BTC: 60 020 kč

Bezpečnost bitcoinové směnárny

Provoz veřejné služby jakou je směnárna digitálních a reálných měn vyžaduje důrazné zabezpečení na technologické i procesní úrovni. Vezmeme-li v úvahu, že se zde potkávají finanční operace, manipulace s digitální měnou a informační technologie provozované ve veřejné datové síti, je zřejmé, že požadavek na bezprecedentní úroveň bezpečnosti je zcela legitimní. Návrh, implementace a provoz směnárny proto od samého začátku následují bezpečnostní architekturu, která byla jedním z prvních základních kamenů celého systému. Vznikla na základě důsledné analýzy rizik, která identifikovala všechna více či méně kritická místa z pohledu možného narušení bezpečnosti systému jako celku nebo jednotlivých komponent.

Neodhalíme - ze zcela pochopitelných důvodů - celou bezpečnostní architekturu systému, ale přiblížíme vám její strukturu aby byla zřejmá její komplexnost a účinnost.

Poznámka k BETA verzi. Ne všechny bezpečnostní prvky jsou uplatněny ve verzi BETA. Také z tohoto důvodu je BETA verze značně omezena z pohledu rozsahu funkčnosti, limitů transakcí a obchodními podmínkami.

Analýza rizik

Výsledkem důsledné analýzy rizik jsou identifikovaná atomická (ne z pohledu významnosti, ale ve smyslu dělitelnosti) rizika vyžadující řešení jejich eliminováním, případně minimalizací. Analýza postupovala od původních motivací, přes způsoby narušení bezpečnosti po rozpad na konkrétní rizika. Výhodou této metodiky je, že některé elementární hrozby identifikuje vícekrát a lze tak úměrně jejich mnohačetnosti zvyšovat prioritu řešení. Naznačená analýza není zdaleka kompletní, ale na příkladech v jednotlivých úrovních se snaží o její pochopení.

Z pohledu svého původu lze rozdělit možná rizika do dvou zásadních kategorií

Motivované útoky

  • nekalé obchodní praktiky
  • vyzrazení důvěrných informací
  • obohacení se zneužitím funkcí systému
  • praní špinavých peněz
  • napadení z vyššího principu hackerského
  • atd.

Hrozby bez nutného úmyslu

  • technická závada
  • lidský faktor
  • vyšší moc
  • atd.

Stále však nejsme u elementárního útoku nebo hrozby, kterou bychom měli cíleně eliminovat konkrétním řešením. Jako příklad si rozeberme Vyzrazení důvěrných informací. Další úrovní analýzy bude lokalizace úniku dat:

  • počítač uživatele směnárny
  • prvky počítačové sítě
  • server provozovatele

Následně se nám už rýsují konkrétní útoky, např.: malware, phishing, odposlech komunikace, SQL-injection, atd.

Tímto postupem jsme získali kompletní základnu rizik, která většinou již ze své podstaty nabízejí konkrétní řešení a své místo v budované bezpečnostní architektuře, např.: riziko odposlechu komunikace >> šifrování komunikace - použití SSL.

Bezpečnostní architektura

Pokud jsme vám z provedené analýzy rizik mohli odhalit něco málo ze způsobu jejího provádění, vězte, že o vzniklé architektuře prozradíme ještě méně. Je to samozřejmě v dobré víře, chráníme tím vás a vaše dobré úmysly.

Jen na základě předchozí pečlivé analýzy možných bezpečnostních problémů můžeme postavit silnou bezpečnostní architekturu systému. Charakter jejích stavebních prvků je technologický nebo procesní.

Příklady bezpečnostních opatření na technologické úrovni: šifrování, elektronický podpis, CAPTCHA, firewall, bezpečné programovací techniky, použití ověřených, stabilních a aktualizovaných systémových komponent (OS, DB, knihovny), atd.

Příklady procesních bezpečnostních prvků: obchodní podmínky (postup prodeje, limity, povinné parametry platby), pravidelné zálohování, testování, systémové žurnálování, identifikace a registrace uživatelů, atd.

Uplatnění každé další bezpečnostní technologie nebo postupu vede k určitému zvýšení složitosti, časové náročnosti na obsluhu, případně klade nároky na uvědomělost nebo znalosti uživatele. Komfort používání je bohužel v nepřímé úměrnosti k úrovni zabezpečení. Vybalancování těchto protipólů je jedním z nejdůležitějších kroků při návrhu informačního systému. Pokud se však jedná o službu veřejného charakteru, která provádí současně finanční a kryptoměnové transakce, je akcent nezbytně na straně bezpečnosti. Směnárna RUBICOIN tuto zásadu následuje a proto přijměte naší omluvu za občasné striktní požadavky v některých postupech. Na první pohled nemusí být zřejmý jejich důsledek, ale za každým je snaha o vaše maximální bezpečí při používání funkcí směnárny.