Univerzální řešení pro všechny příležitosti neexistuje, ale pokusíme se dát tipy, které platí téměř vždy. Konkrétní implementace architektury by měla být naplánována na základě vašich potřeb a rizik. Tento článek lze použít jako kontrolní seznam pro ověření.
Doporučení pro organizaci ukládání kryptoměn a tokenů
Nedávejte všechna vejce do jednoho košíku! Rozdělte své finanční prostředky a ty, které neplánujete v blízké budoucnosti použít, uložte do studené peněženky. V případě potřeby může být několik studených peněženek. Část prostředků bude například v hardwarové peněžence, část v peněžence s více podpisy, část ve formě soukromého klíče v krypto kontejneru se silným heslem. V případě skutečného nebezpečí můžete dokonce projít 1 nebo 2.
Samostatné počítače pro krypto. Pokud pracujete s kryptografickými aktivy, která stojí několikanásobně více než náklady na jejich úložiště, pak přidělte samostatné počítače, které nebudou použity k ničemu jinému. Je lepší surfovat na webu, hrát hry a upravovat odeslané dokumenty na jiném počítači.
Nic extra. Počítače s peněženkou by neměly mít nainstalovaný žádný software třetích stran, nemluvě o Windows hacknutých crackem od C001_][aker's. Pouze osvědčené distribuce od výrobce.
Odolnost proti chybám. Největším problémem z hlediska odolnosti proti chybám je selhání pevného disku. Zbývající části v počítači jsou obvykle vyměněny rychle a bez zvláštních následků. V případě pevných disků lze odolnost proti chybám systému nejsnáze dosáhnout pomocí polí RAID se zrcadlením. Zhruba řečeno, jde o situaci, kdy jsou nainstalovány dva pevné disky a paralelně se na nich provádějí operace zápisu a čtení a systém je vidí jako jeden disk. V tomto případě jde zdražení na jeden pevný disk, raid řadič lze dokonce použít zabudovaný v základní desce. Pravděpodobnost, že selžou oba pevné disky najednou, je extrémně malá, a pokud některý selže, vložíte na jeho místo nový a pokračujete v práci. Některé řadiče RAID to dokážou i za chodu, aniž by vypínaly systém.
Záloha. Musíte být připraveni na to, že systém nejvíce odolný proti chybám může být nedostupný. Požár, zloději, speciální služby nebo jen kočka čůrající do zdroje a všechny desky a pevné disky shoří, na tom nezáleží. To se může stát. Musíte mít aktuální zálohy všech peněženek. Navíc musí být zašifrovány a odeslány na několik míst najednou. Do cloudu, na mail, flash disk v trezoru, archiv v chytrém telefonu atp. Vyberte si několik možností, raději si vymyslete vlastní a použijte je. Vytvořte si plán zálohování a dodržujte ho. Pravidelně stahujte jednu ze záloh a kontrolujte dostupnost informací v ní, že nic nebylo porušeno, pamatujete si všechna hesla a jste schopni ze zálohy extrahovat informace.
Šifrování a hesla. Přijměte jako fakt, že váš počítač, telefon, flash disk nebo přístup k vaší poštovní schránce a dalším službám mohou skončit v rukou zločinců. Zároveň je nutné zabránit útočníkovi v přístupu k peněženkám. Pokud jsou všechna vaše zařízení bezpečně zašifrována a hesla nejsou podobná Qwerty123, tak minimálně získáte čas na převod aktiv do jiných peněženek a maximálně bude získávání zařízení a přístupu pro útočníka k ničemu. Používejte proto šifrování na maximum, a to i na systémových oddílech, chytrých telefonech, archivech a zálohách. Nastavte hesla pro načítání a odemykání smartphonu. Na počítačích by neměly být žádné účty bez silných hesel. Pokud je to možné, používejte ve webových službách dvoufaktorové ověřování. Nastavte silná a různá hesla pro všechny služby a zařízení. Je vhodné je v určitých intervalech vyměnit za nové.
Aktualizace. Věnujte zvláštní pozornost aktualizacím softwaru. Útočníci často zneužívají chyby v aktualizačním algoritmu nebo maskují stahování škodlivého softwaru jako aktualizace. U některých kryptoměnových peněženek se to již stalo, například u Electrum, kdy se zobrazila hláška o nutnosti aktualizace a stáhl se trojan. Jednodušší metodou je zobrazení okna v prohlížeči na webové stránce, která vás údajně žádá o aktualizaci prohlížeče. Někdy se to otevře v novém vyskakovacím okně a pokusí se co nejvíce zkopírovat podrobnosti rozhraní skutečného okna aktualizace. Je jasné, že pokud uživatel získá souhlas, stáhne se mu trojský kůň. Aktualizace tedy pouze z oficiálních stránek a je vhodné je dále kontrolovat.
Nenechávejte věci bez dozoru. Každý rozumí všemu o flash discích nebo smartphonu bez hesla. Ale v některých případech lze i notebook hacknout jednoduše vložením zařízení podobného flash disku do USB portu. Ve skutečnosti ale půjde o hardwarový emulátor HID klávesnice a sadu exploitů. V prostředí Windows se tedy po nastavení všech vašich zařízení doporučuje zabránit automatické instalaci ovladačů a zařízení aktivací zásady „Zakázat instalaci zařízení, která nejsou popsána jinými nastaveními zásad“.
Co dělat, pokud již byl hack detekován?
Odpojte napadený počítač od sítě, zkontrolujte, co je kradené a co ne.
Převeďte zbývající kryptoměnu a tokeny do jiných peněženek a v případě potřeby je vytvořte na čistém počítači. Pro urychlení procesu můžete vytvořit dočasné adresy v nejznámějších webových peněženkách.
Sledujte, kam coiny šly, možná se jedná o služby jako směnárny nebo online peněženky. V takovém případě naléhavě napište jejich podpoře o incidentu s uvedením adres, transakčních hashů a dalších podrobností. Pokud je to možné, zavolejte, po odeslání dopisu zavolejte a hlasem upozorněte na naléhavost situace.
Změňte všechna hesla z čistého počítače, dokonce i ta, která přímo nesouvisí s peněženkami. Infikovaný počítač měl s největší pravděpodobností keylogger, který shromažďoval všechny zadané informace. Hesla musí projít minimálně 2 čištěním – dočasným a novým trvalým. Hesla musí být silná: dostatečně dlouhá a ne slovníková.
Zálohujte si všechny potřebné informace z počítačů, chytrých telefonů a tabletů, o které nechcete přijít. V záloze by neměly být spustitelné soubory a další soubory, které by mohly být infikovány. Zašifrujte zálohu. Vytvořte několik záložních kopií na geograficky rozptýlená místa.
Vymažte všechny flash disky a pevné disky, resetujte smartphone na výchozí tovární nastavení a znovu vše nakonfigurujte. Pokud plánujete v budoucnu pracovat s velmi důležitými informacemi nebo částkami, které mnohonásobně převyšují náklady na zařízení, pak se v ideálním případě vyplatí vyměnit celý hardware, protože některé typy trojských koní lze registrovat v oblastech služeb na pevné disky a nesmažou se ani při formátování a také upravují BIOS na základních deskách.
Obecná bezpečnostní doporučení
Phishing. Nejčastěji jsou napadeny webové stránky směnáren, online peněženky a oblíbené směnárny. Lídry jsou myetherwallet.com, blockchain.com a localbitcoins.com. Nejčastěji si podvodníci registrují doménu podobnou té, na kterou se útočí. Nahrají tam neškodný web nebo fórum. Kupují si za to reklamu ve vyhledávačích. Jakmile reklamy projdou moderováním, stránka je nahrazena klonem napadené stránky. Zároveň není neobvyklé, že lidé začnou DDoSing. Uživatel se na stránku nedostane, zadá její název do vyhledávače, klikne na první řádek ve výsledcích vyhledávání, aniž by si všiml, že jde o reklamu, a skončí na podvodném webu, který vypadá jako skutečný. Dále zadá své přihlašovací údaje a hesla a peníze z jeho účtu uniknou útočníkům. Často nepomůže ani dvoufaktorová autentizace, PIN kódy apod. To vše si uživatel zadá sám. Řekněme, že když se přihlásíte, zadáte kód, systém řekne, že kód je nesprávný, zadejte jej znovu. Zadá druhý kód. Ve skutečnosti však první kód sloužil k přihlášení a druhý k potvrzení výběru prostředků.
Dalším příkladem jsou opožděné útoky. Když otevřete web, který vám byl zaslán, který se zdá být bezpečný, a ponecháte kartu otevřenou. Po nějaké době, pokud na stránce neproběhne žádná akce, bude její obsah nahrazen phishingovou stránkou, která vás požádá o přihlášení. Uživatelé obvykle zacházejí s dříve otevřenými kartami s větší důvěrou než s dříve otevřenými a mohou svá data zadávat bez kontroly.
V některých případech také může docházet k phishingovým útokům na speciálně připravené veřejné sítě. Připojili jste se k veřejné síti Wi-Fi, ale její DNS poskytuje žádostem domény nesprávné adresy nebo je veškerý nešifrovaný provoz shromažďován a analyzován pro důležitá data.
Abyste tomu nepropadli, nevypínejte svou ostražitost, používejte další kontroly a bezpečnější kanál, více o nich níže.
Dodatečné kontroly. U nejnavštěvovanějších a nejdůležitějších stránek na zabezpečeném počítači zjistěte několik nepřímých parametrů. Například vydavatel certifikátu a datum vypršení jeho platnosti. Hodnota čítače Alexa nebo odhadovaná návštěvnost pomocí Similarweb. Můžete přidat vlastní parametry. A když navštívíte webové stránky, sledujte je. Pokud se například certifikát náhle změnil dlouho předtím, než vypršela platnost starého, je to důvod k opatrnosti a dodatečnou kontrolu webu. Nebo například, pokud bitfinex.com dříve ukazoval na počítadle Alexa asi 7 tisíc bodů, ale teď najednou ukazuje 8 milionů, pak je to jasné znamení, že jste na podvodné stránce. Totéž s metrikami Similarweb používanými CDN, registrátorem doménových jmen, hostitelem atd.
Hesla Nepoužívejte slabá hesla. Nejdůležitější hesla je lepší si zapamatovat, aniž byste si je někam zapisovali. Pokud však vezmeme v úvahu, že je lepší nastavit různá hesla pro všechny služby a peněženky, některá z nich bude muset být uložena. Nikdy je neskladujte otevřené. Použití specializovaných programů pro „držáky klíčů“ je mnohem vhodnější než použití textového souboru. Jsou tam alespoň uloženy v zašifrované podobě, navíc se data po použití automaticky vymažou ze schránky. Je lepší používat offline open source řešení.
Vytvořte si pro sebe nějaká bezpečnostní pravidla, například dokonce přidejte tři náhodné znaky do zapsaných hesel na začátku. Po zkopírování a vložení tam, kde potřebujete heslo, tyto znaky smažte. Nesdílejte způsoby ukládání hesel, vymyslete si vlastní. V tomto případě, i když je držák klíče kompromitován, existuje šance, že jej útočník nebude moci použít.
Zabezpečený kanál. Chcete-li pracovat bezpečněji z veřejných sítí, má smysl vytvořit si vlastní server VPN. Chcete-li to provést, můžete si zakoupit virtuální stroj od jednoho z hostitelů v zahraničí, umístění si můžete vybrat podle svého uvážení. Průměrné náklady na virtuální stroj jsou 3 – 7 USD měsíčně, což jsou celkem rozumné peníze za trochu bezpečnější přístup k síti. Nainstalujete si na server svůj vlastní VPN server a umožníte, aby přes něj procházel veškerý provoz z mobilních zařízení a počítačů. Před serverem VPN je veškerý provoz navíc šifrován, takže nemohou otrávit váš DNS nebo získat další data z vašeho provozu instalací snifferu podél jeho cesty.
Windows/Linux/Mac OS? Nejlepší operační systém je ten, který můžete nakonfigurovat nejprofesionálněji a pracovat v něm bezpečně. Dobře nakonfigurovaný Windows je lepší než špatně nakonfigurovaný Linux. Bezpečnostní problémy se vyskytují ve všech operačních systémech a je třeba je včas opravit. Největší množství škodlivého softwaru je však napsáno nejčastěji pod Windows, uživatelé mají administrátorská práva a při sondování systému se podvodníci nejprve snaží využít exploity pod Windows. Proto, za předpokladu, že jsou všechny ostatní věci stejné, stojí za to zvolit méně běžný a více na bezpečnost orientovaný operační systém, například některou z distribucí Linuxu.
Uživatelská práva. Dejte uživateli přesně tolik práv, kolik je potřeba k provádění úkolů. Nesedejte pod uživatelem s administrátorskými právy. Navíc můžete svou peněženku dále zabezpečit pomocí omezených uživatelských práv. Vytvořte si například dva účty, první má přístup k peněžence, ale nemůžete se pod ní přihlásit ani lokálně, ani přes síť. Druhý účet lze použít k přihlášení, ale nemá přístup k peněžence. Chcete-li pracovat s peněženkou zpod ní, musíte ji dodatečně spustit pomocí příkazu Runas.
antivirus. Mám nainstalovat antivirus nebo ne? Pokud je počítač připojen k síti a slouží k jakýmkoli jiným úkonům kromě ukládání kryptoměny, má možnost připojit flash disky nebo jinak načíst malware – doporučujeme použít antivirus. Pokud je počítač speciálně konfigurován pouze jako peněženka, zabezpečení je všude dotaženo na maximum, v počítači není žádný cizí software a není možné jej tam načíst, je lepší se obejít bez antiviru. Je malá šance, že antivirus odešle peněženku například do společnosti výrobce jako podezřelý soubor, nebo se najde zranitelnost v antiviru samotném. I když je to velmi nepravděpodobné, k podobným případům již došlo a nelze je zcela vyloučit.
Pokud jste si nainstalovali antivirus, udržujte databáze aktuální, nemažte ani „nepřehazujte“ kontroly malwaru, věnujte pozornost všem výstrahám a pravidelně provádějte úplnou kontrolu systému.
Zvažte, zda je vhodné nainstalovat antivirový program do smartphonů a tabletů.
Pískoviště. Vytvořte samostatný virtuální počítač pro zobrazení odeslaných souborů. Vždy existuje riziko, že obdržíte dokument s 0denním exploitem, který ještě není detekován antivirem. Virtuální stroje mají výhodu v poměrně rychlé práci se snímky. To znamená, že vytvoříte kopii systému, spustíte na něm pochybné soubory a po dokončení práce vrátíte stav virtuálního stroje do okamžiku, kdy jste ještě neotevřeli podezřelé soubory. To je nutné minimálně pro následnou bezpečnou práci s dalšími daty.
Zkontrolujte adresy. Při odesílání platebních údajů na zabezpečený počítač bezprostředně před odesláním navíc vizuálně zkontrolujte adresu a částku. Některé trojské programy nahrazují adresy kryptoměnových peněženek ve schránce svými vlastními. Jeden zkopírujete a druhý se vloží.
Životní prostředí. Upozorňujeme, že primární útok nemusí být na vás, ale na vaše zaměstnance nebo vaše blízké. Jakmile budete v důvěryhodné zóně, bude pro malware snazší dostat se k vašim aktivům.
Sdělení. Zacházejte se všemi zprávami během telefonických rozhovorů nebo korespondence tak, jako by je určitě četly/poslouchaly a nahrávaly třetí strany. Tedy žádná citlivá data v čistém textu.
Je lepší být na bezpečné straně. Pokud máte podezření, že některé peněženky mohly být kompromitovány, vytvořte nové a převeďte všechny prostředky z těch, které jsou podezřelé.
Méně rozdávejte citlivé informace. Pokud na konferenci přednášející požádá ty, kdo mají kryptoměnu, aby zvedli ruku, neměli byste to dělat, neznáte všechny v místnosti a položení potenciálních obětí na tužku je prvním krokem, ve kterém můžete pomoci útočník. Nebo se například stal takový případ: jeden majitel kryptoměny bral bezpečnost úložiště docela vážně. Útočníci ale zjistili, že prodává pozemek. Jednoho jsme našli a pod rouškou kupce ho kontaktovali. Během dialogů a výměny dokumentů byli útočníci schopni umístit trojského koně do počítače oběti a nějakou dobu sledovat jeho provoz. To stačilo k tomu, abychom pochopili, jak byly finanční prostředky uloženy, a ukradli je. Při prodeji pozemku byla ostražitost oběti zřetelně nižší než při práci s kryptoaktivami, což útočníkům hrálo do karet.
Závěr
Pamatujte, že všechny výše uvedené bezpečnostní tipy jsou pro průměrného útočníka. Pokud vás fyzicky unesou a použijete termorektální kryptoanalýzu, sami prozradíte všechny adresy a hesla. Pokud vás loví speciální služby s odpovídajícím školením, může dojít k zabavení serverů s kryo-zmražením paměti RAM za účelem zabavení klíčů a také k fyzickému zabavení při práci s otevřeným kanálem do peněženky. A pokud dodržujete bezpečnostní pravidla, neporušujete zákony nebo o vás nikdo neví, pak je pravděpodobnost, že se setkáte s takovými problémy, nulová. Vyberte si proto správné způsoby ochrany v závislosti na míře vašich rizik. Neodkládejte problémy související s bezpečností na později, pokud je můžete udělat hned. Pak už může být pozdě.
Požáru je snazší předcházet, než jej hasit.