Немає універсального рішення на всі випадки життя, але ми постараємося дати поради, які можна застосувати практично завжди. Конкретну реалізацію архітектури варто планувати виходячи з ваших потреб і ризиків. Цю статтю можна використовувати як чекліст для перевірки.
Рекомендації щодо організації зберігання криптовалют та токенів
Не зберігайте всі яйця в одному кошику! Розбивайте кошти і ті, які не плануєте використовувати в найближчому майбутньому, зберігайте на холодному гаманці. За потреби холодних гаманців може бути кілька. Наприклад, частина коштів буде на апаратному гаманці, частина на гаманці з мультипідписом, частина у вигляді приватного ключа у криптоконтейнері з надійним паролем. У разі реальної небезпеки можете навіть 1 або 2 здати.
Окремі комп'ютери для криптів. Якщо ви працюєте з криптоактивами, які за вартістю в рази перевищують вартість їх зберігання, то виділіть окремі комп'ютери, які ні для чого більше не будуть використовуватися. Посерфити веб, пограти в іграшки та відредагувати надіслані документи краще на іншому комп'ютері.
Нічого зайвого. На комп'ютерах-гаманцях не повинно стояти жодного стороннього програмного забезпечення, не кажучи вже про зламану вінду кряком від C001_][aker'а. Лише перевірені дистрибутиви від виробника.
Відмовостійкість. Найбільша неприємність у плані стійкості до відмови є збій жорсткого диска. Інші деталі в комп'ютері зазвичай замінюються швидко і без особливих наслідків. У випадку з жорсткими дисками стійкості до відмови системи найпростіше домогтися використанням RAID масивів з дзеркалюванням. Грубо кажучи, це коли ставиться два вінчестери, і операції запису та читання йдуть на них паралельно, а система бачить їх як один диск. У цьому випадку подорожчання йде на один жорсткий диск, рейд контролер можна використовувати навіть вбудований у материнську плату. Імовірність, що вийдуть з ладу відразу обидва жорсткі диски вкрай мала, а у разі відмови будь-якого одного ви вставляєте на його місце новий і працюєте далі. Деякі RAID контролери вміють це робити навіть на льоту, не вимикаючи системи.
Резервне копіювання. Ви повинні бути готові до того, що найвідмовніша система може виявитися недоступною. Пожежа, злодії, спецслужби, або просто кіт написає в блок живлення і згорять усі плати та вінчестери, не важливо. Таке може статися. У вас мають бути актуальні резервні копії всіх гаманців. При цьому вони мають бути зашифровані та відправлені одразу у кілька місць. У хмару, на пошту, флешкою у сейфі, архівом у смартфоні тощо. Виберіть кілька варіантів, краще придумайте свої та використовуйте їх. Заведіть розклад резервного копіювання та дотримуйтесь його. Періодично завантажуйте будь-який з бекапів і перевіряйте доступність інформації в ньому, що нічого не побилося, ви пам'ятаєте всі паролі та здатні витягти з бекапу інформацію.
Шифрування та паролі. Прийміть як факт, що ваш комп'ютер, телефон, флешка або доступ до поштової скриньки та інших послуг можуть опинитися в руках зловмисників. При цьому треба не дати можливості зловмиснику отримати доступ до гаманців. Якщо всі ваші пристрої надійно зашифровані, а паролі не схожі на Qwerty123, то, як мінімум, ви виграєте час на те, щоб перевести активи на інші гаманці, а як максимум отримання пристроїв і доступів буде марним для зловмисника. Тому використовуйте максимально шифрування, у тому числі на системних розділах, смартфонах, архівах, бекапах. Ставте паролі на завантаження та розблокування смартфона. Комп'ютери не повинні мати облікові записи без надійних паролів. На веб-сервісах використовуйте двофакторну автентифікацію, де це можливо. Ставте надійні та різні паролі на всі сервіси та пристрої. Бажано з якоюсь періодичністю їх міняти на нові.
Поновлення. Зверніть увагу на оновлення програм. Найчастіше зловмисники використовують помилки в алгоритмі оновлення або маскують завантаження шкідливого програмного забезпечення під оновлення. Подібне було вже з деякими гаманцями криптовалютними, наприклад, з Electrum, коли відображалося повідомлення про необхідність оновлення, а завантажувався троян. Найпростіший спосіб – відображення у браузері на веб-сторінці нібито вікна, яке просить оновити браузер. Іноді таке відкривається у новому спливаючому вікні і максимально намагається скопіювати деталі інтерфейсу цього вікна оновлення. Зрозуміло, що при отриманні згоди користувача, йому буде завантажено трояна. Так що тільки поновлення з офіційних сайтів, і бажано їх додатково перевірити.
Не залишайте речі без нагляду. Про флешки або смартфон без пароля всім зрозуміло. Але в деяких випадках навіть ноутбук може бути зламаний просто при вставленні в порт USB пристрою, схожого на флешку. А насправді це буде апаратний HID емулятор клавіатури та набір експлоїтів. Так що в середовищі Windows після налаштування всіх своїх пристроїв рекомендується заборонити автоматичне встановлення драйверів і пристроїв, активувавши політику «Заборонити встановлення пристроїв, не описаних іншими параметрами політики».
Що робити, якщо вже виявлено злом?
Відключити від мережі атакований комп'ютер, перевірити, що вкрадено, що ні.
Перекинути на інші гаманці криптовалюту, що залишилася, і токени, при необхідності створити їх на чистому комп'ютері. Для прискорення процесу можна створити часові адреси у найвідоміших веб-гаманцях.
Відстежити куди пішли монети, можливо, це сервіси типу бірж або онлайн гаманців. У цьому випадку терміново писати їм у сапорт про інцидент із зазначенням адрес, хеш транзакцій та іншими подробицями. При можливості зателефонувати, після надсилання листа зателефонувати та голосом звернути увагу на терміновість ситуації.
Змінити з чистого комп'ютера всі паролі, навіть ті, які безпосередньо не належать до гаманців. На зараженому комп'ютері з великою ймовірністю був кейлоггер, який збирав всю інформацію, що вводиться. Паролі повинні пройти як мінімум 2 очищення - тимчасову та нову постійну. Паролі повинні бути надійними: достатньо довгими і не словниковими.
Зберегти у бекап всю необхідну інформацію з комп'ютерів, смартфонів та планшетів, яку небажано втратити. Виконуваних файлів та інших файлів, які могли бути заражені, в бекапі не повинно бути. Зашифрувати бекап. Зробити кілька копій бекапу у територіально рознесені місця.
Зачистити всі флешки, жорсткі диски, скинути стан смартфона до заводського і знову все налаштувати. Якщо планується працювати в майбутньому з дуже важливою інформацією, або сумами, які багаторазово перевищують вартість техніки, то в ідеалі варто змінити і всю апаратну частину, оскільки деякі види троянських програм уміють прописуватись у службові області на жорстких дисках і не видаляються навіть при форматуванні. а також модифікують BIOS на материнських платах.
Загальні рекомендації щодо безпеки
Фішинг. Найчастіше атакують сайти бірж, онлайн-гаманців, популярних обмінників. У лідерах myetherwallet.com, blockchain.com та localbitcoins.com. Найчастіше шахраї реєструють домен, схожий на атакований. Заливають туди нешкідливий сайт чи форум. Купують рекламу у пошукових системах на нього. Як тільки рекламні оголошення проходять модерацію, сайт підміняється на клон сайту, що атакується. Справжній при цьому нерідко починають DDoS'ити. Користувач не може потрапити на сайт, вводить в пошуковику його назву, кликає по першій сходинці у видачі, не подивившись, що це реклама, і опиняється на сайті шахраїв, який виглядає справжнім. Далі він вводить свої логіни та паролі, і гроші з його облікового запису витікають зловмисникам. Найчастіше не допомагає навіть двофакторна автентифікація, пін-коди тощо. Користувач сам це все запровадить. Скажімо, за логіни введе код, система скаже, що код не вірний, введіть ще раз. Він запровадить другий код. Насправді ж перший код використовувався для входу, а другий для підтвердження виведення коштів.
Інший приклад – відкладені атаки. Коли ви відкриваєте надісланий вам сайт, який виглядає як безпечний і залишаєте вкладку відкритою. Через деякий час за відсутності дій на сторінці її вміст підміняється на фішинговий сайт, який просить авторизуватися. До вже відкритих вкладок користувачі зазвичай ставляться з більшою довірою, ніж відкриваються, і можуть не перевіривши ввести свої дані.
Також у деяких випадках можуть бути атаки фішинга у спеціально підготовлених публічних мережах. Підключилися ви до публічної Wi-Fi мережі, а в неї DNS віддає не ті адреси на запити доменів, або весь незашифрований трафік збирається і аналізується на предмет важливих даних.
Щоб не траплятися на подібне, не відключайте пильність, використовуйте додаткові перевірки та безпечніший канал, про них нижче.
Додаткові перевірки. Для найбільш відвідуваних та важливих сайтів на безпечному комп'ютері засікайте кілька непрямих параметрів. Наприклад, видавця сертифіката та дату його закінчення. Значення лічильника Alexa або зразкового трафіку Similarweb. Можете додати параметри. І при заході на сайти відстежуйте їх. Скажімо, якщо раптом змінився сертифікат задовго до закінчення старого – це привід насторожитися і додатково перевірити сайт. Або, наприклад, якщо раніше bitfinex.com показував по Alexa лічильнику близько 7 тис. очок, а зараз раптом показує 8 млн. - то це очевидна ознака, що ви на шахрайському сайті. Те саме з показниками Similarweb, що використовується CDN, реєстратором доменного імені, хостером і т.п.
Паролі. Не використовуйте слабкі паролі. Найважливіші паролі краще запам'ятовувати, ніде не записуючи. Однак з урахуванням, що на всі сервіси та гаманці краще ставити різні паролі, частину з них доведеться зберігати. Ніколи не зберігайте їх у відкритому вигляді. Використання спеціалізованих програм "ключниць" набагато краще текстового файлика. Там хоча б точно в зашифрованому вигляді вони зберігаються плюс автоматично стираються дані з буфера обміну після використання. Найкраще використовувати оффлайн рішення з відкритим вихідним кодом.
Заведіть для себе якісь правила безпеки, наприклад, навіть до записаних паролів на початку додавати три випадкові символи. Після копіювання та вставки куди треба пароля, ці символи видаляти. Чи не ділитеся способами зберігання паролів, придумайте свої власні. У такому разі навіть при компрометації ключниці є шанс, що зловмисник не зможе ними скористатися.
Безпечний канал. Щоб безпечніше працювати з громадських мереж, має сенс створити власний VPN сервер. Для цього можна купити віртуалку в одному з хостерів за кордоном, локацію можете вибрати на власний розсуд. Середня вартість віртуалки $3 - $7 на місяць, це цілком підйомні гроші за більш безпечний доступ до мережі. Встановлюєте на сервері свій VPN сервер і весь трафік з мобільних пристроїв і комп'ютерів пускаєте через нього. До VPN сервера весь трафік додатково шифрується, тому вам не зможуть отруїти DNS, або отримати додаткові дані з вашого трафіку, встановивши на його шляху сніфер.
Windows/Linux/Mac OS? Найкраща операційна система та, яку ви зможете найбільш професійно налаштувати та безпечно в ній працювати. Краще добре налаштована Windows, ніж погано налаштований Linux. Проблеми безпеки знаходять у всіх операційних системах і потрібно вчасно їх латати. Однак під Windows пишеться найбільша кількість шкідливого софту, найчастіше користувачі сидять із правами адміністратора і при промацуванні системи в першу чергу шахраї намагаються використовувати експлоїти під Windows. Тому за інших рівних варто вибрати менш поширену і більш орієнтовану на безпеку операційну систему, наприклад, один із дистрибутивів Linux.
Права користувача. Давайте користувачеві стільки прав, скільки потрібно для виконання завдань. Не сидіть під користувачем із адміністративними повноваженнями. Більш того, можна за допомогою обмежених прав користувача додатково убезпечити гаманець. Наприклад, завести два облікові записи, перший має доступ до гаманця, але під ним не можна залогінитись ні локально, ні по мережі. Другий обліковий запис може бути використаний для входу, але не має доступу до гаманця. Щоб з-під неї працювати з гаманцем, необхідно додатково запускати його за допомогою команди Runas.
Антивірус. Ставити чи ні антивірус? Якщо комп'ютер підключено до мережі, використовується для ще будь-яких завдань, крім зберігання криптовалюти, він має можливість підключати флешки або іншим способом підвантажити шкідливі програми – ми рекомендуємо використовувати антивірус. Якщо комп'ютер спеціально налаштований тільки як гаманець, скрізь закручена безпека на максимум, на комп'ютері немає ніякого стороннього ПЗ і можливості його завантажити - краще обійтися без антивіруса. Є невелика ймовірність, що антивірус відішле в компанію виробника гаманець як підозрілий файл, наприклад, або в антивірусі знайдуть вразливість. Хоч це й дуже малоймовірно, але подібні випадки вже були, зовсім їх виключати не варто.
Якщо ж ви встановили антивірус, тримайте основи актуальними, не видаляйте і не "змахуйте" перевірки на malware, уважно ставтеся до всіх оповіщень і періодично проводите перевірку системи.
Подумайте про доцільність встановлення антивірусу на свої смартфони та планшети.
Пісочниці. Введіть окрему віртуалку для перегляду надісланих файлів. Завжди є ризик отримати документ із 0-day експлоїтом, який ще не виявляється антивірусом. Віртуальні машини мають такий плюс, як досить швидка робота зі снепшотами. Тобто виробите зліпок системи, запускаєте на ній сумнівні файли і після закінчення робіт повертаєте стан віртуалки на момент, коли ви підозрілі файли ще не відкривали. Це необхідно як мінімум для подальшої безпечної роботи з іншими даними.
Звіряйте адреси. При пересиланні даних для оплати на безпечний комп'ютер безпосередньо перед відправкою додатково перевіряйте візуально адресу та суму. Деякі троянські програми підміняють у буфері обміну адреси криптовалютних гаманців на свої. Копіюєте один, а вставиться інший.
Оточення. Зверніть увагу, що первинну атаку можуть провести не на вас, а на ваших співробітників або ваших близьких людей. Потрапивши в довірену зону, шкідливим програмам буде простіше дістатися ваших активів.
Спілкування. До будь-яких повідомлень при телефонних розмовах чи листуванні ставтеся так, ніби їх точно читають/прослуховують та записують сторонні люди. Отже, ніяких чутливих даних відкритим текстом.
Краще перебдіти. Якщо є підозра, що якісь гаманці могли бути скомпрометовані, то створіть нові та переведіть усі кошти з тих, що викликають підозри.
Найменше видавайте чутливу для себе інформацію. Якщо на конференції ведучий попросить підняти руки тих, хто має криптовалюту, не варто цього робити, ви ж не знаєте всіх у залі, а поставити на олівець потенційних жертв це перший крок, у якому ви можете допомогти зловмиснику. Або, наприклад, був такий випадок: один власник криптовалюту досить серйозно ставився до безпеки зберігання. Але зловмисники дізналися, що він продає земельну ділянку. Знайшли якийсь, зв'язалися під виглядом покупця. Під час діалогів та обміну документами, зловмисники змогли підкласти троян на комп'ютер жертви та якийсь час стежити за його роботою. Цього вистачило, щоб зрозуміти, як зберігаються кошти і вкрасти їх. Під час продажу ділянки пильність у жертви була явно нижчою, ніж при роботі з криптоактивами, це й зіграло на руку зловмисникам.
Висновок
Пам'ятайте, що всі наведені поради щодо безпеки допоможуть від середньостатистичних зловмисників. Якщо вас фізично викрадуть і застосують терморектальний криптоаналіз, ви самі видасте всі адреси і паролі. Також, якщо за вами полюють спецслужби з відповідною підготовкою, може бути вилучення серверів із кріозаморозкою ОЗП для вилучення ключів, а також фізичне захоплення в момент роботи з відкритим каналом до гаманця. А якщо ви дотримуєтеся правил безпеки, не порушуєте закони, або про вас ніхто не знає, то ймовірність зіткнутися з подібними проблемами прагне нуля. Тому правильно вибирайте методи захисту, залежно від рівня ваших ризиків. Не відкладайте потім те, що пов'язане з безпекою, якщо це можна зробити зараз. Потім може бути пізно.
Пожежу легше запобігти, ніж її загасити.