Koshh
New member
Нет универсального решения на все случаи жизни, но мы постараемся дать советы, которые применимы практически всегда. Конкретную же реализацию архитектуры стоит планировать исходя из ваших потребностей и рисков. Эту статью можно использовать как чеклист для проверки.
Рекомендации по организации хранения криптовалют и токенов
Не храните все яйца в одной корзине! Разбивайте средства, и те, которые не планируете использовать в ближайшем будущем, храните на холодном кошельке. При необходимости холодных кошельков может быть несколько. Например, часть средств будет на аппаратном кошельке, часть на кошельке с мультиподписью, часть в виде приватного ключа в криптоконтейнере с надежным паролем. В случае реальной опасности можете даже 1 или 2 сдать.
Отдельные компьютеры для крипты. Если вы работаете со криптоактивами, которые по стоимости в разы превышают стоимость средств их хранения, то выделите отдельные компьютеры, которые ни для чего более не будут использоваться. Посерфить веб, поиграть в игрушки и отредактировать присланные документы лучше на другом компьютере.
Ничего лишнего. На компьютерах-кошельках не должно стоять никакого постороннего программного обеспечения, не говоря уже о взломанной винде кряком от C001_][akerа. Только проверенные дистрибутивы от производителя.
Отказоустойчивость. Самая большая неприятность в плане отказоустойчивости является сбой жесткого диска. Остальные детали в компьютере заменяются обычно быстро и без особых последствий. В случае с жесткими дисками отказоустойчивости системы проще всего добиться использованием RAID массивов с зеркалированием. Грубо говоря, это когда ставится два винчестера, и операции записи и чтения идут на них параллельно, а система видит их как один диск. В данном случае удорожание идет на один жесткий диск, рейд контроллер можно использовать даже встроенный в материнскую плату. Вероятность, что выйдут из строя сразу оба жестких дисков крайне мала, а в случае отказа любого одного вы вставляете на его место новый и работаете дальше. Некоторые RAID контроллеры умеют это делать даже на лету, не выключая систему.
Резервное копирование. Вы должны быть готовы к тому, что самая отказоустойчивая система может оказаться недоступной. Пожар, воры, спец.службы, или просто кот написает в блок питания и сгорят все платы и винчестеры, не важно. Такое может случиться. У вас должны быть актуальные резервные копии всех кошельков. При этом они должны быть зашифрованы и отправлены сразу в несколько мест. В облако, на почту, флэшкой в сейфе, архивом в смартфоне и т.п. Выберете несколько вариантов, лучше придумайте свои, и используйте их. Заведите расписание резервного копирования и придерживайтесь его. Периодически скачивайте какой-нибудь из бекапов и проверяйте доступность информации в нем, что ничего не побилось, вы помните все пароли и способны извлечь из бэкапа информацию.
Шифрование и пароли. Примите как факт, что ваш компьютер, телефон, флэшка или доступ к почтовому ящику и другим сервисам могут оказаться в руках злоумышленников. При этом надо не дать возможности злоумышленнику получить доступ к кошелькам. Если все ваши устройства надежно зашифрованы, а пароли не похожи на Qwerty123, то как минимум вы выиграете время на то, чтобы перевести активы на другие кошельки, а как максимум получение устройств и доступов будет для злоумышленника бесполезным. Поэтому используйте по максимуму шифрование, в том числе на системных разделах, смартфонах, архивах, бэкапах. Ставьте пароли на загрузку и разблокировку смартфона. На компьютерах не должно быть учетных записей без надежных паролей. На веб сервисах используйте двухфакторную аутентификацию, где это возможно. Ставьте надежные и разные пароли на все сервисы и устройства. Желательно с какой-то периодичностью их менять на новые.
Обновления. Особое внимание обратите на обновления программ. Зачастую злоумышленники используют ошибки в алгоритме обновления или маскируют загрузку вредоносного программного обеспечения под обновления. Подобное было уже с некоторыми криптовалютными кошельками, например, с Electrum, когда отображалось сообщение о необходимости обновления, а загружался троян. Более простой способ - отображение в браузере на веб-странице якобы окна, которое просит обновить браузер. Иногда такое открывается в новом всплывающем окне и максимально старается скопировать детали интерфейса настоящего окна обновления. Понятно, что при получения согласия пользователя, ему будет загружен троян. Так что только обновления с официальных сайтов, и желательно их дополнительно проверить.
Не оставляйте вещи без присмотра. Про флэшки или смартфон без пароля всем все понятно. Но в некоторых случаях даже ноутбук может быть взломан просто при вставлении в USB порт устройства, похожего на флэшку. А на самом деле это будет аппаратный HID эмулятор клавиатуры и набор эксплоитов. Так что в Windows среде после настройки всех своих устройств рекомендуется запретить автоматическую установку драйверов и устройств, активировав политику «Запретить установку устройств, не описанных другими параметрами политики».
Что делать если уже обнаружен взлом?
- Отключить от сети атакуемый компьютер, проверить что украдено, что нет.
- Перекинуть на другие кошельки оставшуюся криптовалюту и токены, при необходимости создать их на чистом компьютере. Для ускорения процесса можно создать временные адреса в наиболее известных веб-кошельках.
- Отследить куда ушли монеты, возможно это сервисы типа бирж или онлайн кошельков. В этом случае срочно писать им в саппорт об инциденте с указанием адресов, хэшей транзакций и другими подробностями. При возможности позвонить, после отправки письма позвонить и голосом обратить внимание на срочность ситуации.
- Сменить с чистого компьютера все пароли, даже те, которые непосредственно не относятся к кошелькам. На зараженном компьютере с большой долей вероятности был кейлоггер, который собирал всю вводимую информацию. Пароли должны пройти как минимум 2 очистки - временную и новую постоянную. Пароли должны пройти как минимум 2 очистки - временную и новую постоянную. Пароли должны быть надежными: достаточной длинны и не словарными.
- Сохранить в бэкап всю необходимую информацию с компьютеров, смартфонов и планшетов, которую нежелательно потерять. Исполняемых файлов, и других файлов, которые могли быть заражены, в бэкапе не должно быть. Зашифровать бэкап. Сделать несколько копий бэкапа в территориально разнесенные места.
- Зачистить все флэшки, жесткие диски, сбросить состояние смартфона до заводского и заново все настроить. Если планируется работать в будущем с очень важной информацией, или суммами, которые многократно превышают стоимость техники, то в идеале стоит сменить и всю аппаратную часть, так как некотрые виды троянских программ умеют прописываться в служебные области на жестких дисках и не удаляются даже при форматировании, а также модифицируют BIOS на материнских платах.
Общие рекомендации по безопасности
Фишинг. Чаще всего атакуют сайты бирж, онлайн кошельков, популярных обменников.
В лидерах myetherwallet.com, blockchain.com и localbitcoins.com. Чаще всего мошенники регистрируют домен, похожий на атакуемый. Заливают туда безобидный сайт или форум. Покупают рекламу в поисковиках на него. Как только рекламные объявления проходят модерацию, сайт подменяется на клон атакуемого сайта. Настоящий при этом не редко начинают DDoS’ить. Пользователь не может попасть на сайт, вводит в поисковике его название, кликает по первой строчке в выдаче, не посмотрев, что это реклама, и оказывается на сайте мошенников, который выглядит, как настоящий. Далее он вводит свои логины и пароли, и деньги с его аккаунта утекают злоумышленникам. Зачастую не помогает даже двухфакторная аутентификация, пин коды и т.п. Пользователь сам это все введет. Скажем, при логине введет код, система скажет, что код не верный, введите еще раз. Он введет второй код. А на самом деле первый код использовался для входа, а второй для подтверждения вывода средств.
Другой пример – отложенные атаки. Когда вы открываете присланный вам сайт, который выглядит как безопасный, и оставляете вкладку открытой. Через какое-то время при отсутствии действий на странице, ее содержимое подменяется на фишинговый сайт, который просит авторизоваться. К уже открытым ранее вкладкам пользователи обычно относятся с большим доверием, чем открываемым, и могут не проверив ввести свои данные.
Также в некоторых случаях могут быть фишинговые атаки в специально подготовленных публичных сетях. Подключились вы к публичной Wi-Fi сети, а у нее DNS отдает не те адреса на запросы доменов, или трафик весь незашифрованный собирается и анализируется на предмет важных данных.
Чтобы не попадаться на подобное, не отключайте бдительность, используйте дополнительные проверки и более безопасный канал, о них ниже.
Дополнительные проверки. Для наиболее посещаемых и важных сайтов на безопасном компьютере засеките несколько косвенных параметров. Например, издателя сертификата и дату его окончания. Значение счетчика Alexa или примерного трафика по Similarweb. Можете добавить свои параметры. И при заходе на сайты отслеживайте их. Скажем, если сменился вдруг сертификат задолго до окончания старого – это повод насторожиться и дополнительно проверить сайт. Или, к примеру, если раньше bitfinex.com показывал по Alexa счетчику около 7 тыс. очков, а сейчас вдруг показывает 8 млн. – то это явный признак, что вы на мошенническом сайте. То же самое с показателями Similarweb, используемым CDN, регистратором доменного имени, хостером и т.п.
Пароли. Самые важные пароли лучше запоминать, нигде не записывая. Однако с учетом, что на все сервисы и кошельки лучше ставить разные пароли, часть из них придется хранить. Никогда не храните их в открытом виде. Использование специализированных прог
Рекомендации по организации хранения криптовалют и токенов
Не храните все яйца в одной корзине! Разбивайте средства, и те, которые не планируете использовать в ближайшем будущем, храните на холодном кошельке. При необходимости холодных кошельков может быть несколько. Например, часть средств будет на аппаратном кошельке, часть на кошельке с мультиподписью, часть в виде приватного ключа в криптоконтейнере с надежным паролем. В случае реальной опасности можете даже 1 или 2 сдать.
Отдельные компьютеры для крипты. Если вы работаете со криптоактивами, которые по стоимости в разы превышают стоимость средств их хранения, то выделите отдельные компьютеры, которые ни для чего более не будут использоваться. Посерфить веб, поиграть в игрушки и отредактировать присланные документы лучше на другом компьютере.
Ничего лишнего. На компьютерах-кошельках не должно стоять никакого постороннего программного обеспечения, не говоря уже о взломанной винде кряком от C001_][akerа. Только проверенные дистрибутивы от производителя.
Отказоустойчивость. Самая большая неприятность в плане отказоустойчивости является сбой жесткого диска. Остальные детали в компьютере заменяются обычно быстро и без особых последствий. В случае с жесткими дисками отказоустойчивости системы проще всего добиться использованием RAID массивов с зеркалированием. Грубо говоря, это когда ставится два винчестера, и операции записи и чтения идут на них параллельно, а система видит их как один диск. В данном случае удорожание идет на один жесткий диск, рейд контроллер можно использовать даже встроенный в материнскую плату. Вероятность, что выйдут из строя сразу оба жестких дисков крайне мала, а в случае отказа любого одного вы вставляете на его место новый и работаете дальше. Некоторые RAID контроллеры умеют это делать даже на лету, не выключая систему.
Резервное копирование. Вы должны быть готовы к тому, что самая отказоустойчивая система может оказаться недоступной. Пожар, воры, спец.службы, или просто кот написает в блок питания и сгорят все платы и винчестеры, не важно. Такое может случиться. У вас должны быть актуальные резервные копии всех кошельков. При этом они должны быть зашифрованы и отправлены сразу в несколько мест. В облако, на почту, флэшкой в сейфе, архивом в смартфоне и т.п. Выберете несколько вариантов, лучше придумайте свои, и используйте их. Заведите расписание резервного копирования и придерживайтесь его. Периодически скачивайте какой-нибудь из бекапов и проверяйте доступность информации в нем, что ничего не побилось, вы помните все пароли и способны извлечь из бэкапа информацию.
Шифрование и пароли. Примите как факт, что ваш компьютер, телефон, флэшка или доступ к почтовому ящику и другим сервисам могут оказаться в руках злоумышленников. При этом надо не дать возможности злоумышленнику получить доступ к кошелькам. Если все ваши устройства надежно зашифрованы, а пароли не похожи на Qwerty123, то как минимум вы выиграете время на то, чтобы перевести активы на другие кошельки, а как максимум получение устройств и доступов будет для злоумышленника бесполезным. Поэтому используйте по максимуму шифрование, в том числе на системных разделах, смартфонах, архивах, бэкапах. Ставьте пароли на загрузку и разблокировку смартфона. На компьютерах не должно быть учетных записей без надежных паролей. На веб сервисах используйте двухфакторную аутентификацию, где это возможно. Ставьте надежные и разные пароли на все сервисы и устройства. Желательно с какой-то периодичностью их менять на новые.
Обновления. Особое внимание обратите на обновления программ. Зачастую злоумышленники используют ошибки в алгоритме обновления или маскируют загрузку вредоносного программного обеспечения под обновления. Подобное было уже с некоторыми криптовалютными кошельками, например, с Electrum, когда отображалось сообщение о необходимости обновления, а загружался троян. Более простой способ - отображение в браузере на веб-странице якобы окна, которое просит обновить браузер. Иногда такое открывается в новом всплывающем окне и максимально старается скопировать детали интерфейса настоящего окна обновления. Понятно, что при получения согласия пользователя, ему будет загружен троян. Так что только обновления с официальных сайтов, и желательно их дополнительно проверить.
Не оставляйте вещи без присмотра. Про флэшки или смартфон без пароля всем все понятно. Но в некоторых случаях даже ноутбук может быть взломан просто при вставлении в USB порт устройства, похожего на флэшку. А на самом деле это будет аппаратный HID эмулятор клавиатуры и набор эксплоитов. Так что в Windows среде после настройки всех своих устройств рекомендуется запретить автоматическую установку драйверов и устройств, активировав политику «Запретить установку устройств, не описанных другими параметрами политики».
Что делать если уже обнаружен взлом?
- Отключить от сети атакуемый компьютер, проверить что украдено, что нет.
- Перекинуть на другие кошельки оставшуюся криптовалюту и токены, при необходимости создать их на чистом компьютере. Для ускорения процесса можно создать временные адреса в наиболее известных веб-кошельках.
- Отследить куда ушли монеты, возможно это сервисы типа бирж или онлайн кошельков. В этом случае срочно писать им в саппорт об инциденте с указанием адресов, хэшей транзакций и другими подробностями. При возможности позвонить, после отправки письма позвонить и голосом обратить внимание на срочность ситуации.
- Сменить с чистого компьютера все пароли, даже те, которые непосредственно не относятся к кошелькам. На зараженном компьютере с большой долей вероятности был кейлоггер, который собирал всю вводимую информацию. Пароли должны пройти как минимум 2 очистки - временную и новую постоянную. Пароли должны пройти как минимум 2 очистки - временную и новую постоянную. Пароли должны быть надежными: достаточной длинны и не словарными.
- Сохранить в бэкап всю необходимую информацию с компьютеров, смартфонов и планшетов, которую нежелательно потерять. Исполняемых файлов, и других файлов, которые могли быть заражены, в бэкапе не должно быть. Зашифровать бэкап. Сделать несколько копий бэкапа в территориально разнесенные места.
- Зачистить все флэшки, жесткие диски, сбросить состояние смартфона до заводского и заново все настроить. Если планируется работать в будущем с очень важной информацией, или суммами, которые многократно превышают стоимость техники, то в идеале стоит сменить и всю аппаратную часть, так как некотрые виды троянских программ умеют прописываться в служебные области на жестких дисках и не удаляются даже при форматировании, а также модифицируют BIOS на материнских платах.
Общие рекомендации по безопасности
Фишинг. Чаще всего атакуют сайты бирж, онлайн кошельков, популярных обменников.
В лидерах myetherwallet.com, blockchain.com и localbitcoins.com. Чаще всего мошенники регистрируют домен, похожий на атакуемый. Заливают туда безобидный сайт или форум. Покупают рекламу в поисковиках на него. Как только рекламные объявления проходят модерацию, сайт подменяется на клон атакуемого сайта. Настоящий при этом не редко начинают DDoS’ить. Пользователь не может попасть на сайт, вводит в поисковике его название, кликает по первой строчке в выдаче, не посмотрев, что это реклама, и оказывается на сайте мошенников, который выглядит, как настоящий. Далее он вводит свои логины и пароли, и деньги с его аккаунта утекают злоумышленникам. Зачастую не помогает даже двухфакторная аутентификация, пин коды и т.п. Пользователь сам это все введет. Скажем, при логине введет код, система скажет, что код не верный, введите еще раз. Он введет второй код. А на самом деле первый код использовался для входа, а второй для подтверждения вывода средств.
Другой пример – отложенные атаки. Когда вы открываете присланный вам сайт, который выглядит как безопасный, и оставляете вкладку открытой. Через какое-то время при отсутствии действий на странице, ее содержимое подменяется на фишинговый сайт, который просит авторизоваться. К уже открытым ранее вкладкам пользователи обычно относятся с большим доверием, чем открываемым, и могут не проверив ввести свои данные.
Также в некоторых случаях могут быть фишинговые атаки в специально подготовленных публичных сетях. Подключились вы к публичной Wi-Fi сети, а у нее DNS отдает не те адреса на запросы доменов, или трафик весь незашифрованный собирается и анализируется на предмет важных данных.
Чтобы не попадаться на подобное, не отключайте бдительность, используйте дополнительные проверки и более безопасный канал, о них ниже.
Дополнительные проверки. Для наиболее посещаемых и важных сайтов на безопасном компьютере засеките несколько косвенных параметров. Например, издателя сертификата и дату его окончания. Значение счетчика Alexa или примерного трафика по Similarweb. Можете добавить свои параметры. И при заходе на сайты отслеживайте их. Скажем, если сменился вдруг сертификат задолго до окончания старого – это повод насторожиться и дополнительно проверить сайт. Или, к примеру, если раньше bitfinex.com показывал по Alexa счетчику около 7 тыс. очков, а сейчас вдруг показывает 8 млн. – то это явный признак, что вы на мошенническом сайте. То же самое с показателями Similarweb, используемым CDN, регистратором доменного имени, хостером и т.п.
Пароли. Самые важные пароли лучше запоминать, нигде не записывая. Однако с учетом, что на все сервисы и кошельки лучше ставить разные пароли, часть из них придется хранить. Никогда не храните их в открытом виде. Использование специализированных прог
