Безопасность Криптo в 2016 году: история двух слабостей

Билл Шихара — генеральный директор и соучредитель Криптовалюта биржи Bittrex, а также бывший инженер по безопасности в Amazon, Blackberry и Microsoft.

В этой специальной статье CoinDesk 2016 in Review Шихара рассматривает основные Мероприятия в отрасли кибербезопасности в этом году, выделяя четкие тенденции, которые могут быть полезны компаниям и частным лицам, стремящимся лучше защитить свои средства в 2017 году.

Bitfinex, The DAO, Gatecoin...

Безопасность всегда была предметом беспокойства в сообществе Bitcoin и Криптовалюта в целом, и неудивительно, что в 2016 году не было недостатка в вредоносных атаках на компании отрасли.

В этом году мы стали свидетелями нескольких взломов крупных предприятий, которые позволяют предположить, что злоумышленники, вероятно, продолжат представлять угрозу для Криптовалюта стартапов, подвергая риску пользователей и инвесторов в индустрию блокчейна.

Пока стартапы и инвесторы готовятся к 2017 году, давайте рассмотрим некоторые из крупных инцидентов в надежде, что в предстоящем году хакерам повезет меньше.

Первая половина 2016 года: Атака на централизованные службы

Централизованные сервисы (или крупные пулы криптовалют) всегда были заманчивыми целями для хакеров.

Но что примечательно, так это то, что три Криптовалюта биржи, которые были взломаны в этот период, были скомпрометированы с использованием совершенно разных методов. Я бы сказал, что развитие событий поднимает вопросы для клиентов, пытающихся управлять риском размещения своих цифровых активов в централизованных сервисах.

Например, ShapeShift потеряла собственные средства из-замножественные взломыинсайдером, в то время как обаГейткойни Bitfinex потеряли средства пользователей из-за внешних взломов (и работают над тем, чтобы возместить средства своим клиентам).

Однако мы T можем забыть о самом крупном взломе года: DAO.

Децентрализованный венчурный фонд DAO в марте привлек около 150 млн долларов от инвесторов в цифровую валюту по всему миру.

К сожалению, обещание смарт-контрактов и «кода как закона» подверглось испытанию, когда хакер смог использовать код The ​​DAO для вывода $50 млн Ethereum. Помните, смарт-контракты — это программное обеспечение, и оно не застраховано от логических ошибок, которые могут привести к уязвимостям безопасности.

Как и при размещении денег на биржах, вам следует тщательно продумать смарт-контракты и децентрализованные решения, а также то, как они работают, чтобы понять, как защищены ваши средства.

Вторая половина 2016 года: отдельные лица, подвергшиеся нападению

Поскольку сервисы, созданные в индустрии Криптовалюта , повысили планку безопасности, хакеры перешли к более легким целям, атакуя отдельных пользователей.

Даже опытные ветераны Bitcoin индустрии, такие как Бо Шени Джеред Кенна,как сообщаетФорбс, не застрахованы от этой волны взломов.

Во второй половине 2016 года у нескольких людей в сфере Криптовалюта были украдены номера телефонов. Хакеры смогли провести «социальную инженерию» их операторов телефонной связи и убедить инженеров службы поддержки сменить номер телефона на ONE , который контролируется хакером.

Это особенно коварно, поскольку текстовые SMS-сообщения и телефонные номера используются в качестве механизма аутентификации многими сервисами, которыми вы пользуетесь ежедневно, такими как Google, Facebook и некоторыми Криптовалюта сервисами.

В некоторых случаях ваш телефон может быть использован в качестве единственного фактора для сброса пароля или иного доступа к аккаунту. Ваша телефонная компания защищает вашу цифровую жизнь, используя самую дешевую рабочую силу, которую она может найти, и эти инженеры поддержки T всегда Социальные сети своим процессам безопасности.

Лучше всего удалить свой номер телефона из любых сервисов, к которым он в настоящее время может быть привязан. Еще одна лучшая практика — хотя и не всегда надежная, поскольку ваш оператор мобильной связи может не Социальные сети собственным процессам безопасности — установить пароль на свой аккаунт и требовать, чтобы любая замена SIM-карты или смена оператора происходила только при предъявлении действительной идентификации в магазине.

Говоря о социальной инженерии, будьте осторожны с тем, где вы размещаете свои учетные данные и любую информацию о себе — например, на LinkedIn, Facebook и Twitter.

Хакеры могут собирать эту информацию и использовать ее для проникновения в ваши аккаунты с помощью социальной инженерии. Подумайте об ответах на ваши контрольные вопросы и о том, может ли кто-то определить их, посмотрев ваш профиль в Facebook.

И, очевидно, если вы повторно используете одно и то же имя пользователя и пароли на нескольких сайтах, вам следует рассмотреть альтернативы. Используйте двухфакторную аутентификацию на основе оборудования или устройства на каждом сайте, который ее поддерживает.

KEEP , что существуют поддельные сайты, созданные для того, чтобы обманом заставить вас предоставить свои учетные данные. Хакеры регулярно покупают Adwords, чтобы их вредоносные сайты оказывались в верхней части результатов поиска в Интернете.

Взгляд в будущий год: 2017

2016 год был знаменательным для хакеров, но 2017 год T обязательно должен быть таким.

Обращая внимание на тенденции и защищая свои корпоративные и личные счета с помощью современных мер защиты, мы все можем извлечь выгоду из более безопасной и защищенной Криптовалюта экосистемы.

Но пока мы еще не достигли этой цели. Я ожидаю, что в 2017 году отрасль будет активно инвестировать в Технологии Политика конфиденциальности и решения для идентификации в блокчейнах.

Изображение взлома сейфачерез Shutterstock