Скорая помощь. Безопасность в сети
-
В Сети появился исходный код загрузчика iOS, утечку называют крупнейшей в истории
Неизвестный пользователь разместил на портале GitHub исходный код основного загрузчика iBoot, отвечающего за загрузку системы iOS компании Apple во время включения устройства. Эта утечка может иметь серьезные последствия, поскольку хакеры получили возможность найти серьезные уязвимости в iOS.Как поясняет N+1, обычно во время включения мобильного устройства или ПК пользователь сразу видит экран загрузки операционной системы, но на самом деле процесс включения состоит из множества этапов. Сначала низкоуровневая прошивка инициализирует оборудование и загружает в оперативную память загрузчик операционной системы. После этого загрузчик загружает в память ядро системы, которое уже занимается загрузкой и настройкой остальных компонентов, необходимых для полноценной работы. Кроме того, в большинстве современных компьютеров и смартфонов есть компонент, который не дает запускать загрузчик и другой код, если он не подписан производителем, что позволяет защитить устройство от исполнения вредоносного кода.
В описании кода, размещенного на GitHub говорится, что он относится к iOS 9, тогда как актуальной версией системы является iOS 11. Однако часть опубликованного кода iBoot, предположительно, используется и поныне, пишет CNews. При этом впервые код был размещен еще в сентябре прошлого года на портале Reddit, но тогда это событие не привлекло особого внимания.
Как сообщил Motherboard эксперт по кибербезопасности Джонатан Левин, опубликованный код не может быть скомпилирован из-за отсутствия некоторых файлов, но хакеры и специалисты могут найти в нем уязвимости. Саму утечку Левин назвал "крупнейшей в истории".
Engadget напоминает, что так называемый джейлбрейк (операция, которая позволяет получить доступ к файловой системе iOS-устройств) был сравнительно легко осуществим на старых моделях iPhone, однако ситуация изменилась, когда Apple начала оснащать смартфоны датчиком TouchID и повышающим безопасность сопроцессором (Secure Enclave Processor), начиная с iPhone 5s. Сейчас хакерам крайне трудно находить уязвимости в iOS, однако публикация ранее недоступного кода может облегчить им задачу.
Через несколько часов после того, как на размещение кода на GitHub обратили внимание СМИ, Apple подала жалобу, косвенно подтвердив подлинность кода. Вскоре архив был удален с ресурса, но его копии успели распространиться по другим сайтам.
https://hitech.newsru.com/article/08feb2018/iboot -
Российские власти заплатят хакерам за найденные уязвимости в IT-системах
Правительство РФ одобрило план мероприятий по информационной безопасности программы "Цифровая экономика", который предусматривает выплаты хакерам за найденные уязвимости в различных IT-системах, пишет газета "Ведомости".Согласно документу, до конца 2020 года на денежные премии и призы за найденные уязвимости планируется выделить 500 млн рублей из бюджета и еще 300 млн рублей внебюджетных средств. Реализация этой части программы должна начаться в апреле этого года. Ответственными за ее выполнение названы Минкомсвязи, ФСБ и ФСТЭК, исполнителем - Центр компетенций по импортозамещению в сфере ИКТ.
Как сообщил директор Центра Илья Массух, программа будет охватывать российские государственные IT-системы и IT-продукты вендоров (как российских, так и зарубежных). При этом в случае с IT-системами речь идет о наличии явного заказчика поиска уязвимости, который предложит хакерам систему для теста и может дать к ней доступ. В случае с другими продуктами тестирование будет производиться без уведомления разработчика системы (например, тестирование рыночных IT-платформ или операционных систем). По словам Массуха, выделенные на вознаграждение хакеров средства между этими двумя моделями будут распределяться в пропорции примерно 75 на 25.
Массух также сообщил, что заниматься поиском уязвимостей смогут и физические лица, и компании, но проверять некоторые системы, тестирование которых будет требовать доступа к инфраструктуре, смогут только компании. В зависимости от характера найденных уязвимостей сведения о них будут публиковаться после устранения либо сохраняться втайне от всех, кроме разработчика продукта или владельца IT-системы.
Как полагает собеседник издания, занимающийся исследованиями безопасности IT-продуктов, обнаруженным уязвимостям вполне могут найти тайное применение, и знать о них будут только спецслужбы. В то же время другой эксперт по безопасности считает такой сценарий маловероятным, но отмечает, что талантливых участников программы могут пригласить к сотрудничеству со спецслужбами.
Комментируя этот аспект, Массух подчеркнул, что программа имеет сугубо гражданские цели, а у спецслужб есть собственные программы в сфере поиска уязвимостей.
Напомним, практика привлечения хакеров к поиску уязвимостей существует во многих IT-компаниях, включая Google, Apple, Facebook, "Яндекс" и другие. Например, с 2011-го по 2016 год Facebook выплатила исследователям около 6 млн долларов. В 2016 году программу поиска уязвимостей запустил Пентагон: тогда хакеры проверяли официальный сайт и другие медиаресурсы ведомства, а первая уязвимость была найдена уже через 13 минут после запуска программы. Всего в рамках этой программы хакерам было выплачено 75 тысяч долларов.
https://hitech.newsru.com/article/12jan2018/rusbugbounty -
Ростовский хакер взломал PayPal
Несмотря на разработку все новых и новых методов кибербезопасности, электронные кошельки и системы оплаты всегда будут лакомым кусочком для хакеров и других нечистых на руку людей, обитающих во Всемирной паутине. Уже не раз совершались попытки взлома платежных систем и попытки воровства банковских карт, но хакер из Ростова-на-Дону не так давно сумел взломать одну из самых распространенных в мире платежных систем PayPal и украсть у ее пользователей несколько миллионов рублей.Не так давно по подозрению в киберпреступлении органы правопорядка Ростова-на-Дону задержали 21-летнего хакера. Как стало известно, молодой человек (имя и фамилию которого следствие не разглашает) в течение нескольких месяцев взламывал частные аккаунты пользователей PayPal и снимал с данных их счетов денежные средства. Как заявили в пресс-службе правоохранительных органов,
«Атакам подверглась в первую очередь популярная система PayPal, в которой хакеры обнаружили существенную уязвимость. Менее чем за полгода житель Ростова получил несколько миллионов рублей и планировал продолжать свою деятельность».В ходе следствия удалось выяснить, что молодой человек с 15 лет увлекался программированием и информационной безопасностью. В какой-то момент он начал писать программы для того, чтобы можно было выяснять персональные данные пользователей. Видимо, после этого на него и вышли другие киберпреступники, которые предложили хакеру сотрудничество. В данный момент на ростовского хакера заведено уголовное дело по статье, связанной с созданием и распространением вредоносных программ. Ну а мы, в свою очередь, напомним, что для любых своих платежных систем старайтесь использовать как можно более лучшие системы защиты: двух- и трехэтапную аутентификацию, сложные пароли, биометрические данные и вообще все любые доступные средства.
-
Россиянин обманул спецслужбы США, продав несуществующее кибероружие
После нескольких месяцев секретных переговоров сотрудники американских разведывательных служб заплатили 100 тысяч долларов некоему россиянину, пообещавшему вернуть им похищенное при кибератаке на Агентство национальной безопасности (АНБ) США секретное кибероружие, пишет The New York Times со ссылкой на источники в американской и европейской разведке.
Первоначально за свои услуги россиянин потребовал 1 миллион долларов, первую часть этой суммы в размере 100 тысяч долларов ему передали в сентябре в одном из отелей Берлина.
Россиянин также предложил им продать материал, компрометирующий президента США Дональда Трампа. Сотрудники разведслужб заявили ему, что им не нужен компромат на президента.
В итоге никакого кибероружия россиянин не вернул, ограничившись "непроверенной и, возможно, сфабрикованной" информацией об американском президенте и его окружении.
После этого сотрудники разведслужб отказались от дальнейшего общения с ним, поскольку опасались огласки этой операции, которая могла бы привести к кризису в Вашингтоне. Кроме того, они выразили опасения, что эта операция была спланирована российскими спецслужбами с целью внести раздор в американское правительство.
ЦРУ никак не прокомментировало эти данные, АНБ ограничилось ответом, что "все сотрудники организации пожизненно обязаны защищать секретную информацию".
В 2016 году группа хакеров украла некоторые вредоносные программы АНБ, которые использовались для проникновения в электронные устройства и сети в разных странах. В 2017 году их программный код выложили в интернете. Хакеры использовали его для создания вирусов.
Как писала The New York Times, для АНБ кража имела "катастрофические последствия" и его специалисты пытались любой ценой вернуть кибероружие.
Кибероружие – программное обеспечение или оборудование, предназначенные для нанесения ущерба в киберпространстве.
Подробнее: https://www.securitylab.ru/news/491424.php
-
С июля 2018 года Chrome начнет помечать сайты с HTTP как небезопасные
Решение указывать в адресной строке, что использующий HTTP сайт небезопасен, станет завершающим этапом обширной стратегии Google.С выходом версии Chrome 68 в июле текущего года Google станет отмечать все сайты, использующие HTTP, как небезопасные.
В последнее время все больше сайтов переходят на защищенное подключение по HTTPS, и большая часть трафика сейчас шифруется. По данным Google, более 68% трафика Chrome на Android и Windows и больше 78% трафика на Chrome OS и Mac теперь передается по HTTPS.
Решение указывать в адресной строке, что использующий HTTP сайт небезопасен, станет завершающим этапом обширной стратегии Google. После выхода Chrome 56 страницы с HTTP помечались как небезопасные, если они содержали формы для введения учетных или банковских данных. Когда была выпущена версия Chrome 62, все страницы с HTTP отмечались как небезопасные при активированном анонимном режиме. Chrome 68 будет отмечать все страницы с HTTP как небезопасные в любом режиме.
Google – не единственная компания, решившаяся придерживаться политики: «подключение по HTTP небезопасно по умолчанию». В декабре прошлого года инженеры Mozilla также начали работу над тем, чтобы сайты с HTTP отмечались как незащищенные. Однако в отличие от Google компания пока не оглашала никаких сроков для внедрения новой политики.
Подробнее: https://www.securitylab.ru/news/491419.php
-
Новый PoS-вредонос похищает данные карт с помощью DNS-запросов
Исследователи отметили простоту исполнения программы, что может говорить о неопытности разработчика.Исследователи кибербезопасности из фирмы Forcepoint обнаружили новое вредоносное ПО для PoS-терминалов, позволяющее похищать данные кредитных карт с помощью DNS-запросов.
Ранее специалисты FireEye сообщали о вредоносе Multigrain, использующем аналогичный метод хищения пользовательских данных. Как отметили исследователи из Forcepoint, если Multigrain использовался в реальных атаках, то данный вредонос, получивший название UDPoS, пока еще никак себя не проявил.
По словам экспертов Роберта Ньюмана (Robert Neumann) и Люка Сомервилла (Luke Somerville), UDPoS выглядит менее сложным по сравнению с другими образцами вредоносных программ для PoS-терминалов. Это может говорить о том, что разработчик данного ПО еще не до конца освоил технологию PoS-систем.
Как отметили специалисты, стиль написанного кода и функционал вредоносной программы вряд ли можно назвать выдающимися. В коде UDPoS обнаружены ошибки, кроме того, программа использует файлы данных, записанные на диск, вместо того, чтобы работать преимущественно в памяти. Тем не менее, используемый метод полностью выполняет свою задачу.
Эксперты называют недостаток опыта злоумышленников основной причиной отсутствия атак с применением UDPoS. В общей сложности было обнаружено две «приманки», содержавшие вредонос. В первом случае вредоносное ПО было скрыто в установщике LogMeIn, а во втором - внутри пакета, рекламирующего службы обновления Intel. Оба случая имели место в октябре 2017 года, и с тех пор UDPoS больше нигде появлялся.
Вредоносное ПО, скрывающее данные внутри DNS-запросов, встречается довольно редко. В основном это обусловлено сложностью его разработки. Однако, автор UDPoS обладает достаточными навыками и вполне способен в скором времени представить доработанную версию программы, заключили эксперты.
-
Журналисты приоткрыли завесу над деятельностью вендора эксплоитов
Стартап Azimuth Security поставляет эксплоиты спецслужбам разведывательного альянса «Пять глаз».
Подпольный рынок неизвестных уязвимостей и эксплоитов считается чем-то сродни Дикому Западу, где каждый второй – злодей, готовый продать оружие/хакерские инструменты любому, кто готов заплатить. Тем не менее, существует более десятка компаний, продающих инструменты для взлома только избранным клиентам из демократических стран. Они держатся в тени и не рекламируют свои продукты и услуги, а информация на их официальных сайтах довольно скудная. Однако, если верить изданию Motherboard , недостатка в покупателях у этих компаний нет – их клиентами являются правоохранительные органы и спецслужбы.
Австралийский стартап Azimuth Security – как раз одна из таких фирм. На первый взгляд она ничем не отличается от других небольших стартапов, однако именно она играет ключевую роль в борьбе сотрудников спецслужб и правоохранительных органов с защищенными устройствами.
Помимо блестящих кадров, компания обладает впечатляющими связями. По словам троих осведомленных источников, через своего партнера Azimuth Security продает эксплоиты альянсу «Пять глаз» (Five Eyes), куда входят спецслужбы США, Австралии, Канады, Великобритании и Новой Зеландии. Вышеупомянутым партнером является Linchpin Labs – фирма-разработчик ПО, созданная бывшими сотрудниками спецслужб альянса. Помимо прочих, среди клиентов Azimuth Security числится ФБР. В частности, бюро приобрело у компании эксплоит для взлома браузера Tor, сообщают источники Motherboard.
Компания занимается разработкой эксплоитов для уязвимостей нулевого дня. Они используются правоохранителями для расследования терактов, похищений и других серьезных преступлений. По словам двух источников, у компании есть эксплоиты для Android-устройств и iPhone.
Как уже упоминалось, в Azimuth Security работают специалисты высочайшего класса. К примеру, в прошлом году ее штат пополнился несколькими разработчиками эксплоитов из Агентства национальной безопасности США. Как минимум один сотрудник компании в прошлом работал на Минобороны США. Правда, не всем специалистам такая работа по душе. К примеру, в настоящее время один из работников Azimuth Security трудится в Apple.
-
Криптовалюта: как обеспечить безопасность электронных сбережений?
В последнее время тема криптовалюты вышла за грани сферы интересов ИТ-общественности и стала популярной у широкого круга интернет-пользователей. Однако на повестке дня помимо вопросов типа «где достать биткоины?» и «нужна ли вообще криптовалюта тому или иному человеку» теперь стоит проблема безопасности таких сбережений.
В новом материале SecureNews наши эксперты рассказали о том, что может ждать сервисы и обычных пользователей, которые работают с криптовалютой, и как защитить свои криптоактивы.
-
Основные опасности при работе с криптовалютой
-
Возросла ли за последние годы опасность для тех, кто работает с криптовалютой?
-
Безопасность криптовалютных бирж
-
Каким образом пользователи могут обеспечить безопасность своих сбережений в криптовалюте?
Основные опасности при работе с криптовалютой
Михаил Кондрашин, технический директор Trend Micro в России и СНГ:
«Большое количество кибератак на криптовалютные кошельки и биржи напрямую обусловлены популярностью цифровой валюты. Это подтверждают недавние инциденты с программой-вымогателем Cerber, которая использовалась для кражи данных криптовалютных кошельков, а также атакой на криптоплощадку Enigma, в результате которой злоумышленники похитили 500000 долларов в криптовалюте. Другим примером может служить ботнет Bondnet, который использовался для майнинга криптовалюты Monero, и смог заразить порядка 15000 серверов.
Несмотря на все достоинства цифровой валюты, она все равно подвержена атакам со стороны злоумышленников, которые хотят воспользоваться всеми преимуществами практически нерегулируемой сферы. Майнинговые вредоносные программы – это лишь часть того набора инструментов, которые используют хакеры. Они также применяют методы социальной инженерии, превращая обычные спам-письма и фишинговые атаки в по-настоящему эффективные».
Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»:
«При работе с криптовалютой есть несколько опасностей. С одной стороны, те, кто оплачивает товары и услуги с помощью биткоинов часто рассчитывают на анонимность. Однако на практике она находится под большим вопросом, так как есть целый ряд инструментов, которые позволяют идентифицировать плательщиков с помощью анализа куки-файлов и других методов – не говоря уже об интернет-магазинах, передающих информацию о вас третьим лицам типа операторов виртуального рекламного пространства.
С другой стороны, существует две проблемы: безопасность бирж, где происходит продажа и покупка биткоинов, и безопасность биткоин-кошельков. Что касается бирж криптовалют, то не секрет, что многие из них подвергались хакерским атакам: по понятным причинам они составляют лакомый кусок для киберпреступников. При этом частично защита может быть реализована на стороне пользователя – например, использование двухфакторной аутентификации. Однако определенные инструменты защиты должны использоваться и самими биржами, но на практике биржи криптовалют зачастую экономят на защите.
При выборе биржи нужно акцентировать внимание не только на размере комиссии и тех валютах, с которыми работает площадка, но и вопросах безопасности, в том числе обязательно использовать двухфакторную аутентификацию для доступа к онлайн-кошелькам и биржам. Как один из вариантов, можно использовать децентрализованные биржи, где все операции происходят на рабочих станциях пользователей, поэтому риск компрометации данных и средств, размещенных на сторонней площадке, исчезает».
Алексей Носков, директор по обслуживанию клиентов дата-центра Xelent:
«Главный риск – это потеря средств. Рынок криптовалюты нестабилен, невозможно спрогнозировать его дальнейшее развитие, например, обрушение стоимости конкретной криптовалюты. Помимо этого, отсутствие законодательной базы не дает никакой защиты ни для юридических, ни для физических лиц. В последнее время также увеличилось количество взломов как компьютеров с физическими кошельками, так и почтовых ящиков, к которым эти кошельки привязаны.
Также стоит отметить и угрозу потери персональных данных: средства полной анонимизации платежей приобретают немногие, а так как реестр операций хранит полную историю платежей, получить доступ к персональным данным не так сложно».
Возросла ли за последние годы опасность для тех, кто работает с криптовалютой?
Яков Гродзенский:
«Опасность возрастает, так как появляется все больше криптовалютных бирж, не обеспечивающих должный уровень безопасности. Децентрализованные биржи, с одной стороны, безопаснее, так как не хранят средства инвесторов, с другой стороны, они и не отвечают за их безопасность. Но я вижу тренд, что все больше и больше стран задумываются о введении законодательных норм в области регулирования криптовалют, в том числе и с точки зрения обеспечения кибербезопасности и прозрачности таких валютообменных операций в контексте борьбы с легализацией преступных доходов и финансирования терроризма».
Евгений Койнов, CTO группы компаний Cryptocompany:
«С ростом популярности криптовалют, растут и риски. И если, например, раньше программы-шифровальщики собирали криптовалюту в обмен на возможность пользователя расшифровать данные, новое поколение вредоносных программ будет воровать саму криптовалюту, и правда в том, что неподготовленный пользователь может даже не иметь понятия о том, как это происходит, чего стоит опасаться и как вести себя, чтобы избежать проблем.
Уже давно хакеры нацелены на криптоактивы, о чем свидетельствуют случаи, когда средства утекали со взломанных смарт-контрактов, воровались ключи от кошельков или менялись данные кошелька во время проведения ICO. Я уже не говорю о том, что криптобиржи, майнинговые пулы и прочие центры работы с криптоактивами постоянно находятся под прицелом конкурентов, устраивающих DDOS-атаки».
Алексей Носков:
«С ростом популярности криптовалюты растет и уровень угроз для тех, кто так или иначе взаимодействует с ней. Причем это может быть как банальное мошенничество, например, запрос SMS-кодов подтверждения, так и атаки, которые позволяют дважды рассчитываться одними и теми же биткоинами».
Безопасность криптовалютных бирж
Яков Гродзенский:
«Основное средство защиты для онлайн-бирж – использование сканеров уязвимостей веб-приложений, которые не дадут злоумышленникам использовать дыры в ПО и, например, вносить изменения в операции и требовать возврата средств на основании якобы не прошедших операций. Другие действенные инструменты – использование специализированных файрволлов для защиты веб-приложений, двухфакторной аутентификации для пользователей и защиты от DDOS-атак».
Евгений Койнов:
«Криптобиржи – отдельная категория участников крипторынка, аккумулирующая у себя огромные средства. Крахи криптобирж наблюдались на протяжении всей истории криптовалют и будут продолжаться в дальнейшем, и это далеко не всегда проблемы с хакерами. Зачастую, владельцы криптобирж просто понимают, что прекратить работать намного выгоднее, чем продолжать, и закрываются. Как правило, участники теряют все. В этой ситуации будущее за децентрализованными биржами, но в настоящее время они не способны взять на себя весь функционал традиционных точек обмена и обеспечить участников достаточной скоростью и возможностями для совершения транзакций».
Советы пользователям для обеспечения безопасности сбережений в криптовалюте
Яков Гродзенский:
«Что касается безопасности биткоин-кошельков, хранящихся на вашем компьютере, то советы, которые можно дать, довольно просты: хранить кошелек на зашифрованном диске, не хранить все деньги в одном кошельке, а распределить их между несколькими кошельками и сервисами (в том числе с использованием гибридных – таких как blockchain.info). Также необходимо установить максимально сложный пароль для доступа к кошельку, использовать на компьютере обновляемые антивирусы с функционалом защиты от целевых атак и поведенческим анализом, не отключать файрволл, не вестись на социальный инжиниринг и не открывать фишинговые письма, по вине которых на компьютер может быть загружен кейлоггер или другая вредоносная программа».
Евгений Койнов:
«Начиная работать с криптовалютой, каждый должен посчитать соотношение премия/риск, и если это приемлемое значение – действовать. Рядовой пользователь может применять закрытые виртуальные машины с операционными системами, менее подверженными заражению, электронные кошельки, хранящие ключи внутри защищенного ядра, кошельки с множественной подписью и хорошо аудированные смарт-контракты.
При всем этом нельзя забывать, что стопроцентной надежности нет и не будет ни при работе с криптоактивами, ни с традиционными финансовыми операторами. Бояться угроз стоит, но намного более эффективной будет грамотная работа с ними».
Алексей Носков:
«Если говорить о сохранности денежных средств, то значительно снизить риски могут физические кошельки в офлайне с минимальными циклами синхронизации из защищенных сегментов сети.
Сохранить анонимность поможет отказ от тех покупок, при совершении которых необходимо заполнять персональные данные, например, билетов на самолет».
Михаил Кондрашин:
«Только реализуя меры, направленные на уменьшение количества этих видов атак, пользователи могут быть уверены, что не станут жертвами злоумышленников. Инциденты в этой сфере также подчеркивают необходимость надежной защиты онлайн-счетов, так как лишь одна только скомпрометированная учетная запись может привести к огромным потерям как для компании, так и ее клиентов. Сохранность денежных средств и безопасность транзакций могут обеспечить мультиподпись и двухфакторная аутентификация».
-
-
Опасный вирус превращает гаджеты в «ферму» для криптовалют
Кибермошенники научились внедрять в систему смартфонов особый вирус, который заставляет гаджет самостоятельно майнить криптовалюту, принося таким образом злоумышленникам прибыль.
В частности, специалисты компании Malwarebyte Labs обнаружили, что некоторые гаджеты на базе Android инфицированы вредоносной программой. Речь идет о ПО под названием EITest.
Как стало известно, схема действует с помощью механизма принудительных перенаправлений. Во многих случаях это усугубляется тем, что люди часто не используют на своих мобильных устройствах программы, обеспечивающие безопасность.
По данным портала Malwarebytes Lab, группа киберпреступников использует эту ситуацию для привлечения валюты Monero (XMR).
Как это происходит? Пользователя заманивают на фишинговый сайт. Ему предлагают ввести код, и пока он не введен, его мобильное устройство будет активно производить криптовалюту Monero на полной скорости.
Этот механизм будет работать автоматически, без согласия пользователя и в основном, кроме шума, исходящего из вентилятора компьютера, никак не заметен. Как выяснилось, устройство тратит около четырех минут в день на майнинг криптовалюты. Потом все полученные средства автоматически перечисляются на кошелек мошенников.
А для того чтобы добыча Monero прекратилась, пользователей просят ввести код CATPCHA.
http://informing.ru/2018/02/15/opasnyy-virus-prevraschaet-gadzhety-v-fermu-dlya-kriptovalyut.html
-
Хакеров учтут в капитале
Кибербезопасность корректирует банковские нормативы
Растущий масштаб киберугроз в финансовой сфере вынудил ЦБ пойти на радикальные меры. Стимулировать банки вкладывать средства в информационную безопасность регулятор намерен путем увеличения нагрузки на капитал. Кредитным организациям с высоким уровнем киберриска придется держать буфер по нормативу достаточности капитала в размере 1–3%. Риск-менеджеры банков сохраняют оптимизм и даже поддерживают идею ЦБ. Но аналитики уверены, что далеко не все участники рынка смогут позволить себе подобный буфер, а специалисты по информационной безопасности оценивают меру далеко не однозначно.
С 2019 года высокие киберриски создадут дополнительную нагрузку на капитал банков, следует из заявления начальника управления департамента банковского регулирования ЦБ Михаила Бухтина. По его словам, сейчас разрабатывается проект документа, предусматривающего регулирование киберрисков в капитале банков в рамках внутренних процедур достаточности капитала (ВПОДК). Впервые о необходимости введения требований к достаточности капиталов банков по кибербезопасности ЦБ заявил год назад, а ввести регулирование собирались в третьем квартале 2017 года (см. “Ъ” от 15 февраля 2017 года). Теперь документ планируется опубликовать до 1 июля 2018 года, а с 2020 года банки будут оценивать риски информационной безопасности.
В ходе надзора ЦБ будет выявлять риски информбезопасности и оценивать их по пятибалльной шкале. Оценка «один» или «два» будет означать низкий уровень рисков, от трех и выше — к банку уже могут быть применены требования по досозданию буфера к нормативу достаточности капитала банков, который может составлять 1–3%. Высокие риски будут у банка, который не исполняет требование нормативных документов ЦБ, ГОСТа, или если показатель отношения успешных инцидентов к общему количеству превышает определенное значение.
«Раз в год происходит надзорная оценка ВПОДК, в ее рамках будет оцениваться и уровень системы киберрисков»,— пояснил “Ъ” Михаил Бухтин. При этом банки не будут перегружаться по обязательному нормативу. «Таким образом, даже банк с близким к предельному значением норматива достаточности капитала в случае выявления высоких киберрисков будет продолжать работать в штатном режиме с ограничениями на распределение прибыли без других надзорных санкций»,— подчеркнул господин Бухтин.
Как ЦБ планирует применять новые технологии на финансовом рынке
Для банков, которые не в состоянии держать буфер в установленном ЦБ размере, на этот период будут введены ограничения. «Например, он не сможет распоряжаться прибылью и выплачивать дивиденды»,— отметил господин Бухтин. Таким образом, регулятор собирается стимулировать акционеров банков вкладывать средства в информзащиту. В отношении санируемых банков ЦБ планирует ввести индивидуальную стратегию управления рисками и капитала. Как отметил Михаил Бухтин, «это будут меры не финансового характера — согласование отчета о выполнении плана об оздоровлении, авторизация каких-то вопросов, мы будем смотреть активность в этой части».
Риск-менеджеров банков инициатива ЦБ только порадовала. «В условиях развития финтеха и перехода банков в онлайн-каналы продаж киберрриски становятся все более значимы»,— отмечает зампред правления «Уралсиба» Наталья Тутова. Однако, добавляет она, важно понимать, как требования реализуют на практике.
У представителей службы безопасности банков мнения разделились. Представители крупных игроков идею скорее поддерживают. «ЦБ нам фактически дает возможность монетизировать страх перед возможной хакерской атакой,— отмечает руководитель службы информационной безопасности крупного банка.— И мы можем показать руководству банка фактически цену информбезопасности, ставя перед выбором — инвестировать в безопасность или же создавать буфер по капиталу».
Как финансовый сектор озаботился кибербезопасностью
Совершенно иного мнения придерживаются в небольших кредитных организациях. «Банки сейчас “рисуют” аудит информбезопасности и при подобных нововведениях будут просто скрывать от ЦБ инциденты, чтобы не создавать себе киберриски,— рассуждает руководить службы информбезопасности небольшого банка.— Можно вкладывать миллионы рублей в софт, проводить дорогущие пин-тесты, однако когда один из сотрудников банка откроет фишинговое письмо, то все эти дорогостоящие мероприятия не будут ничего стоить». Впрочем, в ЦБ настроены жестко. «Мы не зря разделяем критическую информацию об инцидентах и экономическую составляющую, к этому добавится еще перепроверка по бухгалтерскому балансу, плюс информационный обмен в рамках FinCERT, что в совокупности не даст возможности банкам утаивать инциденты»,— отмечает заместитель главы главного управления безопасности и защиты информации Банка России Артем Сычев.
Однако банковские аналитики не видят у кредитных организаций достаточного запаса по капиталу. «Буфер по капиталу — это 3% от взвешенных активов по рискам, или около четверти капитала, держать буфер под такие риски смогут далеко не все банки»,— рассуждает начальник отдела валидации «Эксперт РА» Станислав Волков. По данным «Эксперт РА», с учетом надбавок к нормативам, которые уже действуют согласно «Базелю-3», введение дополнительных надбавок по кибербезопасности из топ-20 банков по активам (фактически из топ-15 банков, поскольку пять из них на санации) их смогут выполнить не более девяти кредитных организаций, если надбавка составит 1 процентный пункт (п. п.), и только пять кредитных организаций, если надбавка составит 3 п. п. «Ограничение на выплату дивидендов для банков, которые не поддерживают необходимый буфер, снизит и без того невысокую привлекательность инвестиций в банковский сектор»,— резюмировал он.
-
Влияние экономической кибернетики на работу блокчейн-приложений: основные угрозы (Часть 1)
Рынок информационной безопасности, как правило, на шаг отстает от нововведений в мире информационных технологий. Многие компании очень часто вспоминают о безопасности продукта в том случае, когда что-то уже произошло и последующие риски обнаружения и эксплуатации недостатка безопасности превышают стоимость самостоятельного поиска недостатка и его исправления.
Представитель компании BugBounty.Center Григорий Васильков — платформы по предоставлению возможности аудита безопасности для сторонних компаний в сфере блокчейн-технологий и умных контрактов — специально для ForkLog проанализировал основные риски для блокчейн-компаний, связанные с безопасностью. Всего будет опубликовано три материала на эту становящуюся все более актуальной тему.
Еще лет 20 назад обнаружение уязвимостей часто сводилось к их поиску в ОС Windows и Linux. Большинство хакеров пыталось эксплуатировать класс атак Buffer Overflow и получить удаленный доступ к компьютеру. Лет 15 назад, с массовым внедрением веб-ресурсов, появился другой класс атак, направленный на эксплуатацию недостатков безопасности в веб-технологиях: XSS, SQL injection и т. п.
Лет семь назад начали распространяться Internet of Things (IoT) технологии для массового использования, вследствии чего появилась классификация атак OWASP Internet of Things Project. Уже в ближайшем будущем нам предстоит увидеть целый класс недостатков безопасности, относящийся к блокчейн-технологиям и даже к искусственному интеллекту.
Началом массового использования программируемых умных контрактов в блокчейн-среде следует считать 2016 год. Именно в этом году произошел резонансный взлом The DAO на блокчейне Ethereum, вследствие чего общественность начала более пристально уделять внимание проблемам безопасности при проектировании умных контрактов.
Поскольку умные контракты непосредственно касаются движения ценных криптовалютных единиц между контрагентами, безопасность умного контракта имеет первостепенное значение при осуществлении транзакций.
При разработке умного контракта часто приходится решать уникальные задачи. Хотя программирование контрактов во многом напоминает традиционное программирование, оно затрагивает важные новые проблемы безопасности, так как криптовалюта и токены обладают ценностью, которую нужно защищать. Если вы отправляете деньги в умный контракт с имеющейся уязвимостью, вы, скорее всего, рискуете лишиться всех средств. Кроме того, программирование умных контрактов требует экономического мышления, которым традиционные программисты могут и не обладать.
Умные контракты должны быть спроектированы с учетом интересов всех сторон, даже если контрагенты изменят данные, которые максимизируют их экономическую выгоду. Проектирование архитектуры приложения предполагает, что при программировании умных контрактов необходимы дополнительные меры предосторожности и проверки.
Какие блокчейны подвержены рискам безопасности сегодня
В данный момент, ввиду популярности проведения ICO, большинство участников блокчейн-сообщества вряд ли смогут назвать более десятка блокчейн-платформ, на которых можно создавать умные контракты. Скорее всего, многие остановятся на Ethereum. Тем не менее уже сейчас количество блокчейн-платформ, на которых можно реализовывать в той или иной степени умные контракты, подходит к 40.
Каждая новая блокчейн-платформа пытается предусмотреть свои особенности, которые помогут ей занять лидирующие позиции в сообществе. Некоторые из платформ представляют собой приватный блокчейн и ориентированы на корпоративный сектор, некоторые позиционируют себя как гибридную платформу, то есть совмещают в себе как приватный, так и публичный блокчейн.
У каждой платформы имеются свои особенности, позволяющие получать данные из внешних источников. У некоторых данный функционал реализован из коробки, у других же для данного функционала предлагается использовать систему внешних доверенных узлов — Оракулов, которые могут предоставлять достоверные внешние данные.
Для увеличения скорости транзакций в блокчейн-сети и обработки информации различные платформы используют разные алгоритмы консенсуса: POW, POS, DPOS, POI и т. п.
Вероятнее всего, большинство блокчейн-систем, в которых не предусмотрена логика имплементации умных контрактов, останутся на задворках истории и будут невостребованы даже в качестве средств обмена ценностями. Так или иначе 2018 год мы запомним как год развития умных контрактов и блокчейн-платформ, которые все больше будут влиять на сегмент децентрализованных систем.
Языки программирования умных контрактов
На текущий момент большинство разработчиков для написания умных контрактов используют платформу Ethereum и язык программирования Solidity. Но уже в следующем году новые блокчейн платформы внесут огромное разнообразие в используемые языки программирования. Все чаще будут применяться как общеизвестные языки, такие как: С++, C#, Java, Go, Solidity, Kotlin, Rust, Scala, Javascript, Plutus, так и свои собственные: Michelson, Simvolio и др.
Такое количество языков программирования в активно развивающейся несовершенной области ставит под угрозу безопасность использования данной технологии и повышает риски возникновения критических ситуаций. Для изучения особенностей технологий и языков программирования необходимо, чтобы прошло достаточно времени. Разработчикам также нужно время, чтобы освоить многие нюансы разработки, а также изучить правила безопасного написания кода. Рынок блокчейн-технологий сейчас находится только в фазе своего зарождения, и блокчейн-сообщество еще не пришло к единой классификации недостатков безопасности и уязвимостей, которые разработчики могли бы использовать в качестве паттернов безопасного написания кода.
Проблемы с точки зрения безопасности в умных контрактах
Сейчас многие блокчейн-платформы (если не все) сталкиваются со множеством технических проблем: масштабируемость, скорость транзакций, конфиденциальность, получение данных из внешних источников, стоимость транзакций и другие. Все эти проблемы создатели блокчейн-платформ пытаются решить. В этой статье мы не будем глубоко касаться проблем архитектуры блокчейн систем, а сосредоточимся на проблемах безопасности приложений.
К данным проблемам построения архитектуры безопасности можно отнести следующее:
-
В публичных блокчейн-платформах логика работы и код умного контракта доступны всем участникам платформы;
-
Персональные данные, хранимые в умных контрактах, также доступны всем участникам платформы;
-
При получении данных из внешних централизованных источников, умный контракт не может явно гарантировать достоверность этих данных.
Давайте рассмотрим каждый пункт более детально. Для наглядности будем рассматривать аспекты безопасности на примере блокчейна Ethereum ввиду его популярности.
В блокчейне Ethereum умные контракты чаще всего разрабатываются на высокоуровневом языке программирования Solidity, а затем компилируются в bytecode, обрабатываются и сохраняются в блокчейн-блоке. Если посмотреть со стороны на bytecode любого контракта, то мы сможем увидеть длинную строку в шестнадцатеричной системе 0x6060604052600261010860005055604051611b51380380611b518339810….
На первый взгляд, понять, что делает умный контракт не представляется возможным. Тем не менее уже существует множество бесплатных инструментов, которые позволяют восстановить opcodes (машинные инструкции, имеющий уникальный идентификатор) из bytecode (последовательность байт, выполняемых интерпретатором).
Для примера можно воспользоваться ByteCode To Opcode Disassembler. В результате чего мы можем получить уже более читаемый код:
PUSH1 0x60
PUSH1 0x40
MSTORE
PUSH1 0x02
PUSH2 0x0108
PUSH1 0x00
POP
SSTORE
PUSH1 0x40
MLOAD
PUSH2 0x1b51
CODESIZE
…Уже при просмотре opcodes мы можем выделить и проанализировать инструкции, которые производят математические операции. Но для большинства разработчиков анализ opcodes, ввиду своей сложности, мало что может сказать.
В августе 2017 года на конференции Defcon был представлен инструмент Porosity, который является первым декомпилятором умных контрактов на блокчейне Ethereum. Данный инструмент позволяет приводить к высокоуровневому языку программирования Solidity любой bytecode. Теперь нет необходимости анализировать opcodes контракта для понимания его работы. Злоумышленники могут взять любой опубликованный умный контракт и прочитать все доступные в нем методы, даже если разработчики попытались скрыть какую-нибудь логику.
При разработке умных контрактов следует учитывать, что все помещенные данные в блокчейн автоматически становятся видны всем участникам платформы. Поэтому передачу и хранение критически важных данных в открытом виде использовать нельзя. Неправильным примером проектирования приложения может послужить анонимная система голосования, когда каждый участник отправляет свой голос за тот или иной исход в открытом виде. В таком случае злоумышленник может анализировать полученные голоса и косвенно, либо прямо влиять на исход голосования. Для предотвращения публикации критических данных в открытом виде следует использовать различные виды преобразования, например, хеширование. Но в таком случае пользователи умного контракта могут использовать централизованный сервис для автоматизации процесса хеширования, что в свою очередь тоже накладывает дополнительные риски безопасности.
Получение данных из внешних недоверенных источников тоже ставит под угрозу выполнение заложенной логики умного контракта. Для этого приходится использовать систему внешних Оракулов, которые могут быть скомпрометированы. Также и внешний ресурс, к которому происходит обращение, подвержен риску компрометации.
Следует отметить, что для публичных блокчейнов пока не представлен точный алгоритм получения данных из внешних источников, который был бы полностью не подвержен рискам безопасности, и логика которого была бы встроена в протокол блокчейна.
Виды атак
Приложения и умные контракты, использующие блокчейн, являются новыми и экспериментальными. Поэтому необходимо ожидать постоянных изменений в архитектуре безопасности, поскольку обнаруживаются новые ошибки и недостатки безопасности.
Для программирования умных контрактов требуется мышление, отличное от используемого при написании централизованных приложений. Стоимость ошибки может быть высокой, и при невозможности обновления смарт-контракта исправление может быть также невозможно, что делает разработку в чем-то более похожим на аппаратное программирование или программирование финансовых приложений, чем на веб- или мобильную разработку. Поэтому недостаточно защищаться от известных атак и уязвимостей — необходимо изучить архитектуру построения безопасных приложений.
На многих ресурсах сейчас упоминаются и описываются технические атаки на умные контракты, но практически никто не упоминает об экономико-технических атаках и угрозах, которые завязаны на ошибках бизнес-модели и бизнес-логики. Данный класс недостатков безопасности только начинает появляться, до создания блокчейна и умных контрактов он присутствовал в меньшей степени.
Попытаемся классифицировать этот тип недостатков безопасности и дадим определение, что же он из себя представляет
Экономико-технические атаки
При проектировании архитектуры сложных информационных систем, используя умные контракты, мы с командой разработчиков столкнулись с тем, что не можем явно предусмотреть и спрогнозировать поведение всех элементов системы, которые могут прямо или косвенно повлиять на логику выполнения работы. Без явного представления о количестве и типе получаемых данных очень сложно разработать логику исключения ошибок.
Экономико-техническая атака — это совокупность действий злоумышленника, приводящая к нарушению экономической стабильности информационной системы. Результатом успешной атаки может стать изменение экономических показателей, хранящихся в информационной системе, или их искажение.
Экономические недостатки, как правило, явно не видны и требуют полного понимания механизма передачи ценности в системе, а также взаимодействия элементов приложения. Для поиска экономико-технических недостатков в умных контрактах желательно добиться понимания методов экономико-математического и системного моделирования, а также принципов работы технологии блокчейн. Описательный язык подобных вероятностных зависимостей в управляемых и управляющих информационных системах был разработан в рамках такой дисциплины, как экономическая кибернетика.
В широком смысле под экономической кибернетикой понимают область науки, возникшую на стыке математики и кибернетики с экономикой, включая математическое программирование, исследование операций, экономико-математические модели, эконометрику и математическую экономику.
Экономическая кибернетика рассматривает экономику, а также ее структурные и функциональные составляющие, как сложные системы, в которых протекают процессы регулирования и управления, реализуемые движением и преобразованием информации. Экономическая кибернетика исследует процессы управления сложными экономическими системами, используя инструментарий экономико-математического моделирования, причем процессы управления являются по сути информационными, базирующимися на экономической информации.
Для проектирования сложных блокчейн-систем следует учитывать основные элементы экономической кибернетики:
-
Системный анализ компонентов
-
Иерархия взаимодействия сложных элементов
-
Иерархическое управление элементами
-
Согласование целей в иерархических элементах
-
Обработка полученной информации
-
Оптимизация потоков информации в задачах управления
-
Контроль и управление в организационных системах
-
Задачи классификации
-
Комплексная оценка элементов системы
-
Кибернетические модели социальных и экономических систем
Благодаря использованию блокчейна, экономическая кибернетика как наука сейчас может получить второе дыхание, поскольку применение блокчейн-технологий напрямую связано с построением экономических процессов и систем.
Применение экономической кибернетики при проектировании приложений на блокчейне должно помочь в выявлении труднопрогнозируемых паттернов поведения, влияющих на безопасность данного приложения.
Мы не ставим целью описать все свойства экономической кибернетики. В данной статье всего лишь описывается и дается решение одной из многих задач — задачи конструирования. Применяя методы экономической кибернетики, мы попытались классифицировать экономико-технические угрозы, которые могут повлиять на заложенный функционал приложения.
-
-
Как мошенники заманивают криптотрейдеров на фишинговые сайты
Вместе с ростом популярности криптовалют набирает обороты и мошенничество в этой сфере.
Пользователи криптовалютных подфорумов на Reddit рассказывают, что мошенники научились придавать адресам своих сайтов вид аутентичных URL-адресов некоторых популярных криптовалютных бирж, таких как Binance и Bittrex. К несчастью для доверчивых трейдеров, введение учётных данных на «поддельных» сайтах грозит потерей криптовалюты или фиатных денег.
Более бдительные трейдеры обращают пристальное внимание (и советуют поступать так же всем остальным) на зелёный префикс «https», который обычно предшествует «правильному» URL сайта в адресной строке браузера. Он позволяет понять, является ли сайт легитимным. Но не всегда этот признак необходим и достаточен: стоит рассматривать с пристрастием и сам адрес.
Посмотрите, как мошенники могут прорвать оборону, даже если вам кажется, что вы бдительны.
Как правило, о том, что сайт — фальшивка, свидетельствует отсутствие зелёного префикса «https» перед его адресом.
Пользователь Reddit с ником chrysotileman опубликовал скриншот сайта «поддельной» криптовалютной биржи с адресом coinsmarkets.com. Внимательный человек легко заметит, что с сайтом что-то не так, поскольку у него отсутствует действующий сертификат.
Необходимо прежде всего обращать внимание на зелёные надписи «secure» и «https» перед адресом сайта, указывающие на то, что ресурс и стоящая за ним компания получили сертификаты SSL (протокол защиты информации). Наличие такого сертификата указывает на то, что сайту можно доверять, а отсутствие — на обратное.
Coinsmarkets.com не имеет зелёных префиксов «secure» или «https» перед адресом. Вместо этого мы видим серые или чёрные надписи «not secure» и «http» перед его URL. По таким признакам идентифицировать мошеннический сайт и добиться его закрытия довольно просто. Если вы сейчас попытаетесь посетить coinsmarkets.com, то увидите сообщение об ошибке.
Однако некоторые мошенники нашли способы отображать зелёные теги «secure» и «https», крайне незаметно изменяя адрес сайта.
На первый взгляд это URL-адрес популярной криптовалютной биржи Binance. Отчётливо виден зелёный префикс «https» перед хорошо знакомым адресом.
Неясно, как именно мошенники получили сертификат SSL в этом случае, но стоит отметить, что получить его у эмитента с сомнительной репутацией довольно легко.
Присмотревшись как следует, можно увидеть маленькие точки под каждой из букв «n» в слове «binance». А их там быть не должно.
Эти две точки означают, что перед вами не настоящий сайт Binance. Вы видите другой ресурс, которому его недобросовестные создатели придали почти полное сходство с официальным сайтом торговой площадки.
Поскольку сайт выглядит знакомым, а его адрес на первый взгляд правильный, ни о чём не подозревающие пользователи вводят свои логины и пароли. Получив реквизиты пользователей, мошенники могут свободно распоряжаться их аккаунтами, в том числе похищать криптовалюту и средства в долларах.
Действительно, они могут сойти за частицы пыли на мониторе. В данном случае мошенники использовали стандартную букву «n», добавив к ней так называемый диакритический знак, используемый, например, во вьетнамском языке. Это гораздо более действенный способ обмана, чем использование цифры, похожей на букву («1» вместо «i» и т.д.).
http://procrypto.network/2018/02/21/kak-moshenniki-zamanivayut-kriptotrejderov-na-fishingovye-sajty/
-
Хакеры вернули CoinDash 20 000 ETH, похищенных при взломе ICO
Хакеры, взломавшие ICO CoinDash в июле прошлого года, вернули 20 000 ETH на официальный адрес проекта. Со состоянию на 13:17 UTC, 24 февраля, это составляет приблизительно $16,7 млн.
Представители проекта отметили, что уже поставили в известность израильское Подразделение по борьбе с кибертерроризмом и продолжат мониторить активность Ethereum-адреса, принадлежащего хакерам.
Одновременно с этим, событие не повлияет на запланированный на 27 февраля выход основного продукта CoinDash.
«Как и в случае со взломом, нынешние действия хакера никак не повлияют на реализацию нашего видения. Запуск основого продукта состоится на следующей неделе», — отметил CEO проекта Алон Мурок.
Напомним, в сентябре хакеры вернули CoinDash 10 000 ETH
http://procrypto.network/2018/02/24/hakery-vernuli-coindash-20-000-eth-pohishhennyh-pri-vzlome-ico/
-
Найдена уязвимость данных пользователей криптовалютных бирж
Исследователи Пенсильванского университета и Университета Джонса Хопкинса обнаружили новую уязвимость, которая может быть использована для компрометации ключей шифрования вебсайтов.
В потенциале эта уязвимость также ставит под угрозу регистрационные данные пользователей криптовалютных бирж, пишет BitsOnline. Уязвимость, которая получила название DUHK (Don’t use hard-coded keys), обнаружили криптографы Надя Хенингер, Шаан Кони и Мэттью Грин.
Ее источником назван ANSI X9.31 RNG – алгоритм генерирования псевдослучайных чисел (PRNG), который на протяжении последних 30 лет использовался в многочисленных онлайн-продуктах, включая создание ключей шифрования для VPN-соединений и браузерные сессии, содержащие учетные данные, платежную информацию и другую информацию.
Как обнаружили исследователи, что когда «железные» и софтверные продукты используют ANSI X9.31 и жестко закодированный seed key, атакующий имеет возможность расшифровать данные, проходящие через уязвимое устройство. Также вина лежит на производителях, которые зачастую используют жестко закодированный seed key для ANSI X9.31.
В нормальных обстоятельствах seed key должен генерироваться случайно при каждом запуске устройства или самого ANSI X9.31. В январе 2016 года Федеральный стандарт по обработке информации (FIPS) – ведомство, отвечающее за выработку стандартов компьютерной безопасности в США – удалило ANSI X9.31 RNG из своих списков, назвав в качестве одной из причин некриптостойкое шифрование.
Как говорят исследователи, перед атаками DUHK уязвима FortiOS от версии 4.3.0 до 4.3.18, Таких устройств в сети насчитывается более 23 000. FortiOS 5.x уязвимости не подвержена, в то время как seed key из кода FortiOS 4.3.19 уже был убран. Исследователи также отмечают, что хотя атаку DUHK осуществить не так просто, применить ее на практике более чем возможно. Так, эксплуатируя DUHK, современный компьютер в среднем способен подобрать основной ключ шифрования для соединения всего за четыре минуты.
Ситуация осложняется тем, что Fortinet – не единственный уязвимый производитель. В своем отчете специалисты представили список продуктов, где используется ANSI X9.31 и жестко закодированные seed key. В список, в частности, вошли решения от Cisco и TechGuard.
Уязвимость не нацелена непосредственно на пользователей криптовалютных бирж, однако может быть использована хакерам для манипулирования выходными данными с целью компрометации ключей шифрования и их дальнейшего использования для получения доступа к конфиденциальной информации пользователей, включая регистрационные данные, детали банковских счетов и т.д. Напомним, в сентябре сообщалось о найденной исследователями MIT Media Lab Digital Currency Initiative (DCI) уязвимости в криптографической хеш-функции цифровой валюты IOTA.
Информация с сайта: https://mining-cryptocurrency.ru/uyazvimost-dannyh-kriptovalyutnyh-birzh/
-
Крупнейшая бразильская биржа Foxbit лишилась 30 биткоинов из-за бага
Крупнейшая в Бразилии криптовалютная биржа Foxbit лишилась 30 биткоинов из-за бага, позволившего ее пользователям дублировать выводы. Как только проблема была обнаружена, платформа начала чрезвычайное техобслуживание и ушла в офлайн на более чем 72 часа.
В ходе технических работ, как сообщил CEO Foxbit Жоао Канхада, некоторые данные были утеряны или повреждены, однако 14 марта платформа уже должна вернуться к штатному режиму работы.
«Все средства пользователей находятся в безопасности. Некоторые клиенты уже вернули продублированные биткоины. На случай таких непредвиденных ситуаций мы располагаем специальным фондом для покрытия издержек. Наша платформа не была взломана и средства никто не крал», — подчеркнул Канхада.
Пока неясно, какое количество биткоинов уже удалось вернуть, но представители биржи заверили пользователей, что инцидент никоим образом не повлияет на ее дальнейшее функционирование.
-
23% VPN-сервисов раскрывают реальные IP-адреса пользователей
Проблема связана с использованием технологии WebRTC.
Итальянский исследователь Паоло Станьо (Paolo Stagno) протестировал 70 VPN-сервисов и обнаружил, что 16 из них (23%) раскрывают реальные IP-адреса пользователей. Проблема связана с использованием технологии WebRTC (Web Real Time Communication), которая позволяет осуществлять аудио- и видеозвонки непосредственно из браузера. Данную технологию поддерживает ряд браузеров, в том числе Mozilla Firefox, Google Chrome, Google Chrome для Android, Samsung Internet, Opera и Vivaldi.
WebRTC - открытый стандарт мультимедийной связи в реальном времени, работающий непосредственно в web-браузере. Проект предназначен для организации передачи потоковых данных между браузерами или другими поддерживающими его приложениями по технологии точка-точка.
Как пояснил исследователь, технология позволяет использовать механизмы STUN (Session Traversal Utilities for NAT, утилиты прохождения сессий для NAT) и ICE для организации соединений в разных типах сетей. STUN-сервер отправляет сообщения, содержащие IP-адреса и номера портов источника и приемника.
STUN-серверы используются VPN-сервисами для замены локального IP-адреса на внешний (публичный) IP-адрес и наоборот. WebRTC допускает отправку пакетов на STUN-сервер, который возвращает «скрытый» домашний IP-адрес, а также адреса локальной сети пользователя. IP-адреса отображаются средствами JavaScript, но так как запросы производятся вне обычной XML/HTTP процедуры, они не видны из консоли разработчика.
По словам Станьо, реальные IP-адреса пользователей раскрывают 16 VPN-сервисов: BolehVPN, ChillGlobal (плагин для Chrome и Firefox), Glype (в зависимости от конфигурации), hide-me.org, Hola!VPN, Hola!VPN (расширение для Chrome), HTTP PROXY (в браузерах с поддержкой Web RTC), IBVPN, PHP Proxy, phx.piratebayproxy.co, psiphon3, PureVPN, SOCKS Proxy (в браузерах с поддержкой Web RTC), SumRando Web Proxy, TOR (работающий как PROXY в браузерах с Web RTC), Windscribe. С полным списком протестированных сервисов можно ознакомиться здесь .
-
Facebook годами собирает историю звонков и данные SMS на Android-устройствах
Facebook загружает контакты пользователей, чтобы предложить их в качестве возможных друзей.
Новозеландский программист Дилан Маккей (Dylan McKay) обнаружил свои данные годичной давности, включая полные журналы входящих и исходящих вызовов и SMS-сообщений, в архиве, который он загрузил из соцсети Facebook.
О сборе Facebook данных своих пользователей было известно и ранее, но до недавнего времени эта информация не вызывала большого резонанса. Однако после недавнего скандала по поводу обмена данными с Cambridge Analytica, публикации Маккея в Twitter вызвали оживленное обсуждение на тему конфиденциальности.
По словам представителей Facebook, практически все социальные сети пытаются сделать для пользователей общение с друзьями и членами семьи более удобным, в частности Facebook загружает контакты своих пользователей, чтобы предложить их в качестве возможных друзей.
В старых версиях Android, когда установка разрешений была намного проще, приложение Facebook получало разрешение на доступ к контактам во время установки, позволяя компании получить доступ к данным о вызовах и сообщениях автоматически.
Компания Google изменила метод работы разрешений в 16 версии своего API, делая их более четкими и подробными, а также сообщая пользователям, когда какое-либо приложение пытается получить разрешения. Тем не менее, разработчики смогли обойти данное изменение, и Facebook продолжал получать доступ к данным о вызовах и SMS.
Любой пользователь может проверить, какие данные про него собирает социальная сеть. Для этого нужно перейти в «Настройки Facebook» → «Загрузить копию данных Facebook» → «Начать мой архив».
Пользователи, которые не хотят, чтобы Facebook сохранял или постоянно загружал их контакты на свой сервер, могут отключить функцию непрерывной загрузки в приложении Messenger. Данное изменение также удалит все ранее загруженные соцсетью контакты.
Пользователи Facebook на устройствах Apple защищены лучше, поскольку iOS не разрешает скрытый доступ к данным о вызовах.
-
Уязвимость Coinbase позволяла зачислять неограниченное количество Ethereum
Пользователям достаточно было создать смарт-контракт с несколькими кошельками, один из которых должен быть неисправен.
Исследователи из компании VI Company обнаружили в системе смарт-контрактов криптовалютной биржи Coinbase уязвимость, позволяющую зачислить неограниченное количество криптовалюты Ethereum («эфир», ETH) на пользовательские счета.
По словам экспертов, пользователи могли манипулировать остатком по счету на бирже, используя смарт-контракт для распределения средств по набору кошельков.
«Если одну из внутренних транзакций в смарт-контракте не удастся выполнить, все транзакции должны быть отменены. Однако на Coinbase этого не происходит и транзакции не отменяются. Кто угодно может добавить столько эфира на свой баланс, сколько захочет», - отметили специалисты.
Таким образом, для того, чтобы перевести на свой кошелек неограниченное количество криптовалюты, пользователям достаточно было создать смарт-контракт с несколькими кошельками, один из которых должен быть неисправен. После этого достаточно выполнить смарт-контракт желаемое количество раз, а затем вывести средства с биржи.
Исследователи обнаружили уязвимость в декабре 2017 года, а в январе 2018 года она была устранена. Биржа выплатила экспертам вознаграждение в размере $10 тыс. В настоящее время неизвестно, была ли данная уязвимость проэксплуатирована злоумышленниками.
-
Руководство по крипто-безопасности. Как защитить свои накопления в криптовалюте – рекомендации и советы
Как сохранить ваши накопления в криптовалюте
Теперь, когда криптовалюты стали пользоваться популярностью, и многие люди стремятся получить их, чтобы оказаться на волне, возникла необходимость в мерах безопасности для сохранности ваших кошельков и инвестиций.
Это очень актуально в свете атак, направленных на определенные виды крипто-кошельков. Это конечно очень напоминает «Дикий, дикий запад». Однако хорошая новость заключается в том, что большинство крипто-платформ и сетей снабжены встроенной системой безопасности, и обычно этого достаточно.
Ответственность за сохранность средств лежит также и на самих инвесторах. Чаще всего самым слабым звеном в крипто-безопасности являются именно люди. Если инвестор проявляет беспечность в отношении вопросов безопасности, взломать его крипто-кошелек и перевести средства достаточно легко и занимает не так много времени.
Реальность такова, что, если вы оставляете кошелек открытым, вы привлекаете «крипто-воров». А как только они получат доступ к вашему кошельку, велика вероятность того, что вы больше никогда не сможете вернуть обратно ваши средства.
Деньги будут украдены, а кошелек — пуст. Поэтому, чтобы сохранить ваши инвестиции, соблюдайте следующие правила.
Следите за безопасностью вашего ПК
При совершении транзакций с криптовалютой пользуйтесь только компьютером с обновленным антивирусом и системой сетевой защиты. Каждый раз проверяйте, обновлена ли система безопасности вашего компьютера. Для того чтобы взломать компьютер, достаточно всего-навсего одного уязвимого места.
Вам также стоит задуматься над установкой операционной системы с очень высокой степенью защиты, например, Qubes, Unix или Linux. Это самые защищенные операционные системы во всем мире. Их сложнее взломать и их конфигурации делают их менее уязвимыми.
Qubes славится высочайшей степенью защиты и персонализацией. Не известно хакерских атак, которые бы справились с этой операционной системой. Но если вы все-таки решите использовать компьютер на Windows или Mac, вам следует постоянно проверять отсутствие вредоносных программ и обновлять антивирусную программу.
Используйте специально выделенный ПК или мобильное устройство, а также защищенную сеть
Еще одна идея, которая вам понравится – использовать для целей работы с криптовалютой отдельное устройство, предназначенное только для этого. Стоит завести компьютер или мобильное устройство, предназначенное исключительно для покупки и продажи криптовалюты.Это значительно снизит риски. Устройства, которыми вы пользуетесь для для поиска информации в интернете, для работы и развлечений, чаще всего подхватывают различные вирусы, в том числе и вирусы-вымогатели.
Так, хакеры становятся умнее и втихаря внедряют в ваши устройства кейлоггеры –программы, которые отслеживают все пароли, набираемые вами на клавиатуре, а также все сайты, которые вы посещаете.
И когда вы вбиваете пароль, кейлоггеры отправляют хакеру информацию, которую тот впоследствии использует, чтобы зайти на ваш счет и перевести с него средства.
Если вы не можете выделить для целей работы с криптовалютой отдельное устройство, выделите на нем специальное место или создайте его в виртуальном пространстве. Для этого нужно лишь выделить отдельное место на вашем компьютере, которое вы будете использовать исключительно для работы с криптовалютой. Попробуйте VMware и Virtualbox.
Также следует обращать внимание на интернет-подключение. НИКОГДА НЕ ВХОДИТЕ В СВОИ КРИПТО-СЧЕТА С ПУБЛИЧНОГО WI-FI. Прочитайте это предложение три раза и зарубите это на носу.
Чужие люди могут не только без проблем отслеживать, что и куда вы отправляете по публичному Wi-Fi, они также могут установить Wi-Fi роутер и собирать всю информацию, которая через него проходит.
Поэтому, когда в следующий раз вы окажетесь в Старбаксе, и захотите совершить транзакцию, не поддавайтесь соблазну использовать бесплатный Wi-Fi. Это может вылететь вам в копеечку. Пользуйтесь собственным интернетом, и поставьте пароли на свой Wi-Fi и bluetooth, на случай, если вы постоянно забываете их отключать.
Не ленитесь создавать надежные пароли
В Теории большого взрыва есть момент, когда Ховард смог забраться в лабораторию NASA, стоимостью в миллионы долларов, потому что для ее защиты использовался замок, который стоил 10 долларов. Множество людей поступают так же.
Они инвестируют в криптовалюту тысячи долларов, и защищают их слабым паролем, который под силу отгадать даже людям с весьма средними умственными способностями. Не берите с них пример. Вы ведь не ленитесь как следует защитить ваш банковский счет?
Используйте суперсложные пароли, состоящие как минимум из 15 символов, включая строчные и заглавные буквы, числа и другие символы.
Старайтесь также не использовать в качестве паролей слова, которые можно найти в словаре, поскольку имеются программы, которые встроены в словари. И еще, сделайте ваш пароль неразборчивым и как можно более непонятным. Самые лучшие пароли представляют собой тарабарщину.
Вы должны руководствоваться именно этой логикой. Если вы боитесь забыть пароль, сохраните его в нескольких местах, запишите его на бумаге и сохраните в надежном месте, используйте менеджер паролей, установленный на ваш локальный компьютер, или другие безопасные менеджеры паролей. Не пользуйтесь менеджерами паролей в интернет-браузерах, так как их можно взломать.
И установите двухфакторную систему аутентификации (2FA). Обычно она помимо самого пароля включает еще два уровня. Например, если кто-то захочет взломать ваш счет и поменять пароль, вам придет оповещение по электронной почте, смс и вы даже получите звонок от электронного секретаря.
Лучше всего настроить систему безопасности таким образом, чтобы всегда заходить лишь с пары устройств. Таким образом, если кто-то попытается зайти в ваш аккаунт с другого устройства, ваш счет будет заморожен, вы получите сообщение по эл.почте или смс о возможном нежелательном входе и система безопасности запросит верификацию по «правилам», которые вы установили ранее.
Это может показаться излишним, но, вам следует быть крайне осторожными, когда сумма в вашем кошельке составит 80 BTC. Надежными системами двухфакторной идентификации являются такие приложения как FreeOTP и Google Authenticator. Примером хорошего устройства для двухвакторной идентификации является Fido UTF.
Зашифруйте данные
Шифрование данных также является отличным способом хранения крипто-кошельков в безопасности. Вы легко можете установить систему на основе Linux.
Для шифрования можно использовать Cryptsetup или LUKS. Если вы хотите использовать ПК на основе Windows,можно использовать VeraCrypt. На Mac — FileCrypt. Это ПО поможет вам зашифровать данные на жестком диске и его невозможно будет взломать, даже если компьютер украдут.
Недавно один криптоинвестор угодил в ловушку и был вынужден перевести на счета преступных групп эквивалент примерно 2 миллионов долларов в криптовалюте. К сожалению, он не смог вернуть свои деньги из-за отсутствия в сфере криптовалюты регулирующего органа.
Поэтому, сделайте себе одолжение: зашифруйте ваши данные и защитите вашу информацию. Если вы хотите повысить уровень безопасности, используйте двухуровневые протоколы шифрования, такие как AES-Twofish, Serpent-AES или Twofish-Serpent.
Есть еще трехуровневые протоколы шифрования, например, AES-Twofish-Serpent или Serpent-Twofish-AES. Они предлагают многоуровневую систему шифрования и полностью защищают ваши данные от взлома.
Создайте резервную копию ваших данных
Ваши данные являются ценными. Не совершайте ошибку и всегда копируйте их. Вы можете купить себе новый компьютер или новое устройство, но вы не сможете купить ваши данные, если потеряете их. Их восстановление может оказаться делом сложным, и даже невозможным.
В жизни всякое бывает, диск может полететь, устройство может сломаться, может произойти несчастный случай, произойти стихийное бедствие и масса других непредвиденных событий. Если вы создадите резервную копию данных и сохраните ее в надежном месте, в один прекрасный день это может вас осчастливить.
Вы можете сохранить резервную копию ваших крипто-данных или крипто-кошелька на флешке, на сервере, на серверах с зашифрованными данными, например, mega или на внешнем жестком диске.
Будьте осторожны с мобильной аутентификацией
Мы согласны с тем, что, проще всего выбрать мобильную аутентификацию, потому что мобильный телефон всегда при нас.
Но проблема в том, что хакеры и кибер-преступники постоянно изобретают новые способы обойти или даже похитить номер вашего телефона, чтобы получать инструкции по восстановлению паролей.
Все что им нужно сделать для этого – это подключиться к вашей линии. Так они получат все ваши данные. Поэтому сделайте умную вещь – попросите вашего оператора телефонной связи никогда не подключаться к вашей линии и снимите переадресацию звонков.
Если вы подписываетесь на какие-то услуги и не хотите использовать номер вашего телефона, есть и другие опции: например, логин в скайп, pinger и google voice.
Установите два кошелька: основной и многовалютный
Если ваша инвестиционная стратегия при работе с криптовалютами «покупай и держи», вам в первую очередь нужно открыть основной кошелек. Он отлично подходит для «холодного хранения» (это еще один термин для обозначения стратегии «покупай и держи», которая заключается в долгосрочном хранении криптовалюты).
Обычно такой кошелек можно запустить в любое время, независимо от того, как давно вы храните в нем криптовалюту. Мультивалютные же кошельки напротив отлично подходят для ежедневного использования, торговли и для совершения покупок в криптовалюте.
Им не требуется так много места, как основному кошельку, и с их помощью можно быстро и легко совершать обменные операции с криптовалютой.
В любом случае, не стоит хранить криптовалюту на биржах, если вы не занимаетесь активно трейдингом. Если же вы активный трейдер, ваш кошелек находится под риском хакерской атаки, если хакеры зададутся целью взломать сеть определенной биржи.
Однако, в случае взлома им нечего будет украсть у вас, если вы регулярно освобождаете свой кошелек от монет. Это то же самое, что переводить деньги из paypal на ваш банковский счет.
Попрощайтесь с мобильными кошельками
Еще одна рекомендация по вопросам безопасности: никогда не храните много денег в вашем мобильном кошельке, хоть им и удобно пользоваться в повседневной жизни.
Мобильный кошелек может быть очень опасен, если вы попадетесь на крючок, и вам придется выложить преступникам все, что у вас есть в кошельке. Более того, если у вас украдут телефон, вы можете попрощаться со всей «наличностью», которая у вас хранилась в мобильном кошельке.
Поэтому, поступите мудро, и оставляйте в мобильном кошельке не более пары монет. Не становитесь притчей во языцех. Обращайтесь с криптовалютой как умный человек. Вы ведь не пойдете гулять с кошельком, в котором более 200 долларов наличными? Поступайте также с криптовалютой.
Обращайте внимание на браузеры
Хакеры придумали вредоносные коды, которые меняют java-скрипты, и таким образом создают фишинговые сайты. Поскольку большинство браузеров имеют расширения, работающие на этих скриптах, они чрезвычайно уязвимы для хакерских атак.
Так, если вы планируете совершить обмен криптовалюты, установите расширение HTTP Everywhere или что-то аналогичное. Эти расширения разработаны для блокировки или распознавания небезопасных сайтов и не дают непроверенным java-скриптам запуститься на вашем браузере.
Вы также можете использовать VPNs, которые предназначены для защиты и шифрования ваших действий онлайн. Установите также блокировку объявлений о рекламе на ваших браузерах. Это особенно важно учитывая, что реклама уже может отслеживать ваши действия в сети, что делает вашу сеть уязвимой.
Пользуйтесь услугами сторонних компаний по кибер-безопасности
Такие компании как Trezor, NanoLedger и LedgerHQ являются первопроходцами в плане защиты электронных кошельков и ключей шифрования.Чтобы не беспокоиться о безопасности ваших кошельков, позвольте позаботиться об этом данным компаниям. Для этого вам нужно лишь получить их кошельки и хранить в них все данные.
Обычно компании предлагают многоуровневую защиту и поддельные кошельки, обеспечивая таким образом сохранность вашей криптовалюты. Однако здесь встает вопрос доверия – можно ли доверить сохранность своих инвестиций сторонней организации?
Ответить на этот вопрос вам придется самому. Понаблюдайте за ними, послушайте, что о них говорят люди и примите решение, стоит ли рисковать.
Соблюдайте осторожность в сети
Возможно, излишне напоминать об этом, но не стоит открывать ссылки, полученные от неизвестных отправителей, нужно открывать и вводить важную информацию только на безопасных сайтах с https; старайтесь не посещать подозрительные сайты и не скачивайте файлы из непроверенных источников.
Пользуйтесь мессенджерами со сквозным шифрованием, и удалите флеш-плееры. Обязательно обновите ваш антивирус до профессиональной версии.
Да, бесплатные версии превосходно работают, но зачастую они бессильны против натиска профи, разрабатывающих хитроумные программы, способные пробить слабую защиту бесплатных антивирусов.
В то же время профессиональные версии антивирусов становятся надежнее и снижают вероятность того, что ваш компьютер будет взломан, а кошелек опустошен хакерами.
И напоследок, ваш персональный ключ — это то, что защищает вас от ограбления хакерами. Без этого ключа деньги, которые вы считаете своими, на самом деле вам не принадлежат. Поразмышляйте над этим. Поэтому ключ стоит хранить в очень надежном месте. И тогда ваши деньги будут только вашими.
