URI-lərin, URL-lərin, HTTP, HTML-nin və Ümumdünya Şəbəkəsinin yaradıcısı Tim Berners-Li təkcə insanlar tərəfindən deyil, həm də maşınlar tərəfindən emal oluna bilən məlumatlara əsaslanan internetə istinad etmək üçün Veb 3.0 terminini işlətmişdir.
"Əgər sizə pulsuz bir şey təklif olunursa, məhsul sizsiniz" bir çox İnternet istifadəçisinin qəbul etməyə məcbur olduğu bir həqiqətdir. Web 3.0-ın əsas üstünlüyü ondan ibarətdir ki, o, Web 2.0-ın istifadəçini əmtəələşdirmə tərzini tamamilə dəyişdirir. Mərkəzləşdirilməmiş veb məlumatları sahiblərinin əlinə qaytarmaqla istifadəçilərə onu necə və kiminlə paylaşa biləcəklərini müəyyən etmək imkanı verir. Amma bu o deməkdirmi ki, Web 3.0 təhlükəsizlik məsələlərini tamamilə aradan qaldırıb? Böyük şübhələr var...
Həm Web 1.0, həm də Web 2.0-da proqram arxitekturası ilə birlikdə təhlükəsizlik modelləri inkişaf etmişdir. Təhlükəsiz Sockets Layer (SSL) protokolu müştəri ilə server arasında təhlükəsiz əlaqəni təmin etmək üçün Web 1.0-da Netscape tərəfindən qabaqcıl edilmişdir. Google, Microsoft, Amazon kimi etibarlı Veb 2.0 vasitəçiləri və sertifikat orqanları SSL-in varisi olan Nəqliyyat Layeri Təhlükəsizliyi (TLS) tətbiqində mərkəzi rol oynamışdır.
Eyni şey Web 3.0 ilə də baş verəcək, Unusual Ventures investisiya firmasının rəhbəri Wei Lien Dang deyir. Bu, Web 3.0 təhlükəsizliyinə investisiyanın keçən il on dəfədən çox artaraq milyard dolları keçməsinin əsas səbəbidir.
Məsələn, Web 3.0-ın müvəffəqiyyəti müxtəlif proqram arxitekturalarının yaratdığı yeni təhlükəsizlik problemlərini həll etmək üçün innovasiyalardan asılı olacaq. Web 3.0-da qeyri-mərkəzləşdirilmiş proqramlar və ya dApp-lar Web 2.0-da mövcud olan ənənəvi tətbiq məntiqi və verilənlər bazası qatlarına etibar etmədən qurulur. Bunun əvəzinə idarəetmə üçün blokçeyn, qovşaqlar və ağıllı müqavilələr istifadə olunur.
İstifadəçilərin hələ də məlumatları yeniləmək üçün serverlərə qoşulan xarici interfeysə çıxışı var. Bu hərəkətlər istifadəçilərdən şəxsi açarlarından istifadə edərək əməliyyatları imzalamağı tələb edir, adətən proqram cüzdanına bağlıdır, bu model istifadəçi nəzarətini və məxfiliyini qorumaq üçün nəzərdə tutulmuşdur. Blokçeyn üzrə əməliyyatlar tamamilə şəffaf, ictimai və dəyişməzdir.
Hər hansı bir sistem kimi, bu dizaynda da təhlükəsizlik problemləri var. Blockchain, Web 2.0-da olduğu kimi aktyorlara etibar tələb etmir, lakin təhlükəsizlik məsələlərini həll etmək üçün yeniləmələr etmək daha çətindir. İstifadəçilər şəxsiyyətlərini idarə edə bilərlər, lakin hücumlar və ya açarların oğurlanması halında yardım göstərə biləcək vasitəçilər yoxdur (məsələn, Web 2.0 provayderləri oğurlanmış vəsaitləri necə bərpa edə və ya parolları sıfırlaya bilər).
Cəmiyyəti narahat edən bir çox Web 3.0 təhlükəsizlik problemləri var.
Məlumat keyfiyyəti. Veb 1.0 şirkətlərin reputasiyasına əsaslansa da, Web 2.0 məlumatların keyfiyyətini aşağı saldı və bu, İnternetdə çoxlu sayda dezinformasiyaya səbəb oldu. Veb 3.0 dəqiqliyin yoxlanılmasını ehtiva edəcəkmi?
Məlumatların manipulyasiyası. Microsoft, Twitter-dən öyrənməyə icazə verərək, Tay chatbotunu öyrətmək qərarına gəldikdə, insanlar qəsdən maşına irqçilik haqqında öyrədən zərərli tvitlər göndərdilər. Təsəvvür edin ki, bir millət-dövlət bir maşına yanlış məlumat ötürməklə və ya sözlərin mənasını dəyişdirməklə dünyanı məhv etmək üçün nə edə bilər. Kibertəhlükəsizlik mütəxəssisləri onları necə tapacaq, bloklayacaq və aradan qaldıracaq?
Web 3.0-ın mövcudluğu. Sistemlərimiz verilənlərdən asılıdırsa, bu məlumatlar mövcud olmadıqda nə baş verir? İnternet bu günlərdə pozulmuş bağlantılarla doludur. Maşınlar ya İnternetdəki hər şeyin yerli surətlərini çıxarmalı, ya da Web 2.0 kimi tələb olunan məlumatları əldə etməli olacaqlar. Bu, İT komandalarının nəzarət edə bilmədiyi sistemlərin mövcudluğundan asılılığı artıra bilər.
Proaktiv qoruma
SSL/TLS-in ilk versiyalarında kritik zəifliklər var idi. İlkin təhlükəsizlik vasitələri ən yaxşı halda ibtidai idi və yalnız zaman keçdikcə daha etibarlı oldu.Lakin əgər Web 2.0-də təhlükəsizlik modelinin mühüm hissəsi insidentlərə reaksiya ilə bağlıdırsa, Web 3.0-da əməliyyatlar icra edildikdən sonra dəyişdirilə bilməz, ona görə də qabaqlayıcı mexanizmlərə ehtiyac var. Başqa sözlə, təhlükəsizlik qarşısının alınmasında təsirli olmalıdır.
Bu o deməkdir ki, Veb 3.0 icması kriptoqrafik primitivlərdən tutmuş ağıllı müqavilə zəifliklərinə qədər hər şeyi hədəf alan yeni hücum vektorlarının qarşısını almaq üçün sistem qüsurlarını texniki cəhətdən ən yaxşı şəkildə necə düzəltməyi müəyyən etməlidir. Certik, Forta, Slithe və Securify kimi Blockchain təhlükəsizlik şirkətləri, ənənəvi həmyaşıdları kimi, protokolları və ağıllı müqavilələri qorumaq və izləmək üçün süni intellekt texnologiyasından istifadə edirlər.
Veb 3.0 proaktiv təhlükəsizlik modelini inkişaf etdirəcək ən azı dörd təşəbbüs var.Zəifliklər haqqında etibarlı məlumatlar. Aşkar edilmiş Web 3.0 zəiflikləri haqqında etibarlı məlumat mənbəyi tələb olunur. Bu gün Milli Zəiflik Məlumat Bazası əsas məlumatları təqdim edir. Web 3.0 ekvivalentinə ehtiyac duyur. Hazırda natamam məlumatlar SWC Registry, Rekt, Smart Contract Attack Vectors və DeFi Threat Matrix kimi müxtəlif yerlərə səpələnib. Yeni zəiflikləri müəyyən etmək üçün xüsusi mükafat proqramlarına ehtiyac var.
Qərar vermə modelləri. Web 3.0 üçün qərar modeli hazırda məlum deyil. Mərkəzsizləşdirmə istifadəçilər üçün ciddi nəticələrə səbəb ola bilər. Son Log4j zəifliyi kimi nümunələr hamı üçün xəbərdarlıqdır.
Mərkəzləşdirilməmiş muxtar təşkilatlar (DAO), təhlükəsizlik mütəxəssisləri, Alchemy və Infura kimi proqram təminatçılarının ortaya çıxan problemlərin həllində necə əməkdaşlıq etməyi planlaşdırdıqlarını başa düşmək lazımdır. Buna misal olaraq, böyük Açıq Mənbə icmalarının OpenSSF və CNCF məsləhət qruplarını necə formalaşdırdığını və təhlükəsizlik məsələləri ilə məşğul olmaq üçün qaydalar təyin etməsini göstərmək olar.
Doğrulama və imza. Əksər mərkəzləşdirilməmiş tətbiqlər, o cümlədən ən məşhur tətbiqlər bu gün sorğulara cavablarını təsdiqləmir və imzalamır. Bu o deməkdir ki, istifadəçinin proqram pulqabı bu proqramlardan məlumatları əldə etdikdə, cavabın real proqramdan olduğunu və verilənlərə heç bir şəkildə müdaxilə edilmədiyini yoxlamaqda boşluq yaranır.
Tətbiqlər əsas təhlükəsizlikdən istifadə etməsə, istifadəçilər öz müdafiə səviyyələrini təyin edə bilməyəcəklər. Ən azı, riskləri müəyyən etmək üçün daha yaxşı üsullar olmalıdır.
İstifadəçi nəzarəti altında sadə açar idarəetməsi. Kriptoqrafik açarların idarə edilməsi çətin olduğu bilinir. Onlar istifadəçilərin Web 3.0 paradiqmasında əməliyyatlar aparmaq qabiliyyətinin əsasını təşkil edir.
Şəxsi açarların idarə edilməsi ilə bağlı mürəkkəblik və risk istifadəçiləri məqbul pulqabıları – üçüncü tərəf tərəfindən idarə olunan pul kisələrini, həbsdən kənar (qeyri-həbs) seçməyə təşviq edən əsas amildir. Bununla belə, isti pul kisələri bir kompromislə gəlir: onların arxasında Web 3.0-ın təklif etdiyi hər şeyi istifadə etmək imkanını məhdudlaşdıran CoinBase kimi vasitəçilər dayanır.
Araşdırma
Sentyabr ayında Brave Research, Web 3.0 məxfilik və təhlükəsizlik məsələləri ilə bağlı ağ sənəd nəşr etdi. O, 78 qeyri-mərkəzləşdirilmiş maliyyə xidmətlərinin (DeFi) siyahısını tərtib etdi və bu xidmətləri təhlükəsizlik və məxfilik problemləri üçün təhlil etmək üçün skaner yaratdı.Tədqiqatçılar bəzi DeFi saytlarının üçüncü tərəflərə etibar etdiyini və bəzən hətta onlara Ethereum ünvanı verdiyini aşkar etdilər. Ethereum ünvanını Google-a sızdırmaq xüsusilə problemlidir, çünki şirkət çox güman ki, istifadəçinin Ethereum ünvanı ilə əlaqələndirə bilən şəxsi məlumatlarına malikdir və bu, daha sonra blokçeyndəki əməliyyat tarixi ilə əlaqələndirilə bilər. Reklam biznesi olan Google bu məlumatlardan pul qazanmaqda maraqlıdır.
Bir çox saytların üçüncü tərəf skriptlərini yerləşdirdiyi aşkar edilmişdir ki, bu da həmişə təhlükəsizlik riskidir, lakin bu risk DeFi-da xüsusilə nəzərə çarpır, çünki vəsaitlər risk altındadır və üçüncü tərəf skriptləri ehtimalı artırmaq üçün saxta pul kisəsi əməliyyatlarına başlaya bilər. istifadəçi onları qəbul edəcək. Təhlil edilən 78 DeFi xidməti arasında 48-i (66%) üçüncü tərəflərdən ən azı bir üçüncü tərəf skriptini yerləşdirir. Təəccüblü deyil ki, Google-un bu skriptlər arasında mövcudluğu geniş yayılmışdır, 41 DeFi xidməti (56%) Google tərəfindən təmin edilmiş ən azı bir skripti özündə cəmləşdirir.
***
Mərkəzləşdirilmiş şəbəkənin yaratdığı problemlər yeni deyil. Məxfiliyin pozulması, istifadəçi məlumatlarından sui-istifadə və məlumatların inhisarçılığı bütün dünyada diqqət mərkəzindədir. Hökumətlər texnoloji nəhəngləri yeni qaydalarla cilovlamağa çalışır, şirkətlərin özləri də istehlakçı inamını bərpa etmək üçün məlumatları qorumaq üçün addımlar atır. Bu gün ən ümidverici perspektivlərdən biri odur ki, Veb 3.0 təhlükəsizlik innovasiyaları açıq şəkildə həyata keçirilir və bu, yaradıcı həllərə gətirib çıxara bilər.
bbabo.Net