Поиск

21 февраля стало черным днем крипторынка из-за крупнейшего в истории взлома криптобиржи. Злоумышленники смогли вывести из второй по величине криптобиржи Bybit около $1,5 млрд. Ряд экспертов считает этот случай вообще крупнейшим ограблением всех времен. И хотя ни эта потеря, ни вывод еще пяти миллиардов долларов паникующими пользователями не являются фатальными для Bybit, этот инцидент ярко демонстрирует фундаментальные недостатки современной криптовалютной экосистемы и позволяет извлечь несколько ценных уроков для обычных владельцев крипты. Как обокрали Bybit Как и все крупные криптобиржи, Bybit использует многоуровневую защиту хранимой криптовалюты. Основные ее запасы хранятся на «холодных» кошельках, отключенных от онлайн-систем. При необходимости пополнить оборотные средства нужная сумма переводится с «холодного» кошелька на «горячий» вручную, и эту операцию подписывают несколько сотрудников одновременно. Для этого в Bybit используется решение со множественной подписью (multi-signature, multisig) от разработчика Safe{Wallet}, и каждый вовлеченный в транзакцию сотрудник ставит свою подпись при помощи личного аппаратного криптоключа Ledger. Злоумышленники детально изучили эту систему и, по мнению независимых исследователей, скомпрометировали одного из разработчиков Safe{Wallet}. Код, который отображает страницы веб-приложения Safe{Wallet}, был, предположительно, заменен на вредоносный. Но логическая бомба в нем срабатывала, только если адрес отправителя совпадал с адресом Bybit — в остальных случаях Safe{Wallet} работал как обычно. Владельцы Safe{Wallet}, впрочем, провели собственное расследование и не соглашаются с заключением двух независимых ИБ-компаний, утверждая, что их инфраструктуру никто не взламывал. View the full article

В бурном море Интернета вещей (Internet of Things, IoT) скоро будет больше порядка благодаря принятому стандарту ISO/IEC 30141, описывающему стандартизованную архитектуру решений IoT. «Лаборатория Касперского» активно участвовала в разработке принципов доверия для IoT-устройств, описанных спецификацией ISO/IEC TS 30149:2024. На этом примере удобно разобраться, зачем вообще нужны стандарты, что можно стандартизовать в Интернете вещей и почему IoT-устройство и его производитель обязаны доказывать, что достойны доверия покупателей. Зачем вообще нужны стандарты Если вы хорошо понимаете основные принципы стандартизации в электронике, то можете пропустить этот раздел и перейти к следующему. Когда вы в отпуске подключаете свой смартфон к гостиничной розетке, вам невидимо помогают десятки международных стандартов. Зарядные устройства выпускаются в соответствии со стандартом IEC 60335-1:2020, описывающем электробезопасность бытовой техники, форма вилки регулируется IEC 60906-1:2009 и производными стандартами (например, CEE 7/16), а само напряжение в электросети регулируется стандартом IEC 60038:2009+A1:2021. Повсеместная стандартизация значительно упростила жизнь людей: в большинстве стран мира используются одинаковые виды электроприборов, штрихкоды на упаковках продуктов, единицы измерения веса, длины и скорости. А единые подходы к контролю вредных веществ в продуктах, к изоляции и заземлению бытовой техники, дозировкам лекарств, раскраске дорожных знаков позволили значительно повысить безопасность людей и упростить сертификацию и тестирование товаров. Международная электротехническая комиссия (IEC, International Electrotechnical Commission) обобщает преимущества стандартизации так. Стандарты: позволяют разным продуктам работать и соединяться друг с другом; применяются при тестировании и сертификации, чтобы проверить, что производитель выполняет свои обещания; содержат технические подробности, применяемые для законодательного регулирования в конкретных странах; упрощают международную торговлю. Организаций, занимающихся стандартизацией, довольно много — есть региональные, есть индустриальные, а есть тематические. Кроме уже упомянутой IEC, есть, например: организация Internet Engineering Task Force (IETF), ответственная за разработку интернет-стандартов; институт American National Standards Institute (ANSI), выпускающий стандарты для американского рынка; а самой «универсальной» является Международная организация по стандартизации (ISO). Там, где их зоны ответственности пересекаются, эти организации часто взаимодействуют и вырабатывают общие рекомендации. Например, стандарты для электротехники обычно называются ISO/IEC. View the full article