Вся прав­да о тем­ных сто­ро­нах блок­чей­на

На кон­фе­рен­ции «Тех­но­ло­гии блок­чей­на 2018» боль­шое вни­ма­ние бы­ло уде­ле­но про­бле­мам без­опас­но­сти ре­ше­ний на ба­зе но­вых крип­то­тех­но­ло­гий

Computerworld - - Первая Страница - Дмит­рий Га­пот­чен­ко Computerworld Рос­сия

На кон­фе­рен­ции «Тех­но­ло­гии блок­чей­на 2018», про­ве­ден­ной из­да­тель­ством «От­кры­тые си­сте­мы», боль­шое вни­ма­ние бы­ло уде­ле­но про­бле­мам без­опас­но­сти ре­ше­ний на ба­зе но­вых крип­то­тех­но­ло­гий.

По­ка но­вая тех­но­ло­гия толь­ко на­би­ра­ет по­пу­ляр­ность и дви­га­ет­ся вверх по «кри­вой хай­па», на ее «тем­ные сто­ро­ны», на­при­мер воз­мож­ные проблемы с без­опас­но­стью при­ме­не­ния, обыч­но об­ра­ща­ют ма­ло вни­ма­ния. Все ста­ра­ют­ся пре­успеть в про­па­ган­де ее до­сто­инств, и так ни­кем не оспа­ри­ва­е­мых.

Меж­ду тем пол­ная кар­ти­на крайне важ­на для тех, кто со­би­ра­ет­ся тех­но­ло­гию внед­рять. О со­сто­я­нии дел в об­ла­сти без­опас­но­сти шла речь на вто­рой прак­ти­че­ской кон­фе­рен­ции «Тех­но­ло­гии блок­чей­на 2018», про­ве­ден­ной из­да­тель­ством «От­кры­тые си­сте­мы». Этим во­про­сам по­свя­ти­ли свои вы­ступ­ле­ния пред­ста­ви­те­ли про­филь­ных ком­па­ний: Руслан Юсуф­ов, ди­рек­тор по ра­бо­те с част­ны­ми кли­ен­та­ми Group-ib; Алек­сей Пер­цев, спе­ци­а­лист Digital Security, за­ни­ма­ю­щий­ся те­ста­ми на про­ник­но­ве­ние и ана­ли­зом за­щи­щен­но­сти мо­биль­ных и веб-при­ло­же­ний; Алек­сей Ра­ев­ский, ге­не­раль­ный ди­рек­тор ком­па­нии Zecurion.

Юсуф­ов скон­цен­три­ро­вал­ся на угро­зах, воз­ни­ка­ю­щих на пу­ти про­ек­та, го­то­вя­ще­го­ся к вы­хо­ду на ICO (Initial Coin Offering, фор­ма при­вле­че­ния ин­ве­сти­ций по­сред­ством про­да­жи ин­ве­сто­рам фик­си­ро­ван­но­го ко­ли­че­ства но­вых еди­ниц крип­то­ва­лют). Из­на­чаль­но ко­ман­да та­ко­го про­ек­та, как вся­кий стар­тап, со­сто­ит из неболь­шо­го чис­ла лю­дей, управ­ля­ю­щих от­но­си­тель­но про­стой сер­вер­ной ин­фра­струк­ту­рой. По ме­ре про­дви­же­ния к ICO раз­рас­та­ет­ся как ее штат, так и «мат­часть» — блок­чейн-плат­фор­ма об­за­во­дит­ся сай­том, че­рез ко­то­рый пред­по­ла­га­ет­ся про­да­вать то­ке­ны, а так­же раз­но­об­раз­ны­ми до­пол­ни­тель­ны­ми мо­ду­ля­ми, пла­ги­на­ми и т. д. Про­ект всту­па­ет во вза­и­мо­дей­ствие с по­тен­ци­аль­ны­ми ин­ве­сто­ра­ми че­рез фо­ру­мы, со­ци­аль­ные се­ти, мес­сен­дже­ры и ча­ты.

И здесь для зло­умыш­лен­ни­ков от­кры­ва­ет­ся чрез­вы­чай­но ши­ро­кое по­ле де­я­тель­но­сти. Крип­то­ва­лют­ные про­ек­ты — цель для них бо­лее ла­ко­мая, чем ка­кое-ни­будь хра­ни­ли­ще пер­со­наль­ных дан­ных: эти дан­ные еще нуж­но про­дать (и не по­пасть­ся), то­гда как крип­то­ва­лю­та — уже день­ги, пе­ре­ме­ще­ние ко­то­рых по­сле кра­жи не от­сле­дить.

В 2017 го­ду, по мне­нию Юсуф­о­ва, ос­нов­ны­ми на­прав­ле­ни­я­ми атак бы­ли пло­щад­ки ком­му­ни­ка­ций с ин­ве­сто­ра­ми (сайт, че­рез ко­то­рый про­ис­хо­дит или пла­ни­ру­ет­ся про­да­жа ва­лю­ты) и са­ма ко­ман­да про­ек­та.

Ата­ки на пло­щад­ки при­об­ре­ли то­таль­ный ха­рак­тер. По дан­ным экс­пер­тов Chainanalysis, из средств, по­тра­чен­ных на ICO во вто­рой по­ло­вине 2016-го — пер­вой по­ло­вине 2017 го­да, 56% ушло мо­шен­ни­кам. При­чем без вся­ких тех­ни­че­ских ухищ­ре­ний: со­здать сайт, по­хо­жий на на­сто­я­щий.

Ко­ман­ду ата­ку­ют вполне обыч­ны­ми сред­ства­ми — че­рез по­чту, кор­по­ра­тив­ные мес­сен­дже­ры, соцсети. Сред­ства за­щи­ты то­же обыч­ные — двух­фак­тор­ная аутен­ти­фи­ка­ция, слож­ные па­ро­ли, от­вет­ствен­ное от­но­ше­ние к ин­фор­ма­ции, пуб­ли­ку­е­мой в соц­се­тях.

При всей ба­наль­но­сти по­доб­ных мер со­блю­дать их стар­та­пе­ры от блок­чейн-биз­не­са не то­ро­пят­ся. По­ка­за­те­лен при­ве­ден­ный Пер­це­вым при­мер с крип­то­ва­лю­той Enigma. Ру­ко­во­ди­тель про­ек­та знал, что его па­роль мог быть укра­ден, но не на­шел вре­ме­ни его сме­нить, а так­же за­дей­ство­вать двух­фак­тор­ную иден­ти­фи­ка­цию. Завла­дев его поч­той, зло­умыш­лен­ни­ки по­лу­чи­ли до­ступ к со­об­ще­ству Enigma в мес­сен­дже­ре Slack, где от­кры­ли про­да­жу ва­лю­ты до офи­ци­аль­но­го ICO. Это обо­шлось невни­ма­тель­ным чле­нам со­об­ще­ства в 0,5 млн долл. Невни­ма­тель­ным — по­то­му, что ра­нее со­об­ща­лось, что день­ги до на­ча­ла ICO со­би­рать че­рез мес­сен­джер не бу­дут. Од­на­ко жаж­ду­щие вло­жить­ся в Enigma эту ин­фор­ма­цию про­игно­ри­ро­ва­ли.

Про­де­мон­стри­ро­вал Пер­цев и при­ме­ры оши­бок в ко­дах, при­во­дя­щих к кра­же или «за­ви­са­нию» в ко­шель­ках де­сят­ков и со­тен мил­ли­о­нов дол­ла­ров. Ра­зу­ме­ет­ся, от­ме­тил он, есть мно­же­ство спо­со­бов ата­ко­вать блок­чейн-си­сте­мы и не имея пред­став­ле­ния о том, как они ра­бо­та­ют, на­при­мер взло­мать их как обыч­ные Ит-си­сте­мы.

А са­мые дей­ствен­ные спо­со­бы отъ­е­ма средств ле­жат на «пе­ре­се­че­нии дис­ци­плин»: весь­ма эф­фек­тив­но по па­ра­мет­ру «це­на–про­из­во­ди­тель­ность» со­че­та­ние фи­шин­га с со­ци­аль­ной ин­же­не­ри­ей. Рас­сыл­ки от име­ни Ви­та­ли­ка Бу­те­ри­на, ко­то­рый обе­ща­ет пер­вым 50 счаст­лив­чи­кам, по­слав­шим по 0,2 эфи­ри­у­ма на ука­зан­ный им ад­рес, вер­нуть день­ги в де­ся­ти­крат­ном раз­ме­ре, или от Павла Ду­ро­ва, да­ю­ще­го по­след­ний шанс ку­пить его то­ке­ны, не оста­ви­ли рав­но­душ­ны­ми очень мно­гих.

Ра­ев­ский, как и по­ла­га­ет­ся гла­ве ком­па­нии, по­ста­рал­ся дать об­щую кар­ти­ну са­мых се­рьез­ных рис­ков при­ме­не­ния блок­чей­на в биз­не­се — как при ре­ше­нии соб­ствен­но биз­нес-за­дач, так и при вза­и­мо­дей­ствии блок­чейн-си­стем с го­су­дар­ствен­ны­ми ор­га­на­ми и пра­во­вой си­сте­мой. Сре­ди биз­нес-про­блем он от­ме­тил, что, хо­тя блок­чейн га­ран­ти­ру­ет неиз­мен­ность и от­сле­жи­ва­е­мость тран­зак­ций, тео­ре­ти­че­ски воз­мож­на «Ата­ка 51%», поз­во­ля­ю­щая аб­со­лют­но ле­ги­тим­но пе­ре­пи­сать ис­то­рию в поль­зу ата­ку­ю­ще­го. К то­му же как удо­сто­ве­рить­ся, что в смарт-кон­трак­те за­пи­са­ны имен­но до­стиг­ну­тые до­го­во­рен­но­сти? Все­гда воз­мож­на слу­чай­ная или на­ме­рен­ная ошиб­ка в ко­де, а кон­тракт неот­ме­ня­е­мый.

Что ка­са­ет­ся го­су­дар­ства, то по­ка непо­нят­но, как на блок­чейн и смарт-кон­трак­ты по­смот­рит ре­гу­ля­тор. Как в блок­чейне обес­пе­чить пра­во на за­бве­ние (или на из­ме­не­ние дан­ных, по су­ду при­знан­ных недо­сто­вер­ны­ми), ес­ли все, что в нем на­хо­дит­ся, прин­ци­пи­аль­но неуни­что­жи­мо? Как ид­ти в суд со смарт-кон­трак­том, ес­ли он по ка­ким-то при­чи­нам не вы­пол­нен долж­ным об­ра­зом?

Но при всей слож­но­сти этих во­про­сов со­зда­ет­ся впе­чат­ле­ние, что са­мая глав­ная про­бле­ма — че­ло­ве­че­ский фак­тор. По­жа­луй, ни од­на из преды­ду­щих «вос­хо­дя­щих» тех­но­ло­гий по­след­них лет не бы­ла так от него за­ви­си­ма, и тех­ни­че­ских средств ре­шить эту про­бле­му нет, да и быть не мо­жет.

Не­ма­лая Часть по­терь, ко­то­рые несут блок­чейн-стар­та­пы, как по­ла­га­ет Руслан юсуф­ов, свя­за­на с несо­блю­де­ни­ем ими эле­мен­тар­ных пра­вил в об­ла­сти без­опас­но­сти

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.