Bitcoiny
Jest to kontynuacja pierwszej części Akceptowalne minimum dla osób posiadających znacznie większe fundusze w kryptowalutach. Oczywiście, jeśli ktoś chce, może je stosować przy dowolnych kwotach, jednak wiele metod tu opisanych nie będzie wygodne w obsłudze. Zaś jeśli ktoś ma używać ich wybiórczo to lepiej nie używać wcale – pozbędziemy się złudnego poczucia bezpieczeństwa.
Aby zrozumieć metody ochrony należy zrozumieć w jaki sposób nas mogą okraść. Tak jak każdy wie, że spacer z walizką pełną pieniędzy w środku nocy po Warszawskiej Pradze nie jest rozważny, tak nie każdy zdaje sobie sprawę z zagrożeń spotykanych na co dzień w sieci.
CZĘŚĆ 2/4 Podejście PRO – „Złap mnie jeśli potrafisz”
W poprzedniej części wspominałem o atakach spersonalizowanych, czyli takich, gdzie złodziej dokładnie wie kogo zamierza okraść. Ofiary takich ataków często są wybierane na podstawie stosunkowo mało ważnych włamań jak np. lista ostatnich wypłat z giełdy, lista najbogatszych kont (np. na MCXnow), czy wg mocy wydobycia na poolu (więcej szczegółów w części czwartej niniejszego poradnika). Nie jest jednak ważne źródło a ilość danych jaką da się uzyskać, która jest często wystarczająca do przeprowadzenia ataku.
Przykład
Z jednej z giełd wypływa tabela wypłat składająca się z login, data, kwota, nr konta.
Załóżmy, że włamywacz upatrzył sobie użytkownika „czarek1234”. W tym momencie sprawdza, czy taki użytkownik funkcjonuje na innych giełdach, forach, czy serwisach. Innymi słowy nie robi nic innego jak szpieguje potencjalną ofiarę, najczęściej bez problemu zdobywa o niej wiele prywatnych informacji, starych adresów e-mail, dawno używanych haseł itd. Zakładając, że Czarek był rozsądny i zastosował się do porad z pierwszej części poradnika działania złodzieja zostały udaremnione. Zazwyczaj jeśli kwota nie jest wygórowana poszuka on innej ofiary, która nie wykazała się takim rozsądkiem, co jednak jeśli Czarek ma fundusze dla których opłaca się bardziej postarać? Wtedy do gry wchodzą tzw. exploity, trojany, bug’i czy inne magiczne stworzenia czyhające na najdrobniejszy błąd. Zanim przedstawię jak się przed nimi uchronić podam dwa najczęstsze punkty ataku złodzieja.
System
Najczęstszą drogą ataku jest komputer ofiary (wg różnych źródeł jest to od 60 do nawet 85% wszystkich ataków). W końcu po co męczyć się z najczęściej rozproszoną i wielowarstwową strukturą giełdowych serwerów jeśli sam użytkownik może nas wprowadzić do „Fort Knox”. Oczywiście nie zawsze to się udaje, jednak świadomość wielu osób pozostawia wiele do życzenia, i najsłabszym ogniwem staje się sama ofiara.
Połączenie
Czyli wszelkiego rodzaju ataki MitM, spoofing czy próby rozszyfrowywania połączenia SSL (nawet przed informacją o błędach w protokole było to możliwe, trudne, ale możliwe i często wykorzystywane).
Jak się przed tym zabezpieczyć? Opcji jest kilka, może nawet kilkanaście, jednak postaram się przedstawić najlepsze z nich (moim zdaniem).
1. Wirtualny system. Czyli nic innego jak system w systemie. Darmowym i jednocześnie dobrym oraz łatwym narzędziem do tworzenia i uruchamiania wirtualnych systemów jest virtualbox. Przeprowadzanie wszystkich operacji związanych z kryptowalutami (wejścia na giełdę, na e-maile powiązane z giełdami, wejście na webwallet itd.) i tylko z kryptowalutami w systemie tylko do odczytu powoduje, że wiele ataków jest niemożliwych do przeprowadzenia. Czemu? Ponieważ infekcja musiałaby nastąpić przez którąś z zaufanych stron (giełda lub webwallet), a nawet w przypadku jej wystąpienia po zresetowaniu wirtualnego systemu jest on znów bezpieczny.
2. Hasła wprowadzane dwu-(lub więcej)-etapowo. Pomimo użycia wirtualnego systemu, wciąż przecież naciskamy na klawiaturę, która należeć może do zainfekowanego komputera. Jak się ustrzec przed keyloggerem lub wirusem przechwytującym zawartość schowka. Bardzo prosto, należy hasło podzielić na dwie lub więcej części i każdą z nich wprowadzić w inny sposób. Np. mamy hasło m4rch3wka.
◦ „m4r” wprowadzamy z klawiatury
◦ „ch3” wklejamy z pliku txt zapisanego np. na pendrivie
◦ „wka” wpisujemy z klawiatury ekranowej wirtualnego systemu.
Metoda taka znacząco utrudnia przechwycenie hasła (utrudnia bo wciąż jest to możliwe). Aby jednak skutecznie z niej korzystać zaleca się dłuższe hasła (jeśli zabraknie włamywaczowi trzech środkowych znaków może być mu łatwo je zgadnąć).
3. Połączenie. Najczęściej wystarcza wspomniany wcześniej VPN, jednak jeśli chcemy mieć większe bezpieczeństwo należałoby zrezygnować z darmowych i ogólnodostępnych sieci Wi-Fi. Koszt modemu 3g mieści się w granicach 100zł. Do obsługi giełdy czy webwalleta nie potrzeba ani dużych prędkości ani transferów więc miesięczny koszt bezprzewodowego Internetu powinien zamknąć się w 30zł. W połączeniu z VPN lub RDS i pracą z maszyny wirtualnej zyskujemy niemal 100% bezpieczeństwo połączenia.
4. Social engineering. Czyli ataki wykorzystujące naszą niewiedzę. Wspominam o nich dopiero w drugiej części, ponieważ nie sądzę aby użytkownik Bitcoin dał się nabrać na masowo rozsyłany spam. Tutaj myślę o atakach znacznie bardziej wyrafinowanych (wszak włamywacz ma o nas już sporo informacji). Jest wiele scenariuszy. Najczęstszym przykładem jest podszywanie się włamywacza pod obsługę serwisu, z którego korzystamy, jednak niektóre są znacznie bardziej przemyślane.
Przykłady:
◦ Włamywacz specjalnie generuje dziwne próby logowania, zwłaszcza jeśli używamy 2FA chodzi mu o zasianie niepokoju. Najczęściej robi to w środku nocy. Rano wstając i widząc dziesiątki sms’ów z kodem autoryzacyjnym lub maili z pytaniem o zmianę hasła zapominamy o całej procedurze zabezpieczeń i logujemy się „jak najszybciej” do serwisu wystawiając się na któryś z ataków wspomnianych wcześniej.
◦ Jw. tylko, że ostatni jest e-mail o zablokowaniu konta „ze względu na dziwny ruch i procedury bezpieczeństwa” – zaś w mailu phishingowy link do przejęcia wpisywanych przez nas danych. Link taki może prowadzić do właściwej strony np. btc-e.com z prawidłowym certyfikatem SSL, z drobną różnicą, że całość danych jest przekierowana przez serwer hakera. Nie zawsze celem jest hasło. Ktoś może chcieć wydobyć nasz adres IP żeby nas zlokalizować i podsłuchiwać sieć domową. Może chcieć sprawdzić naszą podatność na tego typu ataki lub zdobyć informacje o naszym systemie, przeglądarce i sprzęcie (dlatego tak ważny jest wirtualny system).
◦ Spreparowana informacja o błędach w zabezpieczeniach. Włamywacz stara nam się podsunąć informację np. o błędzie w zabezpieczeniach Windows czy Androida i zaproponować łatkę. Najczęściej pobranie takiej łatki ma doprowadzić do infekcji telefonu aby móc wyciągać kody autoryzacyjne 2FA (m.in. dlatego znacznie lepszym rozwiązaniem jest klucz RSA – niestety żadna obecna giełda nie interesuje się wystarczająco swoimi klientami aby taką opcję wprowadzić. Pomimo, że rozwiązanie to od lat stosują banki, korporacje, agencje rządowe a nawet gry online np. Star Wars Old Republic to wg giełd nasze bitcoiny nie są choć w części tak ważne jak blastery i miecze świetlne).
◦ Spreparowana strona giełdy. Historię w przeglądarce łatwo podmienić więc nigdy nie ufajcie podpowiedziom z przeglądarki. Jeśli aby wejść na BTC-e wpisujecie „btc” i klikacie enter możecie łatwo stać się ofiarą. Strona może wyglądać identycznie, ba nawet może być właściwą stroną. Jednak przepuszczoną przez inny serwer.
◦ To tylko część sposobów. Pomysłowość ludzka jest niczym nieograniczona, dlatego jedynym skutecznym zabezpieczeniem przed tym typem ataków jest konsekwencja w używaniu zabezpieczeń, świadomość, że nie jesteśmy NIGDY bezpieczni i zdrowy rozsądek.
Na koniec rozdziału dodam, że wielu z was moje rozważania mogą się wydać niedorzeczne i zahaczające o teorie spiskowe, jednak gwarantuję wam, że to dopiero czubek góry lodowej, czyli najbardziej znane i oklepane rodzaje ataków, nie wymagające często nadmiernie specjalistycznej wiedzy ani doświadczenia. Więc jeśli wydaje wam się, że mało kto by sobie z tym poradził to macie rację – wydaje wam się.
Nie ustawiono klucza aplikacji GIPHY. Sprawdź ustawienia