Интервью: Георгий Лагода

Интервью

17 апреля
17 апреля

Интервью

17 апреля

Интервью: Георгий Лагода

17 апреля

Эксперт рассказал о приёмах для улучшения безопасности пользователей интернета, криптокошельков и смарт-контрактов.

В рамках международной конференции «Блокчейн в государственных организациях» мы взяли интервью у эксперта в области безопасности Георгия Лагоды (office-moscow@sec-consult.com) – генерального директора SEC Consult Services. Он ответил на вопросы относительно уязвимостей смарт-контрактов, рассказал о возможных способах обезопасить себя в интернете, а также прокомментировал несколько нашумевших дел, связанных с соцсетями, мессенджерами и доступом к общественным сетям. Вопросы задавала София Бокитько.

Если вы не возражаете, я бы хотела начать с простого, прикладного вопроса: Какие, по вашему мнению, обязательные системы безопасности должны использовать операторы горячих криптовалютных кошельков?

На самом деле в данном случае нет какого-то универсального решения, нет «серебряной пули». Следует предполагать, что каждый проект каждого оператора горячих кошельков использует свой уникальный стек технологий: это могут быть и разные языки, и разные платформы. И самые разные горячие кошельки могут быть основаны на разных технологиях, на разных платформах – и в каждом случае нужно подбирать всё индивидуально. Естественно, стоит полагать, что для защиты горячих кошельков необходимо рассматривать безопасность всей системы в целом. Это предполагает наличие и безопасного кода, и средств обеспечения информационной безопасности. Допустим, таких средств как web-application firewall, как балансировщики, которые будут держать нагрузку при больших объёмах подключений и запросов от пользователей, и проводить регулярный аудит безопасности и проводить регулярную оценку соответствия безопасности всех узлов инфраструктуры.

Скажите, что вы думаете про безопасность смарт-контрактов? Есть ли шанс, что хакеры могут поменять заложенную в смарт-контракт структуры, что приведёт к сбою всей системы?

По поводу безопасности смарт-контрактов: естественно, необходимо проверять качество кода, который делают разработчики. В смарт-контрактах могут присутствовать типичные для них уязвимости, связанные с языком, на котором [они] разрабатываются – в частности, Solidity. Кроме того, необходимо проверять уязвимости бизнес-логики в тех же смарт-контрактах.

А какие могут быть уязвимости бизнес-логики? Что встречается чаще всего?

Ну, например, сегодня я делал доклад по безопасности в блокчейн-проектах и рассказывал, в том числе, про типичную для смарт-контрактов уязвимость слабых генераторов случайных чисел. То есть, когда она возникает? Когда вместо генератора случайных чисел используются псевдослучайные функции с недостаточной энтропией. В данном случае злоумышленник может предугадать значение случайной величины и играть на опережение. Это может встречаться в, например, проектах, таких как крипто-лотерея, или крипто-казино, и в любых других проектах, которые основаны на выборе случайной величины. В смарт-контрактах встречаются уязвимости, связанные с переполнением сверху и переполнением снизу. Так называемые overflows и underflows. Чаще всего можно встретить случаи с переполнением снизу, то есть underflow. Это значит, что, когда у меня есть минимальное значение, и я вычитаю и ухожу в отрицательную величину, переменная принимает максимальное значение для своего типа (это характерно для беззнаковых численных типов). И это было продемонстрировано в ряде случаев – в интернете уже есть опубликованные статьи на эту тему.

А что касается возможности менять заложенную структуру в смарт-контракте?

Если говорить о заложенной структуре, сам код смарт-контракта, насколько мне известно, может изменять только его создатель (creator). Но, опять же: были случаи в интернете, когда разработчики делали определённые функции смарт-контрактов публичными, и их могли вызывать либо другие смарт-контракты, либо сторонние пользователи. Если у пользователя была возможность вызвать эту функцию, и задать там некое необходимое ему значение, последствия, в зависимости от назначения функции, могли быть непредсказуемыми.

Относительно в целом информационной безопасности: сейчас у всех на слуху эта история про Facebook, про утечку данных более 80 миллионов пользователей проблемы с шифрованием сейчас и у Telegram (но уже другие). Не могли бы вы прокомментировать ситуацию непосредственно с Facebook и можете рассказать о том, как обезопасить себя обычному пользователю?

Скажу так: в интернете нет какой-то стопроцентной гарантии безопасности. Существует мнение, что взломать можно всё, просто на это нужно время. Почему что-то остаётся ещё не взломанным и где-то не найдены уязвимости? Это связано с тем, что безопасность на этих площадках доведена до такого уровня, что время, которое у злоумышленника займёт поиск уязвимостей в продукте, делает сам процесс поиска экономически неэффективным.

Но если говорить про таких гигантов как Facebook, и в целом про большие социальные сети, понятно, что исследователи по безопасности проверяют и находят уязвимости в них постоянно. У Facebook есть своя открытая программа вознаграждений за обнаружение уязвимостей. Однако в данном случае обстоятельства сложились так, что злоумышленники нашли уязвимость быстрее.

А ситуация с Telegram? Здесь получается больше безопасности из-за шифрования на устройстве у пользователей, но получается меньше безопасности из-за того, что не получается отслеживать какие-то переговоры. Ваше мнение о ситуацией с Telegram, то, что его хотят блокировать или не хотят блокировать – вот эту ситуацию можете как-то прокомментировать [Примечание редактора: интервью записывалось 12 апреля, когда ещё не было вынесено решение суда о блокировке]?

Ситуация с Telegram носит достаточно двоякий характер. С одной стороны, предоставление ключей шифрования регулирующим органами и силовым структурам является обязательным требованием в нашем государстве в целях противодействия террористическим угрозам и идентификации злоумышленников любого рода. Не возьмусь судить, могут ли сами сотрудники Telegram использовать ключи шифрования в целях компрометации переписки конечных пользователей, или нет. Но если мы хотим говорить о максимальном уровне безопасности, то я бы рекомендовал использовать не Telegram, а мессенджер, исходный код и исполняемые модули которого можно размещать на своих серверах, полностью контролировать переписку и полностью контролировать обмен ключами. Естественно, надо иметь в виду, что, когда пользователи обмениваются ключами для шифрования для своей безопасной переписки, важную роль играет канал, по которому происходит этот обмен. Наиболее безопасным считается оффлайн-канал. Так, например, ключ для шифрования можно поместить в QR-код и просто подойти к другому пользователю и дать его считать. Если мы говорим о передаче ключа для шифрования по сетевым каналам в сети интернет или по каким-то радио-каналам, посредством Bluetooth и так далее, или даже через инфракрасные порты (как это было ещё в недалёком прошлом), то данные способы передачи информации являются несовершенными и небезопасными в большинстве случаев.

Такие мессенджеры, которые на собственном сервере располагаются – я думаю, их ключи безопасности точно так же придётся отдавать ФСБ?

Это не совсем так. Потому что речь о передаче ключей шифрования в правоохранительные структуры идёт в том случае, когда данный мессенджер, данное средство связи, предоставляется массовому сектору и размещается на рынке. Если мы говорим о программах для передачи данных между пользователями в частном секторе, то никто не ограничивает Алису и Боба создать своей мессенджер и использовать его в своих целях по назначению.

Из последних событий. В пятницу была большая атака на оборудование Cisco. Можете как-то прокомментировать? Была информация, что хакеры оставляли записи «не вмешивайтесь в наши выборы». Вы не знакомы близко с ситуацией?

Давать какие-то комментарии по поводу атак на оборудования Cisco достаточно сложно. Причины или последствия в целом понятны. Непосредственно перед атаками появилась публичная – или даже, возможно, какая-то уже закрытая уязвимость. Так как оборудование компании Cisco широко распространено не только в коммерческом, но и в частном и государственном секторах, то появление каких-то новых уязвимостей у оборудования на себя сразу же привлекает интерес большого количества злоумышленников различного рода, которые могут преследовать самые различные интересы.

И вопрос, тоже касающийся последних событий. Выяснилось, что большая дыра и уязвимость была в Wi-Fi системе в метро. И тут же вышла информация, что эту дыру будут закрывать. Можете ли вы прокомментировать эту ситуацию?

Комментарий здесь только такой. Когда мы подключаемся к любым общественным сетям, мы не знаем, кто эту сеть контролирует, как она внутри защищена и насколько мы можем быть защищены от так называемых атак на втором уровне. При данных атаках злоумышленник может вставать посредине, например, между Wi-Fi роутером, то есть шлюзом в интернет, и пользователем; перехватывать, и, в конкретных случаях, расшифровывать его трафик, тем самым компрометируя конфиденциальную информацию, передаваемую от пользователя либо в сеть интернет, либо другому пользователю напрямую. Я бы рекомендовал в данном случае использовать VPN-решения, VPN-клиенты от доверенных поставщиков, чтобы шифровать весь трафик между конечным пользователем и сетью интернет. Во многих случаях это существенно усложняет атаки и может помочь сохранить конфиденциальность внутри сети.

А с точки зрения организации, как вы считаете, подобная допущенная утечка о чём говорит в целом?

Она может говорить о том, в том числе, что необходимо регулярно проверять сети на соответствие нормам безопасности; необходимо постоянно иметь актуальную информацию об уровне защищённости любых инфраструктурных решений, в том числе настолько распространённых, как общественные сети Wi-Fi. Необходимо постоянно проводить аудиты безопасности. Это в большинстве случаев помогает минимизировать риски и сделать атаки для злоумышленников экономически неэффективными.

Спасибо!

Войдите на сайт, чтобы оставить комментарий
0 комментариев
Популярные
Новые

Рассылка

Подписывайтесь на обновления и анонсы

18+
Москва, Берсеневская набережная 6/2
+7 (495) 118-41-48
2018 © Blockchain.ru, Сделано в Charmer
  • Дисклеймер
  • Пользовательское соглашение
  • Политика конфиденциальности

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera