीम के सदस्य विभिन्न क्लाइंट कार्यान्वयनों का विभिन्न उपकरणों और तकनीकों के साथ ऑडिट करते हैं।

स्वचालित स्कैन

कोडबेस के लिए स्वचालित स्कैन का उद्देश्य कम लटकने वाले फल जैसे निर्भरता कमजोरियों (और संभावित कमजोरियों) या कोड में सुधार क्षेत्रों को पकड़ना है। स्थिर विश्लेषण के लिए उपयोग किए जा रहे कुछ उपकरण कोडक्यूएल, सेमग्रेप, एररप्रोन और नोसी हैं।

चूंकि ग्राहकों के बीच कई अलग-अलग भाषाओं का उपयोग किया जाता है, हम कोडबेस और छवियों के लिए सामान्य और भाषा विशिष्ट स्कैनर दोनों का उपयोग करते हैं। ये एक प्रणाली के माध्यम से परस्पर जुड़े हुए हैं जो सभी उपकरणों से संबंधित चैनलों में नए निष्कर्षों का विश्लेषण और रिपोर्ट करता है। ये स्वचालित स्कैन उन मुद्दों के बारे में जल्दी से रिपोर्ट प्राप्त करना संभव बनाते हैं जो संभावित विरोधियों को आसानी से मिल सकते हैं, इस प्रकार उनका फायदा उठाने से पहले मुद्दों को ठीक करने की संभावना बढ़ जाती है।

मैनुअल ऑडिट

स्टैक के घटकों का मैनुअल ऑडिट भी एक महत्वपूर्ण तकनीक है। इन प्रयासों में महत्वपूर्ण साझा निर्भरता (बीएलएस), libp2p, हार्डफोर्क में नई कार्यक्षमता (उदाहरण के लिए अल्टेयर में सिंक समितियां), एक विशिष्ट क्लाइंट कार्यान्वयन में पूरी तरह से ऑडिट, या एल 2 और पुलों का ऑडिटिंग शामिल है।

इसके अतिरिक्त, जब कमजोरियों के माध्यम से रिपोर्ट की जाती है एथेरियम बग बाउंटी प्रोग्रामशोधकर्ता यह देखने के लिए कि क्या वे भी रिपोर्ट की गई समस्या से प्रभावित हैं, सभी क्लाइंट के विरुद्ध मुद्दों की क्रॉस-चेक कर सकते हैं।

तृतीय पक्ष ऑडिट ‍🔧

कई बार, थर्ड पार्टी फर्म विभिन्न घटकों की ऑडिट करने में लगी रहती हैं। तीसरे पक्ष के ऑडिट का उपयोग नए ग्राहकों, अद्यतन प्रोटोकॉल विनिर्देशों, आगामी नेटवर्क उन्नयन, या किसी अन्य चीज़ पर बाहरी नज़र रखने के लिए किया जाता है जिसे उच्च मूल्य माना जाता है।

तीसरे पक्ष के ऑडिट के दौरान, सॉफ्टवेयर डेवलपर्स और हमारी टीम के सुरक्षा शोधकर्ता ऑडिटर्स के साथ सहयोग करते हैं ताकि उन्हें शिक्षित किया जा सके और पूरी मदद की जा सके।

फ़ज़िंग

हमारे सुरक्षा शोधकर्ताओं, क्लाइंट टीमों के सदस्यों के साथ-साथ पारिस्थितिकी तंत्र में योगदानकर्ताओं के नेतृत्व में कई फ़ज़िंग प्रयास चल रहे हैं। टूलींग का अधिकांश हिस्सा खुला स्रोत है और समर्पित बुनियादी ढांचे पर चलता है। फ़ज़र्स आरपीसी हैंडलर्स, स्टेट ट्रांज़िशन और फोर्क-चॉइस इम्प्लीमेंटेशन आदि जैसे महत्वपूर्ण हमले सतहों को लक्षित करते हैं। अतिरिक्त प्रयासों में नोसी नेबर (एएसटी आधारित ऑटो फ़ज़ हार्नेस जनरेशन) शामिल है जो सीआई आधारित है और गो पार्सर लाइब्रेरी से निर्मित है।

नेटवर्क स्तर का अनुकरण और परीक्षण 🕸️

हमारी टीम के सुरक्षा शोधकर्ता नियंत्रित नेटवर्क वातावरण का अनुकरण, परीक्षण और हमला करने के लिए उपकरणों का निर्माण और उपयोग करते हैं। ये उपकरण विदेशी परिदृश्यों का परीक्षण करने के लिए विभिन्न विन्यासों के तहत चल रहे स्थानीय और बाहरी टेस्टनेट (“अटैकनेट”) को जल्दी से स्पिन कर सकते हैं, जिनके खिलाफ ग्राहकों को सख्त होना चाहिए (जैसे। डीडीओएस, सहकर्मी अलगाव, नेटवर्क गिरावट)।

अटैकनेट एक निजी सेटिंग में विभिन्न विचारों/हमलों का त्वरित परीक्षण करने के लिए एक कुशल और सुरक्षित वातावरण प्रदान करते हैं। संभावित विरोधियों द्वारा निजी अटैकनेट की निगरानी नहीं की जा सकती है और हमें सार्वजनिक टेस्टनेट के उपयोगकर्ता अनुभव को बाधित किए बिना चीजों को तोड़ने की अनुमति मिलती है। इन परिवेशों में, हम नियमित रूप से विघटनकारी तकनीकों का उपयोग करते हैं जैसे कि थ्रेड पॉज़िंग और नेटवर्क विभाजन परिदृश्यों को और विस्तारित करने के लिए।

ग्राहक और आधारभूत संरचना विविधता अनुसंधान

ग्राहक और बुनियादी ढांचे की विविधता समुदाय से बहुत ध्यान मिला है। हमारे पास क्लाइंट, OS, ISP और क्रॉलर आँकड़ों की विविधता पर नज़र रखने के लिए उपकरण मौजूद हैं। इसके अतिरिक्त हम नेटवर्क भागीदारी दरों, सत्यापन समय की विसंगतियों और सामान्य नेटवर्क स्वास्थ्य का विश्लेषण करते हैं। यह जानकारी है साझा आर-पार विभिन्न किसी भी संभावित जोखिम को उजागर करने के लिए स्थान।

बग बाउंटी प्रोग्राम

EF वर्तमान में दो बग बाउंटी प्रोग्राम होस्ट करता है; एक लक्ष्य निष्पादन परत और दूसरा लक्ष्यीकरण आम सहमति परत. सुरक्षा टीम के सदस्य आने वाली रिपोर्टों की निगरानी करते हैं, उनकी सटीकता और प्रभाव को सत्यापित करने के लिए काम करते हैं, और फिर अन्य ग्राहकों के खिलाफ किसी भी समस्या की जांच करते हैं। हाल ही में, हमने सभी का एक खुलासा प्रकाशित किया पहले बताई गई कमजोरियां.

जल्द ही, इन दो कार्यक्रमों को एक में मिला दिया जाएगा, सामान्य मंच में सुधार किया जाएगा, और बाउंटी हंटर्स के लिए अतिरिक्त पुरस्कार प्रदान किए जाएंगे। इस बारे में अधिक जानकारी के लिए जल्द ही बने रहें!

परिचालन सुरक्षा

ऑपरेशनल सिक्योरिटी में EF के कई प्रयास शामिल हैं। उदाहरण के लिए, परिसंपत्ति निगरानी स्थापित की गई है जो ज्ञात कमजोरियों के लिए बुनियादी ढांचे और डोमेन की लगातार निगरानी करती है।

एथेरियम नेटवर्क मॉनिटरिंग

एक नया एथेरियम नेटवर्क मॉनिटरिंग सिस्टम विकसित किया जा रहा है। यह सिस्टम a . के समान काम करता है सिएम और पूर्व-कॉन्फ़िगर किए गए पहचान नियमों के साथ-साथ गतिशील विसंगति का पता लगाने के लिए एथेरियम नेटवर्क को सुनने और मॉनिटर करने के लिए बनाया गया है जो बाहरी घटनाओं के लिए स्कैन करता है। एक बार स्थापित हो जाने पर, यह प्रणाली प्रगति में या आने वाले नेटवर्क व्यवधानों के बारे में प्रारंभिक चेतावनी प्रदान करेगी।

खतरे का विश्लेषण

हमारी टीम ने उन क्षेत्रों की पहचान करने के लिए जो सुरक्षा के संबंध में सुधार कर सकते हैं, द मर्ज पर ध्यान केंद्रित करते हुए एक खतरे का विश्लेषण किया। इस काम के भीतर, हमने क्लाइंट टीमों से कोड समीक्षा, इंफ्रास्ट्रक्चर सिक्योरिटी, डेवलपर सिक्योरिटी, बिल्ड सिक्योरिटी (डीएएसटी, एससीए और एसएएसटी बिल्ट इन सीआई, आदि), रिपोजिटरी सिक्योरिटी, और अधिक के लिए सुरक्षा प्रथाओं को एकत्र और ऑडिट किया। इसके अतिरिक्त इस विश्लेषण ने सर्वेक्षण किया कि गलत सूचना को कैसे रोका जाए, जिससे आपदाएं आ सकती हैं, और विभिन्न परिदृश्यों में समुदाय कैसे ठीक हो सकता है। आपदा वसूली अभ्यास से संबंधित कुछ प्रयास भी रुचि के हैं।

एथेरियम क्लाइंट सुरक्षा समूह

जैसे-जैसे मर्ज निकट आता है, हमने एक सुरक्षा समूह का गठन किया जिसमें एक्ज़ीक्यूशन लेयर और सर्वसम्मति परत दोनों पर काम करने वाली क्लाइंट टीमों के सदस्य शामिल होते हैं। यह समूह सुरक्षा से संबंधित मामलों जैसे कमजोरियों, घटनाओं, सर्वोत्तम प्रथाओं, चल रहे सुरक्षा कार्य, सुझावों आदि पर चर्चा करने के लिए नियमित रूप से बैठक करेगा।

घटना प्रतिक्रिया

ब्लू टीम के प्रयास निष्पादन परत और आम सहमति परत के बीच की खाई को पाटने में मदद करते हैं क्योंकि मर्ज करीब आता है। घटना प्रतिक्रिया के लिए युद्ध कक्षों ने अतीत में अच्छी तरह से काम किया है जहां घटनाओं के दौरान प्रासंगिक लोगों के साथ बातचीत शुरू हो जाती है, लेकिन मर्ज के साथ नई जटिलता आती है। आगे काम किया जा रहा है (उदाहरण के लिए) टूलींग साझा करें, अतिरिक्त डीबग और ट्राइएज क्षमताएं बनाएं और दस्तावेज़ीकरण बनाएं।

धन्यवाद और शामिल हों 💪

ये कुछ ऐसे प्रयास हैं जो वर्तमान में विभिन्न रूपों में हो रहे हैं, और हम भविष्य में आपके साथ और भी अधिक साझा करने की आशा कर रहे हैं!

अगर आपको लगता है कि आपको कोई सुरक्षा भेद्यता या कोई बग मिला है, तो कृपया बग रिपोर्ट सबमिट करें निष्पादन परत या आम सहमति परत बग बाउंटी प्रोग्राम! मैं





Source link

Leave A Reply

Your email address will not be published.

Shares