💬 Думайте как хакер: советы OPSEC по обеспечению криптобезопасности

Думайте как хакер: советы OPSEC по обеспечению криптобезопасности

Рон Стоунер — руководитель отдела безопасности американской компании Casa, специализирующейся на криптобезопасности.__________

Операционная безопасность, или OPSEC, — это процесс управления рисками путем определения того, какую информацию вы пытаетесь защитить, что требуется для достижения этой цели, а затем предпринимаются необходимые практические шаги.

Философия OPSEC в первую очередь направлена ​​на то, чтобы думать как ваш злоумышленник, понимать, кем может быть этот злоумышленник и какие шаги он может предпринять, чтобы использовать вас.

Хорошее выполнение OPSEC особенно важно для устройств для подписи ключей криптовалюты, таких как аппаратные кошельки. Аппаратные кошельки считаются «холодными кошельками», поскольку они не имеют прямого доступа к Интернету и должны быть подключены к другому устройству, например смартфону или ПК, для подключения к Интернету и выполнения транзакции.

Эти аппаратные устройства и мост, через который они соединяются, являются наиболее важными точками отказа при выполнении криптовалютных транзакций.

Эти аппаратные устройства и мост, через который они соединяются, являются наиболее важными точками отказа при выполнении криптовалютных транзакций.

Поскольку 2022 год стал худшим годом для взломов криптовалюты, когда было украдено 3,8 миллиарда долларов, OPSEC никогда не была более важной. Поскольку пространство цифровых активов становится все более популярным, злоумышленники ищут новые способы использования пользователей и платформ.

Хотя ставки и профиль риска для каждой организации, использующей цифровые активы, будут разными, все пользователи должны следовать передовым методам защиты своей стоимости.

Защита среды подписания

Прежде чем подписывать транзакции, посмотрите на свою среду, чтобы определить все, что может служить вектором атаки.

Предполагая, что вы находитесь в уединенной обстановке, например, дома, это включает в себя такие вещи, как камеры или микрофоны, которые присутствуют почти на всех современных ноутбуках и мобильных устройствах.

Не забывайте о различных продуктах Интернета вещей (IoT), таких как смарт-телевизоры, Alexa и т. д. Любой из них потенциально может использоваться для слежки за вами во время выполнения транзакции.

Таким образом, важно «очистить» ваше рабочее пространство от всего, к чему потенциально можно подключиться, — отключить или даже полностью удалить эти устройства из зоны действия.

Хотя это может показаться немного параноидальным, если на кону большие и критические суммы денег, это один из важных аспектов защиты от злоумышленников.

Хотя это может показаться немного параноидальным, если на кону большие и критические суммы денег, это один из важных аспектов защиты от злоумышленников.

Подписание транзакций из любого публичного места, такого как офис, библиотека или кафе, как правило, не рекомендуется, но иногда у вас может не быть другой альтернативы. В этом случае можно предпринять несколько шагов для обеспечения максимальной безопасности.

Еще раз, вам нужно будет учитывать все камеры видеонаблюдения в этом районе. В наши дни системы видеонаблюдения, особенно камеры с разрешением HD и 4K, могут легко считывать то, что отображается на экране компьютера или мобильного телефона в пределах поля зрения.

Конечно — и, надеюсь, это само собой разумеется — в непосредственной близости не должно быть других людей. Лучше всего найти максимально уединенное место, например, пустую рабочую комнату.

Обновите все задействованные устройства

Возможно, самое главное, вы захотите обновить все программное обеспечение и микропрограммы на любых устройствах, участвующих в процессе подписания.

Если вы не используете компьютер или мобильное устройство напрямую, ваш аппаратный кошелек должен будет подключиться к одному из них для передачи транзакции.

Теоретически аппаратные кошельки спроектированы таким образом, что не должно иметь значения, если устройство, к которому они подключаются, скомпрометировано. Все процессы происходят на самом кошельке; ПК или смартфоны используются только для трансляции транзакции.

Однако некоторые формы вредоносных программ могут изменить различные аспекты транзакции, включая сумму и адрес получателя. Можно манипулировать даже адресом для сдачи — адресом, по которому сдача от транзакции отправляется после того, как выбранная сумма была отправлена ​​получателю, — это поле, которое легко не заметить.

Если вы используете телефон или компьютер, вам нужно обновить операционную систему, установив последний патч безопасности. Прошивка вашего кошелька также должна быть обновлена.

Хотя, если обновление не связано с конкретной серьезной угрозой безопасности, часто лучше подождать несколько дней после выхода нового выпуска для обновления. Это связано с тем, что в последних исправлениях обычно присутствуют ошибки, которые, как правило, быстро устраняются, но могут вызвать головную боль. По этой причине хорошей идеей будет дать немного места для тестирования некритическим обновлениям.

Хотя, если обновление не связано с конкретной серьезной угрозой безопасности, часто лучше подождать несколько дней после выхода нового выпуска для обновления. Это связано с тем, что в последних исправлениях обычно присутствуют ошибки, которые, как правило, быстро устраняются, но могут вызвать головную боль. По этой причине хорошей идеей будет дать немного места для тестирования некритическим обновлениям.

И последнее, о чем следует помнить, — постоянно обновлять все программное обеспечение и прошивки только из официальных источников, таких как веб-сайт или репозиторий.

Попробуйте научиться использовать такие инструменты, как GPG, чтобы сверять подписи файлов с официально задокументированными, чтобы убедиться, что все данные соответствуют тому, что там должно быть.

Никогда не доверяйте никаким ссылкам, даже тем, которые исходят из самого данного программного обеспечения, поскольку существует слишком много способов их использования в качестве средства атаки.

Например, популярный биткойн-кошелек Electrum подвергся атаке в 2020 году, которая позволила злоумышленникам отправить сообщение всем пользователям через само приложение, заявив о необходимости обновления с предоставленной ссылкой.

Как оказалось, ссылка была фишинговой атакой, которая устанавливала поврежденную версию Electrum на машину жертвы. Это дало злоумышленникам полный контроль над кошельками тех, кто установил вредоносное ПО, что привело к потере миллионов долларов пользовательских средств.

Процедуры OPSEC, которые легко упустить из виду

Один из наиболее очевидных векторов атак, который необходимо устранить, — человеческий фактор. Даже если вы думаете, что у вас хорошая безопасность, люди склонны развивать ложное чувство безопасности, когда ничего не происходит, что приводит к небрежным действиям.

Худшие неудачи случаются, когда вы теряете бдительность. Никогда не торопитесь с подписанием; убедитесь, что у вас достаточно свободного времени.

Спешка или отвлечение — отличный способ упустить из виду что-то вроде перепроверки данных транзакции перед подтверждением подписи.

Хотя мы упомянули несколько линий защиты, последние никогда не следует принимать как должное. Дважды и трижды проверяйте суммы и адреса, связанные с любой транзакцией, потому что это может уберечь вас от серьезной ошибки.

Хотя мы упомянули несколько линий защиты, последние никогда не следует принимать как должное. Дважды и трижды проверяйте суммы и адреса, связанные с любой транзакцией, потому что это может уберечь вас от серьезной ошибки.

Кроме того, будьте крайне осторожны с использованием общедоступных зарядных станций или даже неизвестных сторонних USB-кабелей. Есть, казалось бы, безобидные USB-кабели с крошечными чипами внутри головы, которые могут перехватывать и вводить данные — перехватывать транзакцию криптовалюты и сеять хаос.

В сочетании с некоторыми проблемами, связанными с совместимостью и износом устройства, всегда лучше использовать USB-кабели, которые поставляются в комплекте с любым внешним устройством для подписи.

Проверки работоспособности могут обеспечить быструю уверенность в ваших ключах

Наконец, некоторые устройства для подписи предлагают технику, которая может оказаться бесценной для повышения безопасности. Этот метод, известный как «проверка работоспособности», предоставляет простой способ убедиться, что ваши ключи доступны для подписания транзакций.

Если вы запустите проверку работоспособности на мобильном телефоне, проверка сначала подтвердит, что ваш ключ доступен локально и что устройство работает правильно. Это также обеспечит безопасное резервное копирование того же действительного ключа в облаке.

Все это можно автоматизировать простым щелчком мыши, и пользователь будет предупрежден, если что-то пойдет не так.

Все это можно автоматизировать простым щелчком мыши, и пользователь будет предупрежден, если что-то пойдет не так.

Те же основные шаги применяются для аппаратных кошельков, но внешнее устройство должно быть подключено к компьютеру или мобильному телефону. Проверка работоспособности может выполняться для нескольких ключей в кошельках с мультиподписью.

Важно отметить, что если эти ключи хранятся на разных устройствах, проверка работоспособности должна выполняться на каждом соответствующем устройстве.

Хотя мир OPSEC сложен и постоянно меняется, защита среды, обновление всех устройств и обеспечение учета проблем, которые легко упустить из виду, являются важными шагами, чтобы опередить злоумышленников.

Сочетая эти стратегии с регулярными проверками работоспособности каждые шесть месяцев, пользователи могут значительно улучшить безопасность своих криптовалютных средств.