При среднестатистическом использовании персонального компьютера большую часть времени центральный и графический процессоры в лучшем случае используются на 30%. Неиспользуемые мощности персональных компьютеров, серверов и даже смартфонов могут приносить пользу, производить вычисления и решать какие-то задачи, если использовать давно существующий подход распределённых вычислений. Однако в последние годы выявлены следующие проблемы блокчейнов, влекущие возможности его использования в криминальных [8] целях. 4 Специальное программное обеспечение – это часть ПО, разрабатываемого при создании конкретной АСУ, включая программы реализации управляющих, информационных, вспомогательных функций. Разрабатывается с использованием программ общего программного обеспечения.
Защищенный документооборот в определенных сферах деятельности предусматривает защиту системы в целом, в том числе информации, обеспечивая ее работоспособность, а в случае повреждений, сбоев и уничтожения – быстрое восстановление. Блокчейн — это преобразующая технология, которая обеспечивает большой потенциал для применения информационных технологий в развитии цифровой экономики и решении социальных проблем. Блокчейн имеет потенциал влияния на сферу информационной безопасности и способен привнести в данную среду высокий уровень доверия и целостности. Появление технологии блокчейн, однако, вводит новую модель, в которой сильные криптографические и верификационные алгоритмы используются для децентрализации транзакций, устраняя необходимость в доверенной третьей стороне и смягчая эти риски. Согласно отчету о расследованиях нарушений данных Verizon Data Breach Investigations Report за 2017 г., 96% нарушений в 2016 г.
Закрытый ключ будет известен только пользователю, следовательно взломать его будет крайне затруднительно. Кроме того, только производитель сможет установить специальное ПО4 на устройство, подписав цифровой контент с помощью закрытого ключа. Устройство не будет выполнять код, поступающий из неизвестного источника. Пары идентификаторов открытого ключа будут храниться в блокчейне и позволят устройству уточнять запрос цифрового контента. Задачу выбора стратегии в условиях получения сообщений от разных участников, часть из которых могут быть злоумышленниками, решает алгоритм консенсуса Byzantine Fault Tolerance (BFT) – византийская отказоустойчивость. Узлы обмениваются между собой сообщениями по валидности транзакции, решая задачу византийских генералов, данные попадают в цепь при достижении консенсуса.
Частично это связано с тем, что блокчейн является новым, и бизнес все еще пытается выяснить, как использовать его в своих интересах. Хотя блокчейн был разработан с учетом требований безопасности, он по своей сути не более безопасен, чем традиционные методы кибербезопасности, тем более что не было доказано, что его масштабируемость для различных предприятий и отраслей. Есть много идей, но очень мало проверенных примеров, когда блокчейн успешно использовался для удовлетворения потребностей бизнеса в кибербезопасности в любом масштабе. Одна из самых больших проблем с управлением идентификацией и доступом заключается в том, что ваши сотрудники, вероятно, используют слабые пароли, которые хакеру легко взломать. Они могут использовать одни и те же пароли для нескольких приложений, предоставляя злоумышленникам доступ ко всем видам конфиденциальной информации после того, как они взломали код в одном месте. Кибератаки нарастают, а громкие атаки на крупные компании, приводящие к потере или раскрытию конфиденциальных данных клиентов, по всей видимости, происходят еженедельно.
- Вы можете думать об этом как о гораздо более изощренном способе отслеживания изменений в чем-то вроде таблицы Google.
- Были связаны с внешними субъектами, и большинство этих атак были совершены организованными преступными группами в финансовой сфере[8].
- Gartner считает, что несмотря на быстрое развитие ИИ, истинная трансформация бизнеса с его помощью займет еще от двух до десяти лет.
- Указанное требует новых образовательных программ, стандартов, специальных знаний.
- Пользователи постоянно подвергаются опасности из-за несанкционированного доступа к данным и их изменения.
Для блокирования работы системы безопасности обычно применяют сценарий DDoS-атаки. Такие системы можно создать разными способами, например используя технологию блокчейн. Технология распределенного реестра, известная как блокчейн, впервые получила широкое распространение в качестве основы для осуществления финансовых услуг по реформированию традиционных методов ведения бизнеса. Однако использование технологии блокчейн для информационной безопасности — важнейшее направление дальнейшей деятельности в сфере защиты от киберугроз. В случае если какие-либо данные подделаны, блокчейн обеспечивает аудиторский след, чтобы определить, кто манипулировал данными. Функция децентрализации или удаления централизованного органа власти использует ресурсы одноранговой сети для проверки и утверждения каждой транзакции.
Фокус хакеров сместился с банковских систем на ICO-проекты, и за последние несколько лет было совершенно множество атак на ICO. Незрелость технологии и возможность относительно легко получить доступ к средствам, собираемым в ходе ICO проектов, привлекли внимание большого числа злоумышленников. Вместе с тем следует обратить особое внимание на уязвимости, связанные с реализацией алгоритма консенсуса, которые можно отнести к фундаментальным, так как легитимность новых блоков зависит от эффективности алгоритма и его устойчивости к возможным угрозам. Коллективные договоры могут быть сведены к смарт-контрактам и загружены в блокчейн.
Блокчейн может помочь предотвратить определенные кибератаки.
Войтов Матвей Леонидович
Директор по маркетингу блокчейн-компании Web3 Tech. В рамках курса слушателям предстоит пошаговое знакомство со сферой применения систем автоматизированного проектирования (САПР) для разработки изделий промышленного производства. Курс предназначен для инженеров, работающих в отрасли машиностроения и приборостроения и направлен на знакомство с современными тенденциями в автоматизации проектирования, а также на приобретение базовые знаний и навыков по работе в двух различных системах. «Oyente» состоит из нескольких модулей и содержит в том числе builder для построения потока выполнения программы и анализатор путей выполнения программы. Также анализатор дает визуальные отображения и валидирует найденные уязвимости, доказывая, что они действительно «true», а не «false positive». В ходе исследования применялись методы анализа, синтеза, аналогий, обобщения.
Отдельный пользователь не сможет извлечь из отдельного чанка никакой информации, а злоумышленник не сможет собрать все чанки воедино. На форуме «СТНО-2018» в секции «Информационные системы и защита информации» я выступил с докладом «Применение технологии блокчейн в области защиты информации и его недостатки». Указанное требует исследований вопросов безопасности блокчейнов, создания безопасной и эффективной среды цифровизации общественной жизни, развития современных информационных технологий и экономики государства. В сентябре стало известно о взломе компании Equifax и одной из самых масштабных утечек данных за последние годы. Слабым утешением послужило то, что среди скомпрометированных данных не было паролей, информации о банковских картах или банковских платежах. Конец осени — начало зимы — обычно в это время ИТ-руководители приступают к составлению планов и стратегий на будущий год.
Технология блокчейн с точки зрения информационной безопасности. Часть 1
Спрос на вычисления будет продолжать расти по мере развития сопутствующих технологий. Ниже представлена тезисная статья (для научного сборника), которая посвящена самой технологии, базовым принципам работы и возможным способам использования в распределённых вычислениях и информационной безопасности веб-систем. Развернута против крупных целей, таких как Dyn DNS, одна из крупнейших фирм по разрешению доменных имен в Интернете [5].
Однако в последние годы выявлено множество проблем блокчейна из-за возможности его использования в криминальных целях. Указанное требует новых образовательных программ, стандартов, специальных знаний. Так, для юридической практики уже недостаточно «чистого» юриста, необходимы дополнительные познания в IT, экономике, психологии, что требует междисциплинарных исследований и практик.
Если кто-то вводит новую часть данных в систему, она должна быть сперва проверена как минимум 51% участников сети блокчейн перед тем, как будет добавлена в новый блок. Как следствие, не существует некоего центрального хаба, где хранится вся информация. Это резко контрастирует с типичными методами централизованного хранения данных, используемыми во всем мире. Информация хранится по всей сети в виде блоков с данными, которые защищены с помощью криптографии. Эти данные должны быть «добыты», что означает необходимость решения сложных математических головоломок для добавления к блокам.
За счёт цифровых подписей становится невозможным потратить средства пользователя без его ведома, так как без его закрытого ключа транзакция не получит правильную подпись и вследствие не будет принята сетью нод, учавствующих в блокчейне. При этом невозможность подделки подписи (проще говоря, подбора закрытого ключа) обеспечивается сложностью взлома алгоритма асинхронного шифрования, который лежит в основе выбранного способа подписи. Блокчейн решает эту проблему, избавляя пользователя от необходимости постоянного использования личных данных для авторизации в системах, а компании от необходимости поиска надежного хранилища и организации его защиты. Все данные будут случайным образом разбиты на небольшие кусочки (чанки) и распределены по пользователям всей системы.
Статьи по теме: «Информационная безопасность»
[23] Создание большого количества личностей (identities) для искажения распределенного консенсуса. [22] При контроле более половины вычислительной мощности одним злоумышленником нарушается принцип распределенного консенсуса. Фиксация факта создания произведения и авторства на него может быть полезна для различных целей, в том числе и для доказывания своего авторства.– формирование блоков, встраивающихся в глобальную систему блокчейн на основе транзакций, которые подлежат проверке любым независимым участником реплицированной распределенной базы данных [2]. Однако необходимо отметить, что, как каждая информационная система, технология блокчейн имеет значительные ограничения, связанные с ее технологическими особенностями. Тщательно изучив данные блокчейна, поставляемые с каждым бриллиантом, можно будет идентифицировать подозрительные алмазы и мошеннические транзакции. Сообщил, что алмазная промышленность Российской Федерации также будет использовать технологию блокчейн в обеспечении аутентичности алмазов у нас в стране[15].
Дальнейшее использование технологии блокчейн закреплено в идее реинжиниринга всей структуры информационно-телекоммуникационной сети “Интернет”, от централизованной модели клиента/сервера к децентрализованной модели, которая не опирается на конкретные серверы. Серверы информационно-телекоммуникационной сети “Интернет” не подвергались бы DDoS-атакам. Все это осуществлялось бы, используя коллективную вычислительную мощность и хранение информации на миллионах подключенных устройств в одноранговой сети, защищенной блокчейном.
Решение о валидации каждого нового блока принимается большинством нод, учавствующих в сети. Таким образом, чтобы произвести модификацию блокчейна, около 51% системы должны согласиться с этим – тем самым будет возможно подтверждение любой невалидной транзакции. Сложность этой атаки заключается в том, что группе нежелателей необходимо завладеть контроль над более чем 51% вычислительных устройств в сети, что для больших блокчейнов практически невозможно. Блокчейн – это цепочка связанных между собой данных, которые записаны в блоках. Удобно думать о нём как о неизменяемом односвязном списке, которая совместно используется узлами компьютерной сети.
DoS-атаки (отказ в обслуживании) сети блокчейна, сервера с его базой данных (особенно это актуально в набирающей обороты системе нод и PoS майнинга). Единственная угроза для распределенной системы блокчейн – “отказ в обслуживании”, реализуемая через DDoS-атаку. Когда речь идет о DDoS-атаке, блокчейн имеет гарантированную защиту продолжения штатной работы, даже если остался единственный узел, а все остальные перешли в автономный режим.
Несмотря на то, что современные решения безопасности обеспечивают превосходный уровень защиты ИТ-ресурсов, они не лишены недостатков. Это связано с тем, что большинство продуктов безопасности предназначены для автономной работы при защите ИТ-ресурса. Как и в случае DDoS-атак (распределенный отказ в обслуживании), хакеры могут нацелиться на один компонент безопасности, отключить его, а затем перейти к атаке https://www.xcritical.com/ на открытый ИТ-ресурс [9]. Исследователи, изучающие, как блокчейн может помочь повысить нынешний уровень безопасности, основывают свои аргументы на способности распределенных инструментов безопасности обеспечивать лучшую защиту, чем один инструмент. Согласно полученным данным в таблице 1, многих исследователей интересует, как блокчейн может повысить безопасность устройств, данных и сетей Интернета вещей.
Преимуществами информационной технологии блокчейна выступает прозрачность процесса транзакций, множественное дублирование информации о транзакциях у всех участников процесса. Статья является продолжением материала «Технология блокчейн с точки зрения информационной безопасности. Часть 1» и рассматривает основные сценарии использования блокчейна как инфраструктуры для решений информационной безопасности (ИБ) и защищенных сервисов. Важно понимать, что вычислительная мощность в блокчейне предъявляет повышенные требования к производительности оборудования и значительно затрудняет возможность совершения кибератак. Так, для взлома всей системы должно быть атаковано определенное количество блокчейн-узлов.
Чаще всего большинство блоков имеют правильные или неизменные данные. Расширенные функции блокчейна делают его пригодным для современных стандартов безопасности. Следует отметить, что любой блокчейн использует специфические криптографические функции (идентификаторы, хэширование, электронные (цифровые) подписи и т.п.). Это позволяет без личного контакта субъектов (физические лица, организации, контролирующие субъекты) заключать соглашения и выполнять определенные функции (с помощью телекоммуникационных технологий передачи информации и электронных данных).
Блок подписывается при условии, что 1/3 участников терпят неудачу или действуют злонамеренно. Алгоритм BFT позволяет нивелировать сбои в системе и задержки в коммуникации. Для того чтобы прохождение данных было эффективным с технологической точки зрения, оно должно удовлетворять определенным требованиям и характеристикам. По мере того как блокчейн становится все более распространенным в цифровой сфере, все больше людей, включая киберпреступников, поймут, как он работает.
С технологической точки зрения блокчейн — это гораздо больше, чем криптовалюта и денежные приложения. Тот же распределенный криптографический подход может использоваться для проверки всех видов транзакций и может регулировать как финансовые, так и нефинансовые типы приложений. Некоторые организации начали технология блокчейн что это внедрять технологию блокчейна с выдающимися результатами. Например, эстонская софтверная компания Guardtime увидела, что ее блокчейн KSI инициирует заметные улучшения в работе эстонского правительства, например, в сфере морских перевозок и страхования, которые требуют серьезной реструктуризации.