FTX, bir kez sevgili Geçen Kasım ayında finansal olarak kötüye giden bir alevler topu içinde düşen kripto borsası, müşterilerinin dijital varlıklarını korumayı pek umursamamış gibi görünüyor.
Nitekim şirketin son iflas raporu Gözden düşmüş kripto borsası FTX’in, Jim-Beam’i sallayan bir maymun ile ahlaksız bir Roma imparatoru arasındaki bir melez gibi mali durumunu yönetmenin yanı sıra, görünüşe göre akla gelebilecek en kötü siber güvenlik uygulamalarından bazılarına sahip olduğunu ortaya koyuyor.
Evet, bu şirket sadece saldırıya uğramak istiyordu. Ve tabii ki oldu.
Geçen Kasım ayında, şirketin Bölüm 11’in iflasını ilan etmesinden 24 saatten kısa bir süre sonra ve eski lideri Sam Bankman-Fried’in (veya SBF) CEO olarak istifa etmesinden kısa bir süre sonra, şirket büyük bir darbe aldı. dijital soygun Kimliği henüz belirlenemeyen bir iblis, 432 milyon dolarlık varlıkla, hâlâ açıklanmayan bir dijital para destesiyle -tıpkı çok daha fazlası FTX müşterilerinin parası.
G/O Media komisyon alabilir
400 $ tasarruf edin
2021 14″ 1 TB MacBook Pro
MacBook Pro’lar gitmenin yolu
10 adede kadar çekirdekli CPU, profesyonel iş akışlarında her zamankinden daha hızlı uçmak için 3,7 kata kadar daha hızlı performans sunar. Yoğun grafikli uygulamalar ve oyunlar için 13 kata kadar daha hızlı performansa sahip 32 adede kadar çekirdekli GPU
O zamanlar, bilgisayar korsanlığı olayı, zaten destansı bir bok sundae’nin yanı sıra daha kötü bir haber gibi görünüyordu, ancak şimdi bölüm için biraz daha bağlamımız var. Gerçekten de, şirketin en temel dijital korumaları bile uygulamadaki toplam başarısızlığını kapsamlı bir şekilde inceleyen Pazartesi günkü rapor, şirketin daha önce nasıl saldırıya uğramadığını merak etmenize neden olacak komik bir başyapıt.
“FTX Group, kripto varlıklarını korumak için temel, geniş çapta kabul gören güvenlik kontrollerini uygulamada başarısız oldu. Raporda, müşteri işlemlerinin emanet edildiği bir işletme bağlamında her başarısızlık korkunçtu” denildi. İşte bu başarısızlıklarla ilgili çıkarımlardan bazıları.
FTX’in Güvenlik Kadrosu Yoktu
FTX, on milyarlarca dolarlık kripto varlıklarını korumakla görevli bir şirket olmasına rağmen, özel bir siber güvenlik ekibine sahip değildi. Hiçbiri. Gerçekten de, şirket hiçbir zaman bir CISO (bir bilgi güvenliği sorumlusu) onlar için şirketin risklerini yönetmek. Bunun yerine, rapora göre, güvenlik alanında resmi eğitim almamış ve işleri onları güvenliğe öncelik verme konusunda çelişkiye düşüren şirketin iki yazılım geliştiricisine güvendiler. Rapor şunları belirtir:
FTX Group’un bağımsız bir Baş Bilgi Güvenliği Sorumlusu, böyle bir rolün sorumluluklarını yerine getirmekle görevlendirilmiş uygun eğitime veya deneyime sahip bir çalışanı ve siber riski değerlendirmek, güvenlik kontrollerini uygulamak veya siber olaylara gerçek zamanlı olarak yanıt vermek için yerleşik süreçleri yoktu. ..Diğer alanlardaki kritik kontrollerde olduğu gibi, FTX Group siber güvenlik kontrollerine büyük ölçüde öncelik vermedi ve göz ardı etti; bu, FTX Group’un tüm işinin – varlıklarının, altyapısının ve fikri mülkiyetinin – bilgisayar kodu ve teknolojisinden oluştuğu göz önüne alındığında dikkate değer bir gerçektir.
Verilmiş, birçok teknoloji şirketi muzdarip personel sıkıntısı siber güvenlik söz konusu olduğunda, ancak bu yalnızca bir tek boynuzlu atsanız veya bir girişimseniz ve yetkin insanları işe alacak insan gücüne veya sermayeye sahip değilseniz mazur görülebilir. FTX, patlamasından önceki günlerde bildirildi 32 milyar dolar değerinde. Söylemek yeterli, bence bir adamı işe alabilirlerdi.
FTX Neredeyse Hiç Kullanılmayan Soğuk Depolama
FTX’in yaptığı bir başka aptalca şey de, kullanıcılarının kripto varlıklarını soğuk depolamada tutmayı başaramamasıydı; bu, çoğu kripto borsasının uyduğunu iddia ettiği standart bir güvenlik uygulamasıdır.
Genel olarak kripto varlıklar iki ayrı şekilde saklanabilir: “sıcak cüzdaninternete bağlı yazılım tabanlı hesaplar olan; Ve “soğuk depoÇevrimdışı, donanım tabanlı bir depolama biçimidir. Soğuk depolama güvenli olarak kabul edilirken, “sıcak cüzdanlar” daha risklidir, çünkü – web’e bağlı olduklarından – bunu yapabilirler (ve genellikle yaparlar). saldırıya uğramak.
Sağduyu, şirketlerin hesapları sıvı tutmak için gerektiği kadar kripto parayı sıcak cüzdanlarda tutmasını, kriptonun geri kalanının ise soğuk depoda tutulması gerektiğini öne sürüyor. Ancak FTX bunu yapmadı; bunun yerine rapor, müşterilerinin varlıklarının “neredeyse tamamını” sıcak cüzdanlarda tuttuğunu söylüyor.
FTX, soğuk depolamanın daha güvenli olduğunu falan bilmiyor muydu? Hayır, uygun kontrolleri uygulayamayacak kadar aptal olmaktan daha kötüsü, borsanın liderliği pek de umursamamış gibi görünüyor.
Raporda, FTX yöneticilerinin— SBF dahil—kullanıcıların varlıklarını soğuk depoda tuttuklarını iddia etti. Bir örnekte şirket, yatırımcılara endüstrinin en iyi uygulamalarına uygun olarak küçük bir miktar kripto parayı sıcak cüzdanlarda tuttuğunu, geri kalanının ise “coğrafi olarak dağıtılan hava boşluklu şifreli dizüstü bilgisayarlarda çevrimdışı olarak saklandığını” söyledi. Ancak rapora göre bu sadece bir saçmalıktı.
Bunun yerine, raporun belirttiği gibi, “FTX Grubu soğuk depolamadan çok az yararlandı”, “burada Japonya hariç” [it was] kullanılması yönetmelik gereğidir”.
Özel Anahtarlar Şifrelenmeden Bırakıldı
FTX gözetleyicilerinin yaptığı tamamen aptalca bir başka şey de, müşterilerin hassas kriptografik anahtarlarını ve çekirdek ifadeleri, görünüşe göre personel tarafından erişilebilen düz metin belgelerde saklamaktır.
Kriptoda, anahtar veya tohum ifade, sizi bir kullanıcının bireysel cüzdanına sokan şifredir. Endüstri standartları, kripto borsalarını bu bilgileri şifreli tutmaya ve böylece meraklı gözlerden korumaya zorladığını söylemekle yetinelim. Görünüşe göre on milyonlarca dolar değerindeki cüzdanları şifrelenmemiş, düz metin olarak açabilecek anahtarları AWS’de öylece duran FTX ile durum böyle değil.
Rapora göre bu, “FTX.com, FTX.US ve Alameda tarafından kullanılan özel anahtarların ve çekirdek ifadelerin FTX Group’un bilgisayar ortamı boyunca çeşitli konumlarda depolandığı, genel olarak düzensiz bir güvenlik yaklaşımının parçası ve özüydü. çeşitli güvensiz yöntemler kullanan ve herhangi bir tek tip veya belgelenmiş prosedür olmaksızın düzensiz bir moda.”
FTX Çetesi Gerçekten MFA Kullanmadı
SBF ve onun neşeli hipster grubu, görünüşe göre, bir ofiste çalışan hemen hemen herkesin bildiği çok temel bir web güvenliği biçimi olan çok faktörlü kimlik doğrulamanın “kullanımını etkili bir şekilde uygulamakta başarısız oldu”. Yakın zamanda yayınlanan rapor, kripto borsasının liderliğinin “Kimlik ve Erişim Yönetimi (“IAM”) ile ilgili en yaygın kabul gören kontrolleri bile uygun bir şekilde uygulamakta başarısız olduğunu belirtiyor. Bu, MFA’nın yanı sıra tek oturum açma hizmetlerinin kullanılmamasını da içeriyordu – aynı zamanda yaygın olarak endüstrinin en iyi uygulaması olarak kabul ediliyor.
Ve çok daha fazlası!
FTX’in işlediği anlaşılan güvenlik ihmaline ilişkin başka pek çok komik mücevher olduğunu söylemekle yetinelim, bu yüzden şu makaleyi okumanızı öneririm: tam rapor çenenizin yere düşmesini istiyorsanız.