Gli Smart Contracts non sono una novità recente, le prime sperimentazioni risalgono alla metà degli anni ’70 e rispondevano all’esigenza di attivazione e disattivazione delle licenze software per mezzo di una chiave digitale.
Oggi gli Smart Contract sono associati alla Blockchain che ne renderebbe efficace l'uso per finalità molto più estese, dalle assicurazioni con premi variabili ai bonus nei contratti di lavoro. Gli smart contract sono essenzialmente costituiti da un'applicazioni/algoritmo che detta le regole, applica e valida un contratto tra le parti contenente una variabile.
Un aspetto fondamentale dello Smart Contratct è la sua immutabilità, non potendo essere modificato nemmeno dal suo autore, nessuno può violare o derogare le regole previste all’interno del contratto digitale. Questa garanzia è oggi resa possibile grazie alla tecnologia blockchain.
Gli Smart Contracts sono sicuri? Dove risiede il pericolo?
Sicurezza dell'applicazione che usa la tecnologia blockchain. Un esempio è la vicenda che ha coinvolto Mt.Gox, la piattaforma di exchange sulla quale nel 2013 transitavano il 70% delle operazioni basate su Bitcoin. Nel 2014 Mt.Gox subisce una frode causata da una vulnerabilità dell'applicazione che verrà scoperta solo alcuni mesi dopo. Tale incidente ha significato per la piattaforma uno scoperto di 450 milioni di dollari e quindi il fallimento.
Un altro esempio riguarda lo Smart Contract "DAO" e operativo sulla rete Ethereum. DAO attuava un meccanismo di crowfunding per il quale gli investitori donavano a fronte di una conversione in token di voto con i quali votare i progetti finanziabili. Il codice dello Smart Contract presentava un bug, individuato dagli hacker, che ha consentito di sottrarre all’epoca 92 milioni di dollari.
In entrambi i casi, si può notare come non siano state le blockchain a rappresentare un rischio per la sicurezza ma le applicazioni che le manovravano.
Cosa sono le vulnerabilità?
Le vulnerabilità dei sistemi informatici possono essere individuate a livelli diversi: rete, hardware o nel codice dell'applicazione. L’acquisizione di questa consapevolezza negli ultimi anni porta le aziende a svolgere attività divulnerability assessment, che può far emergere criticità e far adottare le contromisure necessarie per ridurre gli attacchi, pur certi che il rischio zero non esista e che solo una macchina spenta è immune dall’essere attaccata (o quasi).
Molto spesso si tratta di errori di progettazione o di scrittura di codice, dei bug che permettono agli hackers di infiltrarsi fraudolentemente nei sistemi.
Oggi, stiamo assistendo a una controtendenza che vede le aziende impegnate a riportare dentro i confini aziendali il proprio know-how.
Infine ricordiamo come l’utilizzo di password comuni costituisca ancora oggi una pesante minaccia alla sicurezza. Una applicazione sicura infatti può essere violata "indovinando" le credenziali di accesso attraverso diverse tecniche illecite.
Software. Le vulnerabilità possono essere scoperte (o venire alla luce) anche ad anni di distanza quando il prodotto è molto diffuso sul mercato. Citiamo l'esempio di WinRAR che per 19 anni ha presentato una vulnerabilità che permetteva una manipolazione degli archivi.
Non meno gravi sono i casi che hanno coinvolto gli smartphone con sistema operativo IOS e Android, ai quali Apple e Google solitamente rispondono prontamente. Ma in un'azienda in cui il core business non è la tecnologia, e non ha la potenza di fuoco dei colossi tecnologici, in quanto tempo si riuscirà a risolvere un bug?
Meno rassicuranti sono infatti le integrazioni di terze parti per le quali Google ha dovuto redigere una serie di obblighi di adeguamento per la fornitura dei servizi.
Hardware. Sotto la lente ora sono le reti 5G, vulnerabili all’esfiltrazione di dati per mezzo di apparecchi che ne riescono a intercettare il traffico voce e dati, sino a simulare il dispositivo mobile della vittima per commettere cyber crime.
Hai degli asset di valore della tua azienda? Noi possiamo aiutarti a proteggerli.