Чем отличается безопасность в WEB3 от безопасности в WEB2 ? Интернет прошел через несколько этапов эволюции. Первоначальный Интернет (Web 1.0) состоял из статических страниц. Веб 2.0 добавил динамические и интерактивные веб-страницы и пользовательский контент, чтобы создать Интернет, который мы знаем сегодня.
Web 3.0 (или Web3, как его более широко называют) — это следующий этап в эволюции Интернета. Web3 использует технологию блокчейна для создания более децентрализованной сети. Вместо независимых сайтов, размещенных на определенном сервере, использование блокчейна в Web3 обеспечивает большую отказоустойчивость, защиту от цензуры и другие преимущества.
WEB3 и WEB2: основные различия в безопасности
Web3 сталкивается со многими из тех же угроз безопасности, что и Web2. Однако, различия между двумя технологиями создают новые риски безопасности и усиливают другие. Ниже мы описали некоторые из основных последствий Web3 для безопасности.
Исправление или предотвращение
В Web 2.0 и традиционных ИТ, значительная часть работы по обеспечению ИТ-безопасности связана с реагированием. Если в рабочем приложении обнаруживается уязвимость, для устранения проблемы развертывается исправление. Если данные на сервере повреждены или зашифрованы программой-вымогателем, их можно «откатить» до чистого состояния из резервной копии.
В Web3 данные хранятся в неизменном реестре блокчейна. Если атаки, зарегистрированные в блокчейне, нельзя обратить вспять, их необходимо предотвратить. Это делает необходимым, чтобы безопасность Web3 была более проактивной и ориентированной на предотвращение, а не на обнаружение и реагирование на Web2.
Управление идентичностью
В Web 2.0 подтверждение личности в реальном мире является основным направлением многих систем. Компании хотят продавать данные пользователей и предотвращать спам в своих системах, поэтому они усердно работают над аутентификацией пользователей. Это также имеет преимущества с точки зрения безопасности, поскольку может помочь в сдерживании, расследовании и реагировании на угрозы.
Системы на основе блокчейна, такие как Web3, являются псевдонимными, а пользователи идентифицируются по их открытому ключу и адресу блокчейна. В Web3 основными проблемами являются управление ключами и безопасность, а слабая аутентификация пользователей упрощает проведение атак и усложняет идентификацию и преследование злоумышленников.
Централизация системы
Web2 чрезвычайно централизован. Крупные технологические компании (например, Meta, Twitter и т. д.) контролируют значительный процент веб-трафика и инфраструктуры. Это имеет серьезные последствия для конфиденциальности, но также означает, что эти организации владеют своей безопасностью и могут выделить значительные ресурсы для обеспечения безопасности своей инфраструктуры.
Децентрализация — основной принцип Web3; однако децентрализация имеет последствия для безопасности. При децентрализации никто не «владеет» безопасностью системы, а принятие решений распределяется. Управление на основе консенсуса, как правило, медленнее, децентрализованные системы не имеют возможности заставить узлы устанавливать обновления безопасности, а схемы децентрализованного управления также могут быть целью атак.
Платежные интеграции
Киберпреступность имеет финансовую мотивацию. Многие из наиболее распространенных атак, например программы-вымогатели, обеспечивают четкий путь к прибыли. В целом, кража денег в Web 2.0 подразумевает кражу ценных данных (информации о платежных картах, данные, которые могут быть использованы для мошенничества и т. д.) и их монетизацию каким-либо образом.
В Web 3.0 деньги встроены в саму сеть в виде криптовалют. Это облегчает киберпреступникам монетизацию своих атак, о чем на сегодняшний день свидетельствуют взломы DeFi на сумму более 26 миллиардов долларов, что делает финансовые атаки и безопасность более важными.
Прозрачность или безопасность через неизвестность
Принцип Керкхоффса гласит, что ни одна система не должна полагаться на безопасность через неясность. Разработчики программного обеспечения не должны пытаться защитить свои системы, пытаясь запутать и скрыть любые уязвимости в надежде, что злоумышленник не сможет их найти.
Однако, эта практика распространена в Web 2.0. И, несмотря на то, что это не лучшая практика безопасности, у нее есть свои преимущества. Злоумышленники обычно ищут легкие плоды, а код, который трудно читать и анализировать, с меньшей вероятностью обнаружит и воспользуется его уязвимостями.
В Web 3.0 больше нельзя полагаться на безопасность через неизвестность. Многие проекты имеют открытый исходный код на GitHub, а те, которые не являются открытыми, имеют исходный код, который можно загрузить из блокчейна и декомпилировать. Это увеличивает вероятность того, что уязвимости будут обнаружены и использованы, что делает еще более важным их поиск и исправление до того, как код будет развернут в блокчейне.
Web3 все еще находится в зачаточном состоянии, и потребуется значительное развитие, прежде чем он вытеснит Web2. По мере его развития и развития технологий, некоторые риски безопасности могут быть окончательно устранены, а другие могут быть созданы.