безопасность

Жизнь чем-то похожа на шахматы. Начинается все с дебюта, когда только создаются условия и направления для дальнейшего боя. Затем идет средняя часть — миттельшпиль, в котором осуществляются активные действия и происходит все развитие событий. В Эндшпиле ты остаешься один на один с тем, что у тебя получилось по итогам середины игры. Да зачем повторяться? Я об этом рассказываю в проекте Грааль.

Любой длящийся процесс, в том числе общение в соцсетях, может быть сведен к этим трем стадиям. Но есть существенное отличие жизни от шахмат – полнота информации. Тебе интересно продолжать только тогда, когда появляется что-то новое, требующее твоей реакции.

Недавно мою электронную почту, на которую я зарегистрировал аккаунт Смарт-лаба взломали. В последние годы я еще ее использовал только для переписки с некоторыми другими блогерами Смарт-лаба в личном общении. Потому кроме «На этой неделе вы хорошо потрудились и написали 1 пост, к которым было поставлено два лайка и написан один комментарий» хакеры ничего не прочитали. Разве что спам-приглашения чего-нибудь опубликовать или где-нибудь поучаствовать. Шах!

Т.е. я специально для публичного общения создал ситуацию, в которой почта ограничена перепиской с соцсетью. Никаких паролей к миллионам долларов или кодов ядерных ракет. Мой король смог сделать отступление в заранее приготовленную «форточку».

Я бы подозревал во взломе исключительно смарт-лабовцев, если бы не одно «но». Спам то валится. В прошлой жизни я использовал данную почту для общения с изданиями и некоторыми другими организациями. Значит, она засвечена и в других местах. В противном случае я бы, скорее всего, забросил бы раз и навсегда это токсичное место и предпринял бы меры для удаления аккаунта. Наверное это был бы интересный квест, ибо я читал, что это не так просто.

Что я сделал далее? Естественно, первым делом восстановил доступ к почте и поменял пароль. Затем я провел полный аудит моей безопасности. Где-какие потенциальные угрозы были обнаружены я внес коррективы в свою позицию на шахматной доске общения в сети. Полагаю, что следующий взлом будет сделать труднее. Но главная проблема осталась нерешенной. Я не смогу просто взять и удалить все, что я написал ранее в своем блоге.

«Право на забвение» это одно из новых фундаментальных прав человека, которое только осознается в настоящее время и потихоньку включается в современную правовую систему. Рано или поздно это право будет во всех законодательствах, где только можно. К сожалению, некоторые форумы и блог-системы еще не поддерживают данное право человека и нарушают вашу личную свободу. Что с этим делать я пока не понимаю.

Хороших выходных и безопасного общения!

PS: Как и все, что я пишу в блоге, история является выдумкой и все совпадения с реальностью случайны. 

1) Мне вот интересно, чем и о чём думают люди, мало того, что засвечивающие в интернете содержимое своих счетов, то есть сами нарушающие тайну, которую по крайней мере обязаны хранить банки и брокеры, так ещё и иные различные персональные данные заодно?

2) Ещё интереснее, чем думают люди, которые в настоящее время и почти с момента появления всяких сервисов на сайтах типа госуслуг толпами ломанулись оставлять там огромную массу персональных данных, да ещё и привязывать их к своим электронным почтам, не заведённым специально для этого, а используемым везде?

3) И чисто риторический вопрос… вот что и в каком количестве должно ещё случиться, чтобы люди начали наконец уже устанавливать на свои устройства антивирус (да хоть и касперского — не самый плохой, кстати, если «железо» не «из музея»), определитель номеров (ну хотя бы яндекса) и т.д., не говоря уж о использовании только обновляемых версий андроида/винды, ну или переходе на линукс..?

Службы безопасности банков и мобильных операторов такое ощущение, что вообще не работают.

Всем привет.
В начале года писал статью про ВТБ. Банк втихаря отменил двухфакторную идентификацию в приложении на телефоне, оставив один фактор, т.е. вход лишь по коду из смс. Функция «запрета изменения пароля без посещения банка», которая осталась висеть, по наследству, в новом личном кабинете ВТБ не используется когда заходишь не через сайт, а через банковское приложение.
Вот тот пост: smart-lab.ru/blog/676495.php
     Но не суть.
После просмотра десятков постов на банки.ру пришел к выводу, что единственным способом защитить себя — установить пин на сим карту и перевыпустить ее у виртуального оператора, аффилированного с банком (ТинькоффМобайл, СберМобайл, да их же ВТБ мобайл), а не в салоне большой четверки (МТС, БИЛАЙН, МЕГАФОН, ТЕЛЕ2).
Смысл в том, что, по идее, в банке мошеннику трудней перевыпустить сим карту по доверенности или левому паспорту, чем в ларьке обычного оператора.

Проношу прощения, я сильно заблуждался.
И именно

Сама по себе экосистема проектов DeFi выглядит интересно, однако их взрывная популярность показала, что их участники могут потерять деньги. Инвесторам нужно оценивать риски, которые возникают в случае вложения в автоматизированные блокчейн-системы.

В продолжение нашего предыдущего поста, у DeFi существуют несколько потенциальных точек риска.

3. Зависимость от сторонних алгоритмов

Инвесторам стоит с осторожностью относиться к DeFi проектам, которые позволяют заводить капитал в одной криптовалюте, а выводить в других коинах на выбор. Само наличие такой возможности указывает на существование алгоритма, который определяет, сколько инвестору можно вывести иных криптоактивов. Уязвимостями именно в таких алгоритмах чаще всего пользуются злоумышленники при взломах. 

Например, атака на Pickle Finance была сложной и запутанной. Хакер задействовал сложную цепочку действий, создавая поддельные инструменты и хранилища. В результате Pickle Finance, использующий дополнительные сервисы, был взломан. Показательно, что возможности таких сложных атак невозможно определить в ходе аудита безопасности. 

Платформы DeFi, в том числе известные и уже зарекомендовавшие себя,  по-прежнему подвержены взломам и атакам, даже несмотря на пройденные аудиты безопасности. О том, почему это происходит, и как можно защитить свои активы в новых проектах, рассказывает технический директор CEX.IO Дмитрий Волков.

В конце апреля стало известно, что EasyFi потерял $6 млн в результате атаки хакеров, а в феврале 2021 Yearn.Finance был нанесен ущерб в $11 миллионов. Однако эти события — не единственные примеры компрометации проектов DeFi, в результате которых люди теряли деньги. Общий объем урона от подобных атак можно оценить лишь примерно, но за 2020 год он точно превышает 1,5 миллиарда долларов США, а количество громких взломов исчисляется десятками.

DeFi — это относительно новый и весьма популярный подход к организации блокчейн-проектов, получивший активное развитие буквально за последние пару лет. Отличительная особенность DeFi — это полная автоматизация и открытый исходный код.  Инвесторов, готовых вкладывать деньги в DeFi,  привлекает отсутствие человеческого фактора: они уверены, что никто из основателей проекта не сможет украсть деньги по злому умыслу, потому что управление организовано по строго определенному алгоритму. Однако эта прозрачность часто создает лишь ощущение надежности, которое может оказаться ложным. 

Друзья и коллеги часто задают мне вопросы о безопасности хранения средств на брокерских счетах. А я даже не знаю, что ответить, потому что сам плохо разбираюсь в этом. Позвал в гости профессионала. Представляю вам Ярослава Бабина, руководителя отдела анализа защищенности веб-приложений компании Positive Technologies.

Чем занимается ваша организация?

Мы работаем в сфере кибербезопасности, создаем инновационные продукты, сервисы и решения, которые помогают компаниям и предприятиям, в частности, финансового сектора, выявлять и нейтрализовать реальные бизнес-риски, которые могут возникать в их IT-инфраструктуре.