Блокчейн для кибербезопасности: ожидания и реальность
Технология распределённого реестра стала популярной благодаря ажиотажу вокруг криптовалют. Множество компаний разрабатывали блокчейн-решения, наперебой рассказывая о безопасном децентрализованном будущем, скреплённом криптографическими подписями, демонстрировали впечатляющие слайды с инфографикой и...
Биткойн в клетке?
Так сложилось, что я по профессии администратор компьютерных систем и сетей (короче: сисадмин), и довелось поведать за немногим более чем 10 лет проф. дейтельности самых разных систем, включая тех, что требуют [по|за]вышенных мер безопасноти. А еще сложилось, что некоторое время назад я нашёл для...
[Из песочницы] Взламываем механизм приватности Mimblewimble
Приватность криптовалюты Mimblewimble/Grin фундаментально уязвима. Потратив всего $60 в неделю на AWS, я однозначно связал отправителей и получателей для 96% транзакций Grin в режиме реального времени. Уязвимость находится в основе протокола Mimblewimble, и я не думаю, что ее можно исправить....
Переходите к безопасной 2FA на блокчейне
СМС-сообщения — популярнейший способ двухфакторной аутентификации (2FA). Ее используют банки, электронные и крипто-кошельки, почтовые ящики и всяческие сервисы; число пользователей метода приближается к 100%. У меня такой расклад событий вызывает негодование, ведь этот метод небезопасный....
[Перевод] Как выживают китайские магнаты майнинга биткоинов
Майнеры криптовалюты зарабатывали миллионы на цифровой валюте за счёт наличия в Китае избыточной электроэнергии. Новые правила, устанавливаемые правительством, могут закончить эту золотую лихорадку Мистер Гао говорит мне: «Только потому, что нечто в Китае не запрещено, не значит, что оно...
Что такое игра валидаторов или “как запустить proof-of-stake блокчейн”
Итак, ваша команда закончила alpha-версию вашего блокчейна, и пришло время запускать testnet, а затем и mainnet. У вас настоящий блокчейн, с независимыми участниками, хорошей экономической моделью, безопасностью, вы спроектировали governance и теперь пора бы попробовать все это в деле. В идеальном...
Нуар-квест: раскрываем преступление по цепочке
Здесь не будет дворецкого, которого можно во всём обвинить. Но будет загадка, тайна, исчезновение лучшего друга в декорациях высоких технологий. Это настоящий осенне-депрессивный квест. Интересно проверить свою дедукцию? Добро пожаловать под кат...
[Перевод] Varonis обнаружил криптомайнинговый вирус: наше расследование
Наше подразделение расследований в области ИБ недавно вело дело о почти полностью зараженной криптомайнинговым вирусом сети в одной из компаний среднего размера. Анализ собранных образцов вредоносного ПО показал, что была найдена новая модификация таких вирусов, получившая название Norman,...
Вариант задействования блокчейна криптовалют как среды передачи команд для элементов бот-сети
Хотелось бы развить мысль, упомянутую в статье «Follow the money: как группировка RTM стала прятать адреса C&C серверов в криптокошельке», которая упаковывала их в количество перечисленных за две транзакции сатоши на определенный криптоадрес. Вредонос, запросив у блокчейн-обозревателя данные...
Plasma Cash Chain как решение трилеммы масштабируемости в блокчейн
Добрый день, уважаемые читатели! Данная статья посвящена Plasma Cash Chain и проливает свет на следующие темы: трилемма масштабируемости и способы ее решения; структуры данных чайлд чейна и их отображение в рутчейне; реализация ввода в рутчейн; реализация вывода из рутчейна. Компания Opporty...
[Из песочницы] Самая дорогая ошибка в моей жизни: подробно об атаке на порт SIM-карты
Привет, Хабр! Представляю вашему вниманию перевод статьи «The Most Expensive Lesson Of My Life: Details of SIM port hack» автора Sean Coonce. В прошлую среду я потерял более 100000 долларов. Деньги испарились в течение 24 часов в результате «атаки на порт SIM-карты», которая вычистила мой счёт на...
[Перевод] «Если вам нужно кого-то убить, то вы обратились по адресу»
Свежим мартовским днём 2016 года Стивен Олвайн вошёл в закусочную «Вендис» в Миннеаполисе. Ощущая запах застарелого масла для жарки, он искал человека в тёмных джинсах и синей куртке. Олвайн, работавший в службе поддержки в области ИТ, был тощим ботаником в проволочных очках. У него с собой было...
Внутри секретной лаборатории Ledger
«Донжон» — это лаборатория информационной безопасности французской компании Ledger. Ledger производит аппаратные кошельки, на которых хранятся приватные ключи владельцев криптовалют. Злоумышленники охотятся на эти ключи, а аппаратный кошелек, соответственно, защищает ключи от утечки. Насколько...
10 способов, как вас могут обмануть при обмене криптовалют
Во время работы по запуску мониторинга обменников криптовалют на Bits.media занялся я составлением списка рисков, с которыми сталкивался, и о которых мне писали пользователи после инцидентов. А чтоб добру не пропадать, решил оформить все в отдельную статью. Немного дополнил ее пунктами при работе с...
В одном из цехов АВТОВАЗа нашли ферму для майнинга
Служба безопасности АВТОВАЗа, пишет корпоративная газета автозавода «Волжский автостроитель», столкнулась с интеллектуальной преступностью. Таинственный злоумышленник, два года майнил криптовалюту, спрятав и запитав ферму в электрических шкафах 19-го зала управления конвейерами. Майнил сотрудник...
Как взламывают блокчейн и криптовалюты: 6 успешных атак «51 процента»
Изображение: Unsplash Одна из главных угроз информационной безопасности для криптовалют, созданных на технологии блокчейна – это так называемые атаки 51%. Они позволяют злоумышленникам контролировать сеть и проходящие в ней транзакции. В 2018 году жертвами такой атаки стали шесть криптовалютных...
Оракулы, или почему смарт-контракты всё ещё не изменили мир?
Для тех, кто интересуется темой смарт-контрактов, ответ на вопрос, заданный в заголовке, лежит на поверхности: на сегодняшний день контракты не имеют достоверного и полного источника информации о происходящем в реальном мире. Вследствие этого складывается прескверная ситуация: мы можем описать в...
Популярный VPN-плагин Hola скомпрометирован
Популярный VPN-плагин для Chrome и Android под названием Hola, которым пользуется более 50 млн человек по всему миру, был скомпрометирован. Целью атаки являются пользователи MyEtherWallet — одного из крупнейших горячих онлайн-кошельков для держателей эфира. Атака длилась примерно пять часов и за...