Gwiazda tego tygodnia mogła być tylko jedna – lata oczekiwany The Merge Ethereum. Zanim jednak dojdziemy do takowego, zajmiemy się problemami z bezpieczeństwem Ubera i Patreona, a także zastanowimy, czy można zrobić już sobie Workation z Antarktydy.
1. Uber zhakowany, a tymczasem Patreon pozbywa się działu bezpieczeństwa
W dniu wczorajszym od rana sieć zalana została przez informacje o incydencie bezpieczeństwa w Uberze. Nie implikuje, że firma w ogóle próbowałaby takowy ukryć, ale w tym wypadku nie było to raczej możliwe – atakujący zaczął ogłaszać swoje osiągnięcie na kanałach firmy, poczynając od ich platformy Bug Bounty. Wraz z rozwojem sytuacji w sieci zaczęły pojawiać się kolejne ekrany z internalowych systemów firmy. Mowa była głównie o platformach developerskich, takich jak chmury obliczeniowej, ale także Slack czy OneLogin.
Kto zaatakował Ubera? Szukający sensacji mogli by stwierdzić, że był to jeden ze zwolnionych ostatnio przez pracowników, ale historia wydaje się być nieco mniej sensacyjna, choć w dalszym ciągu intrygująca. Włamywacz twierdzi, że jest nastolatkiem, dane logowania znalazł w skrypcie PowerShellu dostępnionym w publicznym zasobie sieciowym. Warstwę Two-Way Authentication obszedł zaś dzięki… oszukaniu pracownika (będącego administratorem), że pracuje w Uber IT i nastąpił problem z jego kontem. Nie chciałbym być w skórze tego pracownika podczas następnego One-on-One.
Tak naprawdę sprawa jest rozwojowa. Pewnie dopiero początkiem tygodnia dowiemy się, jaki jest pełen zakres ataku.
Tak jak widać, porażki bezpieczeństwa (i to takie absolutnie masywne) mogą przydarzyć się każdemu – nawet tym największym. Niestety, Patreon nie miał szansy nauczyć się tej lekcji, kiedy dwa tygodnie temu pozbył się w wyniku zwolnień całego swojego działu bezpieczeństwa. Sprawa nie umknęła uwadze Soatoka, blogera będącego autorem świetnych postów dotyczących bezpieczeństwa, a także mocno zaangażowanego w społeczność Furry (kto wie, ten wie – kto nie wie, niech nie googluje), który jest też twórcą PHP-owego klienta do Patreona. Jego publikacja Should You Delete Your Patreon Account After They Laid Off Their Entire Security Team? jest swoistym śledztwem dziennikarskim, w ramach którego autor próbuje oszacować (bazując na publicznie dostępnych źródłach) jak bardzo ryzykownym jest posiadanie konta na Patreonie w świetle ostatnich wydarzeń.
Analiza jest z gatunku tych uczciwych – zamiast wieszać psy na firmie, autor realnie przygląda się szeregowi możliwych ryzyk, od utraty danych płatności, poprzez niemożność zapewnienia odpowiedniej anonimowości twórcom i patronom. I choć uczciwie przyznaje, że ciężko wskazać jedno konkretne, oczywiste ryzyko, to sam fakt wyoutsourcowania tak kluczowego aspektu jak Security jest sporym nadużyciem zaufania, stąd sam zdecydował się na usunięcie konta. Sama decyzja jest wyargumentowana w znacznie bardziej pogłębiony sposób, dlatego zachęcam spojrzeć do oryginalnego posta.
Źródła
- Uber apparently hacked by teen, employees thought it was a joke
- Should You Delete Your Patreon Account After They Laid Off Their Entire Security Team?
- Patreon is laying off 17 percent of its workforce and closing offices
Odkryj więcej treści IT dopasowanych do Ciebie
W aplikacji Vived znajdziesz artykuły moderowane przez developerów.
Zainstaluj teraz i czytaj tylko dobre teksty!
Zainstaluj teraz i czytaj tylko dobre teksty!
2. Workation z Antarktydy? Teraz to możliwe
Czy kojarzycie taką organizację jak IETF? Za skrótem tym kryje się Internet Engineering Task Force – ciało, które zajmuje się rozwojem protokołów internetowych. Za Wikipedią:
IETF nie posiada żadnej formalnej władzy, jednak to właśnie prace prowadzone przez IETF mają decydujący wpływ na kształt przyszłości Internetu. IETF generuje specjalny rodzaj dokumentów zwanych Request For Comments (RFC), w których zawarte są definicje dużej części standardów i protokołów internetowych (jak np. protokołu IP, TCP, SMTP, IMAP etc.).
W uproszczeniu więc to właśnie IETF kształtuje to, w jakim kierunku idzie internetu jako taki, zwłaszcza w tej bardziej niewdzięcznej, mocno inżynierskiej warstwie. Tak jak wspomniano wyżej, internet jest na tyle rozproszonym bytem, że ktoś może narzucić konkretne działanie – pod tym kątem przypomina blockchainy, o których za chwilę. Jednocześnie jednak przez lata IETF stanowiło de-facto dział R&D, eksplorujący dla niego nowe kierunki. Co to oznacza w praktyce? O tym możemy się przekonać z dorocznego raportu organizacji, który dość transparentnie przedstawia powzięte działania. Po lekturze sam czuje się znacznie mądrzejszy w temacie, a całość jest na tyle interesująca, że postanowiłem się z Wami tym podzielić.
Przykładowo, o ile osobiście zdawałem sobie sprawę, że IETF działa w formacie grup roboczych, o tyle już jakie to są grupy nie było już dla mnie oczywiste – a temat okazał się być bardziej interesujący niż się spodziewałem. W samym 2022 powstało takowych już dziewięć, dotykając tematów takich jak WebRTC (Web Real-Time Communication) czy Cross-Domenowe zarządzanie tożsamością. Ten pierwszy jest zresztą tym protokołem, z którego organizacja jest szczególnie dumna – poświęca mu ona bowiem cały osobny rozdział, w którym informuje o postępie i kolejnych krokach.
Co mnie mocno zaskoczyło, to fakt, że ze wszystkich firm zajmujących się przeglądarkami, jedynym sponsorem organizacji jest Google. Nie brakuje za to największych producentów sprzętu sieciowego (jak Cisco, Ericsson, Juniper czy Huawei), ważni graczy infrastruktury sieciowej (RIPE i LACNIC – nadający adresy IP i domeny czy CDN-a Akamai), ale też wielu innych.
A jak już jesteśmy w temacie internetu, to ten w ostatnim tygodniu zaczął trafić w dość nieoczekiwane miejsca. Pamiętam, że jeszcze gdzieś w gimnazjum miałem okazję czytać książkę Johna Postgate Granice Życia, która opowiadała o najbardziej niesprzyjających warunkach gdzie „życie znalazło drogę”. Teraz podobnie wygląda sprawa z internetem – coraz mniej jest miejsc, w których nie jesteśmy w stanie połączyć się z globalną siecią. W zeszłym tygodniu Starlink ogłosił, że usługa pozbyła się ostatnich białych plam i stała się dostępna na wszystkich kontynentach – także Antarktydzie. Spełnia się więc moje marzenie – już niedługo będę mógł rozpocząć pracę zdalną z krainy fok i pingwinów.
I to właśnie SpaceX został też wybrany przez Microsoft jako partner ich usługi Azure Space. Zamiast inwestować we własną infrastrukturę, to właśnie satelity firmy Elona Muska staną się szkieletem Azure’owej infrastuktury. Oprócz lepszego dostępu do zasobów chmury Azure w miejscach z utrudnionym dostępem (jak wspomniana Antarktyda), cała usługa ma na celu usprawnić pozyskiwanie danych z satelity operatorom obiektów kosmicznych. O całym programie słyszymy już od pewnego czasu, ale czternastego września Microsoft nareszcie postanowił wypuścić jego testową wersję do pierwszych zainteresowanych.
Źródła
- IETF Annual Report 2021
- Starlink brings high-speed internet to all 7 continents, including Antarctica
- Remember when Microsoft was going to put Azure in space? It’s still trying
Odkryj więcej treści IT dopasowanych do Ciebie
W aplikacji Vived znajdziesz artykuły moderowane przez developerów.
Zainstaluj teraz i czytaj tylko dobre teksty!
Zainstaluj teraz i czytaj tylko dobre teksty!
3. Nadszedł „The Merge” – czym jest, a czym nie jest największa zmiana w Ethereum w historii.
Chyba nie jest dla nikogo tajemnicą, że na całym świecie rosną (albo będą niedługo rosnąć) koszty energii. Razem z kolejnymi odczytami inflacyjnymi temat ten stał się już częścią normalnego dyskursu przy porannej kawie. Nie chce tutaj udawać, że jestem ekspertem od światowego rynku energetycznego, ale jeśli działają na niej rzeczywiście prawa popytu i podaży (oj ja naiwny) to mam dla Was dobrą nowinę – będzie taniej! W świecie technologii doszło bowiem do ważnego wydarzenia, jakim jest długo oczekiwany „The Merge” Ethereum. Nawet jeśli macie już trochę dość blockchainów, to również ze stricte technologicznego punktu widzenia jest to jedno z najważniejszych wydarzeń roku.
Dlatego też postaram się całość w przejrzysty sposób wytłumaczyć.
<Explain Like I'm Five(Days)>
Nie chce tutaj pisać o rzeczach o których słyszeliście już pewnie dziesiątki razy, także szybko: kiedy mówimy o wysokiej energochłonności kryptowalut, mowa jest tutaj o kryptowalutach opartych o algorytmy Proof-of-Work, czyli przeliczanie w kółko skomplikowanych operacji matematycznych – to właśnie na ich potrzeby skupowano jeszcze w zeszłym roku potężne karty graficzne. Do tej pory do takich walut należało także popularne Ethereum, jednak wraz z datą 15 września weszliśmy w nową erę tego projektu – tak zwaną erę oparcia o algorytm Proof-of-Stake. Na czym polega Proof-of-Stake i dlaczego ma tak istotnie zmienić podejście do konsensusu w sieci Ethereum? Mówimy tutaj o pewnym miksie inżynierii społecznej i teorii gier. Po co w ogóle ten cały Proof-of-Work? Żeby było wolno i żeby było trudno. Jako, że blockchain nie może bazować na zaufanie do jakiegoś centralnego źródła prawdy, niezbędne jest jakaś forma decydowania kto ma rację. W założeniu Proof-of-Work, racje mają Ci którzy mają największą moc obliczeniową, a więc rzeczone obliczenia wykonują najszybciej. Założeniem całości jest po prostu, że uczciwych uczestników sieci jest więcej niż nieuczciwych, gdzie za uczestnika można rozumieć każdy gigaflop mocy zużytej.
Proof-of-Stake opiera się na dość podobnych założeniach, tylko tutaj zamiast rzeczonej mocy obliczeniowej pojawiają się tak zwani „walidatorzy rynku”. W uproszczeniu walidatorem może zostać każdy, kto jest skłonny wyłożyć 32 ETH jako swoistą „oznakę zaangażowania” w sieć.
Po co walidatorzy przeznaczają swoje funduszę? Tak jak w przypadku algorytmów PoW zachętą jest opłacanie każdego z walidatorów nagrodą za wykonywanie obliczeń, w wypadku Proof-of-Stake każdy z walidatorów dostaje za „założenia” odpowiednich funduszy szanse bycia wybranym do potwierdzenia poprawności bloku. Za takowe zostaje zaś nagrodę – oczywiście tylko pod warunkiem, że będzie po jasnej stronie mocy. Jasna strona mocy zaś oznacza „głosowanie tak, jak większość społeczności”. Nie od dzisiaj wiadomo, że historie piszą zwycięzcy.
</Explain Like I'm Five(Days)>The Merge w oczach wielu ludzi urósł do jakiegoś wręcz mitycznego zjawiska, które rozwiąże wszystkie problemy Ethereum. Tak oczywiście nie jest – celem The Merge jest wyłącznie zmniejszenie energochłonności blockchaina i pozbycie się z proces górników. Potencjalnym efektem może być też presja deflacyjna – wiele osób może być skłonnych do nadmiernego „stejkowania” swoich zasobów w celu zwiększenia szansy na zostanie walidatorem konkretnych bloków. To zresztą jeden z zarzutów, jakie zatwardziała społeczność krypto zarzuca ruchowi Ethereum – ten stał się dużo bardziej scentralizowany wśród dużych graczy – w tej chwili siedem podmiotów (walidatorzy, podobnie jak w wypadku PoW, mogą łączyć się w tak zwane poole) kontroluje ponad 2/3 wszystkich walidacyjnych tokenów.
„Merdż” nie będzie miał jednak wpływu na inny aspekt sieci – jej skalowalność. Ethereum w dalszym ciągu nie będzie ani szybsze, ani wiele tańsze w obsłudze. Nie znaczy jednak, że na to nie ma żadnego pomysłu – architekci projektu wytyczyli już plany na dalsze rozwiązania, które będą stopniowo wdrażane by zaadresować również te problemy. The Merge to był dopiero pierwszy krok, teraz czekać nas będą jeszcze The Surge, The Verge, The Purge i The Splurge – kolejnym dużym krokiem jest tak zwany DankSharding, którego celem jest odciążenie całej sieci i zmniejszenie ilości danych które muszą być procesowanie Blockchainie, przenosząc je do tak zwanej warstwy drugiej. Ogólnie Ethereum dba o to, żeby nie brakowało mi tematów do pisania.
Oczywiście, jest jedna grupa, która na The Merge mocno oberwała – są to górnicy, którzy zainwestowali w masę środków w sprzęt do kopania. Dlatego też, zgodnie z najlepszymi krypniańskimi tradycjami, powstał fork Ethereum pozostający przy PoW. Jest to tak zwane EthereumPoW (kreatywnie, nie ma co – ale przynajmniej czytelnie), i jego głównym argumentem (poza zyskami górników) jest próba powstrzymania potencjalnej centralizacji sieci. Nie jest to pierwszy duży fork, któremu się przyglądam – ciekawe, na ile w dobie redukcji śladu węglowego tego typu inicjatywa znajdzie swoich zwolenników. Na pewno cieszy się społeczność NFT, ponieważ wreszcie przestaną się czepiać o ich wpływ na klimat.
The Merge jest więc niezwykle istotnym krokiem dla przyszłości całego projektu, ale sam w sobie nie rozwiązuje więc w magiczny sposób wszystkich problemów. Zwłaszcza, że poza powyższymi, związanymi bezpośrednio z samą technologią, ostatni miesiąc przyniósł trochę zamieszania na warstwie regulacyjnej. Otóż początkiem sierpnia Tornado Cash – tak zwany mixer kryptowalut, zapewniający zwiększoną anonimowość transakcji – został uznany przez Departament Skarbu US za winnego prania brudnych pieniędzy, a tworzący go programiści trafili do holenderskiego więzienia. W związku z tym (w dużym uproszczeniu) doszło do zakazu operowania środkami i adresami, które w swoim posiadaniu miało Tornado Cash. Rola miksera polega jednak na tym, że „zatruli” bardzo dużą ilość potencjalnych monet. Kryptowaluty nie mają dobrego sposobu na radzenie sobie z tego typu problemami i obecnie trwa dyskusja na temat prawnego uregulowania neutralności warstwie rozproszonego rejestru, żeby niczego nieświadomi uczestnicy sieci nie mogli zostać oskarżeni o pranie brudnych pieniędzy. Czy dzisiaj możesz trafić do więzienia za interakcje z tokenami Tornado Cash? Okazuje się być to mocno skomplikowana sprawa i podejrzewam, że ostatecznie zakończy się dopiero po pierwszych sądowych rozprawach.
A na sam koniec – wydawać by się mogło, że przeprowadzenie tak skomplikowanej operacji jak The Merge spowoduje wzrost wartości Ethereum jako takiego, prawda? To zaskoczę Was, że w ciągu ostatnich 72h, na czas pisania tego tekstu (7AM UTC) Ethereum zaliczyło ostre spadki rzędu ~20%. Przystępne wyjaśnienie znajdziecie na Decrypt, ale w skrócie powody są dwa: kiepskie odczyty sytuacji gospodarczej w Stanach Zjednoczonych, ale również taktyka inwestorska kryjąca się za uroczym “buy the rumor, and sell the news”. Sytuacja przypomina trochę bardzo częste w wypadku wejścia na giełd spółek technologicznych spore podbicie wartości przy samym wejściu, a następnie gwałtowny spadek, gdy wyniki przedsiębiorstwa zaczynają być analizowane na zimno. W skrócie: inwestorzy to też ludzie i są podatni na hype. Tak było w wypadku Ethereum, które ostatnio dynamicznie rosło wraz z ogłoszeniami kolejnych kroków milowych migracji. Teraz przyszedł czas na realizację tych zysków.
Źródła
Odkryj więcej świetnych treści!
- Rozsądna ilość treści
- Tylko wysoka jakość
- Pełne dopasowanie do Twoich potrzeb!
