Im vergangenen Jahr hat die Ethereum Foundation ihr Team engagierter Sicherheitsforscher und Ingenieure erheblich ausgebaut. Die Mitglieder haben sich aus verschiedenen Hintergründen von Kryptographie, Sicherheitsarchitektur, Risikomanagement, Exploitentwicklung und der Arbeit an roten und blauen Teams angeschlossen. Die Mitglieder stammen aus verschiedenen Bereichen und haben daran gearbeitet, alles von den Internetdiensten zu sichern, von denen wir alle jeden Tag angewiesen sind, über nationale Gesundheitssysteme und Zentralbanken.
Wenn sich der Zusammenschluss nähert, wird viel Anstrengung des Teams damit verbracht, die Konsensschicht auf verschiedene Weise sowie die Zusammenführung selbst zu analysieren, zu prüfen und zu erforschen. Eine Stichprobe der Arbeiten finden Sie unten.
Client Implementierung Audits 🛡️
Die Teammitglieder prüfen die verschiedenen Kunden -Implementierungen mit einer Vielzahl von Tools und Techniken.
Automatisierte Scans 🤖
Automatisierte Scans für Codebasen zielen darauf ab, niedrig hängende Früchte wie Abhängigkeitsschwachstellen (und potenzielle Schwachstellen) oder Verbesserungsbereiche im Code zu fangen. Einige der Tools, die für die statische Analyse verwendet werden, sind Codesql, Semgrep, ERRORPRORE und NUSY.
Da zwischen den Clients viele verschiedene Sprachen verwendet werden, verwenden wir sowohl generische als auch sprachspezifische Scanner für die Codebasen und Bilder. Diese werden durch ein System miteinander verbunden, das neue Erkenntnisse aus allen Tools in relevante Kanäle analysiert und meldet. Diese automatisierten Scans ermöglichen es, schnell Berichte über Probleme zu erhalten, die potenzielle Gegner wahrscheinlich leicht finden, um die Wahrscheinlichkeit zu erhöhen, Probleme zu beheben, bevor sie ausgenutzt werden können.
Handbuch Audits 🔨
Manuelle Audits von Komponenten des Stapels sind ebenfalls eine wichtige Technik. Zu diesen Bemühungen gehören die Prüfung kritischer gemeinsamer Abhängigkeiten (BLS), LIBP2P, neue Funktionen in Hardforks (z. B. Synchronisierungsausschüsse in Altair), eine gründliche Prüfung in eine bestimmte Kundenimplementierung oder Prüfung von L2s und Brücken.
Darüber hinaus, wenn Schwachstellen über die gemeldet werden Ethereum Bug Bounty ProgramForscher können Probleme gegen alle Kunden überprüften, um festzustellen, ob sie auch von der gemeldeten Frage betroffen sind.
Audits von Drittanbietern 🧑🔧
Zuweilen sind Drittunternehmen mit der Prüfung verschiedener Komponenten beschäftigt. Audits von Drittanbietern werden verwendet, um neue Clients, aktualisierte Protokollspezifikationen, bevorstehende Netzwerk-Upgrades oder alles andere als hochwertig als hochwertig angesehen.
Bei Audits Dritter arbeiten Softwareentwickler und die Sicherheitsforscher unseres Teams mit den Prüfern zusammen, um sie zu erziehen und zu unterstützen.
Fuzzing 🦾
Es gibt viele anhaltende Fuzzing -Anstrengungen, die von unseren Sicherheitsforschern, Mitgliedern von Kundenteams und Mitwirkenden des Ökosystems geleitet werden. Der Großteil der Werkzeuge ist Open Source und läuft auf dedizierter Infrastruktur. Die Fuzzers zielen auf kritische Angriffsflächen wie RPC-Handler, staatliche Übergangs- und Fork-Choice-Implementierungen usw. ab. Zusätzliche Anstrengungen umfassen Nosy Neighbor (AST-basierte Autofuzzgabeless-Generation), das CI-basierte und aus der Go Parser-Bibliothek aufgebaut ist.
Simulation und Prüfung der Netzwerkebene 🕸️
Die Sicherheitsforscher unseres Teams erstellen und nutzen Tools, um kontrollierte Netzwerkumgebungen zu simulieren, zu testen und anzugreifen. Diese Tools können schnell lokale und externe Testnets (“Angriffsnetze”) unter verschiedenen Konfigurationen ausführen, um exotische Szenarien zu testen, gegen die Clients gehärtet werden müssen (z. B. DDOs, Peer -Segregation, Netzwerkabbau).
Angriffe bieten eine effiziente und sichere Umgebung, um verschiedene Ideen/Angriffe in einer privaten Umgebung schnell zu testen. Private Angriffe können nicht von potenziellen Gegnern überwacht werden und ermöglichen es uns, Dinge zu brechen, ohne die Benutzererfahrung von öffentlichen Testnets zu stören. In diesen Umgebungen verwenden wir regelmäßig disruptive Techniken wie die Pause und die Verteilung von Netzwerken, um die Szenarien weiter zu erweitern.
Kunden- und Infrastrukturdiversitätsforschung 🔬
Klient- und Infrastrukturvielfalt hat viel Aufmerksamkeit von der Community erhalten. Wir verfügen über Tools, um die Vielfalt eines Kunden-, Betriebssystem-, ISP- und Crawler -Statistiken zu überwachen. Darüber hinaus analysieren wir die Netzwerkbeteiligung, die Anomalien der Bescheinigung von Bescheinigungen und allgemeine Netzwerkgesundheit. Diese Informationen sind geteilt über mehrere Standorte, um potenzielle Risiken hervorzuheben.
Bug Bounty -Programm 🐛
Der EF veranstaltet derzeit zwei Bug Bounty -Programme. eine zielte auf die Ausführungsschicht und ein anderer, der auf die zielte Konsensschicht. Mitglieder des Sicherheitsteams überwachen eingehende Berichte, arbeiten zur Überprüfung ihrer Genauigkeit und Auswirkungen und überprüft dann alle Probleme gegen andere Kunden. Kürzlich haben wir eine Offenlegung von allen veröffentlicht zuvor gemeldete Schwachstellen.
Bald werden diese beiden Programme in eine zusammengeführt, die allgemeine Plattform wird verbessert und für Kopfgeldjäger werden zusätzliche Belohnungen bereitgestellt. Seien Sie gespannt, um weitere Informationen dazu zu erhalten!
Betriebssicherheit 🔒
Die operative Sicherheit umfasst viele Anstrengungen am EF. Beispielsweise wurde die Überwachung der Asset -Überwachung eingerichtet, die die Infrastruktur und Domänen für bekannte Schwachstellen kontinuierlich überwachen.
Ethereum -Netzwerküberwachung 🩺
Ein neues Ethereum -Netzwerküberwachungssystem wird entwickelt. Dieses System funktioniert ähnlich wie a Siem und ist entwickelt, um das Ethereum-Netzwerk für vorkonfigurierte Erkennungsregeln sowie die dynamische Erkennung von Anomalie zu hören und zu überwachen, die nach Ausreißerereignissen scannt. Sobald dieses System im Vordergrund steht, wird er frühe Warnungen vor störenden Netzwerkstörungen oder dem Auftreten von Netzwerkstörungen liefern.
Bedrohungsanalyse 🩻
Unser Team führte eine Bedrohungsanalyse durch, um sich auf die Zusammenführung zu konzentrieren, um Bereiche zu identifizieren, die sich in Bezug auf die Sicherheit verbessert. Innerhalb dieser Arbeit haben wir Sicherheitspraktiken für Codeüberprüfungen, Infrastruktursicherheit, Entwicklersicherheit, Aufbau von Sicherheit (Dast, SCA und SAST in KI usw.) gesammelt und geprüft. Darüber hinaus wurde in dieser Analyse untersucht, wie Fehlinformationen verhindern können, aus denen Katastrophen steigen können und wie sich die Gemeinschaft in verschiedenen Szenrien erholen kann. Einige Anstrengungen im Zusammenhang mit Übungen zur Wiederherstellung von Katastrophen sind ebenfalls von Interesse.
Ethereum Client Security Group 🤝
Während sich der Zusammenschluss nähert, haben wir eine Sicherheitsgruppe gebildet, die aus Mitgliedern von Kundenteams besteht, die sowohl auf der Ausführungsschicht als auch auf der Konsensschicht arbeiten. Diese Gruppe wird sich regelmäßig treffen, um Angelegenheiten im Zusammenhang mit Sicherheit wie Schwachstellen, Vorfällen, Best Practices, fortlaufenden Sicherheitsarbeit, Vorschlägen usw. zu besprechen.
Vorfallreaktion 🚒
Blue Team -Bemühungen helfen dabei, die Lücke zwischen der Ausführungsschicht und der Konsensschicht zu überbrücken, wenn sich der Zusammenschluss nähert. Kriegsräume für die Reaktion in der Vorfälle haben in der Vergangenheit gut funktioniert, wo Chats während der Vorfälle mit relevanten Personen eintreten würden, aber mit der Zusammenführung kommt eine neue Komplexität. Weitere Arbeiten werden (zum Beispiel) Tooling geteilt, zusätzliche Debug- und Triage -Funktionen erstellen und Dokumentation erstellen.
Vielen Dank und engagieren Sie sich 💪 💪
Dies sind einige der Bemühungen, die derzeit in verschiedenen Formen stattfinden, und wir freuen uns, in Zukunft noch mehr mit Ihnen zu teilen!
Wenn Sie der Meinung sind, dass Sie eine Sicherheitsanfälligkeit oder einen Fehler gefunden haben, senden Sie bitte einen Fehlerbericht an die Ausführungsschicht oder Konsensschicht Bug Bounty Programs! 💜🦄
