Non esiste una soluzione universale per tutte le occasioni, ma cercheremo di dare dei consigli che valgono quasi sempre. L'implementazione specifica dell'architettura dovrebbe essere pianificata in base alle vostre esigenze e ai vostri rischi. Questo articolo può essere utilizzato come elenco di controllo per la verifica.
Raccomandazioni per organizzare lo stoccaggio di criptovalute e token
Non mettere tutte le uova nello stesso paniere! Dividi i tuoi fondi e conserva quelli che non prevedi di utilizzare nel prossimo futuro in un portafoglio freddo. Se necessario, possono esserci diversi portafogli freddi. Ad esempio, una parte dei fondi si troverà in un portafoglio hardware, una parte in un portafoglio multifirma, una parte sotto forma di chiave privata in un contenitore crittografico con una password complessa. In caso di pericolo reale, puoi anche superarne 1 o 2.
Computer separati per la crittografia. Se lavori con cripto-risorse, che costano molte volte di più del costo delle loro strutture di archiviazione, alloca computer separati che non verranno utilizzati per nient'altro. È meglio navigare in Internet, giocare e modificare i documenti inviati su un altro computer.
Niente in più. Sui computer Wallet non dovrebbe essere installato alcun software di terze parti, per non parlare di Windows violato con un crack di C001_][aker's. Solo distribuzioni comprovate dal produttore.
Tolleranza ai guasti. Il problema più grande in termini di tolleranza agli errori è il guasto del disco rigido. Le restanti parti del computer vengono solitamente sostituite rapidamente e senza conseguenze particolari. Nel caso dei dischi rigidi, la tolleranza agli errori di sistema è più semplice da ottenere utilizzando array RAID con mirroring. In parole povere, questo è quando sono installati due dischi rigidi e le operazioni di scrittura e lettura avvengono su di essi in parallelo e il sistema li vede come un unico disco. In questo caso l'aumento di prezzo va a un disco rigido; è possibile utilizzare anche il controller raid integrato nella scheda madre. La probabilità che entrambi i dischi rigidi si guastino contemporaneamente è estremamente ridotta e, se qualcuno si guasta, ne inserisci uno nuovo al suo posto e continui a lavorare. Alcuni controller RAID possono farlo anche al volo, senza spegnere il sistema.
Backup. È necessario essere preparati al fatto che il sistema più tollerante agli errori potrebbe non essere più disponibile. Incendio, ladri, servizi speciali o semplicemente un gatto che fa pipì nell'alimentatore e tutte le schede e i dischi rigidi si bruceranno, non importa. Questo può succedere. È necessario disporre di backup aggiornati di tutti i portafogli. Inoltre, devono essere crittografati e inviati a più posti contemporaneamente. Nel cloud, nella posta, in una chiavetta in una cassaforte, in un archivio in uno smartphone, ecc. Scegli diverse opzioni, meglio inventarne una tua e usale. Crea un programma di backup e rispettalo. Scarica periodicamente uno dei backup e verifica la disponibilità delle informazioni in esso contenute, che nulla sia stato rotto, ricordi tutte le password e sei in grado di estrarre informazioni dal backup.
Crittografia e password. Accetta come un dato di fatto che il tuo computer, telefono, unità flash o l'accesso alla tua casella di posta e ad altri servizi potrebbero finire nelle mani di criminali. Allo stesso tempo, è necessario impedire a un utente malintenzionato di accedere ai portafogli. Se tutti i tuoi dispositivi sono crittografati in modo sicuro e le password non sono simili a Qwerty123, come minimo guadagnerai tempo per trasferire risorse su altri portafogli e, al massimo, ottenere dispositivi e accesso sarà inutile per un utente malintenzionato. Pertanto, utilizza la crittografia al massimo, anche su partizioni di sistema, smartphone, archivi e backup. Imposta le password per caricare e sbloccare il tuo smartphone. Non dovrebbero esserci account su computer senza password complesse. Sui servizi web, utilizza l'autenticazione a due fattori ove possibile. Imposta password complesse e diverse per tutti i servizi e dispositivi. Si consiglia di sostituirli con altri nuovi ad alcuni intervalli.
Aggiornamenti. Prestare particolare attenzione agli aggiornamenti software. Spesso gli aggressori sfruttano gli errori nell'algoritmo di aggiornamento o mascherano i download di software dannoso come aggiornamenti. Ciò è già accaduto con alcuni portafogli di criptovaluta, ad esempio con Electrum, quando è stato visualizzato un messaggio sulla necessità di aggiornare ed è stato scaricato un Trojan. Un metodo più semplice è visualizzare una finestra nel browser su una pagina web che presumibilmente ti chiede di aggiornare il browser. A volte questo si apre in una nuova finestra pop-up e cerca il più possibile di copiare i dettagli dell'interfaccia della finestra di aggiornamento reale. È chiaro che se si ottiene il consenso dell’utente, gli verrà scaricato un trojan. Quindi solo aggiornamenti da siti ufficiali, ed è consigliabile verificarli ulteriormente.
Non lasciare le cose incustodite. Tutti capiscono tutto sulle unità flash o su uno smartphone senza password. Ma in alcuni casi, anche un laptop può essere violato semplicemente inserendo un dispositivo simile a una chiavetta USB in una porta USB. Ma in realtà si tratterà di un emulatore di tastiera HID hardware e di una serie di exploit. Pertanto in ambiente Windows, dopo aver configurato tutti i dispositivi, è consigliabile impedire l'installazione automatica di driver e dispositivi attivando la policy "Proibisci installazione di dispositivi non descritti da altre impostazioni di policy".
Cosa fare se è già stato rilevato un hack?
Scollega il computer attaccato dalla rete, controlla cosa è stato rubato e cosa no.
Trasferisci la criptovaluta e i token rimanenti su altri portafogli e, se necessario, creali su un computer pulito. Per velocizzare il processo puoi creare indirizzi temporanei nei web wallet più famosi.
Tieni traccia di dove sono finite le monete, forse si tratta di servizi come scambi o portafogli online. In questo caso, scrivi urgentemente al loro supporto in merito all'incidente indicando indirizzi, hash delle transazioni e altri dettagli. Se possibile, chiama, dopo aver inviato la lettera, chiama e usa la tua voce per attirare l'attenzione sull'urgenza della situazione.
Cambia tutte le password da un computer pulito, anche quelle che non sono direttamente correlate ai portafogli. Molto probabilmente il computer infetto aveva un keylogger che raccoglieva tutte le informazioni inserite. Le password devono essere sottoposte ad almeno 2 ripuliture: temporanea e una nuova permanente. Le password devono essere complesse: sufficientemente lunghe e non dizionari.
Esegui il backup di tutte le informazioni necessarie da computer, smartphone e tablet che non vuoi perdere. I file eseguibili e altri file che potrebbero essere infetti non dovrebbero essere presenti nel backup. Crittografare il backup. Effettua diverse copie di backup in località geograficamente disperse.
Cancella tutte le unità flash e i dischi rigidi, ripristina lo smartphone alle impostazioni di fabbrica e configura nuovamente tutto. Se in futuro prevedi di lavorare con informazioni molto importanti o importi molte volte superiori al costo dell'attrezzatura, idealmente vale la pena sostituire l'intero hardware, poiché alcuni tipi di programmi Trojan possono essere registrati nelle aree di servizio su dischi rigidi e non vengono eliminati nemmeno durante la formattazione e modificano anche il BIOS sulle schede madri.
Raccomandazioni generali di sicurezza
Phishing. Molto spesso vengono attaccati siti Web di scambi, portafogli online e scambiatori popolari. I leader sono myetherwallet.com, blockchain.com e localbitcoins.com. Molto spesso i truffatori registrano un dominio simile a quello attaccato. Caricano lì un sito Web o un forum innocuo. Per questo acquistano pubblicità nei motori di ricerca. Non appena gli annunci superano la moderazione, il sito viene sostituito con un clone del sito attaccato. Allo stesso tempo, non è raro che le persone inizino il DDoSing. L'utente non riesce ad accedere al sito, inserisce il proprio nome in un motore di ricerca, clicca sulla prima riga dei risultati di ricerca senza accorgersi che si tratta di una pubblicità e finisce su un sito truffa che sembra reale. Successivamente, inserisce i suoi login e password e il denaro dal suo conto finisce agli aggressori. Spesso anche l’autenticazione a due fattori, i codici PIN, ecc. non aiutano. L'utente inserirà tutto questo da solo. Diciamo che quando accedi, inserisci un codice, il sistema dirà che il codice non è corretto, inseriscilo di nuovo. Inserirà il secondo codice. Ma in realtà il primo codice è stato utilizzato per accedere e il secondo per confermare il prelievo di fondi.
Un altro esempio sono gli attacchi ritardati. Quando apri un sito che ti è stato inviato sembra sicuro e lascia la scheda aperta. Dopo un po' di tempo, se non viene eseguita alcuna azione sulla pagina, il suo contenuto viene sostituito da un sito di phishing che ti chiede di accedere. Gli utenti solitamente trattano le schede aperte in precedenza con maggiore sicurezza rispetto a quelle aperte in precedenza e possono inserire i propri dati senza verificarli.
Inoltre in alcuni casi possono verificarsi attacchi di phishing su reti pubbliche appositamente predisposte. Ti sei connesso a una rete Wi-Fi pubblica, ma il suo DNS fornisce indirizzi errati alle richieste di dominio oppure tutto il traffico non crittografato viene raccolto e analizzato per dati importanti.
Per evitare di cadere in questo, non disattivare la vigilanza, utilizzare controlli aggiuntivi e un canale più sicuro, di cui parleremo più avanti.
Ulteriori controlli. Per i siti più visitati e importanti su un computer sicuro, rileva diversi parametri indiretti. Ad esempio, l'emittente del certificato e la sua data di scadenza. Contatore Alexa o traffico stimato da Similarweb. Puoi aggiungere i tuoi parametri. E quando visiti siti Web, tienine traccia. Ad esempio, se il certificato è cambiato improvvisamente molto prima della scadenza di quello vecchio, questo è un motivo per diffidare e controllare ulteriormente il sito. Oppure, ad esempio, se bitfinex.com mostrava circa 7mila punti sul contatore Alexa, ma ora ne mostra improvvisamente 8 milioni, allora questo è un chiaro segno che ti trovi su un sito fraudolento. Lo stesso vale per le metriche Similarweb utilizzate da CDN, registrar di nomi di dominio, hoster, ecc.
Le password. Non utilizzare password deboli. È meglio ricordare le password più importanti senza scriverle da nessuna parte. Tuttavia, dato che è meglio impostare password diverse per tutti i servizi e portafogli, alcune di esse dovranno essere memorizzate. Non conservarli mai aperti. L'uso di programmi specializzati "custode delle chiavi" è di gran lunga preferibile all'uso di un file di testo. Almeno vengono archiviati lì in forma crittografata e inoltre i dati vengono automaticamente cancellati dagli appunti dopo l'uso. È meglio utilizzare soluzioni open source offline.
Crea tu stesso alcune regole di sicurezza, ad esempio, aggiungendo anche tre caratteri casuali alle password scritte all'inizio. Dopo aver copiato e incollato il punto in cui ti serve la password, elimina questi caratteri. Non condividere metodi di archiviazione delle password, creane uno tuo. In questo caso, anche se il detentore della chiave viene compromesso, esiste la possibilità che l'aggressore non possa utilizzarla.
Canale sicuro. Per lavorare in modo più sicuro dalle reti pubbliche, ha senso creare il proprio server VPN. Per fare ciò, puoi acquistare una macchina virtuale da uno degli hoster all'estero, di cui potrai scegliere la località a tua discrezione; Il costo medio di una macchina virtuale è di $ 3 - $ 7 al mese, un prezzo abbastanza ragionevole per un accesso leggermente più sicuro alla rete. Installi il tuo server VPN sul server e consenti a tutto il traffico proveniente da dispositivi mobili e computer di attraversarlo. Prima del server VPN, tutto il traffico viene ulteriormente crittografato, quindi non possono avvelenare il tuo DNS o ottenere dati aggiuntivi dal tuo traffico installando uno sniffer lungo il suo percorso.
Sistema operativo Windows/Linux/Mac? Il miglior sistema operativo è quello che puoi configurare in modo più professionale e con cui lavorare in sicurezza. Un Windows ben configurato è migliore di un Linux mal configurato. I problemi di sicurezza si riscontrano in tutti i sistemi operativi e devono essere risolti tempestivamente. Tuttavia, la maggior parte del software dannoso viene scritto sotto Windows; nella maggior parte dei casi gli utenti dispongono dei diritti di amministratore e, quando sondano il sistema, i truffatori tentano innanzitutto di utilizzare gli exploit sotto Windows. Pertanto, a parità di condizioni, vale la pena scegliere un sistema operativo meno comune e più orientato alla sicurezza, ad esempio una delle distribuzioni Linux.
Diritti dell'utente. Concedere all'utente esattamente tutti i diritti necessari per eseguire le attività. Non sedersi sotto un utente con privilegi amministrativi. Inoltre, puoi proteggere ulteriormente il tuo portafoglio utilizzando diritti utente limitati. Ad esempio, crea due account, il primo ha accesso al portafoglio, ma non puoi accedervi né localmente né tramite la rete. Il secondo account può essere utilizzato per accedere, ma non ha accesso al portafoglio. Per lavorare con il portafoglio da sotto, devi inoltre avviarlo utilizzando il comando Runas.
antivirus. Dovrei installare un antivirus oppure no? Se il computer è connesso alla rete e viene utilizzato per qualsiasi altra attività diversa dall'archiviazione di criptovaluta, ha la capacità di connettere unità flash o caricare in altro modo malware: consigliamo di utilizzare un antivirus. Se il computer è configurato appositamente solo come portafoglio, la sicurezza è massima ovunque, non c'è software estraneo sul computer e non c'è modo di caricarlo lì, è meglio fare a meno di un antivirus. Esiste una piccola possibilità che l'antivirus invii il portafoglio all'azienda produttrice, ad esempio, come file sospetto o che venga rilevata una vulnerabilità nell'antivirus stesso. Sebbene ciò sia molto improbabile, casi simili si sono già verificati e non dovrebbero essere del tutto esclusi.
Se hai installato un antivirus, mantieni aggiornati i database, non eliminare o “strisciare” i controlli malware, presta attenzione a tutti gli avvisi ed esegui periodicamente una scansione completa del sistema.
Considera l'opportunità di installare un antivirus sui tuoi smartphone e tablet.
Sandbox. Crea una macchina virtuale separata per visualizzare i file inviati. Esiste sempre il rischio di ricevere un documento con un exploit 0-day non ancora rilevato dall'antivirus. Le macchine virtuali hanno il vantaggio di lavorare abbastanza velocemente con le istantanee. Cioè, fai una copia del sistema, esegui su di esso file discutibili e, una volta terminato il lavoro, riporti lo stato della macchina virtuale al momento in cui non avevi ancora aperto i file sospetti. Ciò è necessario come minimo per il successivo lavoro sicuro con altri dati.
Controlla gli indirizzi. Quando si inviano i dati di pagamento a un computer sicuro, immediatamente prima dell'invio, controllare inoltre visivamente l'indirizzo e l'importo. Alcuni programmi trojan sostituiscono gli indirizzi dei portafogli di criptovalute negli appunti con i propri. Ne copi uno e l'altro verrà incollato.
Ambiente. Tieni presente che l'attacco principale potrebbe non essere rivolto a te, ma ai tuoi dipendenti o ai tuoi cari. Una volta in una zona attendibile, sarà più facile per il malware raggiungere le tue risorse.
Comunicazione. Trattare eventuali messaggi durante conversazioni telefoniche o corrispondenza come se fossero sicuramente letti/ascoltati e registrati da terzi. Quindi nessun dato sensibile in chiaro.
Meglio andare sul sicuro. Se sospetti che alcuni portafogli possano essere stati compromessi, creane di nuovi e trasferisci tutti i fondi da quelli sospetti.
Diffondere meno informazioni sensibili. Se in una conferenza il relatore chiede di alzare la mano a chi ha criptovalute, non dovresti farlo, non conosci tutti i presenti nella stanza, e mettere sulla matita le potenziali vittime è il primo passo in cui puoi aiutare il attaccante. Oppure, ad esempio, si è verificato un caso del genere: un proprietario di criptovaluta ha preso molto sul serio la sicurezza dello spazio di archiviazione. Ma gli aggressori hanno scoperto che stava vendendo un appezzamento di terreno. Ne abbiamo trovato uno e lo abbiamo contattato sotto le spoglie di un acquirente. Durante i dialoghi e lo scambio di documenti gli aggressori sono riusciti a installare un trojan sul computer della vittima e a monitorarne per qualche tempo il funzionamento. Bastava questo per capire come venivano immagazzinati i fondi e rubarli. Quando si vendeva un appezzamento di terreno, la vigilanza della vittima era chiaramente inferiore rispetto a quando si lavorava con cripto-asset, il che faceva il gioco degli aggressori.
Conclusione
Ricorda che tutti i suggerimenti sulla sicurezza forniti sopra sono rivolti all’aggressore medio. Se vieni rapito fisicamente e utilizzi la crittoanalisi termorettale, rivelerai tu stesso tutti gli indirizzi e le password. Inoltre, se servizi speciali con una formazione adeguata ti danno la caccia, potrebbe verificarsi il sequestro di server con criocongelamento della RAM per sequestrare le chiavi, nonché il sequestro fisico mentre si lavora con un canale aperto verso il portafoglio. E se segui le regole di sicurezza, non infrangi le leggi o nessuno ti conosce, la probabilità di incontrare tali problemi tende a zero. Pertanto, scegli i giusti metodi di protezione a seconda del livello dei tuoi rischi. Non rimandare i problemi relativi alla sicurezza a più tardi se puoi risolverli ora. Allora potrebbe essere troppo tardi.
È più facile prevenire un incendio che spegnerlo.