Как стать автором
Обновить
60
Карма
0.1
Рейтинг
Сергей Прилуцкий @BoogerWooger

Software Researcher

  • Подписчики 70
  • Подписки 1

Взлом Госуслуг: утечка исходного кода

ну вообще бекенды-то вообще в паблик не выкладывают, даже если и не стыдно - как то не прижилось, очень уж стремно это считается. Хотя это не очень хорошая с теоретической точки зрения практика. Исходники все равно можно достать подкупом, так что для реального врага их не скроешь, так что лучше играть в открытую с большими bounty и многчисленными pentester-ами, если действительно нужна безопасность.
Увы, до этого уровня ИТ сообществу с его корпоративными "лицензиями" и "годовыми тарифными планами" еще придется подрасти.

Взлом Госуслуг: утечка исходного кода

да выкатка просто так сделана - раньше так часто выкатывали, когда докеров, облачных тачек не было. git pull на всех серверах и погнали

Взлом Госуслуг: утечка исходного кода

C этим даже близко не спорю. Открытый софт, разрабатываемый по правильным принципам гораздо более безопасен чем закрытый. И гос. софт точно должен быть открытым. И открываться должен не через дыры, а выложен на публичный государственный github, с pull request-ами, обсуждениями фич. Но у нас до этого дозреют наверное только к 2030, а пока будет самописное закрытое

Взлом Госуслуг: утечка исходного кода

вообще репорт про bounty публикуется после того, как дыра была найдена и сотрудникам баунти не дают (точнее в норм. компаниях дают внутри и в открытую). google, amazon, yandex и mail.ru и еще тысячи компаний используют bounty - вряд ли, наверное, использовали бы, если бы результатов не было
А вообще, уже несколько лет как есть куча ребят, которые просто честно этим зарабатывают, лично знаю многих. И ни одну дыру для себя не использовали. В случае кидка инфа просто распространяется в группах whitehats о том, что данная компания - тупое мудачьё, и ее нефига шатать, страдает от этого только сама компания.

Взлом Госуслуг: утечка исходного кода

совершенно нормальная практика - нормальные сервисы пишут "копайтесь пожалуйста в наших сервисах" либо дают тестовые стенды, в которых можно копать за хорошие деньги. И государственные сервисы просто обязаны так поступать.

А аналогия про отмычки паршивая - если мне слесарь показывает как с помошью зубочистки и скрепки мой замок открывается, причем приватно, и советует сменить замок - я не буду против заплатить ему, а не написать его имя в "лист благодарностей"

Ну а про посадки "асоциальных" личностей, ссущих в солонки - это совсем уже политота, на хабре ей не место...

Взлом Госуслуг: утечка исходного кода

зря, вполне нормальная практика требовать за серьезную дыру, человек работал, искал дыру, это не халява вообще - то что дыра халявная, повторяю, это не довод - бывают дыры которые требуют огромной работы, а bounty за них - смешное.
Для гос сервисов надо вообще держать огромные bounty, чтобы любой хакер хотел и мечтал взломать госуслуги, сообщить о дырке приватно и помочь убедиться что дыру залатали. Так делается по-правильному в крупных WWW сервисах, баунти программы есть у всех крупнейших компаний.

Взлом Госуслуг: утечка исходного кода

  • слив исходников - это лютая дыра для всех нормальных безопасников

  • требование bounty за простую, но огромную дырень в сервисе - совершенно нормальная практика современных whitehat-ов

  • то что ему повезло легко найти - не меняет факта серьезности уявимости, которая еще и вскрыла другие сервисы

Дуров объявил о смене названия и владельцев TON

имхо, самое главное - динамический шардинг и изначально очень продуманная архитектура (правда вся - самописная). Аккаунты-контракты, сообщения между шардами с вложенными в них TON-ами, эффективный storage из cells, сложные, но реально секърные fees. Мне показалось, что Николай прям здорово почувствовал много болей блокчейнов - размер storage, мертвые акки, cross-shard транзакции и решил в первую очередь именно эти задачи, а на остальные - типа компиляторов, примитивов для разрабов, они забили пока. Этим, они, правда, положили болт на юзабилити для внешних разработчиков, но вообще на том этапе не было никакого смысла строить какой то tooling - тупо код был не доделан.
Например, рабочий в проде шардинг цепочек на момент выхода той версии ноды TON никто в проде не сделал, а в тесотнете FreeTON этот шардинг протестили, все вроде даже сработало - шарды разсплиттились, и потом смержились. Похожие решения заработали в проде только вот недавно - NEAR, Avalanche, например, и еще куча похожих Ну а последние цифры по tps во FreeTON(который теперь Everscale) - вообще офигенные, почти 60k tps - это мега круто для блокчейнов.
Но вообще всю эту ситуацию я рассматриваю так: "вот какая каша бывает, когда core-команда бросает самый основной движок и валит". Могли бы хоть свой backlog опубликовать, или хотя бы неофициально слить кого то из core-разрабов на независимое развитие проекта.

P.S. Ну и большое спасибо за всё это дедам-тупарям из SEC.

Дуров объявил о смене названия и владельцев TON

да, базовые контракты пробовал, и нативно, и с Solidity компиляторов от тонлабс. Получалось сделать простые вещи, но чтобы делать что-то сложнее, надо прям здорово понимать особенности TON, аккаунтов, cells, нюансов реально много

Дуров объявил о смене названия и владельцев TON

имхо, отличная архитектура, которая работает в проде. Я хз что там с баблом и governance, но технически TON хорош - многие боли блокчейнов там красиво решены. Хотя писать под него - это та еще история

MEV: DeFi transaction ordering for profit and fun

Я вообще не понял где это общество обещало быть открытым и честным? Блокчейны тем и круты, что там на словах ничего не построено, только код, никто никому ничего не обещает. Безопасность этого кода работает только если M из N участников следуют протоколу, причем M > 1 - это уже в M раз лучше чем в традиционном софте. Так что история с MEV очень показательна - никто никому ничего не должен, сеть открыта и работает по такому-то алгоритму, все "пожелания" к "честности" на словах никому не интересны - это просто не работает. Именно из за этой беспринципности блокчейны безопасней и крепче любых централизованных систем.

Где гарантии, что Яндекс или FB - это не сговорившаяся кучка скамеров? Кто их инвесторы? Какие задачи они ставят подразделениям? Как процессят наши данные? Без наездов на уважаемые компании - мы все им верим и их работа критически важна, но надо все таки признавать, что есть конкретные требования к безопасности, которые гораздо крепче в децентрализованной среде.

MEV: DeFi transaction ordering for profit and fun

Проблема MEV, имхо, не решается никакой простой добавочной логикой, если есть свободная p2p сеть по доставке транзакций и блоки с фиксированным порядком транзакций. Всегда можно будет эксплойтить. Решение в сокрытии содержимого транзакций, но это требует всю сеть изначально строить в zero-knowledge парадигме. Ну и проблему-то эту необязательно искоренять, ее нужно "возглавить". Сейчас уже есть нормальные аукционы по приватному предордерингу транзакций, они просто продолжат развиваться. Тот же арбитраж, просто еще одно измерение.

MEV: DeFi transaction ordering for profit and fun

софт не может диктовать майнерам ничего, при формировании блока всегда можно вбросить транзакцию. Никаких проверок софта нет - в блокчейнах один и итот же протокол реализуется множеством вариантов софта - в том же Ethereum есть куча нод на разных языках. Проверка про "нужный" софт - это и есть консенсус, другой нет.
По поводу наказаний - в PoS сетях они есть, и MEV-ающих валидаторов остальные могут выкидывать из сети, этот механизм есть, но не уверен, что это прям нужно делать - бороться с технически неостановимой атакой запретами и угрозой послешить - неэффективная стратегия - лучше экономически, сделав нормальный рынок ордеринга и пусть трейдеры себе бодаются за позиции в блоке

Self-Sovereign Identity + smart-contracts, дешево и сердито

верификация бесплатная - сотрудник аэропорта предъявляет QR код с одноразовым рандомом, типа "подпишите-ка этот рандом приватником от адреса, который указан в реестре". Юзер своим телефонов (где есть приватник) подписывает + показывает адрес. Телефон сотрудника знает какие адреса есть в реестре и может убедиться, что только владелец адреса мог его подписать. Можно и дальше оптимизировать схему - например с помощью merkle proofs, тогда на телефоне сотрудника есть вообще лишь одно число - merkle root ВСЕХ привитых, а юзер доказывает:
1) что он владеет адресом A (с помощью подписи)
2) что адрес A находится в списке привитых (с помощью merkle proof)

Self-Sovereign Identity + smart-contracts, дешево и сердито

угу. Ну можно выбрать из кучи форков эфира, например. Я люблю xDAI например (просто знаю сколько нужного софта ребята написали для экосистемы). Там быстро и дешево. Ну и решение на эфире можно вообще сделать сразу во всех эфирных БЧ :) Если используется один и тот же тип адресов, то один и тот же адрес может быть использован в нескольких БЧ.

Self-Sovereign Identity + smart-contracts, дешево и сердито

1) это определяет чисто рынок, предсказать невозможно. Куча пользователей и ботов размещают ежедневно разное количество транзакций. Каждая из транзакций стоит от 21 000 до 10 000 000 gas (условные попугаи). Цену за газ ставит отправляющий, если майнеры долго не берут транзакцию, цену можно повысить. Поэтому там просто ауцкцион получается на каждом блоке. Бывают дни, когда твоя транзакция стоит 1$ и майнится 30 сек, бывает что 20$ и надо ждать 15 минут. Здесь не стоит ждать какой-то то надежности, если не готов платить и конкурировать с другими проектами, увы.
Если про ковид-паспорт, то, если хранить в БЧ самый минимум, например bool (вакцинирован), или timestamp c каким нить битовым полем, то это в Ethereum минимум модификация слота размером 256 бит (там любая опреация в storage квантуется блоками по 256bit). Апдейт ячейки стоит 5000 gas, создание новой ячейки - 20000 gas. Key-value c адресом это что-то типа двух ячеек (под ключ и под значение) - значит в районе 40000 gas за тразакцию (вообще это точно оценивается для конкретного контракта, но лень).

Текущие цены на газ (на сегодняшний день, смотрю на https://ethgasstation.info/) - это 17gwei (1 wei это 1 * 10 ^(-18) ETH), соответственно цена транзакции примерно 40 000 * 17 * 10^6 wei * 10^(-18) ETH. Но вообще я сегодня делал простенький approve в эфире - стоило 1.5$, так что цена где-то такая будет

Self-Sovereign Identity + smart-contracts, дешево и сердито

блокчейнов без оплаты транзакций не существует. Даже если нативный токен не имеет никакой реальной стоимости, он все равно нужен для обеспечения безопасности сети - им оплачивается сложность транзакций, и он все равно есть (команда просто делает его "техническим", печатая и раздавая кому надо). Без токенов делают блокчейны корпораты, но, имхо, это просто понты, реально такие блокчейны нафиг не нужны никому. Зачем заменять быструю и эффективную БД медленным и тормозным БЧ при том же уровне безопасности? В блокчейнах возможность ОДНОМУ участнику всё сломать считается дырой в безопасности, а без оплаты транзакций любой ОДИН взломанный участник может заспамить БЧ бесплатным мусором.
В случае своего БЧ нативные токены можно "печатать" сколько хочется и раздавать универам просто так, вообще не присваивая токену никакой финансовой ценности (да ее и не будет, если сказать, что команда в любой момент может напечатать кому угодно ахулиард токенов). Тем не менее с точки зрения безопасности все строго - если у спамера нет токенов - он ничего не сделает, а универ просто так их никому не даст.

Про "стоимость" архитектуры не очень понял вопроса, попробую ответить как понял.
Web-часть поддерживается как обычный web проект, единствено, что для БЧ это могут быть крайне легковесные frontend-ы, которые можно чуть ли не в виде html файлов распространять. А вот про блокчейн-часть:

Если делать свой блокчейн - то суммарно всей сети придется платить реальные деньги за работающие блокчейн-ноды, зарплату админам, за доработаку клиентского софта, обновления и т.п. Похоже на разработку форка какой нибудь опенсорсной СУБД.

Если использовать готовые сети типа Ethereum, то можно вообще ничего не поддерживать кроме нескольких своих нод для надежности, с минимальной поддержкой, но за каждую операцию придется платить в ETH.

Можно использовать testnet Ethereum и вообще не платить за ноды (их уже держат раработчики), а для транз использовать тестовый эфир(можно получить его себе бесплатно). Цена владения такой системой вообще почти нулевая (рекомендую, если вы студенческий проект делаете)

Self-Sovereign Identity + smart-contracts, дешево и сердито

Ну, любые текущие системы требуют также танцев с бубуном - например владения почтовым ящиком, который может исчезнуть, или начать класть в спам письма, или телефона.
Я в конце написал, что никаких "забыл пароль" в этих схемах не будет - этот функционал изначально хромой - как был хромым функционал "выслать пароль на email". "Менять пароль" должен сам пользователь, а не сервис, без малейших дейсттвий на стороне сервиса, это его аккаунт и только ему им управлять. Проблема угнанных аккаунов решается созданием двухуровневых identity - master ключа и рабочих аккаунтов, которые master всегда может заменить.
Это долгая дискуссия, если кратко - это да, другая схема, которая сильно отличается от привычной. Но почему-то W3C ее принимает и развивает, а SSI и VC - это уже существующие тренды развития интернета. Ну и как то в DeFi крутятся десятки млрд $ в день без всяких восстановлений паролей, здесь первым делом в любых сервисах пишут огромными буквами "нет seed phrase, нет и мультиков"

О фейковых криптовалютах (Ethereum, Tron, Ripple и пр)

про 72 млн первых эфиров тоже гонево — везде написано, что это банально те, кто вложился в BTC в ICO эфира — они и получили эти 72 млн. Напомню еще, что когда они их получили, это не была «вторая криптовалюта» — а был эфир пока никому не известными фантиками — и инвесторы сильно рисковали. То же самое, что в Теслу вложиться в первый месяц ее существования… Эх, жалко, конечно, что такой фон вокруг криптовалют. Жалко что вообще BFT p2p сети вообще превратились в банальные криптовалюты — ибо Ethereum — это больше распределенный компьютер, и ваша аналогия с бинарями довольно точная. То что его начали использовать как станок для печати фантиков — проблема бизнеса, а не самого Ethereum.

Информация

В рейтинге
2,363-й
Откуда
Москва, Москва и Московская обл., Россия
Зарегистрирован
Активность