La sicurezza Cripto nel 2016: il racconto di due debolezze

Bill Shihara è CEO e co-fondatore dell'exchange Criptovaluta Bittrex, nonché ex ingegnere della sicurezza presso Amazon, Blackberry e Microsoft.

In questo speciale CoinDesk 2016 in Review, Shihara passa in rassegna i principali Eventi di sicurezza informatica del settore di quest'anno, tracciando chiare tendenze che potrebbero orientare aziende e privati ​​che desiderano proteggere meglio i propri fondi nel 2017.

Bitfinex, The DAO, Gatecoin...

La sicurezza è sempre stata una preoccupazione per la comunità Bitcoin e Criptovaluta in generale e, non sorprende che nel 2016 non siano mancati attacchi dannosi alle aziende del settore.

Quest'anno abbiamo assistito a diversi attacchi informatici a danno di importanti aziende, il che suggerisce che è probabile che gli aggressori malintenzionati continuino a rappresentare una minaccia per le startup Criptovaluta , mettendo a rischio gli utenti e gli investitori nel settore blockchain.

Mentre le startup e gli investitori si preparano per il 2017, diamo un'occhiata ad alcuni degli incidenti più importanti, nella speranza che gli hacker abbiano meno fortuna nell'anno a venire.

Prima metà del 2016: servizi centralizzati attaccati

I servizi centralizzati (o grandi pool di criptovalute) sono sempre stati obiettivi allettanti per gli hacker.

Ma ciò che è degno di nota è che i tre exchange Criptovaluta che sono stati hackerati durante questo periodo sono stati compromessi usando metodi molto diversi. Direi che lo sviluppo solleva problemi per i clienti che cercano di gestire il rischio di mettere i loro asset digitali in servizi centralizzati.

ShapeShift, ad esempio, ha perso i propri fondi attraversomolteplici hackda un insider, mentre entrambiMoneta di portae Bitfinex hanno perso i fondi degli utenti a causa di attacchi informatici esterni (e stanno lavorando per ripagare i propri clienti).

Ma T possiamo dimenticare il più grande hack dell'anno: il DAO.

Il DAO, un fondo di capitale di rischio decentralizzato, ha raccolto circa 150 milioni di dollari a marzo da investitori in valuta digitale in tutto il mondo.

Sfortunatamente, la promessa degli smart contract e del "codice come legge" è stata messa alla prova quando un hacker è riuscito a usare il codice DAO per prelevare 50 milioni di dollari in Ethereum. Ricorda, gli smart contract sono software e non sono immuni da bug logici che possono portare a falle di sicurezza.

Proprio come quando si investe denaro negli exchange, dovresti riflettere attentamente sui contratti intelligenti e sulle soluzioni decentralizzate, e sul loro funzionamento, per capire come vengono protetti i tuoi fondi.

Seconda metà del 2016: individui presi di mira

Poiché i servizi sviluppati nel settore Criptovaluta hanno alzato il livello di sicurezza, gli hacker si sono spostati su obiettivi più facili, attaccando singoli utenti.

Anche i veterani più esperti del settore Bitcoin come Bo Shene Jered Kenna,come riportato daForbes, non sono rimasti immuni da questa ondata di attacchi informatici.

Nella seconda metà del 2016, a diverse persone nel settore Criptovaluta sono stati rubati i numeri di telefono. Gli hacker sono riusciti a "fare ingegneria sociale" con i loro operatori telefonici e a convincere i tecnici dell'assistenza a cambiare il loro numero di telefono con ONE controllato dall'hacker.

Ciò è particolarmente insidioso perché i messaggi di testo SMS e i numeri di telefono vengono utilizzati come meccanismo di autenticazione da molti servizi su cui facciamo affidamento quotidianamente, come Google, Facebook e alcuni servizi Criptovaluta .

In alcuni casi, il tuo telefono può essere utilizzato come singolo fattore per reimpostare una password o altrimenti entrare in un account. La tua compagnia telefonica protegge la tua vita digitale con la manodopera più economica che può trovare, e quegli ingegneri di supporto T sempre Seguici i loro processi di sicurezza.

La cosa migliore da fare è rimuovere il tuo numero di telefono da qualsiasi servizio a cui potrebbe essere attualmente associato. Un'altra buona pratica, sebbene non sempre infallibile perché il tuo gestore telefonico potrebbe non Seguici i propri processi di sicurezza, è quella di impostare una password sul tuo account e richiedere che qualsiasi scambio di SIM o cambio di gestore avvenga solo se viene mostrato un documento di identità valido in un negozio.

Per quanto riguarda l'ingegneria sociale, fai attenzione a dove inserisci le tue credenziali e qualsiasi informazione su di te, ad esempio su LinkedIn, Facebook e Twitter.

Gli hacker possono raccogliere queste informazioni e usarle per fare ingegneria sociale e accedere ai tuoi account. Pensa alle risposte alle tue domande di sicurezza e se qualcuno potrebbe determinarle guardando il tuo profilo Facebook.

E, ovviamente, se riutilizzi lo stesso nome utente e le stesse password su più siti, dovresti prendere in considerazione delle alternative. Utilizza l'autenticazione a due fattori basata su hardware o dispositivo su ogni sito che la supporta.

KEEP presente che ci sono siti falsi progettati per ingannarti e farti fornire le tue credenziali. Gli hacker acquistano regolarmente Adwords in modo che i loro siti dannosi siano in cima alle ricerche web.

Uno sguardo all'anno a venire: 2017

Il 2016 è stato un anno importante per gli hacker, ma il 2017 T deve essere per forza così.

Prestando attenzione alle tendenze e proteggendo i nostri account aziendali e personali con misure di protezione avanzate, possiamo tutti trarre vantaggio da un ecosistema Criptovaluta più sicuro e protetto.

Tuttavia, non ci siamo ancora arrivati. Nel 2017, mi aspetto che il settore investa molto in Tecnologie Privacy e soluzioni di identità nelle blockchain.

Immagine di scasso della cassafortetramite Shutterstock