Упс! Не вдала спроба:(
Будь ласка, спробуйте ще раз.

Методи безпеки від Віталіка Бутеріна: як захиститися від дипфейків?

Владислав Гринів
Владислав Гринів Digital-журналіст з досвідом роботи у WEB3-компаніях
20 лютого 2024 8 хвилин читання

Світ криптоіндустрії постійно стикається з проблемами безпеки. Тому потрібно не забувати застосовувати необхідні методи захисту. Засновник криптовалюти та платформи для створення децентралізованих онлайн-сервісів на базі блокчейну, Ethereum, Віталік Бутерін, неодноразово ділився своєю мудрістю з криптокористувачами. І ось нещодавно Бутерін виклав статтю, в якій він аналізує висхідні ризики у сфері криптовалют, зокрема проблему “дипфейків” та їхні наслідки для заходів безпеки. Тож розглянемо її докладніше.

Що таке дипфейки?

Дипфейки — відео, зображення чи аудіозаписи, створенні за допомогою штучного інтелекту для більш реалістичного ефекту. Вони можуть відтворювати слова або дії людини, які вона насправді ніколи не робила. Попри те, що дипфейки початково створювались для розваги, і тільки з часом вони почали становити небезпеку. 

У своїй статті, Бутерін пише про те, що з кожним роком розпізнавати дипфейки стає все важче і важче, оскільки вони стають все більш реалістичними на вигляд. Він розповідає, що нещодавно сам став мішенню, коли відео з ним було використано для просування шахрайства та сумнівних інвестицій. А також наголошує, що аудіо- та відеозаписи людини вже не є безпечним методом ідентифікації її автентичності, наводячи за приклад компанію, яка втратила $25 мільйонів через відеорозмову з дипфейком.

Криптографічні підписи — це не відповідь 

Бутерін критикує підхід криптографічних підписів, як метод перевірки. В його розумінні, цей підхід ігнорує ширший контекст безпеки — людський фактор. Бутерін стверджує, що практика численних підписів для затвердження транзакції, яка має на меті забезпечити багаторівневу перевірку, може завдати невдачі, оскільки зловмисник може видати себе за менеджера не лише для останнього запиту, але й для попередніх етапів процесу затвердження. 

Саме тому він вважає, що якщо покладатися тільки на криптографічні підписи, то це може призвести процес автентифікації до однорівневої перевірки. 

“Це перетворює весь контракт на мультипідпис 1 з 1, де комусь потрібно лише захопити контроль над вашим єдиним ключем, щоб вкрасти кошти!” — зазначає він.

Особисті запитання як метод безпеки

“Припустімо, що хтось надіслав вам повідомлення, назвавши себе людиною, яка є вашим другом. Вони пишуть повідомлення з облікового запису, якого ви ніколи раніше не бачили, і стверджують, що втратили всі свої пристрої. Як визначити, чи вони ті, за кого себе видають?” — пише Бутерін.

Ймовірно, натхненний “Гаррі Поттером”, Бутерін запропонував простий, але потужний метод захисту в якості рішення: “Запитайте їх про те, що знають тільки вони про своє життя”.

Найкраще запитувати їх про ваш спільний досвід, наприклад: 

  • Коли востаннє ми бачились, у якому ресторані ми їли та що саме ти обрав/-ла?
  • Як називається фільм, який ми нещодавно дивились і тобі не сподобався?

Чим унікальніше буде ваше питання, тим краще. Питання, які змушують людину задуматись і вона навіть може забути відповідь — це нормально, але якщо ваш співрозмовник стверджує, що він забув, задайте йому ще декілька питань. Завжди краще ставити питання, які стосуються якихось “мікро” деталей (що кому сподобалось/не сподобалось, персоналізовані жарти тощо), ніж з “макро” деталями. Оскільки перші зазвичай набагато важче випадково відкопати третім особам (наприклад, навіть якщо хтось виклав фото з вечері в Instagram, сучасні LLM можуть досить швидко відстежити його і вказати місце розташування в режимі реального часу). 

Поєднуйте декілька стратегій безпеки

Немає ідеальної стратегії для захисту, саме тому краще поєднувати декілька методів водночас.

Ви можете попередньо домовитись з другом про кодові слова, які ви зможете використовувати для автентифікації один одного. Або ви можете домовитись про ключ “примусу” — слово, яке ви можете використати для того, щоб подати сигнал, що вас примушують або погрожують. Це слово має бути досить поширеним, щоб ви відчували себе невимушенно, коли його використовуєте, але водночас рідкісним, щоб ви випадково не використали його у повсякденній розмові.

У разі, якщо вам надсилають ETH адресу — попросіть людину надіслати вам її через декілька каналів комунікації (інші соцмережі або месенджери)

Захист від атак посередника: Атаки посередника (Man-in-the-middle)  є поширеною небезпекою в цифрових комунікаціях. Він полягає в тому, що зловмисник таємно передає та потенційно змінює повідомлення між двома сторонами, які вважають, що спілкуються безпосередньо одна з одною.

Щоб розв'язати цю проблему, Бутерін припускає, що криптографічні протоколи, такі як Transport Layer Security (TLS) і Secure Sockets Layer (SSL), можна використовувати для шифрування даних під час передачі, що робить перехоплені розмови нерозбірливими для неавторизованих сторін. Крім того, впровадження наскрізного шифрування в месенджерах гарантує, що повідомлення можуть читати лише користувачі, які розмовляють, що фактично усуває загрозу, яку становлять ці атаки.

“Ситуація кожної людини унікальна, і тому види унікальної спільної інформації, яку ви маєте з людьми, з якими вам може знадобитися автентифікація, відрізняються для різних людей. Взагалі краще адаптувати техніку до людей, а не людей до техніки. Техніка не обов’язково має бути ідеальною, щоб працювати: ідеальний підхід полягає в тому, щоб об’єднати кілька технік одночасно та вибрати техніку, яка вам найкраще підходить.” — такими словами завершує статтю експерт.

Концепція SoulBound Token та чим вона корисна

Віталік Бутерін славиться своїми геніальними ідеями для проєктів. Одним з таких проєктів став SoulBound Token. Засновник Ethereum, разом із юристом Пуджою Охлхавером та економістом Еріком Гленом, вперше запропонували цю концепцію у травні 2022 року, для усунення деяких недоліків незамінних токенів (NFT) та їм подібних.

SoulBound Token або ж скорочено SBT — незамінний токен, дійсний тільки для однієї адреси, який не можна передати або продати.  Ця функція робить їх ідеальними для представлення активів, які неможливо придбати шляхом покупки, наприклад сертифікатів компетентності, репутації, медичних записів тощо. 

SBT можна використовувати для різних цілей, наприклад:

  • Ведення медичної документації
  • Зберігання цифрових посвідчень особи
  • Ведення трудової книжки
  • Перевірка відвідування заходу
  • Дозволяє людям створювати перевірену цифрову репутацію на основі минулих дій

Деякі компанії та організації також використали SBT для створення децентралізованої та надійної системи цифрової ідентифікації, наприклад:

  • Binance — випустили власний SBT під назвою Binance Account Bound (BAB) для покращення перевірки особи Web3 і запобігання шахрайству.
  • WhiteBIT — їх Web-3 сервіс, WB Soul Ecosystem, призначений для з'єднання біржі з блокчейном Whitechain і забезпечення безпечного та персоналізованого досвіду для користувачів.
  • Blockmate — обговорюють використання SBT для відображення історії платежів і боргів, уможливлюючи беззаставне кредитування та покращуючи кредитні оцінки

Підсумок

Попри те, що експерт нещодавно висловився, що він уже “застарий” і скоро його місце посяде “новий Віталік Бутерін”, люди все ще вважають його ідеї та поради корисними. Вони неодноразово полегшували життя не тільки криптокористувачів, але й людей непов’язаних з криптою. А поки Бутерін ще не пішов на “крипто пенсію”, ми очікуватимемо від нього нових геніальних ідей. 

Якщо ви хочете поділитися з читачами SPEKA власним досвідом, розповісти свою історію чи опублікувати колонку на важливу для вас тему, долучайтеся. Відтепер ви можете зареєструватися на сайті SPEKA і самостійно опублікувати свій пост.
50 UAH 150 UAH 500 UAH 1000 UAH 3000 UAH 5000 UAH
0
Прокоментувати
Інші матеріали

Україна вперше візьме участь у навчаннях з кібероборони NATO CCDCOE Locked Shields

Богдан Камінський 4 години тому

Як блокчейн змінює майбутнє ШІ: огляд від Coinbase

Владислав Гринів 6 годин тому

Як запобігти вигоранню на роботі: поради для підтримки внутрішнього балансу та ментального здоров’я

Віталій Курдюмов 9 годин тому

Запуск Evolution Technology Fund III: новий фонд з кібербезпеки залучає $1,1 млрд

Вікторія Рудзінська 16 квітня 2024 20:01

Офіційний іспит Meta Blueprint: що це таке, навіщо і як скласти

Maksym Senchenko 16 квітня 2024 17:00