Решетка за 45$

Цена за халатность.

Последняя конференция, по всей видимости, научила участников перекусывать пятой точкой различные маталлические предметы. И мы решили дополнить ее разъяснениями на этот счет.

Все сказанное на конфе, по сути, примеры плохого отношения к безопасности и примеры того, как этим пользуются. Если все было бы так просто, то с киберпреступностью было бы покончено навсегда.

На конфе я рассказывал про школьника Енота, которого раскрутила группа исследователей. А вот в начале этого года, 24-летний гражданин Японии был приговорен к тюремному заключению за использование скрипта Coinhive для «браузерного» майнинга в злонамеренных целях. Енот кодил малварь, а этот майнингом заниматься хотел. Наверное миллиардами бабло грести начал вот его и прикрыли. Но:

"по информации сайта Bitcoin.com, представителям которого удалось получить комментарий адвоката неудавшегося майнера, он встроил майнинговую JavaScript библиотеку Coinhive не на сайт, а в читерский инструмент для неназванной игры, а затем рекламировал и распространял свой «продукт» в интернете. Сообщается, что за указанный период времени программу успели скачать немногим более 90 раз, и ее автор заработал на встроенном майнере всего 5000 йен (около 45 долларов США)."

Вот такие дела, присел за 45 баксов. К сожалению, информация о процессе расследования не распространяется, зато судя по словам "рекламировал и распространял свой «продукт» в интернете", я смею предположить, что ситуация тут такая же, как с тем енотом.

И таких инцидентов, когда ловят и сажают за копьё полным полно. Например, несколько месяцев назад в Украине поймали и посадили кодера, который продавал кейлоггер по цене 20 долларов.

Целью конфы и было - показать что бывает с теми, кто кладёт хуй на анонимность (далее слово безопасность синонимично слову анонимность). Да, безопасность ― это самый важный процесс в любой деятельности. Она крайне важна, при проведении таких кампаний как, например, атака на ICO CoinDash, которое на старте потеряло сумму в 8 миллионов долларов. Злоумышленник подменил адрес официального Ethereum-кошелька на свой собственный. А инвесторы за 5 минут перевели ему на счет 43к эфира.

Кто взломал CoinDash и как взломал, до сих пор остается загадкой.

Ещё несколько примеров:

• в апреле была атака на криптовалюту Verge (XVG), которая однажды подобной атаке подвергалась, обойдя предыдущие патчи и хардфорк.
• была зафиксирована атака на инфраструктуру Bitcoin Gold (BTG), принесшая злоумышленникам более 18 млн долларов.
• летом этого года -  атака на Coinrail. Ущерб составил около 37 млн долларов.
• атака на Bithumb. У которой похитили около 31 000 000 долларов в криптовалюте.

А в прошлом году "вау" эффект произвели неизвестные написавшие фейк блокчейна и распространившие его через рекламу от гугла. Ребята заработали около 50 миллионов долларов. И их не нашли. И не найдут. А все потому что они профессионалы, которые со знанием дела подошли к вопросу безопасности. 

Никто не будет бегать за вами со сканерами, если никто не будет знать кто вы. А достигается это проще чем кажется. Достаточно лишь не говорить на личные темы с партнерами по бизнесу и не рассказывать о бизнесе тем, кто знает тебя лично.

В первом случае вы гарантируете, что вы не разболтаете сотруднику АНБ о своей персоне, по которой смогут составить ваш психологический портрет и косвенно определить ваше местонахождение.

А во втором - что никакая бывшая подружка, которой вы не купили айфон, или вчерашний обиженный друг, которому вы не заняли денег на машину, не побежит в СК чтобы поделиться вашими рассказами о легких деньгах.

Ведь именно отсутствие понимания, что можно говорить, а что нельзя и становится отправной точкой для начала конца. Людей слишком много, а информации, которую они генерируют еще больше. А следить за каждым битом передаваемым по сети,  следить за каждым сообщением передаваемым по сети, слишком накладно, как по вычислительным ресурсам, так и по человеко-часам. К тому же, если учесть что 80% мирового трафика - это порно, то такой процесс становится невыгодным вдвойне.

Да и к тому же, если бы всевидящее око могло контролировать все и вся без понимания границ, никто не просил бы у компаний ключей шифрования для переписок.

Когда-то были попытки даже запретить шифрование, а разработку слишком сложных алгоритмов приравнивали к терроризму. Тем не менее у нас есть PGP.

Это то, что касается человеческого фактора. С технической же стороны все тоже не очень-то и сложно. Главное тут опыт и знание инструментов, которые нужны, и то, как они работают. К примеру, можно самому потратить сутки на настройку своего VPN-сервера и так и не узнать, что запросы DNS идут через провайдера. Или того, что VPN нужно использовать в паре с чем-то. А потом выясняется, что WebRTC не был выключен.

Хорошо организованная безопасность даст вам гарантию, что однажды вам не придется выбирать между стульями, а ваш сон будет здоровым и крепким.

Если бы ты нашел нишу заработка от 500 тысяч рублей в месяц и она была бы нелегальной, - сколько бы ты заплатил за то, чтобы обеспечить себе 100% пожизненную безопасность? Я думаю ты бы легко расстался с 200к, а то и больше.

А если бы тебе сказали, что тебя научат, как зарабатывать от 500к да еще и обеспечат пожизненную 100% безопасность? Сколько бы ты за это заплатил?

Возможно ты выбрал не ту профессию, не тот доход, что хотел. А возможно у тебя не хватает связей, чтобы получить перспективную должность. Ты хочешь большего, но обязан зависить от начальства.