`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Форум HackIT 4.0: тенденции в кибербезопасности, блокчейне, etc

+22
голоса

В Киеве прошел крупнейший в Восточной Европе международный форум по кибербезопасности HackIT 4.0, организованный компанией Hacken, которая специализируется на продуктах для киберзащиты. На мероприятии собрались лучшие хакеры мира, эксперты в сфере кибербезопасности, специалисты по блокчейну, представители госучреждений.

Программа форума включала два соревнования для белых хакеров, тур на Чернобыльскую АЭС и двухдневную конференцию в КВЦ «Парковый». Мероприятие собрало более 650 участников из 44 стран и представителей 84 компании.

Форум стартовал 8 октября с соревнования Hacken Cup, в рамках которого 25 белых хакеров со всего мира искали уязвимости в технической инфраструктуре компаний-партнеров. Свои продукты для белых хакеров открыли онлайн-сервис вызова такси Uklon, коммуникационная платформа Crypviser и еще одна компания, решившая сохранить анонимность.

Более 9 часов провели участники, тестируя продукты партнеров и помогая им найти уязвимости, чтобы устранить баги и защитить клиентов.

В рамках форума в КВЦ «Парковый» была проведена двухдневная конференция по кибербезопасности. Мероприятие включало в себя два потока лекций, несколько круглых столов, панельные дискуссии и выставку на площади 1000 кв. м. Первый день был посвящен кибератакам, а второй — новейшим инструментам защиты, которые применимы в бизнесе.
 тенденции в кибербезопасности, блокчейне, etc
Участников приветствовали СЕО Hacken Дмитрий Будорин. Он, в частности, отметил, что технологии могут объединить человечество, они помогают стирать границы между людьми, развивать бизнес, налаживать связи. Но эти же технологии делают нас уязвимыми. Важно объединить усилия специалистов по кибербезопасности, чтобы защитить продукты, бизнес и государственные структуры.

Доклад директора Trend Micro Zero Day Initiative Брайана Горенца (Brian Gorenc) носил название «Энтомология сегодняшнего дня».

Он провел аналогию между шестиногими насекомыми в природе и багами (жучками) в программном обеспечении: и те, и другие имеют жизненный цикл. Они создаются, их используют, о них сообщают, их исправляют и затем они обычно исчезают.

На каждом этапе этого жизненного цикла информация об уязвимости эквивалентна денежной стоимости, и в зависимости от того, как эта информация распространяется, эта денежная стоимость может радикально измениться. Существуют различные рынки для исследований в области безопасности, и нынешние продукты на сером и черном рынках могут быть такими же надежными, как и их конкуренты на белом рынке. Различные агенты на этих рынках влияют на тенденции исследований, перемещая финансы «в» или «из» этих специфических областей, что приводит к лучшему обнаружению ошибок в той или иной из областей.

 тенденции в кибербезопасности, блокчейне, etc

Даже если вы не принимаете непосредственного участия в этой экономике, это влияет на вас и системы, которые вы защищаете. Ошибки, купленные и проданные на рынке, часто становятся заплатками безопасности, а иногда их обертывают в комплекты эксплойтов или во вредоносные программы. Администрирование крупнейшего в мире поставщика агностической программы бонусов ошибок дает нам уникальную возможность изучить внутреннюю работу этих транзакций. В то же время надежное положение на белом рынке, опыт компании и отношения позволяют рассмотреть весь пейзаж эксплойтов крупным планом. Некоторые из этих факторов могут быть не очевидны для тех, кто находится вне рынка, до тех пор, пока не будут обнаружены утечки или компрометация данных.

Эти скрытые факторы могут сдвигать цены и ориентировать исследователей - и, следовательно, использовать - в новых направлениях. Как и любой открытый рынок, различные факторы могут стимулировать изменения спроса и предложения, а участники рынка могут определять, какие виды исследований либо становятся публичными, либо попадают в набор эксплойтов.

Старший исследователь по безопасности София д’Антуан (Sophia d’Antoine) и главный исследователь по безопасности Райан Шторц (Ryan Stortz), оба из Trial of Bits, Нью-Йорк, представили доклад, который назывался Blackhat Ethereum.

Ethereum является альтернативной реализацией Blockchain, ориентированной на идею смарт-контрактов – компьютерных алгоритмов, предназначенных для заключения и поддержания коммерческих контрактов в технологии блокчейн.  Смарт-контракты являются кошельками, которые имеют ассоциированный код и могут действовать автономно. Ethereum – вторая наибольшая группа криптовалюты.

Платежная система Bitcoin первая предложила идею денежных переводов с низким доверием. Ethereum продвинула ее дальше, добавив поддержку приложений с широкими возможностями (rich applications) и позволив отслеживать активы: ценные бумаги, ипотеку, доменные имена.

Обычно люди слышат об ICO (Initial Coin Offerings), являющейся цифровой версией IPO (Initial Public Offerings), или первоначального публичного предложения акций на бирже. Однако здесь терминология несколько другая. К примеру, если Ethereum является базовой валютой, то Transaction – это пересылка единицы валюты между адресами, а Block- это список транзакций.

Ethereum имеет много конкурирующих реализаций, но не все они эквивалентны. Использовать рекомендуется geth и parity, а не cpp-ethereum, pyethereum или Ethereumj, которые содержат много ошибок. Каждый из этих клиентов несет ответственность за поддержание консенсуса и согласия о текущем состоянии блокчейн и транзакций, которые выполняются.

 тенденции в кибербезопасности

Говоря о языках смарт-контрактов, то их достаточно много, но наиболее популярным является Solidity – ориентированный на смарт-контракты высокоуровневый язык, который компилируется в нативный машинный код для ВМ Ethereum (Ethereum Virtual Machine, EVM). Однако он плохо разработан и является причиной почти всех проблем в Ethereum. Что касается самой EVM, то это стековая машина с очень простой реализацией. У нее около 180 кодов операций с 32-байтовыми данными, однако многие инструкции дублируются. Стековая машина оперирует подобно вычислениям с обратной польской записью.

Для получения контрактов клиенты Ethereum используют JSON RPC. Нужно подключиться к infura.io или myetherapi.com, вручную просмотреть Etherscan.io и запустить собственные клиенты geth и parity. При запуске клиентов нужно использовать Linux, быстрые SSD и создать структуру директорий для всех контрактов. Ethereum всегда фокусируется на последних транзакциях и текущем состоянии, а не обращается к истории.

Затем выступающий привел пример работы с контрактом.

Тема выступления СЕО и основателя компании Ztudium Диниса Гуарды (Dinis Guarda) была взлом ДНК человека с помощью блокчейн и ИИ.

 тенденции в кибербезопасности, блокчейне, etc

По его мнению, наибольшей проблемой человечества сегодня является кибербезопасность, поскольку она касается всего – общества, правительства, геополитической экосистемы.

Если посмотреть на макротехнологические тенденции, то наиболее чувствительной субстанцией безусловно является ДНК. Однако что такое ДНК нашего времени? Это все, что касается технологии. Нами управляют технологии, мы спим вместе со смартфонами, мы окружены сенсорами. Скорее всего, у большинства есть два смартфона, и каждый из них имеет от 20 до 40 сенсоров, которые осуществляют мониторинг всего, что мы делаем. Данные, которые мы генерируем в социальных СМИ, электронных письмах и т. п. создают цифровой профиль каждого из нас. И, конечно, эти цифровые профили используются большими корпорациями, такими как в Кремниевой долине, а также правительствами, чтобы понимать общество.

ДНК нашего времени – это технологии, данные, блокчейн и ИИ в качестве основания технологий. Почему блокчейн и ИИ? Конечно, блокчейн пребывает еще в состоянии юности, хотя о блокчейн говорят уже около трех—четырех лет. Есть еще проблемы в вопросах масштабируемости технологии, безопасности, и реализации. Докладчик провел параллель с начальным периодом Интернета. Тогда, если хотели посмотреть потоковое видео, то это вызывало крах браузера, были большие проблемы с имеющимися программами, которые могли бы помочь и множество других вещей. Сегодня мы на том же пути с блокчейн, и такое же положение с ИИ.

Проблема сегодня в том, что у нас есть физический цифровой ID и наш органический ID, но на данный момент мы имеем цифровизацию этого всего, цифровизацию всей нашей активности. Конечно, мы сегодня используем технологии обработки данных, но в терминах того, как мы позиционируем ИИ, в особенности машинное обучение и технологии, управляемые алгоритмами и IoT, а также блокчейн со смарт-контрактами, мы создаем нечто новое, называемое цифровой трансформацией и основополагающими технологиями. Сегодня мы все еще находимся на начальном этапе, но мы собираемся поднять это на более высокий уровень.

Если посмотреть на сегодняшний Интернет или на цифровую экосистему, то у нас есть веб-сайты, механизмы аутентификации, протоколы. Затем, у нас есть идентификация на веб-сайте и в социальных сетях. Это является ночным кошмаром, потому что пользователи имеют от 20 до 40 социальных профилей. Эти данные и ID разделяются внутри платформы, и их владельцев определить очень трудно.

 тенденции в кибербезопасности, блокчейне, etc

В новом блокчейн-мире, который мы строим, кстати, он еще не существует, и нет иллюзий, что для этого нужно еще очень много сделать, мы создаем один идентификатор. Это очень важная вещь, поскольку если создается один идентификатор для каждого из нас, конечно, то можно убить коррупцию, обеспечить большую прозрачность. Однако при этом также создается множество трудностей, каждый будет иметь доступ к этому ID, и, конечно, разделение данных и ID должно выполняться доверительным образом, иначе это может быть очень опасным. Это хорошо выглядит в теории, но на практике все более сложно. И затем, конечно, смарт-контракты и машинное обучение, потому что смарт-контракты являются также способом машинного обучения. Вы должны перекинуть мосты между всеми этими разными областями идентификации.

Но более важная вещь заключается в том, что если вы посмотрите на человечество, то что есть наш код? Мы – люди, и нашим кодом является ДНК. Что случится, если мы начнем взламывать наш собственный код? Это самая большая проблема и самый большой вопрос для всех нас. Так как ДНК является нашим основным идентификатором, а мы оцифровываем все, то это значит, что наша ДНК может подвергнуться взлому и манипуляциям. Например, имеется множество компаний, которые включают ДНК миллионов людей в смарт-контракты, Но, конечно, если взломать смарт-контракт, в котором имеется ДНК 25 млн. человек, то подумайте, что с этим можно сделать.

Поскольку ДНК кодирует наши разные идентичности, конечно, в терминах генетики, кодирование ПО делает, отчасти, то же самое. В ДНК закодированы инструкции по развитию живого организма, но она может быть закодирована для других целей и эволюционировать в соответствии с органической природой эволюционного программирования.  Конечно, можно убить всю популяцию, если взломать БД системы здравоохранения в какой-нибудь стране. Как с этим можно обращаться? По мере того как мы оцифровываем себя и наши собственные данные, мы можем совершить скачок и делать фантастические вещи. Можно оптимизировать код, чтобы улучшить жизнь и человечество, но можно нанести и огромный вред.

Если посмотреть на основные технологии, от ПК до ИИ, дополненной и виртуальной реальности, то большинство технологий, с которыми мы имеем дело, - это мессенджеры, социальные медиа, решения для идентификации, цифровая трансформация бизнеса и правительства, и многие знают, какое сильное влияние они оказывают на мировую экономику с помощью цифровизации. В то же время только 10% мировой экономики стало цифровой. Большая ее часть – это бумага. Такая ситуация открывает огромные возможности, но также и создает проблемы.

В одной из стран Африки, в которой побывал докладчик, почти каждый имеет два мобильных телефона: один базовый и один смартфон. Почему два телефона? Потому что там затруднен доступ к электричеству, и они не могут заряжать смартфон более чем пару часов. Так что в основном они пользуются базовым телефоном, но у каждого есть смартфон. Это очень интересный факт: есть парадокс между технологией и доступом к технологии.

Идентичность сегодня, говоря о данных или технологии, является очень уязвимой. И конечно, у нас есть автономные и онлайн-данные, они фрагментированы, и их трудно использовать. И проблема сегодня состоит в том, как мы можем создать идентичности для всех нас, и сделать их масштабируемыми безопасным способом, что может улучшить наше общество и нас как человечество.

Другая вещь, которая, в частности, является и важной, и пугающей одновременно, следующая. В Вашингтонском университете недавно было проведено исследование, в котором ученые включили в ДНК человека вредоносный код. Проникая в мир ДНК, мы создаем новую индустрию, которая включает данные человека, смешанные с правительственными данными и данными из других областей. Это пугает и волнует.

Блокчейн, смарт-контракты, машинное обучение и ИИ являются эпицентром эксперимента для создания безопасности данных и возможностей масштабирования, чтобы найти решения и пути построения идентичности. Конечно, это порождает множество вопросов в обществе, экономике, правительстве.

Труднейшая проблема с точки зрения технологии – как мы можем это использовать и создать технологию, которая будет масштабируемой и поможет найти решение в краткосрочной перспективе для идентичности, потому что идентичность является наиболее важной вещью, которой обладает человек.

Некоторые идеи, как можно использовать технологию смарт-контрактов и в особенности блокчейн и ИИ, чтобы исправить это, то их особенности в безопасности и приватности данных, гибкости, простоте использования и производительности системы ИИ, и, конечно, построении полной идентификации человека на базе ДНК. Если посмотреть на транспорт, географию, науку, финансы, статистику, метрологию, природу, то все это данные, все это разные типы ДНК. Все это можно оцифровать, но вопрос в том, как мы можем применить это с помощью технологии смарт-контрактов и, в особенности, алгоритмов машинного обучения и ИИ, и как это масштабировать?

Итак, как можно построить новую парадигму ID? Ее можно построить с помощью цепочки происхождения, автоматизации задач, возможности проведения аудита доступа, распределенной БД, кодирования, цифрового доверия и одноранговых сетей.

Поток данных, в частности, важен, потому что именно здесь возникают проблемы в таких системах, как машина—машина, человек—машина и человек—человек. Здесь необходимо обеспечить безопасность на системном уровне, чтобы избежать тех проблем, с которыми мы сталкиваемся сегодня.

 тенденции в кибербезопасности

Итак, ID – это физическая и цифровая ДНК. Здесь возникает ряд проблем. Одна из них – идентичность нашего общества: финансовая идентичность, идентичность страховки, военная идентичность и правительственная идентичность. На одном конце мы имеем идентичность личности, медицинской страховки, эмоциональную, психологическую и религиозную идентичности, на другом конце мы используем блокчейн, ИИ и IoT, затем зашифрованные данные ДНК.

Возникает большая проблема, связанная с физической и цифровой ДНК в качестве ID, с которой мы сталкиваемся прямо сейчас, - как защитить ДНК в мире цифровой нестабильности и риска? Ее нужно решить.

Когда рассматриваем блокчейн и ИИ обнаруживается весьма интересное. Сегодня блокчейн очень нестабильный, это истинная правда. Поэтому, если вспомнить бум dot.com, то сейчас мы находимся в том же положении. Если в прошлом году блокчейн и индустрия шифрования оценивалась в 700 млрд. долл., то сегодня мы говорим о, вероятно, 200—300 млрд. долл.

Технология блокчейн используется во множестве областей – от музыки до национальной безопасности, туризма и, в особенности, в финансовых транзакциях. Но все же эта технология еще очень молодая. Несколько подобно ранней стадии развития Интернета, она очень слабая. Для того, чтобы стать мэйнстримом, Интернету понадобилось 10 лет. Такая же ситуация и сегодня. Но если применять блокчейн с ИИ, то мы сможем оценивать данные, их релевантность, прогнозировать данные. Если применить технологию смарт-контрактов с машинным обучением и обработкой данных в системе машина—машина, то это приведет к мощному прыжку в истории человечества. Это важная вещь, которую мы должны принимать во внимание. И, конечно, идентификационная ДНК, установленная в блокчейн и ИИ, нуждается в системе твердых мировых стандартов. Над этим сегодня работает множество компаний во всем мире, некоторые из них работают с правительствами.
 
Это все вызовет цунами данных, которое может действительно привести к множеству разрушений. Вот лишь некоторые вопросы, вытекающие из того, что ДНК является теперь цифровой, базирующейся на технологии блокчейн и ИИ. Можем ли мы оптимизировать код человека, взломать и разрушить его, перезагрузить эволюцию человека? Готовы ли вы, чтобы вас взломали?

В общей сложности на конференции выступили 46 докладчиков, в числе которых: сооснователь защищенного мессенджера Signal и бывший руководитель команды безопасности Twitter Мокси Марлинспайк (Moxie Marlinspike), консультант по прикладной криптографии и разработчик Bitcoin Core Питер Тодд (Peter Todd), эксперт в области компьютерных наук и основатель команды Monero Hardware Майкл Шлох фон Беневитц (Michael Schloh von Bennewitz).

 тенденции в кибербезопасности

Общий вывод экспертов, сделанный в результате панельной дискуссии следующий: инвестиции в кибербезопасность и в блокчейн будут только расти. Как сказал сенатор Оливье Кадик (Olivier Cadic), предприниматель, глава подкомитета по кибербезопасности Комитета защиты Сената Французской Народной Республики, мы должны создать вакцину против злонамеренного вмешательства хакеров и манипуляций, чтобы сделать мир свободным.

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT