Il n’existe pas de solution universelle pour toutes les occasions, mais nous essaierons de donner des conseils qui s’appliquent presque toujours. La mise en œuvre spécifique de l’architecture doit être planifiée en fonction de vos besoins et de vos risques. Cet article peut être utilisé comme liste de contrôle pour la vérification.
Recommandations pour organiser le stockage des crypto-monnaies et des tokens
Ne mettez pas tous vos œufs dans le même panier ! Divisez vos fonds et stockez ceux que vous ne prévoyez pas d’utiliser dans un avenir proche dans un portefeuille froid. Si nécessaire, il peut y avoir plusieurs cold wallets. Par exemple, une partie des fonds sera dans un portefeuille matériel, une partie dans un portefeuille multi-signature, une partie sous la forme d'une clé privée dans un conteneur crypto avec un mot de passe fort. En cas de danger réel, vous pouvez même en passer 1 ou 2.
Ordinateurs séparés pour la cryptographie. Si vous travaillez avec des crypto-actifs, qui coûtent plusieurs fois plus cher que leurs installations de stockage, allouez des ordinateurs distincts qui ne seront utilisés pour rien d'autre. Il est préférable de surfer sur le Web, de jouer à des jeux et de modifier les documents envoyés sur un autre ordinateur.
Rien de plus. Aucun logiciel tiers ne doit être installé sur les ordinateurs de portefeuille, sans parler de Windows piraté avec un crack de C001_][aker's. Uniquement des distributions éprouvées du fabricant.
Tolérance aux pannes. La plus grande nuisance en termes de tolérance aux pannes est la panne du disque dur. Les pièces restantes de l’ordinateur sont généralement remplacées rapidement et sans conséquences particulières. Dans le cas des disques durs, la tolérance aux pannes du système est plus facile à obtenir en utilisant des matrices RAID avec mise en miroir. En gros, c'est lorsque deux disques durs sont installés et que les opérations d'écriture et de lecture s'y déroulent en parallèle, et que le système les considère comme un seul disque. Dans ce cas, l'augmentation de prix concerne un seul disque dur ; le contrôleur RAID peut même être utilisé intégré à la carte mère. La probabilité que les deux disques durs tombent en panne en même temps est extrêmement faible, et si l'un d'eux tombe en panne, vous en insérez un nouveau à sa place et continuez à travailler. Certains contrôleurs RAID peuvent le faire même à la volée, sans éteindre le système.
Sauvegarde. Vous devez être préparé au fait que le système le plus tolérant aux pannes puisse devenir indisponible. Un incendie, des voleurs, des services spéciaux ou simplement un chat qui fait pipi dans l'alimentation électrique et toutes les cartes et tous les disques durs grilleront, peu importe. Cela peut arriver. Vous devez disposer de sauvegardes à jour de tous les portefeuilles. De plus, ils doivent être cryptés et envoyés à plusieurs endroits à la fois. Vers le cloud, vers le courrier, une clé USB dans un coffre-fort, une archive dans un smartphone, etc. Choisissez plusieurs options, mieux vaut proposer les vôtres et utilisez-les. Créez un calendrier de sauvegarde et respectez-le. Téléchargez périodiquement l'une des sauvegardes et vérifiez la disponibilité des informations qu'elle contient, que rien n'a été cassé, que vous vous souvenez de tous les mots de passe et que vous êtes en mesure d'extraire des informations de la sauvegarde.
Cryptage et mots de passe. Acceptez comme un fait que votre ordinateur, votre téléphone, votre clé USB ou l'accès à votre boîte aux lettres et à d'autres services peuvent se retrouver entre les mains de criminels. Dans le même temps, il est nécessaire d’empêcher un attaquant d’accéder aux portefeuilles. Si tous vos appareils sont cryptés de manière sécurisée et que les mots de passe ne sont pas similaires à Qwerty123, vous gagnerez au minimum du temps pour transférer des actifs vers d'autres portefeuilles et, au maximum, obtenir des appareils et un accès sera inutile pour un attaquant. Utilisez donc au maximum le chiffrement, y compris sur les partitions système, les smartphones, les archives et les sauvegardes. Définissez des mots de passe pour charger et déverrouiller votre smartphone. Il ne devrait y avoir aucun compte sur un ordinateur sans mot de passe fort. Sur les services Web, utilisez l'authentification à deux facteurs lorsque cela est possible. Définissez des mots de passe forts et différents pour tous les services et appareils. Il est conseillé de les remplacer par des neufs à intervalles réguliers.
Mises à jour. Portez une attention particulière aux mises à jour logicielles. Souvent, les attaquants exploitent les erreurs de l’algorithme de mise à jour ou déguisent les téléchargements de logiciels malveillants en mises à jour. Cela s'est déjà produit avec certains portefeuilles de crypto-monnaie, par exemple avec Electrum, lorsqu'un message indiquant la nécessité d'une mise à jour s'affichait et qu'un cheval de Troie était téléchargé. Un moyen plus simple consiste à afficher une fenêtre dans le navigateur sur une page Web qui est censée vous demander de mettre à jour le navigateur. Parfois, cela s'ouvre dans une nouvelle fenêtre contextuelle et essaie autant que possible de copier les détails de l'interface de la véritable fenêtre de mise à jour. Il est clair que si le consentement de l’utilisateur est obtenu, un cheval de Troie lui sera téléchargé. Donc uniquement les mises à jour des sites officiels, et il est conseillé de les vérifier davantage.
Ne laissez pas les choses sans surveillance. Tout le monde comprend tout sur les clés USB ou un smartphone sans mot de passe. Mais dans certains cas, même un ordinateur portable peut être piraté simplement en insérant un périphérique similaire à une clé USB dans le port USB. Mais en réalité, il s’agira d’un émulateur matériel de clavier HID et d’un ensemble d’exploits. Ainsi, dans un environnement Windows, après avoir configuré tous vos appareils, il est recommandé d'empêcher l'installation automatique des pilotes et des appareils en activant la stratégie « Interdire l'installation d'appareils non décrits par d'autres paramètres de stratégie ».
Que faire si un hack a déjà été détecté ?
Déconnectez l'ordinateur attaqué du réseau, vérifiez ce qui est volé et ce qui ne l'est pas.
Transférez la crypto-monnaie et les jetons restants vers d'autres portefeuilles et, si nécessaire, créez-les sur un ordinateur propre. Pour accélérer le processus, vous pouvez créer des adresses temporaires dans les portefeuilles Web les plus connus.
Suivez où sont allées les pièces, il s'agit peut-être de services tels que des échanges ou des portefeuilles en ligne. Dans ce cas, écrivez de toute urgence à leur support au sujet de l'incident en indiquant les adresses, les hachages de transaction et d'autres détails. Si possible, appelez, après avoir envoyé la lettre, appelez et utilisez votre voix pour attirer l'attention sur l'urgence de la situation.
Modifiez tous les mots de passe depuis un ordinateur propre, même ceux qui ne sont pas directement liés aux portefeuilles. L'ordinateur infecté était très probablement équipé d'un enregistreur de frappe qui collectait toutes les informations saisies. Les mots de passe doivent subir au moins 2 nettoyages - temporaire et un nouveau permanent. Les mots de passe doivent être forts : suffisamment longs et non dictionnaire.
Sauvegardez toutes les informations nécessaires des ordinateurs, smartphones et tablettes que vous ne voulez pas perdre. Les fichiers exécutables et autres fichiers susceptibles d'être infectés ne doivent pas figurer dans la sauvegarde. Chiffrez la sauvegarde. Effectuez plusieurs copies de sauvegarde dans des emplacements géographiquement dispersés.
Effacez tous les lecteurs flash et disques durs, réinitialisez le smartphone aux paramètres d'usine et configurez tout à nouveau. Si vous envisagez de travailler à l'avenir avec des informations très importantes ou des montants plusieurs fois supérieurs au coût de l'équipement, il vaut idéalement la peine de remplacer l'ensemble du matériel, car certains types de chevaux de Troie peuvent être enregistrés dans les zones de service sur les disques durs et ne sont pas supprimés même lors du formatage, et modifient également le BIOS des cartes mères.
Recommandations générales de sécurité
Hameçonnage. Le plus souvent, les sites Web d'échanges, les portefeuilles en ligne et les échangeurs populaires sont attaqués. Les leaders sont myetherwallet.com, blockchain.com et localbitcoins.com. Le plus souvent, les fraudeurs enregistrent un domaine similaire à celui attaqué. Ils y téléchargent un site Web ou un forum inoffensif. Pour cela, ils achètent de la publicité dans les moteurs de recherche. Dès que les publicités passent la modération, le site est remplacé par un clone du site attaqué. Dans le même temps, il n’est pas rare que des personnes se lancent dans le DDoSing. L'utilisateur ne peut pas accéder au site, saisit son nom dans un moteur de recherche, clique sur la première ligne des résultats de recherche sans se rendre compte qu'il s'agit d'une publicité et se retrouve sur un site frauduleux qui ressemble à un vrai. Ensuite, il saisit ses identifiants et ses mots de passe, et l'argent de son compte fuit vers les attaquants. Souvent, même l’authentification à deux facteurs, les codes PIN, etc. n’aident pas. L'utilisateur saisira tout cela lui-même. Disons que lorsque vous vous connectez, vous entrez un code, le système dira que le code est incorrect, saisissez-le à nouveau. Il entrera le deuxième code. Mais en fait, le premier code servait à se connecter, et le second à confirmer le retrait des fonds.
Un autre exemple est celui des attaques retardées. Lorsque vous ouvrez un site qui vous a été envoyé qui semble sécurisé et laissez l'onglet ouvert. Après un certain temps, s'il n'y a aucune action sur la page, son contenu est remplacé par un site de phishing qui vous demande de vous connecter. Les utilisateurs traitent généralement les onglets précédemment ouverts avec plus de confiance que ceux précédemment ouverts et peuvent saisir leurs données sans les vérifier.
En outre, dans certains cas, des attaques de phishing peuvent avoir lieu sur des réseaux publics spécialement préparés. Vous êtes connecté à un réseau Wi-Fi public, mais son DNS donne des adresses erronées aux demandes de domaine, ou tout le trafic non crypté est collecté et analysé pour les données importantes.
Pour éviter de tomber dans ce piège, ne désactivez pas votre vigilance, utilisez des contrôles supplémentaires et un canal plus sécurisé, nous en parlerons ci-dessous.
Vérifications supplémentaires. Pour les sites les plus visités et importants sur un ordinateur sécurisé, détectez plusieurs paramètres indirects. Par exemple, l'émetteur du certificat et sa date d'expiration. Valeur du compteur Alexa ou trafic estimé par Similarweb. Vous pouvez ajouter vos propres paramètres. Et lorsque vous visitez des sites Web, gardez-en une trace. Par exemple, si le certificat a soudainement changé bien avant l'expiration de l'ancien, c'est une raison de se méfier et de vérifier également le site. Ou, par exemple, si bitfinex.com affichait auparavant environ 7 000 points sur le compteur Alexa, mais que maintenant il en affiche soudainement 8 millions, alors c'est un signe clair que vous êtes sur un site frauduleux. Idem avec les métriques Similarweb utilisées par CDN, registraire de noms de domaine, hébergeur, etc.
Mots de passe. N'utilisez pas de mots de passe faibles. Il est préférable de mémoriser les mots de passe les plus importants sans les noter nulle part. Cependant, étant donné qu'il est préférable de définir des mots de passe différents pour tous les services et portefeuilles, certains d'entre eux devront être stockés. Ne les stockez jamais ouverts. L'utilisation de programmes spécialisés de « porte-clés » est de loin préférable à l'utilisation d'un fichier texte. Elles y sont au moins stockées sous forme cryptée et les données sont automatiquement effacées du presse-papiers après utilisation. Il est préférable d'utiliser des solutions open source hors ligne.
Créez vous-même des règles de sécurité, par exemple en ajoutant même trois caractères aléatoires aux mots de passe écrits au début. Après avoir copié et collé l'endroit où vous avez besoin du mot de passe, supprimez ces caractères. Ne partagez pas les méthodes de stockage des mots de passe, créez les vôtres. Dans ce cas, même si le détenteur de la clé est compromis, il est possible que l'attaquant ne puisse pas l'utiliser.
Canal sécurisé. Pour travailler de manière plus sécurisée à partir des réseaux publics, il est logique de créer votre propre serveur VPN. Pour ce faire, vous pouvez acheter une machine virtuelle auprès de l'un des hébergeurs à l'étranger ; vous pouvez choisir l'emplacement à votre discrétion ; Le coût moyen d'une machine virtuelle est de 3 à 7 dollars par mois, ce qui est tout à fait raisonnable pour un accès légèrement plus sécurisé au réseau. Vous installez votre propre serveur VPN sur le serveur et autorisez tout le trafic des appareils mobiles et des ordinateurs à passer par lui. Avant le serveur VPN, tout le trafic est en outre crypté, afin qu'il ne puisse pas empoisonner votre DNS ou obtenir des données supplémentaires sur votre trafic en installant un renifleur sur son chemin.
Windows/Linux/Mac OS ? Le meilleur système d'exploitation est celui que vous pouvez configurer de la manière la plus professionnelle et dans lequel vous travaillez en toute sécurité. Un Windows bien configuré vaut mieux qu’un Linux mal configuré. Les problèmes de sécurité se retrouvent dans tous les systèmes d'exploitation et doivent être corrigés en temps opportun. Cependant, la plupart des logiciels malveillants sont écrits sous Windows ; le plus souvent, les utilisateurs disposent de droits d'administrateur et, lorsqu'ils testent le système, les escrocs tentent d'abord d'utiliser des exploits sous Windows. Par conséquent, toutes choses étant égales par ailleurs, il vaut la peine de choisir un système d'exploitation moins courant et plus axé sur la sécurité, par exemple l'une des distributions Linux.
Droits de l'utilisateur. Donnez à l'utilisateur exactement autant de droits que nécessaire pour effectuer les tâches. Ne vous asseyez pas sous un utilisateur disposant de privilèges administratifs. De plus, vous pouvez sécuriser davantage votre portefeuille en utilisant des droits d'utilisateur limités. Par exemple, créez deux comptes, le premier a accès au portefeuille, mais vous ne pouvez pas vous y connecter ni localement ni via le réseau. Le deuxième compte peut être utilisé pour se connecter, mais n'a pas accès au portefeuille. Pour travailler avec le portefeuille depuis celui-ci, vous devez en outre le lancer à l'aide de la commande Runas.
Antivirus. Dois-je installer un antivirus ou non ? Si l'ordinateur est connecté au réseau et est utilisé pour d'autres tâches que le stockage de crypto-monnaie, il a la capacité de connecter des lecteurs flash ou de charger des logiciels malveillants - nous vous recommandons d'utiliser un antivirus. Si l'ordinateur est spécialement configuré uniquement comme portefeuille, la sécurité est renforcée au maximum partout, il n'y a pas de logiciel étranger sur l'ordinateur et il n'y a aucun moyen de le charger là-bas, il vaut mieux se passer d'antivirus. Il y a une petite chance que l’antivirus envoie le portefeuille à la société du fabricant en tant que fichier suspect, par exemple, ou qu’une vulnérabilité soit découverte dans l’antivirus lui-même. Bien que cela soit très peu probable, des cas similaires se sont déjà produits et ne doivent pas être totalement exclus.
Si vous avez installé un antivirus, maintenez les bases de données à jour, ne supprimez pas et ne « balayez » pas les contrôles de logiciels malveillants, faites attention à toutes les alertes et effectuez périodiquement une analyse complète du système.
Considérez l’opportunité d’installer un antivirus sur vos smartphones et tablettes.
Bacs à sable. Créez une machine virtuelle distincte pour afficher les fichiers envoyés. Il existe toujours un risque de recevoir un document avec un exploit de 0 jour qui n'est pas encore détecté par l'antivirus. Les machines virtuelles ont l'avantage de travailler assez rapidement avec des instantanés. Autrement dit, vous faites une copie du système, exécutez des fichiers douteux dessus et, une fois le travail terminé, remettez l'état de la machine virtuelle au moment où vous n'aviez pas encore ouvert les fichiers suspects. Ceci est au minimum nécessaire pour pouvoir travailler ultérieurement en toute sécurité avec d'autres données.
Vérifiez les adresses. Lors de l'envoi de données de paiement vers un ordinateur sécurisé, immédiatement avant l'envoi, vérifiez également visuellement l'adresse et le montant. Certains chevaux de Troie remplacent les adresses des portefeuilles de crypto-monnaie dans le presse-papiers par les leurs. Vous copiez l'un et l'autre sera collé.
Environnement. Veuillez noter que l’attaque principale n’est peut-être pas dirigée contre vous, mais contre vos employés ou vos proches. Une fois dans une zone de confiance, il sera plus facile pour les logiciels malveillants d'atteindre vos actifs.
Communication. Traitez les messages lors des conversations téléphoniques ou de la correspondance comme s'ils étaient définitivement lus/écoutés et enregistrés par des tiers. Donc pas de données sensibles en texte clair.
Mieux vaut être prudent. Si vous pensez que certains portefeuilles ont pu être compromis, créez-en de nouveaux et transférez tous les fonds de ceux qui sont suspects.
Donnez moins d’informations sensibles. Si, lors d'une conférence, le présentateur demande à ceux qui possèdent une crypto-monnaie de lever la main, vous ne devriez pas le faire, vous ne connaissez pas tout le monde dans la salle, et mettre les victimes potentielles sur le crayon est la première étape pour aider le attaquant. Ou, par exemple, il y a eu un tel cas : un propriétaire de crypto-monnaie a pris la sécurité du stockage très au sérieux. Mais les assaillants ont découvert qu'il vendait un terrain. Nous en avons trouvé un et l'avons contacté sous couvert d'acheteur. Lors de dialogues et d’échanges de documents, les attaquants ont réussi à installer un cheval de Troie sur l’ordinateur de la victime et à surveiller son fonctionnement pendant un certain temps. C'était suffisant pour comprendre comment les fonds étaient stockés et les voler. Lors de la vente d’un terrain, la vigilance de la victime était nettement moindre que lorsqu’elle travaillait avec des crypto-actifs, ce qui faisait le jeu des attaquants.
Conclusion
N'oubliez pas que tous les conseils de sécurité donnés ci-dessus s'adressent à l'attaquant moyen. Si vous êtes physiquement kidnappé et que vous utilisez la cryptanalyse thermorectale, vous donnerez vous-même toutes les adresses et mots de passe. De plus, si des services spéciaux dotés d'une formation appropriée vous traquent, il peut y avoir une saisie de serveurs avec cryo-congélation de la RAM pour saisir les clés, ainsi qu'une saisie physique lorsque vous travaillez avec un canal ouvert vers le portefeuille. Et si vous suivez les règles de sécurité, n'enfreignez pas les lois ou si personne ne vous connaît, la probabilité de rencontrer de tels problèmes tend à être nulle. Choisissez donc les bonnes méthodes de protection en fonction du niveau de vos risques. Ne remettez pas à plus tard les problèmes liés à la sécurité si vous pouvez les résoudre maintenant. Il sera alors peut-être trop tard.
Il est plus facile de prévenir un incendie que de l’éteindre.