تازه ها

رمز ارز

August 12, 2024
19:56 دوشنبه، 22ام مردادماه 1403
کد خبر: 171635

پلتفرم‌های رمزارزی در نمایشگاه صنعت مالی؛ هزینه تامین امنیت در ایران گران‌ تمام می‌شود

منبع: Peivast

پلتفرم‌های رمزارزی حاضر در شانزدهیم نمایشگاه صنعت مالی (بورس، بانک و بیمه) معتقدند با بزرگ‌تر شدن بازار ارزهای دیجیتال در ایران اهمیت امنیت به طور فزاینده‌ای افزایش پیدا کرده و این در حالی است که هزینه تامین امنیت در ایران به نسبت پلتفرم‌های مشابه خارجی گران‌تر تمام می‌شود.

رشد بازار ارزهای دیجیتال در ایران و در سال ۱۴۰۲ به گونه‌ای بود که گفته می‌شود ارزش معاملات پلتفرم‌های رمزارزی در این سال به یک چهارم بورس رسیده است. البته آمارهای رسمی از بروز ۸ حادثه امنیت سایبری نشت داده در این حوزه حکایت می‌کند و به این ترتیب با بزرگ‌تر شدن بازار، پلتفرم‌ها به اهداف جذاب‌تری برای هک و سواستفاده تبدیل شده‌اند که همین موضوع اهمیت رعایت نکات امنیتی و باگ‌بانتی را دوچندان می‌کند.

پیروی از دستورالعمل‌ها و استانداردهای امنیتی به عنوان یکی از روش‌های کاهش خطرات امنیتی مطرح است. امیر کهور زاده، مدیرمحصول بلاک‌چین نوبیتکس در این رابطه معتقد است: در دنیا برای بررسی‌های امنیتی یک پلتفرم، حسابرس‌های امنیتی وجود دارند که به صورت دوره‌ای یا پروژه‌ای چک‌ها و استانداردهای امنیتی را بررسی می‌کنند. در کریپتو این استانداردها به صورت خیلی دقیقی تعریف نشده‌است. با این حال در سال ۲۰۱۴ استانداردی تحت عنوان cryptocurrency security standard (CCSS) تعریف شد که شامل سه مرحله مختلف می‌شود و برای بررسی امنیتی پلتفرم‌ها استفاده می‌شود.

به گفته کهوری زاده: از نظر نگهداشت دارایی‌ها هم استانداردهایی تعریف شده است. متاسفانه در ایران حسابرس اختصاصی برای این موارد نداریم. به همین دلیل یک پلتفرم رمزارزی یا یک صرافی باید این استانداردها را خودش تعریف و از اجرای درست آنها اطمینان حاصل کند.

هرچند تامین امنیت داده‌ها امروزه تنها به پلتفرم‌ها محدود نمی‌شود و بخش قابل توجهی از بازار به برون سپاری موارد حساسی مانند احراز هویت رفته است. سجاد باقرپور، مدیرعامل یوآیدی می‌گوید: یکی از مهم‌ترین مشتریان هدف ما صرافی‌های رمزارزی هستند. ذخیره‌سازی داده‌های پلتفرم‌ها هم در سمت یوایدی و هم سمت پلتفرم‌ها انجام می‌شود. البته اطلاعات حساس (ویدیوی سلفی و عکس ثبت احوال) در سمت خودمان ذخیره می‌شود.

پلتفرم‌های رمزارزی از چه استانداردهای امنیتی استفاده می‌کنند؟
پریناز عباس‌پور سرپرست پشتیبانی او‌ام‌پی فینکس در مورد استانداردهای امنیتی این پلتفرم گفت: استانداردهایی که توسط تیم امنیت اوام‌پی فینکس دنبال می‌شوند شامل CIS نسخه ۸ در شبکه داخلی و عملیاتی سازمان، WSTG نسخه ۴ برای تست‌های امنیت نرم‌افزار و قابلیت‌های جدید، MITRE attack برای تست‌های شبیه‌سازی حملات، فرآیندهای آموزش و آگاه‌سازی کاربران با استفاده از مانورهای امنیتی و استاندارد CCSS می‌شود. استاندارد CCSS و هفت لایه امنیتی روی وب‌سایت اوام‌پی فینکس برای مشاهده کاربران در دسترس است.

به گفته او: دارایی کاربران به صورت ذخیره‌سازی سرد انجام می‌شود و تصدیق و نظارت روی تک به تک تراکنش‌ها با هدف جلوگیری از برداشت‌های غیرمجاز از سیستم، به صورت دستی انجام می‌شود. برای کشف کلاهبرداری‌ها هم مغایرت‌گیری دوره‌ای انجام می‌شود.

مدیرمحصول بلاک‌چین نوبیتکس هم با اشاره به اهمیت بالای موضوع امنیت می‌گوید: در نوبیتکس به موضوع امنیت اولویت بالایی می‌دهیم و به همین دلیل در برخی موارد عرضه محصولات را حتی با تاخیر انجام داده‌ایم. در استاندارد CCSS مواردی مانند استفاده از کیف‌پول‌های چند امضایی (multi signature یا Multi-Party Computation) ، کیف‌پول‌های سرد و رمزنگاری کلید‌ها اجرا می‌شود. البته باتوجه به الزام پلیس فتا، با یک نسبت مشخص، ما همواره باید اندوخته‌ای را در کیف‌پول‌های سرد ذخیره کنیم.

باقرپور در مورد هزینه‌های رعایت موارد امنیتی گفت: هزینه‌های امنیتی جزو اصلی‌ترین هزینه‌های یوآیدی به حساب می‌آید. نوع رمزنگاری پایگاه داده و ابزارهای محافظت از داده‌ها به دلیل حساسیت بالای داده‌های کاربران شامل چک‌های سفت و سختی می‌شود. به همین منظور محافظت از داده‌های به صورت سخت‌افزاری و همچنین رویه‌های کاری و رمزنگاری انجام می‌شود.

امنیت دارایی و مشکلات تحریمی
کارشناسان نگهداری دارایی در پلتفرم‌های رمزارزی را توصیه نمی‌کنند. باتوجه به حوادث سایبری و فاجعه‌هایی مانند کریپتولند در کنار افزایش فشارهای نظارتی، ریسک نگهداشت دارایی در صرافی‌های رمزارزی افزایش پیدا کرده است.

با این حال کاربران برای معاملات همچنان مجبور به نگهداشت دارایی خود در پلتفرم‌ها هستند و همواره نگرانی‌هایی در مورد نحوه ذخیره‌سازی توسط پلتفرم‌ها وجود دارد. از طرفی فروپاشی صرافی FTX که بی اعتمادی کاربران را به دنبال داشت، ارائه اثبات ذخیره توسط پلتفرم‌های خارجی برای بازگرداندن اعتماد کاربران آغاز شد اما این روش در ایران عرضه نشد و دلیل آن ریسک شناسایی و مسدودی آدرس‌ها به دلیل تحریم‌ها اعلام می‌شد.

امیر کهوری زاده، مدیر محصول بلاک‌چین نوبیتکس از عرضه اثبات اندوخته (ذخیره) برای اتریوم در هفته آینده می‌گوید. به گفته او: استانداردهایی که در دنیا برای اثبات اندوخته مورد استفاده قرار می‌گیرد، مناسب فضای فعلی ایران و نوبیتکس نیستند چراکه این استانداردها با افشای عمومی آدرس‌ها اجرا می‌شوند.

کهوری زاده اثبات اندوخته را به دو بخش اصلی اثبات بدهی (proof of liability) و اثبات اندوخته (proof of solvency) تقسیم می‌کند و می‌گوید: در ایران و به دلیل حریم خصوصی کاربران ما نمی‌توانیم از استانداردهای جهانی استفاده کنیم. به همین دلیل از یک سال پیش در «نوبیتکس لبز» استاندارد جدید را تعریف کنیم که بدون ارائه عمومی آدرس‌ها و بدون اعلام میزان ذخایر، اثبات اندوخته را ارائه دهد.

عباس‌پور هم در رابطه با مدیریت امن دارایی‌های دیجیتال در کنار شفافیت ذخایر و بدهی‌ها گفت: تمام سرویس‌های او‌ام‌پی فینکس که شامل اطلاعات هویتی و مالی کاربران می‌شود در سرور‌های داخل کشور میزبانی می‌شود که باعث می‌شود از بلوکه شدن دارایی یا مشکلات مشابه به دلیل تحریم‌های مالی از بین برود.

مواجه اولیه کاربران با پلتفرم‌های رمزاری در پروسه احراز هویت خلاصه می‌شود. جایی که داده‌های حساس هویتی کاربران بارگزاری می‌شود. به گفته مدیرعامل یوآیدی: نوع Liveness Detection (تشخیص زنده‌ بودن چهره) در یوآیدی به صورت passive و بدون نیاز به فعالیت خاصی مانند خواندن متن یا فعالیت خاصی از سوی کاربر است. به همین دلیل تجربه کاربری در این فرآیند بهتر و نرخ تبدیل در بخش احراز هویت را افزایش می‌دهد. استفاده از این روش به دلیل مشخص نبودن المان‌های سنجش Liveness باعث افزایش امنیت می‌شود.

همچنین به گفته او: در سمت صرافی‌های رمزارزی موضوع حساب‌های اجاره‌ای و فیشینگ بسیار جدی است و به زودی محصولاتی در همین زمینه و مبنتی بر احراز هویت برای کنترل مشکل حساب‌های اجاره‌ای و فیشینگ معرفی می‌کنیم.

باگ‌بانتی و تست‌های امنیتی
با افزایش قابل توجه نشت داده‌های کاربران از پلتفرم‌های دولتی و خصوص در سال گذشته، باگ‌بانتی به عنوان یک روش موثر اما بکار گرفته نشده دوباره مطرح شد. پلتفرم‌های رمزارزی هم با از این قاعده مستثنا نیستند و با افزایش حجم بازار به اهداف جذاب‌تری برای هکرها تبدیل شده‌اند.

نوبیتکس یکی از پلتفرم‌هایی است که بخش باگ‌بانتی خود را راه‌اندازی کرده‌است. کهوری زاده در مورد این بخش می‌گوید: در باگ‌بانتی برای Web3‌ یا موردی که بتواند به امنیت آدرس‌ها خدشه وارد کنید برنخوردیم و در آینده گزارش‌هایی را در این زمینه خواهیم داشت. البته بسیاری از موارد مطرح شده در استاندارد CCSS در نوبیتکس در حال اجرا است و به زودی این استاندارد دریافت خواهد شد.

همچنین او در مورد تست‌های امنیتی گفت: در برخی موارد هم نیاز بوده حسابرس‌های شخص سوم (داخلی یا خارجی) کدها را بررسی کنند و حتی در برخی موارد که با اپن‌سورس کردن کد‌ها امنیت افزایش پیدا می‌کرده، این کار را انجام داده‌ایم که این مورد در proof of solvency انجام شده است.

البته به نظر می‌رسد بخش باگ‌بانتی اوام‌پی فینکس هم در حال راه‌اندازی است. به گفته عباس‌پور، اوام‌پی فینکس در همکاری با راورو (پلتفرم باگ‌بانتی) به زودی لندینگ باگ‌بانتی را راه‌اندازی می‌کند. همچنین به گفته او: تست‌های امنیتی هم توسط تیم داخل سازمان در کنار تیم‌های خارج از سازمان انجام می‌شود و از تست‌های خودکار، دستی و موردی هم استفاده می‌کنیم و با شرکت‌های مطرح فعال در حوزه امنیت کشور برای انجام تست‌های امنیتی و بررسی کدها به صورت دو بار در سال همکاری می‌کنیم.

در این زمینه از آرشیو ایستنا:

    • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.