Страницы

Новые требования к лицензиатам ФСТЭК

Пробежался по новому ПП541, которое вносит изменения в ПП79 и ПП171, описывающие требования к получению лицензии ФСТЭК по ТЗКИ и разработке СЗИ. Вступает в силу через год.

Изменения существенные.

3 биткоин-транзакции в секунду

Строить нагруженные блокчейны тяжело. Особенно децентрализованные системы, опирающиеся на схему Proof-of-Work (майнинг).

При всех миллиардах капитализации, пропускная способность сети биткоин сегодня составляет... 3-4 транзакции в секунду (см. Mempool Stats https://tradeblock.com/bitcoin)!
При этом в отдельные дни в очереди может стоять 30 000 транзакций. Учитывая среднее время майнинга блока (10 минут) и среднее количество транзакций в блоке (2000), только чтобы разгребсти очередь может уйти несколько часов. На практике десятки тысяч транзакций просто не попадают в блокчейн в моменты пиковых нагрузок.
Происходит это потому, что транзакции в сети соревнуются за право быть записанными в блок. Выигрывают те транзакции, цена комиссии за байт у которых больше, чем у других.
Стандартный клиент Bitcoin Core не умеет подбирать оптимальный размер комиссий, поэтому с использованием bitcoin в рознице могут быт проблемы. Проблемы могут быть и со всем остальным, типа "умных контрактов", "цветных монет", "блокчейн нотаризации" и т.д., если софт будет опираться на рекомендованный размер комиссии в bitcoin core.
Предсказать оптимальный размер комиссии для включения в блок можно, к примеру, с помощью сайта http://bitcoinfees.21.co/.

В общем, биткоин блокчейн сейчас уперся в серьезное бутылочное горлышко, которое не преодолеть без радикальных изменений в архитектуре. И лично для меня вопрос, способно ли достаточно разрозненное сообщество разработчиков к таким изменениям.

PS Запретить биткоин в России - значит лишить нашу страну лучшего полигона для обкатки технологий блокчейна и наступать на все грабли самим.

За что я не люблю MaxPatrol

14 уязвимостей всех цветов радуги: 2 критических, 8 средних и 4 низких.


Впечатлительный человек, прочитав такой отчёт, скажет точно "всё пропало" и пойдет сносить головы ибшникам/айтишникам за то, что допустили 14 дыр во внутреннем продакшн сервере.

Но стоит немного вчитаться, и выходит, что виной всему только старый OpenSSH/OpenSSL, а выдача сканера формируется по принципу "детектим текущую версию сервиса, смотрим какие CVE закрыли в каждом новом билде, выдаем всё скопом и радуемся".

3 листа мелкого текста можно заменить на одну красную строчку: "старый сервис, обновись".

Конечно, эта беда не только МП, а почти каждого инструмента безопасности. К каждой тулзе нужна прокладка в виде опытного аналитика, способного выделить строчку сути из 3 листов мусора и виной этому, главным образом, вендорский подход: сканер уязвимости должен находить много "красненького", иначе как доказать заказчику, что он эффективно работает?

Береги лицо смолоду

Все мы помним историю про то, как массовики-затейники с двача использовали findface для поиска порноактрис, да? Так вот они ещё сделали сайт, на котором ведут учёт находкам.
Самое веселое на этом сайте - это точные цитаты с сайта Роскомнадзора про обработку сведений из публичных аккаунтов соц.сетей:

Обзор Facebook ThreatExchange


Тема Threat Intelligence (коротко TI) сейчас достаточно неплохо подогрета, однако, как это часто бывает, под модным термином порой понимают совершенно разные вещи.

Чаще всего под TI понимают какую-нибудь платную или бесплатную новостную рассылку о новых уязвимостях.  Качество такой рассылки очень разное. Одни засовывают в неё "брендированные" уязвимости типа MagicTragic или BadLock и CVE (так делают многие вендоры, которые стараются поспевать за модными трендами), другие делятся содержимым закрытых кардерских форумов и свежими таргетированными троянами (так делает, к примеру, Касперский).

Facebook вот пошел по своему пути - они сделали базу "индикаторов угроз" - разнообразных признаков совершения кибератаки. Новость про "базу уязвимостей" от Facebook полтора года назад облетела все интернеты, но в итоге никто так и не удосужился толком написать, что же это такое. Вот, восполняю пробел.