由於安全大類與細類過多,這裡分享的僅是冰山一角的安全內容,結合最近的熱點事件,需要特別注意的幾個點,分別是錢包安全、交易所安全以及安全意識。
一、錢包安全
數字資產錢包分為中心化錢包和去中心化錢包,兩者有很多的不同,從安全防禦的角度也各有側重。
中心化錢包
賬號密碼安全:強口令、不與其他網站密碼相同。
2FA:短信、google二次驗證。
去中心化錢包
私鑰/助詞記/KeyStore安全:離線備份、多副本
中心化錢包
中心化錢包安全主要是保障賬號密碼安全,密碼複雜度要高,同時不與其他網站的密碼相同;此外儘量開啟登錄二次認證,使用短信驗證碼或者Google Authenticator認證App。
去中心化錢包
去中心化錢包主要是關注私鑰、助記詞、KeyStore的安全,備份的時候不要使用網盤、雲筆記、iCloud等,儘可能離線備份,同時多備份幾個地方。
有關錢包的攻擊事件:
2月14日,思科Talos安全團隊披露了一個名為Coinhoarder的惡意廣告行動,截至發文時,Coinhoarder已經淨賺5000萬美元,尤其是2017最後一個季度1000萬美元的暴利。
在這個事件裡面使用的攻擊手法是釣魚網站,攻擊者註冊了幾個和比特幣錢包blockchain.com很相似的域名,並完整克隆錢包網站,然後買Google的關鍵詞廣告,讓釣魚網站排在官方網站的前面,用戶不認真看的話,就點擊第一個打開了釣魚網站,輸入賬號密碼就被攻擊者獲取了,然後攻擊者就登錄blockchain.com把幣轉走。
第二個攻擊事件是4月24日發生的MyEtherWallet遭遇DNS劫持
這次用戶訪問的網址是正確的,但瀏覽器會提示證書錯誤,很多用戶不瞭解發生了什麼,仍然執意進行轉賬、合約調用等操作,攻擊者利用js竊取私鑰、助記詞,然後盜走用戶的資產。
另外一個特別要注意的是,不要在任何網站上輸入你的私鑰、助記詞,很多攻擊者打著空投、“轉1返10”的旗號招搖撞騙,引誘你輸入私鑰、助記詞,要切記不要貪小便宜。
二、交易所安全
關於中心化交易所
這部分的安全防範措施和中心化錢包很多是相同的,主要是賬號密碼安全和二次認證。因為其實交易所也可以當作錢包用,可以收款、可以轉賬。
額外的一個注意點是交易API Key 的安全,涉及安全的存儲、傳遞、備份,同時儘可能配置調用IP白名單,這樣即使API Key洩露了,攻擊者的IP不在白名單內也無法操縱你的賬戶。
有關交易所的攻擊事件:
一個真實的攻擊是幣安遭遇的大規模釣魚攻擊,和前面比特幣錢包釣魚網站不同的是,幣安釣魚網站使用的域名和binance單詞的順序是完全一樣的,同時SSL證書也是正常的。
奇妙之處是binance兩個字母n下面有個小點,不是特別仔細看的話很難辨識出來,攻擊者利用社交網站自動轉化短域名的方式,在推特、臉書等海外社交平臺大量傳播釣魚網站,竊取賬戶密碼。
其他對數字貨幣的攻擊方式:
今年3月20日,趨勢科技發佈年度安全報告時總結了7種黑客非法獲取加密貨幣的方法,詳情如下:
1.帶挖礦惡意程序的APP
2.在各個社交媒體平臺上傳播的挖礦殭屍網絡
3.直接攻擊加密貨幣錢包
4.入侵“技術支持”網站
5.使用挖礦腳本的網站,如CoinHive JS
6.帶挖礦惡意程序的攻擊工具包,如Struts2漏洞攻擊EXP
7.散佈挖礦工具的廣告網絡
三、安全意識
核心點是記住“天下沒有免費的午餐”;另一方面是慣性信任提防,不可信的文檔都丟進虛擬機裡打開、不可信的鏈接都在隱身模式下打開,同時不輕易給出名片、信用卡、微信、手機號等,因為這裡麵包含大量個人身份信息,可被攻擊者用於組合密碼。
手機安全方面的一些建議
1、指紋解鎖;2、非越獄;3、關閉iCloud;4、出門關閉WiFi、藍牙;5、付費購買優質軟件(iFiles 2、1Password)
1-4點很好理解,第5點中的IFiles 2是iOS上的App,可禁用網絡權限,然後存儲一些非常隱私和重要的內容在裡面,一方面可以設置訪問密碼,手機丟了別人也看不了;另一方面禁用網絡權限後不會被同步到雲端。
1Password是密碼管理軟件,不常用的網站可以用這個App生成高強度隨機密碼,需要登錄網站時打開1Password複製密碼去登錄。
這樣可以降低記密碼的工作量,只要記核心、重要的密碼就好了,同時減少密碼被洩露的可能性(小網站被脫庫也不洩露你的核心密碼)
電腦安全方面的建議:
Q&A
Q: 談一談助記詞,私鑰和keystore和驗證密碼之間的聯繫和區別以及各自的作用
A: 私鑰、助記詞就像是錢包大門的鑰匙,有句形象的比喻是“私鑰、助記詞就是你的數字資產,獲得他們就是獲得資產的控制權”。
Q: 能否介紹1、2種有效的保存備份助記詞,keystore和私鑰的方法?
A: 安全的備份方式是離線備份,可以寫在紙上,記得多抄寫幾份,放不同的地方保管。
Q: DNS劫持是如何做到的?是不是每一個網站都有這個風險?網站方要如何避免這個風險?如果無法避免,通常怎麼判斷一個網站是否被劫持了?
A: DNS劫持一般是在關鍵的網絡運營商鏈路上進行,當然家庭路由器上的劫持也存在。因為這個是被動的,作為網站管理方,無法控制劫持的發生,關於規避,可以配置HSTS頭部(HTTP Strict Transport Security),當發生劫持時,用戶的瀏覽器會自動拒絕加載,使其無法被盜取。
Q: 什麼是隱身模式打開鏈接?怎麼隱身?
A: 隱身模式是Chrome、Firefox等瀏覽器自帶的功能,在隱身模式內,所有保存的cookie都不會被加載,相當於在新安裝的瀏覽器裡打開網站,這樣可以避免攻擊者在網站內竊取你的網站登錄會話。
Q: 雖然已經設置了IP白名單,攻擊者是否能用IP偽裝技術來冒充白名單連接提供服務的服務器,又或者會有其他技術可以繞過白名單?
A: 首先攻擊者得知道你設置的白名單IP是多少,其次如果交易所存在IP偽造的漏洞,那就趁早離開這家交易所吧。
Q: 請推薦一些常用的簡單的虛擬機,可以用來丟文件進去打開。
A: VMware、VirtualBox,Mac上推薦Parallels Desktop,記得別用破解版,推薦買正版軟件,或者官網下載安裝包然後找註冊碼激活。
Q: 問個偏技術的問題,開發一些應用時,因為自動化的需要,一些關鍵的賬戶信息需要保存在內部的某些文件或者代碼中,請問如何保護這些賬戶的數據(助記詞,keystore+密碼數據等等)?
A: 可以採用微服務的架構,把簽名交易這部分拆分出來到單獨的服務器部署,同時源碼編譯或加密後上傳,“最小化”原則。
Q: 很多比特幣的丟失是因為自己忘記了密碼,不建議網絡備份好像更容易忘記吧?
A: 首先還是推薦離線備份,如果為了便利性一定要在線備份,建議用剛才說的 iFiles 2保存,記得關閉網絡權限。
Q: 問題7:請問有沒有一些高等級的黑客技術可以在不知道你的助記詞,私鑰,或者keystore+密碼的情況下盜取你的賬戶中的數字資產的?如果可以的話,請問這是用什麼方式做到的?我們要如何防範?
A: 這種攻擊方式我們披露過,以太坊黑色情人節事件,以及新型攻擊手法裡都是這樣,具體原理和過程可查看:https://mp.weixin.qq.com/s/Kk2lsoQ1679Gda56Ec-zJg 和專題網站:https://4294967296.io/eth214/
Q: 註冊碼激活是不是也有被植入風險?
A: 不會,註冊碼只是一個字符串,安裝後輸入,只要保證安裝包是官網下載的就好,同時可以下載後校驗下hash值。
閱讀更多 區塊鏈系統分析員 的文章
