Блог

30 Июля 2023 года в одиннадцатый раз открыла свои двери для слушателей Летняя Школа CTF – высококлассный интенсив по информационной безопасности от лучших в своём деле! В этом году среди слушателей и гостей были не только наши соотечественники, но и представители международного CTF-сообщества.

Топовые спикеры ведущих российских компаний выступили с более чем 30-ю докладами, донося до аудитории последние тренды и самую актуальную информацию из мира информационной безопасности. Не забыли организаторы и о смежных сферах, которые могли бы помочь ребятам на пути становления в качестве защитника информации. 

Полное погружение в тему, развитие уже имеющихся и овладение новыми навыками, активный отдых и практические задания, а также тренинги, мастер-классы, Хакатон, технические лабораторные и развлекательная программа – всё это ждало 77 слушателей одиннадцатой летней смены, 26 из которых попали на интенсив совершенно бесплатно, благодаря грантам от наших партнёров.

Мероприятие проводилось при поддержке НАМИБ, Минцифры России и Губернатора Московской области.

 

Первым делом! Формирование команд

Открыл неделю командный этап хак-квеста, который представляет собой не только отличную возможность впервые проявить себя, но и познакомиться с другими слушателями ЛШ, выполняя общие задачи.

Первая часть квеста была больше нацелена именно на знакомство ребят друг с другом: участникам предлагались простые задания, основной целью которых являлась работа в команде, сплочение коллектива и знакомство с территорией (пройтись вместе по натянутой веревке, передать информацию посредством пантомимы и т.д.)

На втором этапе ребятам уже было необходимо научиться ориентироваться на местности и при помощи мобильных устройств решать CTF-задачки, уровень сложности которых постепенно возрастал.

Таким образом, уже на самом старте участники могли понять свои сильные и слабые стороны, а организаторы, внимательно следившие за ходом мероприятия, в свою очередь, подсказать оптимальные пути решения возникших проблем.

Основываясь на достижениях, манере поведения и особенностях освоения этапов хак-квеста, а также по результатам прохождения тестирования, состоявшегося ещё до старта Летней Школы, были сформированы 11 команд, во главе которых были поставлены индивидуальные кураторы.

 

Практическая часть

Практическая часть Летней Школы CTF состояла из ежедневных задач, интенсивов, мастер классов и лабораторных работ, в число которых входили:

1) Таск дня – выдавались участникам ровно на 24 часа, по истечении отведённого времени сдать их было нельзя. Сами таски охватывали широкий спектр CTF-задач:

· OSINT;

· элементы Социальной Инженерии;

· креативные задачи;

· задачи на внимательность и так далее.

2) Умный Дом – ряд задач, при решении которых не было привычного флага, но происходили какие-либо физические действия - отключение света/системы вентиляции, включение электрической дуги или насоса для перекачки жидкости, открытие электронного замка и т.п.

3) 36-часовой Хакатон для всех команд – в этом году в качестве задания участникам было предложено «доработать» действующего бота ЛШ или предложить новые интересные задумки для него. Сложность была в том, что сперва было необходимо разобраться в действующем коде, а уже потом делать свою прослойку.

4) AntiCTF – разработка собственных заданий в формате CTF и последующая четырёхчасовая игра среди команд.

5) LastCTF – AntiCTF от участников прошлой ЛШ.

6) Проведение лабораторных работ по Attack-Defence. 

7) Лабораторная работа по сетевому администрированию VSFI.

8) Тематическое задание «Танк» – участникам необходимо было разобраться с действующей конфигурацией танка и написать собственную прошивку, а также сделать электронную подпись к ней, залить всё в предоставленный гитлаб и успешно пройти CI/CD проверки.

9) Классический FlappyBird, но в усложненной конструкции - в этом году требовалось быстро и точно нажимать определенные клавиши, чтобы птичка летела. 

10) Мастер-класс по Security Operation Center (SOC) – расследование реального инцидента и восстановление событий по цепочке логов.

11) WAF ByPass – задача на обход фильтров WAF по разным векторам.

12) Дополнительные таски по различным категориям - криптография, веб-уязвимости, ppc.

13) Отдельное новшество этой ЛШ - новое командное задание на распайку различных конструкций. В зависимости от уровня сложности (робот, светодиодный куб, металлодетектор и т.д.) команде выдавался набор для самостоятельной сборки (DIY) определенного типа. Задачей было полностью распаять данную конструкцию и продемонстрировать ее работоспособность. 

14) Задание на построение модели системы защиты облачного сервиса - задача от нашего партнера Координационного Центра РФ. 

За решение практических заданий участники получали баллы в два зачета: командный и индивидуальный. На закрытии Летней школы те, кто набрал наибольшее количество баллов, получили подарки от наших партнеров.

 

Победители:

 

Личный зачет 1 место - Световой Владислав

Личный зачет 2 место - Пахомов Глеб

Личный зачет 3 место - Черкасов Евгений

 

Командный зачет 1 место – Slammer

Командный зачет 2 место – Nimbda

Командный зачет 3 место - Enigma

 

Спикеры, лекции, семинары 

Каждый год мы стремимся дать слушателям Летней Школы самую полную и актуальную информацию по всем направлениям, для чего приглашаем топовых экспертов отрасли, готовых поделиться с новым поколением безопасников бесценным опытом становления и активной работы в сфере информационной безопасности. 

Мастер-класс «Коммуникация» (Татьяна Ширяева, Виктор Минин) и тренинг по профайлингу от Даниила Лобанова помогли ребятам лучше понять алгоритмы работы в команде, прокачать коммуникационные и социальные навыки, необходимые для создания любой успешной команды. Ведь CTF – это в первую очередь коллектив, общение и решение конфликтов в котором являются залогом долгой и продуктивной работы. 

Буквально за неделю до старта Летней Школы с Северного Полюса вернулся наш бессменный спикер, «любимый разведчик Кремля» и ведущий эксперт по конкурентной разведке Андрей Масалович, известный также под псевдонимом КиберДед.

В свои 62 года Андрей Игоревич способен зарядить энергией небольшую электростанцию, является гвоздём программы крупнейшей российской конференции Positive Hack Days и, несмотря на санкции, наложенные на него в этом году, за «продажу инструмента для слежки на базе больших данных», обретает всё большую популярность в среде как совсем юных, так и опытных безопасников, чему, помимо прочего, способствовал и выход книги «Кибердед знает».

Разработанная им система интернет-разведки Avalanche, ставшая предметом яростных дебатов в сети не только в России, но и далеко за её пределами, уже более 10 лет успешно справляется с поставленными задачами.

Слушателям Летней Школы посчастливилось из первых уст получить информацию о том, как извлекать информацию из больших баз данных и гаджетов, из невидимого интернета и интернета вещей. Такой навык становится особенно полезным в турбулентные времена. Сегодня OSINT (Open Source INTelligence - разведка по открытым источникам) это не просто сбор информации о конкретных объектах интереса, а инструмент выживания и процветания.

В докладе рассматривались более двадцати новых приемов и инструментов интернет-разведки. Приятным бонусом стала подаренная всем участникам интенсива книга Андрея Игоревича с персональным автографом. 

Пообщался со слушателями Летней Школы и Мустафин Ильназ – руководитель направления безопасной разработки компании Киберпротект, начавший свой путь в IT более 10 лет назад с Service Desk. Ильназ представил доклад на тему «Безопасный код: вселенная без "черных дыр"», в котором рассказал о:

- принципах secure by design;

- безопасном коде и том, каким тот должен быть;

- как выстроить процесс SSDLC (Безопасная разработка);

- для чего нужны DevSecOps в SSDLC;

- поиски "черных дыр", перед релизом.

Отдельно хотелось бы отметить, что компания Киберпротект выступила спонсором гранта, благодаря чему на безвозмездной основе на ЛШ2023 смог попасть ещё один одарённый участник!

Уже который год подряд мы были рады приветствовать в стенах Летней Школы Дмитрия Склярова - ведущего аналитика Positive Technologies, руководителя отдела исследования приложений, доцента кафедры информационной безопасности МГТУ и автора книги «Искусство защиты и взлома информации». Дмитрий занимается анализом двоичного кода, недокументированных протоколов и структур данных.

Участники интенсива с большим интересом прослушали доклад эксперта «Я реверсер, я так вижу!», в рамках которого эксперт поделился своим опытом и взглядами на причины проблем с кодом и процессы, которые эти проблемы призваны ликвидировать.

Организаторы сердечно благодарят всех спикеров, выкроивших в своём рабочем графике время, чтобы посетить Летнюю Школу CTF и пообщаться со слушателями интенсива! Каждому хочется выразить слова благодарности, каждого отметить. Именно благодаря вам растёт новое поколение заинтересованных, мотивированных безопасников, способных обеспечить достойную защиту данных, и по-настоящему увлечённых своим делом специалистов!

 

Особые гости

Летнюю Школу CTF 2023 посетили и особые гости. И первым делом мы бы хотели рассказать о выдающейся личности, полковнике в отставке, разведчице-нелегале Людмиле Ивановне Нуйкиной!

Вместе с мужем она до 1986 года работала в более чем 18 странах мира. Успешно решала большой комплекс стоящих перед разведкой задач. Разведчики-нелегалы трудились в государствах с жестким административно-полицейским режимом в условиях, сопряженных с риском для жизни. Мужественно преодолевали все трудности.

Активная оперативная деятельность супругов была нацелена на добывание сведений экономического, военно-политического и научно- технического характера, а также на ведение поисковой работы среди представляющего интерес вербовочного контингента. Людмила Ивановна лично участвовала в обеспечении и успешном проведении ряда ответственных оперативных мероприятий. 

Рады сообщить, что совсем скоро выйдет видеоинтервью с участием этого знакового для нашей разведки человека, которое будет опубликовано в ВК-группе Летней Школы CTF!

Прекрасной возможностью больше узнать об истории CTF, услышать о взлётах и падениях региональных соревнований и в целом проникнуться атмосферой нашего CTF-комьюнити воспользовались преподаватели самых разных вузов:

· ТюмГУ

· СурГУ

· ИТМО 

· Кубанский институт информзащиты 

· ПГУТИ

· КИП ФИН

· ННГУ

· Университет МВД им. Кикотя В.Я.

· МЦК-КТИТС

· МУИТ (Казахстан)

Помимо прочего, для уважаемых гостей были проведены отдельные семинары, способствовавшие лучшему пониманию организационных вопросов, связанных с проведением и подготовкой к CTF-соревнованиям. Более опытные коллеги поделились своими наработками относительно того, как встроить обучение и тренировки в образовательный процесс, чтобы не перегрузить учебный план. Говорили о трудностях, с которыми могут столкнуться организаторы и преподаватели и о том, как с ними лучше справляться.

Посетили наш интенсив и гости из Казахстана и Монголии. Ребята всё активнее проявляют себя в CTF-комьюнити и с большим азартом относятся к стоящим перед ними задачам по развитию CTF-движения в своих регионах. В рамках проведения VIКубка CTFРоссии мы уже встречались с талантливыми участниками из казахской команды SCIMUS_VERUM и очень рады были приветствовать новых, искренне заинтересованных темой ИБ ребят на Летней Школе 2023. Делиться опытом с людьми, увлечёнными нашим общим делом – настоящий подарок!

Искренне надеемся, что столь конструктивное общение и обмен опытом посодействуют еще более стремительному развитию CTF-движения как в России, так и за её пределами.

Отдельно хотелось бы отметить выступление исполнительного директора Всероссийского общественного движения наставников детей и молодежи «Наставники России», ведущего аналитика Центра развития и воспитания личности ФГБУ Российской академии образования Андрея Самотоина. В рамках диалога с аудиторией Андрей Николаевич говорил о важности ближайшего окружения любого человека, особенно только начинающего свой путь становления и личностного роста.

Также на гостевой основе присутствовали и ребята, только начинающие интересоваться темой ИБ. Впечатлённые той атмосферой и пользой, которыми пропитан наш интенсив, они серьёзно занялись самоподготовкой и готовятся присоединиться к слушателям Летней Школы в следующем году! 

 

Развлекательная часть

Не забыли организаторы и о том, что на дворе стоит прекрасная погода, а качественный отдых лишь способствует лучшему усвоению материала! Мы приложили максимум усилий, чтобы обучение ребят проходило в комфортной среде, создавали условия не только для получения знаний, но и общения, налаживания связей; проводили «Угадай мелодию», «Что? Где? Когда?», дискотеку, караоке, спортивные игры, «Киллера», фестиваль красок холи и многое другое.

Очень «душевным и тёплым» мероприятием, по словам самих участников, получилось неофициальное закрытие летней смены 2023: после высказанных организаторам слов благодарности, был зажжён огромный костёр, рядом с которым все могли поучаствовать в «Обнимашках» и повязать друг другу ниточку на память, сопроводив ту тёплыми словами и пожеланиями.

Отмечать день флага Российской Федерации стало уже доброй традицией. Каждый год на Летней Школе мы заранее празднуем этот день и в этот раз он прошёл не менее ярко, чем в предыдущие, завершившись ярким праздником красок холи, так полюбившимся нашим участникам.

 

Круглый стол АРСИБ

В рамках Летней Школы CTFбыл проведён круглый стол Ассоциации руководителей служб информационной безопасности, главной задачей которого являлось построение доверительной и эффективной коммуникации между ведущими экспертами в области информационной безопасности и аудиторией.

Специалисты делились своим опытом и рассказывали ребятам о входе в профессию, о том, насколько актуальна и востребована на сегодняшний день специальность сотрудника служб информационной безопасности, разбирали кейсы и не упускали возможность разрядить атмосферу парой-тройкой забавных случаев из практики.

12 экспертов – 12 историй становления в профессии – 12 пожеланий и напутствий слушателям ЛШ2023.

 

География участников

Всего для участия в интенсиве были отобраны 77 участников из России и ближнего зарубежья. Ребята приехали к нам из таких городов, как:

· Алматы

· Воронеж 

· Дзержинск, Нижегородская область/ Нижний Новгород

· Ростов-на-Дону

· Донецк

· Екатеринбург 

· Зеленоград

· Казань

· Канск 

· Котельники

· Красногорск 

· Краснодар

· Москва 

· Мытищи

· Орел

· Пушкино

· Санкт-Петербург

· Сургут

· Таганрог

· Томск

· Тюмень

· Уфа

 

Список образовательных организаций:

Школа №618

Школа №152

Школа №179

Школа №31 Санкт-Петербург

Школа "Интеграл"

Школа Космонавтики

Лицей №1580 им Н.Э. Баумана

Лицей №153

Лицей НИУ ВШЭ

Школа "Летово"

Воронежский Государственный Унивеститет

Донецкий Национальный Университет (ДонНУ)

Казанский Федеральный Университет

КИП ФИН

Колледж связи №54

КПК РТУ (МИРЭА)

Краснодарский Университет МВД России

МАИ

МГТУ имени Н.Э. Баумана

Московский Университет МВД им. В.Я. Кикотя

МТУСИ

МУИТ

ННГУ им Н. И Лобачевского

РТУ (МИРЭА)

Санкт-Петербургский университет МВД

СурГУ

ТУСУР

ТюмГУ

Университет ИТМО

УрФУ

ЮФУ

Ithub

 

Дополнительная информация 

 

LETOCTFBOT

В этом году мы вновь не стали отказываться от предоставления возможности всем желающим попасть на Летнюю Школу совершенно бесплатно! 1 июня был запущен LETOCTFBOT, в рамках взаимодействия с которым ребята могли заранее оценить уровень собственной подготовки и выиграть поездку на летнюю смену, набрав максимальное количество баллов за решение тасков.

Каждую неделю пользователи получали новое задание, на решение которого отводилось 7 дней. По истечении отведённого срока организаторы публиковали верное решение, после чего участники могли продолжить решение таска лишь вне зачёта.

В этом году победителем среди 340 претендентов стала Авдеева Лиза и неудивительно, что именно ей также был выделен грант одним из наших партнёров, а потому решением оргкомитета главный приз перешёл к следующему за Лизой конкурсанту, которым стал Гантумур Золбообаяр из Монголии! Расходы на его проживание, обучение и дорогу полностью взяли на себя организаторы Летней Школы.

 

Собеседования перед зачислением 

Новшеством этого года стало введение личных бесед перед зачислением в ряды слушателей интенсива. Всего было проведено 250 собеседований, по результатам которых зачислены 77 участников.

 

Место проведения

Летняя Школа CTF – это не только прекрасная возможность прокачать свои знания, но и провести 10 дней в экологически чистой лесопарковой зоне! Каждый год мы тщательно выбираем место для проведения интенсива.

Стараемся учесть всё: удобство расположения, наличие необходимого оборудования и комфортабельных конференц-залов для проведения лекций; следим за питанием и здоровьем наших подопечных. Наличие особенностей развития или патологий здоровья, требующих отдельного питания или особого подхода, – не причина отказываться от участия в Летней Школе, мы просим лишь заранее известить организаторов о подобных нюансах!

В этом году Летняя Школа вновь проводилась в учебно-оздоровительном комплексе «Лесное озеро» Финансового университета при Правительстве Российской Федерации. На территории комплекса расположены 2 жилых корпуса, медицинский корпус, соединенный с главным корпусом крытым отапливаемым переходом, 2 коттеджа, спортивные площадки различных направлений: мини-футбол, баскетбол, волейбол, большой теннис, множество зон отдыха с беседками.

Сам же комплекс раскинулся на берегу живописного Истринского водохранилища, что в 70 км от Москвы, в Солнечногорском районе.

Буст ваших знаний + здоровый отдых = Летняя Школа CTF 2023!

 

Заключение

Летняя Школа CTF – это проект, который делают Люди! Организаторы, спонсоры, партнёры грантов, транспортная и техническая команды, медиагруппа, спикеры, кураторы, наставники и сами участники – благодаря каждому из вас этот проект живёт, развивается и с каждым годом получает всё большие возможности для передачи бесценного опыта и знаний подрастающему поколению ИБ-специалистов. Вклад каждого имеет свой, особое значение для общего дела, и мы благодарим всех, кто принимал участие и помогал в организации Летней Школы CTF 2023!

Особую благодарность выражаем принимающей стороне - учебно-оздоровительному комплексу «Лесное озеро» Финансового университета при Правительстве Российской Федерации и лично ректору университета Прокофьеву Станиславу Евгеньевичу и его команде.

А также Всероссийскому общественному движению наставников детей и молодежи «Наставники России».

 

 

 

Кому сказать "спасибо" за Летнюю школу 2023?

За помощь в организации XI Летней Школы CTF 2023 Ассоциация руководителей служб информационной безопасности выражает благодарность спикерам, партнерам и всем неравнодушным людям и компаниям. Наше мероприятие состоялось благодаря Вам. Спасибо!

Отдельно благодарим за поддержку НАМИБ, Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации и губернатора Подмосковья Андрея Воробьева.

Особую благодарность выражаем генеральному и официальному партнерам - RDP и Сбер.

 

Спасибо нашим партнерам за материальную и техническую поддержку.

Партнеры: Гознак, Координационный центр доменов .RU/.РФ, Лаборатория Касперского.

Партнеры грантов: Киберпротект, НТЦ «Вулкан», EdgeЦентр, «SearchInform», УЦСБ, «ИнфоТек», Код Безопасности, «Star Force», «White Hack», Positive Technologies, UserGate, T1 Watchman.

Генеральный информационный партнер: Хакер.

Информационный партнер: CTF News.

Технологические партнеры: ПАО «МТС», UserGate, компания «Актив Софт».

Особая благодарность за предоставление широкополосного Интернета команде компании МТС.

Транспортный партнер: ИАЦ «Борей».

Спасибо всем спикерам за ваши доклады и знания, которые увезли с собой наши участники!

Александр Молчанов, Александр Трунев, Алексей Гуляев, Андрей Масалович, Артем Избаенков, Артем Калашников, Вадим Михайлов, Виктория Елагина, Виталий Васюнин, Владимир Иванов, Владимир Черепанов, Глеб Марченко, Даниил Лобанов, Дмитрий Муковкин, Дмитрий Скляров, Евгений Царев, Евгений Широков, Ирина Слонкина, Людмила Нуйкина, Максим Подобаев, Никита Бекетов, Сергей Голованов, Татьяна Ширяева.

Отдельную благодарность выражаем всем, кто помогал нам в реализации проекта!

Александр Будников, Александр Меньщиков, Александр Смирнов, Александр Шойтов, Александра Троцкая, Алексей Гуляев, Алексей Посикера, Алексей Фомин, Алина Алексеева, Анастасия Дюмулен, Анастасия Пан, Анастасия Шишкова, Андрей Глухарев, Андрей Голов, Андрей Крутских, Андрей Масалович, Андрей Чахеев, Анна Балухта, Анна Коротышева, Антон Быков, Антон Марков, Арсений Ларченков, Арсений Палагин, Артем Калашников, Богдан Кондратьев, Вадим Михайлов, Вадим Ружников, Вероника Гаршина, Виктор Покусов, Виктория Бунчук, Виктория Сабурская, Владимир Иванов, Владимир Лось, Вячеслав Новиков, Галина Козырева, Глеб Сердитых, Григорий Остапенко, Даниил Лобанов, Данил Заколдаев, Денис Масленников, Денис Петровский, Дмитрий Богданов, Дмитрий Гусев, Дмитрий Муковкин, Дмитрий Федоров, Евгений Царев, Екатерина Сватова, Елена Федина, Елизавета Антонова, Иван Нагорнов, Игорь Душа, Игорь Захаренков, Игорь Макаров, Игорь Морозов, Ильназ Мустафин, Ипполит Дюмулен, Ирина Корх, Ирина Поздняк, Искандер Зулькарнеев, Искандер Зулькарнеев, Кристина Сауберг, Ксения Харламова, Леонид Ротков, Максим Куликов, Максим Марушкин, Максим Подобаев, Марина Шутова, Михаил Кадер, Наталья Михайленко, Никита Полуэктов, Николай Микрюков, Оксана Полякова, Олег Иевлев, Олег Томниковский, Ольга Баскакова, Ольга Горлова, Ольга Карпунина, Павел Горбачев, Рустам Хидиятуллин, Саркис Шмавонян, Сауле Аманжолова, Сергей Будников, Сергей Волков, Сергей Голованов, Сергей Горелик, Сергей Коношенко, Сергей Лебедь, Сергей Ожегов, Сергей Сухман, Сергей Ширяев, Станислав Шевченко, Татьяна Ровенская, Элина Яруллина, Юлия Бахмутова, Юлия Черникина, Юрий Багров, Юрий Рожнов.

Спасибо команде организаторов Летней школы за всю проделанную работу!

Александр Котов, Александра Мартынова, Алексей Гуляев, Алексей Овчинников, Алиса Соболева, Антон Зеунов, Арина Казанцева, Валерия Кириллова., Виктор Минин, Галина Котлова, Даниил Лобанов, Даниил Ширшов, Евгений Емельянов, Елизавета Антонова, Иван Краснопольский, Кирилл Минин, Лев Хакимов, Максим Подобаев, Максим Смирнов, Маргарита Карева, Маргарита Рублева, Наталия Бекасова, Наталья Мануйлова, Никита Бекетов, Сергей Кузнецов.

Благодарим членов Ассоциации руководителей служб информационной безопасности (АРСИБ) за активное участие в нашем мероприятии!

Александр Мишурин, Александр Першин, Алексей Подмарев, Андрей Нуйкин, Артем Избаенков, Владимир Бугров, Дмитрий Костров, Илья Алексенко, Марат Шамсудинов, Мария Худышева, Михаил Смирнов, Ольга Курбанова, Сергей Голяк.

 

Источники:

 

«Летняя Школа CTF 2023»: итоги | ACISO CTF | Дзен

Кому сказать "спасибо" за Летнюю школу 2023? | ACISO CTF | Дзен

19 июля 2023 ведущее отраслевое издание Cointelegraph опубликовало статью: «Российская ЦВЦБ к 2025 году? Что происходит с цифровым рублем». Автор материала – David Attlee… 2025-2027 годы могут показаться далекими, но к этому времени Центральный банк России готовит свою ЦВЦБ к массовому внедрению.

Проект Центрального банка Российской Федерации (ЦБ РФ) по цифровой валюте центрального банка (ЦВЦБ) стремительно развивается. Первые новости об инициативе появились в 2020 году, а в 2022 году был внесен законопроект о регулировании, который сейчас прошел окончательное чтение в нижней палате парламента, Думе.

Однако, окончательное внедрение «цифрового рубля» среди широкой общественности произойдет не раньше 2025-2027 гг., как недавно сообщила первый заместитель председателя ЦБ РФ Ольга Скоробогатова.

График по-прежнему выглядит оптимистичным в глобальном контексте. Согласно недавнему отчету PwC, к 2030 году только около 24 ЦВЦБ могут быть активны. Но для страны, активно ищущей способы международной торговли в условиях жестких финансовых санкций, такие сроки могут показаться относительно медленными.

Взлеты и падения цифрового рубля

В 2017 году ЦБ РФ объявил о своей заинтересованности в изучении идеи цифровой валюты. В то время Скоробогатова подчеркнула, что разработка ЦВЦБ является приоритетной задачей и ЦБ РФ вскоре проведет исследование. Однако, глава банка Эльвира Набиуллина не считала это главным приоритетом и рассматривала как нечто, требующее изучения в средне- и долгосрочной перспективе.

В 2022 году ЦБ РФ сообщил, что планирует внедрить цифровой рубль во всех банках страны к 2024 году. Регулятор пояснил, что внедрение будет осуществляться поэтапно и потребует обширного тестирования и развития инфраструктуры. По мнению центрального банка, цифровой рубль будет сосуществовать с традиционными системами наличных и безналичных платежей, предоставляя потребителям большую гибкость в их транзакциях.

В феврале 2023 года Скоробогатова сделала публичное объявление о первом потребительском пилотном проекте цифрового рубля, запуск которого запланирован на 1 апреля 2023 года. В пилотном тестировании примут участие 13 местных банков, многочисленные продавцы (ритейл) и реальные потребители.

В том же месяце Газпромбанк, дочерняя компания государственной энергетической корпорации "Газпром" и один из участников пилотного проекта, публично предложил дать банкам больше времени перед внедрением ЦВЦБ. Действительно, опасения банка были понятны, поскольку, по оценкам аудиторской фирмы McKinsey, российские банки могут потерять 3,5 миллиарда долларов комиссионных за пять лет из-за затрат на ЦВЦБ.

Запуск пилотного проекта в конечном итоге был отложен вместе с принятием законопроекта о цифровом рубле в Думе. Измененный законопроект устанавливает ключевые юридические определения, такие как “платформа”, “участники” и “пользователи”, а также излагает общие руководящие принципы для экосистемы ЦВЦБ.

В соответствии с действующими правилами ЦБ РФ берет на себя роль основного оператора инфраструктуры цифрового рубля и несет ответственность за сохранность всех хранящихся активов.

Поскольку основная цель ЦВЦБ - служить средством оплаты и перевода средств, у пользователей цифрового рубля не будет возможности открывать сберегательные счета. Индивидуальные клиенты будут пользоваться бесплатными платежами и переводами, в то время как с корпоративных клиентов будет взиматься комиссия в размере 0,3% от суммы платежа.

Чего ожидать в 2025 году?

6 июля Скоробогатова из ЦБ РФ заявила, что каждый гражданин сможет открыть кошелек, получать цифровые рубли и использовать их на горизонте 2025-27 годов.

Она уточнила, что многое зависит от банков и их готовности внедрить необходимую инфраструктуру, поскольку частные банки будут облегчать операции с цифровыми рублями в рамках своих стандартных приложений, при этом весь процесс посредничества центрального банка будет более или менее незаметен для конечного клиента. Скоробогатова подчеркнула: “Цифровой рубль - это не криптовалюта или стейблкоин, у которых часто нет эмитента или вы его не знаете”.

Александр Подобных, глава Санкт-Петербургского отделения Ассоциации руководителей служб информационной безопасности (консалтинговой организации по кибербезопасности), участвующей в разработке законодательства ЦВЦБ, - считает крайний срок 2025-2027 гг. реалистичным и, что тестовая инфраструктура готова к пилотному внедрению цифрового рубля:

«Сейчас в тестировании задействовано около 30 юридических лиц — это банки, розничная торговля и индивидуальные предприниматели. До 2027 года в нем примут участие до 1500 субъектов (включая физических лиц). По завершении тестирования будут разработаны рекомендации по масштабированию.»

Подобных также упомянул о предстоящих обновлениях Федерального закона № 115, регулирующего процедуры борьбы с отмыванием денег и финансированием терроризма. Предлагаемые поправки будут учитывать новые формы обмена, чтобы помочь ведомствам финансового мониторинга анализировать транзакции ЦВЦБ.

Елена Ключарева, старший юрист российской юридической фирмы KKMP, также не видит никаких аномалий в сроках 2025-2027 годов. «Задержка с внедрением цифрового рубля может быть связана главным образом с техническими аспектами», - сказала она Cointelegraph. Инфраструктура, предусмотренная концепцией ЦБ РФ, сложна и должна облегчать не только онлайн, но и офлайн-транзакции и обеспечивать высокий уровень кибербезопасности. Ключарева добавила, что такая инфраструктура будет базироваться в основном на отечественных программных решениях из-за международных санкций:

«Согласно предыдущим комментариям ЦБ РФ, они не хотят намеренно ускорять процесс, но хотят убедиться, что платформа цифрового рубля функционирует должным образом и является надежной».

Решение отложить внедрение российской цифровой валюты следует рассматривать не как провал проекта, а как попытку разработать стабильное, хорошо сбалансированное решение, заключила Ключарева.

В настоящее время в обращении находятся только четыре ЦВЦБ, Россия, вероятно будет в числе первых стран, которая начнёт их принимать, даже если цифровой рубль не будет запущен до 2027 года.

Источник: Cointelegraph

25 июля 2023 года, вышел 3-й номер журнала "Информационная безопасность". В нём была опубликована статья руководителя Санкт-Петербургского регионального отделения АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных - LinkingLion: операция по деанонимизации биткоина (в разделе Технологии \ Криптография).

Анонимность является одной из ключевых особенностей и привлекательных характеристик биткоина, которая способствует его популярности среди пользователей, и особенно среди тех, кто ценит конфиденциальность своих финансовых операций. Однако в начале 2023 г. исследователи обнаружили серьезную угрозу анонимности участников сети биткоина со стороны объекта, названного LinkingLion.

Что такое мемпул?

Под мемпулом (Mempool) в криптосфере понимается хранилище неподтвержденных транзакций в сети блокчейна. Когда пользователь отправляет транзакцию с использованием криптовалюты, она сначала попадает в мемпул, очередь транзакций, которые еще не были включены в блок и не получили подтверждения майнерами или участниками сети.

Участники сети могут просматривать мемпул и выбирать транзакции для включения в новый блок на основе различных факторов, таких как размер комиссии, приоритетность транзакции и других предпочтений.

Размер мемпула может колебаться в зависимости от активности сети и объема отправляемых транзакций. В периоды высокой активности сети мемпул может становиться полностью заполненным, что приводит к увеличению времени подтверждения транзакций или повышению комиссий для более быстрого включения.

Мемпул играет важную роль в обеспечении функционирования блокчейна и подтверждения транзакций. Отслеживание состояния мемпула может быть полезным для пользователей, которые хотят оптимизировать время подтверждения своих транзакций или выбрать подходящую комиссию для быстрого включения в блок.

Что же случилось?

В марте 2023 г. эксперт под псевдонимом b10c опубликовал исследование под названием LinkingLion, посвященное анализу поведения фальшивых узлов. Он обнаружил в блокчейн-сетях "Биткоин" и "Монеро" некий объект, собирающий информацию о транзакциях при их попадании в мемпул.

Конечно, это может быть проявлением работы некоей исследовательской компании, занимающейся анализом блокчейна для улучшения своих продуктов. Но автор предполагает, что это кампания по деанонимизации пользователей. Исследуемый объект ведет себя так: открывает соединения со многими биткоин-узлами, используя четыре диапазона IP-адресов, и прослушивает анонсированные транзакции, потенциально соотнося новые широковещательные транзакции с IP-адресами узлов.

Используемыми диапазонами пользуются четыре компании: Fork Networking, Castle VPN, Linama, Data Canopy, а все диапазоны относятся к провайдеру LionLink Networks. Поэтому автор для созвучия назвал исследуемый объект LinkingLion, а затем высказал гипотезу, что LinkingLion пытается связать все выявленные транзакции с IP-адресами, то есть речь идет о попытке деанонимизации участников.

Не ясно, управляется ли описанный в исследовании объект LinkingLion единым человеком, группой лиц или организацией. Но соединения используют общие шаблоны для различных диапазонов IP-адресов. Кроме того, все диапазоны используют одни и те же поддельные данные о пользовательских агентах, то есть, скорее всего, используется одно программное обеспечение. Конечно, это лишь косвенное подтверждение того, что за подключениями стоит одна организация.

Далее исследователь обратил внимание на то, что один из диапазонов IP-адресов принадлежит компании под названием Castle VPN, что наводит на мысль, что LinkingLion открывает соединения через VPN-сервис. Другие диапазоны IP-адресов также можно было бы использовать в качестве конечных точек VPN, что объяснило бы, почему несколько конфигураций программного обеспечения используют одни и те же адреса. Однако и эта теория пока остается неподтвержденной.

Какая информация доступна LinkingLion?

Информация, которую получает LinkingLion, может быть вычленена из метаданных, сведений по инвентаризации и адресам. Вообще, любое соединение может получить метаданные узла, с которым оно устанавливается, включая:

- информацию о доступности узла;

- версию используемого программного обеспечения;

- параметры блокчейн-транзакций, предпочитаемые узлом;

- список услуг, предоставляемых узлом.

Временная информация, то есть когда узел объявляет о своем присутствии или обновлении инвентарных сведений, особенно актуальна для последующего анализа. Поскольку LinkingLion подключается ко многим прослушивающимся узлам, он может использовать набор получаемых сведений для привязки широковещательных транзакций к IP-адресам, а значит, потенциально и к пользователям.

Около 2% подключений со стороны объекта LinkingLion также просят узел отправить им адреса других узлов сети. Объект, вероятно, использует их для поиска новых адресатов для подключения и увеличения доли охваченных узлов, а также может попытаться распознать топологию сети, отслеживая ретрансляцию транзакций.

Остается загадкой, зачем LinkingLion открывает несколько кратковременных подключений к одному узлу из нескольких диапазонов IP-адресов. Всю информацию можно было бы извлечь и без многократного открытия и закрытия соединений, не привлекая внимания исследователей. Впрочем, это вполне можно списать на ошибки в логике работы самого LinkingLion.

Автор исследования впервые лично наблюдал действия LinkingLion летом 2022 г., однако объект был активен дольше. Отрывочные сведения, ретроспективно обнаруживаемые в некоторых отчетах в Интернете, свидетельствуют, что операции LinkingLion проводились как минимум с начала 2018 г.

Кто стоит за LinkingLion?

Большинство P2P-аномалий, происходящих с открытой сетью биткоина, исходят от частных лиц или компаний, преследующих либо академические цели, либо корыстные (например, продажа собранных данных другим компаниям и правоохранительным органам).

В случае с LinkingLion академический интерес кажется маловероятным: вряд ли обычный исследователь будет финансировать такую масштабную операцию в течение нескольких лет, ведь диапазоны IP-адресов и серверы стоят немалых денег. К тому же академические эксперименты обычно более локализованы по времени, да и опубликованных по итогам статей пока найти не удалось.

Коммерческим компаниям есть смысл платить за инфраструктуру, если они смогут выгодно продать собранные данные или улучшить с их помощью свой продукт в сфере блокчейна. Так что вариант, когда за LinkingLion стоит некая организация, выглядит более правдоподобным.

Что же делать?

Первоочередной мерой противодействия может стать ручная блокировка диапазонов IP-адресов, используемых LinkingLion, то есть запрет для них входящих подключений к узлам.

Однако это действие не решает проблему полностью, ведь LinkingLion может легко переключиться на новые диапазоны IP-адресов. Основная опасность заключается в том, что по итогам сбора информации со стороны LinkingLion может быть установлена высоковероятная связь транзакций и IP-адресов. Чтобы этого не допустить, потребуются изменения в логике первоначальной трансляции и ретрансляции транзакций в сети биткоина и в ядре Bitcoin Core.

Технологическим решением может стать технология Dandelion, например Dandelion++ или какая-либо из ее модификаций. Dandelion (англ., одуванчик) – это протокол передачи транзакций в сети блокчейна с целью повышения анонимности и защиты приватности пользователей. Он был разработан в 2017 г. для биткоин-сети, хотя может быть реализован и в других блокчейнах.

Основная идея Dandelion заключается в том, чтобы затруднить определение источника транзакции в сети блокчейна, что может повысить уровень анонимности для отправителей транзакций. По умолчанию, когда транзакция создается, она отправляется на первый узел в сети и начинает свой путь к остальным узлам через прямой маршрут. Это как раз и может делать возможным отслеживание источника транзакции.

Протокол Dandelion модифицирует этот процесс: вместо прямой передачи транзакция отправляется на случайно выбранный узел, который называется "стебель" (Stem Phase). Этот узел удерживает транзакцию на некоторое время и затем, после искусственной временной задержки, передает ее дальше группой узлов вместе, образуя так называемые "колосья" (Fluff Phase). Таким образом, точное место отправителя транзакции становится труднее обнаружить.

Dandelion++ используется в блокчейн-сети Monero с 2020 г. Попытка аналогичного внедрения в Bitcoin Core так и не увенчалась успехом, в первую очередь из-за сложности и проблем с DoS.

Заключение

Гипотезы и выводы, приведенные в исследовании, выглядят вполне обоснованными как с технической точки зрения, так и с точки зрения общей картины развития криптосферы. За последние пять лет на рынке анализа блокчейн-транзакций появилось много новых игроков, в том числе и очень крупных.

В СМИ то и дело появляются новости об очередном выигранном госконтракте или получении дополнительных инвестиций, исчисляемых уже десятками и сотнями миллионов долларов. Причем если анализом биткоина, эфириума и их форков занимаются многие компании, то, к примеру, на деанонимизацию и анализ технологии Monero выделялись прямые исследовательские гранты на сотни миллионов долларов.

Зная также о государственно-частном партнерстве американской компании Chainalysis с ФБР и другими ведомствами, а также доступных сведениях о существовании модуля интеграции с системой аналитики Palantir (используют спецслужбы, инвестиционные банки, хедж-фонды), можно предположить, что такой глобальный сбор IP-адресов необходим, как вариант, для массового выявления субъектов с высоким уровнем риска (по AML/CFT) и преступников.

Недавно, в 2023 г., один из игроков в блокчейн-аналитике анонсировал применение ИИ для сквозной блокчейн-аналитики между различными блокчейнами и токенами. По-видимому, похожие работы уже ведутся в нашей стране. А значит, не исключено появление новых исследовательских объектов, подобных LinkingLion.

Источник: Информационная безопасность

XII конференция БИТ Санкт-Петербург 2023 запланирована на 5, 6 октября 2023 года. Тема конференции: «Небезопасная цифровизация, или как выжить в текущих условиях». Тема Научной секции: «Безопасность сложных технических систем со встроенным искусственным интеллектом».

Местом проведения станет пространство «Точка кипения» по адресу пр. Медиков д. 3, корпус 5 (с 09-00 до 19-00). Научная секция пройдёт в университете ИТМО по адресу Песочная набережная д. 14 (с 11-00 до 17-00).

Формат БИТ позволяет одинаково комфортно участвовать сотрудникам государственных учреждений и органов власти наравне с сотрудниками и руководителями коммерческих организаций.

По традиции встречу откроет Виктор Минин, Председатель правления АРСИБ (Ассоциация руководителей служб информационной безопасности), и поразмышляет о диффамации, как факторе обеспечения киберустойчивости.

Основные тезисы мероприятия: импортонесовместимость; практики повышения защищенности; сетевые и несетевые атаки, прогноз на год; кадровое несоответствие, кадровый голод; текущий «некомплайнс»; оценки цифровой устойчивости; киберстабильность, киберустойчивость в новых реалиях; КИИ - как эксплуатировать то, что не соответствует требованиям регулятора; киберучения - очередная таблетка от Бизнеса; новые отношения с регулятором; как не выгореть и остаться в отрасли.

В первый день, для всех участников пройдут:

- Конференция
- Дискуссия
- Выставка
- Круглый стол «Разговор с регулятором»

Во второй день, для всех участников пройдёт:

Научная секция планируется 6 октября в «Национальном исследовательском университете ИТМО».

В настоящее время, открыт прием работ на научную секцию конференции. Присылайте доклады до 21 сентября на почту This email address is being protected from spambots. You need JavaScript enabled to view it. или в оргкомитет научной секции по адресу This email address is being protected from spambots. You need JavaScript enabled to view it..

Ключевой задачей БИТ является работа единой площадки в Санкт-Петербурге для обмена опытом и знаниями в сфере обеспечения информационной безопасности. Место для обсуждения ключевых вопросов защиты информации и обмена независимыми мнениями в профессиональной среде.

Источники: Сайт мероприятия | Регистрация

31 мая 2023 года, вышел 2-й номер журнала "Информационная безопасность". В нём была опубликована статья руководителя Санкт-Петербургского регионального отделения АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных - Страхование рисков в криптосфере: защита цифровых активов и обеспечение безопасности (в разделе Технологии \ Криптография).

Страхование в криптосфере должно быть важным инструментом для повышения доверия и привлечения новых участников в индустрию блокчейна и криптовалют. Однако стоит отметить, что во всем мире криптострахование все еще находится в стадии развития и покрытие и условия могут различаться в зависимости от страховой компании и регулирования в конкретной юрисдикции. В российской криптосфере такая практика практически отсутствует. Это связано с очень высоким уровнем риска и тем, что эти вопросы контролирует ЦБ России, который вряд ли пропустит программу страхования в столь неопределенной области, ведь полноценного регулирования в данном направлении еще нет. Попробуем определить контуры возможного рынка страховых услуг в криптосфере.

Пока в России есть общее страхование киберрисков, в том числе и для участников финансового рынка. Например, для финансового сектора сегодня определены договор киберстрахования и его составляющие, страховой тариф и премия страхователя, участники страхового рынка, андеррайтинг и инвестирование, страховые события, отличие страхования киберрисков от иного, страховые продукты рынка, учет особенностей банкострахования. Вероятно, с развитием обращения и хранения различных цифровых финансовых активов процедуры будут спроецированы и актуализированы под этот сегмент.

Страховая защита от кибератак покрывает ущерб от перерывов в деятельности, расходы на восстановление системы, расходы на восстановление и дешифровку данных (включая стоимость необходимого ПО), расходы на минимизацию последствий и расследование причин киберпреступления.

Но страхование в криптосфере, известное также как криптострахование или страхование цифровых активов, представляет собой процесс обеспечения защиты от потерь и рисков, связанных именно с криптовалютами, блокчейнами и другими ЦФА. Его цель – снижение финансовых рисков и обеспечение безопасности для держателей криптовалюты и участников криптовалютных платформ.

Страховые компании, специализирующиеся на криптостраховании, разрабатывают полисы и условия страхования, учитывая особенности цифровых активов и индустрии блокчейна. Они проводят анализ рисков, оценку безопасности платформ и используют технологии, такие как мультиподпись и холодное хранение (Cold Storage), для обеспечения безопасности активов.

В области блокчейна страхование может быть направлено на аспекты, связанные с самой технологией, – смарт-контракты, цифровые идентификаторы, децентрализованные приложения и другие инновационные решения. Страхование в области криптовалют, с другой стороны, фокусируется на безопасности и управлении рисками, связанными с хранением, передачей и использованием криптовалютных активов.

Основные риски в криптосфере

Криптовалюты и технология блокчейн, несомненно, являются технологически инновационным направлением и предоставляют множество потенциальных преимуществ и инноваций. Однако есть и специфичные риски, которые необходимо учитывать при работе именно в криптосфере. Рассмотрим основные риски, связанные с этой областью.

Кибербезопасность

Как и любая ИТ-инфраструктура, криптосфера подвержена угрозам кибербезопасности, таким как целевые атаки, фишинг, мошенничество и кражи. Злоумышленники могут нацелиться на цифровые кошельки, централизованные криптобиржи или смарт-контракты, чтобы получить несанкционированный доступ к цифровым активам. Уязвимости в программном обеспечении и слабые меры безопасности могут стать причиной утраты средств или компрометации конфиденциальных данных.

Регуляторные риски

Криптовалюты и блокчейн подвержены регуляторным рискам, связанным с возможными изменениями законодательства, политическими решениями и государственными регуляторными действиями. Изменения в правовом регулировании могут повлиять на легальность и использование криптовалют, а также на требования к деятельности криптобирж и других участников криптосферы.

К тому же отсутствует единое международное или национальное регулирование криптосферы. Это создает неопределенность и риски для участников, так как их правовой статус может оказаться неопределенным, а защита прав потребителей может быть недостаточной. Отсутствие достаточных регуляторных механизмов может способствовать возникновению мошенничества и неэтичного поведения в криптосфере.

Технические риски

Технические сбои или ошибки в блокчейне или смарт-контрактах могут привести к потере средств или нарушению целостности данных. Несовершенство кода и недостатки в разработке программного обеспечения могут привести к уязвимостям и возможности злоумышленников вмешаться в работу системы.

Виды криптострахования

В зависимости от объекта, для которого могут реализоваться те или иные риски, в криптосфере выделяют несколько типов страхования, которые предназначены для обеспечения безопасности и защиты участников.

Каждый из этих видов страхования в криптосфере разрабатывается с учетом специфических рисков и потребностей участников. Они направлены на снижение финансовых рисков и обеспечение безопасности в криптосфере, способствуя повышению доверия и стимулированию дальнейшего развития данной области.

1. Страхование хранилища криптовалют предоставляет защиту от утраты или кражи цифровых активов, которые хранятся в цифровых кошельках или хранилищах. Это покрытие может включать кражу средств в результате хакерских атак, утрату личных ключей или ошибочные операции. Страховая компания возмещает финансовые потери, связанные с такими событиями.

2. Страхование транзакций криптовалют предполагает защиту от потерь, связанных с неправильными или мошенническими транзакциями. В эти случаи включаются ошибочные переводы, фишинговые атаки или мошенничество при совершении сделок с цифровыми активами. Страхование транзакций помогает восстановить средства или компенсировать потери, понесенные в результате таких событий.

3. Страхование криптобирж предназначено для обеспечения защиты пользователей и криптобирж от таких угроз, как хакерские атаки, кражи средств, а также и от недобросовестного поведения со стороны самих бирж. К этому типу относится и защита средств клиентов, хранящихся на бирже, возможность компенсации потерь, понесенных пользователями в результате инцидентов, связанных с безопасностью.

4. Страхование смарт-контрактов предлагает защиту от возможных ошибок или уязвимостей в смарт-контрактах, которые могут привести к потере средств или неправильному исполнению условий контракта. Страхование смарт-контрактов может предоставить возможность компенсации потерь, возникших в результате ошибочных смарт-контрактов или взломов.

ГОСТ Р 59516–2021

Нельзя не упомянуть о действующем в России стандарте от 30.11.2021 г. ГОСТ Р 59516–20211 "Информационные технологии. Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности". Он был разработан с учетом основных нормативных положений международного стандарта ИСО/МЭК 27102:2019 "Менеджмент информационной безопасности. Рекомендации по страхованию киберрисков" (ISO/IEC 27102:2019 Information security management – Guidelines for cyberinsurance).

Стандарт предписывает в целях ослабления последствий, возникающих в результате инцидентов ИБ, в дополнение к принятым в соответствии с ГОСТ Р ИСО/МЭК 27001 и ГОСТ Р ИСО/МЭК 27002 организационным и техническим мерам обеспечения ИБ, внедрять страхование рисков ИБ как один из инструментов управления киберрисками.

Страхование рисков ИБ не рассматривается как альтернатива эффективной системе менеджмента информационной безопасности информации (СМИБ) и не может исключить необходимость разработки планов реагирования на инциденты ИБ, создания системы обучения персонала и принятия других организационных и технических мер по защите информационных активов. Страхование рисков ИБ следует рассматривать как важный компонент СМИБ для противодействия угрозам ИБ и повышения устойчивости бизнеса.

Данный стандарт ссылается и на действующие версии ГОСТ Р ИСО/МЭК 27001 (требования к системам менеджмента ИБ), 27002 (нормы и правила менеджмента ИБ), 27003 (реализация системы менеджмента ИБ), 27004 (измерения при менеджменте ИБ), 27005 (менеджмент риска ИБ).

Вызовы криптострахования

Криптосфера относительно молода, и исторических данных о страховых случаях и рисках накоплено существенно меньше, чем в традиционном страховании. Конечно же, это создает дополнительные сложности для страховых компаний в оценке рисков и определении страховых премий.

К тому же криптовалюты характеризуются высокой волатильностью и неопределенностью, что, в свою очередь, еще больше усложняет прогнозирование рисков и оценку потенциальных убытков.

Как уже отмечалось, криптосфера весьма подвержена угрозам кибербезопасности, включая хакерские атаки и последующие утечки данных. Поэтому успешное страхование криптосферы в дополнение к классическим методам защиты потребует разработки и внедрения специфических инструментов для мониторинга и реагирования, чтобы справиться с растущими киберугрозами.

В связи с уникальными особенностями блокчейн-технологии, страхование в области блокчейна может требовать дополнительной экспертизы и понимания технических аспектов для эффективной оценки рисков и разработки страховых продуктов. Страхование в области криптовалют также требует понимания криптографических принципов и методов хранения и передачи криптовалют.

И конечно же, сфера криптовалют сталкивается с разнообразными регуляторными и правовыми вопросами. Некоторые юрисдикции еще разрабатывают законы и политику, регулирующие криптовалюты и блокчейн. Необходимость соблюдения различных нормативных требований и соответствие законодательству может быть сложной задачей для страховых компаний.

Заключение

Роль страховых компаний в криптосфере состоит в обеспечении безопасности и защите участников от финансовых рисков, связанных с криптовалютами и блокчейном. Они играют важную роль в развитии и стабилизации данной отрасли, создавая доверие и обеспечивая компенсацию при возникновении нежелательных событий.

Криптострахование в России имеет потенциал для того, чтобы стать важным элементом криптосферы, обеспечивая безопасность, доверие и стабильность в этой инновационной области. Однако для его полного развития необходимо преодолеть первичную неопределенность.

Безусловно, самой действенной страховкой являются надежные системы защиты и сопутствующие превентивные меры, но иметь полис на всякий случай не помешает.

Источник: Информационная безопасность

20 апреля 2023 ведущее отраслевое издание Cointelegraph опубликовало статью: «Внешняя торговля и пенсии: что будет дальше с российским проектом ЦВЦБ?». Автор материала – David Attlee… Пилотный запуск российского цифрового рубля был отложен как минимум до мая, но правительство все еще надеется запустить эту валюту в 2024 году.

Пилотный проект цифровой валюты центрального банка России ЦВЦБ (CBDC) должен был быть запущен 1 апреля, но его отложили практически в последний момент из-за медленных темпов прохождения необходимого законопроекта в Госдуме.

Учитывая, что запуск проекта все еще возможен в мае, а общее внедрение цифрового рубля запланировано на 2024 год, российский проект остается одним из наиболее важных разработок ЦВЦБ за которым стоит следить, особенно учитывая его возможную роль в трансграничных платежах между странами БРИКС (Бразилия, Россия, Индия, Китай и Южная Африка) и намерение включить его в масштабную пенсионную систему, контролируемую государством.

Краткая хронология российской ЦВЦБ

Впервые Банк России, центральный банк страны, объявил о своих планах изучить возможность выпуска цифровой валюты в 2017 году. Тогда первый заместитель управляющего банка Ольга Скоробогатова заявила, что ЦВЦБ будет приоритетом для банка и он рассмотрит этот вопрос в ближайшем будущем.

На тот момент времени руководитель Скоробогатовой — глава Банка России Эльвира Набиуллина отказалась признать его “главным приоритетом”, вместо этого назвав это “среднесрочной или, возможно, долгосрочной” перспективой.

В 2022 году Банк России объявил, что планирует внедрить цифровой рубль во всех банках страны к 2024 году. Банк заявил, что внедрение будет проходить поэтапно и потребует обширного тестирования и развития инфраструктуры. В нем говорилось, что цифровой рубль будет сосуществовать с наличными и безналичными платежными системами, предоставляя потребителям большую гибкость.

Возможно, наиболее значительным фактором ускорения развития ЦВЦБ стала потребность в надежном инструменте для внешней торговли и расчетов после начала Россией специальной военной операции на Украине и последующих санкций, введенных несколькими странами по всему миру.

В начале 2023 года местные СМИ сообщили, что Банк России начал изучать две возможные модели трансграничных расчетов с использованием цифрового рубля.

В феврале 2023 года Скоробогатова публично объявила, что первый пилотный проект ЦВЦБ с пользователями состоится 1 апреля 2023 года. В эксперименте примут участие 13 местных банков и несколько торговых точек, а также реальные потребители, хотя он будет ограничен сотрудниками участвующих компаний.

Впоследствии российские государственные СМИ сообщили, что пилотный проект был отложен до принятия соответствующего законодательства Государственной Думой, нижней палатой российского парламента. Сообщается, что закон вступит в силу не ранее начала мая.

Елена Ключарева, старший юрист российской юридической фирмы KKMP, рассказала Cointelegraph, что два закона позволят запустить цифровой рубль. Первый - это законопроект о внесении изменений в Гражданский кодекс, который определяет правовую природу цифрового рубля, как “форму безналичных денежных средств и договорных отношений, возникающих в связи с использованием цифрового счета”.

Второй - законопроект о внесении изменений в несколько законов, основным из которых является “Закон о национальной платежной системе”. Эти поправки определяют основы функционирования платформы цифрового рубля и обязанности её участников.

Оба законопроекта были приняты в первом чтении Государственной Думой 16 марта 2023 года. Срок для комментариев истек 14 апреля 2023 года. “Мы можем ожидать продолжения его обсуждения в ближайшее время, скорее всего, в мае”, - добавила Ключарева.

Цифровизация и беспокойство пенсионеров

Сама Набиуллина впервые предложила использовать цифровой рубль при пенсионных выплатах еще в 2021 году, не вдаваясь в подробности о том, как это будет работать.

Дискуссии вокруг этой идеи возобновились в конце марта 2023 года, когда государственная газета "Известия" в очередной раз припомнила пилотный проект ЦВЦБ. Несколько недель спустя Набиуллиной пришлось пояснить, что цифровой рубль будет не основной и даже не единственной валютой для пенсионных выплат, а дополнительным вариантом.

Пенсионная система, за которую в первую очередь несет ответственность государство, традиционно является чувствительной сферой экономической политики в России. Поскольку пожилые люди часто далеки от технических знаний, упоминание о чем-то “цифровом” может вызвать беспокойство. Однако Крис Джеммс, бывший бизнес-разработчик в Bitcoin.com который сейчас живет в России, сказал: “Среднестатистический российский пенсионер по-прежнему сможет тратить свои деньги точно таким же образом и, скорее всего, даже не поймет, что их деньги цифровые”.

Александр Подобных, глава Санкт-Петербургского отделения Ассоциации руководителей служб информационной безопасности (АРСИБ), также не видит никакой потенциальной напряженности. Он сказал Cointelegraph, что хотя многие граждане, включая пенсионеров, в конечном итоге будут взаимодействовать с цифровым рублем, правительство, вероятно использует какую-то политику стимулирования, чтобы помочь людям перейти на цифровую форму денег. На самом деле цифровизация была приоритетом в течение довольно долгого времени.

“Сегодня существует огромное количество инициатив и мероприятий, направленных на повышение культуры граждан в сфере цифровых технологий и электронных сервисов. Особое внимание также уделяется информированию по вопросам инвестиций и безопасности в этой сфере”, - сказал Подобных.

Найдет ли применение цифровой рубль?

Окажет ли цифровой рубль существенное влияние на использование частных криптовалют в стране? Во всем мире ЦВЦБ находятся в стадии разработки, и криптосообщество в целом воспринимает это, как ответ правительств на рост популярности цифровых денег.

Российский центральный банк крайне враждебно относился к любой идее легализации криптовалют и даже боролся по этому вопросу с Министерством финансов. У Подобных нет сомнений в планах банка относительно новой валюты:

“Несомненно, при таком акценте центрального банка на монопольном использовании рубля его позиции останутся сильными. И не забывайте о планах использовать его в расчетах в ОДКБ [Организация Договора о коллективной безопасности] и странах БРИКС”.

Можно рассматривать запуск ЦВЦБ, как своего рода компромисс между центральным банком, выступающим против криптовалют и российскими политиками в Думе, которые “занимают позитивную позицию в отношении регулирования криптовалют в целом”. Центральный банк надеется, что россияне “предпочтут вкладывать свои деньги в ЦВЦБ вместо покупки высокорисковых альткойнов”.

Ключарева заявила об ожидании Банка России, что цифровой рубль заменит криптовалюты в России и станет более популярным в качестве наиболее безопасного инструмента расчетов и инвестиций. “Воплотится ли это ожидание в жизнь, еще предстоит выяснить”, - заключила она.

Выступая перед членами одной из парламентских партий 17 апреля, Набиуллина не стала опровергать возможность использования криптовалюты во внешней торговле. Как ни странно, она не уточнила, будет ли эта криптовалюта частной или выпущенной центральным банком, но упомянула о создании “специальных структур, ответственных за майнинг”.

Это делает позицию центрального банка в отношении цифрового рубля и частной криптовалюты менее прозрачной — “экспериментальный” план по добыче некоторой валюты и тестирование национальной ЦВЦБ для трансграничных расчетов, похоже, противоречат друг другу. Но, по словам Набиуллиной, одно можно сказать наверняка: “Криптовалюта не должна использоваться внутри страны”.

Источник: Cointelegraph

31 марта 2023 года, вышел в свет 1-й номер журнала "Информационная безопасность". В нём была опубликована статья руководителя Санкт-Петербургского регионального отделения АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных: Атака 51 % и устойчивость блокчейна биткойна (в разделе Технологии \ Криптография).

Децентрализованная сеть биткоина ставит метки времени на транзакции, соединяя их в цепочку доказательств проделанной работы на основе хеширования. Сформированные таким образом записи невозможно изменить, не выполнив заново всего объема вычислений. Самая длинная версия цепочки служит не только подтверждением очередности событий, но и доказывает, что над ней произвел работу самый большой вычислительный сегмент сети. Система находится в безопасности, пока под совокупным контролем ее честных участников находится больше вычислительной мощности, чем под контролем группы действующих совместно злоумышленников. В противном случае реализуется сценарий, названный “атака 51%”.

До тех пор, пока большая часть вычислительных мощностей контролируется узлами, не объединенными с целью атаковать сеть, они будут генерировать самую длинную цепочку, опережая любых злоумышленников. Устройство самой сети очень простое: сообщения рассылаются на основе принципа наименьших затрат, а узлы могут покидать сеть и снова подключаться к ней в любой момент, принимая самую длинную версию цепочки для восстановления пропущенной истории транзакций.

Технологическая устойчивость биткойна основана на криптографии, а не на доверии третьей стороне, как это происходит в традиционных финансах. Вычислительная сложность и, как следствие, дороговизна отмены транзакций ограждает продавцов от мошенничества.

Доказательство работы

Для реализации распределенного однорангового сервера меток времени разработчики использовали схему "доказательство работы", подобную системе Hashcash. Ее суть заключается в поиске такого значения, хеш которого (например, SHA-256) начинался бы с некоторого числа нулевых битов. Требуется выполнить объем работы, экспоненциально зависящий от числа нулей, но для проверки найденного значения достаточно вычислить лишь один хеш. В сервере меток времени поиск значения с нужным хешем происходил путем перебора значения итерируемого поля-добавки (nonce) в блоке данных. Как только блок, удовлетворяющий условию, найден, его содержимое нельзя изменить, не выполнив заново всей работы. И если он не является последним в цепочке, эта работа включает в себя и перевычисление всех блоков, следующих за ним.

Доказательство работы через хеширование также решает вопрос об определении версии, поддерживаемой большинством. Если голосом считается один IP-адрес, то такую схему можно скомпрометировать, если контролировать большой диапазон адресов. Схема биткойна основана на принципе "один процессор – один голос". Самая длинная из хеш-цепочек выражает мнение большинства, которое вложило в нее наибольшее количество ресурсов.

Если более половины вычислительной мощности принадлежит честным узлам, то цепочка честных транзакций будет расти быстрее и опередит любую конкурирующую цепь. Чтобы внести изменения в любой из прошлых блоков, атакующему придется выполнить заново работу над этим блоком и всеми последующими, а затем догнать и перегнать честных участников по новым блокам. Вероятность такого успеха у злоумышленника, обладающего меньшими ресурсами, экспоненциально убывает в зависимости от числа блоков.

Для компенсации возрастающей вычислительной мощи процессоров и колебания числа работающих узлов в сети сложность хеширования изменяется (примерно раз в две недели), чтобы обеспечивать равномерную скорость генерации блоков (около 10 мин.) Если они появляются слишком часто, сложность возрастает и наоборот.

Участники всегда считают истинной самую длинную версию цепочки и работают над ее удлинением. Если два узла одновременно опубликуют разные версии очередного блока, то кто-то из остальных пиров получит раньше одну версию, а кто-то другую. В таком случае каждый начнет работать над своей версией цепочки, сохранив другую на случай, если она окажется продолжена раньше. Двойственность исчезнет, как только будет получен новый блок, который продолжит любую из ветвей, и те узлы, что работали над конкурирующей версией, переключатся на нее.

Экономия дискового пространства

Как только последняя транзакция в цепочке окажется внутри достаточно старого блока, все предшествующие ей транзакции в цепочке могут быть удалены в целях очистки дискового пространства. Чтобы хеш блока остался неизменным, все транзакции в блоке хранятся в виде хеш-дерева Меркла и лишь его корень включается в хеш блока. Размер старых блоков может быть уменьшен за счет удаления ненужных ветвей этого дерева, хранить промежуточные хеши необязательно.

Заголовок пустого блока будет составлять около 80 байт. Из расчета скорости генерации блока раз в 10 мин. получаем 80*6*24*365 = 4,2 Мбайт в год. Для среднестатистического на 2008 г. компьютера с 2 Гбайт оперативной памяти, с учетом закона Мура, предсказывающего рост на 1,2 Гбайт в год, хранение данных не будет проблемой, даже если все заголовки блоков будут находиться в памяти.

Упрощенная проверка платежей

Верификация транзакций возможна без запуска полнофункционального узла. Пользователю необходимо лишь хранить заголовки блоков самой длинной цепочки, которую он получил от других узлов, и запрашивать хеш-поддерево для необходимой транзакции. Он не может проверить корректность транзакции самостоятельно, но, получив ссылку на блок, в котором она находится, он может убедиться в том, что этот блок и все последующие приняты и подтверждены сетью.

На такой метод проверки можно полагаться, пока сеть хотя бы наполовину находится под контролем честных участников, то есть пока злоумышленник не завладеет большими ресурсами. Обычные узлы могут проверять транзакции самостоятельно, но если нападающий генерирует самую длинную цепь блоков, то своими сфабрикованными транзакциями он может скомпрометировать упрощенную схему. Одной из стратегий противодействия этому может быть рассылка сигналов тревоги от обычных пиров, которые получают "ложный" блок. Такой сигнал будет заставлять программу-клиент загружать блок полностью, чтобы самостоятельно подтверждать некорректность данных.

Конфиденциальность технологии

Традиционная банковская модель поддерживает необходимый уровень конфиденциальности, предоставляя доступ к информации лишь сторонам-участницам и доверенному третьему лицу. Необходимость открытой публикации транзакций исключает такой подход, однако приватность по-прежнему можно сохранить, если публичные ключи анонимны. Открытой будет информация о том, что кто-то отправил кому-то некоторую сумму, но без привязки к конкретным личностям. Столько же данных раскрывается и на фондовых биржах, которые публикуют время и объем частных сделок, не указывая, между кем именно они были совершены.

Дополнительной защитой будет являться генерация новой пары "открытый/закрытый ключ" для каждой транзакции: это предотвратит связывание различных платежей с их общим отправителем или адресатом. Некоторого публичного связывания все же не избежать: транзакции с несколькими входами доказывают, что эти суммы принадлежат одному лицу. Риск состоит в том, что раскрытие личности владельца ключа может привести к раскрытию и всех принадлежащих ему транзакций.

Оценка вероятности "атаки 51%"

Рассмотрим сценарий, в котором злоумышленник пытается генерировать более длинную цепь блоков, чем честные участники. Даже если он преуспеет, это не приведет к тому, что можно будет создавать деньги из воздуха, присваивать себе чужие монеты или вносить иные произвольные изменения. Узлы никогда не примут некорректную транзакцию или блок, содержащий ее. Атакующий может лишь пытаться изменить одну из своих транзакций, чтобы возвратить отправленные деньги.

Гонку между честными участниками и нападающим можно представить как биномиальное случайное блуждание. Успешное событие, когда "хорошая" цепь удлиняется на один блок, приводит к увеличению отрыва на единицу, а неуспешное, когда очередной блок создает злоумышленник, – к его сокращению. Вероятность атакующего наверстать разницу в несколько блоков такая же, как и в задаче о "разорении игрока". Представим, что игрок имеет неограниченный кредит, начинает с некоторым дефицитом и у него есть бесконечно много попыток, чтобы отыграться. Вероятность того, что он преуспеет, как и вероятность злоумышленника догнать честных участников, вычисляется следующим образом:

p = вероятность появления блока в честной цепочке,

q = вероятность того, что блок создаст атакующий,

qz = вероятность того, что атакующий наверстает разницу в z блоков.

В случае p > q вероятность уменьшается экспоненциально с ростом числа блоков, на которое отстает злоумышленник. Поскольку все ставки против него, без удачного рывка в начале его шансы на успех становятся ничтожно малы.

Рассмотрим теперь, как долго получателю платежа стоит ждать, прежде чем он будет полностью уверен, что бывший владелец не сможет отменить транзакцию. Предположим, что злоумышленник-отправитель позволяет адресату некоторое время верить, что платеж был проведен, после чего возвращает деньги себе. Получатель узнает об этом, но мошенник надеется, что будет уже слишком поздно.

Адресат создает новую пару ключей и сообщает свой публичный ключ отправителю прямо перед подписанием транзакции. Это не позволит отправителю заранее начать работать над цепочкой и провести транзакцию в тот момент, когда он будет достаточно удачлив, чтобы совершить рывок вперед. После отправки платежа мошенник начинает втайне работать над параллельной версией цепочки, содержащей альтернативную транзакцию.

Получатель ждет, пока транзакция не будет добавлена в блок и тот не будет продолжен еще z блоками. Ему неизвестен прогресс злоумышленника, но если средняя скорость генерации честных

блоков известная величина, то число блоков атакующего подчиняется распределению Пуассона с математическим ожиданием:

Чтобы получить вероятность того, что атакующий обгонит честных участников, необходимо умножить значение случайной величины (число созданных им блоков) на вероятность того, что он сможет наверстать оставшуюся разницу:

Перегруппировав слагаемые и избавляясь от бесконечного ряда, получаем:

Таким образом, разработчики пришли к выводу, что вероятность экспоненциально падает с ростом z. В биткоин-кошельках это было реализовано в виде подтверждения транзакций.

Выводы

При успешной реализации "атаки 51%", если будет иметь место сговор пулов или использование квантовых компьютеров, злоумышленники не смогут получить прибыль, поскольку это подорвет доверие к сети и произойдет крах курса биткойна.

Для поддержания нормальной работы сети необходимо участие честных майнеров с соответствующими распределенными мощностями. Но компаниям, часто принимающим платежи, необходимо подключаться к сети в обычном режиме, а не по упрощенной схеме, для большей независимости, безопасности и быстроты проверки блоков.

Отдельно стоит отметить, что псевдо-анонимность биткойна позволяет анализировать транзакции, кластеризовать адреса кошельков и, как следствие, идентифицировать личности злоумышленников в случае инцидентов.

Источник: Информационная безопасность

IX ежегодная конференция Бит Урал 2023, состоится 20 апреля 2023 года. Тема конференции: Небезопасная цифровизация, или как выжить в текущих условиях.

Основные тезисы: импортонесовместимость, практика повышения защищëнносити, сетевые и не сетевые атаки, кадровое несоответствие и кадровый голод, текущий некомплаенс, оценка цифровой устойчивости, киберстабильность в новых реалиях, как эксплуатировать КИИ не соответствующие требованиям регуляторов, киберучения очередная таблетка от бизнеса, новые отношения с регулятором, как не выгореть и остаться в отрасли...

Круглый стол с участием регуляторов - РКН, ФСТЭК, ФСБ и МВД.

Источник: Регистрация

О КОСАтка

Корпоративная система аналитики Транзакция Криптовалюта Актив - кибербезопасность инфраструктуры блокчейнов и антифрод в криптовалютной сфере (антискам, прозрачность, комплаенс).

Связаться

Российская Федерация, Москва

Тел.: +7 (911) 999 9868

Факс: 

Почта: cosatca@ueba.su

Сайт: www.ueba.su

Наше сообщество

Зарегистрируйтесь, чтобы получать по почте самую свежую информацию
© 2023 КОСАтка. Все права защищены.                                                                                                                        Грант BTC 1CdD6Xk9RDZ9wyeRqq1uXkktgdaPpGpt8f

Search