Как не потерять криптовалюты

28.06.2021 |

Как не потерять крипту

Хотя и не существует единого решения, позволяющего избежать неприятностей, но есть ряд советов, которые позволят сохранить свои средства в безопасности, а в случае взлома, быстро предпринять шаги по их сохранению.

Хотя мы уже не раз обсуждали и давали рекомендации по безопасному хранению криптовалют, но все же стоит пройтись по чек листу, проверяя каждый шаг. Если что-то из нижеперечисленного еще не сделано, то лучше озаботиться этим в ближайшее время.

  • Хранить монеты на разных кошельках. Лучше выбирать для хранения монет разные способы. Долгосрочные вложения перевести на холодный кошелек, в его роли может выступить аппаратный кошелек, приватный ключ в зашифрованном контейнере, парольная фраза на бумаге в надежном месте. Если средств достаточно много, то стоит даже для долгосрочного хранения использовать разные способы, так при компрометации одного адреса, остальные монеты останутся в безопасности. Для крупных платежей подойдет кошелек с мультиподписью. Мелкие расчеты можно делать с онлайн площадки, а для трейдинга использовать аккаунт на онлайн бирже.

  • Отдельное устройство для криптовалют. Когда на счетах несколько монет, например, биткоина или эфириума, то их стоимость в тысячи раз может превышать цену устройства, с которого ведется деятельность. В этом случае оптимально будет приобрести отдельный компьютер, например, Raspberry Pi, стоимость которого не превышает $100, и даже одна монета Ethereum превышает его цену в десятки раз. Еще одним решением может стать установка второй операционной системы на рабочий компьютер с шифрованием домашней папки, но отдельное устройство надежнее.

  • Только необходимый софт. На компьютере для криптовалют не должно быть ничего лишнего. Устанавливать необходимо только тот софт, который будет использоваться. Не должно быть и речи о пиратских программах, взломанных приложений и кряков для операционной системы.

  • Обеспечение надежности работы системы. В сети достаточно много историй о потере всех средств в криптовалюте по причине ненадежного хранения приватного ключа. Кто-то не думал, что биткоин будет стоить так дорого и просто выбросил свой жесткий диск. Кто-то хранил приватный ключ в единственном экземпляре на рабочем устройстве, и при поломке жесткого диска потерял доступ ко всем своим криптовалютам. Здесь может быть несколько решений, например, все важные данные копировать на внешнее устройство хранения или на приватное облачное хранилище. Также можно организовать и зеркалирование жестких дисков посредством создания RAID массива. В этом случае в компьютер устанавливается второй жесткий диск, что в разы повышает отказоустойчивость, а вся система хранится в двух экземплярах. При выходе одного из жестких дисков из строя достаточно только заменить его.

  • Систематическое создание backup’ов. Даже самая надежная система хранения информации может полностью выйти из строя. Например, пожар уничтожит устройства хранения физически, резкий скачок напряжения выведет из строя управляющие системы, да и соседи могут затопить в любой момент. Именно для этого случая пригодятся резервные копии всех созданных кошельков. Для этого можно создать зашифрованный контейнер с PGP подписью, в который, по мере необходимости, будут вноситься актуальные данные, а сам файл отправляться сразу в несколько мест хранения. Например, можно отправить на свой ящик электронной почты, залить на два - три облачных хранилища, благо сейчас многие предоставляют несколько гигабайт для хранения файлов бесплатно, также можно скинуть контейнер и на флешку — пусть будет.

  • Надежные пароли. Любой, даже самый надежный пароль, рано или поздно может оказаться в руках хакеров. Нередки случаи утечки пользовательских данных с крупных сервисов, даже facebook и google не дают 100% гарантии. Поэтому лучше использовать разные пароли для публичных и приватных сервисов. Также стоит позаботиться и о надежности самого пароля. Если раньше рекомендовали использовать рандомный набор букв, цифр и специальных символов, то сейчас исследования показали, что самый надежный пароль — это длинная, осмысленная фраза с заменой некоторых букв и пробелов на специальные символы и числа. В этом случае даже если злоумышленник получит доступ к файлам или устройству, у вас будет время на перевод всех активов на вновь созданные кошельки. Особое внимание стоит уделить и онлайн сервисам. Не стоит пренебрегать возможностью использовать двухфакторную аутентификацию, а на биржах можно использовать и несколько способов подтверждения переводов, например: telegram, jabber и e-mail на надежном сервисе, по типу protonmail.

  • Актуальное состояние программного обеспечения. Чаще всего доступ к компьютеру хакеры получают через ошибки в используемом программном обеспечении. Разработчики стараются поддерживать свои продукты в актуальном состоянии, оперативно устраняя возможные дыры, поэтому стоит не пренебрегать обновлениями. Хотя, например, microsoft в последнее время несколько халатно относится к данному вопросу — в некоторых случаях обновления приводят к отказу некоторых функций, но это лучше, чем потерять все свои средства. Также, в моменты обновления, стоит внимательно следить за источниками установки, может возникнуть ситуация, когда хакеры подменяют реальные данные, например, троянами, и таким образом получают доступ к компьютеру. Поэтому, необходимо не только следить за адресом загрузки, но и проверять подпись установочного файла.

  • Внимательно следить за своими устройствами. Про шифрование телефонов и флешек говорилось уже не раз, но и про другие устройства забывать не стоит. Даже если ваш ноутбук запаролен, а домашняя папка зашифрована, не стоит оставлять его без присмотра в местах, где злоумышленники могут получить к нему доступ. Также необходимо настроить запрет на подключение не описанных в политике безопасности устройств, что не позволит хакерам использовать аппаратные средства взлома.

Рекомендации по безопасной работе с криптовалютами

В большинстве случаев пользователи сами нарушают правила и дают хакерам доступ к своим кошелькам. Так, например, было недавно с одним из популярных кошельков для хранения биткоина. Злоумышленники под видом обновления программного обеспечения рассылали кошельки со встроенным трояном, что привело к потере средств многих пользователей. Однако, не последнюю роль в успешной атаке сыграла и беспечность владельцев криптовалют, которые решили не проводить дополнительной проверки устанавливаемых программ.

Первое и главное правило для безопасности криптовалют — оффлайн тишина. Как можно меньше людей должны знать, что в вашем активе находятся криптовалюты, а уж как получить к ним доступ должны знать вообще только вы и ваши самые близкие люди. При том последние должны знать только алгоритм действий, без возможности получения оперативного доступа, но с возможностью восстановить управление цифровыми активами в случае форс-мажорных обстоятельств.

Второе — это подозрение в компрометации. Если вам кажется, что вас взломали, то лучше решить перевести все средства на новые адреса, созданные на новых устройствах, а уж затем разбираться с ситуацией, не беспокоясь за сохранность средств. Дальнейшие советы схожи с обычными по безопасности в интернете, с той лишь поправкой, что акцент делается на цифровых активах, стоимость которых может составлять значительные суммы, интересные не только отдельным, небольшим группам хакеров, но и целым организованным международным сетям.

Фишинговые атаки

В криптовалютной сфере фишингу чаще других подвергаются обменные пункты, биржи и онлайн кошельки. В общем схема работы данного вида атаки выглядит следующим образом:

  • регистрируется схожий по написанию домен,

  • создается копия сайта с отсутствием части функций,

  • запускается рекламная кампания в поисковых сетях,

  • оригинальный сайт подвергается DDoS атаке.

Таким образом, клиент не может получить доступ к сайту, вводит в поиске запрос с названием и получает рекламную ссылку на сайт злоумышленников. Основная цель таких атак на криптовалютные сервисы — получить данные для входа в учетную запись или заставить потерпевшего перевести криптовалюту на хакерский адрес. Все чаще распространение получает именно второй вид атаки, так как большинство сервисов вводят двух, а то и трехфакторную аутентификацию, а значит учетные данные, при неработающем оригинальном сайте не имеют особой ценности. Хотя возможны и другие сценарии, при которых пользователь вводит данные на подмененном сайте, а хакеры дублируют их на настоящем, меняя реквизиты вывода.

Для того, чтобы избежать подобного рода атак, необходимо не ослаблять бдительность и пользоваться дополнительными мерами проверки доверенных ресурсов.

Дополнительные проверки

Все дополнительные проверки направлены именно на предотвращение утечки данных через фишинговую подмену. Первое, на что нужно обращать внимание — сертификат безопасности. Здесь важны такие параметры, как срок действия и имя издателя. Стоит внимательно относится к смене удостоверяющей подписи, особенно, если это происходит задолго до прекращения работы предыдущей.

Также необходимо следить за правильностью адреса сайта в строке браузера, хотя злоумышленники и пытаются регистрировать адреса схожие по виду, но при детальном рассмотрении отличия все же будут видны.

Еще один способ — проверка владельца домена посредством инструментов регистратора. Так при первом же подозрении на подмену или неверный адрес есть возможность проверить — не изменился ли владелец. Это актуально и для официальных зеркал сайта, если владелец один, то доверять новому сайту, пусть и с оговорками и дополнительными проверками, можно.

Надежность паролей

Как уже говорилось, современные исследования безопасности показали, что самые надежные пароли — это длинные, осмысленные фразы со вставкой специальных символов. Для каждого сервиса лучше придумать новый пароль, а хранить их в данном случае можно и в открытом виде — шифрограммой. Например, можно задать пароль на Cryptex “Ya@Lublu$Svoego_Cota”, а в файл записать как “Cryptex:кот”. Также в каждом случае можно использовать спецсимволы в постоянном порядке, меняя лишь слова, в которых тоже можно заменять буквы спецсимволами и цифрами. Главное — разработать собственный алгоритм составления паролей, которому и необходимо следовать.

Безопасные каналы связи

О безопасности интернет соединения стоит задумываться не только в публичных местах, но и при выходе в сеть из дома. Здесь может быть два пути: сделать собственный VPN сервер с шифрованием канала, или воспользоваться уже настроенным, благо предложений на рынке достаточно много. Основная цель — это не анонимность, а именно защита передаваемых данных, хотя и повышение конфиденциальности будет несомненным плюсом. Все соединения, связанные с цифровыми активами и другими чувствительными к безопасности службами должны проходить только через частную сеть. Стоит также использовать данный канал только в криптовалютных целях, чтобы избежать его компрометации.

Выбор операционной системы

Если вы пользуетесь продукцией компании Apple, то особо вопроса по операционной системе возникнуть не должно, а вот в случае с PC и Android этому придется уделить некоторое внимание.

Самая популярная Windows не всегда может похвастаться надежностью и безопасностью, хотя, если компьютер используется только для криптовалют и ничего больше, то при должном подходе подойдет и продукция Microsoft. Но лучше все же выбрать операционную системы из ряда свободно распространяемых. Лучшим из них в настоящее время является Linux в сборке от компании Debian. Хотя данный дистрибутив и не самый ориентированный на пользователя, но при достаточно быстром изучении его можно настроить с крайне высокой степенью надежности.

Еще один плюс Linux — малое количество вредоносного программного обеспечения, а удаленный запуск зловреда даже при минимальной настройке, доступной сразу после установки, становится практически невыполним.

Если для работы необходимо использование Windows, то можно установить второй операционной системой Linux, переключаясь между ними по необходимости. Даже если Windows и подвергнется заражению, у данной операционной системы нет возможности работать с файловой системой Linux, а принципы построения архитектур делают классически зловредные программы полностью бесполезными в другой среде.

Разграничение прав

Здесь все также будет зависеть от использования операционной системы. Если в Linux все настроить достаточно просто, то в Windows придется приложить некоторые усилия. Самый наглядный и безопасный пример разграничения прав — создание отдельного пользователя для управления криптовалютным кошельком. У него не должно быть прав входа в системы, а вызов программы управления криптовалютами будет происходить посредством передачи прав из под другой учетной записи. При этом, все остальные учетки на компьютере не должны иметь доступа к файлам кошелька.

Антивирусы

Вот в этом вопросе возникает больше всего споров. Некоторые считают, что только так можно получить должный уровень безопасности, но вот только были случаи, когда в качестве подозрительного файла на сервера производителя антивируса передавались приватные ключи от криптовалютных кошельков. Поэтому лучшим решением будет отказаться от программ защитников и ограничится настройками безопасности не подключая непроверенных устройств.

Что делать, когда обнаружен взлом

В случае взлома главная задача — как можно быстрее перевести активы в безопасное место. В общем случае последовательность действий можно представить следующим образом:

  1. Отключить доступ в интернет у атакуемого устройства.

  2. Перевести еще целые активы на другие адреса, здесь, как временным решением можно воспользоваться интернет кошельком или аккаунтом на онлайн бирже. В случаях, когда злоумышленник уже создал перевод, имеет смысл попытаться создать другой, выставив большую комиссию, это поставит легитимную транзакцию в приоритет для включения в блок, хотя часть средств и придется отдать, но большинство останется у вас.

  3. Отследить адрес, на который ушли средства. В случаях, если получателем стал один из интернет сервисов, стоит связаться с ним с просьбой заблокировать средства для дальнейшего разбирательства. В большинстве случаев онлайн биржи и площадки хранения криптовалют идут на встречу, и замораживают монеты до выяснения всех обстоятельств.

  4. Поменять пароли ко всем значимым сервисам. Лучше это проделать в два этапа. На первом поменять все на временные пароли, а через некоторое время, удостоверившись в безопасности, сменить их еще раз. При этом стоит воспользоваться общими рекомендациями по составлению парольных фраз.

  5. Сделать резервную копию всех важных данных. При этом следует строго следить, чтобы на новое устройство не попали исполняемые файлы, которые могут быть заражены.

  6. Отформатировать и переустановить все операционные системы и программы на всех устройствах, с которых велась работа с криптовалютами. В случае, если суммы операций были значительными, не лишним будет и полностью сменить аппаратуру, так как некоторые версии зловредов могут прописываться в служебные области устройств, к которым у обычного пользователя доступа нет.

Пример построения надежной архитектуры

Построение архитектуры будет зависеть от того, как и какими суммами оперирует их владелец.

Для небольших сумм, к которым нужен оперативный доступ подойдут мультивалютные онлайн кошельки. Секретный ключ от них необходимо сохранить в зашифрованный контейнер и данный файл разместить на паре облачных хранилищ. Так будет возможность оперативно проводить платежи с любого устройства, но хранить крупные суммы таким способом не лучшее решение.

Для достаточно крупных сумм, к которым нужен постоянный, непосредственный доступ придется уже несколько потрудиться. Здесь одним из решений может стать отдельный компьютер для создания оффлайн кошелька, на котором будут храниться основные активы, с него можно будет пополнять интернет кошелек по мере необходимости на нужные суммы. Так останется возможность быстро оплатить товар или услугу, сохранив основной резерв в полной безопасности. В этом случае понадобится два чистых устройства. На одном создается зашифрованный RAID массив, устанавливается операционная система и создается подключение до доверенного VPN. При этом все остальные возможности открытия соединений с сетью полностью запрещаются. На втором устройстве также устанавливается операционная система с шифрованием домашнего раздела, где будут храниться коды подключения к VPN и удаленному серверу, которые, как и приватные ключи, необходимо в зашифрованном виде сохранить на различных носителях. При необходимости пополнить оперативный онлайн кошелек, со второго устройства подключаемся к серверу и переводим необходимую сумму. В случае получения физического доступа к любому из компьютеров, у хакеров не будет возможности изъять с них информацию, а на восстановление не потребуется слишком много времени.

Для хранения особо крупных сумм, пользоваться которыми планируется не так часто или если они являются частью долгосрочной стратегии инвестирования, можно воспользоваться информацией о безопасном хранении из нашего материала.

Заключение

Все приведенные выше советы позволят обезопасить криптовалютные активы от случайной потери или кражи, но стоит понимать, что подход к безопасности должен быть соразмерен имеющимся средствам. Если на кошельке лишь эквивалент нескольким десяткам долларов, а криптовалюта используется только для изучения технологии и отработки неких теорий, то можно ограничится просто антивирусом и последними версиями программного обеспечения. А вот если на хранении находится несколько сотен биткоинов, то вот здесь уже стоит задуматься и уделить настройкам как можно больше внимания.

Если вы только начинаете путь в криптоиндустрию, то стоит постепенно, но не откладывая в долгий ящик, улучшать свою систему безопасности. Так не только удастся сохранить свои средства, но и разобраться в лучших практиках и подходах к хранению цифровых активов.