Uso de contratos de blockchain para construir botnets

Blockchain es una tecnología de contabilidad descentralizada que asegura la integridad de las transacciones a través de firmas digitales y será familiar para cualquiera que haya investigado monedas digitales o «criptográficas». Sin embargo, la tecnología tiene muchas más aplicaciones putativas que las monedas criptográficas y se ha discutido en el contexto de sistemas seguros de votación y gobierno digital y contratos corporativos. Al igual que con cualquier tecnología, hay formas de abusar de ella con fines nefastos, como la propagación e implementación de malware.

Comúnmente, las redes de computadoras interconectadas, botnets, reclutan subrepticiamente miles de computadoras a menudo a través de ataques de phishing y malware en beneficio de una entidad central, el comandante del bot. El comandante podría entonces usar la botnet para llevar a cabo ataques de denegación de servicio distribuido (DDoS) en otros sistemas con intenciones maliciosas. Una red de bots también se puede usar para enviar spam, alojar sitios web delictivos y realizar otras actividades, como propagar más malware e implementar ataques de phishing. Sin embargo, el punto clave es que los expertos en seguridad a menudo pueden identificar la actividad de la red de bots a través de las direcciones de Internet de la máquina de comando central o simplemente la actividad de los bots dentro de la red.

Un nuevo estudio en el Revista Internacional de Información y Seguridad Informática, muestra cómo se pueden explotar la tecnología blockchain y los contratos inteligentes para crear una red distribuida de computadoras. Dicha red, que carece de un servidor central, podría usarse para construir una botnet, un sistema para atacar y piratear otros recursos en línea con fines delictivos u otros fines maliciosos.

La prueba de principio ofrecida por Omar Alibrahim de la Universidad de Kuwait en Safat, Kuwait, y Majid Malaika de omProtect LLC en Washington DC, EE. contratos de bot, «botracts». Señalan que los comandos agregados a un contrato inteligente basado en blockchain no se pueden eliminar ni modificar, lo que hace que un botract sea altamente resistente a cualquier intento de desarmarlo por parte de expertos en seguridad.

La naturaleza misma de la tecnología blockchain, que es autosuficiente, distribuida e inmutable, es lo que la hace vulnerable a este exploit recientemente demostrado. Son los problemas de diseño de la tecnología subyacente para implementar contratos inteligentes (confianza implícita del usuario final, falta de escrutinio del código y ausencia de gobernanza) las ventajas en el uso legítimo que ahora podrían explotarse con fines delictivos y maliciosos con anonimato absoluto. .

A corto plazo, la comunidad blockchain debe desarrollar rápidamente defensas tácticas contra los botracts, ahora que se han descrito, pero sin recurrir a operaciones costosas. A largo plazo, la comunidad debe emprender un replanteamiento fundamental y un rediseño de la cadena de bloques teniendo en cuenta la seguridad.