Поради OPSEC для забезпечення криптобезпеки

30 Квітня, 2023

Джерело: AdobeStock / weerasak

Рон Стоунер є керівником служби безпеки в американському спеціалісті з криптозахисту Casa.
__________

Оперативний безпекиабо OPSEC, — це процес управління ризиками шляхом визначення того, яку інформацію ви намагаєтесь захистити, що потрібно для досягнення цієї мети, а потім виконання необхідних практичних кроків.

Філософія, що лежить в основі OPSEC, головним чином зосереджена на тому, щоб думати як ваш зловмисник, розуміти, ким може бути цей зловмисник і які кроки він може зробити, щоб використовувати вас.

Виконання якісної OPSEC особливо важливо для пристроїв для підпису ключів криптовалюти, таких як апаратне забезпечення гаманці. Апаратні гаманці вважаються «холодними гаманцями», оскільки вони не мають прямих функціональних можливостей в Інтернеті та повинні бути підключені до іншого пристрою, наприклад смартфону або ПК, щоб підключитися до Інтернету та виконати транзакцію.

Ці апаратні пристрої та міст, через який вони з’єднуються, є найважливішими точками збоїв під час виконання операцій із криптовалютою.

З 2022 року найгірший рік в історії для хакерів криптовалюти, коли вкрадено 3,8 мільярда доларів, OPSEC ніколи не був настільки критичним. Оскільки простір цифрових активів стає все більш масовим, зловмисники шукають нові способи використання користувачів і платформ.

Хоча ставки та профіль ризику для кожної організації, яка використовує цифрові активи, відрізнятимуться, усі користувачі повинні дотримуватися найкращих практик для захисту своєї вартості.

Захист середовища підписання

Перш ніж підписувати транзакції, подивіться на своє середовище, щоб визначити що завгодно які можуть служити вектором атаки.

Якщо припустити, що ви перебуваєте в приватному місці, наприклад у вашому домі, це включає такі речі, як камери чи мікрофони, які є майже на всіх сучасних ноутбуках і мобільних пристроях.

Не забувайте про різні продукти Інтернету речей (IoT), такі як смарт-телевізори, Alexa тощо. Будь-який із них потенційно можна використовувати для шпигувати за вами під час виконання транзакції.

Таким чином, дуже важливо «очистити» свій робочий простір від усього, до чого потенційно можна втручатися, — вимкнути або навіть повністю видалити ці пристрої із зони роботи.

Хоча це може виглядати трохи параноїчно, якщо на кону великі, критичні суми грошей, це один із важливих аспектів захисту від зловмисників.

Підписувати трансакції з будь-якого публічного місця, наприклад офісу, бібліотеки чи кафе, зазвичай не рекомендується, але іноді у вас може не бути іншого виходу. Якщо це так, можна зробити кілька кроків, щоб максимізувати безпеку.

Знову ж таки, ви захочете врахувати будь-які камери безпеки в цьому районі. У наші дні системи відеоспостереження, особливо камери з роздільною здатністю HD і 4K, можуть легко читати те, що відображається на екрані комп’ютера чи мобільного телефону в полі зору.

Звичайно — і, сподіваюся, це само собою зрозуміло — поруч не повинно бути інших людей. Найкраще знайти максимально відокремлене місце, наприклад, порожню робочу кімнату.

Оновіть усі задіяні пристрої

Можливо, найголовніше, що ви захочете оновити все програмне забезпечення та мікропрограми на будь-яких пристроях, які беруть участь у процесі підписання.

Якщо ви не використовуєте комп’ютер або мобільний пристрій напряму, тоді ваш апаратний гаманець повинен буде підключитися до нього, щоб передати транзакцію.

Теоретично апаратні гаманці розроблені таким чином, що не повинно мати значення, якщо пристрій, до якого вони підключаються, скомпрометовано. Усі процеси відбуваються на самому гаманці; ПК або смартфони використовуються лише для трансляції транзакції.

Однак деякі форми зловмисного програмного забезпечення можуть змінити різні аспекти транзакції, зокрема суму й адресу одержувача. Навіть адресою зміни — адресою, куди надходять зміни від транзакції після того, як вибрану суму було надіслано одержувачу — можна маніпулювати, це поле легко не помітити.

Якщо ви користуєтеся телефоном або комп’ютером, вам слід оновити операційну систему за допомогою останнього патча безпеки. Мікропрограму вашого гаманця також слід оновити відповідно до нормативних вимог.

Хоча, якщо оновлення не стосується конкретної термінової загрози безпеці, часто краще зачекати кілька днів після нового випуску, щоб оновити. Це пов’язано з тим, що в останніх виправленнях зазвичай є помилки, які, як правило, швидко вирішуються, але можуть викликати головний біль. З цієї причини доцільно надати некритичним оновленням трохи місця для тестування.

І останнє, про що слід пам’ятати, — це постійно оновлювати все програмне забезпечення та мікропрограми лише з офіційних джерел, як-от веб-сайт або репозиторій.

Спробуйте навчитися користуватися такими інструментами, як GPG щоб перевірити підписи файлів із офіційно задокументованими, щоб підтвердити, що всі дані збігаються з тим, що там має бути.

Ніколи не довіряйте будь-яким посиланням, навіть тим, що надходять із самого певного програмного забезпечення, оскільки їх можна використати як засіб атаки надто багато.

Як приклад, попул Bitcoin гаманець Електрум постраждав напад у 2020 році, що дозволило зловмисникам надсилати повідомлення всім користувачам через саму програму, заявляючи про необхідність оновлення з наданим посиланням.

Як виявилося, посиланням була фішингова атака, яка встановила пошкоджену версію Electrum на машині жертви. Це дало зловмисникам повний контроль над гаманцями тих, хто встановив шкідливе програмне забезпечення, що призвело до втрати мільйонів доларів коштів користувачів.

Процедури OPSEC, які легко не помітити

Одним із найбільш очевидних напрямків атаки, який потрібно вирішити, є людська помилка. Навіть якщо ви думаєте, що у вас хороша безпека, люди схильні розвивати хибне відчуття безпеки, коли нічого не йде не так, що призводить до недбалості.

Найстрашніші невдачі трапляються, коли ви розслабляєтеся. Ніколи не поспішайте з підписанням; переконайтеся, що у вас є багато часу безперервно.

Поспішаючи або відволікаючись, можна не помітити подвійну перевірку даних транзакції перед підтвердженням підпису.

Хоча ми згадали кілька ліній захисту, останню ніколи не слід сприймати як належне. Двічі чи тричі перевіряйте суми та адреси, пов’язані з будь-якою транзакцією, оскільки це може вберегти вас від серйозної помилки.

Крім того, будьте дуже обережні з використанням громадських зарядних станцій або навіть невідомих USB-кабелів сторонніх виробників. Існують, здавалося б, нешкідливі кабелі USB циркулюючий з крихітними чіпами всередині голови, які можуть перехоплювати та вводити дані, викрадаючи транзакцію криптовалюти та сіючи хаос.

У поєднанні з деякими проблемами, пов’язаними із сумісністю та зносом пристрою, завжди краще використовувати USB-кабелі, які постачаються з будь-яким зовнішнім пристроєм підпису.

Перевірки справності можуть швидко переконатися у ваших ключах

Нарешті, існує техніка, яку пропонують деякі пристрої підпису, яка може бути неоціненною для підвищення безпеки. Відомий як “перевірка здоров’я”, цей метод забезпечує простий спосіб перевірити, чи доступні ваші ключі для підписання транзакцій.

Якщо ви запустите перевірку працездатності на мобільному телефоні, перевірка спочатку підтвердить, що ваш ключ доступний локально та що пристрій працює правильно. Це також забезпечить безпечне резервне копіювання того самого дійсного ключа в хмарі.

Все це можна автоматизувати простим клацанням, і користувач отримає сповіщення, якщо щось не так.

Ті самі основні дії застосовуються до апаратних гаманців, але зовнішній пристрій потрібно підключити до комп’ютера або мобільного телефону. Також можна перевірити працездатність кількох ключів у гаманцях із кількома підписами.

Важливо: якщо ці ключі зберігаються на різних пристроях, перевірку працездатності слід виконувати на кожному відповідному пристрої.

Незважаючи на те, що світ OPSEC складний і постійно змінюється, безпека середовища, оновлення всіх пристроїв і забезпечення врахування проблем, які легко пропустити, є важливими кроками, щоб випередити зловмисників.

Поєднуючи ці стратегії з регулярними перевірками стану кожні шість місяців, користувачі можуть значно покращити безпеку, яка захищає їхні криптовалютні кошти.

____