В Аттингхаузене, Швейцария, находится «холодильная камера» – выложенная стальными плитами и расположенная на глубине 300 м внутри гранитной горы, в старом, переоборудованном военном бункере. Что внутри неё? Отключённое от сети оборудование с приватными ключами богатых владельцев криптовалют, ищущих хоть немного спокойствия.
Такие меры безопасности могут показаться крайними, но в криптосфере много векторов атаки: обман, мошенничество, вымогательство, друзья, превратившиеся во врагов, ненастоящие друзья. Фейковые аккаунты выявляются недостаточно быстро:
«Время, нужное мошенникам на копирование моей новой авы: 10 минут.НЕ ВЕРЬТЕ НИКОМУ, КТО ПРОСИТ ИЛИ ПРЕДЛАГАЕТ ДЕНЬГИ В ТВИТТЕРЕ».
Фейковые Виталики. Фейковые Джо Любины. Насколько внимательно вы смотрите на никнеймы в соцсетях? Просматривая Твиттер, можно запросто не заметить «l» в @etlhereumJoseph.
Значительная часть криптоактивов многих пользователей находится на «горячем» хранении – в онлайн-кошельках на централизованных биржах, которые за эти годы неоднократно становились жертвами взломов: в 2014 г. хакеры увели с Mt.Gox примерно 740 000 BTC, а не так давно с Bitfinex исчезло почти 120 000 BTC.
Не стоит также забывать о старых как мир угрозах, таких как пожар и забывчивость (один человек случайно выбросил биткойны стоимостью $9 млн). Векторы атаки могут быть невзрачными, даже пушистыми:
«Я поймал своего кота, когда тот убегал из моего офиса с моим YubiKey в зубах – я даже не рассматривал такую модель угрозы».
Проблема в том, что оставленные без присмотра криптовалюты могут вообще исчезнуть – иногда в другой стране, вне досягаемости закона, а иногда в криптографических чёрных дырах (в 2011 г. с Mt.Gox исчезло 2609 BTC из-за ошибки в сценарии). В блокчейне замечательно то, что вы можете сами себе быть банком. Но это также может пугать тех из нас, кто привык разрешать центральным институтам распоряжаться нашей жизнью за нас. Пришло время для самообразования.
Уровень: Сноуден
К счастью, Ник Додсон, основатель BoardRoom (теперь GovernX), недавно опубликовал на GitBook «Профессиональные советы по управлению кошельком Ethereum», инструкцию по безопасности как для неопытных, так и для тех, кто всегда ходит в шапочке из фольги. Личные меры безопасности Додсона достигают уровня Сноудена – накрывание монитора одеялом и т. п., – но его цель – не отпугнуть пользователей, а вооружить. Он признаёт, что безопасность иногда достаётся за счёт удобства. Если уровней безопасности слишком много, то можно даже самого себя поставить в тупик при попытке получить доступ к собственной криптовалюте. Додсон предоставляет ресурсы, позволяющие самостоятельно решить, к каким сложностям вы хотите прибегнуть.
Предостережение: с публикацией этих советов возникает риск, что рекомендуемые здесь инструменты и меры безопасности могут оказаться в центре внимания злоумышленников. Так что оставайтесь начеку. Но не унывайте. Блокчейн не только заставляет думать о самосохранении. Он также даёт нам выбор. Как пишет Додсон: «Будь бдителен – и преуспеешь».
1. Знайте векторы атаки
Нужно знать врага в лицо. Остерегайтесь пресловутых «посредников» – тех, кто пытается вклиниться между вами и пунктом назначения. Поддельные сайты – вредоносные страницы, выдающие себя за другие сайты, – сегодня могут быть неотличимыми от оригинала. Проверьте адрес ещё раз. А лучше добавьте криптовалютные сайты в закладки и заходите только через них (MetaMask также блокирует для вас клоны MyEtherWallet). Проверяйте скачиваемые программы. Нет смысла использовать копию операционной системы Tails, если она заражена шпионским ПО. Атака посредника может даже быть буквальной: один человек потерял все свои сбережения из-за перекупщика на Ebay, который вынул ключ восстановления из аппаратного кошелька и переупаковал его. Покупайте аппаратные кошельки только напрямую у производителя. Но нужно также думать на два шага вперёд. Возможно, адрес сайта правильный. Но откуда вы знаете, что никто не взломал ваш Wi-Fi, не подменил DNS и не перенаправил вас на другой IP? Компьютерная безопасность напоминает шахматы: всегда допускайте, что ваш оппонент умнее вас.
2. Используйте сложные пароли
К этому времени вы уже должны знать что к чему – никаких дат рождения, названий улиц, текстов песен и т. д. (не спрашивайте даже о паролях моей мамы). Но даже если вы будете нажимать случайные клавиши, это всё равно недостаточно случайно (вы не являетесь хорошим источником энтропии). Взломщики паролей способны перебирать 350 млрд вариантов в секунду. Создавайте фразы-пароли с помощью генераторов случайных мнемонических фраз или приобретите аппаратный кошелёк, который будет генерировать вам сильные ключи и подписи. Несколько паролей лучше, чем один. Кошельки с мультиподписями, такие как Gnosis, требуют нескольких ключей для подтверждения транзакции. Также используйте двухфакторную аутентификацию для всего: почта, биржи, Steam и т. д. Подсказка: возможно, таймер с обратным отсчётом и раздражает, но двухфакторная аутентификация на основе приложений намного безопаснее, чем СМС. Пусть это послужит вам предостережением.
3. Используйте холодное хранение
Не обязательно спускаться на 300 м под землю, но стоит держать большую часть ваших криптоактивов на «холодном» хранении – то есть, отключёнными от сети. На биржах и онлайн-кошельках держите лишь столько, сколько вы готовы потерять. Можете либо завести себе компьютер или ноутбук без сетевой карты (ОС Tails не требует подключения к сети), либо купить аппаратный кошелёк. При генерации ключевой фразы включите аппаратный кошелёк напрямую в розетку, чтобы он оставался максимально холодным. Подсказка для параноиков: накройте микрофон и камеру ноутбука и уберите из помещения все электрические приборы.
4. Тестируйте всё
Проводите небольшие тестовые транзакции или экспериментируйте с небольшими суммами в тестовой сети, прежде чем рисковать своим состоянием. Никогда не вводите адреса вручную (более 12 000 ETH было навсегда утрачено из-за опечаток). Копируйте и вставляйте, используйте Ethereum Name Service или сканируйте QR-код. Удостоверьтесь в надёжности вашего приложения для сканирования (см. совет №1: знайте векторы атаки). Дважды проверьте идентикон целевого адреса. Прежде чем переводить криптовалюты на свой аппаратный кошелёк, протестируйте ключевую фразу. Если вы собираете отключённый от сети компьютер, запишите и перепроверьте контрольную сумму MD5 до и после загрузки данных на SD-карту. Ради Эфириума, тестируйте всё.
Небольшая паранойя – это хорошо. Но к такому, возможно, не нужно прибегать. Когда вы последний раз выходили на улицу?
5. Храните ключевые фразы на разных устройствах и в разных местах
Стандартная ключевая фраза BIP39 представляет собой любопытную строку из 24 слов, из которых можно получить приватный ключ. Очень внимательно относитесь к своему ключу. Если вы записываете его на бумаге, то подумайте о создании двух копий и их хранении в разных местах. Ещё один вариант хранения – SD-карты, но они редко работают дольше 5 лет и могут легко быть уничтожены (с помощью электромагнитной бомбы). Используйте на всякий случай как аналог, так и цифру (кое-кто выбивает ключевые фразы на стальных пластинах). Если хотите прокачать уровень: храните части ключевой фразы в разных безопасных местах. И помните: точно запишите все шаги, чтобы вы (или ваши наследники) смогли восстановить ключ.
6. Придерживайтесь правдоподобного отрицания
Правдоподобное отрицание в криптовселенной означает способность хранить определённую информацию в тайне. Вот полезная инструкция по публичному разглашению: не рассказывайте о своих активах и особенно не сообщайте миру (через соцсети) о том, на каких биржах вы держите всю свою криптовалюту. Да и вообще не стоит держать все свои криптовалюты на горячем хранении (см. совет №3: используйте холодное хранение). На случай, если кто-то заявится к вам без приглашения, можете спрятать счета по разным путям на аппаратном кошельке. Также минимизируйте риск, распределив активы по нескольким кошелькам.
7. Прокачайте уровень. Помогите экосистеме
В конце своей инструкции на GitBook Додсон рекомендует четыре разных уровня настройки кошелька, причём уровень 4 – для самых скрупулёзных пользователей. Какую сложность вы предпочтёте – решать вам. Но помните: ваш выбор степени безопасности влияет не только на вас, но и на экосистему. Если вы не используете двухфакторную аутентификацию и кто-то завладеет вашей электронной почтой (которую вы, например, забыли закрыть на компьютере в библиотеке), то когда злоумышленник начнёт заниматься фишингом среди ваших контактов, ответственность на вас. Так что заставьте себя прокачать уровень. Поэкспериментируйте с аппаратными кошельками, Tails и мультиподписями. Пробудите в себе Сноудена. Учитесь, обучая других. Расскажите друзьям о холодном хранении, а своей маме – о сильных паролях. Помогите сообществу выявлять поддельные сайты и фейковые аккаунты. «Профессиональные советы» Додсона – это подарок экосистеме, который мы можем использовать с пользой.
Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram
