Crypto Security noong 2016: Isang Kuwento ng Dalawang Kahinaan

Si Bill Shihara ay ang CEO at co-founder ng Cryptocurrency exchange Bittrex, at isang dating security engineer sa Amazon, Blackberry at Microsoft.

Sa espesyal na feature na ito ng CoinDesk 2016 sa Review, sinusuri ng Shihara ang mga pangunahing Events sa cybersecurity sa industriya ngayong taon, na gumuhit ng malinaw na mga uso na maaaring magbigay-alam sa mga kumpanya at indibidwal na naglalayong mas mahusay na protektahan ang kanilang mga pondo sa 2017.

Bitfinex, The DAO, Gatecoin...

Ang seguridad ay palaging isang alalahanin sa Bitcoin at mas malaking komunidad ng Cryptocurrency , at hindi nakakagulat, walang kakulangan ng mga malisyosong pag-atake sa mga kumpanya ng industriya noong 2016.

Sa taong ito, nakakita kami ng ilang mga hack sa pangunahing negosyo na nagmumungkahi na ang mga malisyosong umaatake ay malamang na patuloy na maging banta sa mga startup ng Cryptocurrency , na inilalagay sa panganib ang mga user at investor sa industriya ng blockchain.

Habang naghahanda ang mga startup at investor para sa 2017, tingnan natin ang ilan sa mga pangunahing insidente sa pag-asang mas mababa ang suwerte ng mga hacker sa susunod na taon.

Unang Kalahati ng 2016: Mga Sentralisadong Serbisyo Inatake

Ang mga sentralisadong serbisyo (o malalaking pool ng cryptocurrencies) ay palaging nakakaakit na mga target para sa mga hacker.

Ngunit ang kapansin-pansin ay ang tatlong palitan ng Cryptocurrency na na-hack sa panahong ito ay nakompromiso gamit ang ibang paraan. Magtatalo ako na ang pag-unlad ay nagtataas ng mga isyu para sa mga customer na sinusubukang pamahalaan ang panganib ng paglalagay ng kanilang mga digital na asset sa mga sentralisadong serbisyo.

Ang ShapeShift, halimbawa, ay nawalan ng sariling pondo sa pamamagitan ng maraming hack ng isang tagaloob, habang pareho Gatecoin at nawalan ng pondo ng user ang Bitfinex sa pamamagitan ng mga external na hack (at nagsusumikap na bayaran ang kanilang mga customer).

T namin makakalimutan ang pinakamalaking hack ng taon bagaman: Ang DAO.

Ang DAO, isang desentralisadong venture capital fund, ay nakalikom ng humigit-kumulang $150m noong Marso mula sa mga digital currency investors sa buong mundo.

Sa kasamaang palad, ang pangako ng mga matalinong kontrata at "code bilang batas" ay nasubok nang magamit ng isang hacker ang The DAO code para mag-withdraw ng $50m na ​​halaga ng Ethereum. Tandaan, ang mga matalinong kontrata ay software at hindi immune sa mga logic bug na maaaring humantong sa mga bahid sa seguridad.

Tulad ng paglalagay ng iyong pera sa mga palitan, dapat mong pag-isipang mabuti ang mga matalinong kontrata at mga desentralisadong solusyon, at kung paano gumagana ang mga ito, upang maunawaan kung paano pinoprotektahan ang iyong mga pondo.

Ikalawang Half ng 2016: Mga Indibidwal na Naka-target

Habang ang mga serbisyong binuo sa industriya ng Cryptocurrency ay nagtaas ng antas sa seguridad, ang mga hacker ay lumipat sa mas madaling mga target, na umaatake sa mga indibidwal na gumagamit.

Kahit na ang mga sopistikadong beterano sa industriya ng Bitcoin ay gusto Bo Shen at Jered Kenna, gaya ng iniulat ni Forbes, ay hindi immune mula sa wave na ito ng mga hack.

Sa ikalawang kalahati ng 2016, ilang tao sa espasyo ng Cryptocurrency ang ninakaw ang kanilang mga numero ng telepono. Nagawa ng mga hacker na "socially engineer" ang kanilang mga carrier ng telepono at kumbinsihin ang mga support engineer na ilipat ang kanilang numero ng telepono sa ONE na kinokontrol ng hacker.

Ito ay partikular na mapanlinlang dahil ang mga SMS na text message at numero ng telepono ay ginagamit bilang isang mekanismo ng pagpapatunay ng maraming mga serbisyo na umaasa ka sa araw-araw tulad ng Google, Facebook at ilang mga serbisyo ng Cryptocurrency .

Sa ilang mga kaso, ang iyong telepono ay maaaring gamitin bilang isang kadahilanan upang i-reset ang isang password o kung hindi man ay makapasok sa isang account. Pinoprotektahan ng iyong kumpanya ng telepono ang iyong digital life gamit ang pinakamurang labor na mahahanap nila, at T palaging Social Media ng mga support engineer na iyon ang kanilang mga proseso sa seguridad.

Ang pinakamagandang gawin ay alisin ang iyong numero ng telepono mula sa anumang mga serbisyo kung saan ito ay kasalukuyang nakatali. Ang isa pang pinakamahusay na kagawian - kahit na hindi palaging walang tigil dahil maaaring hindi Social Media ng iyong carrier ng telepono ang kanilang sariling mga proseso ng seguridad - ay ang paglalagay ng password sa iyong account at hilingin na ang anumang pagpapalit ng SIM o pagpapalit ng carrier ay mangyari lamang kung ipinapakita ang wastong pagkakakilanlan sa isang tindahan.

Sa paksa ng social engineering, mag-ingat sa kung saan mo ilalagay ang iyong mga kredensyal at anumang impormasyon tungkol sa iyong sarili – sa LinkedIn, Facebook at Twitter, halimbawa.

Maaaring kolektahin ng mga hacker ang impormasyong ito at gamitin ito sa social engineer sa kanilang paraan sa iyong mga account. Isipin ang mga sagot sa iyong mga tanong na panseguridad at kung matutukoy ng isang tao ang mga ito sa pamamagitan ng pagtingin sa iyong profile sa Facebook.

At, malinaw naman, kung muli mong ginagamit ang parehong username at password sa maraming site, dapat mong isaalang-alang ang mga alternatibo. Gumamit ng hardware- o device-based na two-factor authentication sa bawat site na sumusuporta dito.

KEEP na may mga pekeng site na idinisenyo upang linlangin ka sa pagbibigay ng iyong mga kredensyal. Karaniwang binibili ng mga hacker ang Adwords upang ang kanilang mga nakakahamak na site ay nasa tuktok ng mga paghahanap sa web.

Pagtingin sa Taon sa Hinaharap: 2017

Ang 2016 ay isang malaking taon para sa mga hacker, ngunit ang 2017 ay T kailangang maging ganoon.

Sa pamamagitan ng pagbibigay-pansin sa mga uso at pagprotekta sa iyong negosyo at mga personal na account gamit ang mga advanced na hakbang sa proteksyon, lahat tayo ay makikinabang sa isang mas ligtas, mas secure Cryptocurrency ecosystem.

Gayunpaman, hindi pa tayo eksakto doon. Sa 2017, inaasahan kong mamumuhunan ang industriya sa Technology ng Privacy at mga solusyon sa pagkakakilanlan sa mga blockchain.

Ligtas na pag-crack ng imahe sa pamamagitan ng Shutterstock