Электронная библиотека » Коллектив авторов » » онлайн чтение - страница 5


  • Текст добавлен: 27 сентября 2023, 19:00


Автор книги: Коллектив авторов


Жанр: Прочая образовательная литература, Наука и Образование


сообщить о неприемлемом содержимом

Текущая страница: 5 (всего у книги 24 страниц) [доступный отрывок для чтения: 8 страниц]

Шрифт:
- 100% +

В традиционной схеме для получения зарегистрированного в суде документа в качестве доказательства наличия соглашения необходимо обратиться к нотариусу, оплатить его услуги и ожидать получения запрошенного документа. Благодаря умным контрактам сценарий полностью меняется: когда необходим документ, сторона его получает в электронном виде. Этот процесс исключает участие третьей стороны (в частности, нотариуса), а главное – умные контракты не ограничиваются только фиксацией условий в рамках какого-либо соглашения, они также способны инициировать автоматическое выполнение наступивших обязательств.

Умные контракты обычно работают на механизмах, в которых используются цифровые (в том числе финансовые) активы подлежащие депонированию и перераспределению между участниками в соответствии с условиями договора. Умные контракты могут отслеживать исполнение условий договора в режиме реального времени, помогают делать бизнес и другие транзакции более безопасными, эффективными и экономически выгодными.

Идея умных контрактов была впервые предложена в 1994 г. юристом и криптографом Н. Сабо, заложившим теоретические основы для цифровой валюты. В то время интереса к смарт-контрактам не было ввиду отсутствия технологической базы – цифровой платформы или распределенного реестра, которая могла бы их поддерживать.

В 2008 г. была разработана криптовалюта биткойн при помощи блокчейн-платформы, которая отслеживала финансовые транзакции. Эта технология позволила разработать код смарт-контракта, который используется для ввода всех условий контракта в блокчейн. В 2016 г. в округе Кук (штат Иллинойс) впервые был использован блокчейн в целях создания базы данных для передачи и отслеживания прав собственности. Когда эти транзакции происходят, в дополнение к традиционному бумажному документу, покупатель получает цифровой токен, который может служить доказательством права собственности.

К преимуществам смарт-контрактов перед другими технологиями можно отнести следующее:

– прозрачность. В коде смарт-контрактов алгоритмически изложены условия которые абсолютно точны и не допускают двойного толкования. В случае заключения контрактов традиционным способом есть вероятность появления ошибок поскольку лица, ответственные за заключение контракта, могут пропустить какое-либо условие. Более того, невозможно понять, что какое условие пропущено, пока не возникнет соответствующая ситуация. В случае со смарт-контрактом любое условие, которое не учтено в договоре, может привести к ошибке в программе на этапе тестирования, поэтому при создании интеллектуальных договоров все условия всегда указываются в явном виде. Акцептируют этот программный код все стороны участвующие в соглашении, что исключает возможность возникновения спора и проблем на более поздних этапах, поскольку условия тщательно проверяются и применяются только тогда, когда все участники согласны с ними. Потребность в изначальной детализации и алгоритмизации контрактов делает всю информацию по контракту прозрачной для всех участников, что снимает все вопросы, которые могли бы быть связаны с проблемой недопонимания;

– эффективность. Начало любого процесса связанного с документацией обычно занимает не менее одного-двух дней. Задержка в процессах происходит из-за большого числа посредников и избыточных рутинных этапов. В свою очередь, смарт-контракты представляют собой программный код, исполняемый в интернете, поэтому скорость реализации транзакций смарт-контрактов предельно высока. Смарт-контракты могут сэкономить часы или даже дни по сравнению с любым традиционным бизнес-процессом. В числе прочих низкоэффективных действий присущих традиционным контрактом – задержка, вызываемая человеческим участием, что при возможности всегда исключается в смарт-контрактах;

– надежность. Данные, введенные в блокчейн, создаваемый смарт-контрактом, не могут быть изменены или удалены. Если одна сторона не выполнит свои обязательства, другая будет защищена условиями смарт-контракта. Автоматизированные транзакции также не допускают возможности человеческой ошибки и обеспечивают точность при обоюдном выполнении обязательств по контракту;

– автономность. Интеллектуальные контракты выполняются автоматически на базе ресурсов участников блокчейн в интернете, что устраняет необходимость привлечения третьей стороны для развертывания инфраструктуры интеллектуальных контрактов и связанные с этим риски;

– безбумажная технология. Интеллектуальные контракты являются электронными документами с криптографической защитой, поэтому бумага ни в одном из процессов не используется. Это снижает расходы на бумагу и печать, повышает скорость обмена документами и, кроме того, оптимально с точки зрения экологии;

– экономичность. Применение умных контрактов вместо традиционных соглашений приводит к значительной экономии. Прежде всего в силу участия в смарт-контрактах только тех сторон, которые выступают участниками соглашения. Адвокаты, свидетели и посредники не играют роли при использовании умных контрактов. Смарт-контракты дают экономию на многих операционных расходах и ресурсах, в том числе на труде персонала, необходимого для мониторинга наступления условий контракта и контроля выполнения обязательств.

Умные контракты также имеют ряд потенциальных недостатков:

– отсутствие международных нормативных правовых актов, регулирующих блокчейн, криптовалюты и умные контракты, что затрудняет мониторинг этих технологий в глобальной экономике;

– сложность в реализации;

– невозможность изменения – стороны не могут вносить никакие поправки в соглашение об умном договоре или включать в него новые детали без разработки нового договора.


Применение смарт-контрактов.

Страхование. Если управление страхованием не автоматизировано, обработка претензий может занять много времени, что становится проблемой для клиентов и страховых компаний. Для клиентов это превращается в замораживание денежных средств на период разбирательства. Для компаний негативными эффектами становятся нежелательные административные расходы, недовольство клиентов и общая неэффективность бизнеса. Использование смарт-контрактов в таких процессах может привести к упрощению и оптимизации процессов за счет автоматического запуска платежа по требованию при выполнении определенных условий в соответствии с соглашением клиента и компании. Например, в случае причинения ущерба в результате стихийного бедствия умные контракты будут выполнены своевременно, люди смогут получать свои страховые вознаграждения и использовать их непосредственно после страхового случая в тот самый момент, когда финансовая поддержка особенно важна. Любые конкретные данные, такие как размер убытков из-за повреждения, могут храниться в блокчейне, и размер компенсации определится автоматически заранее заданным образом.

Смарт-контракты и интернет вещей (IoT). Технологии IoT используются для подключения повседневных устройств к интернету, чтобы улучшить взаимосвязь различных систем посредством датчиков IoT. Эти датчики могут быть подключены к системе блокчейн для отслеживания движения товаров и продуктов в процессе производства и доставки. Например, пользователи при совершении покупок в интернете зачастую формируют неправильный заказ, и поставщик отправляет им его и вынужден ждать возврата ошибочно заказанного товара. Посредством блокчейна и IoT товар и его местоположение можно отслеживать на каждом этапе пути, включая этапы складирования, транспортировки и доставки. За счет этого поставщик может вернуть товар с транзитного склада и выслать корректный заказ.

Полностью автоматизированная система обеспечивает доставку нужного продукта конкретному получателю, а поставщику позволяет более гибко управлять доставкой за счет того, что датчики, задействованные в системе, создают свои собственные записи в блокчейне, а при помощи умных контрактов можно отслеживать местонахождение соответствующего продукта. Интеллектуальный контракт постоянно обновляет статус местоположения товара, пока он не будет доставлен или возвращен.


Ипотечные кредиты. Ипотечные соглашения являются сложными так как в них включено много деталей: доход залогодержателя в зависимости от кредитного рейтинга, стоимости залога и др. Чтобы заключить ипотечный контракт, крайне важно провести проверку всех сведений о заемщике и объекте недвижимости. Этот процесс зачастую реализуется посредниками при участии третьих сторон, что делает его длительным и затратным как для кредитора, так и для получателя кредита.

Умные контракты выгодны по нескольким причинам. Наиболее важной из них является отказ от услуг посредников с целью избежать длительный процесс согласования процесса и путаницы, вызываемой человеческим фактором. Кроме того, все сведения по контракту могут храниться в одном месте, которое всегда доступно обеим сторонам.


Трудовые договоры. Если одна из сторон, работодатель или работник, не соответствует оговоренным ожиданиям, условия соглашения могут быть изменены в одностороннем порядке. Это приводит к недоверию, которое разрешается умными контрактами. Используя один умный договор для обеих сторон, можно четко определить положения, которые обеспечат справедливость трудовых взаимоотношений: сумму заработной платы, должностные обязанности и т. д. После того как эти транзакции записаны в смарт-контрактах, их можно использовать в разбирательствах в случае конфликтов и недопониманий.

Умные контракты также целесообразно использовать для начисления и выплаты заработной платы, чтобы сотрудник получал согласованную сумму в течение определенного времени.


Защита контента, защищенного авторским правом. В современном цифровом мире контент не ограничивается только текстами, он также представлен в виде аудио– или видеопроизведений. Если часть контента выпущена на коммерческой основе, его владелец должен получить гонорар. Ситуация усложняется, когда в процессе создания произведения участвуют несколько сторон, несущих ответственность за платежи или роялти. Интеллектуальный контракт может решить эту проблему, гарантируя каждому участнику контракта гонорары благодаря записи авторских прав на контент.


Логистика. Управление цепочкой поставок включает в себя отслеживание потока товаров и продуктов от начального этапа до конечного. Будучи важной частью процесса во многих отраслях, правильное функционирование цепочки поставок имеет решающее значение для бизнеса. Управление цепочкой поставок – работа очень большого числа людей и организаций. В то время как товары передаются по цепочке поставки интеллектуальные контракты регистрируют статус перемещения и изменения ответственности или прав собственности. Каждый участник логистического процесса может отслеживать местонахождение продукта в любой момент.

Местонахождение товара можно проверять на каждом этапе в течение всего процесса доставки, пока он не поступит к конечному потребителю. Если товар был потерян в процессе доставки, умные контракты позволяют определить последнее известное место складирования. Кроме того, если один из участников не выполнит условия контракта, это станет известным всем пользователям системы.

Умные контракты для многих отраслей промышленности имеют определенные преимущества перед другими технологиями: снижение накладных расходов, обеспечение прозрачности и экономия времени. Хотя они более надежны, безопасны, эффективны и заслуживают большего доверия по сравнению с бумажными контрактами, необходимо заботиться о том, чтобы избежать рисков повреждения кода смарт-контракта. По мере того, как компании развиваются и цифровизуют бизнес-процессы оценка рисков превращается в неотъемлемую часть их деятельности.


Проблематика безопасности блокчейн. В связи с широким распространением технологий блокчейна и повышением стоимости активов управляемых системами распределенного реестра, злоумышленники массово используют разнообразные методики атак реализующие уязвимости систем, основанных на технологии блокчейн. Атаки выполняются в целях перехвата управления активами пользователей, их кражи, причинения вреда деятельности компаний и государств, для хищения финансовых средств, подлога при исполнении контрактных обязательств, разрушения бизнес-процессов, основанных на блокчейн. В случае успеха такого рода действия приводят жертв атак к существенным убыткам.

Поскольку Блокчейн функционирует как децентрализованная база данных, т. е. не имеющая центрального хранилища и управляемая компьютерами, принадлежащими сети с равными полномочиями каждого участника (одноранговой), каждый из компьютеров в сети поддерживает копию регистра, чтобы предотвратить его потерю, а все копии обновляются и проверяются одновременно. Иными словами, регистр транзакций хранится одновременно у всех его пользователей, а защита его обеспечивается шифрованием и сертификатами электронной подписи. У данного регистра нет управляющего центра и администратора, наделенного полномочиями, превосходящими полномочия пользователей. Такая технология имеет ряд уязвимостей.


Уязвимости и атаки на блокчейн. В большинстве случаев самыми легкими объектами атак являются пользователи блокчейна. В первую очередь из-за менталитета предприятий малого бизнеса, стартапов в которых безопасность отодвигается на задний план. Еще одно направление атак – атаки на основе модификации широко распространенных блокчейн-систем, например, на базе Bitcoin и Ethereum уязвимости которых широко известны.

Можно выделить следующие виды атак на системы, в которых задействованы технологии блокчейна: а) атаки, связанные с уязвимостью технологий; б) атаки по словарю; в) фишинг; г) cryptojacking; д) атаки троянцами; е) атаки из-за уязвимости реализации; ж) атаки на владельцев криптокошельков.


Атаки, связанные с уязвимостью технологий блокчейна. Данные технологии устроены таким образом, что пользователь может посмотреть последние блоки записей в реестре и их «родительские» блоки чтобы узнать о состоянии транзакции. В случае с криптовалютами пользователь может проследить каждую транзакцию каждого участника перевода криптовалюты. Проверка транзакций жизненно важна для блокчейна. Каждый узел (пользователь) должен иметь возможность индивидуально проверить точность и валидность каждой цепочки блоков.

Для того чтобы быть уверенным и в том, что цепочка не была изменена, разработаны технологии объединения блоков, являющиеся ключевым элементом блокчейна. Благодаря функции хеширования в компактном виде выдается критерий неизменности блока записей, новый блок встраивает в себя информацию о целостности (неизменности) своих родителей (предыдущих блоков). Если информация от родительского элемента изменится, то значение функции хеширования тоже изменится, и подлог в родительских блоках будет обнаружен. Кроме того, при создании каждого блока необходимо предоставлять специальное подтверждение транзакции. Это подтверждение, в частности, показывает, что некоторый ресурс был потрачен на формирование блока.

Создание каждого блока называется майнинг. Подтверждения, требуемые для доказательства факта майнинга в каждой реализации блокчейна свои. Наиболее распространенным является доказательство выполнения работы (Proof-of-Work) т. е. алгоритм, который требует осуществления всех этапов решения задачи создания блока. Proof-of-Work – это алгоритм достижения консенсуса в блокчейне. При помощи такого консенсуса майнеры конкурируют друг с другом за завершение транзакций в сети за вознаграждение. Пользователи сети отправляют друг другу цифровые токены, после чего все транзакции собираются в блоки и записываются в распределенный реестр, блокчейн. Работа блокчейн-сети основана на решении ресурсоемких математических задач и возможности легко доказать, что решение было получено. Подтверждение наличия правильного решения задачи показывает, что все шаги были выполнены, например, с использованием ресурсов процессора.

Поскольку каждый блок требует ресурсоемкой работы по валидации, а последующие блоки связаны один с другим, можно достоверно подтвердить, что самая длинная цепочка требовала наибольшей работы и является наиболее надежной. Злоумышленнику потребуется огромное количество ресурсов, чтобы создать более длинную цепочку и атаковать популярные (длинные) цепочки записей. Объединение проверок целостности с реализацией функций хеширования внутри блоков, а также доказательство работы позволяют целым сетям доверять записям в распределенных реестрах.

Слабая сторона технологии Proof-of-Work заключается в том, что эта технология основана на предположении, что технологические операции блокчейна гарантированно распределены. В частности, ни одна организация или совместная группа не может представлять собой более чем 50 % участников сети одновременно. Нарушение этого правила дает возможность проводить атаку большинства: если доля ресурсов злоумышленников более 50 % они могут обрабатывать блоки быстрее, чем все остальные участники, создавая свои собственные цепочки исключительно по своему пожеланию. Эта возможность помогает реализовывать такие операции, как осуществление двойных расходов, когда одну и ту же монету можно потратить несколько раз или исказить получателя криптомонеты, замкнув операцию перевода на себя.

Атака большинства против платформы биткойн до сих пор не была успешной благодаря большому количеству пользователей этой платформы. Однако в отношении менее популярной валюты Verge и других криптовалют удавалось проводить и успешные атаки. Криптовалюты, привлекшие малое число участников, подвергаются серьезной опасности. Этот риск крайне актуален для систем блокчейна, разработанных в рамках отдельной компании. Многие организации изучают технологии блокчейна для реализации смарт-контрактов, управления товарными запасами и другими активами. Однако, если база данных или скорость выполнения криптографических функций корпоративных сетей недостаточно велика злоумышленник может использовать облачные технологии, бот-сети или пулы собственных ресурсов для атак на систему.

Еще одна уязвимость заключается в том, что большая часть узлов участников блокчейна является доверенными. В ситуации, когда пользователь не способен соединиться ни с одним доверенным узлом повышается вероятность реализации атаки Sybil, при которой злоумышленник заставляет жертву общаться только с вредоносными узлами. Злоумышленник может контролировать то, к какой информации, включая сам реестр блокчейна, может получить доступ жертва и полностью управлять записями жертвы в реестр. Для атаки Sybil особенно уязвимы небольшие корпоративные сети.

Еще одной уязвимостью является возможность появления коллизий (дублирования) значений хеш-функций. Значения хеш-функций используются для подтверждения прав на владение кошельком. Биткойн, например, использует 256-битную длину для идентификации владельца кошелька. Каждый ключ соответствует общему адресу на который другие могут отправлять средства. До тех пор, пока владелец имеет уникальный доступ к ключу никто не может отправлять транзакции из этого кошелька. В случае коллизии значения хеш-функций право собственности на кошельки и фонды будет трудно доказать, потому что с точки зрения сети обе стороны будут иметь одинаковые права. Стоит отметить, что такие коллизии крайне редки.


Атаки по словарю. Такие атаки известны уже несколько десятилетий. Как правило, они заключаются в подборе пароля жертвы. Когда пользователь создает пароль для сетевой учетной записи поставщик услуг не должен хранить пароль в виде простого текста. Вместо этого он должен взять его видоизмененный криптографический хеш пароля и сохранить его значение. Например, если пользователь в качестве пароля возьмет само слово «пароль», сервер может сохранить запись 5baa61e4c9b93f3f068 2250b6cf8331b7ee68fd8, которая является хешем SHA-1 слова «пароль». Хотя в большинстве случаев трудно восстановить исходное слово, зная его хеш, но если злоумышленники увидят хеш-значение «пароль» и хеш-значение «пароль1», то «пароль1» они все-таки смогут преобразовать в исходный текст.

Для прямого взлома это преобразование должно быть повторено миллиарды раз в отношении каждого мыслимого пароля. Единственным ограничением является время, но злоумышленники могут сосредоточиться на общеупотребимых паролях. Коллекция хеш-значений в сочетании с открытым текстом пароля называется радужной таблицей. Преобразование криптографического хеша в пароль в виде открытого текста называется «атакой радужной таблицы». Модифицированная атака радужной таблицы возможна против блокчейна, в частности биткойнов и связанных криптовалют. В биткойнах адрес представляет открытый интерфейс. Пользователи переводят монеты по этому адресу. Когда они платят кому-то монетами, транзакция происходит с этого адреса. Для того чтобы убедиться, что пользователи уполномочены инициировать транзакцию и тратить монеты с адреса они должны применять свои закрытые ключи. Такой ключ должен быть известен только владельцу и должен использовать алгоритм цифровой подписи биткойна на основе ключа пользователя. Если пользователи задействуют вместо ключа цифровой подписи из 64 произвольных символов обычные пароли, такие транзакции позволят злоумышленнику перехватить полный контроль над кошельком.


Фишинг. Мошенничество с фишингом – самый известный тип атак на блокчейн-системы благодаря их успешности и массовости применения. Рассмотрим атаку на примере криптовалюты Iota. В результате фишинг-атаки жертвы потеряли 4 млн долл. Эта атака подготавливалась несколько месяцев: злоумышленник зарегистрировал интернет-адрес <iotaseed.Io> и запустил бесплатный сервис генерации надежных seed-фраз (кодовая фраза, при помощи которой пользователь может восстановить доступ к своему кошельку с криптовалютой) для кошелька Iota. Для повышенной безопасности фраза должна была быть сложной в подборе, поэтому такой генератор пользовался успехом. Сервис генерации активно рекламировался, служба стабильно работала, помогала жертвам успешно заводить и использовать свои криптокошельки, создавая ложное чувство безопасности и доверия. В течение длительного времени злоумышленник поддерживал сервис, собирал данные о жертвах и только через шесть месяцев провел атаку. Воспользовавшись ранее украденной информацией, злоумышленник перечислил все средства из кошельков жертв на свои полностью анонимные кошельки.

Другой подход, основанный на изначально криминальном характере операции, был применен при атаке Tor-in-the-middle. К сети Tor обычно обращаются, чтобы скрыть местоположение пользователя от отслеживания третьими лицами. Многие посредством Tor создают скрытые сервисы, при помощи которых потребители могут покупать и продавать товары. Это делается либо для уклонения от налогов, либо в случае продажи товаров торговля которыми незаконна. Криптовалюты для таких сервисов – предпочтительная или единственная форма оплаты.

Эти сервисы также являются местом, где авторы вирусов шифровальщиков-вымогателей получают выкуп за зашифрованные файлы жертвы. Однако даже если жертва намерена уплатить выкуп и начинает использовать прокси-домены Tor, которые она нашла через поисковые системы или на которые вымогатели ссылались в своих инструкциях, в некоторых случаях ее средства в результате атаки могут быть перенаправлены на другой кошелек криптовалюты. В итоге злоумышленник-вымогатель не получает выкупа, а жертва либо теряет файлы, либо вынуждена повторно платить выкуп.

Одна из известных атак такого рода произошла в 2018 г., когда была обнаружена прокси-служба Tor, заменившая адреса биткойнов, связанных с вымогателями и адресами, находящимися под ее контролем. Специалисты в области безопасности выяснили, что операторы вредоносных прокси проверяли трафик и сайты в Tor на наличие признаков реквизитов кошелька биткойнов. Когда признаки находились, киберворы заменяли адрес адресом собственного кошелька.


Cryptojacking. Это метод перехвата управления вычислительными ресурсами в целях выполнения криптографических функций майнинга криптовалют. До 2016 г. одним из основных способов майнинга криптовалюты были его недобросовестные методы. Однако взрывной рост скрытого майнинга пришелся на конец 2017 – начало 2018 г. Новые майнеры появились за счет изменения апробированных вредоносных программ под задачи майнинга. Семейство вредоносного ПО фактически удвоилось за счет включения в него дополнительной функциональности. Так, вирус Black Ruby не только шифровал файлы пользователей и вымогал эквивалент 650 долл. в биткойнах, но и запускал майнинг на зараженном компьютере в пользу своего автора. Вредоносное ПО было модифицировано для осуществления перехвата управления программой XMRig Monero – популярным ПО для майнинга с открытым исходным кодом. Другая крупномасштабная майнинговая бот-сеть, обнаруженная в январе 2018 г., также использовала XMRig.

Подобные инструменты с открытым исходным кодом отчасти способствовали резкому увеличению количества вредоносных программ. Вредоносное ПО нацелено в первую очередь на перехват управления персональными компьютерами, но и другие устройства также могут стать целью атаки. Например, в Китае телефоны Android послужили для добычи монеты Monero. Вирус ADB.Miner использовал метод заражения вирусом класса «сетевые черви». На зараженных устройствах также были запущены майнеры типа XMRig. Поисковик shodan.io, который автоматически сканирует порты, а фактически выявляет уязвимости подключенных к сети устройств, предоставил статистику о более чем 1 млн устройств, работающих с открытым портом 5555, что делает их уязвимыми для атак ADB.Miner.

Еще один майнер такого же типа – XMRig.ADB.Miner – был обнаружен в результате повторного использования кода ботнета Mirai. Этот майнер появился в середине 2016 г. и был использован при множестве глобальных атак. По состоянию на февраль 2018 г. вредоносное ПО заразило около 7000 устройств в основном расположенных в Китае и Корее.

Еще один вид Cryptojacking – Cryptojacking посредством интернет-браузера. Компании, профессионально занимающиеся криптовалютами, в результате эксперимента с валютой альткойн разработали подход к использованию вычислительных ресурсов ПК посредством установленного на нем браузере. Перехват управления ресурсами осуществляется путем загрузки в браузер жертвы исполняемых кодов. Было, например, установлено, что расширение Archive Poster для браузера Chrome добывает монеты Monero без согласия владельца браузера и, конечно, не в его интересах. Жертвы впервые узнали об этой проблеме, когда некоторые пользователи расширения начали жаловаться на высокую загрузку процессора. К тому времени более 100 тыс. человек скачали майнер в составе программы, которая должна была помогать в ведении блога. Как минимум четыре версии приложения включали в себя криптографический код JavaScript от Coinhive, который легко встраивает и запускает майнинг на стороне браузера.

Не все формы Cryptojacking можно назвать полностью нелегальными – такого рода перехват управления принято относить к «серой» зоне взаимоотношений. Многие организации внедряют код для майнинга Coinhive и другие коды-майнеры в целях монетизации своих сайтов за счет вычислительных ресурсов устройств своих посетителей. Если пользователи согласны, то майнинг такого рода формально не считается вредоносным, хотя по этическим соображениям такой формат оплаты является нежелательным. Такой подход однозначно переходит в «черную» зону, когда владельцы сайтов и вовсе не раскрывают того, что они внедряют код для майнинга. В последствии посетители оказываются в замешательстве, сталкиваясь с фактом резкого снижения производительности своего браузера и компьютера.

Следует также отметить, что добавить код для майнинга может не только владелец веб-сайта. Например, благодаря уязвимости безопасности платформы популярного сайта по обмену видео YouTube злоумышленники смогли внедрить криптографический код для майнинга биткойнов и Ethereum в рекламные объявления (YouTube быстро удалил злонамеренных рекламодателей из своей сети и заблокировал майнинг-рекламу).

Доля в майнинговых системах ресурсов использованных посредством Coinhive в пике превышала 62 %. В определенный момент разработчики Coinhive приняли решение прекратить работу их сервиса. Решение было основано на падении стоимости криптовалют и факте того, что это приложение часто применялось злоумышленниками для добычи криптовалюты без разрешения пользователей, из-за чего оно полностью блокировалось средствами безопасности. Следует учитывать, что ничто не мешает другим разработчикам разворачивать деятельность аналогичных сервисов.


Атаки троянцами. В некоторых случаях атаки на вычислительные ресурсы являются целевыми т. е. направленными на конкретные группы пользователей, что делает их более эффективными. Например, один майнер был нацелен на любителей компьютерных игр (геймеров), посещающих определенный российский форум. Его вредоносное ПО маскировалось под модификации популярных игр. В результате установки такой модификации на свои компьютеры геймеры загружали и вредоносные программы и их компьютерные ресурсы служили для получения прибыли пресловутым майнером.

Чтобы скрыть использование чужих ресурсов и не вызвать подозрений, майнер настроил систему наблюдения за диспетчерами производительности. Если вирус определял, что открывается диспетчер, он останавливал майнинг. Более того, предполагаемый автор этого троянского ПО размещал свои вредоносные программы на нескольких российских форумах, не заботясь о сохранении анонимности.


Атаки на уязвимости реализации. Еще одним видом угроз являются атаки на реализацию самого блокчейна и его вспомогательные инструменты. Следует отметить: чем ближе к технологическому ядру блокчейна и чем глубже уровень реализации на который направлена атака, тем сложнее добиться ее успеха. Как правило, атаки, в которых используются уязвимости реализации, осуществляются вредоносными программами аналогичными эксплойтам традиционного ПО и веб-приложений.

В Wiki Bitcoin для официального инструментария Bitcoin ведется реестр угроз и уязвимостей. До исправления эти уязвимости привели, в частности, к успешным атакам типа «отказ в обслуживании», краже криптовалюты и раскрытию конфиденциальных данных. Поскольку ущерб от уязвимостей на уровне ядра может быть весьма значительным, разработчиками ведется регулярная работа по их обнаружению и исправлению посредством выпуска обновлений. Процесс создания и поддержки безопасного кода крайне труден. Резкое усиление популярности и взрывной рост технологий, в которых задействован блокчейн, усугубили проблему. Однако со временем в результате кропотливой работы с кодом обнаружение серьезных уязвимостей связанных с основными инструментами биткойна замедлилось, что дало использующим технологию чувство безопасности.


Страницы книги >> Предыдущая | 1 2 3 4 5 6 7 8 | Следующая
  • 0 Оценок: 0

Правообладателям!

Данное произведение размещено по согласованию с ООО "ЛитРес" (20% исходного текста). Если размещение книги нарушает чьи-либо права, то сообщите об этом.

Читателям!

Оплатили, но не знаете что делать дальше?


Популярные книги за неделю


Рекомендации