Хотите всегда оставаться в курсе событий? Подписывайтесь на @cryptochan и получайте новости в нашем Telegram канале.
×
7 советов по защите криптовалюты
В швейцарском городе Аттингхаузен, в бывшем военном бункере, на глубине 300 метров находится так называемая “холодная комната”, выложенная плитами из стали. Внутри сверхзащищенного помещения расположено аппаратное оборудование с секретными ключами крупных криптовалютных владельцев, которые хотят спокойствия и желают, чтобы их валюту никто не украл. Подобные меры безопасности могут показаться излишними, однако в криптовалютной сфере существует достаточно векторов атаки: мошенничество, вымогательство, взломы и многое другое. Еще одним примером являются фейковые аккаунты. Обращаете ли вы внимание на никнеймы в социальных сетях? Иногда можно не заметить “l” в @etlhereumJoseph. Большинство пользователей хранят значительную часть криптовалютных активов в онлайн-кошельках на централизованных биржах, которые за эти годы становились жертвами взломов. Все слышали о печально известной Mt. Gox. В 2014 году злоумышленникам удалось вывести около 740 000 BTC. Кроме того, недавно хакеры взломали криптобиржу Bitfinex и похитили почти 120 000 BTC. Не стоит забывать и о таких угрозах, как пожары и забывчивость. Так, один человек случайно выбросил биткоины стоимостью 9 миллионов долларов. Иногда векторы атаки могут быть невзрачными и даже “пушистыми”. Я поймал выбегавшего из моего офиса кота, в зубах у которого был мой ключ yubikey. О такой угрозе я и не мог подумать до этого. — написал в Twitter Марк Бернетт Проблема заключается в том, что оставленные без присмотра цифровые валюты могут вообще исчезнуть – иногда в другой стране, вне досягаемости закона, а иногда в криптографических черных дырах. В 2011 году из-за ошибки в сценарии с Mt. Gox исчезло 2 609 BTC. Блокчейн отличается тем, что вы можете сами себе быть банком. Однако это пугает тех, кто привык разрешать центральным институтам распоряжаться своей жизнью. Теперь пришло время для самообразования. Основатель BoardRoom (теперь GovernX) Ник Додсон недавно опубликовал “Профессиональные советы по управлению кошельком Ethereum” на GitBook. По мнению Додсона, многих можно отнести к Сноуден-классу – это те, кто заклеивает скотчем веб-камеру, накрывает одеялом экран монитора и так далее. Автор книги призывает не пугаться и не идти на радикальные и необычные меры безопасности, а просто следовать тем советам, которые будут представлены ниже. Предупреждение: советы могут вызвать тревогу относительно того, что описанные меры безопасности и инструменты будут использовать мошенники в корыстных целях. Поэтому всегда оставайтесь начеку. Но и не унывайте. Блокчейн заставляет думать о самосохранении, но в то же время предоставляет выбор. Будьте бдительны – и вы преуспеете. — отметил Додсон Итак, чтобы обезопасить криптовалюту, необходимо: 1. Знать векторы атаки Врага нужно знать в лицо. Следите за пресловутыми “посредниками” – теми, кто пытается вклиниться между вами и пунктом назначения. Для получения ваших данных используются spoof-сайты и вредоносные порталы. Проверяйте URL-адреса по несколько раз. Лучшим решением будет добавить криптовалютные сайты в закладки и заходить только через них (MetaMask также будет блокировать клонов MyEtherWallet). Проверяйте скачиваемые программы. Нет необходимости использовать копию операционной системы Tails, если она заражена шпионским ПО. Атака посредника может быть и буквальной. Так, один человек потерял все свои сбережения из-за перекупщика на Ebay, который вынул ключ восстановления из аппаратного кошелька и переупаковал его. Поэтому покупайте аппаратные кошельки напрямую у производителя. Однако важно думать на два шага вперед. Возможно, адрес сайта правильный. Но как вы можете быть уверенным в том, что никто не взломал ваш Wi-Fi, не подменил DNS и не перенаправил на другой IP-адрес? Компьютерную безопасность можно сравнить с шахматами – всегда допускайте, что ваш оппонент умнее вас. 2. Создавать надежные пароли Пароли не должны содержать домашних адресов, дат рождения, названий улиц, текстов песен или девичьей фамилии вашей матери. Даже если вы будете нажимать случайные клавиши, этого будет недостаточно. Взломщики паролей способны перебирать 350 млрд вариантов в секунду. Для создания паролей необходимо использовать генераторы случайных кодовых фраз. Также можно приобрести аппаратный кошелек, который будет генерировать мощные ключи и подписи специально для вашего запроса. Несколько паролей лучше, чем один. Кошельки с мультиподписями, такие как Gnosis, требуют несколько ключей для подтверждения транзакции. Используйте двухфакторную аутентификацию для всего: электронной почты, биржи, обменника. Постоянный обратный отсчет может быть раздражающим, но двухфакторная аутентификация на основе приложений намного безопаснее, чем SMS. 3. Использовать холодное хранение Не обязательно ехать в Швейцарию и спускаться на 300 метров под землю. Однако стоит держать большую часть ваших криптоактивов на “холодном” хранении. В онлайн-кошельках и на биржах должна храниться та сумма, которую вы готовы потерять в случае кражи. Для защиты этих кошельков можно завести компьютер или ноутбук без сетевой карты (OC Tails не требует подключения к сети) либо купить аппаратный кошелек. При генерации ключевой фразы включите аппаратный кошелек в розетку, чтобы он оставался максимально холодным. Подсказка для параноиков: накройте камеру и микрофон ноутбука и уберите из помещения все электрические приборы. 4. Все проверять Прежде чем начать работать в определенной сети, проведите небольшие транзакции или поэкспериментируйте с небольшим количеством средств в тестовой версии. Никогда не вводите адреса вручную (из-за опечаток навсегда были потеряны более 12 000 ETH). Применяйте всем знакомую технику “скопировать – вставить”, используйте Ethereum Name Service или сканируйте QR-код. Удостоверьтесь в надежности вашего приложения для сканирования (см. правило 1: Знайте векторы атаки). Дважды проверьте идентификатор вашего целевого адреса. Перед отправкой криптовалюты на свой кошелек еще раз убедитесь в правильности seed-фразы. Если вы создаете отключенный от сети компьютер, запишите и перепроверьте контрольную сумму MD5 до и после загрузки данных на SD-карту. Ради любви к Ethereum проверьте все несколько раз. — призывает Додсон 5. Хранить ключевые фразы на разных устройствах и в разных местах Стандартная ключевая фраза BIP39 представляет собой набор из 24 слов, из которых вы можете получить приватный ключ. Относитесь к этому ключу с осторожностью. Если вы записываете его на бумаге, подумайте о создании двух копий и их хранении в разных местах. Альтернативный вариант хранения – SD-карты. Однако они не всегда работают дольше 5 лет и легко могут быть уничтожены с помощью электромагнитного импульса. Наиболее подходящим вариантом будет использование как классических, так и цифровых накопителей данных. Внимательно записывайте свои шаги по хранению, чтобы вы или ваши наследники смогли восстановить ключ. 6. Придерживаться правдоподобного отрицания В криптовалютной отрасли правдоподобное отрицание означает способность скрывать свои данные. Полезная инструкция по публичному разглашению: не рассказывайте о своих активах и особенно не сообщайте всему миру через социальные сети о том, на каких биржах вы храните свою цифровую валюту. Еще раз перечитайте правило №3: Используйте холодное хранение. Вы также можете минимизировать риск, распределив активы по нескольким кошелькам. 7. Поднять уровень защиты. Помочь экосистеме. В конце своей книги Додсон рекомендует 4 разных уровня настройки кошелька. Четвертый уровень идеально подходит для самых скрупулезных пользователей. Какую сложность вы выберете – решать вам. Помните, что выбор безопасности криптовалюты влияет не только на вас, но и на всю криптовалютную экосистему. Если вы не используете двухфакторную аутентификацию, и кто-то получит доступ к вашей электронной почте, которую вы по случайности не закрыли на компьютере, то мошенник похитит не только ваши монеты, но и нанесет урон всей криптоотрасли. Поэтому поэкспериментируйте с аппаратными кошельками, Tails и мультиподписями. Пробудите в себе Сноудена. Учитесь, обучая других. Помогите сообществу выявить поддельные сайты и фейковые аккаунты. “Профессиональные советы” Додсона – подарок экосистеме, который необходимо использовать с пользой. Источник: Medium
Похожие новости
- 28 Май, 14:31
В Firefox 63 появится защита от браузерных майнеров криптовалюты
Разработчики Mozilla Firefox намерены расширить в версии браузера Firefox 63 функционал безопасности, в том числе добавить защиту от скриптов для майнинга криптовалюты на web-страницах. Команда Mozilla планирует расширить возможности системы блокиров...