Ron Stoner, Amerikan kripto güvenlik uzmanının baş güvenlik görevlisidir. Ev.
__________
Operasyonel Güvenlik veya OPSEC, hangi bilgileri korumaya çalıştığınızı, bu hedefe ulaşmak için neyin gerekli olduğunu tanımlayarak ve ardından gerekli pratik adımları atarak riski yönetme sürecidir.
OPSEC’in arkasındaki felsefe, öncelikle saldırganınız gibi düşünmeye, bu saldırganın kim olabileceğini ve sizi istismar etmek için hangi eylemleri yapabileceklerini anlamaya odaklanır.
İyi bir OPSEC, donanım cüzdanları gibi kripto para birimi anahtar imzalama cihazları için özellikle önemlidir. Donanım cüzdanları, doğrudan internet işlevselliğine sahip olmadıkları ve internete bağlanmak ve bir işlemi tamamlamak için akıllı telefon veya PC gibi başka bir cihaza bağlanmaları gerektiğinden “soğuk cüzdan” olarak kabul edilir.
Bu donanım cihazları ve bağlandıkları köprü, kripto para birimi işlemlerini gerçekleştirirken en önemli arıza noktalarıdır.
2022 ile birlikte kayıtlardaki en kötü yıl 3,8 milyar doların çalındığı kripto para birimi saldırıları için OPSEC hiç bu kadar kritik olmamıştı. Dijital varlık alanı daha yaygın hale geldikçe, saldırganlar kullanıcıları ve platformları istismar etmenin yeni yollarını arıyor.
Dijital varlıkları kullanan her varlığın çıkarları ve risk profili farklılık gösterse de, tüm kullanıcılar değerlerini korumak için en iyi uygulamalara bağlı kalmalıdır.
İmza ortamının güvenliğini sağlama
İşlemleri imzalamadan önce, tanımlamak için ortamınızı inceleyin. herhangi bir şey bir saldırı vektörü olarak hizmet edebilir.
Eviniz gibi özel bir ortamda olduğunuzu varsayarsak, bu, neredeyse tüm modern dizüstü bilgisayarlarda ve mobil cihazlarda bulunan kameralar veya mikrofonlar gibi şeyleri içerir.
Akıllı TV’ler, Alexa vb. gibi çeşitli Nesnelerin İnterneti (IoT) ürünlerini unutmayın. Bunlardan herhangi biri potansiyel olarak kullanılabilir seni gözetlemek Bir işlem yaparken.
Bu nedenle, çalışma alanınızı potansiyel olarak istismar edilebilecek herhangi bir şeyden “temizlemek” – bu cihazları işletim alanından kapatmak veya hatta tamamen kaldırmak çok önemlidir.
Biraz paranoyak gibi görünse de, büyük ve kritik meblağlar söz konusuysa, saldırganlara karşı korumanızın önemli bir yönüdür.
Ofis, kütüphane veya kafe gibi halka açık herhangi bir yerden işlem imzalamak genellikle önerilmez, ancak bazen başka alternatifiniz de yoktur. Eğer öyleyse, güvenliği en üst düzeye çıkarmak için birkaç adım atılabilir.
Yine, bölgedeki tüm güvenlik kameralarını düşünmek isteyeceksiniz. Günümüzde CCTV, özellikle HD ve 4K çözünürlüklü kameralar, görüş alanı içerisinde bilgisayar veya cep telefonu ekranında görüntülenenleri rahatlıkla okuyabilmektedir.
Tabii ki – ve umarım söylemeye gerek yoktur – yakın çevrede başka insanlar olmamalıdır. Mümkün olan en izole alanı, örneğin boş bir çalışma odasını bulmak en iyisidir.
Etkilenen tüm cihazları güncelleyin
Belki daha da önemlisi, imzalama sürecinde yer alan tüm cihazlardaki tüm yazılımları ve ürün yazılımlarını güncellemek isteyeceksiniz.
Doğrudan bir bilgisayar veya mobil cihaz kullanmıyorsanız, bir işlemi iletmek için donanım cüzdanınızın buna bağlanması gerekir.
Teorik olarak donanım cüzdanları, bağlandıkları birimin güvenliğinin ihlal edilmesinin bir önemi olmayacak şekilde tasarlanmıştır. Tüm işlemler cüzdanın kendisinde gerçekleşir; PC’ler veya akıllı telefonlar yalnızca işlemi yayınlamak için kullanılır.
Bununla birlikte, bazı kötü amaçlı yazılım biçimleri, tutar ve alıcının adresi dahil olmak üzere bir işlemin çeşitli yönlerini değiştirebilir. Değişiklik adresi bile (bir işlemin değişikliğinin, seçilen tutar alıcıya gönderildikten sonra gittiği bir adres) manipüle edilebilir, gözden kaçırılması kolay bir alandır.
Bir telefon veya bilgisayar kullanıyorsanız, işletim sisteminizi en son güvenlik yamasına güncellemek isteyeceksiniz. Mevzuata göre cüzdanınızın donanım yazılımı da güncellenmelidir.
Güncelleme belirli bir acil güvenlik tehdidi içermiyorsa da, yükseltme yapmak için genellikle yeni bir sürümden sonra birkaç gün beklemek en iyisidir. Gerçekten de, en son yamalarda hızlı bir şekilde düzeltilme eğiliminde olan ancak baş ağrısına neden olabilecek hatalar olması yaygın bir durumdur. Bu nedenle, kritik olmayan güncellemelere onları test etmek için biraz alan vermek iyi bir fikirdir.
Hatırlanması gereken son bir şey, tüm yazılımları ve ürün yazılımlarını yalnızca bir web sitesi veya depo gibi resmi kaynaklardan sürekli olarak güncellemektir.
gibi araçların nasıl kullanılacağını öğrenmeye çalışın. GPG tüm verilerin orada olması gerekenlerle eşleştiğini doğrulamak için dosya imzalarını resmi olarak belgelenmiş olanlarla kontrol etmek.
Bir saldırı aracı olarak kullanmanın çok fazla yolu olduğundan, hiçbir bağlantıya, hatta belirli bir yazılımdan gelen bağlantılara asla güvenmeyin.
Örnek olarak, popüler bitcoin cüzdanı elektrum 2020’de, kötü niyetli aktörlerin, sağlanan bir bağlantıyla güncelleme yapılması gerektiğini iddia eden bir mesajı uygulamanın kendisi aracılığıyla tüm kullanıcılara iletmesine izin veren bir saldırıya maruz kaldı.
Bağlantının, kurbanın makinesine bozuk bir Electrum sürümü yükleyen bir kimlik avı saldırısı olduğu ortaya çıktı. Bu, saldırganlara kötü amaçlı yazılımı yükleyenlerin cüzdanları üzerinde tam kontrol sağladı ve bu da kullanıcı fonlarında milyonlarca dolarlık kayba neden oldu.
Kolaylıkla Gözden Kaçan OPSEC Prosedürleri
Ele alınması gereken en bariz saldırı vektörlerinden biri insan hatasıdır. İyi bir güvenliğe sahip olduğunuzu düşünseniz bile, insanlar işler iyi gittiğinde yanlış bir güvenlik duygusu geliştirme eğilimindedir ve bu da gevşek uygulamalara yol açar.
En kötü başarısızlıklar, gardınızı indirdiğinizde gerçekleşir. Bir imza etkinliğini asla aceleye getirmeyin; bol bol kesintisiz zamanınız olduğundan emin olun.
Acele etmek veya dikkatinizi dağıtmak, bir imzayı onaylamadan önce işlem verilerinizi iki kez kontrol etmek gibi bir şeyi unutmanın harika yollarıdır.
Birkaç savunma hattından bahsetmiş olsak da, bunlar asla hafife alınmamalıdır. Herhangi bir işlemde yer alan tutarları ve adresleri iki ve üç kez kontrol edin, çünkü bu sizi büyük bir hata yapmaktan kurtarabilir.
Ayrıca halka açık şarj istasyonlarını ve hatta bilinmeyen üçüncü taraf USB kablolarını kullanırken son derece dikkatli olun. Görünüşte zararsız USB kabloları var dolaşan kafanın içinde araya girip verileri enjekte edebilen küçük çiplerle – bir kripto para birimi işlemini ele geçirerek ve ortalığı kasıp kavurarak.
Bazı uyumluluk sorunları ve cihaz aşınması ile birleştiğinde, herhangi bir harici imza cihazıyla birlikte gelen USB kablolarını kullanmak her zaman en iyisidir.
Durum denetimleri, anahtarlarınıza hızlı bir güven sağlayabilir
Son olarak, bazı imza cihazları tarafından sunulan ve güvenliği artırmada paha biçilmez olabilecek bir teknik vardır. ” olarak bilinirKontrol etmekBu teknik, anahtarlarınızın işlemleri imzalamak için uygun olduğunu doğrulamanın kolay bir yolunu sağlar.
Bir cep telefonunda sağlık kontrolü yapacaksanız, kontrol önce anahtarınızın yerel olarak mevcut olduğunu ve cihazın düzgün çalıştığını onaylar. Bu, aynı geçerli anahtarın güvenli bir şekilde buluta yedeklenmesini de sağlayacaktır.
Tüm bunlar tek bir tıklama ile otomatikleştirilebilir ve bir şeyler ters giderse kullanıcı uyarılır.
Aynı temel adımlar donanım cüzdanları için de geçerlidir ancak harici cihazın bir bilgisayara veya cep telefonuna bağlı olması gerekir. Çoklu imza cüzdanlarında çoklu anahtarlar için sağlık kontrolleri de yapılabilir.
Bu anahtarlar farklı cihazlarda depolanıyorsa, sağlık kontrolünün etkilenen her birimde çalıştırılması gerektiğini unutmamak önemlidir.
OPSEC dünyası karmaşık ve sürekli değişken olduğundan, ortamın güvenliğini sağlamak, tüm cihazları güncel tutmak ve kolayca gözden kaçan sorunları hesaba katmalarını sağlamak, saldırganlara karşı bir adım önde ilerlemek için gerekli adımlardır.
Kullanıcılar, bu stratejileri altı ayda bir düzenli sağlık kontrolleriyle birleştirerek kripto para birimi fonlarını koruyan güvenliği önemli ölçüde artırabilir.
____
Daha fazla bilgi edin:
– Trezor bir güvenlik uyarısı veriyor
– Bu popüler donanım cüzdanı bir siber güvenlik şirketi tarafından hacklendi – Endişelenmeli misiniz?
– Bilgisayar korsanları ve dolandırıcılar yalnızca dördüncü çeyrekte 1,62 milyar dolar çaldı
– Web3 Geçen Yıl Dolandırıcılara Yaklaşık 4 Milyar Dolar Kaybetti – 2023’te İşler Daha İyi Olacak mı?
– Kripto Dolandırıcısı “Adres Zehirlenmesi” Saldırısı Yoluyla 1,2 Milyon Dolarlık ARB Jetonunu Aldı – İşte Olanlar
– Crypto Wallet Maker Ledger Son Finansman Turunda 109 Milyon Dolar Arttırdı – Boğa Piyasası Geri mi Döndü?
– MetaMask, kripto para birimleri satın almak için daha fazla ödeme seçeneği sunuyor – Kripto kabulü artıyor mu?
– Apple, Exchange Uniswap Merkezi Olmayan iOS Cüzdan Uygulamasını Onayladı – İşte Nasıl Çalışıyor?
– Bir Bitcoin cüzdanı nasıl seçilir?
– Bir Ethereum cüzdanı kurmanın 3 yolu