Nie ma uniwersalnego rozwiązania na każdą okazję, ale postaramy się podać wskazówki, które sprawdzają się niemal zawsze. Konkretną implementację architektury należy zaplanować w oparciu o Twoje potrzeby i ryzyko. Ten artykuł może służyć jako lista kontrolna do weryfikacji.
Zalecenia dotyczące organizacji przechowywania kryptowalut i tokenów
Nie wkładaj wszystkich jajek do jednego koszyka! Podziel swoje środki i przechowuj te, których nie planujesz wykorzystać w najbliższej przyszłości, w zimnym portfelu. W razie potrzeby może istnieć kilka zimnych portfeli. Przykładowo część środków będzie znajdować się w portfelu sprzętowym, część w portfelu z wieloma podpisami, część w postaci klucza prywatnego w kontenerze kryptowalut z silnym hasłem. W przypadku realnego zagrożenia możesz nawet przejść 1 lub 2.
Oddzielne komputery dla kryptowalut. Jeśli pracujesz z kryptowalutami, które kosztują kilka razy więcej niż koszt ich przechowywania, przydziel osobne komputery, które nie będą używane do niczego innego. Lepiej surfować po sieci, grać w gry i edytować przesłane dokumenty na innym komputerze.
Nic ekstra. Na komputerach z portfelem nie powinno być instalowane żadne oprogramowanie innych firm, nie mówiąc już o zhakowaniu systemu Windows za pomocą cracka autorstwa C001_][aker's. Tylko sprawdzone dystrybucje od producenta.
Tolerancja błędów. Największą uciążliwością pod względem odporności na awarie jest awaria dysku twardego. Pozostałe części w komputerze są zwykle wymieniane szybko i bez żadnych specjalnych konsekwencji. W przypadku dysków twardych odporność na awarie systemu jest najłatwiejsza do osiągnięcia przy użyciu macierzy RAID z funkcją dublowania. Z grubsza rzecz biorąc, ma to miejsce wtedy, gdy zainstalowane są dwa dyski twarde, na których operacje zapisu i odczytu zachodzą równolegle, a system postrzega je jako jeden dysk. W tym przypadku wzrost ceny dotyczy jednego dysku twardego; kontroler RAID można nawet zastosować wbudowany w płytę główną. Prawdopodobieństwo, że oba dyski twarde na raz ulegną awarii, jest niezwykle małe, a jeśli którykolwiek ulegnie awarii, wkładasz nowy na jego miejsce i kontynuujesz pracę. Niektóre kontrolery RAID mogą to zrobić nawet w locie, bez wyłączania systemu.
Kopia zapasowa. Musisz być przygotowany na to, że najbardziej odporny na awarie system może stać się niedostępny. Pożar, złodzieje, służby specjalne, czy po prostu kot nasikający do zasilacza i spalą się wszystkie płyty i dyski twarde, to nie ma znaczenia. To może się zdarzyć. Musisz mieć aktualne kopie zapasowe wszystkich portfeli. Co więcej, muszą zostać zaszyfrowane i przesłane do kilku miejsc jednocześnie. Do chmury, na pocztę, pendrive w sejfie, archiwum w smartfonie itp. Wybierz kilka opcji, lepiej wymyśl własne i skorzystaj z nich. Utwórz harmonogram tworzenia kopii zapasowych i trzymaj się go. Okresowo pobieraj jedną z kopii zapasowych i sprawdzaj, czy znajdują się w niej informacje, czy nic nie zostało uszkodzone, czy pamiętasz wszystkie hasła i czy jesteś w stanie wydobyć informacje z kopii zapasowej.
Szyfrowanie i hasła. Zaakceptuj jako fakt, że Twój komputer, telefon, dysk flash lub dostęp do Twojej skrzynki pocztowej i innych usług może trafić w ręce przestępców. Jednocześnie konieczne jest uniemożliwienie atakującemu uzyskania dostępu do portfeli. Jeśli wszystkie Twoje urządzenia są bezpiecznie zaszyfrowane, a hasła nie są podobne do Qwerty123, to przynajmniej zyskasz czas na przeniesienie zasobów do innych portfeli, a maksymalnie zdobycie urządzeń i dostęp będzie bezużyteczny dla atakującego. Dlatego używaj maksymalnie szyfrowania, m.in. na partycjach systemowych, smartfonach, archiwach i kopiach zapasowych. Ustaw hasła do ładowania i odblokowywania smartfona. Nie powinno być żadnych kont na komputerach bez silnych haseł. W usługach internetowych, jeśli to możliwe, używaj uwierzytelniania dwuskładnikowego. Ustaw silne i różne hasła dla wszystkich usług i urządzeń. Zaleca się co jakiś czas wymieniać je na nowe.
Aktualizacje. Zwróć szczególną uwagę na aktualizacje oprogramowania. Często osoby atakujące wykorzystują błędy w algorytmie aktualizacji lub ukrywają pobieranie złośliwego oprogramowania jako aktualizacje. Zdarzyło się to już w przypadku niektórych portfeli kryptowalut, np. Electrum, kiedy wyświetlił się komunikat o konieczności aktualizacji i został pobrany trojan. Prostszą metodą jest wyświetlenie w przeglądarce okna ze stroną internetową, która rzekomo prosi o aktualizację przeglądarki. Czasami otwiera się to w nowym wyskakującym oknie i próbuje w miarę możliwości skopiować szczegóły interfejsu prawdziwego okna aktualizacji. Oczywiste jest, że jeśli użytkownik uzyska zgodę, zostanie mu pobrany trojan. Dlatego tylko aktualizacje z oficjalnych stron i zaleca się ich dalsze sprawdzanie.
Nie zostawiaj rzeczy bez opieki. Każdy rozumie wszystko na temat dysków flash lub smartfona bez hasła. Ale w niektórych przypadkach nawet laptop można zhakować, po prostu wkładając urządzenie podobne do dysku flash do portu USB. Ale w rzeczywistości będzie to sprzętowy emulator klawiatury HID i zestaw exploitów. Dlatego w środowisku Windows po skonfigurowaniu wszystkich urządzeń zaleca się uniemożliwienie automatycznej instalacji sterowników i urządzeń poprzez aktywację zasady „Zabroń instalacji urządzeń nieopisanych w innych ustawieniach polityki”.
Co zrobić, jeśli hack został już wykryty?
Odłącz zaatakowany komputer od sieci, sprawdź, co zostało skradzione, a co nie.
Pozostałą kryptowalutę i tokeny przenieś do innych portfeli i w razie potrzeby utwórz je na czystym komputerze. Aby przyspieszyć proces, możesz utworzyć adresy tymczasowe w najsłynniejszych portfelach internetowych.
Śledź, dokąd poszły monety, być może są to usługi takie jak giełdy lub portfele internetowe. W takim przypadku pilnie napisz do ich wsparcia w sprawie zdarzenia, podając adresy, skróty transakcji i inne szczegóły. Jeśli to możliwe, zadzwoń, po wysłaniu pisma, zadzwoń i użyj głosu, aby zwrócić uwagę na pilność sytuacji.
Zmień wszystkie hasła z czystego komputera, nawet te, które nie są bezpośrednio związane z portfelami. Zainfekowany komputer najprawdopodobniej posiadał keylogger, który zbierał wszystkie wprowadzone informacje. Hasła muszą przejść co najmniej 2 czyszczenia - tymczasowe i nowe, stałe. Hasła muszą być mocne: wystarczająco długie i nie słownikowe.
Twórz kopie zapasowe wszystkich niezbędnych informacji z komputerów, smartfonów i tabletów, których nie chcesz stracić. Pliki wykonywalne i inne pliki, które mogą zostać zainfekowane, nie powinny znajdować się w kopii zapasowej. Zaszyfruj kopię zapasową. Wykonaj kilka kopii zapasowych w lokalizacjach rozproszonych geograficznie.
Wyczyść wszystkie dyski flash i dyski twarde, zresetuj smartfon do ustawień fabrycznych i skonfiguruj wszystko od nowa. Jeśli planujesz w przyszłości pracować z bardzo ważnymi informacjami lub kwotami wielokrotnie przekraczającymi koszt sprzętu, w idealnym przypadku warto wymienić cały sprzęt, ponieważ niektóre typy trojanów mogą być rejestrowane w obszarach usług na dyski twarde i nie są usuwane nawet podczas formatowania, a także modyfikują BIOS na płytach głównych.
Ogólne zalecenia dotyczące bezpieczeństwa
Wyłudzanie informacji. Najczęściej atakowane są strony giełd, portfele internetowe oraz popularne giełdy. Liderami są myetherwallet.com, blockchain.com i localbitcoins.com. Najczęściej oszuści rejestrują domenę podobną do tej, która jest atakowana. Przesyłają tam nieszkodliwą stronę internetową lub forum. Kupują za to reklamy w wyszukiwarkach. Gdy tylko reklamy przejdą moderację, witryna zostanie zastąpiona klonem zaatakowanej witryny. Jednocześnie nierzadko zdarza się, że ludzie rozpoczynają DDoSing. Użytkownik nie może wejść na stronę, wpisuje jej nazwę w wyszukiwarkę, klika pierwszą linijkę wyników wyszukiwania, nie zauważając, że jest to reklama i trafia na oszukańczą stronę, która wygląda jak prawdziwa. Następnie podaje swoje loginy i hasła, a pieniądze z jego konta wyciekają do atakujących. Często nawet uwierzytelnianie dwuskładnikowe, kody PIN itp. nie pomagają. Użytkownik sam to wszystko wprowadzi. Powiedzmy, że logując się, wpisujesz kod, system powie, że kod jest błędny, wprowadź go ponownie. Wprowadzi drugi kod. Ale tak naprawdę pierwszy kod służył do logowania, a drugi do potwierdzania wypłaty środków.
Innym przykładem są opóźnione ataki. Gdy otworzysz przesłaną Ci witrynę, która wydaje się bezpieczna, i pozostawisz kartę otwartą. Po pewnym czasie, jeśli na stronie nie będzie żadnej akcji, jej zawartość zostanie zastąpiona witryną phishingową proszącą o zalogowanie się. Użytkownicy zazwyczaj traktują wcześniej otwarte karty z większą pewnością niż poprzednio otwarte i mogą wprowadzać swoje dane bez sprawdzania.
Ponadto w niektórych przypadkach mogą nastąpić ataki phishingowe na specjalnie przygotowane sieci publiczne. Masz połączenie z publiczną siecią Wi-Fi, ale jej DNS podaje błędne adresy żądaniom domeny lub cały niezaszyfrowany ruch jest zbierany i analizowany pod kątem ważnych danych.
Aby nie dać się nabrać, nie wyłączajcie czujności, skorzystajcie z dodatkowych kontroli i bezpieczniejszego kanału, o czym więcej poniżej.
Dodatkowe kontrole. W przypadku najczęściej odwiedzanych i ważnych witryn na bezpiecznym komputerze wykryj kilka parametrów pośrednich. Na przykład wystawca certyfikatu i data jego wygaśnięcia. Wartość licznika Alexa lub szacowany ruch według Likeweb. Możesz dodać własne parametry. A kiedy odwiedzasz strony internetowe, śledź je. Na przykład, jeśli certyfikat nagle się zmienił na długo przed wygaśnięciem starego, jest to powód, aby zachować ostrożność i dodatkowo sprawdzić witrynę. Lub, na przykład, jeśli bitfinex.com pokazywał na liczniku Alexa około 7 tysięcy punktów, ale teraz nagle pokazuje 8 milionów, jest to wyraźny znak, że znajdujesz się na oszukańczej stronie. To samo dotyczy wskaźników Likeweb używanych przez CDN, rejestratora nazw domen, hostera itp.
Hasła. Nie używaj słabych haseł. Najważniejsze hasła lepiej zapamiętać, nie zapisując ich nigdzie. Biorąc jednak pod uwagę, że lepiej ustawić różne hasła dla wszystkich usług i portfeli, część z nich będzie musiała zostać przechowana. Nigdy nie przechowuj ich otwartych. Korzystanie ze specjalistycznych programów „opiekujących się kluczami” jest znacznie lepsze niż korzystanie z pliku tekstowego. Są tam przynajmniej przechowywane w formie zaszyfrowanej, a po użyciu dane są automatycznie usuwane ze schowka. Lepiej jest korzystać z rozwiązań open source offline.
Stwórz dla siebie pewne zasady bezpieczeństwa, na przykład dodając na początku trzy losowe znaki do zapisanych haseł. Po skopiowaniu i wklejeniu tam, gdzie potrzebujesz hasła, usuń te znaki. Nie udostępniaj metod przechowywania haseł, wymyśl własne. W takim przypadku, nawet jeśli posiadacz klucza zostanie naruszony, istnieje ryzyko, że osoba atakująca nie będzie mogła z niego skorzystać.
Bezpieczny kanał. Aby bezpieczniej pracować w sieciach publicznych, warto stworzyć własny serwer VPN. Aby to zrobić, możesz kupić maszynę wirtualną od jednego z hosterów za granicą, możesz wybrać lokalizację według własnego uznania. Średni koszt maszyny wirtualnej to 3 – 7 dolarów miesięcznie, co jest całkiem rozsądną kwotą za nieco bezpieczniejszy dostęp do sieci. Instalujesz na serwerze własny serwer VPN i przepuszczasz przez niego cały ruch z urządzeń mobilnych i komputerów. Przed serwerem VPN cały ruch jest dodatkowo szyfrowany, więc nie może zatruwać Twojego DNS ani uzyskać dodatkowych danych z Twojego ruchu, instalując na jego ścieżce sniffera.
Windows/Linux/Mac OS? Najlepszy system operacyjny to taki, który można skonfigurować najbardziej profesjonalnie i w którym można bezpiecznie pracować. Dobrze skonfigurowany Windows jest lepszy niż źle skonfigurowany Linux. Problemy z bezpieczeństwem występują we wszystkich systemach operacyjnych i należy je szybko załatać. Jednak najwięcej złośliwego oprogramowania jest pisane pod Windowsem, użytkownicy mają najczęściej prawa administratora i podczas sondowania systemu oszuści najpierw próbują wykorzystać exploity pod Windowsem. Dlatego też, gdy wszystko inne jest niezmienione, warto wybrać mniej powszechny i bardziej nastawiony na bezpieczeństwo system operacyjny, na przykład jedną z dystrybucji Linuksa.
Prawa użytkownika. Nadaj użytkownikowi dokładnie tyle uprawnień, ile jest potrzebnych do wykonywania zadań. Nie siedź pod użytkownikiem z uprawnieniami administratora. Co więcej, możesz dodatkowo zabezpieczyć swój portfel, korzystając z ograniczonych praw użytkownika. Przykładowo utwórz dwa konta, pierwsze ma dostęp do portfela, ale nie możesz się w jego ramach logować ani lokalnie, ani przez sieć. Drugie konto może służyć do logowania, ale nie ma dostępu do portfela. Aby pracować z portfelem spod niego, musisz go dodatkowo uruchomić za pomocą polecenia Runas.
Program antywirusowy. Czy powinienem zainstalować program antywirusowy, czy nie? Jeśli komputer jest podłączony do sieci i służy do innych zadań niż przechowywanie kryptowalut, ma możliwość podłączenia pendrive'ów lub w inny sposób załadowania złośliwego oprogramowania - zalecamy użycie programu antywirusowego. Jeśli komputer jest specjalnie skonfigurowany tylko jako portfel, wszędzie bezpieczeństwo jest maksymalnie zaostrzone, na komputerze nie ma żadnego zewnętrznego oprogramowania i nie można go tam załadować, lepiej obejść się bez programu antywirusowego. Istnieje niewielka szansa, że program antywirusowy wyśle portfel do firmy producenta jako na przykład podejrzany plik lub w samym programie antywirusowym zostanie wykryta luka. Choć jest to mało prawdopodobne, podobne przypadki już miały miejsce i nie należy ich całkowicie wykluczać.
Jeśli zainstalowałeś program antywirusowy, aktualizuj bazy danych, nie usuwaj ani nie „przeciągaj” kontroli złośliwego oprogramowania, zwracaj uwagę na wszystkie alerty i okresowo przeprowadzaj pełne skanowanie systemu.
Zastanów się nad celowością zainstalowania programu antywirusowego na smartfonach i tabletach.
Piaskownice. Utwórz oddzielną maszynę wirtualną, aby przeglądać przesłane pliki. Zawsze istnieje ryzyko otrzymania dokumentu z exploitem 0-day, który nie został jeszcze wykryty przez program antywirusowy. Zaletą maszyn wirtualnych jest dość szybka praca z migawkami. Oznacza to, że tworzysz kopię systemu, uruchamiasz na niej podejrzane pliki, a po zakończeniu pracy przywracasz maszynę wirtualną do stanu, w którym nie otworzyłeś jeszcze podejrzanych plików. Jest to niezbędne przynajmniej do późniejszej bezpiecznej pracy z innymi danymi.
Sprawdź adresy. Wysyłając dane dotyczące płatności do bezpiecznego komputera, bezpośrednio przed wysłaniem, dodatkowo sprawdź wizualnie adres i kwotę. Niektóre trojany zastępują adresy portfeli kryptowalut w schowku własnymi. Kopiujesz jeden, a drugi zostanie wklejony.
Środowisko. Pamiętaj, że główny atak może nie być skierowany na Ciebie, ale na Twoich pracowników lub bliskich. Gdy znajdziesz się w strefie zaufanej, złośliwe oprogramowanie będzie łatwiej dotrzeć do Twoich zasobów.
Komunikacja. Traktuj wszelkie wiadomości podczas rozmów telefonicznych lub korespondencji tak, jakby na pewno były czytane/odsłuchiwane i nagrywane przez osoby trzecie. Zatem żadnych wrażliwych danych w postaci zwykłego tekstu.
Lepiej być po bezpiecznej stronie. Jeśli podejrzewasz, że niektóre portfele mogły zostać naruszone, utwórz nowe i przenieś wszystkie środki z tych, które są podejrzane.
Podawaj mniej wrażliwych informacji. Jeśli na konferencji prezenter poprosi posiadaczy kryptowaluty o podniesienie ręki, nie powinieneś tego robić, nie znasz wszystkich na sali, a przypisanie potencjalnych ofiar do ołówka to pierwszy krok, w którym możesz pomóc napastnik. Albo na przykład był taki przypadek: jeden właściciel kryptowaluty całkiem poważnie potraktował bezpieczeństwo przechowywania. Napastnicy dowiedzieli się jednak, że sprzedaje on działkę. Znaleźliśmy jednego i skontaktowaliśmy się z nim pod przykrywką kupującego. Podczas rozmów i wymiany dokumentów napastnicy mogli umieścić trojana na komputerze ofiary i przez pewien czas monitorować jego działanie. To wystarczyło, aby zrozumieć, w jaki sposób przechowywane były fundusze i je ukraść. Przy sprzedaży działki czujność ofiary była wyraźnie niższa niż podczas pracy z kryptowalutami, co było na rękę atakującym.
Wniosek
Pamiętaj, że wszystkie wskazówki dotyczące bezpieczeństwa podane powyżej są przeznaczone dla przeciętnego atakującego. Jeśli zostaniesz fizycznie porwany i wykorzystany do kryptoanalizy termorektalnej, sam zdradzisz wszystkie adresy i hasła. Ponadto, jeśli polują na Ciebie służby specjalne z odpowiednim przeszkoleniem, może nastąpić przejęcie serwerów z kriozamrożeniem pamięci RAM w celu przejęcia kluczy, a także fizyczne zajęcie podczas pracy z otwartym kanałem do portfela. A jeśli przestrzegasz zasad bezpieczeństwa, nie łamiesz prawa lub nikt o Tobie nie wie, prawdopodobieństwo wystąpienia takich problemów dąży do zera. Dlatego wybierz odpowiednie metody ochrony w zależności od poziomu Twojego ryzyka. Nie odkładaj spraw związanych z bezpieczeństwem na później, jeśli możesz zrobić to teraz. Wtedy może być już za późno.
Łatwiej jest zapobiec pożarowi, niż go ugasić.