Безопасность криптобиржи: как защищаться от угроз взлома? Рекомендации BuyOwnEx

Изображение: pixabay; methodshop

Здравствуйте, друзья! Вопрос безопасности криптовалютных бирж является одним из главных для криптоиндустрии. Как Вы знаете, BuyOwnEx предлагает программное обеспечение для развертывания готовой к работе криптобиржи “под ключ”, потому неудивительно, что вопросы по этой тематике нам задают довольно часто. Мы уже давали ответы на частные вопросы по безопасности решений BuyOwnEx на специализированных форумах (в частности, forum.bits.media, bitcointalk.org). Однако, чем известнее и популярнее становится наш продукт, тем больше проверок “на прочность” ему приходится проходить, включая и атаки злоумышленников. Об одной из них мы расскажем ниже, а также приведем общие выводы и рекомендации для повышения безопасности работы Вашей собственной криптовалютной биржи.

Безопасность криптобирж: глобальный взгляд.

Начиная с 2011 года, общий объем средств, похищенных в результате взлома бирж, превысил 1,35 млрд долл.

Общий объем похищенных средств криптобирж накопленным итогом (theblockcrypto)

По данным компании “Carbon Black”, занимающейся разработкой решений для защиты от киберугроз, криптобиржи часто становятся мишенью злоумышленников — на них приходится около 27% всех атак, связанных с криптовалютой. Около 21% атак приходится на предприятия и 7% — на правительственные учреждения, как правило, с целью распространения вредоносного ПО для незаконного майнинга и/или вирусов-шифровальщиков с требованиями выкупа в криптовалюте; остальные атаки приходятся на конечных пользователей и других участников криптоиндустрии.

За всю историю развития крипторынка, широко известными стали 42 крупных взлома криптовалютных бирж (в т.ч. 20 из них с объемом похищенных средств менее 1 млн. долл.), но в действительности, вероятно, их было намного больше, чем эти известные случаи. Крупнейшим в истории по объему похищенных средств (около 500 млн долл.) стал взлом криптовалютной биржи Coincheck в 2018 году. В 2019 году были взломаны четыре крупные криптовалютные торговые площадки, с причинением ущерба на сумму около 69 млн долл.

Изображение: theblockcrypto.com

Безопасность криптобиржи BuyOwnEx: проверка “на прочность”.

В начале июля 2019 года система безопасности BuyOwnEx зафиксировала попытку взлома тестовой версии биржи, расположенной по адресу https://buyownex.ru. Данная биржа была развернута нами в качестве базового “стенда”, на котором проверяется новый функционал, перед его добавлением на официальный демонстрационный стенд (https://demo.buyownex.com). На тот период, в частности, тестировалось взаимодействие с модулем ликвидности (“маркет-мэйкером”), и по этой причине объемы торгов “в моменте” были относительно высоки (несколько млн. долл.). Это, вероятно, и вызвало интерес злоумышленников.

Атака продолжалась почти 6 часов (с 02.07.2019 02:52:15 до 02.07.2019 09:39:18) и осуществлялась при помощи автоматизированных средств взлома, включая попытки взлома через:

• XSS-уязвимости,
• SQL-инъекции,
• некоторые другие распространенные виды атак.

В общей сложности было зафиксировано 15 683 запросов, с помощью которых злоумышленники пытались произвести взлом тестовой криптовалютной биржи.

На скриншотах, приведенных выше, видно количество запросов, произведенных за это время атаки (а также дату и время начала и завершения атаки). Мы проанализировали ряд запросов и выделили среди них те, которые нацелены на получение данных из системного файла /etc/passwd, путем подстановки в адрес закодированного запроса.

А также зафиксировали попытки инъекции исполняемого кода, путем подстановки соответствующих инструкций в параметры запроса, SQL-инъекции. Кроме того, были попытки получения данных из системных файлов, базы данных и выполнения незапланированных инструкций выполняемого кода путем подмены данных в http заголовках.

Приведенные выше данные свидетельствуют о целенаправленном, спланированном характере атаки и достаточно высоком ее технологическом исполнении, хотя и не увенчавшихся успехом.

Чтобы убедится в том, что наша система не была взломана мы предприняли следующие действия:

• проведено сравнение локальной копии текущего релиза с резервной копией файлов; установлено, что ни один из файлов не был заменен файлом злоумышленника;
• проанализированы системные логи сервера на наличие входа на сервер, выполнение незапланированных действий;
• проанализирована целостность базы данных по состоянию на вечер того же дня и выполнено сравнение схем и данных;
• проанализирована целостность и отсутствие модификаций в серверном кэше Redis;
• проверено и установлено отсутствие новых процессов на сервере, новых управляющих политик в отношении доступа на сервер по определенным портам, новых записей в cron и т.д.

Как обезопасить криптовалютную биржу.

Рекомендации от экспертов по информационной безопасности BuyOwnEx:

• всегда валидируйте входящие параметры, поступающие извне;
• если используются данные из заголовков запроса, они также должны подвергаться валидации;
• в запросах к базе данных всегда используйте байндинг, иначе возможен вариант, когда злоумышленник не только получит данные из нее, но и сможет подменить их своими;
• следите за тем, чтобы у вас были последние версии подключаемых библиотек и плагинов. Они написаны не вами и могут содержать в себе уязвимости, которыми может воспользоваться атакующий;
• настройте автоматические ежедневные или ежечасные бэкапы, чтобы иметь возможность быстро восстановиться в случае непредвиденных обстоятельств;
• осуществляйте мониторинг системы: нагрузку процессора, перепады траффика, нагрузку чтения и записи на диск и периодически анализируйте системные логи на предмет возможных ошибок, которые могли возникнуть.

Будь будущим. Будь крипто.

Команда “BuyOwnEx: криптовалютная биржа под ключ”