Technology In Depth

La sicurezza e i rischi del Web3

Il Web3 sta prendendo forma davanti ai nostri occhi. Siamo impegnati a scoprirne i vantaggi e le opportunità, ma è importante ricordarsi che porta con sé anche nuove minacce alla cybersicurezza, alla finanza e alla privacy. Non vanno ignorate, meglio approfondirne la peculiare natura

Pubblicato il 28 Mar 2023

web3 i rischi

Per definire e descrivere l’attuale evoluzione di Internet si guarda troppo spesso solo all’architettura, descrivendola come altamente decentralizzata. Pochi si interrogano su come si trasformerà la sicurezza nel web. Eppure, questi primi esordi di Web3 sono stati caratterizzati da un’impennata di finanziamenti, sviluppo e rumors, ma anche frodi e incidenti di cybersicurezza.

In generale, il mercato da qualche anno sta confrontandosi con opportunità e pericoli di un Internet sempre più decentralizzato. Gli sviluppatori e gli utenti più affezionati, però, dovrebbero considerare il Web3 in tutta la sua interezza, comprese le sue caratteristiche e i suoi rischi per la sicurezza.

Che cos’è il Web3?

Il Web3, da un certo punto di vista, può essere considerato un movimento che mira a trasferire i benefici economici del World Wide Web ai suoi partecipanti, modificandone l’architettura di base. La prima generazione del Web, chiamata anche Web1, non offriva molta libertà di azione: permetteva solo di leggere le informazioni statiche caricate dagli amministratori del sito.

Il Web2 ha segnato una rivoluzione, sbloccando i contenuti generati dagli utenti: dai blog ai social media, dai video alle applicazioni mobile. Quando miliardi di persone in tutto il mondo hanno iniziato ad affidare al web materiali e informazioni personali, commerciali e finanziarie, le big tech hanno raccolto una quantità colossali di dati, centralizzandoli e guadagnandoci. Questo non solo ha acuito la differenza di poteri tra utenti e piattaforme, ma anche tra chi ricava denaro e chi invece no. Allo stesso tempo ci ha anche esposto a numerosi rischi di cybersicurezza, frodi e problemi legati alla privacy dei dati.

Il Web3 segna quindi una svolta anche sociale ed etica, oltre che tecnologica. I database decentralizzati e i libri mastri distribuiti su nodi disponibili a chiunque sono infatti progettati per contrastare i rischi di monopolizzazione e di “honeypots” centralizzati di informazioni sensibili. Al contempo, le informazioni affidabili sono disponibili e vengono aggiornate simultaneamente su molti nodi, riducendo la possibilità di furti, frodi o cancellazioni.

La tecnologia blockchain sottostante consente, inoltre, di descrivere in modo univoco qualsiasi evento – sia esso una transazione, un’interazione o un’identificazione – rendendo possibile la tokenizzazione.

Secondo i sostenitori di questo innovativo paradigma, tutto ciò costituisce la base di una nuova forma di economia digitale, in cui qualsiasi cosa – dai contenuti alle valute alle credenziali – può essere venduta, trasferita, venduta o controllata dall’utente, in modo totalmente indipendente rispetto alle azioni di qualsiasi forma di autorità centralizzata.

Caratteristiche di sicurezza del Web3

Questo sono gli aspetti del Web3 che hanno il maggiore impatto sulla sicurezza:

  • Identità e tokenizzazione. Gli hash unici consentono l’autenticazione e il controllo degli asset da parte dell’utente, mentre gli smart contract determinano i privilegi, con l’ammissibilità basata su metriche di reputazione legate alle identità digitali.
  • Tecnologia del libro mastro distribuito. La natura decentralizzata della DLT migliora la trasparenza e riduce la probabilità di manomissioni e frodi.
  • Zero trust. I dati fluiscono da peer a peer nelle applicazioni decentralizzate invece di passare attraverso intermediari di cui gli utenti si fidano.

Le nuove opportunità offerte dal Web3 sono accompagnate da minacce inedite di cybersecurity. Le imprese le devono conoscere il meglio possibile.

Rischi per la sicurezza del Web3

Le caratteristiche del Web3 e delle architetture blockchain fanno sperare in un futuro entusiasmante. Va ammesso, però, che può essere difficile prevedere i nuovi rischi che potrebbero emergere dai compromessi fatti in fase di progettazione. Per esempio, la democratizzazione del Web2 dei contenuti generati dagli utenti non ha rappresentato solo una rivoluzione nel modo di esprimersi, nell’accesso alle informazioni e nel significato di community. La seconda versione del web ha anche inaugurato l’era della disinformazione, della sorveglianza e dei controlli centralizzati.

Questi primi giorni di sviluppo del Web3 sono quindi cruciali per valutare i rischi emergenti, che rientrano nelle seguenti quattro categorie principali:

Social engineering e nuove forme di attacco

Il Web3 ha introdotto una nuova classe di minacce informatiche, uniche per le reti e le interfacce blockchain. Di seguito ne sono riportati alcuni esempi: 

  • Hackeraggio della logica degli smart contract. Questa nuova minaccia prende di mira la logica codificata nei servizi blockchain. Gli attacchi sono mirati a sfruttare un’ampia gamma di funzioni e servizi, come l’interoperabilità, i servizi di cripto-prestito, la governance dei progetti e le funzioni dei portafogli di criptovalute. Gli attacchi alla logica degli smart contract sollevano anche importanti questioni legali. Spesso, infatti, manca una legge che li protegga o sono frammentati in diverse giurisdizioni.
  • Attacchi ai prestiti lampo. Con questa minaccia, gli smart contract designati a supportare l’erogazione di prestiti lampo, vengono attaccati per sottrarre beni. I prestiti non garantiti vengono sfruttati, manipolando i vari input dello smart contract, come è accaduto di recente in un attacco da 24 milioni di dollari a xToken.
  • Cryptojacking. Il cryptojacking si verifica quando gli attori delle minacce installano silenziosamente software di cripto-mining sui computer e sulle reti delle vittime.
  • Attacchi a tappeto. Questi attacchi coinvolgono addetti ai lavori: sviluppatori di criptovalute, gruppi criminali, influencer pagati, ecc. In questo caso creano rumors attorno a un progetto, per poi fuggire con i fondi degli investitori.
  • Ice phishing. Nell’ice phishing, gli aggressori convincono gli utenti a firmare una transazione che delega l’approvazione dei token dell’utente all’aggressore.

Questi nuovi metodi si affiancano alle tradizionali minacce di social engineering, come gli attacchi di phishing. I rischi nel nuovo contesto sono maggiori perché gli utenti, stavolta, devono assumersi la responsabilità della sicurezza dei propri dati, anziché affidarsi a gatekeeper centralizzati. In effetti, la presenza di portafogli multipli gestiti personalmente e di password non ripristinabili, rendono più che mai complesse le interfacce Web3 e aumentano il livello di vulnerabilità legato al social engineering.

Molti recenti attacchi alla blockchain si sono concentrati meno sulla tecnologia e più sulle vulnerabilità dell’elemento umano. Il furto di chiavi crittografiche, per esempio, è stato la probabile causa della violazione da 73 milioni di dollari della borsa di criptovalute Bitfinex. Anche le vulnerabilità degli endpoint, come quelle a livello di dispositivi, app, portafogli o terze parti, sono punti di accesso per i malintenzionati. Discorso simile per i dipendenti e il personale dei provider, che sono potenziali bersagli come dimostra il caso di Bithumb, una borsa di criptovalute che, secondo gli investigatori, è stata violata compromettendo il computer di un dipendente.

Sicurezza e affidabilità dei dati

Una topologia di rete più ampia, che comprende tutti i vari attori, gli archivi dei dati e le interfacce, aumenta intrinsecamente l’esposizione ai rischi.

Le transazioni blockchain, però, sono criptate e la decentralizzazione dei dati e dei servizi riduce i singoli punti di attacco e i rischi di censura. Nonostante questo, c’è un alto potenziale, legato all’esposizione dei dati, che comporta alcuni rischi. 

  • Disponibilità dei dati. Dato che il controllo spetta in misura molto maggiore ai nodi dell’utente finale, ci si interroga su cosa possa succedere, in caso di indisponibilità dei dati.
  • Autenticità dei dati. Se i dati sono invece disponibili, come ci si assicura che siano anche autentici, accurati, originali o validi? La decentralizzazione rende più difficile la censura, ma lascia aperte alcune domande relative alla qualità e all’accuratezza delle informazioni. Spesso spuntano problemi di disinformazione e di sicurezza. Non è ancora chiaro come le interruzioni di zero trust, identità e gatekeeping influenzino la qualità dei dati. Meno ancora si riesce a capire dei modelli di intelligenza artificiale che utilizzano questi dati.
  • Manipolazione dei dati. Se si riscontra questo problema, è necessario alzare i livelli di protezione riguardo ad alcuni rischi: 
  1. l’iniezione di script dannosi all’interno o attraverso l’ampia gamma di linguaggi di programmazione coinvolti nel Web3 per eseguire i comandi delle applicazioni;
  2. intercettazione di dati non criptati trasmessi in rete;
  3. clonazione del portafoglio, che si può effettuare accedendo alla passphrase di un utente, appropriandosi di fatto del suo contenuto; 
  4. accesso non autorizzato ai dati, che apre agli hacker tutte le possibilità di cui sopra, oltre a quella di impersonare il nodo dell’utente finale.
  • Supervisione meno centralizzata. Altri problemi di sicurezza del Web3 sono gli attacchi agli endpoint, i sovraccarichi di traffico e altri sfruttamenti della disponibilità dei servizi. Molto probabilmente saranno oggetto di una minore attenzione da parte dell’IT. Esistono infine alcune questioni di sicurezza che riguardano anche il Web3 in senso lato. Si pensi, per esempio, alla difficoltà di controllare i criminali informatici tra attori distribuiti e anonimi o all’interno di un metaverso.

Identità e anonimato

I wallet controllati dall’utente, la portabilità dell’ID e la minimizzazione dei dati, attenuano alcuni dei rischi di riservatezza e privacy tipici del Web2. Ciò accade perché sono funzionalità introdotte solo nel Web3 e che offrono agli utenti un maggiore potere e controllo sui propri dati.

L’identità auto-sovrana (SSI), lo pseudo anonimato e l’anonimato hanno però degli aspetti negativi. La natura trasparente delle blockchain pubbliche rende disponibile a tutti la registrazione delle transazioni. Questo crea fiducia in assenza di intermediari, ma comporta anche compromessi, in termini di sicurezza e privacy. Ecco alcuni esempi di rischi legati all’identità nel Web3:

  • User experience. La maggior parte degli SSI e dei portafogli di criptovalute richiede processi di onboarding macchinosi, conoscenza sulle chiavi private e versioni multiple con scarsa interoperabilità.
  • Privacy. Il Web3 pone molti interrogativi sulla privacy. Quali informazioni vengono memorizzate on-chain e quali off-chain? Chi deve sapere quando e come autenticare le transazioni? Chi decide e in base a quali parametri?
  • Compliance. Lo pseudo anonimato del Web3 crea lacune nei dati per le autorità di regolamentazione e apre le porte al riciclaggio di denaro e al finanziamento del terrorismo. Gli ID decentralizzati rendono complessa anche l’applicazione di normative come il GDPR. Diventa infatti difficile distinguere i responsabili del trattamento dei dati di identificazione personale (PII) (entità responsabili di garantire la privacy e la sicurezza) dagli incaricati del trattamento dei dati PII (entità che elaborano i dati PII secondo le istruzioni del responsabile del trattamento).
  • Anonimato. La segretezza può causare confusione e intaccare alcune norme sociali, come hanno dimostrato i bot del Web2. L’anonimato solleva questioni di responsabilità, ricorso legale e tutela dei consumatori.

Con l’evoluzione delle applicazioni del Web3 nel prossimo decennio, le organizzazioni devono considerare anche i seguenti rischi:

  • In che modo l’uso della biometria influirà sull’identità, sia per l’autenticazione degli utenti o dei dipendenti, sia per l’assistenza sanitaria o altro?
  • Come interagiranno le caratteristiche di identità dei dispositivi IoT negli ambienti Web3, quando infrastrutture come automobili o pannelli solari diventeranno leve economiche?
  • In che modo i contraccolpi istituzionali, gli abusi politici e le blockchain centralizzate a livello nazionale potrebbero influire sul trattamento di dati di identità e proprietà immutabili?

Proprio come hanno fatto con il Web2, le organizzazioni devono considerare attentamente le questioni relative alla progettazione, alle policy, ai diritti umani e alla monetizzazione del Web3.

Incentivi economici e rischi sociali

Microeconomie, valute e altri beni finanziari sono incorporati nella maggior parte delle prime applicazioni del Web3 e nelle community digitali. Ne nascono nuovi incentivi e disincentivi che spostano il calcolo del rischio. Prendiamo ad esempio la sicurezza informatica: le architetture economiche incorporate nel Web3 creano chiari incentivi per gli hacker, rispetto alle tradizionali distribuzioni cloud o IT. Negli ambienti tradizionali, i servizi e i dati vengono spesso sfruttati senza un chiaro e immediato beneficio monetario. Nelle applicazioni blockchain, invece, un valore significativo è spesso già codificato direttamente nella blockchain.

Le aziende devono anche valutare il Web3 dal punto di vista degli utenti e dei rischi legali, ambientali e sociali correlati. Poiché le nozioni di proprietà individuale, partecipazione finanziata e interoperabilità decentralizzata sono incorporate nella rete, i leader e coloro che progettano e salvaguardano l’ecosistema del Web3 devono affrontare diverse questioni che riguardano la sicurezza dell’organizzazione e degli individui:

  • Come possono le aziende supportare l’accessibilità ed evitare di far aumentare il gap digitale e finanziario?
  • Come possono le organizzazioni sostenere il miglioramento sociale e ambientale quando l’UX è iper-capitalizzata e le interazioni sono guidate dalla tokenizzazione o da altri segnali di reputazione “acquistabili”?
  • In che modo le aziende tradizionali potranno operare con le organizzazioni autonome decentralizzate del Web3 e quali sono gli “involucri” legali che offrono protezione?
  • Come faranno le organizzazioni a promuovere un clima di fiducia tra singoli partecipanti e imprese negli ambienti del Web3?

Nuove opportunità, quindi nuovi rischi

La prossima generazione del web non si limita a dare più potere alle persone attraverso una governance distribuita (tecnologica, sociale ed economica) ma si propone anche di migliorare la sicurezza dell’ecosistema.

Le reti distribuite offrono alcuni vantaggi in termini di sicurezza, ma sono tutt’altro che immuni da exploit software, errori umani e altre vulnerabilità.

La visione del Web3 affronta le questioni cruciali e lasciate irrisolte dal suo predecessore. La maggior parte sono legate all’asimmetria del potere, al controllo, alla censura, alle frodi, alla privacy e al rischio di perdita dei dati. Tuttavia, non si esclude l’emergere di una nuova classe di rischi in materia di sicurezza dei dati, identità, incentivi economici e nuovi approcci al social engineering.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4