Společnost HACKTROPHY byla partnerem konference AEC SECURITY 2023, kde Petr Smolník udělal rozhovor se spolumajitelem společnosti Pavolem Luptákem.
Petr Smolník: Ahoj Pavle, vítám tě v dalším dílu z řady našich povídání v B2B podcastech o kybernetické bezpečnosti. Aktuálně jsme na konferenci AEC SECURITY 2023. Ty jsi tady měl přednášku o bug bounty programech, a co to vlastně bug bounty programy jsou. Teď se Tě zeptám na důležitou otázku, o které jsme se předtím bavili, a která v dotazech na pódiu nepadla. Proč je důležité být v bug bounty programu i v případě tzv.“krypto projektů“?
Pavol Lupták: Ten důvod je podobný jako u jakýchkoliv jiných projektů, a je to vlastně kontinuální monitorování bezpečnosti a stavu bezpečnosti u toho projektu speciálně.
A co je velmi důležité zmínit je, že hlavně u krypto projektů jde o skutečně velké peníze často v řádu milionů až miliard. Takže tam je ta bezpečnost klíčová, a proto například existují také dedikované firmy, které umožňují auditovat speciálně krypto projekty.
A principiálně je možné auditovat jakoukoliv kryptosměnárnu, nebo například platební bránu, která běží na kryptu. V HACKTROPHY máme dokonce poměrně hodně takovýchto klientů.
Také je možné auditovat decentralizovaný smart kontrakt napsaný v jazyce Solidity, popřípadě také v jiném programovacím jazyce, který je určený pro decentralizované programy.
PS: A je to nebezpečí v této oblasti způsobené tím, že se v poslední době vyrojilo hodně takovýchto kryptoprojektů, kryptosměnáren, a krypto prostě ve světě roste?
PL: V podstatě je to způsobeno tím, že se do krypto projektů přesunuje značná část ekonomik. Důležité je ale také to, že v kryptu nefunguje chargeback. Pokud někdo hackne a zneužije tvoji platební kartu, tak pokud ji máš pojištěnou, tak transakci s velkou pravděpodobností můžeš reklamovat. Jednoduše tu negativní platbu nahlásíš a banka ti ji následně po reklamačním řízení vrátí.
Ale v případě krypto projektů to není možné. To znamená, že pokud dojde k nějakému úniku krypto prostředků chybou zabezpečení, tak ta transakce je nenávratná, a ten proces se nedá zvrátit.
Takže podle mne je to problém, který způsobuje to, že je v případě těchto projektů kladen důraz na kyberbezpečnost, a ta by tak měla být klíčovou oblastí v případě těchto projektů.
PS: A máš pro naše čtenáře, diváky a posluchače nějaký tip, jak být bezpečný ve světě kyberbezpečnosti, ale také kryptosvěta?
PL: Velmi rád. Já sám používám velmi populární peněženku české společnosti SatoshiLabs, která se jmenuje Trezor Model T.
A abyste to měli skutečně bezpečné, tak je třeba tam zapnout dvě věci.
Jedna věc je tzv. Shamirovo schéma. Znamená to, že když si tu hardwarovou peněženku připojíš do počítače, tak ti to vygeneruje 20 – 25 náhodných slov, které je třeba si někam poznamenat.
A Shamirovo schéma znamená, že ten soubor slov si dokážeš rozdělit na více částí. Například na 5 částí, a každou z těch částí můžeš dát jinému důvěryhodnému člověku.
A můžeš definovat, že když se třeba tři z těchto lidí setkají, a poskytnou najednou svoji část toho textu, tak je možné sestavit celý ten „kód“, na jehož základě je možné vygenerovat přístupové klíče k této krypto peněžence.
Tak první důležitá věc je používat Shamirovo schéma a druhou důležitou věcí je mimo pinu, který je u těchto krypto peněženek standardem, zapnout také tzv. heslové fráze.
Znamená to, že vlastně samotný přístup k nějaké konkrétní peněžence je ještě dodatečně šifrovaný symetrickým šifrováním. Takže i když se třeba ti tři vámi vybraní lidé sejdou společně, a dají dohromady ten tzv. seed (sada slov) pro obnovu šifrovacích klíčů, tak i přesto se k finančním prostředkům v té peněžence nedostanou, pokud nebudou znát tu „pass phrase“, tedy heslo k té peněžence.
PS: Vzpomínám si na to, jak jsi zmiňoval tři základní bezpečnostní pravidla pro jakékoliv ukládání dat…
PL: Základní pravidla jsou: něco mít (nějaký šifrovaný token, hw trezor atp.), něco znát, čili tady je ta pass phrase, takže šifrované heslo, a dodatečně, pouze pro identifikaci, nějaký biometrický identifikační prvek (otisk palce). Upozorňuji, že biometrické prvky by se neměli používat pro autentizaci, ale pouze pro identifikaci.
PS: Děkujeme za rozhovor, a také za bezpečnostní tipy pro naše čtenáře, diváky i posluchače.
