没有适用于所有情况的通用解决方案,但我们会尽力提供几乎始终适用的提示。应根据您的需求和风险来规划架构的具体实施。这篇文章可以作为验证的清单。
关于组织加密货币和代币存储的建议
不要把所有鸡蛋放在同一个篮子里!分割您的资金,并将近期不打算使用的资金存放在冷钱包中。如果需要的话,可以有多个冷钱包。例如,部分资金将存储在硬件钱包中,部分存储在多重签名钱包中,部分以私钥的形式存储在具有强密码的加密容器中。如果真的有危险,你甚至可以通过1或2。
单独的计算机用于加密。如果您使用加密资产,其成本比其存储设施的成本高出几倍,那么请分配不会用于其他任何用途的单独计算机。最好在另一台计算机上上网、玩游戏和编辑发送的文档。
没什么额外的。钱包电脑不应该安装任何第三方软件,更不用说被 C001_][aker's 破解的 Windows。仅来自制造商的经过验证的发行版。
容错性。容错方面最大的麻烦是硬盘驱动器故障。计算机中的其余部件通常会很快更换,并且不会产生任何特殊后果。对于硬盘驱动器,使用带有镜像的 RAID 阵列最容易实现系统容错。粗略地说,这是当安装了两块硬盘,并且对它们并行进行写入和读取操作时,系统将它们视为一张磁盘。在这种情况下,价格的上涨将体现在一个硬盘上;RAID 控制器甚至可以内置于主板中。两个硬盘同时发生故障的可能性非常小,如果其中任何一个发生故障,您可以插入一个新硬盘并继续工作。某些 RAID 控制器甚至可以即时执行此操作,而无需关闭系统。
备份。您必须做好准备,容错能力最强的系统可能会变得不可用。火灾、小偷、特殊服务,或者只是一只猫在电源里撒尿,所有的主板和硬盘都会烧坏,这都没关系。这可能会发生。您必须拥有所有钱包的最新备份。此外,它们必须被加密并同时发送到多个地方。到云端、到邮件、保险箱中的闪存驱动器、智能手机中的存档等。选择几个选项,最好提出自己的选项,然后使用它们。创建备份计划并坚持执行。定期下载其中一份备份并检查其中信息的可用性,确保没有任何内容被破坏,您记住所有密码并能够从备份中提取信息。
加密和密码。接受这样一个事实:您的计算机、电话、闪存驱动器或对邮箱和其他服务的访问可能最终落入犯罪分子手中。同时,有必要防止攻击者访问钱包。如果您的所有设备都经过安全加密,并且密码与 Qwerty123 不相似,那么至少您将获得将资产转移到其他钱包的时间,而最多,获取设备和访问权限对于攻击者来说是毫无用处的。因此,请最大限度地使用加密,包括系统分区、智能手机、存档和备份。设置用于加载和解锁智能手机的密码。计算机上不应存在没有强密码的帐户。在 Web 服务上,尽可能使用双因素身份验证。为所有服务和设备设置不同的强密码。建议每隔一段时间就更换新的。
更新。特别注意软件更新。通常,攻击者会利用更新算法中的错误或将恶意软件的下载伪装为更新。某些加密货币钱包已经发生过这种情况,例如 Electrum,当显示需要更新的消息时,就会下载木马。一种更简单的方法是在网页上的浏览器中显示一个窗口,据称会要求您更新浏览器。有时,这会打开一个新的弹出窗口,并尝试尽可能复制真实更新窗口的界面详细信息。显然,如果得到用户的同意,就会向他下载木马。因此,仅来自官方网站的更新,建议进一步检查。
不要让事情无人看管。每个人都了解有关闪存驱动器或无密码智能手机的一切。但在某些情况下,即使是笔记本电脑也可以通过将类似于闪存驱动器的设备插入 USB 端口来被黑客攻击。但实际上,它将是一个硬件 HID 键盘模拟器和一组漏洞利用程序。因此,在 Windows 环境中,设置完所有设备后,建议通过激活“禁止安装其他策略设置未描述的设备”策略来阻止自动安装驱动程序和设备。
如果已经检测到黑客攻击该怎么办?
断开受攻击计算机的网络连接,检查哪些计算机被盗,哪些未被盗。
将剩余的加密货币和代币转移到其他钱包,并在必要时在干净的计算机上创建它们。为了加快这一过程,您可以在最著名的网络钱包中创建临时地址。
跟踪硬币的去向,也许这些是交易所或在线钱包等服务。在这种情况下,请紧急写信给他们的支持人员,告知该事件的地址、交易哈希值和其他详细信息。如果可能的话,在寄出信件后,打电话并用声音提醒人们情况的紧急性。
从干净的计算机上更改所有密码,即使是那些与钱包没有直接关系的密码。受感染的计算机很可能有一个键盘记录器,可以收集所有输入的信息。密码必须至少经过两次清理——临时密码和新的永久密码。密码必须强大:足够长且不是字典。
备份计算机、智能手机和平板电脑上您不想丢失的所有必要信息。可执行文件和其他可能被感染的文件不应包含在备份中。加密备份。制作多个备份副本到地理位置分散的位置。
清除所有闪存驱动器和硬盘驱动器,将智能手机重置为出厂默认设置并重新配置所有内容。如果您计划将来处理非常重要的信息,或者数量比设备成本大很多倍,那么理想情况下值得更换整个硬件,因为某些类型的特洛伊木马程序可以在硬盘即使格式化也不会被删除,并且还可以修改主板上的BIOS。
一般安全建议
网络钓鱼。最常见的是,交易所、在线钱包和流行交易所的网站受到攻击。领先者是 myetherwallet.com、blockchain.com 和 localbitcoins.com。大多数情况下,诈骗者会注册与被攻击的域名类似的域名。他们在那里上传无害的网站或论坛。他们为此在搜索引擎中购买广告。一旦广告通过审核,该网站就会被受攻击网站的克隆所取代。与此同时,人们发起 DDoSing 的情况并不少见。用户无法访问该网站,在搜索引擎中输入其名称,单击搜索结果中的第一行,却没有注意到它是广告,最终进入了一个看起来像真实网站的诈骗网站。接下来,他输入登录名和密码,他帐户中的资金就会泄露给攻击者。通常,即使是双因素身份验证、PIN 码等也无济于事。用户将自己输入所有这些。比方说,当您登录时,输入一个代码,系统会说该代码不正确,请重新输入。他将输入第二个代码。但事实上,第一个代码用于登录,第二个代码用于确认提款。
另一个例子是延迟攻击。当您打开发送给您的看似安全的网站并将选项卡保持打开状态时。一段时间后,如果页面上没有任何操作,其内容将被替换为要求您登录的网络钓鱼站点。用户通常比以前打开的选项卡更有信心地对待以前打开的选项卡,并且可能会在不检查的情况下输入数据。
此外,在某些情况下,专门准备的公共网络可能会遭受网络钓鱼攻击。您已连接到公共 Wi-Fi 网络,但其 DNS 为域请求提供了错误的地址,或者收集并分析了所有未加密的流量以获取重要数据。
为了避免陷入这种情况,请不要放松警惕,使用额外的检查和更安全的渠道,更多内容如下。
额外检查。对于安全计算机上访问量最大且重要的站点,检测几个间接参数。例如,证书的颁发者及其到期日期。 Alexa 计数器值或由 Sametimeweb 估计的流量。您可以添加自己的参数。当您访问网站时,请跟踪它们。例如,如果证书在旧证书过期之前很久突然发生更改,则需要保持警惕并另外检查站点。或者,例如,如果 bitfinex.com 过去在 Alexa 计数器上显示大约 7000 个点,但现在突然显示 800 万个点,那么这就是一个明显的迹象,表明您处于欺诈网站。与 CDN、域名注册商、托管服务商等使用的 Sametime 指标相同。
密码。不要使用弱密码。最好记住最重要的密码,而不是把它们写在任何地方。然而,考虑到最好为所有服务和钱包设置不同的密码,其中一些密码必须被存储。切勿将它们打开存放。使用专门的“密钥持有者”程序比使用文本文件要好得多。它们至少以加密形式存储在那里,而且数据在使用后会自动从剪贴板中删除。最好使用离线开源解决方案。
为自己创建一些安全规则,例如,甚至在开头添加三个随机字符来写下密码。复制并粘贴到需要密码的位置后,删除这些字符。不要共享密码存储方法,想出自己的密码存储方法。在这种情况下,即使密钥持有者被泄露,攻击者也有可能无法使用它。
安全通道。为了在公共网络上更安全地工作,创建自己的 VPN 服务器是有意义的。为此,您可以从国外的托管商处购买虚拟机;您可以自行选择位置。虚拟机的平均成本为每月 3 - 7 美元,对于稍微安全一点的网络访问来说,这是相当合理的费用。您在服务器上安装自己的 VPN 服务器,并允许来自移动设备和计算机的所有流量通过它。在 VPN 服务器之前,所有流量都经过额外加密,因此它们无法毒害您的 DNS,也无法通过沿其路径安装嗅探器从您的流量中获取其他数据。
Windows/Linux/Mac 操作系统?最好的操作系统是您可以最专业地配置并安全工作的操作系统。配置良好的 Windows 比配置不当的 Linux 更好。所有操作系统都会发现安全问题,需要及时修补。然而,最大数量的恶意软件是在Windows下编写的;大多数情况下,用户拥有管理员权限,并且在探测系统时,诈骗者首先尝试使用Windows下的漏洞。因此,在其他条件相同的情况下,值得选择一种不太常见且更注重安全的操作系统,例如 Linux 发行版之一。
用户权利。为用户提供执行任务所需的完全相同的权限。不要坐在具有管理权限的用户之下。此外,您可以使用有限的用户权限进一步保护您的钱包。例如,创建两个帐户,第一个帐户可以访问钱包,但您无法在本地或通过网络登录。第二个账户可以用来登录,但无权访问钱包。要从其下方使用钱包,您还必须使用 Runas 命令启动它。
防病毒。我是否应该安装防病毒软件?如果计算机连接到网络并用于存储加密货币以外的任何其他任务,则它能够连接闪存驱动器或以其他方式加载恶意软件 - 我们建议使用防病毒软件。如果计算机被专门配置为仅作为钱包,到处都将安全性加强到最大,计算机上没有无关的软件并且无法加载它,那么最好不安装防病毒软件。例如,防病毒软件将钱包作为可疑文件发送给制造商的公司的可能性很小,或者防病毒软件本身存在漏洞。虽然这种可能性很小,但类似的情况已经发生过,不应该完全排除。
如果您安装了防病毒软件,请保持数据库最新,不要删除或“清除”恶意软件检查,注意所有警报并定期进行完整的系统扫描。
考虑在智能手机和平板电脑上安装防病毒软件的建议。
沙箱。创建一个单独的虚拟机来查看发送的文件。始终存在收到防病毒软件尚未检测到的带有 0day 漏洞的文档的风险。虚拟机的优点是可以相当快速地处理快照。也就是说,您制作系统的副本,在其上运行可疑文件,完成工作后,将虚拟机的状态返回到您尚未打开可疑文件时的状态。这对于后续处理其他数据的安全工作至少是必要的。
检查地址。将付款数据发送到安全计算机时,在发送之前,另外目视检查地址和金额。一些木马程序会用自己的地址替换剪贴板中的加密货币钱包地址。您复制一个,另一个将被粘贴。
环境。请注意,主要的攻击可能不是针对您,而是针对您的员工或您的亲人。一旦进入受信任区域,恶意软件就更容易攻击您的资产。
沟通。将电话交谈或通信期间的任何消息视为确实由第三方阅读/收听和记录。因此,没有明文形式的敏感数据。
最好还是安全一点。如果您怀疑某些钱包可能已被盗用,请创建新钱包并转移可疑钱包中的所有资金。
少透露敏感信息。如果在会议上,演讲者要求那些拥有加密货币的人举手,你不应该这样做,你不认识房间里的每个人,而将潜在的受害者放在铅笔上是你可以帮助他们的第一步。攻击者。或者举个例子,有这样一个案例:一位加密货币拥有者非常重视存储安全。但袭击者发现他正在出售一块土地。我们找到了一位并以买家的名义联系了他。在对话和交换文件的过程中,攻击者能够在受害者的计算机上植入木马并监视其运行一段时间。这足以了解资金是如何存储和窃取的。在出售一块土地时,受害者的警惕性明显低于处理加密资产时,这对攻击者来说是有利的。
结论
请记住,上面给出的所有安全提示均适用于普通攻击者。如果你被绑架并使用热直肠密码分析,你自己就会泄露所有地址和密码。此外,如果经过适当培训的特殊服务正在追捕您,则可能会通过冷冻 RAM 来扣押服务器以扣押密钥,以及在使用钱包的开放通道时进行物理扣押。而如果你遵守安全规则,不违法,或者没有人知道你,那么遇到此类问题的可能性趋于零。因此,请根据您的风险程度选择合适的保护方法。如果您现在可以解决与安全相关的问题,请不要推迟到以后再解决。那么可能就太晚了。
预防火灾比扑灭火灾更容易。