Угрозы безопасности в смарт-устройствах и вопросы конфиденциальности

Угрозы безопасности в смарт-устройствах

Если вы еще не знаете об этом, новая модель Samsung, которая позволяет произносить команды для улучшения работы телевизора, также сохраняет все, что вы говорите, перед интеллектуальным устройством. Таким образом, если вы разговариваете с кем-то во время просмотра телевизора, высока вероятность того, что телевизор запишет все и отправит его исследователям – третьей стороне, которую Samsung отказалась назвать.

Как только запись достигает исследователей, звук преобразуется в текст и постоянно сохраняется в их базе данных. Никто не задумывается о том, что исследователи могут сделать с данными, особенно если вы обсуждали свои финансы, выдавали данные своей карты или номер социального страхования и т. Д.

Хотя позже Samsung пояснил, что функция голосовых команд является необязательной, и люди могут отключить ее для обеспечения безопасности на интеллектуальных устройствах, немногие все еще знают, что они записываются.

Если вы хотите, вы можете отключить функции голосового управления на телевизорах Samsung, зайдя в настройки телевизора> Смарт-функции> Распознавание голоса> Выкл.

Умные устройства и вопросы конфиденциальности

Мы писали об опасностях Интернета вещей – некоторое время назад, и такие проблемы подтверждают, что безопасность плюс конфиденциальность находятся в опасности, так как пользователи не будут знать, на что способно устройство. Люди думали, что дело будет ограничено паролями и взломом. Мы говорили о том, как хакеры могут использовать ваши умные устройства для массированной атаки на любой веб-сайт. Но этот фактор умных устройств, записывающих то, что вы делаете, немного тревожнее, чем мы ожидали. Не только производители, но и хакеры также могут записывать ваши действия, если ваши устройства поддерживают такие функции. Возможно, вы уже читали о том, как хакеры используют вашу веб-камеру и системы видеонаблюдения для мониторинга вашей деятельности!

Хотя основная проблема заключается в том, что те, кто занимается программированием, мало думают о безопасности со стороны пользователей, могут быть случаи, когда программисты создают модули, которые могут быть шпионами за вашими действиями. Данные драгоценны, и если есть шанс собрать информацию о вас, некоторые компании зайдут слишком далеко.

Читайте о IoT Ransomware!

Как улучшить безопасность в смарт-устройствах

Вы ничего не сможете сделать, если компания-производитель интеллектуальных устройств попытается собрать данные. Единственная передышка в том, что им придется где-то раскрывать это. Если вы прочитали все руководство по устройству и оглавление , вы сможете увидеть, какие данные собираются на устройстве.

Кроме того, попробуйте сохранить все интеллектуальные устройства в вашем доме или офисе за брандмауэром . Поскольку они уязвимы, использование брандмауэра гарантирует, что данные не попадут в чужие руки. Вы можете использовать аппаратный брандмауэр (который я считаю лучшим способом) или программный брандмауэр через компьютер, который всегда работает.

Чтобы еще больше повысить безопасность интеллектуальных устройств, вы можете изменить пароли устройств. Почти все интеллектуальные устройства имеют пароль по умолчанию, например, «0000», «1234» или «пароль». Измените его, прежде чем подключать к остальной части сети, подключенной к Интернету.

Наконец, покупайте товары популярных брендов , которые должны соответствовать местным законам. Вероятность быть обманутым будет намного меньше, если вы будете использовать фирменные устройства против локальных или недорогих устройств, поскольку популярные бренды вынуждены раскрывать все данные, которые собирает интеллектуальное устройство. Они не могут позволить себе потерять свою репутацию во всем мире.

На данный момент безопасность в интеллектуальных устройствах является « этической ответственностью » компаний, а также « образовательной проблемой » от имени конечных пользователей. По моему мнению, компании, занимающиеся производством, должны информировать пользователей о проблемах безопасности в интеллектуальных устройствах и указывать это в руководствах для устройств, которые помогут уменьшить проблемы, связанные с конфиденциальностью и безопасностью.

В этом «Руководстве для потребителей по Интернету вещей» рассказывается о том, как обезопасить Интернет вещей и устройства IoT и многое другое.Вы можете посмотреть на меня

Как бы вы предложили повысить безопасность интеллектуальных устройств в качестве образованного конечного пользователя?

Как писать безопасные смарт-контракты

На самом деле, конечно же, всё не так плохо

Я просто сгущаю краски в попытках обратить внимание на некоторые важные, на мой взгляд, моменты. В целом же область развивается, люди учатся, в том числе и безопасности

Если же читатель решит-таки написать смарт-контракт, я бы посоветовал:

  • понять, зачем нужен (и нужен ли) смарт-контракт;
  • получить от заказчика или самостоятельно написать ТЗ;
  • рассчитать время;
  • использовать инструменты разработки и тестирования (Truffle, Remix, SmartCheck, линтер Solhint или Solium);
  • написать тесты;
  • провести несколько независимых аудитов и bug bounty;
  • следить за безопасностью остальных составляющих проекта (сайт, Twitter и т.п.).

Следуя этим простым рекомендациям, можно избежать большинства описанных выше проблем (от хардфорка, впрочем, это всё равно не спасёт).

Статья была создана совместно с Евгением Марченко (eMarchenko).

Что такое смарт-контракт?

Смарт-контракт — это компьютерный код, записанный в распределенном реестре (блокчейн). В отличие от обычного бумажного контракта, умный контракт невозможно изменить или подделать. Также его невозможно отменить в одностороннем порядке (если это не предусмотрено в самом смарт-контракте). смарт-контракт позволяет оперировать такими ценностями, как собственность, услуги и деньги.

Ник Сабо (Nick Szabo)

Сам термин «смарт-контракт» не такой уж и новый. Его впервые использовал в 1994 году Ник Сабо (Nick Szabo), которого считают отцом технологии блокчейн. Кстати, многие считают, что Ник Сабо и есть Сатоши Накамото — создатель Биткоина. Почитайте статью на вики про него и все поймете.

Ник Сабо тогда предложил смарт-контракт, как замену привычному посреднику в договорных отношениях между людьми. Вместо арбитража и надзорного государственно органа, «гарантирующего» выполнение обычного договора, этим будет заниматься неподкупный, непредвзятый компьютерный код.

Представьте себе, что всех нотариусов, судей, и все госорганы, которые занимаются регистрацией права собственности заменит несколько строчек кода, который не берет взяток, не занимает ни чьей стороны в споре и работает 24 часа в сутки.

Смарт контракт записан в децентрализованном реестре (блокчейне), который невозможно подделать или отменить. Для того, чтобы умный контракт начал работать, вам не нужно ходить по кабинетам чиновников и собирать подписи. Помимо того, что исключаются ненужные архаичные элементы в общественных отношениях, ускоряется и процесс создания договоров.

1 место – гроза смартфонов OnePlus One

После оглашения этой акции действительно много пользователей начали уничтожать свои смартфоны. И делали они это не столько из-за удивительных возможностях OnePlus One, а скорее, из-за нестандартного маркетингового хода. Правда, в ходе этой акции было выявлены свои недочеты. Оказалось, чтобы получить смартфон от компании, изначально необходимо поучаствовать в розыгрыше и подать заявку на официальном сайте. После того, как компания изберет 100 случайных пользователей, они могут записать видео и получить новинку. Об этом знали далеко не все, поэтому некоторых «разрушителей» смартфонов ждал печальный сюрприз.

Видеонаблюдение — не “панацея”.

Повсеместная установка систем видеонаблюдения (“Closed-Circuit Television Surveillance”, “CCTV”), как правило, обосновывается стремлением “повысить” уровень общественной безопасности. Положительный эффект влияния обоснован одной из криминологических теорий (“рутинной (обыденной) деятельности”). Эта теория утверждает, что знание потенциального правонарушителя о том, что за ним может вестись наблюдение, повышает предполагаемый риск быть пойманным при совершении преступления в данном конкретном месте и, тем самым, снижает его мотивацию к совершению преступления. Помимо этого сдерживающего эффекта, также называются возможность более оперативного развертывания сил охраны правопорядка, когда происходит инцидент, а также получение фото-, видеодоказательств совершения преступления.

Однако так ли это эффективно на практике? Некритический подход всё более широкого распространения систем видеонаблюдения вызывает много вопросов. Речь идет не только об ограничении прав на личное пространство каждого человека, вне зависимости от того, является ли он злоумышленником или добропорядочным гражданином. Всё большее число исследований утверждают: развертывание системы видеонаблюдения может и не приводить к ожидаемому результату (повышению уровня общественной безопасности и к сокращению преступности), в то время, как финансовые затраты оказываются значительно большими, нежели потенциальные выгоды. Ставка на повсеместное развертывание систем видеонаблюдения не является “панацеей” от совершения преступления, равно как и не является гарантией успеха расследования уже совершенного преступления:

  • действительно, в ряде независимых исследований делается вывод о том, что при развертывании систем видеонаблюдения фиксируется снижение уровня преступности, в среднем, на 16%. В одних случаях эффект выше, например, оборудование системами видеонаблюдения автомобильных парковок может привести к снижению автомобильных угонов на них на 51%; в общественном транспорте — снизить число преступлений на 23%. Но в других условиях работы, снижение числа преступлений не превышает 7% . Поэтому у исследователей возникает вопрос: а что, собственно, сильнее влияет на снижение числа преступлений — внедрение видеонаблюдения или улучшение освещения (и, соответственно, “заметности” потенциального преступника), которое практически всегда сопутствует развертыванию этих систем? То есть “чистый эффект” систем видеонаблюдения по-прежнему точно не установлен ;
  • исследованиями установлено, что значимый положительный экономический эффект по соотношению затраты (стоимость устройств, пусконаладка, постоянное обслуживание, увеличение мощностей для хранения и анализа информации, содержание операторов мониторинга) /выгоды (экономический эффект от предотвращения преступлений) видеонаблюдение достигает только тогда, когда оно подкрепляется направленным патрулированием “рисковых точек”, то есть обеспечением присутствия представителей сил охраны порядка . И снова возникает резонный вопрос — если затраты на развертывание видеонаблюдения оправдывает лишь обеспечение присутствия патрулей, то, может быть существует менее затратный, чем видеонаблюдение, способ выявления таких рисковых точек?
  • в ходе другого исследования, проведенного на основе анализа более 251 тыс. преступлений (входивших в сферу расследований Британской транспортной полиции в период 2011-2015 гг.), была сделана попытка оценить вклад систем видеонаблюдения, в качестве “поставщика” полезных доказательств. В итоге стала очевидна значительная неполнота собираемых данных: видеоданные оказались доступными следователям лишь в 45% случаев, из которых лишь в 29% случаев было признано полезным для расследования (таким образом, суммарное “КПД” составило всего 13%) ;
  • кроме того замечено, что одним из “побочных эффектов”развертывания систем видеонаблюдения в отдельных районах, становится “смещение” криминогенности из него в близлежащий район, с меньшим уровнем наблюдения, то есть “общий” уровень преступности, в действительности, может и не снижаться.

Арифметические особенности (Arithmetic Issues)

Уязвимости целочисленного переполнения, как и в других языках, возникают из-за ограниченного размера памяти, выделенного на переменную. Максимальное значение для переменной типа uint (uint256) равно 2256−1, минимальное — 0. Выйти за эти границы не получится: значение либо обнулится (при переполнении вверх), либо станет максимальным (при переполнении вниз).

Мы не будем рассматривать простые примеры, в которых арифметические действия выполняются без проверок. Рассмотрим уязвимость в функции , которую используют многие реальные контракты.

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Читать новость в источнике Xakep

3 общие угрозы и способы борьбы

Мы рассмотрим 3 угрозы безопасности Интернета вещей вашего подключенного дома, а также несколько простых советов по защите себя:

  1. Конфиденциальность, кража данных и личных данных
  2. Взлом устройства
  3. PDoS Атака

1) Конфиденциальность, кража данных и личных данных

В умном доме 2019 года собирается значительный объем данных – от умных устройств и бытовой техники до носимых устройств.

К сожалению, этим можно воспользоваться, если он попадет в чужие руки для мошеннических транзакций или прямого и более глубокого кражи личных данных.

Надежная аутентификация и шифрование должны держать в страхе всех, кроме самых упорных злоумышленников

Также следует обратить пристальное внимание на контроль доступа

В наши дни конфиденциальность является огромной проблемой, и нарушения происходят повсюду, от Facebook до онлайн-банкинга. Умные устройства не являются исключением из угрожающей глобальной тенденции, которая не имеет никаких признаков ослабления.

2) Взлом устройства

Злоумышленник может захватить ваше устройство и взять его под контроль. Мы коснемся этого более подробно ниже. Поскольку внутренняя функциональность устройства остается неизменной, захват устройства изначально сложно обнаружить. До тех пор, пока, конечно, ваш термостат не начнет выходить из строя или ваш телевизор не будет вести себя странно.

Встроенная проблема заключается в том, что одно взломанное устройство может заразить других.

Поскольку угроза этого типа атаки невелика, вам следует просто удвоить идентификатор устройства, а также убедиться, что ваш контроль доступа заблокирован.

3) Атака PDoS

При атаке постоянного отказа в обслуживании (PDoS) устройства могут быть повреждены настолько разрушительно, что в лучшем случае им потребуется замена оборудования. Возможно, им даже понадобится полная замена.

Регулярный мониторинг безопасности является обязательным и, как и в случае с другими угрозами, обращайте внимание на:

  • Контроль доступа
  • Аутентификация
  • Шифрование

Краш тест Moto X Force

Краш-тест смартфонов, ставший одним из самых нашумевших, связан с Moto X Force. В соответствующем видео пользователь кинул девайс с высоты трех метров. При этом владелец «мученика» проделывал подобный трюк несколько раз: сперва он скинул телефон боковой стороной, затем экраном вниз. После всего этого началась оценка повреждений, но на удивление их почти не оказалось. На самой внешней конструкции было лишь несколько царапин, что касательно самого дисплея, то он остался абсолютно «чист», без единого намека на неполадки.

Однако на этом «пытки» устройства не заканчиваются, создатель ролика решил перейти к «десерту». Он начал бить небольшим молотком по смартфону, прямо по экрану. Спустя три удара телефон чувствовал себя отлично, после пяти картинка исчезла, однако сама конструкция осталась целой и невредимой. После вскрывания крышки мы увидели, что аккумулятор и еще некоторые элементы производительной начинки были разбиты, но экран остался целым и невредимым. Подобному могут позавидовать многие современные девайсы именитых производителей. Данный ролик собрал более 12 миллионов просмотров и получил множество комментариев.

После выхода этого ролика все, кому не лень начали свои эксперименты над данным телефоном. Теперь уровень высоты вырос от трех метров до трехсот. При падении с высоты 305 метров со скоростью 300 км/ч телефон приземлился на землю (не бетон и не асфальт, но все равно показатель). Мало того, что он приземлился абсолютно в рабочем состоянии, на его корпусе почти отсутствовали внешние повреждения. Такая сверхпрочность экрана обусловлена тем, что разработчики использовали особую технологию – наслаивание нескольких слоев друг на друга, при этом слои имеют металлическую основу.

https://youtube.com/watch?v=7YQxYoZOGXU

Испытания Moto X Force также запустили целую волну экспериментов над гаджетами. Мы составили рейтинг краш-тестов смартфонов в порядке их радикальности.

Обзор типовых уязвимостей смарт-контрактов

Уязвимости смарт-контрактов можно разделить на несколько категорий:

  • Уязвимости, связанные с ошибками реализации (программирования) – данный тип уязвимостей связан непосредственно с профессиональными навыками у разработчиков, реализующих код смарт-контракта. Из-за отсутствия должного опыта в написании смарт-контрактов, разработчик может допустить большое количество ошибок, связанных с синтаксисом программы, с нецелесообразным использованием той или иной функции, из-за чего возникают недекларируемые возможности и уязвимости кода, которые могут быть использованы потенциальным нарушителем для реализации атаки;
  • Уязвимости, связанные с ошибками при построении архитектуры системы на основе распределенных реестров, – данный тип уязвимостей связан с несколькими факторами, в том числе с попытками реализации классических процессов, в том числе зарегулированных в рамках законодательства, что выражается в искажении классических принципов функционирования и построения систем на основе распределенных реестров, с недостатком опыта у архитекторов, проектирующих подобные системы и в связи с этим применяющих решения, создающие инфраструктурные уязвимости;
  • Уязвимости, связанные с логикой смарт-контракта, – один из самых ключевых видов уязвимостей. Данный тип уязвимостей тесно переплетается как с юридическим аспектом, так и с ошибками в разработке. Кроме того, особенности языков программирования, на которых реализованы смарт-контракты, имеют внутренние уязвимости, позволяющие существенно изменить заложенные в смарт-контракт алгоритмы;
  • Уязвимости, связанные с недостаточной проработкой юридической стороны смарт-контракта, – данный тип уязвимостей связан с устоявшейся практикой исполнительного производства. Кроме того, существует проблема легитимного вмешательства в цепочки транзакций с целью исполнения судебных решений. Однозначность и безусловная исполнимость программного кода, а также необратимость транзакций в системе на основе распределенных реестров налагают на процедуру пересмотра судебных решений определенные ограничения. Возникает множество вопросов по обеспечению судебной защиты со стороны государства, поквалификации судей и наличию у них возможностей получения доступа к распределенным реестрам, а также по возможности и корректности исполнения решений по сделкам в криптовалюте или с использованием цифровых активов с учетом разницы курсов по отношению к национальной валюте, штрафных санкций, ограничений и т.д.;
  • Уязвимости, связанные с реализацией алгоритма консенсуса, – являются фундаментальными уязвимостями, так как именно на основе работы данного алгоритма принимается решение о легитимности новых блоков. Отдельным вопросом является доказательство стойкости алгоритмов к различным видам атак . Схема классификации уязвимостей представлена на рис. 1.

Рисунок 1. Схема классификации уязвимостей смарт-контрактов

Общее руководство по обеспечению надежной безопасности Интернета вещей

Сильный умный дом начинается с безопасной сети Wi-Fi, поэтому подумайте об этих простых шагах, чтобы повысить безопасность.

Получите загадку с вашим сетевым именем: отображаемое по умолчанию имя вашего маршрутизатора часто является всем, что нужно хакеру для определения его марки и модели. Оттуда получить доступ к вашим устройствам просто. Переименуйте его, не давая понять, как помочь любому нарушителю на его пути
Настройка гостевой сети: это не пренебрежение к друзьям и семье, а простая мера безопасности, которую стоит реализовать. Ни одному гостю не нужен полный доступ к вашей сети

И давайте посмотрим правде в глаза, если у вас есть подростки с целым домом случайных посетителей, как узнать, действительно ли они друзья с вашими детьми или просто знакомые? Гостевые сети легко настраиваются и предоставляют базовые Интернет-привилегии без ущерба для чего-либо важного. Не чувствуй себя виноватым из-за этого

Немедленно измените учетные данные по умолчанию: большинство устройств поставляются со стандартными именами пользователей и кодами. Хакеру не нужно много копать, чтобы использовать эти учетные данные. Измените их на что-нибудь сильное, используя цифры и символы. Избегайте использования того же пароля, который вы используете где-либо еще
Обновляйте программное обеспечение и прошивку: вместо того, чтобы отклонять эти уведомления для обновления программного обеспечения и прошивки, примите меры. Это может остановить вас на несколько минут, но вполне может привести к исправлению безопасности IoT или ценному улучшению. Так что не пропускайте обновления.
Часто перезагружайте маршрутизатор: здесь не нужно перегибать палку, но периодический сброс может свести к минимуму вероятность того, что вредоносное ПО VPNFilter захватит ваш маршрутизатор. Это практически не занимает времени и стоит делать каждые пару недель. Уменьшите настройки по умолчанию для устройств IoT: большинство устройств IoT имеют практически все активированные функции. Удаленный доступ? Удобно, если вы им пользуетесь, но в противном случае представляет угрозу безопасности. Потратьте несколько минут, чтобы просмотреть настройки и отключить те, которые вам не подходят.
Активация двухфакторной аутентификации: получение кода, отправленного на ваш смартфон при входе в систему, может показаться вам ненужной проблемой, но добавление этого дополнительного уровня аутентификации стоит незначительных неудобств.
Избегайте общедоступной сети Wi-Fi для удаленного управления устройствами: может возникнуть соблазн использовать общедоступную сеть Wi-Fi, когда вы находитесь вне дома и собираетесь управлять своими интеллектуальными устройствами. Это бред по понятным причинам. Если вы настаиваете на использовании общедоступной сети Wi-Fi, помните о рисках. Вы можете смягчить их до некоторой степени, используя VPN, но мы советуем вообще не использовать эти незащищенные сети для управления устройствами.

Преимущества умных-контрактов

Немного резюмировав эту информацию, можно обнаружить несколько очевидных преимуществ, которые дают смарт-контракты:

  • Независимость. Вы больше не нуждаетесь в посредниках. Исчезают проблемы в виде переплаты за посреднику, бюрократических сложностей при подписании и получении заверения договора, а также вероятности недобросовестного поведения посредника. Смарт-контракт работает в децентрализованном блокчейне, что снимает возможные ограничения национальных правительств и их надзорных органов.
  • Доверие. Не обязательно доверять партнеру-контрагенту, достаточно доверять блокчейну. In blockchain we trust!
  • Безопасность. Вероятность взлома и кражи средств стремиться к нулю. Например, чтобы украсть ваши деньги со счета, хакеру нужно взломать ваш аккаунт. Но в случае с блокчейном ему попросту нечего взламывать, ведь блокчейн децентрализован. Он одновременно находится в тысячах компьютеров. Чтобы совершить атаку, нужно захватить 51% всей сети, что практически невозможно сделать, так как такая атака будет стоить ОЧЕНЬ больших денег.
  • Скорость. Контракты не просто безопасные и удобные — они еще и быстрые. И не только потому, что вы избавлены от контактов с бюрократией в виде чиновников и нотариусов, а потому, что блокчейн работает очень быстро. Процесс полностью автоматизирован и все операции видно в свободном доступе.

Все эти преимущества наглядно демонстрируют превосходство технологии умных контрактов над традиционными договорными отношениями, к которым мы привыкли. Но это еще далеко не все.

Смарт-контракты могут быть применены не только в торговле или финансах, но и в управлении, медицине, образовании, продаже недвижимости и страховании. И это далеко не полный список. Умные контракты могут использоваться в любой сфере, где требуется передать право собственности или подтвердить собственность.

В будущем смарт-контракты могут заменить паспорта и визы. Они значительно упростят заключение международных бизнес-сделок и буквально разрушат бюрократические границы во многих важных сферах нашей жизни.

Стандарты для “Умного города”

Весьма вероятно, что “Стандарт “Умного города” Минстроя имеет непосредственное отношение к инициативе создания “национальной” версии международного стандарта ISO “Устойчивое развитие малых и средних городов”, в разработке которого участвуют эксперты Технического Комитета (ТК) ISO ТК 465 “Строительство” и ООО “Русатом Инфраструктурные решения” совместно с ISO ТК 268 “Устойчивое развитие сообществ”. Это направление стандартов делает акцент на потребителей - граждан, городское сообщество, а также на устойчивое развитие города.

Инициаторы разработки нового стандарта считают, что действующие стандарты:

  • ISO 37120:2014 “Устойчивое развитие сообщества. Показатели городских услуг и качества жизни” (идентичный ему ГОСТ Р ИСО 37120–2015 “Устойчивое развитие сообщества. Показатели городских услуг и качества жизни”)
  • ISO 37151:2015 “Интеллектуальные общественные инфраструктуры. Принципы и требования к системе рабочих показателей”,

а также находящиеся в разработке новые стандарты

  • ISO 37122 “Устойчивое развитие в сообществах. Показатели для “умных” городов”
  • ISO 37123 “Устойчивое развитие сообществ. Индикаторы для адаптивных городов” 

не в полной мере учитывают особенностей малых и средних городов, поэтому поставлен вопрос о разработке адаптированного стандарта.

С другой стороны, разработку национальных стандартов для “Умного города” начинал вести Технический комитет ISO ТК 194 “Кибер-физические системы”, связанный с Российской венчурной компанией (РВК) и ДК “ТехНет” НТИ. Это направление стандартов связано с технологической, цифровой “стороной” умного города.

Проекты стандартов ТК 194 включали:

  • ГОСТ Р “Умный город. Эталонная структура ИКТ. Часть 1. Структура бизнес-процессов Умного города” (гармонизация с ИСО/МЭК 30145–1);
  • ГОСТ Р “Умный город. Эталонная структура ИКТ. Часть 2. Структура управления знаниями Умного города” (гармонизация с ИСО/МЭК 30145–2);
  • ГОСТ Р “Умный город. Эталонная структура ИКТ. Часть 3. Инженерные системы Умного города” (гармонизация с ИСО/МЭК 30145–3);  — ГОСТ Р “Умный город. Показатели ИКТ” (гармонизация с ИСО/МЭК 30146), а также:
  • ГОСТ Р “Интернет вещей. Эталонная архитектура” (гармонизация с ИСО/МЭК 30141);
  • ГОСТ Р “Интернет вещей. Термины и определения” (гармонизация с ИСО/МЭК 20924);
  • ГОСТ Р “Интернет вещей. Интероперабельность систем “Интернета вещей”. Часть 1. Структура” (гармонизация с ИСО/МЭК 21823–1);
  • ГОСТ Р “Интернет вещей. Интероперабельность систем “Интернета вещей”. Часть Х. Семантическая интероперабельность” (гармонизация с ИСО/МЭК 21823-Х);
  • ГОСТ Р “Большие данные. Эталонная архитектура” (гармонизация с ИСО/МЭК 20547);
  • ГОСТ Р “Большие данные. Термины и определения” (гармонизация с ИСО/МЭК 20546).

Однако в текущем “Перспективном плане стандартизации в области передовых производственных технологий на 2018–2025 годы”, утвержденном Министерством промышленности и торговли России и Росстандартом, “Умный город” уже не фигурирует.

Заключение

В статье рассмотрены основные уязвимости систем на основе распределенных реестров. Проанализированы угрозы, порождаемые данными уязвимостями, и предложен комплекс организационных и технических мер для их нейтрализации

Отдельное внимание при формировании модели угроз стоит уделить следующим рискам функционирования системы на основе распределенных реестров

Классическое верховенство права замещается верховенством кода, подразумевающим безусловное исполнение условий. Однако предсказуемость и определенность программного кода не работает там, где для учета интересов участников рынка требуются гибкость и отступление от условий договора для достижения баланса интересов сторон.

Ликвидация роли посредника, зачастую являющегося высококвалифицированным специалистом в области ценных бумаг и платежных технологий, гарантирует повышение уровня рисков для всех участников системы. В то же время использование распределенного реестра не приводит к распределению операционного риска между участниками, а концентрирует их на самом слабом, с точки зрения защиты информации, узле.

Если существует возможность фальсификации данных, мошенники смогут применить новые способы выведения активов, принадлежащих участникам распределенного реестра. Так же следует изначально определить баланс между анонимностью, являющейся фундаментальным свойством систем на основе распределенных реестров и необходимой для всех финансовых систем идентификацией клиентов в соответствии с законодательством.

Таким образом, обеспечение информационной безопасности систем на основе распределенных реестров является абсолютно неизученным вопросом, требующим долгой и детальной проработки.

  1. Галкова Е. В. Блокчейн на пике хайпа. Правовые риски и возможности. М. : Изд-во «Высшая Школа Экономики (ВШЭ)», 2017. 153 с.
  2. Gilot B. /. Code! = Law // CryptoIQ. 2016.  – Режим доступа:URL: http://blog.cryptoiq.ca/?p=534.
  3. Колесников П., Бекетнова Ю., Крылов Г. Технология блокчейн. Анализ атак, стратегии защиты. Изд-во LAP LAMBERT Academic Publishing RU, 2017. 77 c.
  4. Репин М. М., Пшехотская Е. А., Простов И. А., Амфитеатрова С. С. Использование платформы на основе распределенных реестров Ripple в банковских платежных системах // Системный администратор. 2019. № 3(196). С. 86-89. URL: http://samag.ru/archive/article/3841.

Ключевые слова: система на основе распределенных реестров, смарт-контракт, консенсус.

Ensuring information security of smart contracts in systems based on distributed registry technology

Repin M.M., Department of Information Security, Moscow Polytechnic University, Moscow, Russia, bmstu.iu8@gmail.com

Pshehotskaya E.A., Department of Information Technology, Moscow Polytechnic University, Moscow, Russia, pshehotskaya@gmail.com

Abstract: This article describes the basic vulnerabilities characteristics of smart contracts implemented in systems based on distributed ledger technology. They were analyzed and key features identified. A classification of information security threats for smart contracts is proposed. The recommendations were formulated and a basic set of organizational and technical measures was proposed to minimize the risks of threats associated with smart contracts.

Keywords: systems based on distributed ledger technology, smart contracts, consensus.

Похожие записи:

Infiniti qx30 (инфинити ку икс 30) Не заводится ваз 2114: ищем основные причины Установка и настройка сигнализации с автозапуском scher khan magicar 5 21 лучших сабвуферов в машину: активные и пассивные 5 причин выбрать российское авто вместо иномарки «чистокровные японцы»: можно ли их найти на авторынке