Безпека Крипто у 2016 році: історія про дві слабкості

Білл Шихара є генеральним директором і співзасновником Криптовалюта біржі Bittrex, а також колишнім інженером безпеки в Amazon, Blackberry та Microsoft.

У цій спеціальній статті CoinDesk 2016 in Review Шихара оглядає основні Заходи в галузі кібербезпеки в галузі цього року, вимальовуючи чіткі тенденції, які можуть інформувати фірми та окремих осіб, які прагнуть краще захистити свої кошти в 2017 році.

Bitfinex, DAO, Gatecoin...

Безпека завжди викликала занепокоєння в спільноті Bitcoin і Криптовалюта , і не дивно, що в 2016 році не було браку зловмисних атак на галузеві компанії.

Цього року ми спостерігали кілька хакерських атак на великий бізнес, які свідчать про те, що зловмисники й надалі залишатимуться загрозою для Криптовалюта стартапів, піддаючи користувачам та інвесторам у індустрію блокчейну ризик.

Поки стартапи та інвестори готуються до 2017 року, давайте розглянемо деякі з основних інцидентів у надії, що наступного року хакерам пощастить менше.

Перша половина 2016: централізовані служби атакували

Централізовані сервіси (або великі пули криптовалют) завжди були привабливими цілями для хакерів.

Але примітно, що три Криптовалюта біржі, які були зламані протягом цього періоду, були скомпрометовані за допомогою дуже різних методів. Я б стверджував, що така розробка створює проблеми для клієнтів, які намагаються управляти ризиком розміщення своїх цифрових активів у централізованих службах.

ShapeShift, наприклад, втратив власні кошти кілька хаків інсайдером, поки обидва Гейткоін і Bitfinex втратив кошти користувачів через зовнішні хакерські атаки (і працював над тим, щоб повернути гроші своїм клієнтам).

Однак ми T можемо забути найбільший хак року: DAO.

DAO, децентралізований фонд венчурного капіталу, у березні залучив приблизно 150 мільйонів доларів США від інвесторів у цифрову валюту з усього світу.

На жаль, перспективи смарт-контрактів і «код як закон» були піддані випробуванню, коли хакер зміг використати код DAO, щоб вивести Ethereum на 50 мільйонів доларів. Пам’ятайте, смарт-контракти є програмним забезпеченням і не захищені від логічних помилок, які можуть призвести до недоліків безпеки.

Так само, як і під час розміщення грошей на біржах, вам слід уважно подумати про розумні контракти та децентралізовані рішення та про те, як вони працюють, щоб зрозуміти, як захищені ваші кошти.

Друге півріччя 2016 року: цільові особи

Оскільки сервіси, створені в індустрії Криптовалюта , підняли планку безпеки, хакери перейшли до більш простих цілей, атакуючи окремих користувачів.

Навіть досвідчені ветерани Bitcoin -індустрії люблять Бо Шень і Джеред Кенна, як повідомляє Forbes, не були застраховані від цієї хвилі хакерів.

У другій половині 2016 року у кількох людей у ​​сфері Криптовалюта викрали номери телефонів. Хакерам вдалося «соціально змінити» своїх операторів телефонного зв’язку та переконати інженерів служби підтримки змінити їхній номер телефону на ONE , який контролює хакер.

Це особливо підступно, оскільки SMS-повідомлення та номери телефонів використовуються як механізм автентифікації багатьма службами, на які ви покладаєтеся щодня, такими як Google, Facebook і кілька Криптовалюта служб.

У деяких випадках ваш телефон може бути використаний як єдиний фактор для скидання пароля або іншого входу в обліковий запис. Ваша телефонна компанія захищає ваше цифрове життя найдешевшою робочою силою, яку тільки може знайти, а ці інженери служби підтримки T завжди Соціальні мережі своїх процесів безпеки.

Найкраще, що можна зробити, це видалити свій номер телефону з усіх служб, до яких він може бути прив’язаний. Ще одна найкраща практика – хоча й не завжди безпомилкова, оскільки ваш оператор телефонного зв’язку може не Соціальні мережі власних процесів безпеки – це встановити пароль для свого облікового запису та вимагати, щоб будь-яка заміна SIM-карти або оператора відбувалася лише за наявності дійсної ідентифікації в магазині.

Що стосується соціальної інженерії, будьте обережні, де ви розміщуєте свої облікові дані та будь-яку інформацію про себе – на LinkedIn, Facebook і Twitter, наприклад.

Хакери можуть збирати цю інформацію та використовувати її для соціальної інженерії, щоб проникнути у ваші облікові записи. Подумайте про відповіді на свої таємні запитання та про те, чи може хтось визначити їх переглядаючи ваш профіль у Facebook.

І, очевидно, якщо ви повторно використовуєте те саме ім’я користувача та пароль на кількох сайтах, вам слід розглянути альтернативи. Використовуйте двофакторну автентифікацію на основі обладнання або пристрою на кожному сайті, який її підтримує.

KEEP на увазі, що існують підроблені сайти, створені для того, щоб обманом змусити вас надати свої облікові дані. Хакери регулярно купують Adwords, щоб їхні шкідливі сайти були на вершині веб-пошуку.

Погляд на наступний рік: 2017

2016 рік був великим роком для хакерів, але 2017 рік T повинен бути таким.

Звертаючи увагу на тенденції та захищаючи ваш бізнес і особисті облікові записи за допомогою вдосконалених заходів захисту, ми всі можемо отримати вигоду від більш безпечної та захищеної екосистеми Криптовалюта .

Проте ми ще не зовсім там. У 2017 році я очікую, що галузь інвестуватиме значні кошти в Технології Політика конфіденційності та ідентифікаційні рішення в блокчейнах.

Зображення безпечного злому через Shutterstock