«Өзің екеніңді дәлелдеу күннен-күнге қиындап бара жатыр.» — деп атап өтті Phemex компаниясының бас директоры Федерико Вариола, бұл пікір крипто индустриясында артып келе жатқан алаңдаушылықты көрсетеді және тек смарт келісімшарттар немесе инфрақұрылымдық қателерден әлдеқайда ауқымды мәселе болып отыр.
Leger компаниясының тәжірибе бойынша бас директоры Иан Роджерс пен киберқауіпсіздік фирмасы Hacken-нің негізін қалаушы әрі бас директоры Дмитрий Будоринмен бірге жақында өткен панельдік талқылау кезінде Вариола крипто қауіпсіздік қатерлері нақты жағдайларда қалай байқалатынын түсіндірді. ЖИ құралдарды өзгерткенмен, әлсіздік көзі сол қалпында адам болып қала береді – адамдар бір-бірімен қалай сөйлеседі, тез шешім қабылдайды және кімді сенімді деп есептейді.
Мұның көбі күнделікті әрекеттен бастау алады. Биржалар мен әмияндар арасында ортақ түсінік қалыптасқан: әдеттер оқиғалардың қалай өрбитіндігін анықтайды. Федерико Вариола үшін бұл биржалардың процестерді қалай жобалайтынына, қосымша қиындықтар енгізуіне, сондай-ақ адамдардың әмияндармен, әлеуметтік платформалармен және он-чейн тұлғалықтарымен әрекеттесуін басқару жолына тікелей әсер етеді.
Көбірек құн, үлкен мақсаттар
Талқылаудың басында Федерико индустрия өзін-өзі жиі қоятын сұраққа тоқталды: крипто қауіпсіздікте нашарлап бара ма, әлде шабуыл жасаушылар ғана шеберлене түсті ме?
«Сіз бұл жылдың киберқылмыс бойынша ең нашар жыл екенін, ал келесі жыл тіпті жаман болатынын айтуыңыз ықтимал. Себебі біздің қауіпсіздігіміз әлсіреп жатыр деп емес. Құндылық артты. Құндылық көбірек болған сайын, жүлде де үлкейеді. Жүлде үлкейген кезде, сол құндылықты иеленгісі келетін адамдар да көбейеді.»
Крипто дамыған сайын, шабуылдаушылар үшін экономикалық ынталандыру да артады. Вариоланың айтуынша, бұл үнемі тепе-теңдіктің бұзылуына әкеліп соғады, себебі шабуыл жасау мүмкіндігі, әсіресе бұқа нарығы кезінде, қорғаныс тетіктерінен жиі озық болады.
«Біз, шамамен, дәл қазір мүмкіндіктер қорғаныстан тез дамып жатқан аралық кезеңде жүрміз. Әр бұқа нарығында сізге қауіпсіздікке, не өзіңіз бақылап отыруға, не екеуіне бірден жолды қысқарту керектігін өте ақылды адамдар түсіндіруге тырысады, және бұл әдетте бір нәтижеге келеді.»
Роджерс осы ойды нақтылау үшін қарапайым мысал келтірді. Әмиян жасауда тікелей қатысқан және нарықта тәжірибесі мол крипто саласындағы адамдар да Discord немесе браузер әмияндары арқылы жіберілген сенімді сілтемелерге алданып қалғанын мойындады. Оның ойынша, тәжірибе көмектескенімен, үнемі мұқият болу қажеттілігін толықтай жоққа шығармайды.
Жеке тұлға әлсіз тұсқа айналған кезде
Вариола ең үлкен өзгерісті шабуылдардың орындалу тәсілінен көріп отыр.
«Бұлар жақсы қаржыландырылған, тіпті кейде мемлекеттің өзі қолдайтын адамдар, және олардың әрекет ету жылдамдығы өте жоғары. Сонымен қатар, біз қолданып жүрген ЖИ мен автоматтандыру сияқты құралдар — қос қыры бар қылыш. Егер біз бұл құралдарды қолдана алсақ, шабуылдаушылар да қолдана алады. Әлеуметтік шабуылдар күрделене түседі. Менің бейнемді пайдаланып, видеоқоңыраулар арқылы инвесторлар мен бизнес серіктестерді алдамақ болған жағдайлар болды.»
Иан Роджерс аппараттық әмиян пікірін ортаға сала отырып, бүгінде шабуылдардың көбі технологияға емес, психологияға негізделгеніне назар аудартты. Вариола болса, биржалар нақты тәжірибеде осыған куә: жүйелерді бұзудан гөрі адамдарды сендіру әлдеқайда оңай.
Роджерс панель барысында атап өткендей: «біз әрқайсымыз алданып қалуымыз мүмкін». Крипто саласындағы топтардың өз ішінде де, таныстық, шұғылдық сезімі және мұқият дайындалған әлеуметтік әдістер әдетте күшті қауіпсіздік қадамдарын айналып өтуге жеткілікті.
Биржа шындығы: суық, ыстық және адамдық
Биржа қырынан Федерико кепілдіктер мен болжамдарды шатастырмауға ерекше көңіл бөліп отыр.
«Біз қолданушыларға кепілдік беретін нәрсе мүлде қол сұғылмайтын болуы тиіс, ол — суық әмиян. Бұл талқыланбайды. Ал ыстық әмияндар, табиғатынан, әрқашан желіге қосылғандықтан, шамадан тыс тәуекел тудырады.»
Нарық белсенділігі жоғары уақытта бұл тәуекелдер күшейе түседі.
«Бұқа нарығы туындаған сәтте, пайдаланушылар ыстық әмияндарда қаражаттың толы болуын күтеді. Олар тез әрекет етеді, әдетте, әсіресе альткоиндермен, ірі сома аударады. Қолданушылар сұранысы өте жоғары.»
Мұндай қысым шиеленіс тудырады. Пайдаланушылар жылдамдық пен ыңғайлылық қалайды. Тек қауіпсіздік көбіне қосымша кедергілерді қажет етеді.
«Қаражат қауіпсіздігі үшін, қолданушылар не сұраса да, кедергі қабаттарын қосу қажет. Яғни кейде өз қолданушыларыңа қарсы тұруға тура келеді.»
Биржалар үшін неғұрлым жайсыз шындық, бірақ Федериконың сенімі бойынша, егер платформалар қысқа мерзімді ризашылықтан гөрі ұзақ мерзімді қорғанысқа шындап кіріссе, одан қашып құтылу мүмкін емес.
Тәжірибе нені үйретеді
Панель барысында Вариола Phemex өткен жылы тап болған қауіпсіздік оқиғасын қысқаша еске салды.
«Біз үшін ең үлкен сабақ — өзімізді ойлағаннан әлдеқайда құнды нысанаға алынғанымызды түсіну болды.»
Ең басты тұжырымдама адамдарға қатысты болды.
«Біз фишингтік шабуылдар мен әлеуметтік инженерияның қаншалықты кең таралғанын толық бағаламадық және олардың алдымен құрылымдағы ең төменгі деңгейдегі қызметкерлерге — стажерлерге, дизайнерлерге, өзін қауіпсіздіктің негізгі бөлігі деп санамайтын адамдарға бағытталатынын, сосын біртіндеп маңыздырақ рөлдерге өтетінін ескермедік.»
Дмитрий Будорин мұндай шабуылдардың әсерін түсіндіре келе, фишингті кәдімгі балық аулаумен салыстырды. Егер балық пластик жемге оңай шаға салатындай аңқау болмаса да, қалыпты немесе алаңғасар сәттер шабуылдаушы үшін жеткілікті қатерге айналады. Оның айтуынша, осындай шабуылдардың сөзсіздігі ең қауіптісі.
Осындай ойлау тәсілі Вариоланың қауіпсіздікке қатысты ұстанымымен тығыз байланысты.
«Инженерлер немесе басшылар үшін сақ болу жеткіліксіз. Ұйымдағы әр адам қандай тәуекелге тап болып жатқанын толық түсінуі керек. Ең төменгі деңгейдегі стажер де жағдайға толық қанық болуы қажет.»
Будорин мұнымен шектелмей, көптеген жағдайда басты нысанаға алынатындар — жас қызметкерлер емес, бас директор екенін айтады. Қоғамда танымал тұлғалар, негізін қалаушылар мен басшылар көбіне тікелей шабуыл көреді, себебі олардың салалық беделі әрі өкілеттігі шабуылдаушылар үшін тартымдырақ.
Оқиғадан кейін Phemex жалпы қауіпсіздікті барынша арттырды, бірақ одан маңызды өзгеріс ішкі мәдениетке қатысты болды.
Әлеуметтік қабаттар мен қаржылық қабаттар үйлеспейді
«Крипто — аса әлеуметтік индустрия болып есептеледі. NFT, әлеуметтік желілер, Telegram — осы платформалардың барлығы шабуылдаушылар үшін нысанаға айналады»
Федерико Вариола адамдар құпия деректерге қатысты әрекеттерді қауіпсіздікке арналмаған ортада тым еркін жүргізетінін қатты сынға алды.
«Telegram, әсіресе, қауіпсіздік тұрғысынан ең нашар жұмыс істейтін платформалардың бірі, алайда индустрияда негізгі коммуникациялық стандартқа айналып отыр»
Ол әмияндарды қадағалау мен жария түрде иеленушіні көрсетуге қатысты өсіп келе жатқан үрдістерге де алаңдаушылық білдірді.
«Әмияндарды жеке тұлғаларға байлап бақылау үрдісі ұнамайды. Бұл криптоның табиғатына қайшы деп ойлаймын. Дегенмен шындыққа келсек, индустрияда табысты бола түссең, соғұрлым үлкен нысанаға айналасың да, сондықтан өзіңді қорғауға көбірек ресурс бөлуге мәжбүр боласың»
Орталықтандырылмау шабуылдардың экономикасына өзгеріс әкеледі
Алдағы уақытта Вариола орталықтандырылмаған жүйелерді және өзін-өзі сақтау тұжырымдамасын крипто қауіпсіздігін қамтамасыз етудегі кең ауқымды өзгерістің бөлігі деп есептейді.
«Орталықтандырылмаған жүйелер стандартқа айналған сайын, біз қауіпсіздік жүгін сәтсіздікке ұшырауы ықтимал бірнеше нүктеге бөліп жатырмыз. Хакерлер енді әлсіз тұсты – яғни бір ғана ортаны емес, жеке адамдарды нысанға алуға тура келеді»
Ол тәуекелді жоймайды – тек қайта таратады.
«DEX және орталықтандырылмаған платформалар да өзіне тән қиындықтар ұсынады. Код — заң. Блокчейнді тоқтату мүмкін емес. Жаңа тәуекелдер пайда болады. Дегенмен, жалпы алғанда, индустрия үшін бұл жақсы нәтиже деп санаймын»
Биржалар үшін бұл қарсылық таныту емес, бейімделу деген сөз.
«Орталықтандырылған платформалар жоғалып кетпейді, бірақ біз дамуыңыз керек. Қауіпсіздік моделі қолданушылар әрекетімен бірге ауысуы тиіс»
Бес жылдан кейін қандай криптовалюта күресін жалғастырады
Болашаққа қараған кезде, Федерико Вариола бұл қиындықты крипто біржола «шешіп» артта қалдырады деп қабылдамайды.
«ЖИ ең үлкен мәселе болады», – деді ол. – «Кейінірек кванттық есептеу де қосымша тәуекел қабатын әкелетін болады»
ЖИ қорғанушыларға шабуылдаушыларға қарағанда көбірек көмектесе ала ма деген сұраққа, ол: «Өкінішке қарай, менің ойымша, ол шабуылдаушыларды жиі күшейтеді» деп ашық жауап берді.
Вариола осы сәтті индустрия үшін жетілу кезеңі деп есептейді. Криптоға мықты техникалық мамандар келеді, енді қауіпсіздік компаниялардың күнделікті жұмысы мен коммуникациясының ажырамас бөлігіне айналуда. Сенімге тәуелділікті шектеуге арналған жүйелерде енді қалған сенім қай жерде барын анықтап, оны басқаруға назар аудару керек.
