Скорая помощь. Безопасность в сети



  • Хакеров учтут в капитале
    Кибербезопасность корректирует банковские нормативы

    alt text

    Растущий масштаб киберугроз в финансовой сфере вынудил ЦБ пойти на радикальные меры. Стимулировать банки вкладывать средства в информационную безопасность регулятор намерен путем увеличения нагрузки на капитал. Кредитным организациям с высоким уровнем киберриска придется держать буфер по нормативу достаточности капитала в размере 1–3%. Риск-менеджеры банков сохраняют оптимизм и даже поддерживают идею ЦБ. Но аналитики уверены, что далеко не все участники рынка смогут позволить себе подобный буфер, а специалисты по информационной безопасности оценивают меру далеко не однозначно.

    С 2019 года высокие киберриски создадут дополнительную нагрузку на капитал банков, следует из заявления начальника управления департамента банковского регулирования ЦБ Михаила Бухтина. По его словам, сейчас разрабатывается проект документа, предусматривающего регулирование киберрисков в капитале банков в рамках внутренних процедур достаточности капитала (ВПОДК). Впервые о необходимости введения требований к достаточности капиталов банков по кибербезопасности ЦБ заявил год назад, а ввести регулирование собирались в третьем квартале 2017 года (см. “Ъ” от 15 февраля 2017 года). Теперь документ планируется опубликовать до 1 июля 2018 года, а с 2020 года банки будут оценивать риски информационной безопасности.

    В ходе надзора ЦБ будет выявлять риски информбезопасности и оценивать их по пятибалльной шкале. Оценка «один» или «два» будет означать низкий уровень рисков, от трех и выше — к банку уже могут быть применены требования по досозданию буфера к нормативу достаточности капитала банков, который может составлять 1–3%. Высокие риски будут у банка, который не исполняет требование нормативных документов ЦБ, ГОСТа, или если показатель отношения успешных инцидентов к общему количеству превышает определенное значение.

    «Раз в год происходит надзорная оценка ВПОДК, в ее рамках будет оцениваться и уровень системы киберрисков»,— пояснил “Ъ” Михаил Бухтин. При этом банки не будут перегружаться по обязательному нормативу. «Таким образом, даже банк с близким к предельному значением норматива достаточности капитала в случае выявления высоких киберрисков будет продолжать работать в штатном режиме с ограничениями на распределение прибыли без других надзорных санкций»,— подчеркнул господин Бухтин.

    Как ЦБ планирует применять новые технологии на финансовом рынке

    Для банков, которые не в состоянии держать буфер в установленном ЦБ размере, на этот период будут введены ограничения. «Например, он не сможет распоряжаться прибылью и выплачивать дивиденды»,— отметил господин Бухтин. Таким образом, регулятор собирается стимулировать акционеров банков вкладывать средства в информзащиту. В отношении санируемых банков ЦБ планирует ввести индивидуальную стратегию управления рисками и капитала. Как отметил Михаил Бухтин, «это будут меры не финансового характера — согласование отчета о выполнении плана об оздоровлении, авторизация каких-то вопросов, мы будем смотреть активность в этой части».

    Риск-менеджеров банков инициатива ЦБ только порадовала. «В условиях развития финтеха и перехода банков в онлайн-каналы продаж киберрриски становятся все более значимы»,— отмечает зампред правления «Уралсиба» Наталья Тутова. Однако, добавляет она, важно понимать, как требования реализуют на практике.

    У представителей службы безопасности банков мнения разделились. Представители крупных игроков идею скорее поддерживают. «ЦБ нам фактически дает возможность монетизировать страх перед возможной хакерской атакой,— отмечает руководитель службы информационной безопасности крупного банка.— И мы можем показать руководству банка фактически цену информбезопасности, ставя перед выбором — инвестировать в безопасность или же создавать буфер по капиталу».

    Как финансовый сектор озаботился кибербезопасностью

    Совершенно иного мнения придерживаются в небольших кредитных организациях. «Банки сейчас “рисуют” аудит информбезопасности и при подобных нововведениях будут просто скрывать от ЦБ инциденты, чтобы не создавать себе киберриски,— рассуждает руководить службы информбезопасности небольшого банка.— Можно вкладывать миллионы рублей в софт, проводить дорогущие пин-тесты, однако когда один из сотрудников банка откроет фишинговое письмо, то все эти дорогостоящие мероприятия не будут ничего стоить». Впрочем, в ЦБ настроены жестко. «Мы не зря разделяем критическую информацию об инцидентах и экономическую составляющую, к этому добавится еще перепроверка по бухгалтерскому балансу, плюс информационный обмен в рамках FinCERT, что в совокупности не даст возможности банкам утаивать инциденты»,— отмечает заместитель главы главного управления безопасности и защиты информации Банка России Артем Сычев.

    Однако банковские аналитики не видят у кредитных организаций достаточного запаса по капиталу. «Буфер по капиталу — это 3% от взвешенных активов по рискам, или около четверти капитала, держать буфер под такие риски смогут далеко не все банки»,— рассуждает начальник отдела валидации «Эксперт РА» Станислав Волков. По данным «Эксперт РА», с учетом надбавок к нормативам, которые уже действуют согласно «Базелю-3», введение дополнительных надбавок по кибербезопасности из топ-20 банков по активам (фактически из топ-15 банков, поскольку пять из них на санации) их смогут выполнить не более девяти кредитных организаций, если надбавка составит 1 процентный пункт (п. п.), и только пять кредитных организаций, если надбавка составит 3 п. п. «Ограничение на выплату дивидендов для банков, которые не поддерживают необходимый буфер, снизит и без того невысокую привлекательность инвестиций в банковский сектор»,— резюмировал он.

    https://www.kommersant.ru/doc/3549607



  • Влияние экономической кибернетики на работу блокчейн-приложений: основные угрозы (Часть 1)

    Рынок информационной безопасности, как правило, на шаг отстает от нововведений в мире информационных технологий. Многие компании очень часто вспоминают о безопасности продукта в том случае, когда что-то уже произошло и последующие риски обнаружения и эксплуатации недостатка безопасности превышают стоимость самостоятельного поиска недостатка и его исправления.

    Представитель компании BugBounty.Center Григорий Васильков — платформы по предоставлению возможности аудита безопасности для сторонних компаний в сфере блокчейн-технологий и умных контрактов — специально для ForkLog проанализировал основные риски для блокчейн-компаний, связанные с безопасностью. Всего будет опубликовано три материала на эту становящуюся все более актуальной тему.

    Еще лет 20 назад обнаружение уязвимостей часто сводилось к их поиску в ОС Windows и Linux. Большинство хакеров пыталось эксплуатировать класс атак Buffer Overflow и получить удаленный доступ к компьютеру. Лет 15 назад, с массовым внедрением веб-ресурсов, появился другой класс атак, направленный на эксплуатацию недостатков безопасности в веб-технологиях: XSS, SQL injection и т. п.

    Лет семь назад начали распространяться Internet of Things (IoT) технологии для массового использования, вследствии чего появилась классификация атак OWASP Internet of Things Project. Уже в ближайшем будущем нам предстоит увидеть целый класс недостатков безопасности, относящийся к блокчейн-технологиям и даже к искусственному интеллекту.

    Началом массового использования программируемых умных контрактов в блокчейн-среде следует считать 2016 год. Именно в этом году произошел резонансный взлом The DAO на блокчейне Ethereum, вследствие чего общественность начала более пристально уделять внимание проблемам безопасности при проектировании умных контрактов.

    Поскольку умные контракты непосредственно касаются движения ценных криптовалютных единиц между контрагентами, безопасность умного контракта имеет первостепенное значение при осуществлении транзакций.

    При разработке умного контракта часто приходится решать уникальные задачи. Хотя программирование контрактов во многом напоминает традиционное программирование, оно затрагивает важные новые проблемы безопасности, так как криптовалюта и токены обладают ценностью, которую нужно защищать. Если вы отправляете деньги в умный контракт с имеющейся уязвимостью, вы, скорее всего, рискуете лишиться всех средств. Кроме того, программирование умных контрактов требует экономического мышления, которым традиционные программисты могут и не обладать.

    Умные контракты должны быть спроектированы с учетом интересов всех сторон, даже если контрагенты изменят данные, которые максимизируют их экономическую выгоду. Проектирование архитектуры приложения предполагает, что при программировании умных контрактов необходимы дополнительные меры предосторожности и проверки.

    Какие блокчейны подвержены рискам безопасности сегодня

    В данный момент, ввиду популярности проведения ICO, большинство участников блокчейн-сообщества вряд ли смогут назвать более десятка блокчейн-платформ, на которых можно создавать умные контракты. Скорее всего, многие остановятся на Ethereum. Тем не менее уже сейчас количество блокчейн-платформ, на которых можно реализовывать в той или иной степени умные контракты, подходит к 40.
    alt text

    Каждая новая блокчейн-платформа пытается предусмотреть свои особенности, которые помогут ей занять лидирующие позиции в сообществе. Некоторые из платформ представляют собой приватный блокчейн и ориентированы на корпоративный сектор, некоторые позиционируют себя как гибридную платформу, то есть совмещают в себе как приватный, так и публичный блокчейн.

    У каждой платформы имеются свои особенности, позволяющие получать данные из внешних источников. У некоторых данный функционал реализован из коробки, у других же для данного функционала предлагается использовать систему внешних доверенных узлов — Оракулов, которые могут предоставлять достоверные внешние данные.

    Для увеличения скорости транзакций в блокчейн-сети и обработки информации различные платформы используют разные алгоритмы консенсуса: POW, POS, DPOS, POI и т. п.

    Вероятнее всего, большинство блокчейн-систем, в которых не предусмотрена логика имплементации умных контрактов, останутся на задворках истории и будут невостребованы даже в качестве средств обмена ценностями. Так или иначе 2018 год мы запомним как год развития умных контрактов и блокчейн-платформ, которые все больше будут влиять на сегмент децентрализованных систем.

    Языки программирования умных контрактов

    На текущий момент большинство разработчиков для написания умных контрактов используют платформу Ethereum и язык программирования Solidity. Но уже в следующем году новые блокчейн платформы внесут огромное разнообразие в используемые языки программирования. Все чаще будут применяться как общеизвестные языки, такие как: С++, C#, Java, Go, Solidity, Kotlin, Rust, Scala, Javascript, Plutus, так и свои собственные: Michelson, Simvolio и др.

    Такое количество языков программирования в активно развивающейся несовершенной области ставит под угрозу безопасность использования данной технологии и повышает риски возникновения критических ситуаций. Для изучения особенностей технологий и языков программирования необходимо, чтобы прошло достаточно времени. Разработчикам также нужно время, чтобы освоить многие нюансы разработки, а также изучить правила безопасного написания кода. Рынок блокчейн-технологий сейчас находится только в фазе своего зарождения, и блокчейн-сообщество еще не пришло к единой классификации недостатков безопасности и уязвимостей, которые разработчики могли бы использовать в качестве паттернов безопасного написания кода.

    Проблемы с точки зрения безопасности в умных контрактах

    Сейчас многие блокчейн-платформы (если не все) сталкиваются со множеством технических проблем: масштабируемость, скорость транзакций, конфиденциальность, получение данных из внешних источников, стоимость транзакций и другие. Все эти проблемы создатели блокчейн-платформ пытаются решить. В этой статье мы не будем глубоко касаться проблем архитектуры блокчейн систем, а сосредоточимся на проблемах безопасности приложений.

    К данным проблемам построения архитектуры безопасности можно отнести следующее:

    • В публичных блокчейн-платформах логика работы и код умного контракта доступны всем участникам платформы;

    • Персональные данные, хранимые в умных контрактах, также доступны всем участникам платформы;

    • При получении данных из внешних централизованных источников, умный контракт не может явно гарантировать достоверность этих данных.

    Давайте рассмотрим каждый пункт более детально. Для наглядности будем рассматривать аспекты безопасности на примере блокчейна Ethereum ввиду его популярности.

    В блокчейне Ethereum умные контракты чаще всего разрабатываются на высокоуровневом языке программирования Solidity, а затем компилируются в bytecode, обрабатываются и сохраняются в блокчейн-блоке. Если посмотреть со стороны на bytecode любого контракта, то мы сможем увидеть длинную строку в шестнадцатеричной системе 0x6060604052600261010860005055604051611b51380380611b518339810….

    На первый взгляд, понять, что делает умный контракт не представляется возможным. Тем не менее уже существует множество бесплатных инструментов, которые позволяют восстановить opcodes (машинные инструкции, имеющий уникальный идентификатор) из bytecode (последовательность байт, выполняемых интерпретатором).

    Для примера можно воспользоваться ByteCode To Opcode Disassembler. В результате чего мы можем получить уже более читаемый код:

    PUSH1 0x60
    PUSH1 0x40
    MSTORE
    PUSH1 0x02
    PUSH2 0x0108
    PUSH1 0x00
    POP
    SSTORE
    PUSH1 0x40
    MLOAD
    PUSH2 0x1b51
    CODESIZE

    Уже при просмотре opcodes мы можем выделить и проанализировать инструкции, которые производят математические операции. Но для большинства разработчиков анализ opcodes, ввиду своей сложности, мало что может сказать.

    В августе 2017 года на конференции Defcon был представлен инструмент Porosity, который является первым декомпилятором умных контрактов на блокчейне Ethereum. Данный инструмент позволяет приводить к высокоуровневому языку программирования Solidity любой bytecode. Теперь нет необходимости анализировать opcodes контракта для понимания его работы. Злоумышленники могут взять любой опубликованный умный контракт и прочитать все доступные в нем методы, даже если разработчики попытались скрыть какую-нибудь логику.

    При разработке умных контрактов следует учитывать, что все помещенные данные в блокчейн автоматически становятся видны всем участникам платформы. Поэтому передачу и хранение критически важных данных в открытом виде использовать нельзя. Неправильным примером проектирования приложения может послужить анонимная система голосования, когда каждый участник отправляет свой голос за тот или иной исход в открытом виде. В таком случае злоумышленник может анализировать полученные голоса и косвенно, либо прямо влиять на исход голосования. Для предотвращения публикации критических данных в открытом виде следует использовать различные виды преобразования, например, хеширование. Но в таком случае пользователи умного контракта могут использовать централизованный сервис для автоматизации процесса хеширования, что в свою очередь тоже накладывает дополнительные риски безопасности.

    Получение данных из внешних недоверенных источников тоже ставит под угрозу выполнение заложенной логики умного контракта. Для этого приходится использовать систему внешних Оракулов, которые могут быть скомпрометированы. Также и внешний ресурс, к которому происходит обращение, подвержен риску компрометации.

    Следует отметить, что для публичных блокчейнов пока не представлен точный алгоритм получения данных из внешних источников, который был бы полностью не подвержен рискам безопасности, и логика которого была бы встроена в протокол блокчейна.

    Виды атак

    Приложения и умные контракты, использующие блокчейн, являются новыми и экспериментальными. Поэтому необходимо ожидать постоянных изменений в архитектуре безопасности, поскольку обнаруживаются новые ошибки и недостатки безопасности.

    Для программирования умных контрактов требуется мышление, отличное от используемого при написании централизованных приложений. Стоимость ошибки может быть высокой, и при невозможности обновления смарт-контракта исправление может быть также невозможно, что делает разработку в чем-то более похожим на аппаратное программирование или программирование финансовых приложений, чем на веб- или мобильную разработку. Поэтому недостаточно защищаться от известных атак и уязвимостей — необходимо изучить архитектуру построения безопасных приложений.

    На многих ресурсах сейчас упоминаются и описываются технические атаки на умные контракты, но практически никто не упоминает об экономико-технических атаках и угрозах, которые завязаны на ошибках бизнес-модели и бизнес-логики. Данный класс недостатков безопасности только начинает появляться, до создания блокчейна и умных контрактов он присутствовал в меньшей степени.

    Попытаемся классифицировать этот тип недостатков безопасности и дадим определение, что же он из себя представляет

    Экономико-технические атаки

    При проектировании архитектуры сложных информационных систем, используя умные контракты, мы с командой разработчиков столкнулись с тем, что не можем явно предусмотреть и спрогнозировать поведение всех элементов системы, которые могут прямо или косвенно повлиять на логику выполнения работы. Без явного представления о количестве и типе получаемых данных очень сложно разработать логику исключения ошибок.

    alt text

    Экономико-техническая атака — это совокупность действий злоумышленника, приводящая к нарушению экономической стабильности информационной системы. Результатом успешной атаки может стать изменение экономических показателей, хранящихся в информационной системе, или их искажение.

    Экономические недостатки, как правило, явно не видны и требуют полного понимания механизма передачи ценности в системе, а также взаимодействия элементов приложения. Для поиска экономико-технических недостатков в умных контрактах желательно добиться понимания методов экономико-математического и системного моделирования, а также принципов работы технологии блокчейн. Описательный язык подобных вероятностных зависимостей в управляемых и управляющих информационных системах был разработан в рамках такой дисциплины, как экономическая кибернетика.

    В широком смысле под экономической кибернетикой понимают область науки, возникшую на стыке математики и кибернетики с экономикой, включая математическое программирование, исследование операций, экономико-математические модели, эконометрику и математическую экономику.

    Экономическая кибернетика рассматривает экономику, а также ее структурные и функциональные составляющие, как сложные системы, в которых протекают процессы регулирования и управления, реализуемые движением и преобразованием информации. Экономическая кибернетика исследует процессы управления сложными экономическими системами, используя инструментарий экономико-математического моделирования, причем процессы управления являются по сути информационными, базирующимися на экономической информации.

    alt text

    Для проектирования сложных блокчейн-систем следует учитывать основные элементы экономической кибернетики:

    • Системный анализ компонентов

    • Иерархия взаимодействия сложных элементов

    • Иерархическое управление элементами

    • Согласование целей в иерархических элементах

    • Обработка полученной информации

    • Оптимизация потоков информации в задачах управления

    • Контроль и управление в организационных системах

    • Задачи классификации

    • Комплексная оценка элементов системы

    • Кибернетические модели социальных и экономических систем

    Благодаря использованию блокчейна, экономическая кибернетика как наука сейчас может получить второе дыхание, поскольку применение блокчейн-технологий напрямую связано с построением экономических процессов и систем.

    Применение экономической кибернетики при проектировании приложений на блокчейне должно помочь в выявлении труднопрогнозируемых паттернов поведения, влияющих на безопасность данного приложения.

    Мы не ставим целью описать все свойства экономической кибернетики. В данной статье всего лишь описывается и дается решение одной из многих задач — задачи конструирования. Применяя методы экономической кибернетики, мы попытались классифицировать экономико-технические угрозы, которые могут повлиять на заложенный функционал приложения.

    https://forklog.com/vliyanie-ekonomicheskoj-kibernetiki-na-postroenie-blokchejn-prilozhenij-ekonomiko-tehnicheskie-ugrozy-chast-1/



  • Как мошенники заманивают криптотрейдеров на фишинговые сайты

    alt text

    Вместе с ростом популярности криптовалют набирает обороты и мошенничество в этой сфере.

    Пользователи криптовалютных подфорумов на Reddit рассказывают, что мошенники научились придавать адресам своих сайтов вид аутентичных URL-адресов некоторых популярных криптовалютных бирж, таких как Binance и Bittrex. К несчастью для доверчивых трейдеров, введение учётных данных на «поддельных» сайтах грозит потерей криптовалюты или фиатных денег.

    Более бдительные трейдеры обращают пристальное внимание (и советуют поступать так же всем остальным) на зелёный префикс «https», который обычно предшествует «правильному» URL сайта в адресной строке браузера. Он позволяет понять, является ли сайт легитимным. Но не всегда этот признак необходим и достаточен: стоит рассматривать с пристрастием и сам адрес.

    Посмотрите, как мошенники могут прорвать оборону, даже если вам кажется, что вы бдительны.

    Как правило, о том, что сайт — фальшивка, свидетельствует отсутствие зелёного префикса «https» перед его адресом.

    Пользователь Reddit с ником chrysotileman опубликовал скриншот сайта «поддельной» криптовалютной биржи с адресом coinsmarkets.com. Внимательный человек легко заметит, что с сайтом что-то не так, поскольку у него отсутствует действующий сертификат.

    Необходимо прежде всего обращать внимание на зелёные надписи «secure» и «https» перед адресом сайта, указывающие на то, что ресурс и стоящая за ним компания получили сертификаты SSL (протокол защиты информации). Наличие такого сертификата указывает на то, что сайту можно доверять, а отсутствие — на обратное.

    Coinsmarkets.com не имеет зелёных префиксов «secure» или «https» перед адресом. Вместо этого мы видим серые или чёрные надписи «not secure» и «http» перед его URL. По таким признакам идентифицировать мошеннический сайт и добиться его закрытия довольно просто. Если вы сейчас попытаетесь посетить coinsmarkets.com, то увидите сообщение об ошибке.

    Однако некоторые мошенники нашли способы отображать зелёные теги «secure» и «https», крайне незаметно изменяя адрес сайта.

    На первый взгляд это URL-адрес популярной криптовалютной биржи Binance. Отчётливо виден зелёный префикс «https» перед хорошо знакомым адресом.

    Неясно, как именно мошенники получили сертификат SSL в этом случае, но стоит отметить, что получить его у эмитента с сомнительной репутацией довольно легко.

    Присмотревшись как следует, можно увидеть маленькие точки под каждой из букв «n» в слове «binance». А их там быть не должно.

    Эти две точки означают, что перед вами не настоящий сайт Binance. Вы видите другой ресурс, которому его недобросовестные создатели придали почти полное сходство с официальным сайтом торговой площадки.

    Поскольку сайт выглядит знакомым, а его адрес на первый взгляд правильный, ни о чём не подозревающие пользователи вводят свои логины и пароли. Получив реквизиты пользователей, мошенники могут свободно распоряжаться их аккаунтами, в том числе похищать криптовалюту и средства в долларах.

    Действительно, они могут сойти за частицы пыли на мониторе. В данном случае мошенники использовали стандартную букву «n», добавив к ней так называемый диакритический знак, используемый, например, во вьетнамском языке. Это гораздо более действенный способ обмана, чем использование цифры, похожей на букву («1» вместо «i» и т.д.).

    http://procrypto.network/2018/02/21/kak-moshenniki-zamanivayut-kriptotrejderov-na-fishingovye-sajty/



  • Хакеры вернули CoinDash 20 000 ETH, похищенных при взломе ICO

    alt text

    Хакеры, взломавшие ICO CoinDash в июле прошлого года, вернули 20 000 ETH на официальный адрес проекта. Со состоянию на 13:17 UTC, 24 февраля, это составляет приблизительно $16,7 млн.

    alt text

    Представители проекта отметили, что уже поставили в известность израильское Подразделение по борьбе с кибертерроризмом и продолжат мониторить активность Ethereum-адреса, принадлежащего хакерам.

    Одновременно с этим, событие не повлияет на запланированный на 27 февраля выход основного продукта CoinDash.

    «Как и в случае со взломом, нынешние действия хакера никак не повлияют на реализацию нашего видения. Запуск основого продукта состоится на следующей неделе», — отметил CEO проекта Алон Мурок.

    Напомним, в сентябре хакеры вернули CoinDash 10 000 ETH

    http://procrypto.network/2018/02/24/hakery-vernuli-coindash-20-000-eth-pohishhennyh-pri-vzlome-ico/



  • Найдена уязвимость данных пользователей криптовалютных бирж

    alt text

    Исследователи Пенсильванского университета и Университета Джонса Хопкинса обнаружили новую уязвимость, которая может быть использована для компрометации ключей шифрования вебсайтов.

    В потенциале эта уязвимость также ставит под угрозу регистрационные данные пользователей криптовалютных бирж, пишет BitsOnline. Уязвимость, которая получила название DUHK (Don’t use hard-coded keys), обнаружили криптографы Надя Хенингер, Шаан Кони и Мэттью Грин.

    Ее источником назван ANSI X9.31 RNG – алгоритм генерирования псевдослучайных чисел (PRNG), который на протяжении последних 30 лет использовался в многочисленных онлайн-продуктах, включая создание ключей шифрования для VPN-соединений и браузерные сессии, содержащие учетные данные, платежную информацию и другую информацию.

    Как обнаружили исследователи, что когда «железные» и софтверные продукты используют ANSI X9.31 и жестко закодированный seed key, атакующий имеет возможность расшифровать данные, проходящие через уязвимое устройство. Также вина лежит на производителях, которые зачастую используют жестко закодированный seed key для ANSI X9.31.

    В нормальных обстоятельствах seed key должен генерироваться случайно при каждом запуске устройства или самого ANSI X9.31. В январе 2016 года Федеральный стандарт по обработке информации (FIPS) – ведомство, отвечающее за выработку стандартов компьютерной безопасности в США – удалило ANSI X9.31 RNG из своих списков, назвав в качестве одной из причин некриптостойкое шифрование.

    Как говорят исследователи, перед атаками DUHK уязвима FortiOS от версии 4.3.0 до 4.3.18, Таких устройств в сети насчитывается более 23 000. FortiOS 5.x уязвимости не подвержена, в то время как seed key из кода FortiOS 4.3.19 уже был убран. Исследователи также отмечают, что хотя атаку DUHK осуществить не так просто, применить ее на практике более чем возможно. Так, эксплуатируя DUHK, современный компьютер в среднем способен подобрать основной ключ шифрования для соединения всего за четыре минуты.

    Ситуация осложняется тем, что Fortinet – не единственный уязвимый производитель. В своем отчете специалисты представили список продуктов, где используется ANSI X9.31 и жестко закодированные seed key. В список, в частности, вошли решения от Cisco и TechGuard.

    alt text

    Уязвимость не нацелена непосредственно на пользователей криптовалютных бирж, однако может быть использована хакерам для манипулирования выходными данными с целью компрометации ключей шифрования и их дальнейшего использования для получения доступа к конфиденциальной информации пользователей, включая регистрационные данные, детали банковских счетов и т.д. Напомним, в сентябре сообщалось о найденной исследователями MIT Media Lab Digital Currency Initiative (DCI) уязвимости в криптографической хеш-функции цифровой валюты IOTA.

    Информация с сайта: https://mining-cryptocurrency.ru/uyazvimost-dannyh-kriptovalyutnyh-birzh/



  • Крупнейшая бразильская биржа Foxbit лишилась 30 биткоинов из-за бага

    Крупнейшая в Бразилии криптовалютная биржа Foxbit лишилась 30 биткоинов из-за бага, позволившего ее пользователям дублировать выводы. Как только проблема была обнаружена, платформа начала чрезвычайное техобслуживание и ушла в офлайн на более чем 72 часа.

    В ходе технических работ, как сообщил CEO Foxbit Жоао Канхада, некоторые данные были утеряны или повреждены, однако 14 марта платформа уже должна вернуться к штатному режиму работы.
    alt text

    «Все средства пользователей находятся в безопасности. Некоторые клиенты уже вернули продублированные биткоины. На случай таких непредвиденных ситуаций мы располагаем специальным фондом для покрытия издержек. Наша платформа не была взломана и средства никто не крал», — подчеркнул Канхада.

    Пока неясно, какое количество биткоинов уже удалось вернуть, но представители биржи заверили пользователей, что инцидент никоим образом не повлияет на ее дальнейшее функционирование.



  • 23% VPN-сервисов раскрывают реальные IP-адреса пользователей

    alt text

    Проблема связана с использованием технологии WebRTC.

    Итальянский исследователь Паоло Станьо (Paolo Stagno) протестировал 70 VPN-сервисов и обнаружил, что 16 из них (23%) раскрывают реальные IP-адреса пользователей. Проблема связана с использованием технологии WebRTC (Web Real Time Communication), которая позволяет осуществлять аудио- и видеозвонки непосредственно из браузера. Данную технологию поддерживает ряд браузеров, в том числе Mozilla Firefox, Google Chrome, Google Chrome для Android, Samsung Internet, Opera и Vivaldi.

    WebRTC - открытый стандарт мультимедийной связи в реальном времени, работающий непосредственно в web-браузере. Проект предназначен для организации передачи потоковых данных между браузерами или другими поддерживающими его приложениями по технологии точка-точка.

    Как пояснил исследователь, технология позволяет использовать механизмы STUN (Session Traversal Utilities for NAT, утилиты прохождения сессий для NAT) и ICE для организации соединений в разных типах сетей. STUN-сервер отправляет сообщения, содержащие IP-адреса и номера портов источника и приемника.

    STUN-серверы используются VPN-сервисами для замены локального IP-адреса на внешний (публичный) IP-адрес и наоборот. WebRTC допускает отправку пакетов на STUN-сервер, который возвращает «скрытый» домашний IP-адрес, а также адреса локальной сети пользователя. IP-адреса отображаются средствами JavaScript, но так как запросы производятся вне обычной XML/HTTP процедуры, они не видны из консоли разработчика.

    По словам Станьо, реальные IP-адреса пользователей раскрывают 16 VPN-сервисов: BolehVPN, ChillGlobal (плагин для Chrome и Firefox), Glype (в зависимости от конфигурации), hide-me.org, Hola!VPN, Hola!VPN (расширение для Chrome), HTTP PROXY (в браузерах с поддержкой Web RTC), IBVPN, PHP Proxy, phx.piratebayproxy.co, psiphon3, PureVPN, SOCKS Proxy (в браузерах с поддержкой Web RTC), SumRando Web Proxy, TOR (работающий как PROXY в браузерах с Web RTC), Windscribe. С полным списком протестированных сервисов можно ознакомиться здесь .

    Подробнее: https://www.securitylab.ru/news/492326.php?R=1



  • Facebook годами собирает историю звонков и данные SMS на Android-устройствах
    alt text

    Facebook загружает контакты пользователей, чтобы предложить их в качестве возможных друзей.

    Новозеландский программист Дилан Маккей (Dylan McKay) обнаружил свои данные годичной давности, включая полные журналы входящих и исходящих вызовов и SMS-сообщений, в архиве, который он загрузил из соцсети Facebook.

    О сборе Facebook данных своих пользователей было известно и ранее, но до недавнего времени эта информация не вызывала большого резонанса. Однако после недавнего скандала по поводу обмена данными с Cambridge Analytica, публикации Маккея в Twitter вызвали оживленное обсуждение на тему конфиденциальности.

    По словам представителей Facebook, практически все социальные сети пытаются сделать для пользователей общение с друзьями и членами семьи более удобным, в частности Facebook загружает контакты своих пользователей, чтобы предложить их в качестве возможных друзей.

    В старых версиях Android, когда установка разрешений была намного проще, приложение Facebook получало разрешение на доступ к контактам во время установки, позволяя компании получить доступ к данным о вызовах и сообщениях автоматически.

    Компания Google изменила метод работы разрешений в 16 версии своего API, делая их более четкими и подробными, а также сообщая пользователям, когда какое-либо приложение пытается получить разрешения. Тем не менее, разработчики смогли обойти данное изменение, и Facebook продолжал получать доступ к данным о вызовах и SMS.

    Любой пользователь может проверить, какие данные про него собирает социальная сеть. Для этого нужно перейти в «Настройки Facebook» → «Загрузить копию данных Facebook» → «Начать мой архив».

    Пользователи, которые не хотят, чтобы Facebook сохранял или постоянно загружал их контакты на свой сервер, могут отключить функцию непрерывной загрузки в приложении Messenger. Данное изменение также удалит все ранее загруженные соцсетью контакты.

    Пользователи Facebook на устройствах Apple защищены лучше, поскольку iOS не разрешает скрытый доступ к данным о вызовах.

    Подробнее: https://www.securitylab.ru/news/492283.php?R=1



  • Уязвимость Coinbase позволяла зачислять неограниченное количество Ethereum

    alt text

    Пользователям достаточно было создать смарт-контракт с несколькими кошельками, один из которых должен быть неисправен.

    Исследователи из компании VI Company обнаружили в системе смарт-контрактов криптовалютной биржи Coinbase уязвимость, позволяющую зачислить неограниченное количество криптовалюты Ethereum («эфир», ETH) на пользовательские счета.

    По словам экспертов, пользователи могли манипулировать остатком по счету на бирже, используя смарт-контракт для распределения средств по набору кошельков.

    «Если одну из внутренних транзакций в смарт-контракте не удастся выполнить, все транзакции должны быть отменены. Однако на Coinbase этого не происходит и транзакции не отменяются. Кто угодно может добавить столько эфира на свой баланс, сколько захочет», - отметили специалисты.

    Таким образом, для того, чтобы перевести на свой кошелек неограниченное количество криптовалюты, пользователям достаточно было создать смарт-контракт с несколькими кошельками, один из которых должен быть неисправен. После этого достаточно выполнить смарт-контракт желаемое количество раз, а затем вывести средства с биржи.

    Исследователи обнаружили уязвимость в декабре 2017 года, а в январе 2018 года она была устранена. Биржа выплатила экспертам вознаграждение в размере $10 тыс. В настоящее время неизвестно, была ли данная уязвимость проэксплуатирована злоумышленниками.

    Подробнее: https://www.securitylab.ru/news/492260.php?R=1



  • Руководство по крипто-безопасности. Как защитить свои накопления в криптовалюте – рекомендации и советы

    alt text

    Как сохранить ваши накопления в криптовалюте

    Теперь, когда криптовалюты стали пользоваться популярностью, и многие люди стремятся получить их, чтобы оказаться на волне, возникла необходимость в мерах безопасности для сохранности ваших кошельков и инвестиций.

    Это очень актуально в свете атак, направленных на определенные виды крипто-кошельков. Это конечно очень напоминает «Дикий, дикий запад». Однако хорошая новость заключается в том, что большинство крипто-платформ и сетей снабжены встроенной системой безопасности, и обычно этого достаточно.

    Ответственность за сохранность средств лежит также и на самих инвесторах. Чаще всего самым слабым звеном в крипто-безопасности являются именно люди. Если инвестор проявляет беспечность в отношении вопросов безопасности, взломать его крипто-кошелек и перевести средства достаточно легко и занимает не так много времени.

    Реальность такова, что, если вы оставляете кошелек открытым, вы привлекаете «крипто-воров». А как только они получат доступ к вашему кошельку, велика вероятность того, что вы больше никогда не сможете вернуть обратно ваши средства.

    Деньги будут украдены, а кошелек — пуст. Поэтому, чтобы сохранить ваши инвестиции, соблюдайте следующие правила.

    Следите за безопасностью вашего ПК

    При совершении транзакций с криптовалютой пользуйтесь только компьютером с обновленным антивирусом и системой сетевой защиты. Каждый раз проверяйте, обновлена ли система безопасности вашего компьютера. Для того чтобы взломать компьютер, достаточно всего-навсего одного уязвимого места.

    Вам также стоит задуматься над установкой операционной системы с очень высокой степенью защиты, например, Qubes, Unix или Linux. Это самые защищенные операционные системы во всем мире. Их сложнее взломать и их конфигурации делают их менее уязвимыми.

    Qubes славится высочайшей степенью защиты и персонализацией. Не известно хакерских атак, которые бы справились с этой операционной системой. Но если вы все-таки решите использовать компьютер на Windows или Mac, вам следует постоянно проверять отсутствие вредоносных программ и обновлять антивирусную программу.

    Используйте специально выделенный ПК или мобильное устройство, а также защищенную сеть
    Еще одна идея, которая вам понравится – использовать для целей работы с криптовалютой отдельное устройство, предназначенное только для этого. Стоит завести компьютер или мобильное устройство, предназначенное исключительно для покупки и продажи криптовалюты.

    Это значительно снизит риски. Устройства, которыми вы пользуетесь для для поиска информации в интернете, для работы и развлечений, чаще всего подхватывают различные вирусы, в том числе и вирусы-вымогатели.

    Так, хакеры становятся умнее и втихаря внедряют в ваши устройства кейлоггеры –программы, которые отслеживают все пароли, набираемые вами на клавиатуре, а также все сайты, которые вы посещаете.

    И когда вы вбиваете пароль, кейлоггеры отправляют хакеру информацию, которую тот впоследствии использует, чтобы зайти на ваш счет и перевести с него средства.

    Если вы не можете выделить для целей работы с криптовалютой отдельное устройство, выделите на нем специальное место или создайте его в виртуальном пространстве. Для этого нужно лишь выделить отдельное место на вашем компьютере, которое вы будете использовать исключительно для работы с криптовалютой. Попробуйте VMware и Virtualbox.

    Также следует обращать внимание на интернет-подключение. НИКОГДА НЕ ВХОДИТЕ В СВОИ КРИПТО-СЧЕТА С ПУБЛИЧНОГО WI-FI. Прочитайте это предложение три раза и зарубите это на носу.

    Чужие люди могут не только без проблем отслеживать, что и куда вы отправляете по публичному Wi-Fi, они также могут установить Wi-Fi роутер и собирать всю информацию, которая через него проходит.

    Поэтому, когда в следующий раз вы окажетесь в Старбаксе, и захотите совершить транзакцию, не поддавайтесь соблазну использовать бесплатный Wi-Fi. Это может вылететь вам в копеечку. Пользуйтесь собственным интернетом, и поставьте пароли на свой Wi-Fi и bluetooth, на случай, если вы постоянно забываете их отключать.

    Не ленитесь создавать надежные пароли

    В Теории большого взрыва есть момент, когда Ховард смог забраться в лабораторию NASA, стоимостью в миллионы долларов, потому что для ее защиты использовался замок, который стоил 10 долларов. Множество людей поступают так же.

    Они инвестируют в криптовалюту тысячи долларов, и защищают их слабым паролем, который под силу отгадать даже людям с весьма средними умственными способностями. Не берите с них пример. Вы ведь не ленитесь как следует защитить ваш банковский счет?

    Используйте суперсложные пароли, состоящие как минимум из 15 символов, включая строчные и заглавные буквы, числа и другие символы.

    Старайтесь также не использовать в качестве паролей слова, которые можно найти в словаре, поскольку имеются программы, которые встроены в словари. И еще, сделайте ваш пароль неразборчивым и как можно более непонятным. Самые лучшие пароли представляют собой тарабарщину.

    Вы должны руководствоваться именно этой логикой. Если вы боитесь забыть пароль, сохраните его в нескольких местах, запишите его на бумаге и сохраните в надежном месте, используйте менеджер паролей, установленный на ваш локальный компьютер, или другие безопасные менеджеры паролей. Не пользуйтесь менеджерами паролей в интернет-браузерах, так как их можно взломать.

    И установите двухфакторную систему аутентификации (2FA). Обычно она помимо самого пароля включает еще два уровня. Например, если кто-то захочет взломать ваш счет и поменять пароль, вам придет оповещение по электронной почте, смс и вы даже получите звонок от электронного секретаря.

    Лучше всего настроить систему безопасности таким образом, чтобы всегда заходить лишь с пары устройств. Таким образом, если кто-то попытается зайти в ваш аккаунт с другого устройства, ваш счет будет заморожен, вы получите сообщение по эл.почте или смс о возможном нежелательном входе и система безопасности запросит верификацию по «правилам», которые вы установили ранее.

    Это может показаться излишним, но, вам следует быть крайне осторожными, когда сумма в вашем кошельке составит 80 BTC. Надежными системами двухфакторной идентификации являются такие приложения как FreeOTP и Google Authenticator. Примером хорошего устройства для двухвакторной идентификации является Fido UTF.

    Зашифруйте данные

    Шифрование данных также является отличным способом хранения крипто-кошельков в безопасности. Вы легко можете установить систему на основе Linux.

    Для шифрования можно использовать Cryptsetup или LUKS. Если вы хотите использовать ПК на основе Windows,можно использовать VeraCrypt. На Mac — FileCrypt. Это ПО поможет вам зашифровать данные на жестком диске и его невозможно будет взломать, даже если компьютер украдут.

    Недавно один криптоинвестор угодил в ловушку и был вынужден перевести на счета преступных групп эквивалент примерно 2 миллионов долларов в криптовалюте. К сожалению, он не смог вернуть свои деньги из-за отсутствия в сфере криптовалюты регулирующего органа.

    Поэтому, сделайте себе одолжение: зашифруйте ваши данные и защитите вашу информацию. Если вы хотите повысить уровень безопасности, используйте двухуровневые протоколы шифрования, такие как AES-Twofish, Serpent-AES или Twofish-Serpent.

    Есть еще трехуровневые протоколы шифрования, например, AES-Twofish-Serpent или Serpent-Twofish-AES. Они предлагают многоуровневую систему шифрования и полностью защищают ваши данные от взлома.

    Создайте резервную копию ваших данных

    Ваши данные являются ценными. Не совершайте ошибку и всегда копируйте их. Вы можете купить себе новый компьютер или новое устройство, но вы не сможете купить ваши данные, если потеряете их. Их восстановление может оказаться делом сложным, и даже невозможным.

    В жизни всякое бывает, диск может полететь, устройство может сломаться, может произойти несчастный случай, произойти стихийное бедствие и масса других непредвиденных событий. Если вы создадите резервную копию данных и сохраните ее в надежном месте, в один прекрасный день это может вас осчастливить.

    Вы можете сохранить резервную копию ваших крипто-данных или крипто-кошелька на флешке, на сервере, на серверах с зашифрованными данными, например, mega или на внешнем жестком диске.

    Будьте осторожны с мобильной аутентификацией

    Мы согласны с тем, что, проще всего выбрать мобильную аутентификацию, потому что мобильный телефон всегда при нас.

    Но проблема в том, что хакеры и кибер-преступники постоянно изобретают новые способы обойти или даже похитить номер вашего телефона, чтобы получать инструкции по восстановлению паролей.

    Все что им нужно сделать для этого – это подключиться к вашей линии. Так они получат все ваши данные. Поэтому сделайте умную вещь – попросите вашего оператора телефонной связи никогда не подключаться к вашей линии и снимите переадресацию звонков.

    Если вы подписываетесь на какие-то услуги и не хотите использовать номер вашего телефона, есть и другие опции: например, логин в скайп, pinger и google voice.

    Установите два кошелька: основной и многовалютный

    Если ваша инвестиционная стратегия при работе с криптовалютами «покупай и держи», вам в первую очередь нужно открыть основной кошелек. Он отлично подходит для «холодного хранения» (это еще один термин для обозначения стратегии «покупай и держи», которая заключается в долгосрочном хранении криптовалюты).

    Обычно такой кошелек можно запустить в любое время, независимо от того, как давно вы храните в нем криптовалюту. Мультивалютные же кошельки напротив отлично подходят для ежедневного использования, торговли и для совершения покупок в криптовалюте.

    Им не требуется так много места, как основному кошельку, и с их помощью можно быстро и легко совершать обменные операции с криптовалютой.

    В любом случае, не стоит хранить криптовалюту на биржах, если вы не занимаетесь активно трейдингом. Если же вы активный трейдер, ваш кошелек находится под риском хакерской атаки, если хакеры зададутся целью взломать сеть определенной биржи.

    Однако, в случае взлома им нечего будет украсть у вас, если вы регулярно освобождаете свой кошелек от монет. Это то же самое, что переводить деньги из paypal на ваш банковский счет.

    Попрощайтесь с мобильными кошельками

    Еще одна рекомендация по вопросам безопасности: никогда не храните много денег в вашем мобильном кошельке, хоть им и удобно пользоваться в повседневной жизни.

    Мобильный кошелек может быть очень опасен, если вы попадетесь на крючок, и вам придется выложить преступникам все, что у вас есть в кошельке. Более того, если у вас украдут телефон, вы можете попрощаться со всей «наличностью», которая у вас хранилась в мобильном кошельке.

    Поэтому, поступите мудро, и оставляйте в мобильном кошельке не более пары монет. Не становитесь притчей во языцех. Обращайтесь с криптовалютой как умный человек. Вы ведь не пойдете гулять с кошельком, в котором более 200 долларов наличными? Поступайте также с криптовалютой.

    Обращайте внимание на браузеры

    Хакеры придумали вредоносные коды, которые меняют java-скрипты, и таким образом создают фишинговые сайты. Поскольку большинство браузеров имеют расширения, работающие на этих скриптах, они чрезвычайно уязвимы для хакерских атак.

    Так, если вы планируете совершить обмен криптовалюты, установите расширение HTTP Everywhere или что-то аналогичное. Эти расширения разработаны для блокировки или распознавания небезопасных сайтов и не дают непроверенным java-скриптам запуститься на вашем браузере.

    Вы также можете использовать VPNs, которые предназначены для защиты и шифрования ваших действий онлайн. Установите также блокировку объявлений о рекламе на ваших браузерах. Это особенно важно учитывая, что реклама уже может отслеживать ваши действия в сети, что делает вашу сеть уязвимой.

    Пользуйтесь услугами сторонних компаний по кибер-безопасности
    Такие компании как Trezor, NanoLedger и LedgerHQ являются первопроходцами в плане защиты электронных кошельков и ключей шифрования.

    Чтобы не беспокоиться о безопасности ваших кошельков, позвольте позаботиться об этом данным компаниям. Для этого вам нужно лишь получить их кошельки и хранить в них все данные.

    Обычно компании предлагают многоуровневую защиту и поддельные кошельки, обеспечивая таким образом сохранность вашей криптовалюты. Однако здесь встает вопрос доверия – можно ли доверить сохранность своих инвестиций сторонней организации?

    Ответить на этот вопрос вам придется самому. Понаблюдайте за ними, послушайте, что о них говорят люди и примите решение, стоит ли рисковать.

    Соблюдайте осторожность в сети

    Возможно, излишне напоминать об этом, но не стоит открывать ссылки, полученные от неизвестных отправителей, нужно открывать и вводить важную информацию только на безопасных сайтах с https; старайтесь не посещать подозрительные сайты и не скачивайте файлы из непроверенных источников.

    Пользуйтесь мессенджерами со сквозным шифрованием, и удалите флеш-плееры. Обязательно обновите ваш антивирус до профессиональной версии.

    Да, бесплатные версии превосходно работают, но зачастую они бессильны против натиска профи, разрабатывающих хитроумные программы, способные пробить слабую защиту бесплатных антивирусов.

    В то же время профессиональные версии антивирусов становятся надежнее и снижают вероятность того, что ваш компьютер будет взломан, а кошелек опустошен хакерами.

    И напоследок, ваш персональный ключ — это то, что защищает вас от ограбления хакерами. Без этого ключа деньги, которые вы считаете своими, на самом деле вам не принадлежат. Поразмышляйте над этим. Поэтому ключ стоит хранить в очень надежном месте. И тогда ваши деньги будут только вашими.

    https://www.megachange.is/blog/rukovodstvo-po-kripto-bezopasnosti-kak-zashhitit-svoi-nakopleniya-v-kriptovalyute-rekomendatsii-i-sovety/


Log in to reply