25 сентября 2024 года в журнале Информационная безопасность (в разделе Технологии / Криптография) была опубликована статья Александра Подобных, члена Международного Комитета цифровой экономики БРИКС, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству АРСИБ, судебного эксперта: Уязвимости и недостатки протоколов выпуска токенов в сети Биткоин.
С 2023 г. в сеть Биткоин стали внедряться новые протоколы, и текущий год ознаменовался их активным использованием: Runes, BRC-20, ARC-20, Ordinals NFT. Эти нововведения не просто носят технический характер, они повлияли на всю экосистему первой криптовалюты, причем не только с точки зрения возможностей и удобства, но и с точки зрения информационной безопасности. Все началось с протокола Ordinals.
Протокол Ordinals Как известно, сатоши — это наименьшая единица биткоина, названная в честь Сатоши Накамото, создателя этой криптовалюты. Вновь добавленный протокол Ordinals — это система создания и прикрепления цифровых данных (например, изображений, текстов, файлов) к отдельным сатоши, а также система их нумерации, присваивающая каждому сатоши серийный номер и отслеживающая его в ходе транзакций.
Нумерация происходит в порядке создания и переводов сатоши, отсюда и название "ординалы" (от англ. ordinals – порядковые числа). Ординалы записываются непосредственно на отдельные сатоши, то есть полностью размещаются в блокчейне и не нуждаются в сайдчейне или отдельном токене. В этом смысле надписи ординалов унаследовали простоту, неизменяемость, безопасность и долговечность сети Биткоин.
Несмотря на вроде бы небольшие технологические изменения, которые привнесли ординалы, они стали концептуально новым вариантом использования сети Биткоина, далеко выходящим за рамки простого перевода средств. Неудивительно, что новый протокол был неоднозначно встречен сообществом. Противники нововведения считают, что необходимо сохранить изначальную простоту Биткоина, чтобы он просто хранил и переводил средства. Сторонники же возражают, что Биткоин должен развиваться за счет появления новых функций и сценариев применения.
Кроме того, недовольство сообщества вызывает то обстоятельство, что подписанные сатоши теперь конкурируют за место в блоке с обычными транзакциями, в результате чего растут комиссии. Но сторонники ординалов и в этом видят плюсы, так как комиссия мотивирует майнеров обеспечивать безопасность блокчейна.
Споры разделили криптосообщество на два лагеря, но одно ясно точно: проект добавил инновации в биткоинпространство. Пока ландшафт Ordinals все еще находится на стадии становления, однако он уже дал толчок для других экспериментов с токенами на Биткоине, включая Runes и BRC-20.
Runes
Runes – это протокол для создания взаимозаменяемых токенов на блокчейне Биткоина, разработанный для упрощения и повышения эффективности работы с токенами. В отличие от токенов BRC-20, Runes не зависит от протокола Ordinals и использует другие проверенные временем модели.
Runes повышают эффективность управления токенами в сети Биткоина и выделяется среди аналогов простотой создания и управления множеством взаимозаменяемых токенов прямо на блокчейне без необходимости использования внешних данных или создания дополнительных нативных токенов.
Запуск Runes в апреле 2024 г. вызвал интерес криптосообщества, но после первичного ажиотажа активность в протоколе снизилась. Тем не менее, он представляет собой перспективную платформу для новых вариантов использования Биткоина и может привлечь пользователей в будущем.
BRC-20
BRC-20 – это экспериментальный стандарт для создания токенов на блокчейне Биткоина, причем все токены идентичны по функциям и стоимости, что делает их взаимозаменяемыми.
Появление этого стандарта связано с обновлением, которое увеличило объем данных в блоках Биткоина, и запуском протокола Ordinals. Ординалы и стали основой для создания токенов BRC-20. Важная особенность – они не используют смарт-контракты, а создаются путем записи файлов в формате JSON на отдельные сатоши с помощью механизма Ordinals.
Простота токенизации делает процесс создания и передачи токенов доступным даже для пользователей без специальных технических знаний. Отметим главные преимущества BRC-20:
- не требуется использование сложных смарт-контрактов;
- стандарт использует децентрализованную архитектуру Биткоина и механизм Proof-of-Work;
- количество проектов на базе BRC-20 продолжает расти.
Однако у стандарта есть и недостатки:
- отсутствие поддержки смарт-контрактов ограничивает его функциональность;
- зависимость от блокчейна Биткоина делает его уязвимым к проблемам масштабируемости и высоким комиссиям;
- ограниченная совместимость с другими блокчейнами и кошельками;
- активность с токенами BRC-20 может вызывать замедление транзакций и повышение комиссий.
В целом, BRC-20 – это интересное решение для расширения возможностей Биткоина, но его экспериментальный характер подразумевает наличие ограничений, которые, впрочем, со временем могут быть преодолены.
ARC-20
ARC-20 — это еще один экспериментальный стандарт взаимозаменяемых токенов, который подхватил идеи BRC-20, расширив их функционал и возможности управления цифровыми активами. ARC-20 созданна основе протокола Atomicals для блокчейна Биткоина, который позволяет создавать и управлять цифровыми объектами (атомами), включая и взаимозаменяемые, и невзаимозаменяемые токены (NFT).
Токены ARC-20, подобно BRC-20, привязаны к сатоши и могут переводиться, разделяться и объединяться как обычные монеты. Каждый токен имеет уникальный тикер и название, что гарантирует уникальность и прозрачную историю всех транзакций.
ARC-20 предлагает стандартизированный подход к управлению токенами и открывает новые возможности для децентрализованных финансов и токенизации активов в экосистеме Биткоина.
Влияние на производительность
Протокол Ordinals, хотя и открывает новые возможности, может вызывать серьезные проблемы с производительностью. Увеличение количества данных, прикрепляемых к отдельным сатоши, приводит к значительному увеличению размера блокчейна и перегрузке сети. А задержки в обработке транзакций вызывают повышение комиссии и замедление подтверждений. В результате стандартные транзакции могут сталкиваться с конкуренцией за включение в блоки, особенно в периоды повышенной активности, когда сеть перегружена.
Кроме того, высокая нагрузка на сеть создает риск потенциальных DoS-атак. Они могут быть осуществлены путем привязывания большого объема данных к сатоши, чтобы создать искусственную перегрузку.
Стоит напомнить, что падение производительности в условиях растущего спроса на транзакции архитектурно является ахиллесовой пятой Биткоина. Поэтому для протокола Ordinals потребуются эффективные решения, чтобы сбалансировать его инновационные возможности с требованиями к производительности и устойчивости Биткоина.
Ordinals в базе уязвимостей NVD
9 декабря 2023 г. Национальная база данных уязвимостей (NVD), явялющаяся частью Национального института стандартов и технологий США (NIST), объявила об уязвимости в системе безопасности Биткоина, связанную с протоколом Ordinals.
Согласно данным NVD, в некоторых версиях программных клиентов Bitcoin Core и Bitcoin Knots можно обойти ограничения на использование носителей данных, внедряя код.
Этот инцидент был признан важным, и информация была включена в каталог NVD, а среди возможных последствий выявленной уязвимости указывалось увеличение объема нерелевантных данных в блокчейне Биткоина, что может привести к перегрузке сети и росту комиссии.
В 2023 г. сеть Биткоина не раз испытывала перегрузки из-за увеличения объема транзакций, что повышало конкуренцию за их подтверждение и увеличивало комиссию. Некоторые специалисты даже увидели предпосылки для DoSатаки, когда данные NFT могут перегружать блокчейн.
Исправление этой уязвимости может ограничить использование ординалов и токенов BRC-20, хотя в этом случае уже существующие надписи останутся неизменными.
Заключение
Ординалы открыли новую эру в мире блокчейна, предложив инновационный способ хранения информации в транзакциях Биткоина. Они не только расширили функциональные возможности сети, но и способствовали увеличению интереса со стороны пользователей – количество активных адресов выросло до рекордных показателей.
Все это весьма тесно может быть связано с финансовой системой России, ведь осенью 2024 г. в рамках регуляторных песочниц на биржах Москвы и Санкт-Петербурга начнется тестирование возможности покупки и продажи криптовалют, включая цифровой рубль, а на предстоящем саммите БРИКС в Казани, планируется представить ключевые элементы новой криптофинансовой системы, включая общую расчетную единицу (Unit), платформу для расчетов в цифровых валютах (Bridge), платежную систему (Pay), расчетный депозитарий (Clear), систему страхования (Insurance) и рейтинговый альянс.
Основными принципами этих систем станут децентрализация и применение передовых цифровых технологий, и опыт развития ординалов несомненно будет учтен, чтобы, как минимум, избежать уже известных проблем.
Источник: Информационная безопасность
Автор на ЛитРес: https://www.litres.ru/author/aleksandr-viktorovich-podobnyh/about/
Канал КриптодетективЪ: https://t.me/SecICP
Канал на Рутьюбе: https://rutube.ru/u/CryptoDetective/
Канал в Дзене: https://zen.yandex.ru/id/622235eb5751776e302d3336
Сообщество в ВК: https://vk.com/seicp
Глобальный Союз Генезиса, Международный комитет цифровой экономики БРИКС при поддержке Ассоциации Российских дипломатов учреждают Genesis Консорциум бизнес - дипломатии БРИКС.
Официальная, торжественная презентация состоится 27 сентября 2024 в Державной столице России, в Санкт – Петербурге.
В основе концепции «Философия взаимосвязей», которая по мнению Президента России Владимира Путина сочетает интересы стран и народов, природы и общества, научного знания и государственной власти».
Бизнес-дипломатия, как особая форма международного публичного взаимодействия, направлена на формирование имиджа России, что отвечает ключевым приоритетам государственной политики.
Участниками консорциума, современной мировой модели достижения целей, станут руководители федеральных структур и главы компаний стран БРИКС.
Учредители Консорциума ведут деятельность в сфере публичной дипломатии с 2014 года при поддержке МИД и Россотрудничества в странах БРИКС и Евросоюза.
В мероприятии примут участие видные общественные деятели и деятели культуры, руководители официальных структур.
Наталина Литвинова
Международный общественный деятель
Президент Глобального Союза Генезиса
Соучредитель Genesis Консорциум бизнес - дипломатии БРИКС
Оргкомитет по подготовке торжественного учреждения Genesis Консорциума бизнес - дипломатии БРИКС:
Председатель Комитета по ВЭД и продвижению интересов российского бизнеса Ассоциации Менеджеров, Заместитель председателя Комитета по экономической интеграции ВЭД ТПП России
Антон Акимов
Генеральный директор АО «Омега - Технологии Будущего», Член Правления «Консорциума робототехники и интеллектуальных систем управления»
Ярослав Алейник
Председатель рабочей группы «Импортозамещение в сфере энергетики, ЖКХ и потребителей энергоресурсов», Зам Председателя Гильдии Московской Торгово-промышленной Палаты предприятий энергетического комплекса Москвы
Рашид Артиков
Космонавт - испытатель. Обладатель государственной награды «За заслуги в освоении космоса». Командир экипажа международного эксперимента (SIRIUS – 21). Номинант Премии «Знание»
Олег Блинов
Председатель Гильдии по безопасности Московской Торгово-промышленной Палаты, Председатель Всероссийской общественной организации по защите Национальных интересов «Хранители России», Президент Гильдии безопасности МТПП
Дмитрий Галочкин
Директор Института цифровой экономики и права
Сергей Горбунов
Президент Ноосферной духовно – экологической Ассамблеи мира
Любовь Гордина
Президент Корпорации XXI век, Автор разработчик Ноосферной Архитектуры, Член Попечительского Совета Международной миротворческой Ассамблеи «Рождение Мира»
Виталий Гребнев
Президент WomenInfluence Community, Президент Всемирного коммуникативного форума в Давосе
Янина Дубейковская
Главный редактор Журнала МГЮА им. Кутафина – «Цифровое право и экономика». Проректор по международной деятельности
Мария Егорова
Ректор Российского нового университета (РосНОУ), Председатель Ассоциации негосударственных вузов России
Владимир Зернов
1-й Заместитель Председателя Наблюдательного совета АНО «Объединенный совет делового сотрудничества «Африка. Единый континент», Заместитель Председателя Совета Директоров «Терра Линк Глобал»
Олег Золотарев
1-й заместитель Председателя Наблюдательного совета «Объединённый совет делового сотрудничества "Китай. Великий путь", 1-й заместитель Генерального директора АО «РТ - Проектные технологии»
Василий Зуйков
Председатель Комиссии по развитию креативных индустрий в совета финансово – промышленной и инвестиционной политике «Торгово-промышленной Палаты Российской Федерации», Президент ГК «Салюс»
Егор Иванков
Генеральный директор Harpy Aerospace, Индия
Dr Джаякумар Венкатесан
Президент CEO Space Kidz. Индия
Dr. Srimathy Kesan
Председатель Правления Ассамблеи народов Болгарии
Пламен Милетков
Президент Медиа-холдинга «Цивилизация»
Рамаз Мишеладзе
Президент Международной Ассамблеи столиц и крупных городов
Владимир Селиванов
Советник Президента Международного Комитета цифровой экономики БРИКС
Андрей Уткин
Лауреат государственный премия им. Пушкина, Иностранный член Российской Академии Образования, академик РАЕН, Доктор философских наук, профессор
Сухейль Фарах
Председатель Ассоциации Российских дипломатов
Игорь Халевинский
Президент Евразийской Палаты национальных культурных ценностей, Президент Евразийской Палаты судебной экспертизы и оценки, эксперт МАГ (Международной Ассамблеи крупных городов и столиц)
Швейдель Александр
Председатель Комитета Московской Торгово-промышленной Палаты по поддержке предпринимательства в сфере нового качества жизни, Государственный Советник
Ольга Штемберг
27 сентября 2024, Санкт – Петербург, Дворец труда, Актовый зал.
Источник: Момент истины
Криптовалютные биржи и обменники работающие с Россией и Белоруссией, и российскими банками и платёжными системами.
- OKX.com (неплохая биржа, можно держать крипту под проценты, уже начинает блокировать выводы пользователям из России из-за ужесточения законодательства и санкций, пока не массово);
- HTX.com (ранее Huobi, своеобразная биржа работающая с российскими банками, не поступало сведений о санкционных блокировках);
- Whitebird.io (работает с картами Мир, можно оплачивать товары и услуги, а также онлайн сервисы за рубежом, и даже выпустить крипто карту);
- BTCSale.me (достаточно надёжный обменник, работает с картами российских банков, хорошо с USDT);
- GetBit (быстрый обменник, работает с картой Мир, хорошо с BTC);
Интересные и удобные сервисы.
- ЧекСкан (автоматический кэшбэк за чеки, перевод на карту Мир, покупка ЦФА по карте Альфа-Банка, даже неквалифицированными инвесторами);
Криптобиржи и обменники ушедшие из России из-за санкций.
- Binance.com (одна из ведущих бирж, отличная учебная программа по криптосфере, ушла из страны разрешив пользователям вывести средства, санкции);
2 августа 2024 года в журнале Информационная безопасность (в разделе Технологии / Криптография) была опубликована статья Александра Подобных, главы департамента расследований BitOK, руководителя Санкт-Петербургского РО АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта: Дрейнеры и инсайдеские атаки.
В мире криптовалют мошенничество становится все более изощренным, а злоумышленники находят новые способы кражи цифровых активов. Одним из таких методов являются дрейнеры – вредоносные смарт-контракты, которые незаметно опустошают криптовалютные кошельки пользователей.
Понимание того, как работают дрейнеры, и знание мер предосторожности, которые можно предпринять для защиты своих активов, становится критически важным для всех участников криптовалютного сообщества. Рассмотрим механизмы работы дрейнеров, методы их использования мошенниками и способы защиты от подобных угроз.
Как работают дрейнеры
Мошенничество, особенно фишинг, представляет серьезную угрозу для криптовалют. Злоумышленники часто используют так называемые эйрдропы – бесплатные раздачи монет или NFT, создавая поддельные сайты, которые копируют известные ресурсы и привлекают пользователей ложными обещаниями.
Переходя по такой ссылке, жертва попадает на сайт, требующий авторизации через криптокошелек, например, MetaMask, CoinBase или WalletConnect. После подключения запускается вредоносный смарт-контракт – дрейнер, который переводит все активы с кошелька жертвы на счета злоумышленников.
Так как деталей смарт-контракта не видно, то подтверждать транзакцию приходится на основе доверия, что называется "слепая подпись". Одобряя транзакцию, пользователь добровольно передает доступ к своим активам мошенникам.
Злоумышленники в основном используют фишинговые почтовые сообщения, спам-токены (по названию сайта, в виде NFT), транзакции (пылевые атаки), для заманивания своих жертв. При этом используются дрейнеры кошельков и взломы смарт-контрактов, в том числе для манипулирования ценой активов.
Одним из наиболее распространенных дрейнеров среди злоумышленников, по оценкам экспертов, стал Pink Drainer. Администраторы подобного ПО обычно получают порядка 20–30% украденных активов, а остальная часть достается партнерам, которые приводят жертв на сайты, под разными предлогами предлагающие им подключить криптокошелек. Операторы Pink Drainer объявили, что сворачивают деятельность после того, как с его помощью украли $85 млн у более чем 21 тыс. жертв.
Инсайдерские атаки
Инсайдерские атаки, с другой стороны, осуществляются лицами, имеющими внутренний доступ к системам. В контексте криптовалют инсайдеры могут использовать свои полномочия для установки или активации дрейнеров, доступа к ключевой информации или вывода средств напрямую.
Комбинация дрейнеров и инсайдерских атак усиливает угрозу. Инсайдер может внедрить дрейнер в смарт-контракт или платформу, используя свои привилегии, что делает обнаружение и предотвращение таких атак гораздо более сложным. Внутренний доступ позволяет инсайдерам манипулировать системой изнутри, обходя многие внешние меры защиты.
Инсайдерские атаки особо опасны, поскольку они могут оставаться незамеченными длительное время.
AML-дрейнеры
Новинкой этого года и проблемой для всей отрасли, особенно в работе подразделений криптокомплаенса и инвесторов, стали AML-дрейнеры.
AML-дрейнеры (Anti-Money Laundering, противодействие отмыванию денег) представляют собой специализированные программы или скрипты, которые используются для обхода механизмов противодействия отмыванию денег. Они могут использоваться злоумышленниками для хищения средств и нанесения репутационного ущерба организациям из сферы AML.
Теперь дрейнеры добрались и до сферы ПОД/ФТ: мошенники создают фишинговые сайты новых AML-провайдеров. Принцип действия стандартный: они просят прикрепить кошелек и крадут все токены и криптовалюты.
Конечно, ни один настоящий AML-провайдер не потребует присоединения кошелька к своему сервису. Для физических лиц требуется только адрес кошелька или хэш транзакции, интеграция для бизнеса происходит через API. Но проблема как раз и заключается в том, что такое предостережение известно далеко не всем.
Что же делать?
Разработчики и специалисты по безопасности не сидят сложа руки, придумывая новые решения для обеспечения сохранности пользовательских средств. Так, в октябре команда MetaMask в партнерстве с фирмой Blockaid внедрила уведомления безопасности в браузерное расширение Web3-кошелька. Эта функция призвана обеспечить проактивное предотвращение вредоносных транзакций, обеспечив защиту пользователей от скамов, фишинговых и хакерских атак.
Для защиты от дрейнеров и инсайдерских атак необходим комплексный подход. Во-первых, регулярные аудиты смарт-контрактов и систем безопасности помогают выявить и устранить уязвимости до того, как они будут использованы злоумышленниками. Во-вторых, программы баг-баунти могут мотивировать внешних экспертов на поиск и доклад об уязвимостях. В-третьих, использование кошельков с мультиподписью добавляет дополнительный уровень безопасности, так как для проведения транзакции требуется одобрение нескольких сторон.
В борьбе с инсайдерскими угрозами важно внедрять строгие контрольные меры и системы мониторинга. Ограничение прав доступа, регулярные проверки активности сотрудников и обучение персонала правилам безопасности помогают минимизировать риски. Только комплексные и скоординированные усилия могут обеспечить надежную защиту от этих сложных и многоуровневых атак.
Есть и ряд других направлений для противодействия дрейнерам.
Стандартизация смарт-контрактов
Необходимость стандартизации подходов при разработке смарт-контрактов обусловлена стремлением повысить безопасность, эффективность и совместимость этих программных компонентов. Стандартизация позволит разработчикам следовать проверенным методикам и лучшим практикам, что существенно снизит вероятность ошибок и уязвимостей в коде.
Кроме того, стандарты помогут обеспечить согласованность и предсказуемость поведения смарт-контрактов, что критически важно для их интеграции в различные системы и платформы.
Security Awareness
Требуется постоянное повышение осведомленности работников соответствующих сфер и пользователей сервисов, чтобы эффективно противостоять быстро развивающимся киберугрозам в виде дрейнеров и обеспечивать безопасность данных и финансовых средств.
Сотрудники, обладающие актуальными знаниями о возможных рисках, связанных с дрейнерами, и способах их предотвращения, способны быстрее и эффективнее реагировать на инциденты, минимизируя возможные убытки и ущерб. Для пользователей сервисов повышение осведомленности играет не менее важную роль.
В условиях роста числа фишинговых атак, мошеннических схем и вредоносного ПО пользователи, обладающие необходимыми знаниями и навыками, могут лучше защищать свои личные данные и финансовые активы.
Регулярное обучение и информирование пользователей о признаках мошенничества, методах защиты своих аккаунтов и основах кибергигиены способствует снижению количества успешных атак и улучшению общей безопасности цифрового пространства.
Соблюдение KYC/AML
Крайне важна интеграция решений для соблюдения требований KYC (Know Your Customer) и AML, поскольку это обеспечивает соответствие строгим нормативным стандартам и защищает экосистему от незаконной деятельности. Соблюдение этих требований помогает идентифицировать пользователей и отслеживать подозрительные транзакции, что снижает риск отмывания денег и финансирования терроризма.
Внедрение эффективных KYC-/AMLпроцедур требует использования современных технологий и автоматизированных систем, которые могут обрабатывать большие объемы данных и обеспечивать высокую точность идентификации.
Однако, при внедрении KYC/AML решений необходимо найти оптимальный баланс между соблюдением нормативных требований и защитой конфиденциальности пользователей. Платформы должны разработать политики и технологии, которые минимизируют сбор и хранение личных данных, обеспечивая при этом необходимый уровень безопасности и подотчетности.
Использование таких подходов, как конфиденциальные вычисления и шифрование данных, позволяет защитить личную информацию пользователей, не жертвуя эффективностью соблюдения регуляторных норм. Такой сбалансированный подход создаст более безопасную и подотчетную экосистему, где интересы пользователей и требования регуляторов находятся в гармонии.
Прозрачное управление
Открытая и децентрализованная governance-модель расширяет возможности участников сообщества, обеспечивая каждому право голоса. В таких моделях все участники могут вносить свои предложения, голосовать за изменения и участвовать в процессе принятия решений, что способствует созданию более демократичной и инклюзивной системы управления.
Прозрачность управления позволяет каждому участнику видеть, как принимаются решения, что уменьшает риски коррупции и злоупотреблений, повышая доверие к платформе и ее руководству.
Заключение
В условиях быстрого развития и популяризации криптовалютных технологий угрозы безопасности становятся все более изощренными и опасными. Дрейнеры и инсайдерские атаки представляют собой серьезные риски, которые могут привести к значительным финансовым потерям и подорвать доверие пользователей к платформам. Понимание механизмов этих атак и внедрение эффективных мер предосторожности является ключевым шагом к защите активов и информации.
Регулярные аудиты смарт-контрактов, программы баг-баунти и использование кошельков с мультиподписью могут значительно снизить вероятность успешных атак. В то же время, важность повышения осведомленности сотрудников и пользователей о современных угрозах не может быть недооценена. Прозрачное управление и активное участие сообщества также играют критическую роль в создании устойчивой и безопасной экосистемы.
Только объединяя усилия, применяя передовые технологии безопасности и поддерживая высокие стандарты защиты, мы можем создать более безопасное и надежное будущее для всех участников криптовалютного пространства.
Источник: Информационная безопасность
Автор на ЛитРес: Александр Подобных
Тлг канал: КриптодетективЪ
3 июня 2024 года в журнале Информационная безопасность (в разделе Технологии / Криптография) была опубликована статья Александра Подобных, главы департамента расследований BitOK, руководителя Санкт-Петербургского РО АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта: Методика изъятия и хранения конфискованной криптовалюты в российских онлайн-сервисах.
Порядок изъятия и хранения цифровой валюты в рамках оперативно-розыскных мероприятий или следственных действий в настоящее время ничем не регулируется и на практике часто оказывается неоптимальным. Фактически правоохранительные органы получают доступ к адресам криптокошельков преступников (открытые и закрытые ключи) на иностранных платформах или же изымают холодные кошельки в виде флеш-карт с имеющимися на них активами.
Проблемы возникают и из-за того, что активы распределены по различным платформам (обменникам, биржам и др.). Ситуация усугубляется тем, что чаще всего преступниками используются сервисы, находящиеся вне юрисдикции Российской Федерации. Вместе с тем обеспечить сохранность и рационально распорядиться этими активами сложно, особенно учитывая их волатильность.
Если криптовалюта признана вещественным доказательством, то такие активы изымаются следователем для их сохранности. В других случаях суд накладывает арест для возмещения ущерба потерпевшему или конфискации, когда это предусмотрено уголовным кодексом РФ. Криптоактивы могут изыматься навсегда или же только на определенное законом время. Тогда по окончании дела вещественные доказательства возвращаются законному владельцу.
Сегодня сложилась практика, когда следователи конфискуют электронные носители информации (или смартфоны), на которых установлены приложения для доступа к криптокошельку, либо активы конвертируются в рубли самим обвиняемым под контролем следователя.
Алгоритм изъятия и хранения криптовалюты
Есть более технологичный и элегантный способ, позволяющий сохранить виртуальные активы. Предлагается следующий алгоритм изъятия и хранения криптовалюты. Будем считать, что закрытые ключи для доступа к кошельку преступника уже изъяты и находятся в доступе у следователя или суда.
1. Определяется разновидность криптовалюты. С помощью аналитических сервисов, например Bitquery, по адресу устанавливается тип актива: биткоин, эфириум, Tether USDT или др.
2. Выявляется остаточный баланс, входящие и исходящие транзакции. Сделать это можно с помощью специализированных обозревателей блоков блокчейна, например Bitcoin Explorer или российского проекта "КОСАтка" для биткоина, Etherscan для эфириума и т. д.
3. Скачивается и устанавливается официальный кошелек с сайта разработчика. Существуют версии для ПК и для мобильных устройств.
4. Регистрируется новый аккаунт и получается адрес нового криптокошелька, который будет управляться правоохранителями. После создания кошелька будут доступны входящие (получения) и исходящие (отправления) адреса, их необходимо сохранить. Потребуется также сохранить ключи доступа к созданному кошельку (пароль, сид-фразу, куар-код, закрытый ключ – в зависимости от вида кошелька).
5. Осуществляется вход в криптокошелек преступника. Вход в горячий кошелек криптовалютной биржи с использованием логина и пароля, также, возможно, потребуется сидфраза. Для входа в холодный кошелек потребуется парольная фраза и, возможно, ПИН-код.
6. Средства из кошелька преступника переводятся на кошелек, созданный правоохранителями. В зависимости от блокчейна за перевод может взиматься небольшая комиссия. Лучше согласиться со значением, установленным по умолчанию, чтобы транзакция не зависла в блокчейне на продолжительное время.
7. Фиксируются основные атрибуты и подготавливаются свидетельства (доказательства), такие как разновидность криптовалюты, адрес кошелька, хеш-транзакции, дата совершения транзакции и объем средств (по сути, баланс). Дополнительно можно сформировать отчет по транзакциям (pdf-файл) в сервисе "КОСАтка" или в соответствующем обозревателе блоков.
8. Регистрируется аккаунт в сервисе депонирования ЕДРИД, как физическое или юридическое лицо. Потребуется сохранить логин и пароль для доступа к сервисам Единого депозитария результатов интеллектуальной деятельности (РИД).
9. Добавляется новый РИД в сервисе депонирования с выбором категории "Компьютерная программа/База данных". Обязательно указание следующей информации:
- наименование РИД (к примеру, сокращение от номера дела, названия криптовалюты);
- авторы (ФИО следователя, судьи);
- правообладатель (следователь или организация);
- основания возникновения права (например, создано самостоятельно);
- описание произведения (адреса кошельков, хеши транзакций);
- язык программирования (указать название криптовалюты);
- вид и версия операционной системы (название криптокошелька);
- объем программы для ЭВМ (указываем объем средств);
- ключевые слова (также указать название криптовалюты и кошелька, номер дела и пр.);
- рубрикатор научно-технической информации (например, криминалистика);
- реферат (указать любую дополнительную информацию, но важно учесть, что она будет доступна публично);
- оригинал произведения (загружаются ключи кошелька преступника, ключи созданного адреса, отчет о транзакциях, важно не ставить флажок "Показывать файлы в системе ЕДРИД").
Завершается добавление процедурой депонирования. Важно учитывать, что объем одного депонирования до 500 МБайт, а срок хранения РИД составляет до 20 лет. Стоимость одного депонирования составляет 1200 руб. Возможно размещать несколько кошельков (в рамках дела) в один РИД, для экономии бюджета.
10. Фиксация свидетельств (доказательств) и атрибутов после депонирования. В личном кабинете сервиса ЕДРИД доступны все РИД, даты их создания и коды (номера в сервисе). По каждому РИД можно просмотреть атрибуты, скопировать хеш-сумму депонирования и ссылку (для использования следователями, судами). Аналогичная информация дублируется на электронную почту автору (следователю, судье).
Таким образом, изъятые средства будут зафиксированы в кошельке следствия или суда, что обеспечит прозрачное хранение конфискованных виртуальных активов в защищенном криптографией виде с двумя уровнями защиты (аккаунт ЕДРИД, закрытый ключ криптокошелька следователя или суда).
В случае же использования холодного кошелька для целей хранения появляются дополнительные риски: например, его прошивка может быть модифицирована злоумышленниками для хищения средств, носитель может выйти из строя, потерян закрытый ключ. Часть рисков может быть нивелирована использованием технологии мультиключа с несколькими подписантами, но не все.
При этом для верификации данных (доказательств, свидетельств) достаточно будет использование номера депонирования, хеша депонирования и, возможно, его описания (адреса криптокошельков, хеши транзакций).
В настоящее время насчитывается несколько тысяч активных криптовалют. При работе с криптоактивами, отличными от приведенных в алгоритме, необходимо действовать по аналогии. Различных блокчейнов, на которых работают все типовые криптовалюты, не так много – счет идет всего лишь на десятки.
К слову, сама методика изъятия и хранения конфискованной криптовалюты в российских онлайн-сервисах зарегистрирована с использованием сервиса депонирования ЕДРИД, для тестирования функционала и возможности защиты авторских прав на данную методику.
Заключение
Предлагаемую методику и алгоритм уже сегодня можно реализовать и применять с минимальными затратами, она позволит нивелировать отрицательные стороны, такие как риски для конфиденциальности и безопасности данных владельцев криптокошельков. При этом в схеме не задействуются третьи лица типа обменников и криптовалютных бирж.
В настоящий момент времени можно использовать платформу, поднадзорную ФОИВ. На ней государственные органы смогут открывать учетные записи (аккаунты) для хранения ключей доступа к цифровым валютам (криптовалютам) и распоряжаться ими в рамках закона. Данный передовой опыт может быть внедрен Росфинмониторингом, МВД, ФСБ, Генеральной прокуратурой, Следственным комитетом и судами России.
Для наиболее чувствительной информации могут использоваться локальные блокчейны, имеющиеся у организации либо развернутые в ЕДРИД. Например, свой локальный блокчейн уже есть в Федеральной налоговой службе России.
Ограничение сервиса ЕДРИД заключается в том, что при массовом использовании такого подхода в рамках всего государства он станет целью атак злоумышленников. Поэтому целесообразнее организовать отдельный сервис для целей хранения изъятых криптосредств. Это не очень трудозатратно, и такой опыт у госорганов уже есть.
Источник: Информационная безопасность
2 апреля 2024 года в журнале Информационная безопасность (в разделе Технологии) были опубликованы материалы круглого стола, в котором принял участие Александра Подобных, главы департамента расследований BitOK, руководителя Санкт-Петербургского РО АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебный эксперт, на тему — Блокчейн в России: взгляд сквозь призму практики.
Кажется, мы стали забывать, что блокчейн как технология обладает многогранным потенциалом и выходит далеко за рамки криптовалют. Практические российские проекты в этой сфере имеют свои особенности, учитывающие не только специфику предметной области и требования законодательства, но и опыт криптовалютных реализаций блокчейна, как позитивный, так и негативный. Эксперты с практическим опытом в области блокчейнов ответили на вопросы журнала «Информационная безопасность».
Участники:
Артем Калихов, генеральный директор Web3 Tech
Владимир Лазарев, со-основатель АМЛ Крипто
Александр Подобных, глава департамента расследований BitOK
Михаил Чеканов, генеральный директор АО «Промышленные криптосистемы»
Востребованы ли в России решения на основе блокчейнов, но не связанные с криптовалютами и цифровыми финансовыми активами?
Михаил Чеканов, Промышленные криптосистемы:
Безусловно, востребованы. На российском рынке представлены разные отраслевые решения, работающие на технологии распределенного реестра. Пример – наша платформа "Контрактиум" для управления цепочками поставок на базе цифровых контрактов с возможностью подключения финансовых и логистических сервисов.
Самым знаковым проектом для нас стала платформа Smart Fuel, спроектированная и разработанная в интересах компании "Газпром нефть". Решение переводит в цифру все операции, связанные с заправкой самолетов, от согласования цен и заказов до формирования отчетов в ФНС и взаиморасчетов через традиционную банковскую инфраструктуру.
Владимир Лазарев, АМЛ Крипто:
В России наблюдается высокий интерес к блокчейн-решениям. Технологии распределенного реестра применяются в различных сферах для повышения прозрачности, безопасности и эффективности бизнес-процессов. Особенно перспективными являются проекты, использующие смарт-контракты и NFT для надежного хранения данных и автоматизации действий.
Развитие этих технологий поддерживается как крупными предприятиями, так и государственными структурами, активно исследующими возможности блокчейна для оптимизации своих процессов. Мы в AML Crypto используем блокчейн для записи данных о результате проверки пользователем того или иного блокчейн-адреса. Это позволяет доказать факт должной осмотрительности при работе с внешними контрагентами.
Артем Калихов, Web3 Tech:
Да, востребованы. Ряд наших крупных блокчейн-проектов вообще не связан с ЦФА. Например, цифровая платформа распределенного реестра ФНС эффективно реализует взаимодействие государственных ведомств и финансовых организаций.
Федеральная блокчейн-платформа ДЭГ 2020 г. успешно используется избирателями по всей стране в единые дни голосования. Растет интерес к решениям для реорганизации трансграничных платежей, благодаря блокчейну здесь возможно множество вариантов реализации.
Александр Подобных, BitOK:
Да. Например, сервис ЕДРИД (Единый депозитарий результатов интеллектуальной деятельности), который работает уже более шести лет и позволяет оформить авторское право.
В онлайн-сервисе писатели, программисты, дизайнеры, фотографы, музыканты и ученые могут защитить свое авторское произведение (разместить на хранение электронную версию произведения) и получить документ в виде бумажного авторского свидетельства с несколькими степенями защиты.
В чем основные практические преимущества решений на основе блокчейна по сравнению с традиционной архитектурой?
Артем Калихов, Web3 Tech:
1. Блокчейн обеспечивает неизменность данных за счет своей архитектуры без необходимости дополнительных средств защиты.
2. В отличие от централизованной инфраструктуры, в рамках экосистемных проектов стоимость интеграции новых участников не растет экспоненциально.
3. Будучи распределенной системой, блокчейн обеспечивает отказоустойчивость, недоступную централизованным решениям.
4. Благодаря смарт-контрактам блокчейн позволяет просто автоматизировать различные договорные и транзакционные процессы.
Александр Подобных, BitOK:
1. Надежная защита на уровне криптографии (депонирование в электронном депозитарии подтверждает существование в определенный момент времени произведения при помощи цифровой подписи, электронного штампа времени и хеш-кода депонирования).
2. Быстрый и оптимальный по стоимости способ фиксации объекта прав (первым в мире реализовал способ фиксации времени депонирования авторского произведения в распределенном реестре).
3. Быстрый поиск аналогов по российским и иностранным базам при регистрации объекта авторских прав (и дальнейшая защита в соответствии с российским и международным законодательством).
4. К примеру, регистрация одного произведения заняла у меня один час и стоила 1200 руб. На следующий день уже поступило свидетельство на электронную почту (в Роспатенте рассматривают 2–3 месяца и стоит 25 тыс. руб.).
Михаил Чеканов, Промышленные криптосистемы:
1. Математически гарантированное доверие к результатам совместной работы без необходимости в централизованном сервисе (базе данных). Традиционный же подход подразумевает наличие посредника, который всегда создает риски для других участников рынка.
2. Затраты на внедрение и сопровождение сопоставимы c традиционными решениями, а возможности развития и скорость реакции на изменения на основе блокчейна – гораздо выше.
3. Катастрофоустойчивость и доступность. Распределенная архитектура обеспечивает бесперебойное обслуживание сделок, главное, чтобы контрагенты были доступны. То есть каждый участник сам обеспечивает нужный ему SLA.
Владимир Лазарев, АМЛ Крипто:
Блокчейн обеспечивает прозрачность за счет неизменяемости записей, доступных всем участникам. Это усиливает безопасность, защищая данные криптографией и снижая риск мошенничества. Снижение затрат достигается за счет автоматизации и исключения посредников. Блокчейн повышает эффективность, ускоряя транзакции и процессы. Децентрализация снижает риски коррупции, увеличивая доверие.
Но важно отметить, что:
- преимущества блокчейна не всегда реализуются автоматически;
- для достижения желаемых результатов требуется тщательное планирование и реализация;
- блокчейн не является универсальным решением и подходит не для всех задач.
Есть ли технологические особенности реализации систем на основе блокчейна в России?
Владимир Лазарев, АМЛ Крипто:
В России реализация блокчейн-систем имеет свои технологические особенности: строгие нормативные требования, необходимость интеграции с устаревшими системами, высокие стандарты кибербезопасности на фоне геополитической ситуации, политика импортозамещения требует отечественных ИТ-разработок.
Ключевыми факторами являются: кадровый дефицит в области блокчейна, ограничения на использование криптовалют, требования к масштабируемости и энергоэффективности, а также необходимость обеспечения конфиденциальности данных. Кроме того, важно учитывать юридические аспекты, связанные с новизной технологии. При тщательном планировании и реализации блокчейн может стать мощным инструментом для развития различных сфер российской экономики.
Артем Калихов, Web3 Tech:
Технологические особенности реализации блокчейн-систем в России связаны в первую очередь с регуляторной политикой в отношении средств криптографии. Для информационных систем здесь предусмотрен список ГОСТов, охватывающий множество направлений – хеширование, контроль целостности и не только.
Этим требованиям пока соответствуют лишь единичные решения на рынке, в том числе наша платформа "Конфидент", имеющая сертификацию средства криптографической защиты информации КС2.
Александр Подобных, BitOK:
Если говорить об операторах выпуска или обмена ЦФА (регулирует деятельность которых Банк России), то, скорее всего, речь будет идти о приватных (частных) блокчейнах. А так как для финансового сектора есть жесткие требования по защите информации, то потребуется и отечественная криптография.
Михаил Чеканов, Промышленные криптосистемы:
Отечественный рынок выдвигает два основных требования:
- обеспечение юридической значимости операций;
- надлежащая защита данных.
Одним из критичных факторов для большинства заказчиков на нашем рынке является поддержка сертифицированных СКЗИ. Это связано с выросшим уровнем угроз ИБ и ужесточением государственного регулирования. В нашем случае эта задача решена путем встраивания сертифицированных средств криптозащиты линейки ViPNet.
Какие технологические возможности стоит учесть в российских системах, с учетом опыта криптовалютных блокчейнов, каких ошибок лучше избежать?
Артем Калихов, Web3 Tech:
Стоит отметить, что в подавляющем большинстве российских проектов используются приватные блокчейны, а не публичные протоколы, применяющиеся для криптовалют. Они обладают другой моделью безопасности. Особое внимание, как правило, стоит уделять безопасности смарт-контрактов, архитектуре блокчейн-решений, криптографии, защищенности и конфиденциальности данных.
Михаил Чеканов, Промышленные криптосистемы:
Лучшее решение – это избегать одноранговых платформ, выросших из криптовалютных блокчейнов. Они плохо интегрируются с реальным ИТ-ландшафтом, инфраструктурой безопасности и здравым смыслом.
Александр Подобных, BitOK:
Многие проекты в нашей стране начинались из открытых проектов или путем создания форков (новых веток). Важно купировать выявленные за это время уязвимости и учитывать наработки сообщества по совершенствованию алгоритмов этих блокчейнов.
Необходимо соблюдать баланс между уровнем децентрализации и анонимностью. Не нужно забывать про формирование единой экосистемы и унификацию блокчейнов и смарт-контрактов, обращать внимание на формирование инновационной культуры и спроса на инновационную деятельность.
Владимир Лазарев, АМЛ Крипто:
При разработке блокчейнсистем в России стоит учесть опыт криптовалютных блокчейнов, особенно в вопросах масштабируемости, конфиденциальности и регулирования. Важно выбирать технологии, обеспечивающие высокую пропускную способность и анонимность транзакций и при этом соответствующие законодательству.
Необходимо обеспечить безопасность и прозрачность, а также гладкую интеграцию с существующими системами, придерживаясь при этом законодательных требований. Для успешной реализации проекта критически важно избегать таких ошибок, как выбор неподходящей платформы, недооценка сложности проектов, пренебрежение безопасностью, неготовность к изменениям и игнорирование регулятивных требований.
Как применение блокчейнов увязывается с текущим законодательством?
Александр Подобных, BitOK:
В сфере ЦФА важны локализация и суверенитет. Так, операторы должны использовать продукты из реестра отечественного ПО, российскую криптографию и иметь лицензию ЦБ РФ. На практике мы видим скорее применение частных (но иностранных) блокчейнов с достаточно надежным шифрованием, соответствующим международным стандартам защищенности.
Если говорить о перспективах развития 115-ФЗ и его оптимизации, то необходимо создание единого оператора по KYC/AML, который будет хранить информацию о клиентах и рисках во внутреннем блокчейне (и предоставлять доступ операторам ЦФА и банкам, для которых процедуры слишком ресурсоемки). На сегодняшний день техническая возможность для этого уже есть.
Артем Калихов, Web3 Tech:
Формально использование самих блокчейн-технологий в нашей стране не регулируется. Тем не менее требования законодательства затрагивают целый ряд технологий, необходимых для практического применения блокчейна, – криптографические алгоритмы, TLS, PKI, и не только.
Блокчейн-платформам необходима гибкость, в некотором смысле даже модульность, которая позволит подстраиваться под регуляторные политики – как для ИТ-отрасли в целом, так и для отдельных сфер применения, например для финансового сектора.
Михаил Чеканов, Промышленные криптосистемы:
Грамотно спроектированные прикладные решения на базе распределенных реестров хорошо вписываются в действующее законодательство. На данный момент мы не видим каких-либо непреодолимых барьеров. Отдельные нормы можно было бы оптимизировать, но лучшее – враг хорошего.
Например, ФЗ-259 "О ЦФА" зарегулировал рынок цифровых активов до абсурда. До сих пор непонятно, зачем в нем упомянуты распределенные реестры, если все функции привязаны к централизованной информационной системе оператора (обмена) ЦФА. Примерно с таким же успехом можно было бы "завернуть" Интернет в отдельного оператора связи.
Владимир Лазарев, АМЛ Крипто:
Законодательство может стимулировать развитие блокчейн-технологий и их применение. Но в то же время несвоевременные или недоработанные законы замедляют прогресс.
Эффективное внедрение блокчейн-технологий требует гибких регуляторных рамок, создания множества пилотных зон для стимулирования экспериментов в этой области.
Источник: Информационная безопасность
2 апреля 2024 года в журнале Информационная безопасность (в разделе Технологии / Криптография) была опубликована статья Александра Подобных, главы департамента расследований BitOK, руководителя Санкт-Петербургского РО АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта: Управление уязвимостями в криптокошельках.
Криптовалюта не лежит на кошельках, это всего лишь способ хранения закрытого (секретного) ключа. Примерно как на пластиковой банковской карте нет самих денег, она лишь открывает доступ к банковскому счету. Кошельки – это программные или аппаратные средства, которые подвержены уязвимостям. Разберемся, в чем их особенность и какими методами обеспечивается информационная безопасность в этой области.
Проблемы и угрозы
Криптовалютные кошельки во всем их многообразии можно поделить на две большие категории: к холодным относят аппаратные, к которым есть физический доступ, а к горячим – браузерные или мобильные приложения.
Холодные кошельки не подключаются к Интернету и считаются самыми безопасными – это бумажные кошельки, флешки и т.п. Их нужно подключать к компьютеру или телефону для совершения транзакций.
Важно отметить, что при использовании холодных криптокошельков за сохранность закрытых ключей и средств, к которым они предоставляют доступ, несет сам владелец, а при использовании горячих ответственность ложится на оператора сервиса (кастодиана или депозитарий).
Основные проблемы и угрозы, с которыми сталкиваются пользователи криптовалютных кошельков, включают в себя следующие.
1. Взломы и кибератаки. Криптовалютные кошельки могут стать целью злоумышленников, которые стараются получить доступ к частным ключам и совершить кражу средств.
2. Фишинг. Злоумышленники могут создавать поддельные веб-сайты и электронные письма, имитирующие официальные криптовалютные сервисы, на которых пользователи вводят свои
аутентификационные данные и теряют доступ к средствам.
3. Потеря доступа. В случае утери пароля, закрытого ключа или резервной фразы пользователи могут лишиться доступа к своим средствам без возможности их восстановления. К утере можно отнести также и невозможность их вспомнить.
4. Социальная инженерия. Атаки могут быть направлены не только на технические слабые места, но и на слабые места в поведении пользователей, которые подвергаются обману с целью раскрытия их конфиденциальных данных.
5. Влияние человеческого фактора. Ошибки в управлении кошельком, неверное сохранение частного ключа или резервной фразы также могут привести к потере средств.
6. В последние годы для российских пользователей высокие риски несут санкции, реализуемые площадками по требованию иностранных регуляторов (OFAC, SEC, FCA). При этом одни биржи просто блокируют кошельки (так поступили большинство площадок), другие же дают время на вывод средств (как было с Binance в 2023 г.)
7. Растет также количество взломов, связанных с инсайдерами в самих проектах. Они сливают информацию о кошельках, платформах, протоколах взаимодействия.
8. Многих разработчиков в последнее время интересует защита от квантовых компьютеров, в частности защита от перебора приватных ключей. Возможно, угроза со стороны квантовых компьютеров преувеличена, однако она все же существует, и многое зависит от того, какие шаги предпримут блокчейн-разработчики до того момента, когда эта угроза станет более реальной.
К примеру, разработчики Ethereum ведут разработку устойчивых к квантовым атакам методов криптографии, таких как подписи Winternitz и технология с нулевым разглашением STARK.
Примеры уязвимостей и их эксплуатации
В феврале 2018 г. сообщество отметило несколько новостных статей, в которых утверждалось, что Национальный институт стандартов и технологий (NIST) активно расследует уязвимость 2018 г. в приложении iOS Trust Wallet, которая была оперативно исправлена в том же году. Разработчики заверили пользователей в том, что их средства в безопасности, а кошельки безопасны для использования.
В августе 2022 г. произошла крупная кража токенов из кошелька Solana, которая была вызвана уязвимостью централизованного сервера Sentry. Исследователи обнаружили две новых технологии сбора данных из Solana, которые могут выполнять атаки с перестановкой битов.
В конце ноября 2023 г. 1,5 млн биткойнов оказались под угрозой хищения из-за уязвимости Randstorm, которая позволяет восстанавливать пароли и получать несанкционированный доступ к множеству кошельков на разных блокчейн-платформах. Уязвимость связана с использованием BitcoinJS – открытой JavaScript-библиотеки для разработки криптовалютных кошельков в браузере.
Проблема заключалась в недостатке энтропии, которую можно использовать для проведения брутфорс-атак и восстановления сгенерированных приватных ключей кошельков, причем уязвимости в базовых библиотеках, используемых в открытых проектах, могут иметь каскадные риски для всей цепочки поставок.
В декабре 2023 г., "надписи" на биткойнах были добавлены в Национальную базу данных уязвимостей США (NVD) и отмечены как угроза кибербезопасности. Это было сделано для привлечения внимания к недостаткам безопасности, которые были допущены при разработке протокола Ordinals в 2022 г. Добавление в список NVD означает, что уязвимость признана важной для информирования общественности.
В декабре 2023 г. новая функция в блокчейне Ethereum Create2 стала причиной кражи $60 млн. Злоумышленники нашли способ обойти системы безопасности криптовалютных кошельков, используя функцию, которая позволяет создавать смарт-контракты в блокчейне, причем с возможностью предварительного расчета их адресов до развертывания. Функция является легитимной, но она создала уязвимости в системе безопасности Ethereum.
Основной способ эксплуатации заключается в создании новых адресов контрактов без истории подозрительных транзакций. Злоумышленники заставляют жертвы подписывать вредоносные транзакции, после чего переводят активы на предварительно рассчитанные адреса.
В декабре 2023 г. многие криптосервисы оказались под угрозой из-за взлома кода кошелька Ledger. Уязвимость была исправлена, но успела затронуть несколько популярных децентрализованных сервисов, администраторы которых вынужденно отключили пользовательский интерфейс. Оказался скомпрометированным широко используемый код сервиса авторизации через криптокошелек Ledger. Компания сообщила, что им удалось удалить вредоносный код, но уязвимость эксплуатировалась в течение двух часов и распространялась на большинство популярных децентрализованных криптосервисов.
Как видно из этого выборочного списка, эксплуатация практически любой уязвимости в криптокошельках или криптопротоколах немедленно ведет к эксплуатации финансовых рисков.
Управление уязвимостями
Когда речь идет о контроле уязвимостей при эксплуатации криптовалютных кошельков, рекомендации всегда тривиальны, но от этого они не становятся менее важными.
1. Использование надежных кошельков. Выбор надежного и проверенного криптовалютного кошелька с хорошей репутацией снижает риск возникновения уязвимостей и кибератак.
2. Обновление системы и программного обеспечения. Регулярные обновления кошельков и всех связанных с ними программных компонентов помогают устранять известные уязвимости и обеспечивают безопасность системы.
3. Многофакторная аутентификация. Включение функции многофакторной аутентификации обеспечивает дополнительный уровень защиты от несанкционированного доступа к кошельку.
4. Резервное копирование и безопасное хранение ключей. Регулярное создание резервных копий ключей доступа к кошельку и их безопасное хранение в надежном месте поможет избежать потери средств в случае утери или повреждения исходного кошелька.
5. Обучение. Проведение обучающих мероприятий по безопасности криптовалютных кошельков поможет пользователям понять основные угрозы и принять меры по их минимизации.
Другими словами, чтобы минимизировать угрозы, рекомендуется использовать надежные и проверенные криптовалютные кошельки, следовать правилам кибергигиены и передовому опыту в сфере безопасности, таким как использование сложных паролей, установка двухфакторной аутентификации, резервное копирование закрытого ключа и резервной фразы, их хранение в надежном месте. Необходимо также проявлять бдительность и повышенное внимание при работе с криптовалютными операциями и подозрительными запросами.
Есть улучшения и в сфере стандартизации: в качестве примера можно привести механизм BIP (Bitcoin Improvement Proposal), используемый для предложения изменений в протокол биткоина. Предложения в рамках BIP разрабатываются членами сообщества, включая разработчиков, исследователей и пользователей, и предназначены для обсуждения и координации изменений в сети.
Обратим внимание на предложение BIP-0039 (обычно называемое просто BIP39) – это стандарт, определяющий метод генерации мнемонических фраз для создания и восстановления кошельков биткоин и других криптовалют.
Мнемоническая фраза (Seed Phrase) представляет собой набор слов, который можно легко запомнить и использовать для восстановления частного ключа кошелька. Этот стандарт был предложен для упрощения процесса резервного копирования и восстановления кошельков, а также для повышения безопасности, предоставляя пользователю удобный способ резервного копирования и хранения секретной информации.
Мнемонические фразы по BIP39 особенно полезны для создания и использования кошельков с использованием множества криптовалют, так как они обычно поддерживаются большинством кошельков и платформ.
Замечания в заключение
Необходимо развивать взаимодействие и взаимную поддержку внутри сообщества по вопросам безопасности и устранения уязвимостей для повышения уровня безопасности криптоплатформ и криптосервисов.
Важным аспектом применения блокчейн-технологий стал запущенный в России цифровой рубль. К счастью, для него практически все, что было известно к моменту запуска, было учтено. Но остается важным вопрос операционной безопасности и повышения осведомленности граждан. Об этом требуется особая забота.
Все чаще злоумышленники используют фишинговые транзакции, фишинговые аирдропы (NFT), вредоносные смарт-контракты на сайтах для последующего опустошения криптовалютных кошельков. Это стало возможным ввиду доступности инструментов широкому кругу злоумышленников.
И конечно же, уже сегодня необходимо готовиться к грядущей квантовой угрозе, путем разработки квантовоустойчивых протоколов и технологий. В перспективе года-двух злоумышленникам могут стать доступны квантовые алгоритмы перебора ключей.
Источник: Информационная безопасность
Коллеги, 27 марта текущего года, на ЛитРес вышла наша первая методичка для силовиков, экспертов, специалистов и регуляторов - Цифровая криминалистика распределённых реестров.
Упор сделан на блокчейн Биткойна и сопутствующие технологии, но и коснулись других виртуальных валют и цифровых финансовых активов. В приложении описан примерный алгоритм исследования криптоадресов и транзакций в блокчейнах.
Основные разделы:
- термины и определения
- история появления биткоина
- как работает блокчейн Bitcoin
- криптовалюта как высокорисковый ресурс
- майнинг-пулы
- криптокошельки
- сервисы аналитики рынка цифровых активов
- судебная практика в РФ
- заключение и перспективы развития
Методические рекомендации внесены в особый реестр, что позволяет использовать их в судебно-экспертной и научно-исследовательской деятельности.
Спешите приобрести и поддержать дальнейшие исследования отечественных ученых, по данному направлению ;)
Читать: на ЛитРес
29 декабря 2023 года, вышел 6-й номер журнала "Информационная безопасность". В нём была опубликована статья главы департамента расследований BitOK, руководителя Санкт-Петербургского РО АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных — Искусственный интеллект и блокчейн (в разделе Технологии \ Криптография).
Искусственный интеллект (ИИ) и блокчейн – из тех технологий, что формируют передний край инноваций в современном мире. Они затрагивают сразу целый спектр сфер человеческой деятельности, от финансов и здравоохранения до логистики и информационной безопасности. Их влияние становится все более заметным, а применение – все более перспективным. Анализируя синергию этих двух мощных инструментов, сосредоточим внимание на том, как их объединение может стать катализатором для создания более эффективных, безопасных и прозрачных решений.
К 2030 г. ожидается увеличение совокупного объема рынка в сфере искусственного интеллекта блокчейн-технологий до $980 млн. Глобальный рынок, объединяющий эти две инновационные области, представляет собой уникальный сегмент: он является одним из динамично развивающихся технологических рынков по размеру и подвержен быстрым изменениям в технологическом аспекте.
Технологии на базе блокчейна и искусственного интеллекта обладают отличным потенциалом для роста в ближайшие годы. Вызванный пандемией коронавируса всплеск спроса на решения, объединяющие оба этих направления, привел на рынок новых участников со свежим взглядом.
ИИ в криптовалютах
Первая очевидная точка соприкосновения – это применение ИИ для улучшения безопасности криптовалют. ИИ способен оптимизировать функционирование блокчейн-систем, повысить уровень защищенности и конфиденциальности, а также улучшить процессы принятия решений.
Уже сейчас с помощью искусственного интеллекта и нейронных сетей ведущие мировые финтех-компании могут усиливать борьбу с мошенничеством в сфере оборота криптовалют.
Обученные алгоритмы ИИ могут быть использованы для выявления аномалий в данных транзакций и обнаружения потенциальных случаев мошенничества, таких как отмывание денег или финансирование терроризма. Внедрение элементов ИИ в сети блокчейнов позволяет создать более безопасную и надежную среду для проведения финансовых транзакций.
В 2021 г. платежная система Mastercard купила аналитический криптосервис CipherTrace, который отслеживает подозрительную активность в блокчейне более 900 цифровых активов. Компанией рассматривается возможность сотрудничества с криптовалютными кошельками Ledger и Metamask для предоставления клиентам возможности быстро и удобно расплачиваться криптовалютами при помощи карты.
А недавно Mastercard заключила партнерство с ИИ-компанией Feedzai, занимающейся выявлением фактов финансового мошенничества в Интернете. В рамках партнерства Feedzai будет напрямую интегрирована в платформу Mastercard CipherTrace Armada, которая помогает банкам отслеживать транзакции более чем с 6 тыс. криптовалютных бирж для выявления мошенничества, отмывания денег и других подозрительных действий. ИИ-компания утверждает, что ее программное обеспечение способно моментально выявлять и блокировать подозрительные транзакции.
Искусственный интеллект может содействовать оптимизации распределения вычислительной мощности при майнинге блокчейна. Путем анализа ретроспективных данных о производительности майнинга ИИ способен прогнозировать оптимальное распределение вычислительной мощности.
Более того, алгоритмы искусственного интеллекта могут быть также использованы для выявления потенциальных угроз безопасности и злонамеренных действий в сетях блокчейнов, например атаки 51%, двойное расходование средств и др.
Смарт-контракты и генеративные модели
Смарт-контракты – одна из самых преобразующих инноваций, появившихся в индустрии блокчейнов. Они используются для автоматизации транзакций без необходимости в посреднике и являются одним из ключевых факторов, способствующих широко разрекламированной децентрализации блокчейна. Но все еще есть много возможностей для улучшения работы смарт-контрактов, и именно здесь ИИ может помочь.
Например, ChatGPT давно умеет писать код по словесному описанию, поэтому можно рассчитывать на его помощь в создании смарт-контрактов, причем как в разработке, так и в тестировании базового кода. Стоит отметить, что разработчики уже знакомы с концепцией использования "вторых пилотов", например, на GitHub, но генеративный ИИ может значительно улучшить этот подход. Смартконтракты написаны на таких языках программирования, как Solidity, а процесс кодирования достаточно сложен и чрезвычайно подвержен ошибкам. Проблема в том, что разработчикам часто приходится писать сотни строк кода вручную и даже небольшая ошибка может иметь серьезные последствия.
ИИ с его способностью обработки естественного языка может помочь разработчикам писать код, используя описание на естественном языке. Другими словами, разработчики могут просто определить функциональность требуемого кода и попросить ИИ выполнить фактическую основную работу. Скорее всего, получится точно не хуже, чем в ручном режиме.
Генеративные модели также могут помочь разработчикам выявить проблемы с кодом: они могут анализировать входные данные на естественном языке, а затем предлагать исправления или улучшения.
Более того, ИИ может автоматизировать выполнение смарт-контрактов, выявляя ошибки в коде путем анализа данных, сгенерированных контрактом, и предупреждая разработчиков о необходимых исправлениях. Это может исключить необходимость ручного мониторинга и тем самым повысит точность и скорость выполнения смарт-контрактов. ИИ может также определять тенденции в данных контракта для предложений по оптимизации, повышению скорости выполнения и снижению платы за газ.
Обучение пользователей
Обучение пользователей на сегодняшний день является наиболее распространенным применением искусственного интеллекта в сфере блокчейна. Несколько ведущих криптокомпаний внедрили ChatGPT для создания своих собственных чат-ботов. Примером может служить Binance, одна из крупнейших бирж, которая разработала чат-бот с искусственным интеллектом под названием Sensei для своей академии.
Другой крупной биржей, Crypto.com, был анонсирован новый искусственный интеллект, названный Эми. В настоящее время он используется в пилотном режиме. Эми призвана информировать пользователей обо всех изменениях на рынке, которые могут их заинтересовать, включая изменения цен на токены в реальном времени и обновления проектов.
Solana стала первым блокчейном первого уровня, который внедрил свой собственный плагин на основе ChatGPT, позволяющий пользователям получать информацию непосредственно из сети с помощью диалоговых подсказок. Этот плагин подключается к блокчейну Solana и выполняет ряд задач, таких как покупка NFT, передача токенов, проверка транзакций и определение цен. Кроме того, он может предоставлять описания NFT, объясняя их полезность и сообщая, являются ли они частью коллекции.
Astar Network представила своего бота на основе ИИ под названием Astari. Он базируется на ChatGPT, но был обучен на данных сети Astar, чтобы давать понятные объяснения того, как работают различные аспекты системы. Его одной из наиболее полезных особенностей является способность объяснять принципы работы конкретных смарт-контрактов.
Из этих примеров видно, что ChatGPT и генеративный ИИ оказывают существенное влияние на индустрию блокчейнов. Тысячи пользователей блокчейна и криптовалют уже используют ИИ для расширения своих знаний и анализа, в то время как разработчики могут воспользоваться этой технологией для оптимизации и автоматизации процессов разработки и выполнения смарт-контрактов.
Блокчейны и противодействие ИИ
Но у любой монеты есть и обратная сторона. Уже сейчас многие задумываются о том, что от применения ИИ могут быть и негативные последствия. В 2023 г. Сэм Альтман, основатель Open AI, представил проект WorldCoin, в рамках которого был запущен инновационный "цифровой паспорт" под названием World ID. Этот проект призван обеспечить возможность доказать, что обладатель World ID – это настоящий человек, а не бот. Для прохождения проверки и получения World ID необходимо провести сканирование радужной оболочки глаза с использованием специального серебряного шара размером с футбольный мяч. При подтверждении того, что проверку прошел реальный человек, в блокчейне проекта регистрируется запись о его World ID.
Собственно, идея в том, чтобы надежно различать людей и ИИ. А роль блокчейна – в хранении результатов проверок в децентрализованном и нефальсифицируемом виде.
Заключение
Интеграция технологий искусственного интеллекта и блокчейна – это захватывающая и вдохновляющая область для исследователей и разработчиков.
Но у искусственного интеллекта есть и свои вызовы: необходимость повышения точности, уменьшение предвзятости и обеспечение большей безопасности. Тем не менее, несмотря на эти препятствия, нет сомнений, что они будут преодолены в долгосрочной перспективе. По мере того как новаторы продолжают исследовать возможности генеративного искусственного интеллекта в области блокчейна, конечные пользователи будут получать удобство и выгоду от более интеллектуальных и безопасных смарт-контрактов, а также от чрезвычайно полезных инструментов, способствующих их исследованиям и обучению.
Рынок искусственного интеллекта на стыке с блокчейн-технологиями продолжает свое развитие. Интеграция технологий искусственного интеллекта и блокчейна – это захватывающая и вдохновляющая область для исследователей и разработчиков.
Источник: Информационная безопасность
28 ноября 2023 года, вышел 5-й номер журнала "Информационная безопасность". В нём была опубликована статья руководителя Санкт-Петербургского регионального отделения АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных — Сайдчейны, кроссчейн-мосты и вопросы безопасности (в разделе Технологии \ Криптография).
Сайдчейны и кроссчейны – это красивые инженерные решения для масштабирования и расширения функциональности блокчейнов, они открывают новые возможности для взаимодействия между различными сетями. Однако с собой они приносят и новые риски в части безопасности. По мере роста популярности системы сайдчейнов и кроссчейнов становятся объектами повышенного внимания злоумышленников и вопросы, связанные с целостностью, конфиденциальностью и доступностью данных, становятся для них все более актуальными.
Сайдчейны
Сайдчейн (Sidechain) – это технология, которая позволяет создавать дополнительные цепи данных, связанные с основной блокчейн-сетью. Идея заключается в том, чтобы улучшить определенные характеристики или функциональность блокчейна, вынося часть операций за пределы базовой цепи. Пользователи могут перемещать свои активы между основной цепью и сайдчейном. Это позволяет улучшать масштабируемость, ускорять транзакции или добавлять новые функции без необходимости внесения изменений в основной блокчейн.
Например, сайдчейн сети Ethereum под названием Polygon PoS обладает производительностью, почти в 500 раз превосходящую скорость родительской сети.
Кроссчейн-мосты
В отличие от сайдчейнов, которые обычно работают как дополнительные цепи данных внутри одной блокчейнсистемы, кроссчейны предполагают взаимодействие между различными блокчейнами, зачастую даже принадлежащими к разным протоколам.
Идея кроссчейна состоит в том, чтобы позволить перемещение активов и данных между разными блокчейнами, обеспечивая интероперабельность между сетями.
Немного истории
В начале блокчейн-эры, когда появился биткоин, первая и самая известная блокчейн-сеть, стали проявляться ограничения по производительности. Блоки в цепи формировались примерно каждые 10 минут, и существовали ограничения на количество транзакций, которые могли быть включены в один блок.
С увеличением популярности криптовалют и блокчейна стало очевидным, что необходимы решения для улучшения производительности и масштабируемости. Задержки в подтверждении транзакций и ограничения по пропускной способности стали проблемами, требующими решения.
Концепция сайдчейнов начала формироваться как способ решения проблем масштабируемости. Идея заключалась в том, чтобы выносить часть транзакций или операций за пределы основной блокчейн-цепи, чтобы улучшить ее производительность, не изменяя саму цепь.
С течением времени и с развитием блокчейн-технологий исследователи и разработчики начали предлагать конкретные решения и протоколы для реализации сайдчейнов. Различные проекты начали проводить эксперименты с сайдчейнами, тестируя их в реальных условиях. Это позволило сообществу лучше понять преимущества и ограничения данного подхода.
Важно понимать, что каждый сайдчейн самостоятельно обеспечивает свою безопасность. В случае компрометации ущерб остается в рамках этой цепи и не затрагивает основной блокчейн. С другой стороны, если будет скомпрометирован основной блокчейн, сайдчейн продолжит работать, но его привязка к родительской цепи обесценится.
Сходства и различия
Обе концепции направлены на улучшение масштабируемости блокчейна. Они предоставляют механизмы для обработки большего количества транзакций и увеличения производительности системы.
Сайдчейны и кроссчейны разгружают основную цепь от избыточных операций, обеспечивая более эффективное использование ресурсов. Используя сайдчейны и кроссчейны, разработчики могут расширить функциональность своих приложений, добавляя новые возможности и операции.
Смарт-контракты являются строительными блоками для создания сложных и безопасных операций как внутри одного блокчейна, так и между различными блокчейнами. Их автоматизированные и программируемые характеристики существенно улучшают функциональность и эффективность сайдчейнов и кроссчейнов.
Смарт-контракты облегчают выполнение транзакций между различными блокчейнами. Они принимают условия и проверки с одной цепочки и инициируют запрограммированные действия на другой.
Атаки на кроссчейны
Double-Spending
Атака Double-Spending направленна на многократное использование одних и тех же активов в разных блокчейнах. Double-spending реализуется, когда атакующий отправляет одновременно две или более транзакции, расходуя одни и те же криптовалютные средства.
Типичным примером Double-Spending является сценарий Race Attack, при котором атакующий одновременно отправляет две разные транзакции с одинаковыми средствами. Злоумышленник рассчитывает, что обе транзакции будут включены в блоки, что может сработать в блокчейнах с длительным временем генерации блоков.
В малоиспользуемых или низкоуровневых блокчейнах, которые обычно отличаются недостаточным уровнем безопасности, атака Double-Spending может быть еще более успешной, если атакующие смогут внести изменения в исходный код блокчейна или в майнинг-процесс.
Double-Spending остается одним из ключевых вызовов для блокчейн-систем, и исследователи и разработчики продолжают искать эффективные методы борьбы с этой угрозой. Для предотвращения атак Double-Spending блокчейн-системы используют различные защитные меры и протоколы. Методы подтверждения транзакций, такие как Proof-of-Work и Proof-of-Stake, помогают уменьшить вероятность успешной атаки. Многие блокчейны также используют механизмы консенсуса и проверки подлинности для обеспечения безопасности транзакций.
Атаки с повторным входом
Если кроссчейн-мост включает смарт-контракты, злоумышленник может попытаться многократно вызывать функции смарт-контракта перед завершением предыдущего вызова, этот сценарий называют Reentrancy. Обычно он используется для многократного списания средств, изменения состояния контракта или других манипуляций.
Кроме того, кроссчейны подвержены и обычным атакам DoS и DDoS. Для снижения рисков и защиты от этих атак разработчики применяют различные техники: улучшенные смартконтракты, криптографические методы и др. Важным элементом является тщательное тестирование и аудит безопасности при создании кроссчейн-мостов.
В качестве системы защиты используются также многоподписные схемы (Multisignature, Multisig) – это системы криптографических схем, позволяющие нескольким пользователям совместно управлять средствами или совершать транзакции. Чтобы не зависеть от одного ключа или одного пользователя, многоподписные схемы предполагают подписи от нескольких ключей для авторизации и выполнения определенных действий.
Атаки на сайдчейны
Угрозой для сайдчейнов являются атаки 51%, особенно если этому типу атак подвержены используемые в сети консенсусные алгоритмы. Злоумышленник, контролируя большую часть вычислительной мощности сети, может манипулировать транзакциями, отклонять блоки и влиять на общий порядок событий в сайдчейне.
Смарт-контракты в сайдчейнах подвержены рекурсивным атакам, переполнению стека и другим видам эксплойтов. Защита от таких атак требует внимательного аудита смарт-контрактов и использования безопасных программных паттернов.
И, конечно же, наиболее опасны комбинированные атаки, когда используются сразу несколько методов. Например, злоумышленники могут сочетать атаку 51% с эксплойтом уязвимости в смарт-контрактах для достижения максимального воздействия.
Известные успешные атаки
В феврале 2022 г. стало известно об атаке на кроссчейн-мост Wormhole, который осуществлял обмен активами между сетью Solana и другими блокчейнами, в том числе со сверхпопулярным Ethereum. Злоумышленники обнаружили метод эмиссии необеспеченных токенов, которые они обменяли на реальные криптовалюты. В общей сложности экосистема Solana подверглась четырем атакам, а общий ущерб от них составил $397 млн.
В конце марта 2022 г. атака на сайдчейн Ronin, специально созданный для улучшения масштабируемости и снижения комиссий для пользователей игры Axie Infinit. Благодаря вредоносному ПО в PDF-документе с предложением о работе от несуществующей компании, загруженном одним из сотрудников из электронного письма, злоумышленники успешно осуществили атаку и вывели криптовалютные активы на $625 млн.
Заключение
Технологии сайдчейнов и кроссчейнов используются очень активно, они являются шлюзами обмена средствами и ценностями между разными сегментами рынка криптовалют. Становится понятно, почему хакеры всех мастей обратили свой взор на кроссчейн-мосты и сопутствующие протоколы.
С ними были связаны самые крупные кражи за 2022 г., согласно отчету Chainalysis: в общей сложности ущерб составил сумму, эквивалентную $3 млрд. Примечательно, что эксперты прогнозируют по итогам 2023 г. в разы больший ущерб: уже были зафиксированы крупные атаки на популярные площадки и за несколько месяцев текущего года объем похищенных активов уже сравнялся с показателями 2022 г.
Ведущие аналитические платформы и их специалисты не дремлют, ищут похищенные средства, мошенников, блокируют их на криптовалютных биржах и в протоколах. Такие платформы осуществляют анализ большого объема данных о транзакциях, кластеризацию адресов криптокошельков, ранжирование рисков, визуализацию данных для упрощения анализа.
Участниками рынка очень востребованы новые подходы к Data Science с углублением исследования атрибутов, кроме того, на рынке не хватает аналитиков. Доступны корпоративные решения, есть платформы Open Source, поддерживаемые сообществом экспертов, для анализа транзакций между блокчейнами. Разработан специализированный инструментарий для блокчейн-криминалистики между сайдчейнами и кроссчейнами.
Для повышения защищенности сайдчейнов и кроссчейн-мостов необходимо повышать прозрачность и стандартизацию, делать аудиты на соответствие отраслевым стандартам и пентесты, обязательно и внедрение безопасной разработки SDLC, в том числе и для повышения качества разработки смарт-контрактов.
Возможно, сейчас блокчейны и кажутся уделом гиков, а их проблемы выглядят локальными. Но блокчейн активно проникает в разнообразные отрасли экономики и приживается там в виде инновационных бизнес-приложений. Все риски, присущие технологии, становятся актуальными не только для криптовалютных организаций, но и для традиционных сфер. Поэтому готовность к защите критичных процессов на базе блокчейнов через три-пять лет должна закладываться уже сегодня.
Источник: Информационная безопасность
29 сентября 2023 года, вышел 4-й номер журнала "Информационная безопасность". В нём была опубликована статья руководителя Санкт-Петербургского регионального отделения АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных — Доказательство с нулевым разглашением и его роль в информационной безопасности (в разделе Технологии \ Криптография).
Довольно часто фундаментальные исследования прошлого века обретают новую жизнь в современном мире, находя свое применение на переднем крае технологий. Одним из таких примеров стала идея доказательства с нулевым разглашением, которая органично вписалась в вопросы информационной безопасности.
Что такое доказательство с нулевым разглашением?
Доказательство с нулевым разглашением (Zero-Knowledge Proof, ZK-доказательства, ZKP) – это криптографический протокол, который позволяет одному лицу (доказывающему) убедить другого (проверяющего) в том, что некоторое конкретное утверждение верно, не раскрывая никаких подробностей о самом утверждении. То есть одна сторона может доказать, что знает секретные данные, не раскрывая их или их детали, а вторая может только убедиться, что доказывающая сторона имеет доступ к этой информации.
Эта концепция играет важную роль в информационной безопасности вообще и в сфере блокчейн-технологий в частности. В качестве примеров ее применения можно привести аутентификацию без раскрытия пароля, проверку ПДн без их публикации, доказательство владения определенным частным ключом в блокчейне без публичного раскрытия этого ключа.
История вопроса
Идея доказательств с нулевым разглашением была предложена в работе "The Knowledge Complexity of Interactive ProofSystems" авторами Шафи Голдвассер, Сильвио Микали и Чарльз Раккофф в далеком 1985 г.
Исследователи представили новый класс протоколов интерактивных доказательств, которые позволяют одной стороне доказывать свое знание о некоторой информации без раскрытия самой информации. Этот важный концепт привлек много внимания и был затем усовершенствован в последующих работах.
Канонически доказательство с нулевым разглашением должно соответствовать следующим трем критериям:
- полнота: проверяющий примет доказательство с высокой вероятностью, если утверждение истинно, а проверяющая и доказывающая сторона придерживаются протокола;
- обоснованность: если утверждение не соответствует действительности, ни один доказывающий не должен быть в состоянии убедить проверяющего в обратном, за исключением случаев стечения крайне маловероятных обстоятельств;
- нулевое знание: даже после взаимодействия с доказывающей стороной проверяющий понимает только истинность утверждения и ничего больше не знает о секрете.
Понятие знания играет фундаментальную роль в концепции доказательств с нулевым разглашением. Знание описывает информацию или данные, которые доказывающая сторона знает или обладает ими. Это может быть, например, секретный ключ, пароль, номер паспорта и т. п.
Доказательство знания заключается в том, чтобы, используя математические и криптографические методы, убедить проверяющую сторону, что доказывающая сторона реально обладает знанием, не раскрывая при этом сами данные или информацию.
Примером реализации идеи может служить неинтерактивный протокол ZK-SNARK (ZeroKnowledge Succinct Non-Interactive Argument of Knowledge). Неинтерактивность в данном случае подразумевает, что доказательство представляет собой блок данных и не требует прямого взаимодействия сторон протокола.
Роль цифровой подписи в ZK-доказательствах
Цифровая подпись – это важный компонент для создания безопасных и приватных ZKдоказательств, позволяющий доказывающей стороне аутентифицировать себя и подтверждать правильность утверждений без раскрытия конфиденциальных данных.
Цифровая подпись позволяет доказать, что отправитель знает закрытый ключ, который соответствует открытому ключу, используемому для верификации. Подпись также обеспечивает подтверждение целостности данных. В ZK-доказательствах отправитель может использовать цифровую подпись для демонстрации того, что данные не были изменены после их подписания.
Цифровая подпись может использоваться в ZK-доказательствах для подтверждения правильности определенных операций без раскрытия конкретных данных. Например, отправитель может подписать хеш данных и предоставить его для верификации вместо самих данных.
Области применения
Конечно же, ZK-доказательства для повышения конфиденциальности транзакций и масштабируемости имеют важное значение в мире блокчейна как в наиболее подготовленной для инновация сфере. Они позволяют осуществлять анонимные транзакции без раскрытия их деталей или личности участников. Так работает, например, блокчейн Zcash, а сеть Ethereum использует ZK-Rollups для создания сжатых доказательств о состоянии целой группы транзакций, что позволяет значительно увеличить производительность блокчейна.
ZK-доказательства могут использоваться в полях аутентификации и контроля доступа, чтобы продемонстрировать знание пароля или криптографического ключа, не раскрывая сам пароль или ключ.
ZK-доказательства также используются в системах электронного голосования, где они позволяют избирателям продемонстрировать легитимность своего волеизъявления, не раскрывая подробностей голосования, защищая целостность избирательного процесса.
Доказательства с нулевым разглашением могут улучшить конфиденциальность транзакций в цифровых валютах центрального банка (CBDC), облегчая частные транзакции и поддерживая анонимность пользователей. Балансируя между конфиденциальностью и прозрачностью транзакций CBDC, ZKP обеспечивает возможность аудита без раскрытия специфики транзакции. Например, в технологии цифрового рубля ZKP можно использовать для повышения конфиденциальности, а также для сохранения анонимности при трансграничных переводах между разрабатываемым белорусским цифровым рублем и перспективной единой цифровой валютой БРИКС.
В качестве еще одного приложения можно привести Filecoin, децентрализованное хранилище данных, которое использует ZK-SNARK для обеспечения безопасной и эффективной проверки целостности данных, хранящихся на сети.
Недостатки
Доказательства с нулевым разглашением могут подвергаться различным видам атак:
1. Атака на приватность. Злоумышленник может попытаться извлечь конфиденциальную информацию, которая должна оставаться скрытой в процессе проведения ZKP. Это может
произойти, если протокол ZKP не обеспечивает адекватную конфиденциальность.
2. Подделка доказательства. Злоумышленник может попытаться создать ложное доказательство и представить его как действительное. Протокол ZKP должен быть устойчив
к подобным атакам.
3. Атаки на параметры. Злоумышленник может выбирать параметры так, чтобы они облегчили взлом системы: выбор ненадежных хеш-функций, кривых эллиптической криптографии и т. д.
4. Уязвимости в коде. Недостаточно безопасные или уязвимые реализации ZKP-протоколов могут стать точкой входа для атак.
5. Атаки на хеширование или криптографические алгоритмы.
6. Атаки на передачу данных.
При передаче ZKP через сеть может существовать риск перехвата или модификации данных, что может повлиять на их целостность и конфиденциальность. Есть и другие недостатки ZKP, не связанные с информационной безопасностью.
Разработка и проверка ZKдоказательств может быть трудоемкой с точки зрения ресурсов и вычислений, особенно для сложных вариантов реализации технологии. Увеличение времени обработки транзакций и объема вычислительной работы может затруднить масштабирование блокчейн-систем.
Кроме того, ZK-доказательства добавляют новый уровень сложности к исходной информационной системе, затрудняя ее аудит и проверку протокола. В свою очередь, это создает риск в части информационной безопасности и эксплуатации незамеченных багов.
Заключение
Уже сегодня технологию доказательства с нулевым разглашением в совокупности с блокчейнами и распределенными реестрами можно эффективно использовать в сфере защиты данных, в том числе и ПДн. При этом сами данные могут вообще не передаваться по внешней сети, а пользователь сможет в режиме онлайн отслеживать согласия на обработку.
В настоящее время у технического комитета ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection находятся в разработке рекомендации по сохранению конфиденциальности, основанные на доказательствах с нулевым разглашением (ISO/IEC WD
27565.3).
Этот документ будет содержать рекомендации по использованию доказательств с нулевым разглашением для улучшения конфиденциальности путем снижения рисков, связанных с совместным использованием или передачей персональных данных между организациями и пользователями, путем сведения к минимуму объема передаваемой информации.
В нем будут приведены несколько функциональных требований ZKP, относящихся к целому ряду различных вариантов бизнес-использования, а затем описано, как можно использовать различные модели ZKP для надежного удовлетворения этих функциональных требований.
Источник: Информационная безопасность
30 Июля 2023 года в одиннадцатый раз открыла свои двери для слушателей Летняя Школа CTF – высококлассный интенсив по информационной безопасности от лучших в своём деле! В этом году среди слушателей и гостей были не только наши соотечественники, но и представители международного CTF-сообщества.
Топовые спикеры ведущих российских компаний выступили с более чем 30-ю докладами, донося до аудитории последние тренды и самую актуальную информацию из мира информационной безопасности. Не забыли организаторы и о смежных сферах, которые могли бы помочь ребятам на пути становления в качестве защитника информации.
Полное погружение в тему, развитие уже имеющихся и овладение новыми навыками, активный отдых и практические задания, а также тренинги, мастер-классы, Хакатон, технические лабораторные и развлекательная программа – всё это ждало 77 слушателей одиннадцатой летней смены, 26 из которых попали на интенсив совершенно бесплатно, благодаря грантам от наших партнёров.
Мероприятие проводилось при поддержке НАМИБ, Минцифры России и Губернатора Московской области.
Первым делом! Формирование команд
Открыл неделю командный этап хак-квеста, который представляет собой не только отличную возможность впервые проявить себя, но и познакомиться с другими слушателями ЛШ, выполняя общие задачи.
Первая часть квеста была больше нацелена именно на знакомство ребят друг с другом: участникам предлагались простые задания, основной целью которых являлась работа в команде, сплочение коллектива и знакомство с территорией (пройтись вместе по натянутой веревке, передать информацию посредством пантомимы и т.д.)
На втором этапе ребятам уже было необходимо научиться ориентироваться на местности и при помощи мобильных устройств решать CTF-задачки, уровень сложности которых постепенно возрастал.
Таким образом, уже на самом старте участники могли понять свои сильные и слабые стороны, а организаторы, внимательно следившие за ходом мероприятия, в свою очередь, подсказать оптимальные пути решения возникших проблем.
Основываясь на достижениях, манере поведения и особенностях освоения этапов хак-квеста, а также по результатам прохождения тестирования, состоявшегося ещё до старта Летней Школы, были сформированы 11 команд, во главе которых были поставлены индивидуальные кураторы.
Практическая часть
Практическая часть Летней Школы CTF состояла из ежедневных задач, интенсивов, мастер классов и лабораторных работ, в число которых входили:
1) Таск дня – выдавались участникам ровно на 24 часа, по истечении отведённого времени сдать их было нельзя. Сами таски охватывали широкий спектр CTF-задач:
· OSINT;
· элементы Социальной Инженерии;
· креативные задачи;
· задачи на внимательность и так далее.
2) Умный Дом – ряд задач, при решении которых не было привычного флага, но происходили какие-либо физические действия - отключение света/системы вентиляции, включение электрической дуги или насоса для перекачки жидкости, открытие электронного замка и т.п.
3) 36-часовой Хакатон для всех команд – в этом году в качестве задания участникам было предложено «доработать» действующего бота ЛШ или предложить новые интересные задумки для него. Сложность была в том, что сперва было необходимо разобраться в действующем коде, а уже потом делать свою прослойку.
4) AntiCTF – разработка собственных заданий в формате CTF и последующая четырёхчасовая игра среди команд.
5) LastCTF – AntiCTF от участников прошлой ЛШ.
6) Проведение лабораторных работ по Attack-Defence.
7) Лабораторная работа по сетевому администрированию VSFI.
8) Тематическое задание «Танк» – участникам необходимо было разобраться с действующей конфигурацией танка и написать собственную прошивку, а также сделать электронную подпись к ней, залить всё в предоставленный гитлаб и успешно пройти CI/CD проверки.
9) Классический FlappyBird, но в усложненной конструкции - в этом году требовалось быстро и точно нажимать определенные клавиши, чтобы птичка летела.
10) Мастер-класс по Security Operation Center (SOC) – расследование реального инцидента и восстановление событий по цепочке логов.
11) WAF ByPass – задача на обход фильтров WAF по разным векторам.
12) Дополнительные таски по различным категориям - криптография, веб-уязвимости, ppc.
13) Отдельное новшество этой ЛШ - новое командное задание на распайку различных конструкций. В зависимости от уровня сложности (робот, светодиодный куб, металлодетектор и т.д.) команде выдавался набор для самостоятельной сборки (DIY) определенного типа. Задачей было полностью распаять данную конструкцию и продемонстрировать ее работоспособность.
14) Задание на построение модели системы защиты облачного сервиса - задача от нашего партнера Координационного Центра РФ.
За решение практических заданий участники получали баллы в два зачета: командный и индивидуальный. На закрытии Летней школы те, кто набрал наибольшее количество баллов, получили подарки от наших партнеров.
Победители:
Личный зачет 1 место - Световой Владислав
Личный зачет 2 место - Пахомов Глеб
Личный зачет 3 место - Черкасов Евгений
Командный зачет 1 место – Slammer
Командный зачет 2 место – Nimbda
Командный зачет 3 место - Enigma
Спикеры, лекции, семинары
Каждый год мы стремимся дать слушателям Летней Школы самую полную и актуальную информацию по всем направлениям, для чего приглашаем топовых экспертов отрасли, готовых поделиться с новым поколением безопасников бесценным опытом становления и активной работы в сфере информационной безопасности.
Мастер-класс «Коммуникация» (Татьяна Ширяева, Виктор Минин) и тренинг по профайлингу от Даниила Лобанова помогли ребятам лучше понять алгоритмы работы в команде, прокачать коммуникационные и социальные навыки, необходимые для создания любой успешной команды. Ведь CTF – это в первую очередь коллектив, общение и решение конфликтов в котором являются залогом долгой и продуктивной работы.
Буквально за неделю до старта Летней Школы с Северного Полюса вернулся наш бессменный спикер, «любимый разведчик Кремля» и ведущий эксперт по конкурентной разведке Андрей Масалович, известный также под псевдонимом КиберДед.
В свои 62 года Андрей Игоревич способен зарядить энергией небольшую электростанцию, является гвоздём программы крупнейшей российской конференции Positive Hack Days и, несмотря на санкции, наложенные на него в этом году, за «продажу инструмента для слежки на базе больших данных», обретает всё большую популярность в среде как совсем юных, так и опытных безопасников, чему, помимо прочего, способствовал и выход книги «Кибердед знает».
Разработанная им система интернет-разведки Avalanche, ставшая предметом яростных дебатов в сети не только в России, но и далеко за её пределами, уже более 10 лет успешно справляется с поставленными задачами.
Слушателям Летней Школы посчастливилось из первых уст получить информацию о том, как извлекать информацию из больших баз данных и гаджетов, из невидимого интернета и интернета вещей. Такой навык становится особенно полезным в турбулентные времена. Сегодня OSINT (Open Source INTelligence - разведка по открытым источникам) это не просто сбор информации о конкретных объектах интереса, а инструмент выживания и процветания.
В докладе рассматривались более двадцати новых приемов и инструментов интернет-разведки. Приятным бонусом стала подаренная всем участникам интенсива книга Андрея Игоревича с персональным автографом.
Пообщался со слушателями Летней Школы и Мустафин Ильназ – руководитель направления безопасной разработки компании Киберпротект, начавший свой путь в IT более 10 лет назад с Service Desk. Ильназ представил доклад на тему «Безопасный код: вселенная без "черных дыр"», в котором рассказал о:
- принципах secure by design;
- безопасном коде и том, каким тот должен быть;
- как выстроить процесс SSDLC (Безопасная разработка);
- для чего нужны DevSecOps в SSDLC;
- поиски "черных дыр", перед релизом.
Отдельно хотелось бы отметить, что компания Киберпротект выступила спонсором гранта, благодаря чему на безвозмездной основе на ЛШ2023 смог попасть ещё один одарённый участник!
Уже который год подряд мы были рады приветствовать в стенах Летней Школы Дмитрия Склярова - ведущего аналитика Positive Technologies, руководителя отдела исследования приложений, доцента кафедры информационной безопасности МГТУ и автора книги «Искусство защиты и взлома информации». Дмитрий занимается анализом двоичного кода, недокументированных протоколов и структур данных.
Участники интенсива с большим интересом прослушали доклад эксперта «Я реверсер, я так вижу!», в рамках которого эксперт поделился своим опытом и взглядами на причины проблем с кодом и процессы, которые эти проблемы призваны ликвидировать.
Организаторы сердечно благодарят всех спикеров, выкроивших в своём рабочем графике время, чтобы посетить Летнюю Школу CTF и пообщаться со слушателями интенсива! Каждому хочется выразить слова благодарности, каждого отметить. Именно благодаря вам растёт новое поколение заинтересованных, мотивированных безопасников, способных обеспечить достойную защиту данных, и по-настоящему увлечённых своим делом специалистов!
Особые гости
Летнюю Школу CTF 2023 посетили и особые гости. И первым делом мы бы хотели рассказать о выдающейся личности, полковнике в отставке, разведчице-нелегале Людмиле Ивановне Нуйкиной!
Вместе с мужем она до 1986 года работала в более чем 18 странах мира. Успешно решала большой комплекс стоящих перед разведкой задач. Разведчики-нелегалы трудились в государствах с жестким административно-полицейским режимом в условиях, сопряженных с риском для жизни. Мужественно преодолевали все трудности.
Активная оперативная деятельность супругов была нацелена на добывание сведений экономического, военно-политического и научно- технического характера, а также на ведение поисковой работы среди представляющего интерес вербовочного контингента. Людмила Ивановна лично участвовала в обеспечении и успешном проведении ряда ответственных оперативных мероприятий.
Рады сообщить, что совсем скоро выйдет видеоинтервью с участием этого знакового для нашей разведки человека, которое будет опубликовано в ВК-группе Летней Школы CTF!
Прекрасной возможностью больше узнать об истории CTF, услышать о взлётах и падениях региональных соревнований и в целом проникнуться атмосферой нашего CTF-комьюнити воспользовались преподаватели самых разных вузов:
· ТюмГУ
· СурГУ
· ИТМО
· Кубанский институт информзащиты
· ПГУТИ
· КИП ФИН
· ННГУ
· Университет МВД им. Кикотя В.Я.
· МЦК-КТИТС
· МУИТ (Казахстан)
Помимо прочего, для уважаемых гостей были проведены отдельные семинары, способствовавшие лучшему пониманию организационных вопросов, связанных с проведением и подготовкой к CTF-соревнованиям. Более опытные коллеги поделились своими наработками относительно того, как встроить обучение и тренировки в образовательный процесс, чтобы не перегрузить учебный план. Говорили о трудностях, с которыми могут столкнуться организаторы и преподаватели и о том, как с ними лучше справляться.
Посетили наш интенсив и гости из Казахстана и Монголии. Ребята всё активнее проявляют себя в CTF-комьюнити и с большим азартом относятся к стоящим перед ними задачам по развитию CTF-движения в своих регионах. В рамках проведения VIКубка CTFРоссии мы уже встречались с талантливыми участниками из казахской команды SCIMUS_VERUM и очень рады были приветствовать новых, искренне заинтересованных темой ИБ ребят на Летней Школе 2023. Делиться опытом с людьми, увлечёнными нашим общим делом – настоящий подарок!
Искренне надеемся, что столь конструктивное общение и обмен опытом посодействуют еще более стремительному развитию CTF-движения как в России, так и за её пределами.
Отдельно хотелось бы отметить выступление исполнительного директора Всероссийского общественного движения наставников детей и молодежи «Наставники России», ведущего аналитика Центра развития и воспитания личности ФГБУ Российской академии образования Андрея Самотоина. В рамках диалога с аудиторией Андрей Николаевич говорил о важности ближайшего окружения любого человека, особенно только начинающего свой путь становления и личностного роста.
Также на гостевой основе присутствовали и ребята, только начинающие интересоваться темой ИБ. Впечатлённые той атмосферой и пользой, которыми пропитан наш интенсив, они серьёзно занялись самоподготовкой и готовятся присоединиться к слушателям Летней Школы в следующем году!
Развлекательная часть
Не забыли организаторы и о том, что на дворе стоит прекрасная погода, а качественный отдых лишь способствует лучшему усвоению материала! Мы приложили максимум усилий, чтобы обучение ребят проходило в комфортной среде, создавали условия не только для получения знаний, но и общения, налаживания связей; проводили «Угадай мелодию», «Что? Где? Когда?», дискотеку, караоке, спортивные игры, «Киллера», фестиваль красок холи и многое другое.
Очень «душевным и тёплым» мероприятием, по словам самих участников, получилось неофициальное закрытие летней смены 2023: после высказанных организаторам слов благодарности, был зажжён огромный костёр, рядом с которым все могли поучаствовать в «Обнимашках» и повязать друг другу ниточку на память, сопроводив ту тёплыми словами и пожеланиями.
Отмечать день флага Российской Федерации стало уже доброй традицией. Каждый год на Летней Школе мы заранее празднуем этот день и в этот раз он прошёл не менее ярко, чем в предыдущие, завершившись ярким праздником красок холи, так полюбившимся нашим участникам.
Круглый стол АРСИБ
В рамках Летней Школы CTFбыл проведён круглый стол Ассоциации руководителей служб информационной безопасности, главной задачей которого являлось построение доверительной и эффективной коммуникации между ведущими экспертами в области информационной безопасности и аудиторией.
Специалисты делились своим опытом и рассказывали ребятам о входе в профессию, о том, насколько актуальна и востребована на сегодняшний день специальность сотрудника служб информационной безопасности, разбирали кейсы и не упускали возможность разрядить атмосферу парой-тройкой забавных случаев из практики.
12 экспертов – 12 историй становления в профессии – 12 пожеланий и напутствий слушателям ЛШ2023.
География участников
Всего для участия в интенсиве были отобраны 77 участников из России и ближнего зарубежья. Ребята приехали к нам из таких городов, как:
· Алматы
· Воронеж
· Дзержинск, Нижегородская область/ Нижний Новгород
· Ростов-на-Дону
· Донецк
· Екатеринбург
· Зеленоград
· Казань
· Канск
· Котельники
· Красногорск
· Краснодар
· Москва
· Мытищи
· Орел
· Пушкино
· Санкт-Петербург
· Сургут
· Таганрог
· Томск
· Тюмень
· Уфа
Список образовательных организаций:
Школа №618
Школа №152
Школа №179
Школа №31 Санкт-Петербург
Школа "Интеграл"
Школа Космонавтики
Лицей №1580 им Н.Э. Баумана
Лицей №153
Лицей НИУ ВШЭ
Школа "Летово"
Воронежский Государственный Унивеститет
Донецкий Национальный Университет (ДонНУ)
Казанский Федеральный Университет
КИП ФИН
Колледж связи №54
КПК РТУ (МИРЭА)
Краснодарский Университет МВД России
МАИ
МГТУ имени Н.Э. Баумана
Московский Университет МВД им. В.Я. Кикотя
МТУСИ
МУИТ
ННГУ им Н. И Лобачевского
РТУ (МИРЭА)
Санкт-Петербургский университет МВД
СурГУ
ТУСУР
ТюмГУ
Университет ИТМО
УрФУ
ЮФУ
Ithub
Дополнительная информация
LETOCTFBOT
В этом году мы вновь не стали отказываться от предоставления возможности всем желающим попасть на Летнюю Школу совершенно бесплатно! 1 июня был запущен LETOCTFBOT, в рамках взаимодействия с которым ребята могли заранее оценить уровень собственной подготовки и выиграть поездку на летнюю смену, набрав максимальное количество баллов за решение тасков.
Каждую неделю пользователи получали новое задание, на решение которого отводилось 7 дней. По истечении отведённого срока организаторы публиковали верное решение, после чего участники могли продолжить решение таска лишь вне зачёта.
В этом году победителем среди 340 претендентов стала Авдеева Лиза и неудивительно, что именно ей также был выделен грант одним из наших партнёров, а потому решением оргкомитета главный приз перешёл к следующему за Лизой конкурсанту, которым стал Гантумур Золбообаяр из Монголии! Расходы на его проживание, обучение и дорогу полностью взяли на себя организаторы Летней Школы.
Собеседования перед зачислением
Новшеством этого года стало введение личных бесед перед зачислением в ряды слушателей интенсива. Всего было проведено 250 собеседований, по результатам которых зачислены 77 участников.
Место проведения
Летняя Школа CTF – это не только прекрасная возможность прокачать свои знания, но и провести 10 дней в экологически чистой лесопарковой зоне! Каждый год мы тщательно выбираем место для проведения интенсива.
Стараемся учесть всё: удобство расположения, наличие необходимого оборудования и комфортабельных конференц-залов для проведения лекций; следим за питанием и здоровьем наших подопечных. Наличие особенностей развития или патологий здоровья, требующих отдельного питания или особого подхода, – не причина отказываться от участия в Летней Школе, мы просим лишь заранее известить организаторов о подобных нюансах!
В этом году Летняя Школа вновь проводилась в учебно-оздоровительном комплексе «Лесное озеро» Финансового университета при Правительстве Российской Федерации. На территории комплекса расположены 2 жилых корпуса, медицинский корпус, соединенный с главным корпусом крытым отапливаемым переходом, 2 коттеджа, спортивные площадки различных направлений: мини-футбол, баскетбол, волейбол, большой теннис, множество зон отдыха с беседками.
Сам же комплекс раскинулся на берегу живописного Истринского водохранилища, что в 70 км от Москвы, в Солнечногорском районе.
Буст ваших знаний + здоровый отдых = Летняя Школа CTF 2023!
Заключение
Летняя Школа CTF – это проект, который делают Люди! Организаторы, спонсоры, партнёры грантов, транспортная и техническая команды, медиагруппа, спикеры, кураторы, наставники и сами участники – благодаря каждому из вас этот проект живёт, развивается и с каждым годом получает всё большие возможности для передачи бесценного опыта и знаний подрастающему поколению ИБ-специалистов. Вклад каждого имеет свой, особое значение для общего дела, и мы благодарим всех, кто принимал участие и помогал в организации Летней Школы CTF 2023!
Особую благодарность выражаем принимающей стороне - учебно-оздоровительному комплексу «Лесное озеро» Финансового университета при Правительстве Российской Федерации и лично ректору университета Прокофьеву Станиславу Евгеньевичу и его команде.
А также Всероссийскому общественному движению наставников детей и молодежи «Наставники России».
Кому сказать "спасибо" за Летнюю школу 2023?
За помощь в организации XI Летней Школы CTF 2023 Ассоциация руководителей служб информационной безопасности выражает благодарность спикерам, партнерам и всем неравнодушным людям и компаниям. Наше мероприятие состоялось благодаря Вам. Спасибо!
Отдельно благодарим за поддержку НАМИБ, Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации и губернатора Подмосковья Андрея Воробьева.
Особую благодарность выражаем генеральному и официальному партнерам - RDP и Сбер.
Спасибо нашим партнерам за материальную и техническую поддержку.
Партнеры: Гознак, Координационный центр доменов .RU/.РФ, Лаборатория Касперского.
Партнеры грантов: Киберпротект, НТЦ «Вулкан», EdgeЦентр, «SearchInform», УЦСБ, «ИнфоТек», Код Безопасности, «Star Force», «White Hack», Positive Technologies, UserGate, T1 Watchman.
Генеральный информационный партнер: Хакер.
Информационный партнер: CTF News.
Технологические партнеры: ПАО «МТС», UserGate, компания «Актив Софт».
Особая благодарность за предоставление широкополосного Интернета команде компании МТС.
Транспортный партнер: ИАЦ «Борей».
Спасибо всем спикерам за ваши доклады и знания, которые увезли с собой наши участники!
Александр Молчанов, Александр Трунев, Алексей Гуляев, Андрей Масалович, Артем Избаенков, Артем Калашников, Вадим Михайлов, Виктория Елагина, Виталий Васюнин, Владимир Иванов, Владимир Черепанов, Глеб Марченко, Даниил Лобанов, Дмитрий Муковкин, Дмитрий Скляров, Евгений Царев, Евгений Широков, Ирина Слонкина, Людмила Нуйкина, Максим Подобаев, Никита Бекетов, Сергей Голованов, Татьяна Ширяева.
Отдельную благодарность выражаем всем, кто помогал нам в реализации проекта!
Александр Будников, Александр Меньщиков, Александр Смирнов, Александр Шойтов, Александра Троцкая, Алексей Гуляев, Алексей Посикера, Алексей Фомин, Алина Алексеева, Анастасия Дюмулен, Анастасия Пан, Анастасия Шишкова, Андрей Глухарев, Андрей Голов, Андрей Крутских, Андрей Масалович, Андрей Чахеев, Анна Балухта, Анна Коротышева, Антон Быков, Антон Марков, Арсений Ларченков, Арсений Палагин, Артем Калашников, Богдан Кондратьев, Вадим Михайлов, Вадим Ружников, Вероника Гаршина, Виктор Покусов, Виктория Бунчук, Виктория Сабурская, Владимир Иванов, Владимир Лось, Вячеслав Новиков, Галина Козырева, Глеб Сердитых, Григорий Остапенко, Даниил Лобанов, Данил Заколдаев, Денис Масленников, Денис Петровский, Дмитрий Богданов, Дмитрий Гусев, Дмитрий Муковкин, Дмитрий Федоров, Евгений Царев, Екатерина Сватова, Елена Федина, Елизавета Антонова, Иван Нагорнов, Игорь Душа, Игорь Захаренков, Игорь Макаров, Игорь Морозов, Ильназ Мустафин, Ипполит Дюмулен, Ирина Корх, Ирина Поздняк, Искандер Зулькарнеев, Искандер Зулькарнеев, Кристина Сауберг, Ксения Харламова, Леонид Ротков, Максим Куликов, Максим Марушкин, Максим Подобаев, Марина Шутова, Михаил Кадер, Наталья Михайленко, Никита Полуэктов, Николай Микрюков, Оксана Полякова, Олег Иевлев, Олег Томниковский, Ольга Баскакова, Ольга Горлова, Ольга Карпунина, Павел Горбачев, Рустам Хидиятуллин, Саркис Шмавонян, Сауле Аманжолова, Сергей Будников, Сергей Волков, Сергей Голованов, Сергей Горелик, Сергей Коношенко, Сергей Лебедь, Сергей Ожегов, Сергей Сухман, Сергей Ширяев, Станислав Шевченко, Татьяна Ровенская, Элина Яруллина, Юлия Бахмутова, Юлия Черникина, Юрий Багров, Юрий Рожнов.
Спасибо команде организаторов Летней школы за всю проделанную работу!
Александр Котов, Александра Мартынова, Алексей Гуляев, Алексей Овчинников, Алиса Соболева, Антон Зеунов, Арина Казанцева, Валерия Кириллова., Виктор Минин, Галина Котлова, Даниил Лобанов, Даниил Ширшов, Евгений Емельянов, Елизавета Антонова, Иван Краснопольский, Кирилл Минин, Лев Хакимов, Максим Подобаев, Максим Смирнов, Маргарита Карева, Маргарита Рублева, Наталия Бекасова, Наталья Мануйлова, Никита Бекетов, Сергей Кузнецов.
Благодарим членов Ассоциации руководителей служб информационной безопасности (АРСИБ) за активное участие в нашем мероприятии!
Александр Мишурин, Александр Першин, Алексей Подмарев, Андрей Нуйкин, Артем Избаенков, Владимир Бугров, Дмитрий Костров, Илья Алексенко, Марат Шамсудинов, Мария Худышева, Михаил Смирнов, Ольга Курбанова, Сергей Голяк.
Источники:
«Летняя Школа CTF 2023»: итоги | ACISO CTF | Дзен
Кому сказать "спасибо" за Летнюю школу 2023? | ACISO CTF | Дзен
19 июля 2023 ведущее отраслевое издание Cointelegraph опубликовало статью: «Российская ЦВЦБ к 2025 году? Что происходит с цифровым рублем». Автор материала – David Attlee… 2025-2027 годы могут показаться далекими, но к этому времени Центральный банк России готовит свою ЦВЦБ к массовому внедрению.
Проект Центрального банка Российской Федерации (ЦБ РФ) по цифровой валюте центрального банка (ЦВЦБ) стремительно развивается. Первые новости об инициативе появились в 2020 году, а в 2022 году был внесен законопроект о регулировании, который сейчас прошел окончательное чтение в нижней палате парламента, Думе.
Однако, окончательное внедрение «цифрового рубля» среди широкой общественности произойдет не раньше 2025-2027 гг., как недавно сообщила первый заместитель председателя ЦБ РФ Ольга Скоробогатова.
График по-прежнему выглядит оптимистичным в глобальном контексте. Согласно недавнему отчету PwC, к 2030 году только около 24 ЦВЦБ могут быть активны. Но для страны, активно ищущей способы международной торговли в условиях жестких финансовых санкций, такие сроки могут показаться относительно медленными.
Взлеты и падения цифрового рубля
В 2017 году ЦБ РФ объявил о своей заинтересованности в изучении идеи цифровой валюты. В то время Скоробогатова подчеркнула, что разработка ЦВЦБ является приоритетной задачей и ЦБ РФ вскоре проведет исследование. Однако, глава банка Эльвира Набиуллина не считала это главным приоритетом и рассматривала как нечто, требующее изучения в средне- и долгосрочной перспективе.
В 2022 году ЦБ РФ сообщил, что планирует внедрить цифровой рубль во всех банках страны к 2024 году. Регулятор пояснил, что внедрение будет осуществляться поэтапно и потребует обширного тестирования и развития инфраструктуры. По мнению центрального банка, цифровой рубль будет сосуществовать с традиционными системами наличных и безналичных платежей, предоставляя потребителям большую гибкость в их транзакциях.
В феврале 2023 года Скоробогатова сделала публичное объявление о первом потребительском пилотном проекте цифрового рубля, запуск которого запланирован на 1 апреля 2023 года. В пилотном тестировании примут участие 13 местных банков, многочисленные продавцы (ритейл) и реальные потребители.
В том же месяце Газпромбанк, дочерняя компания государственной энергетической корпорации "Газпром" и один из участников пилотного проекта, публично предложил дать банкам больше времени перед внедрением ЦВЦБ. Действительно, опасения банка были понятны, поскольку, по оценкам аудиторской фирмы McKinsey, российские банки могут потерять 3,5 миллиарда долларов комиссионных за пять лет из-за затрат на ЦВЦБ.
Запуск пилотного проекта в конечном итоге был отложен вместе с принятием законопроекта о цифровом рубле в Думе. Измененный законопроект устанавливает ключевые юридические определения, такие как “платформа”, “участники” и “пользователи”, а также излагает общие руководящие принципы для экосистемы ЦВЦБ.
В соответствии с действующими правилами ЦБ РФ берет на себя роль основного оператора инфраструктуры цифрового рубля и несет ответственность за сохранность всех хранящихся активов.
Поскольку основная цель ЦВЦБ - служить средством оплаты и перевода средств, у пользователей цифрового рубля не будет возможности открывать сберегательные счета. Индивидуальные клиенты будут пользоваться бесплатными платежами и переводами, в то время как с корпоративных клиентов будет взиматься комиссия в размере 0,3% от суммы платежа.
Чего ожидать в 2025 году?
6 июля Скоробогатова из ЦБ РФ заявила, что каждый гражданин сможет открыть кошелек, получать цифровые рубли и использовать их на горизонте 2025-27 годов.
Она уточнила, что многое зависит от банков и их готовности внедрить необходимую инфраструктуру, поскольку частные банки будут облегчать операции с цифровыми рублями в рамках своих стандартных приложений, при этом весь процесс посредничества центрального банка будет более или менее незаметен для конечного клиента. Скоробогатова подчеркнула: “Цифровой рубль - это не криптовалюта или стейблкоин, у которых часто нет эмитента или вы его не знаете”.
Александр Подобных, глава Санкт-Петербургского отделения Ассоциации руководителей служб информационной безопасности (консалтинговой организации по кибербезопасности), участвующей в разработке законодательства ЦВЦБ, - считает крайний срок 2025-2027 гг. реалистичным и, что тестовая инфраструктура готова к пилотному внедрению цифрового рубля:
«Сейчас в тестировании задействовано около 30 юридических лиц — это банки, розничная торговля и индивидуальные предприниматели. До 2027 года в нем примут участие до 1500 субъектов (включая физических лиц). По завершении тестирования будут разработаны рекомендации по масштабированию.»
Подобных также упомянул о предстоящих обновлениях Федерального закона № 115, регулирующего процедуры борьбы с отмыванием денег и финансированием терроризма. Предлагаемые поправки будут учитывать новые формы обмена, чтобы помочь ведомствам финансового мониторинга анализировать транзакции ЦВЦБ.
Елена Ключарева, старший юрист российской юридической фирмы KKMP, также не видит никаких аномалий в сроках 2025-2027 годов. «Задержка с внедрением цифрового рубля может быть связана главным образом с техническими аспектами», - сказала она Cointelegraph. Инфраструктура, предусмотренная концепцией ЦБ РФ, сложна и должна облегчать не только онлайн, но и офлайн-транзакции и обеспечивать высокий уровень кибербезопасности. Ключарева добавила, что такая инфраструктура будет базироваться в основном на отечественных программных решениях из-за международных санкций:
«Согласно предыдущим комментариям ЦБ РФ, они не хотят намеренно ускорять процесс, но хотят убедиться, что платформа цифрового рубля функционирует должным образом и является надежной».
Решение отложить внедрение российской цифровой валюты следует рассматривать не как провал проекта, а как попытку разработать стабильное, хорошо сбалансированное решение, заключила Ключарева.
В настоящее время в обращении находятся только четыре ЦВЦБ, Россия, вероятно будет в числе первых стран, которая начнёт их принимать, даже если цифровой рубль не будет запущен до 2027 года.
Источник: Cointelegraph
25 июля 2023 года, вышел 3-й номер журнала "Информационная безопасность". В нём была опубликована статья руководителя Санкт-Петербургского регионального отделения АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных - LinkingLion: операция по деанонимизации биткоина (в разделе Технологии \ Криптография).
Анонимность является одной из ключевых особенностей и привлекательных характеристик биткоина, которая способствует его популярности среди пользователей, и особенно среди тех, кто ценит конфиденциальность своих финансовых операций. Однако в начале 2023 г. исследователи обнаружили серьезную угрозу анонимности участников сети биткоина со стороны объекта, названного LinkingLion.
Что такое мемпул?
Под мемпулом (Mempool) в криптосфере понимается хранилище неподтвержденных транзакций в сети блокчейна. Когда пользователь отправляет транзакцию с использованием криптовалюты, она сначала попадает в мемпул, очередь транзакций, которые еще не были включены в блок и не получили подтверждения майнерами или участниками сети.
Участники сети могут просматривать мемпул и выбирать транзакции для включения в новый блок на основе различных факторов, таких как размер комиссии, приоритетность транзакции и других предпочтений.
Размер мемпула может колебаться в зависимости от активности сети и объема отправляемых транзакций. В периоды высокой активности сети мемпул может становиться полностью заполненным, что приводит к увеличению времени подтверждения транзакций или повышению комиссий для более быстрого включения.
Мемпул играет важную роль в обеспечении функционирования блокчейна и подтверждения транзакций. Отслеживание состояния мемпула может быть полезным для пользователей, которые хотят оптимизировать время подтверждения своих транзакций или выбрать подходящую комиссию для быстрого включения в блок.
Что же случилось?
В марте 2023 г. эксперт под псевдонимом b10c опубликовал исследование под названием LinkingLion, посвященное анализу поведения фальшивых узлов. Он обнаружил в блокчейн-сетях "Биткоин" и "Монеро" некий объект, собирающий информацию о транзакциях при их попадании в мемпул.
Конечно, это может быть проявлением работы некоей исследовательской компании, занимающейся анализом блокчейна для улучшения своих продуктов. Но автор предполагает, что это кампания по деанонимизации пользователей. Исследуемый объект ведет себя так: открывает соединения со многими биткоин-узлами, используя четыре диапазона IP-адресов, и прослушивает анонсированные транзакции, потенциально соотнося новые широковещательные транзакции с IP-адресами узлов.
Используемыми диапазонами пользуются четыре компании: Fork Networking, Castle VPN, Linama, Data Canopy, а все диапазоны относятся к провайдеру LionLink Networks. Поэтому автор для созвучия назвал исследуемый объект LinkingLion, а затем высказал гипотезу, что LinkingLion пытается связать все выявленные транзакции с IP-адресами, то есть речь идет о попытке деанонимизации участников.
Не ясно, управляется ли описанный в исследовании объект LinkingLion единым человеком, группой лиц или организацией. Но соединения используют общие шаблоны для различных диапазонов IP-адресов. Кроме того, все диапазоны используют одни и те же поддельные данные о пользовательских агентах, то есть, скорее всего, используется одно программное обеспечение. Конечно, это лишь косвенное подтверждение того, что за подключениями стоит одна организация.
Далее исследователь обратил внимание на то, что один из диапазонов IP-адресов принадлежит компании под названием Castle VPN, что наводит на мысль, что LinkingLion открывает соединения через VPN-сервис. Другие диапазоны IP-адресов также можно было бы использовать в качестве конечных точек VPN, что объяснило бы, почему несколько конфигураций программного обеспечения используют одни и те же адреса. Однако и эта теория пока остается неподтвержденной.
Какая информация доступна LinkingLion?
Информация, которую получает LinkingLion, может быть вычленена из метаданных, сведений по инвентаризации и адресам. Вообще, любое соединение может получить метаданные узла, с которым оно устанавливается, включая:
- информацию о доступности узла;
- версию используемого программного обеспечения;
- параметры блокчейн-транзакций, предпочитаемые узлом;
- список услуг, предоставляемых узлом.
Временная информация, то есть когда узел объявляет о своем присутствии или обновлении инвентарных сведений, особенно актуальна для последующего анализа. Поскольку LinkingLion подключается ко многим прослушивающимся узлам, он может использовать набор получаемых сведений для привязки широковещательных транзакций к IP-адресам, а значит, потенциально и к пользователям.
Около 2% подключений со стороны объекта LinkingLion также просят узел отправить им адреса других узлов сети. Объект, вероятно, использует их для поиска новых адресатов для подключения и увеличения доли охваченных узлов, а также может попытаться распознать топологию сети, отслеживая ретрансляцию транзакций.
Остается загадкой, зачем LinkingLion открывает несколько кратковременных подключений к одному узлу из нескольких диапазонов IP-адресов. Всю информацию можно было бы извлечь и без многократного открытия и закрытия соединений, не привлекая внимания исследователей. Впрочем, это вполне можно списать на ошибки в логике работы самого LinkingLion.
Автор исследования впервые лично наблюдал действия LinkingLion летом 2022 г., однако объект был активен дольше. Отрывочные сведения, ретроспективно обнаруживаемые в некоторых отчетах в Интернете, свидетельствуют, что операции LinkingLion проводились как минимум с начала 2018 г.
Кто стоит за LinkingLion?
Большинство P2P-аномалий, происходящих с открытой сетью биткоина, исходят от частных лиц или компаний, преследующих либо академические цели, либо корыстные (например, продажа собранных данных другим компаниям и правоохранительным органам).
В случае с LinkingLion академический интерес кажется маловероятным: вряд ли обычный исследователь будет финансировать такую масштабную операцию в течение нескольких лет, ведь диапазоны IP-адресов и серверы стоят немалых денег. К тому же академические эксперименты обычно более локализованы по времени, да и опубликованных по итогам статей пока найти не удалось.
Коммерческим компаниям есть смысл платить за инфраструктуру, если они смогут выгодно продать собранные данные или улучшить с их помощью свой продукт в сфере блокчейна. Так что вариант, когда за LinkingLion стоит некая организация, выглядит более правдоподобным.
Что же делать?
Первоочередной мерой противодействия может стать ручная блокировка диапазонов IP-адресов, используемых LinkingLion, то есть запрет для них входящих подключений к узлам.
Однако это действие не решает проблему полностью, ведь LinkingLion может легко переключиться на новые диапазоны IP-адресов. Основная опасность заключается в том, что по итогам сбора информации со стороны LinkingLion может быть установлена высоковероятная связь транзакций и IP-адресов. Чтобы этого не допустить, потребуются изменения в логике первоначальной трансляции и ретрансляции транзакций в сети биткоина и в ядре Bitcoin Core.
Технологическим решением может стать технология Dandelion, например Dandelion++ или какая-либо из ее модификаций. Dandelion (англ., одуванчик) – это протокол передачи транзакций в сети блокчейна с целью повышения анонимности и защиты приватности пользователей. Он был разработан в 2017 г. для биткоин-сети, хотя может быть реализован и в других блокчейнах.
Основная идея Dandelion заключается в том, чтобы затруднить определение источника транзакции в сети блокчейна, что может повысить уровень анонимности для отправителей транзакций. По умолчанию, когда транзакция создается, она отправляется на первый узел в сети и начинает свой путь к остальным узлам через прямой маршрут. Это как раз и может делать возможным отслеживание источника транзакции.
Протокол Dandelion модифицирует этот процесс: вместо прямой передачи транзакция отправляется на случайно выбранный узел, который называется "стебель" (Stem Phase). Этот узел удерживает транзакцию на некоторое время и затем, после искусственной временной задержки, передает ее дальше группой узлов вместе, образуя так называемые "колосья" (Fluff Phase). Таким образом, точное место отправителя транзакции становится труднее обнаружить.
Dandelion++ используется в блокчейн-сети Monero с 2020 г. Попытка аналогичного внедрения в Bitcoin Core так и не увенчалась успехом, в первую очередь из-за сложности и проблем с DoS.
Заключение
Гипотезы и выводы, приведенные в исследовании, выглядят вполне обоснованными как с технической точки зрения, так и с точки зрения общей картины развития криптосферы. За последние пять лет на рынке анализа блокчейн-транзакций появилось много новых игроков, в том числе и очень крупных.
В СМИ то и дело появляются новости об очередном выигранном госконтракте или получении дополнительных инвестиций, исчисляемых уже десятками и сотнями миллионов долларов. Причем если анализом биткоина, эфириума и их форков занимаются многие компании, то, к примеру, на деанонимизацию и анализ технологии Monero выделялись прямые исследовательские гранты на сотни миллионов долларов.
Зная также о государственно-частном партнерстве американской компании Chainalysis с ФБР и другими ведомствами, а также доступных сведениях о существовании модуля интеграции с системой аналитики Palantir (используют спецслужбы, инвестиционные банки, хедж-фонды), можно предположить, что такой глобальный сбор IP-адресов необходим, как вариант, для массового выявления субъектов с высоким уровнем риска (по AML/CFT) и преступников.
Недавно, в 2023 г., один из игроков в блокчейн-аналитике анонсировал применение ИИ для сквозной блокчейн-аналитики между различными блокчейнами и токенами. По-видимому, похожие работы уже ведутся в нашей стране. А значит, не исключено появление новых исследовательских объектов, подобных LinkingLion.
Источник: Информационная безопасность
Корпоративная система аналитики Транзакция Криптовалюта Актив - кибербезопасность инфраструктуры блокчейнов и антифрод в криптовалютной сфере (антискам, прозрачность, комплаенс).
Российская Федерация, Москва
Тел.: +7 (911) 999 9868
Факс:
Почта: cosatca@ueba.su
Сайт: www.ueba.su