28 ноября 2023 года, вышел 5-й номер журнала "Информационная безопасность". В нём была опубликована статья руководителя Санкт-Петербургского регионального отделения АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных — Сайдчейны, кроссчейн-мосты и вопросы безопасности (в разделе Технологии \ Криптография).

Сайдчейны и кроссчейны – это красивые инженерные решения для масштабирования и расширения функциональности блокчейнов, они открывают новые возможности для взаимодействия между различными сетями. Однако с собой они приносят и новые риски в части безопасности. По мере роста популярности системы сайдчейнов и кроссчейнов становятся объектами повышенного внимания злоумышленников и вопросы, связанные с целостностью, конфиденциальностью и доступностью данных, становятся для них все более актуальными.

Сайдчейны

Сайдчейн (Sidechain) – это технология, которая позволяет создавать дополнительные цепи данных, связанные с основной блокчейн-сетью. Идея заключается в том, чтобы улучшить определенные характеристики или функциональность блокчейна, вынося часть операций за пределы базовой цепи. Пользователи могут перемещать свои активы между основной цепью и сайдчейном. Это позволяет улучшать масштабируемость, ускорять транзакции или добавлять новые функции без необходимости внесения изменений в основной блокчейн.

Например, сайдчейн сети Ethereum под названием Polygon PoS обладает производительностью, почти в 500 раз превосходящую скорость родительской сети.

Кроссчейн-мосты

В отличие от сайдчейнов, которые обычно работают как дополнительные цепи данных внутри одной блокчейнсистемы, кроссчейны предполагают взаимодействие между различными блокчейнами, зачастую даже принадлежащими к разным протоколам.

Идея кроссчейна состоит в том, чтобы позволить перемещение активов и данных между разными блокчейнами, обеспечивая интероперабельность между сетями.

Немного истории

В начале блокчейн-эры, когда появился биткоин, первая и самая известная блокчейн-сеть, стали проявляться ограничения по производительности. Блоки в цепи формировались примерно каждые 10 минут, и существовали ограничения на количество транзакций, которые могли быть включены в один блок.

С увеличением популярности криптовалют и блокчейна стало очевидным, что необходимы решения для улучшения производительности и масштабируемости. Задержки в подтверждении транзакций и ограничения по пропускной способности стали проблемами, требующими решения. 

Концепция сайдчейнов начала формироваться как способ решения проблем масштабируемости. Идея заключалась в том, чтобы выносить часть транзакций или операций за пределы основной блокчейн-цепи, чтобы улучшить ее производительность, не изменяя саму цепь.

С течением времени и с развитием блокчейн-технологий исследователи и разработчики начали предлагать конкретные решения и протоколы для реализации сайдчейнов. Различные проекты начали проводить эксперименты с сайдчейнами, тестируя их в реальных условиях. Это позволило сообществу лучше понять преимущества и ограничения данного подхода.

Важно понимать, что каждый сайдчейн самостоятельно обеспечивает свою безопасность. В случае компрометации ущерб остается в рамках этой цепи и не затрагивает основной блокчейн. С другой стороны, если будет скомпрометирован основной блокчейн, сайдчейн продолжит работать, но его привязка к родительской цепи обесценится.

Сходства и различия

Обе концепции направлены на улучшение масштабируемости блокчейна. Они предоставляют механизмы для обработки большего количества транзакций и увеличения производительности системы.

Сайдчейны и кроссчейны разгружают основную цепь от избыточных операций, обеспечивая более эффективное использование ресурсов. Используя сайдчейны и кроссчейны, разработчики могут расширить функциональность своих приложений, добавляя новые возможности и операции.

Смарт-контракты являются строительными блоками для создания сложных и безопасных операций как внутри одного блокчейна, так и между различными блокчейнами. Их автоматизированные и программируемые характеристики существенно улучшают функциональность и эффективность сайдчейнов и кроссчейнов.

Смарт-контракты облегчают выполнение транзакций между различными блокчейнами. Они принимают условия и проверки с одной цепочки и инициируют запрограммированные действия на другой.

Атаки на кроссчейны

Double-Spending

Атака Double-Spending направленна на многократное использование одних и тех же активов в разных блокчейнах. Double-spending реализуется, когда атакующий отправляет одновременно две или более транзакции, расходуя одни и те же криптовалютные средства.

Типичным примером Double-Spending является сценарий Race Attack, при котором атакующий одновременно отправляет две разные транзакции с одинаковыми средствами. Злоумышленник рассчитывает, что обе транзакции будут включены в блоки, что может сработать в блокчейнах с длительным временем генерации блоков.

В малоиспользуемых или низкоуровневых блокчейнах, которые обычно отличаются недостаточным уровнем безопасности, атака Double-Spending может быть еще более успешной, если атакующие смогут внести изменения в исходный код блокчейна или в майнинг-процесс.

Double-Spending остается одним из ключевых вызовов для блокчейн-систем, и исследователи и разработчики продолжают искать эффективные методы борьбы с этой угрозой. Для предотвращения атак Double-Spending блокчейн-системы используют различные защитные меры и протоколы. Методы подтверждения транзакций, такие как Proof-of-Work и Proof-of-Stake, помогают уменьшить вероятность успешной атаки. Многие блокчейны также используют механизмы консенсуса и проверки подлинности для обеспечения безопасности транзакций.

Атаки с повторным входом

Если кроссчейн-мост включает смарт-контракты, злоумышленник может попытаться многократно вызывать функции смарт-контракта перед завершением предыдущего вызова, этот сценарий называют Reentrancy. Обычно он используется для многократного списания средств, изменения состояния контракта или других манипуляций.

Кроме того, кроссчейны подвержены и обычным атакам DoS и DDoS. Для снижения рисков и защиты от этих атак разработчики применяют различные техники: улучшенные смартконтракты, криптографические методы и др. Важным элементом является тщательное тестирование и аудит безопасности при создании кроссчейн-мостов.

В качестве системы защиты используются также многоподписные схемы (Multisignature, Multisig) – это системы криптографических схем, позволяющие нескольким пользователям совместно управлять средствами или совершать транзакции. Чтобы не зависеть от одного ключа или одного пользователя, многоподписные схемы предполагают подписи от нескольких ключей для авторизации и выполнения определенных действий.

Атаки на сайдчейны

Угрозой для сайдчейнов являются атаки 51%, особенно если этому типу атак подвержены используемые в сети консенсусные алгоритмы. Злоумышленник, контролируя большую часть вычислительной мощности сети, может манипулировать транзакциями, отклонять блоки и влиять на общий порядок событий в сайдчейне.

Смарт-контракты в сайдчейнах подвержены рекурсивным атакам, переполнению стека и другим видам эксплойтов. Защита от таких атак требует внимательного аудита смарт-контрактов и использования безопасных программных паттернов. 

И, конечно же, наиболее опасны комбинированные атаки, когда используются сразу несколько методов. Например, злоумышленники могут сочетать атаку 51% с эксплойтом уязвимости в смарт-контрактах для достижения максимального воздействия.

Известные успешные атаки

В феврале 2022 г. стало известно об атаке на кроссчейн-мост Wormhole, который осуществлял обмен активами между сетью Solana и другими блокчейнами, в том числе со сверхпопулярным Ethereum. Злоумышленники обнаружили метод эмиссии необеспеченных токенов, которые они обменяли на реальные криптовалюты. В общей сложности экосистема Solana подверглась четырем атакам, а общий ущерб от них составил $397 млн.

В конце марта 2022 г. атака на сайдчейн Ronin, специально созданный для улучшения масштабируемости и снижения комиссий для пользователей игры Axie Infinit. Благодаря вредоносному ПО в PDF-документе с предложением о работе от несуществующей компании, загруженном одним из сотрудников из электронного письма, злоумышленники успешно осуществили атаку и вывели криптовалютные активы на $625 млн.

Заключение

Технологии сайдчейнов и кроссчейнов используются очень активно, они являются шлюзами обмена средствами и ценностями между разными сегментами рынка криптовалют. Становится понятно, почему хакеры всех мастей обратили свой взор на кроссчейн-мосты и сопутствующие протоколы.

С ними были связаны самые крупные кражи за 2022 г., согласно отчету Chainalysis: в общей сложности ущерб составил сумму, эквивалентную $3 млрд. Примечательно, что эксперты прогнозируют по итогам 2023 г. в разы больший ущерб: уже были зафиксированы крупные атаки на популярные площадки и за несколько месяцев текущего года объем похищенных активов уже сравнялся с показателями 2022 г.

Ведущие аналитические платформы и их специалисты не дремлют, ищут похищенные средства, мошенников, блокируют их на криптовалютных биржах и в протоколах. Такие платформы осуществляют анализ большого объема данных о транзакциях, кластеризацию адресов криптокошельков, ранжирование рисков, визуализацию данных для упрощения анализа.

Участниками рынка очень востребованы новые подходы к Data Science с углублением исследования атрибутов, кроме того, на рынке не хватает аналитиков. Доступны корпоративные решения, есть платформы Open Source, поддерживаемые сообществом экспертов, для анализа транзакций между блокчейнами. Разработан специализированный инструментарий для блокчейн-криминалистики между сайдчейнами и кроссчейнами. 

Для повышения защищенности сайдчейнов и кроссчейн-мостов необходимо повышать прозрачность и стандартизацию, делать аудиты на соответствие отраслевым стандартам и пентесты, обязательно и внедрение безопасной разработки SDLC, в том числе и для повышения качества разработки смарт-контрактов.

Возможно, сейчас блокчейны и кажутся уделом гиков, а их проблемы выглядят локальными. Но блокчейн активно проникает в разнообразные отрасли экономики и приживается там в виде инновационных бизнес-приложений. Все риски, присущие технологии, становятся актуальными не только для криптовалютных организаций, но и для традиционных сфер. Поэтому готовность к защите критичных процессов на базе блокчейнов через три-пять лет должна закладываться уже сегодня.

Источник: Информационная безопасность

29 сентября 2023 года, вышел 4-й номер журнала "Информационная безопасность". В нём была опубликована статья руководителя Санкт-Петербургского регионального отделения АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных — Доказательство с нулевым разглашением и его роль в информационной безопасности (в разделе Технологии \ Криптография).

Довольно часто фундаментальные исследования прошлого века обретают новую жизнь в современном мире, находя свое применение на переднем крае технологий. Одним из таких примеров стала идея доказательства с нулевым разглашением, которая органично вписалась в вопросы информационной безопасности.

Что такое доказательство с нулевым разглашением?

Доказательство с нулевым разглашением (Zero-Knowledge Proof, ZK-доказательства, ZKP) – это криптографический протокол, который позволяет одному лицу (доказывающему) убедить другого (проверяющего) в том, что некоторое конкретное утверждение верно, не раскрывая никаких подробностей о самом утверждении. То есть одна сторона может доказать, что знает секретные данные, не раскрывая их или их детали, а вторая может только убедиться, что доказывающая сторона имеет доступ к этой информации.

Эта концепция играет важную роль в информационной безопасности вообще и в сфере блокчейн-технологий в частности. В качестве примеров ее применения можно привести аутентификацию без раскрытия пароля, проверку ПДн без их публикации, доказательство владения определенным частным ключом в блокчейне без публичного раскрытия этого ключа.

История вопроса

Идея доказательств с нулевым разглашением была предложена в работе "The Knowledge Complexity of Interactive ProofSystems" авторами Шафи Голдвассер, Сильвио Микали и Чарльз Раккофф в далеком 1985 г. 

Исследователи представили новый класс протоколов интерактивных доказательств, которые позволяют одной стороне доказывать свое знание о некоторой информации без раскрытия самой информации. Этот важный концепт привлек много внимания и был затем усовершенствован в последующих работах.

Канонически доказательство с нулевым разглашением должно соответствовать следующим трем критериям:

- полнота: проверяющий примет доказательство с высокой вероятностью, если утверждение истинно, а проверяющая и доказывающая сторона придерживаются протокола;

- обоснованность: если утверждение не соответствует действительности, ни один доказывающий не должен быть в состоянии убедить проверяющего в обратном, за исключением случаев стечения крайне маловероятных обстоятельств;

- нулевое знание: даже после взаимодействия с доказывающей стороной проверяющий понимает только истинность утверждения и ничего больше не знает о секрете.

Понятие знания играет фундаментальную роль в концепции доказательств с нулевым разглашением. Знание описывает информацию или данные, которые доказывающая сторона знает или обладает ими. Это может быть, например, секретный ключ, пароль, номер паспорта и т. п.

Доказательство знания заключается в том, чтобы, используя математические и криптографические методы, убедить проверяющую сторону, что доказывающая сторона реально обладает знанием, не раскрывая при этом сами данные или информацию.

Примером реализации идеи может служить неинтерактивный протокол ZK-SNARK (ZeroKnowledge Succinct Non-Interactive Argument of Knowledge). Неинтерактивность в данном случае подразумевает, что доказательство представляет собой блок данных и не требует прямого взаимодействия сторон протокола.

Роль цифровой подписи в ZK-доказательствах

Цифровая подпись – это важный компонент для создания безопасных и приватных ZKдоказательств, позволяющий доказывающей стороне аутентифицировать себя и подтверждать правильность утверждений без раскрытия конфиденциальных данных.

Цифровая подпись позволяет доказать, что отправитель знает закрытый ключ, который соответствует открытому ключу, используемому для верификации. Подпись также обеспечивает подтверждение целостности данных. В ZK-доказательствах отправитель может использовать цифровую подпись для демонстрации того, что данные не были изменены после их подписания.

Цифровая подпись может использоваться в ZK-доказательствах для подтверждения правильности определенных операций без раскрытия конкретных данных. Например, отправитель может подписать хеш данных и предоставить его для верификации вместо самих данных.

Области применения

Конечно же, ZK-доказательства для повышения конфиденциальности транзакций и масштабируемости имеют важное значение в мире блокчейна как в наиболее подготовленной для инновация сфере. Они позволяют осуществлять анонимные транзакции без раскрытия их деталей или личности участников. Так работает, например, блокчейн Zcash, а сеть Ethereum использует ZK-Rollups для создания сжатых доказательств о состоянии целой группы транзакций, что позволяет значительно увеличить производительность блокчейна.

ZK-доказательства могут использоваться в полях аутентификации и контроля доступа, чтобы продемонстрировать знание пароля или криптографического ключа, не раскрывая сам пароль или ключ.

ZK-доказательства также используются в системах электронного голосования, где они позволяют избирателям продемонстрировать легитимность своего волеизъявления, не раскрывая подробностей голосования, защищая целостность избирательного процесса.

Доказательства с нулевым разглашением могут улучшить конфиденциальность транзакций в цифровых валютах центрального банка (CBDC), облегчая частные транзакции и поддерживая анонимность пользователей. Балансируя между конфиденциальностью и прозрачностью транзакций CBDC, ZKP обеспечивает возможность аудита без раскрытия специфики транзакции. Например, в технологии цифрового рубля ZKP можно использовать для повышения конфиденциальности, а также для сохранения анонимности при трансграничных переводах между разрабатываемым белорусским цифровым рублем и перспективной единой цифровой валютой БРИКС.

В качестве еще одного приложения можно привести Filecoin, децентрализованное хранилище данных, которое использует ZK-SNARK для обеспечения безопасной и эффективной проверки целостности данных, хранящихся на сети.

Недостатки

Доказательства с нулевым разглашением могут подвергаться различным видам атак:

1. Атака на приватность. Злоумышленник может попытаться извлечь конфиденциальную информацию, которая должна оставаться скрытой в процессе проведения ZKP. Это может

произойти, если протокол ZKP не обеспечивает адекватную конфиденциальность.

2. Подделка доказательства. Злоумышленник может попытаться создать ложное доказательство и представить его как действительное. Протокол ZKP должен быть устойчив

к подобным атакам.

3. Атаки на параметры. Злоумышленник может выбирать параметры так, чтобы они облегчили взлом системы: выбор ненадежных хеш-функций, кривых эллиптической криптографии и т. д.

4. Уязвимости в коде. Недостаточно безопасные или уязвимые реализации ZKP-протоколов могут стать точкой входа для атак.

5. Атаки на хеширование или криптографические алгоритмы.

6. Атаки на передачу данных.

При передаче ZKP через сеть может существовать риск перехвата или модификации данных, что может повлиять на их целостность и конфиденциальность. Есть и другие недостатки ZKP, не связанные с информационной безопасностью.

Разработка и проверка ZKдоказательств может быть трудоемкой с точки зрения ресурсов и вычислений, особенно для сложных вариантов реализации технологии. Увеличение времени обработки транзакций и объема вычислительной работы может затруднить масштабирование блокчейн-систем.

Кроме того, ZK-доказательства добавляют новый уровень сложности к исходной информационной системе, затрудняя ее аудит и проверку протокола. В свою очередь, это создает риск в части информационной безопасности и эксплуатации незамеченных багов.

Заключение

Уже сегодня технологию доказательства с нулевым разглашением в совокупности с блокчейнами и распределенными реестрами можно эффективно использовать в сфере защиты данных, в том числе и ПДн. При этом сами данные могут вообще не передаваться по внешней сети, а пользователь сможет в режиме онлайн отслеживать согласия на обработку.

В настоящее время у технического комитета ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection находятся в разработке рекомендации по сохранению конфиденциальности, основанные на доказательствах с нулевым разглашением (ISO/IEC WD

27565.3).

Этот документ будет содержать рекомендации по использованию доказательств с нулевым разглашением для улучшения конфиденциальности путем снижения рисков, связанных с совместным использованием или передачей персональных данных между организациями и пользователями, путем сведения к минимуму объема передаваемой информации.

В нем будут приведены несколько функциональных требований ZKP, относящихся к целому ряду различных вариантов бизнес-использования, а затем описано, как можно использовать различные модели ZKP для надежного удовлетворения этих функциональных требований.

Источник: Информационная безопасность

30 Июля 2023 года в одиннадцатый раз открыла свои двери для слушателей Летняя Школа CTF – высококлассный интенсив по информационной безопасности от лучших в своём деле! В этом году среди слушателей и гостей были не только наши соотечественники, но и представители международного CTF-сообщества.

Топовые спикеры ведущих российских компаний выступили с более чем 30-ю докладами, донося до аудитории последние тренды и самую актуальную информацию из мира информационной безопасности. Не забыли организаторы и о смежных сферах, которые могли бы помочь ребятам на пути становления в качестве защитника информации. 

Полное погружение в тему, развитие уже имеющихся и овладение новыми навыками, активный отдых и практические задания, а также тренинги, мастер-классы, Хакатон, технические лабораторные и развлекательная программа – всё это ждало 77 слушателей одиннадцатой летней смены, 26 из которых попали на интенсив совершенно бесплатно, благодаря грантам от наших партнёров.

Мероприятие проводилось при поддержке НАМИБ, Минцифры России и Губернатора Московской области.

Первым делом! Формирование команд

Открыл неделю командный этап хак-квеста, который представляет собой не только отличную возможность впервые проявить себя, но и познакомиться с другими слушателями ЛШ, выполняя общие задачи.

Первая часть квеста была больше нацелена именно на знакомство ребят друг с другом: участникам предлагались простые задания, основной целью которых являлась работа в команде, сплочение коллектива и знакомство с территорией (пройтись вместе по натянутой веревке, передать информацию посредством пантомимы и т.д.)

На втором этапе ребятам уже было необходимо научиться ориентироваться на местности и при помощи мобильных устройств решать CTF-задачки, уровень сложности которых постепенно возрастал.

Таким образом, уже на самом старте участники могли понять свои сильные и слабые стороны, а организаторы, внимательно следившие за ходом мероприятия, в свою очередь, подсказать оптимальные пути решения возникших проблем.

Основываясь на достижениях, манере поведения и особенностях освоения этапов хак-квеста, а также по результатам прохождения тестирования, состоявшегося ещё до старта Летней Школы, были сформированы 11 команд, во главе которых были поставлены индивидуальные кураторы.

Практическая часть

Практическая часть Летней Школы CTF состояла из ежедневных задач, интенсивов, мастер классов и лабораторных работ, в число которых входили:

1) Таск дня – выдавались участникам ровно на 24 часа, по истечении отведённого времени сдать их было нельзя. Сами таски охватывали широкий спектр CTF-задач:

· OSINT;

· элементы Социальной Инженерии;

· креативные задачи;

· задачи на внимательность и так далее.

2) Умный Дом – ряд задач, при решении которых не было привычного флага, но происходили какие-либо физические действия - отключение света/системы вентиляции, включение электрической дуги или насоса для перекачки жидкости, открытие электронного замка и т.п.

3) 36-часовой Хакатон для всех команд – в этом году в качестве задания участникам было предложено «доработать» действующего бота ЛШ или предложить новые интересные задумки для него. Сложность была в том, что сперва было необходимо разобраться в действующем коде, а уже потом делать свою прослойку.

4) AntiCTF – разработка собственных заданий в формате CTF и последующая четырёхчасовая игра среди команд.

5) LastCTF – AntiCTF от участников прошлой ЛШ.

6) Проведение лабораторных работ по Attack-Defence. 

7) Лабораторная работа по сетевому администрированию VSFI.

8) Тематическое задание «Танк» – участникам необходимо было разобраться с действующей конфигурацией танка и написать собственную прошивку, а также сделать электронную подпись к ней, залить всё в предоставленный гитлаб и успешно пройти CI/CD проверки.

9) Классический FlappyBird, но в усложненной конструкции - в этом году требовалось быстро и точно нажимать определенные клавиши, чтобы птичка летела. 

10) Мастер-класс по Security Operation Center (SOC) – расследование реального инцидента и восстановление событий по цепочке логов.

11) WAF ByPass – задача на обход фильтров WAF по разным векторам.

12) Дополнительные таски по различным категориям - криптография, веб-уязвимости, ppc.

13) Отдельное новшество этой ЛШ - новое командное задание на распайку различных конструкций. В зависимости от уровня сложности (робот, светодиодный куб, металлодетектор и т.д.) команде выдавался набор для самостоятельной сборки (DIY) определенного типа. Задачей было полностью распаять данную конструкцию и продемонстрировать ее работоспособность. 

14) Задание на построение модели системы защиты облачного сервиса - задача от нашего партнера Координационного Центра РФ. 

За решение практических заданий участники получали баллы в два зачета: командный и индивидуальный. На закрытии Летней школы те, кто набрал наибольшее количество баллов, получили подарки от наших партнеров.

Победители:

Личный зачет 1 место - Световой Владислав

Личный зачет 2 место - Пахомов Глеб

Личный зачет 3 место - Черкасов Евгений

Командный зачет 1 место – Slammer

Командный зачет 2 место – Nimbda

Командный зачет 3 место - Enigma

Спикеры, лекции, семинары 

Каждый год мы стремимся дать слушателям Летней Школы самую полную и актуальную информацию по всем направлениям, для чего приглашаем топовых экспертов отрасли, готовых поделиться с новым поколением безопасников бесценным опытом становления и активной работы в сфере информационной безопасности. 

Мастер-класс «Коммуникация» (Татьяна Ширяева, Виктор Минин) и тренинг по профайлингу от Даниила Лобанова помогли ребятам лучше понять алгоритмы работы в команде, прокачать коммуникационные и социальные навыки, необходимые для создания любой успешной команды. Ведь CTF – это в первую очередь коллектив, общение и решение конфликтов в котором являются залогом долгой и продуктивной работы. 

Буквально за неделю до старта Летней Школы с Северного Полюса вернулся наш бессменный спикер, «любимый разведчик Кремля» и ведущий эксперт по конкурентной разведке Андрей Масалович, известный также под псевдонимом КиберДед.

В свои 62 года Андрей Игоревич способен зарядить энергией небольшую электростанцию, является гвоздём программы крупнейшей российской конференции Positive Hack Days и, несмотря на санкции, наложенные на него в этом году, за «продажу инструмента для слежки на базе больших данных», обретает всё большую популярность в среде как совсем юных, так и опытных безопасников, чему, помимо прочего, способствовал и выход книги «Кибердед знает».

Разработанная им система интернет-разведки Avalanche, ставшая предметом яростных дебатов в сети не только в России, но и далеко за её пределами, уже более 10 лет успешно справляется с поставленными задачами.

Слушателям Летней Школы посчастливилось из первых уст получить информацию о том, как извлекать информацию из больших баз данных и гаджетов, из невидимого интернета и интернета вещей. Такой навык становится особенно полезным в турбулентные времена. Сегодня OSINT (Open Source INTelligence - разведка по открытым источникам) это не просто сбор информации о конкретных объектах интереса, а инструмент выживания и процветания.

В докладе рассматривались более двадцати новых приемов и инструментов интернет-разведки. Приятным бонусом стала подаренная всем участникам интенсива книга Андрея Игоревича с персональным автографом. 

Пообщался со слушателями Летней Школы и Мустафин Ильназ – руководитель направления безопасной разработки компании Киберпротект, начавший свой путь в IT более 10 лет назад с Service Desk. Ильназ представил доклад на тему «Безопасный код: вселенная без "черных дыр"», в котором рассказал о:

- принципах secure by design;

- безопасном коде и том, каким тот должен быть;

- как выстроить процесс SSDLC (Безопасная разработка);

- для чего нужны DevSecOps в SSDLC;

- поиски "черных дыр", перед релизом.

Отдельно хотелось бы отметить, что компания Киберпротект выступила спонсором гранта, благодаря чему на безвозмездной основе на ЛШ2023 смог попасть ещё один одарённый участник!

Уже который год подряд мы были рады приветствовать в стенах Летней Школы Дмитрия Склярова - ведущего аналитика Positive Technologies, руководителя отдела исследования приложений, доцента кафедры информационной безопасности МГТУ и автора книги «Искусство защиты и взлома информации». Дмитрий занимается анализом двоичного кода, недокументированных протоколов и структур данных.

Участники интенсива с большим интересом прослушали доклад эксперта «Я реверсер, я так вижу!», в рамках которого эксперт поделился своим опытом и взглядами на причины проблем с кодом и процессы, которые эти проблемы призваны ликвидировать.

Организаторы сердечно благодарят всех спикеров, выкроивших в своём рабочем графике время, чтобы посетить Летнюю Школу CTF и пообщаться со слушателями интенсива! Каждому хочется выразить слова благодарности, каждого отметить. Именно благодаря вам растёт новое поколение заинтересованных, мотивированных безопасников, способных обеспечить достойную защиту данных, и по-настоящему увлечённых своим делом специалистов!

Особые гости

Летнюю Школу CTF 2023 посетили и особые гости. И первым делом мы бы хотели рассказать о выдающейся личности, полковнике в отставке, разведчице-нелегале Людмиле Ивановне Нуйкиной!

Вместе с мужем она до 1986 года работала в более чем 18 странах мира. Успешно решала большой комплекс стоящих перед разведкой задач. Разведчики-нелегалы трудились в государствах с жестким административно-полицейским режимом в условиях, сопряженных с риском для жизни. Мужественно преодолевали все трудности.

Активная оперативная деятельность супругов была нацелена на добывание сведений экономического, военно-политического и научно- технического характера, а также на ведение поисковой работы среди представляющего интерес вербовочного контингента. Людмила Ивановна лично участвовала в обеспечении и успешном проведении ряда ответственных оперативных мероприятий. 

Рады сообщить, что совсем скоро выйдет видеоинтервью с участием этого знакового для нашей разведки человека, которое будет опубликовано в ВК-группе Летней Школы CTF!

Прекрасной возможностью больше узнать об истории CTF, услышать о взлётах и падениях региональных соревнований и в целом проникнуться атмосферой нашего CTF-комьюнити воспользовались преподаватели самых разных вузов:

· ТюмГУ

· СурГУ

· ИТМО 

· Кубанский институт информзащиты 

· ПГУТИ

· КИП ФИН

· ННГУ

· Университет МВД им. Кикотя В.Я.

· МЦК-КТИТС

· МУИТ (Казахстан)

Помимо прочего, для уважаемых гостей были проведены отдельные семинары, способствовавшие лучшему пониманию организационных вопросов, связанных с проведением и подготовкой к CTF-соревнованиям. Более опытные коллеги поделились своими наработками относительно того, как встроить обучение и тренировки в образовательный процесс, чтобы не перегрузить учебный план. Говорили о трудностях, с которыми могут столкнуться организаторы и преподаватели и о том, как с ними лучше справляться.

Посетили наш интенсив и гости из Казахстана и Монголии. Ребята всё активнее проявляют себя в CTF-комьюнити и с большим азартом относятся к стоящим перед ними задачам по развитию CTF-движения в своих регионах. В рамках проведения VIКубка CTFРоссии мы уже встречались с талантливыми участниками из казахской команды SCIMUS_VERUM и очень рады были приветствовать новых, искренне заинтересованных темой ИБ ребят на Летней Школе 2023. Делиться опытом с людьми, увлечёнными нашим общим делом – настоящий подарок!

Искренне надеемся, что столь конструктивное общение и обмен опытом посодействуют еще более стремительному развитию CTF-движения как в России, так и за её пределами.

Отдельно хотелось бы отметить выступление исполнительного директора Всероссийского общественного движения наставников детей и молодежи «Наставники России», ведущего аналитика Центра развития и воспитания личности ФГБУ Российской академии образования Андрея Самотоина. В рамках диалога с аудиторией Андрей Николаевич говорил о важности ближайшего окружения любого человека, особенно только начинающего свой путь становления и личностного роста.

Также на гостевой основе присутствовали и ребята, только начинающие интересоваться темой ИБ. Впечатлённые той атмосферой и пользой, которыми пропитан наш интенсив, они серьёзно занялись самоподготовкой и готовятся присоединиться к слушателям Летней Школы в следующем году! 

Развлекательная часть

Не забыли организаторы и о том, что на дворе стоит прекрасная погода, а качественный отдых лишь способствует лучшему усвоению материала! Мы приложили максимум усилий, чтобы обучение ребят проходило в комфортной среде, создавали условия не только для получения знаний, но и общения, налаживания связей; проводили «Угадай мелодию», «Что? Где? Когда?», дискотеку, караоке, спортивные игры, «Киллера», фестиваль красок холи и многое другое.

Очень «душевным и тёплым» мероприятием, по словам самих участников, получилось неофициальное закрытие летней смены 2023: после высказанных организаторам слов благодарности, был зажжён огромный костёр, рядом с которым все могли поучаствовать в «Обнимашках» и повязать друг другу ниточку на память, сопроводив ту тёплыми словами и пожеланиями.

Отмечать день флага Российской Федерации стало уже доброй традицией. Каждый год на Летней Школе мы заранее празднуем этот день и в этот раз он прошёл не менее ярко, чем в предыдущие, завершившись ярким праздником красок холи, так полюбившимся нашим участникам.

Круглый стол АРСИБ

В рамках Летней Школы CTFбыл проведён круглый стол Ассоциации руководителей служб информационной безопасности, главной задачей которого являлось построение доверительной и эффективной коммуникации между ведущими экспертами в области информационной безопасности и аудиторией.

Специалисты делились своим опытом и рассказывали ребятам о входе в профессию, о том, насколько актуальна и востребована на сегодняшний день специальность сотрудника служб информационной безопасности, разбирали кейсы и не упускали возможность разрядить атмосферу парой-тройкой забавных случаев из практики.

12 экспертов – 12 историй становления в профессии – 12 пожеланий и напутствий слушателям ЛШ2023.

География участников

Всего для участия в интенсиве были отобраны 77 участников из России и ближнего зарубежья. Ребята приехали к нам из таких городов, как:

· Алматы

· Воронеж 

· Дзержинск, Нижегородская область/ Нижний Новгород

· Ростов-на-Дону

· Донецк

· Екатеринбург 

· Зеленоград

· Казань

· Канск 

· Котельники

· Красногорск 

· Краснодар

· Москва 

· Мытищи

· Орел

· Пушкино

· Санкт-Петербург

· Сургут

· Таганрог

· Томск

· Тюмень

· Уфа

Список образовательных организаций:

Школа №618

Школа №152

Школа №179

Школа №31 Санкт-Петербург

Школа "Интеграл"

Школа Космонавтики

Лицей №1580 им Н.Э. Баумана

Лицей №153

Лицей НИУ ВШЭ

Школа "Летово"

Воронежский Государственный Унивеститет

Донецкий Национальный Университет (ДонНУ)

Казанский Федеральный Университет

КИП ФИН

Колледж связи №54

КПК РТУ (МИРЭА)

Краснодарский Университет МВД России

МАИ

МГТУ имени Н.Э. Баумана

Московский Университет МВД им. В.Я. Кикотя

МТУСИ

МУИТ

ННГУ им Н. И Лобачевского

РТУ (МИРЭА)

Санкт-Петербургский университет МВД

СурГУ

ТУСУР

ТюмГУ

Университет ИТМО

УрФУ

ЮФУ

Ithub

Дополнительная информация 

LETOCTFBOT

В этом году мы вновь не стали отказываться от предоставления возможности всем желающим попасть на Летнюю Школу совершенно бесплатно! 1 июня был запущен LETOCTFBOT, в рамках взаимодействия с которым ребята могли заранее оценить уровень собственной подготовки и выиграть поездку на летнюю смену, набрав максимальное количество баллов за решение тасков.

Каждую неделю пользователи получали новое задание, на решение которого отводилось 7 дней. По истечении отведённого срока организаторы публиковали верное решение, после чего участники могли продолжить решение таска лишь вне зачёта.

В этом году победителем среди 340 претендентов стала Авдеева Лиза и неудивительно, что именно ей также был выделен грант одним из наших партнёров, а потому решением оргкомитета главный приз перешёл к следующему за Лизой конкурсанту, которым стал Гантумур Золбообаяр из Монголии! Расходы на его проживание, обучение и дорогу полностью взяли на себя организаторы Летней Школы.

Собеседования перед зачислением 

Новшеством этого года стало введение личных бесед перед зачислением в ряды слушателей интенсива. Всего было проведено 250 собеседований, по результатам которых зачислены 77 участников.

Место проведения

Летняя Школа CTF – это не только прекрасная возможность прокачать свои знания, но и провести 10 дней в экологически чистой лесопарковой зоне! Каждый год мы тщательно выбираем место для проведения интенсива.

Стараемся учесть всё: удобство расположения, наличие необходимого оборудования и комфортабельных конференц-залов для проведения лекций; следим за питанием и здоровьем наших подопечных. Наличие особенностей развития или патологий здоровья, требующих отдельного питания или особого подхода, – не причина отказываться от участия в Летней Школе, мы просим лишь заранее известить организаторов о подобных нюансах!

В этом году Летняя Школа вновь проводилась в учебно-оздоровительном комплексе «Лесное озеро» Финансового университета при Правительстве Российской Федерации. На территории комплекса расположены 2 жилых корпуса, медицинский корпус, соединенный с главным корпусом крытым отапливаемым переходом, 2 коттеджа, спортивные площадки различных направлений: мини-футбол, баскетбол, волейбол, большой теннис, множество зон отдыха с беседками.

Сам же комплекс раскинулся на берегу живописного Истринского водохранилища, что в 70 км от Москвы, в Солнечногорском районе.

Буст ваших знаний + здоровый отдых = Летняя Школа CTF 2023!

Заключение

Летняя Школа CTF – это проект, который делают Люди! Организаторы, спонсоры, партнёры грантов, транспортная и техническая команды, медиагруппа, спикеры, кураторы, наставники и сами участники – благодаря каждому из вас этот проект живёт, развивается и с каждым годом получает всё большие возможности для передачи бесценного опыта и знаний подрастающему поколению ИБ-специалистов. Вклад каждого имеет свой, особое значение для общего дела, и мы благодарим всех, кто принимал участие и помогал в организации Летней Школы CTF 2023!

Особую благодарность выражаем принимающей стороне - учебно-оздоровительному комплексу «Лесное озеро» Финансового университета при Правительстве Российской Федерации и лично ректору университета Прокофьеву Станиславу Евгеньевичу и его команде.

А также Всероссийскому общественному движению наставников детей и молодежи «Наставники России».

Кому сказать "спасибо" за Летнюю школу 2023?

За помощь в организации XI Летней Школы CTF 2023 Ассоциация руководителей служб информационной безопасности выражает благодарность спикерам, партнерам и всем неравнодушным людям и компаниям. Наше мероприятие состоялось благодаря Вам. Спасибо!

Отдельно благодарим за поддержку НАМИБ, Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации и губернатора Подмосковья Андрея Воробьева.

Особую благодарность выражаем генеральному и официальному партнерам - RDP и Сбер.

Спасибо нашим партнерам за материальную и техническую поддержку.

Партнеры: Гознак, Координационный центр доменов .RU/.РФ, Лаборатория Касперского.

Партнеры грантов: Киберпротект, НТЦ «Вулкан», EdgeЦентр, «SearchInform», УЦСБ, «ИнфоТек», Код Безопасности, «Star Force», «White Hack», Positive Technologies, UserGate, T1 Watchman.

Генеральный информационный партнер: Хакер.

Информационный партнер: CTF News.

Технологические партнеры: ПАО «МТС», UserGate, компания «Актив Софт».

Особая благодарность за предоставление широкополосного Интернета команде компании МТС.

Транспортный партнер: ИАЦ «Борей».

Спасибо всем спикерам за ваши доклады и знания, которые увезли с собой наши участники!

Александр Молчанов, Александр Трунев, Алексей Гуляев, Андрей Масалович, Артем Избаенков, Артем Калашников, Вадим Михайлов, Виктория Елагина, Виталий Васюнин, Владимир Иванов, Владимир Черепанов, Глеб Марченко, Даниил Лобанов, Дмитрий Муковкин, Дмитрий Скляров, Евгений Царев, Евгений Широков, Ирина Слонкина, Людмила Нуйкина, Максим Подобаев, Никита Бекетов, Сергей Голованов, Татьяна Ширяева.

Отдельную благодарность выражаем всем, кто помогал нам в реализации проекта!

Александр Будников, Александр Меньщиков, Александр Смирнов, Александр Шойтов, Александра Троцкая, Алексей Гуляев, Алексей Посикера, Алексей Фомин, Алина Алексеева, Анастасия Дюмулен, Анастасия Пан, Анастасия Шишкова, Андрей Глухарев, Андрей Голов, Андрей Крутских, Андрей Масалович, Андрей Чахеев, Анна Балухта, Анна Коротышева, Антон Быков, Антон Марков, Арсений Ларченков, Арсений Палагин, Артем Калашников, Богдан Кондратьев, Вадим Михайлов, Вадим Ружников, Вероника Гаршина, Виктор Покусов, Виктория Бунчук, Виктория Сабурская, Владимир Иванов, Владимир Лось, Вячеслав Новиков, Галина Козырева, Глеб Сердитых, Григорий Остапенко, Даниил Лобанов, Данил Заколдаев, Денис Масленников, Денис Петровский, Дмитрий Богданов, Дмитрий Гусев, Дмитрий Муковкин, Дмитрий Федоров, Евгений Царев, Екатерина Сватова, Елена Федина, Елизавета Антонова, Иван Нагорнов, Игорь Душа, Игорь Захаренков, Игорь Макаров, Игорь Морозов, Ильназ Мустафин, Ипполит Дюмулен, Ирина Корх, Ирина Поздняк, Искандер Зулькарнеев, Искандер Зулькарнеев, Кристина Сауберг, Ксения Харламова, Леонид Ротков, Максим Куликов, Максим Марушкин, Максим Подобаев, Марина Шутова, Михаил Кадер, Наталья Михайленко, Никита Полуэктов, Николай Микрюков, Оксана Полякова, Олег Иевлев, Олег Томниковский, Ольга Баскакова, Ольга Горлова, Ольга Карпунина, Павел Горбачев, Рустам Хидиятуллин, Саркис Шмавонян, Сауле Аманжолова, Сергей Будников, Сергей Волков, Сергей Голованов, Сергей Горелик, Сергей Коношенко, Сергей Лебедь, Сергей Ожегов, Сергей Сухман, Сергей Ширяев, Станислав Шевченко, Татьяна Ровенская, Элина Яруллина, Юлия Бахмутова, Юлия Черникина, Юрий Багров, Юрий Рожнов.

Спасибо команде организаторов Летней школы за всю проделанную работу!

Александр Котов, Александра Мартынова, Алексей Гуляев, Алексей Овчинников, Алиса Соболева, Антон Зеунов, Арина Казанцева, Валерия Кириллова., Виктор Минин, Галина Котлова, Даниил Лобанов, Даниил Ширшов, Евгений Емельянов, Елизавета Антонова, Иван Краснопольский, Кирилл Минин, Лев Хакимов, Максим Подобаев, Максим Смирнов, Маргарита Карева, Маргарита Рублева, Наталия Бекасова, Наталья Мануйлова, Никита Бекетов, Сергей Кузнецов.

Благодарим членов Ассоциации руководителей служб информационной безопасности (АРСИБ) за активное участие в нашем мероприятии!

Александр Мишурин, Александр Першин, Алексей Подмарев, Андрей Нуйкин, Артем Избаенков, Владимир Бугров, Дмитрий Костров, Илья Алексенко, Марат Шамсудинов, Мария Худышева, Михаил Смирнов, Ольга Курбанова, Сергей Голяк.

Источники:

«Летняя Школа CTF 2023»: итоги | ACISO CTF | Дзен

Кому сказать "спасибо" за Летнюю школу 2023? | ACISO CTF | Дзен

19 июля 2023 ведущее отраслевое издание Cointelegraph опубликовало статью: «Российская ЦВЦБ к 2025 году? Что происходит с цифровым рублем». Автор материала – David Attlee… 2025-2027 годы могут показаться далекими, но к этому времени Центральный банк России готовит свою ЦВЦБ к массовому внедрению.

Проект Центрального банка Российской Федерации (ЦБ РФ) по цифровой валюте центрального банка (ЦВЦБ) стремительно развивается. Первые новости об инициативе появились в 2020 году, а в 2022 году был внесен законопроект о регулировании, который сейчас прошел окончательное чтение в нижней палате парламента, Думе.

Однако, окончательное внедрение «цифрового рубля» среди широкой общественности произойдет не раньше 2025-2027 гг., как недавно сообщила первый заместитель председателя ЦБ РФ Ольга Скоробогатова.

График по-прежнему выглядит оптимистичным в глобальном контексте. Согласно недавнему отчету PwC, к 2030 году только около 24 ЦВЦБ могут быть активны. Но для страны, активно ищущей способы международной торговли в условиях жестких финансовых санкций, такие сроки могут показаться относительно медленными.

Взлеты и падения цифрового рубля

В 2017 году ЦБ РФ объявил о своей заинтересованности в изучении идеи цифровой валюты. В то время Скоробогатова подчеркнула, что разработка ЦВЦБ является приоритетной задачей и ЦБ РФ вскоре проведет исследование. Однако, глава банка Эльвира Набиуллина не считала это главным приоритетом и рассматривала как нечто, требующее изучения в средне- и долгосрочной перспективе.

В 2022 году ЦБ РФ сообщил, что планирует внедрить цифровой рубль во всех банках страны к 2024 году. Регулятор пояснил, что внедрение будет осуществляться поэтапно и потребует обширного тестирования и развития инфраструктуры. По мнению центрального банка, цифровой рубль будет сосуществовать с традиционными системами наличных и безналичных платежей, предоставляя потребителям большую гибкость в их транзакциях.

В феврале 2023 года Скоробогатова сделала публичное объявление о первом потребительском пилотном проекте цифрового рубля, запуск которого запланирован на 1 апреля 2023 года. В пилотном тестировании примут участие 13 местных банков, многочисленные продавцы (ритейл) и реальные потребители.

В том же месяце Газпромбанк, дочерняя компания государственной энергетической корпорации "Газпром" и один из участников пилотного проекта, публично предложил дать банкам больше времени перед внедрением ЦВЦБ. Действительно, опасения банка были понятны, поскольку, по оценкам аудиторской фирмы McKinsey, российские банки могут потерять 3,5 миллиарда долларов комиссионных за пять лет из-за затрат на ЦВЦБ.

Запуск пилотного проекта в конечном итоге был отложен вместе с принятием законопроекта о цифровом рубле в Думе. Измененный законопроект устанавливает ключевые юридические определения, такие как “платформа”, “участники” и “пользователи”, а также излагает общие руководящие принципы для экосистемы ЦВЦБ.

В соответствии с действующими правилами ЦБ РФ берет на себя роль основного оператора инфраструктуры цифрового рубля и несет ответственность за сохранность всех хранящихся активов.

Поскольку основная цель ЦВЦБ - служить средством оплаты и перевода средств, у пользователей цифрового рубля не будет возможности открывать сберегательные счета. Индивидуальные клиенты будут пользоваться бесплатными платежами и переводами, в то время как с корпоративных клиентов будет взиматься комиссия в размере 0,3% от суммы платежа.

Чего ожидать в 2025 году?

6 июля Скоробогатова из ЦБ РФ заявила, что каждый гражданин сможет открыть кошелек, получать цифровые рубли и использовать их на горизонте 2025-27 годов.

Она уточнила, что многое зависит от банков и их готовности внедрить необходимую инфраструктуру, поскольку частные банки будут облегчать операции с цифровыми рублями в рамках своих стандартных приложений, при этом весь процесс посредничества центрального банка будет более или менее незаметен для конечного клиента. Скоробогатова подчеркнула: “Цифровой рубль - это не криптовалюта или стейблкоин, у которых часто нет эмитента или вы его не знаете”.

Александр Подобных, глава Санкт-Петербургского отделения Ассоциации руководителей служб информационной безопасности (консалтинговой организации по кибербезопасности), участвующей в разработке законодательства ЦВЦБ, - считает крайний срок 2025-2027 гг. реалистичным и, что тестовая инфраструктура готова к пилотному внедрению цифрового рубля:

«Сейчас в тестировании задействовано около 30 юридических лиц — это банки, розничная торговля и индивидуальные предприниматели. До 2027 года в нем примут участие до 1500 субъектов (включая физических лиц). По завершении тестирования будут разработаны рекомендации по масштабированию.»

Подобных также упомянул о предстоящих обновлениях Федерального закона № 115, регулирующего процедуры борьбы с отмыванием денег и финансированием терроризма. Предлагаемые поправки будут учитывать новые формы обмена, чтобы помочь ведомствам финансового мониторинга анализировать транзакции ЦВЦБ.

Елена Ключарева, старший юрист российской юридической фирмы KKMP, также не видит никаких аномалий в сроках 2025-2027 годов. «Задержка с внедрением цифрового рубля может быть связана главным образом с техническими аспектами», - сказала она Cointelegraph. Инфраструктура, предусмотренная концепцией ЦБ РФ, сложна и должна облегчать не только онлайн, но и офлайн-транзакции и обеспечивать высокий уровень кибербезопасности. Ключарева добавила, что такая инфраструктура будет базироваться в основном на отечественных программных решениях из-за международных санкций:

«Согласно предыдущим комментариям ЦБ РФ, они не хотят намеренно ускорять процесс, но хотят убедиться, что платформа цифрового рубля функционирует должным образом и является надежной».

Решение отложить внедрение российской цифровой валюты следует рассматривать не как провал проекта, а как попытку разработать стабильное, хорошо сбалансированное решение, заключила Ключарева.

В настоящее время в обращении находятся только четыре ЦВЦБ, Россия, вероятно будет в числе первых стран, которая начнёт их принимать, даже если цифровой рубль не будет запущен до 2027 года.

Источник: Cointelegraph