Un nuovo tipo di attacco informatico che può rendere inutilizzabile la tecnologia blockchain può diventare un grave grattacapo per le organizzazioni che dipendono da essa.

Conosciuto come "avvelenamento della privacy, " l'attacco prevede il caricamento di dati privati, come nomi, indirizzi e numeri di carta di credito, o materiale illegale, come la pedopornografia, in una blockchain, mettendo quindi la rete in conflitto con le leggi locali. Il risultato è che la catena interessata con tutti i dati in essa contenuti non può essere utilizzata a meno che non vengano presi provvedimenti costosi e dispendiosi in termini di tempo.

Blockchain è un registro digitale delle transazioni eseguito su una rete di computer senza autorità di governo o di regolamentazione centralizzata. È gestito da chi lo usa. La tecnologia è sempre più esplorata da banche e società di servizi finanziari, governi e imprese in fase di avvio per il suo potenziale di migliorare l'efficacia dei sistemi di pagamento riducendo i costi.

Un fattore nell'aumento dell'avvelenamento da blockchain è l'introduzione di forti leggi sulla privacy dei dati come il regolamento generale sulla protezione dei dati dell'Unione europea, o GDPR, e il Consumer Privacy Act della California, o CCPA. Entrambi consentono ai consumatori di richiedere che i dati personali detenuti da un'azienda vengano cancellati o cancellati.

Questo è un problema per i sistemi blockchain perché sono progettati per impedire modifiche alle transazioni passate, e non esiste un'autorità centrale incaricata di correggere i problemi. Le cosiddette blockchain pubbliche come quelle alla base delle criptovalute come bitcoin ed ether sono maggiormente a rischio perché chiunque può partecipare. I partecipanti alle blockchain private devono essere invitati e convalidati dallo starter della rete.

Bart Willemsen, un analista con la società di ricerca Gartner Inc., ha affermato che il doppio pugno di avvelenamento della privacy e leggi sulla privacy colpirà particolarmente duramente le blockchain pubbliche.

Willemsen ha stimato che entro il 2022, tre blockchain pubbliche su quattro subiranno un avvelenamento della privacy:dati personali inseriti che rendono la blockchain non conforme alle leggi sulla privacy. Le aziende che desiderano implementare la tecnologia devono determinare se uno qualsiasi dei dati utilizzati rientra nelle leggi sulla privacy, ha detto in un'intervista.

Sotto GDPR, i diritti individuali alla privacy includono il "diritto all'oblio, " il che significa che tutti i dati personali che appaiono pubblicamente dovrebbero essere cancellati.

"Le organizzazioni che implementano sistemi blockchain senza gestire i problemi di privacy in base alla progettazione correranno il rischio di archiviare dati personali che non possono essere eliminati senza compromettere l'integrità della catena, "Secondo un rapporto Gartner.

Willemsen ha citato una storia, che ha ammesso può essere apocrifo, di un incontro della Commissione Europea in cui un partecipante ha pagato una pizza in bitcoin e i destinatari hanno pensato che sarebbe stato divertente immortalare il momento inserendo i loro nomi in campi di testo scrivibili nella blockchain di bitcoin.

"Saresti davvero sempre ricordato, e proprio qui sta il problema, "Ha detto Willemsen.

Questi campi di testo nelle blockchain pubbliche sono indelebili. Willemsen ha notato che ciò che costituisce informazioni personali copre molte cose, dai nomi ai riferimenti univoci riconducibili a un individuo.

Willemsen ha affermato che i clienti Gartner hanno avuto problemi simili, anche se ha rifiutato di discutere le circostanze, citando accordi di riservatezza.

Indelebile vs. cancellabile Oltre alla legge della California, legislazione simile, con forti tutele della privacy dei consumatori, è in attesa a New York, New Jersey e Washington.

Le aziende che cercano di utilizzare la blockchain come soluzione sicura potrebbero voler ripensare, disse Jenny Leung, un avvocato con Blakemore, Cadere su, Garcia, Rosini &Russo a New York.

Ha notato che il 1 gennaio, 2020, il CCPA darà ai consumatori della California il "diritto alla cancellazione" che è simile al diritto all'oblio del GDPR, in quanto consente alle persone di richiedere alle aziende di eliminare i dati personali che hanno archiviato. Ma le informazioni memorizzate su una blockchain non possono essere cancellate, che possono mettere le aziende nei guai con la legge se hanno lanciato o organizzato il servizio basato su blockchain, lei disse.

L'unico modo per cancellare i dati può essere attraverso un elaborato processo di "reforking", che sposta l'intera rete su un nuovo set di dati e invalida il vecchio set.

Le blockchain private sono leggermente più resistenti all'avvelenamento della privacy, sebbene possa verificarsi. In quei casi, eventuali aziende che sono ancora collegate al registro possono costringere tutti i partecipanti a partecipare a un "hard fork" per cancellare i dati incriminati. Oppure le blockchain private possono costringerle a smettere di funzionare o distruggere tutte le copie delle chiavi private per rendere permanentemente inaccessibili i dati crittografati, ha detto Leung.

Questo processo diventa troppo costoso e complicato per le blockchain pubbliche, lei disse. Potrebbero essere necessarie centinaia di milioni di dollari per noleggiare una quantità sufficiente di attrezzatura per il mining di criptovalute per alterare la rete o orchestrare un hard fork convincendo la maggioranza a passare a una nuova catena che non contenga i dati interessati.

"Non è qualcosa che vuoi fare ogni volta che vuoi eliminare qualcosa, " Ha detto Leung. "È costoso e richiede tempo".

Oltre agli attacchi dannosi, Willemsen ha notato che molti casi saranno molto probabilmente causati da errori umani e da una cattiva progettazione del processo. Non importa ai sensi del GDPR se una blockchain ha esposto i dati personali in modo innocente attraverso un errore, Egli ha detto.

Una volta che l'avvelenamento della privacy diventa più diffuso, Willemsen ha detto che si aspetta che accadano molte cose. Il primo è che le persone continueranno a ignorare le pratiche sulla privacy come fanno per altri tipi di sicurezza informatica. Strumenti di hacking automatizzati possono emergere da alcune comunità online per prendere di mira blockchain pubblici esposti o per rendere inutili i sistemi dei concorrenti, Egli ha detto.

Le aziende interessate all'utilizzo di un registro pubblico potrebbero voler optare per blockchain privati, disse Randi Eitzman, analista senior della ricerca delle minacce con FireEye iSIGHT Intelligence, un servizio di ricerca e analisi delle minacce alla sicurezza informatica.

Le blockchain sono in definitiva "solo costosi archivi di dati centralizzati, " Eitzman ha detto in una risposta via e-mail alle domande. "Le aziende che cercano un'archiviazione sicura dei dati potrebbero evitare di usarli a seconda della loro analisi costi-benefici, but a simple solution would be to avoid storing any sensitive customer information on a blockchain."

Regarding attacks on public blockchains, Eitzman noted that easy-to-use tools that allow anyone to write and store data on-chain, such as Bitstagram, a mobile application that lets users upload their smartphone photos to a blockchain, already exist. With such tools, it wouldn't take much for someone to upload illegal content, lei disse.

"The benefit of a public ledger is that all transactions are easily viewable and can be tracked, " she said. "Anyone who stores sensitive or illegal content on-chain is doing so at their own risk."

©2019 CQ-Roll Call, Inc., All Rights Reserved
Distribuito da Tribune Content Agency, LLC.