13.8 C
Budapest, HU
2019-10-22
Bitcoin Biztonság Blog

13 támadási lehetőség, ami fenyegetést jelenthet a bitcoinra. A Te bitcoinodra!

Várható olvasási idő: 8 perc

Ha nincs időd elolvasni, meg is hallgathatod! Kattints a kis fehér nyílra a sárga körben!

A Baltic Honeybadger 2019 konferencián Jeremy Welch a Casa CEO-ja tartott egy előadást, amelyre a konferenciáról szóló cikkben is hivatkoztunk. Mivel olyan fontos tartalommal bír az adat és személyes biztonságot érintően, amit érdemesnek tartunk részletesen is megjeleníteni az oldalon, ezért Jeremy előadásának tartalmát dolgoztuk fel ebben a cikkben.

A prezentációt egyébként arra az eljárásra húzta fel Jeremy, amellyel nemrég jöttek ki a Casa weboldalán is. Ami arról szól, hogy milyen fenyegetések lehetnek a bitcoin tárcákra nézve és erre Ők, mint Casa milyen biztonsági lehetőségeket biztosítanak.

Ha nem ismernéd a Casa-t, ők egy kulcs biztonsággal foglalkozó amerikai cég. Egyik termékük a Casa Node, de a cég fő szoftveres terméke a Casa Keymaster.. A Keymaster a bitcoinhoz tartozó privát kulcsok biztonságos tárolását biztosítja, célcsoportjuk a $100.000 feletti bitcoinnal rendelkező Ügyfelek. Bitcoin-first vállalkozás, a Bitcoin mellet a Lightning Network még, amivel foglalkoznak.

Ami a bitcoint vonzóvá teszi, hogy gyors, névtelen, központi irányítás nélküli, de ugyanannyira veszélyessé is teszi, mert a tárolása bonyolult. Ha valakinek eltűnik a bitcoinja, nincs semmilyen felsőbb hatóság, ahol kopogtathat. Valamennyire hasonlít a készpénzhez, ugyanis ha egyszer átkerült valaki máshoz, már nem visszavonható.

Emiatt a bitcoin tulajdonosok a hackereknek és csalóknak tökéletes célpontok lehetnek. A támadás lehet fizikai, de rosszindulatú programok, hamis kódbázisok, alkalmazások, vagy adathalász tevékenységek is mind-mind azok, amelyekkel meg kell bírkózni. A bitcoin és a többi kriptoeszköz egy új korszakot nyitott a számítógépes adatbiztonságban. A tét pedig elég magas!

A privát kulcsok információinak tárolása rendkívül nagy elővigyázatosságot igényel. Nem véletlenül hangoztatják mindenhol, hogy internettel kapcsolatba kerülő eszközön ne tároljon senki privát kulcshoz vezető információt. Felhőben pedig pláne ne! A sokat emlegetett Andreas Antonopoulos idézet: “A Te privát kulcsod a Te bitcoinod…”

Ha elveszíted az email címedhez tartozó jelszót, vagy valamelyik online szolgáltatás jelszavát, vagy a jelszóemlékeztető, van kihez fordulni segítségért. A kriptoeszközöknél ilyen segítség nincs, csak a megszerzett tudás és tapasztalat. Teljesen új gondolkodást igényel.

Persze a kriptoeszközöket lehet tárolni tőzsdén, de az nem túl biztonságos, elég visszagondolni a korábbi tőzsdefeltörésekre, ahol sok-sok felhasználó sok-sok kriptoeszköze vált köddé.

Az alábbiak azok a felmerülő lehetőségek, amelyek veszélyeztethetik a bitcoin tárcákat és a bitcoin tulajdonosokat.

Adatok elvesztése

Elveszítheted a kulcsodat, a jelszavadat a magokhoz, vagy akár a magszavakat is. A merevlemezed tönkremehet, ha titkosítva van, a titkosítást feloldó jelszó is elveszhet. Illetve ott van az a probléma, hogy az irodákban, rengeteg helyen post-it-ra vannak felírva a jelszavak. A jelszókezeléssel rengeteg probléma van és akkot arról még nem is beszéltünk, hogy felejtés. Mert az is benne van a pakliban. Amennyi rendszert használunk, jelszókezelő program használata ma már elengedhetetlen.

Adathalászat

Tipikus példája az adathalászatnak, ha egy hivatalosnak tűnő elektronikus levelet kap a célszemély, majd az abban szereplő linkre kattint és ránézésre oda érkezik, ahova szeretne, gyakorlatilag viszont egy módosított weboldalra került. Megpróbál belépni és máris tálcán adta át az adatait a hackernek, akinek pontosan ez volt a célja. A Binance melegtárcájáról tűnt el 7000 BTC idén, vélhetően adathalász (phishing) tevékenység miatt.

Minden kriptoval érintett weboldalon meg kell győződni arról, hogy jó helyen vagy! A coinbase.com-ra érkezőket is megpróbálták anno megtéveszteni a c0inbase.com domain névvel. A Binance pedig külön fel is hívja a figyelmet minden belépésnél erre! Ne bízz, ellenőrízz!

SIM kártya eltérítése

Nagy “népszerűségnek örvend” a SIM Hijacking néven ismerté vált SIM kártya eltérítés hacker körökben. (egy konkrét esetet ebben a Mediumon megjelent írásban írt le maga, az áldozat.) Social engineering módszerekkel megszerezik a támadók a célszemély telefonszámához a hozzáférést, majd támadástól függően akár a teljes online identitását átvehetik. Ahogyan az történt Jack Dorsey Twitter CEO fiókjával pár hete.

Nagyon sok online rendszernél lehet második faktoros azonosítással belépni, emiatt vannak összekötve a fiókok (Facebook, Google, hogy csak a legnagyobbakat említsem.) a telefonszámmal. Egy belépésnél SMS-t küld az adott rendszer a számra, és az SMS-ben kapott kódot megadva lehet csak belépni. Van lehetőség a Google Authenticator, vagy Authy-n keresztüli hitelesítésre, érdemes ezeket használni, hogy ne jussunk a SIM Hijacking áldozatai közé. De fokozható a biztonság hardveres eszközökkel is a FIDO U2F-t használva.

Simjacker
AdaptiveMobile Security – simjacker.com

A SIM kártyákon van egy [email protected] Browser, amelyet használva, távolról követhető a SIM kártya, GPS pozíció kérhető le, vagy akár le is tiltható. Elég nagy problémát jelent, az AdaptiveMobile Security külön weboldalt is létrehozott, hogy felhívja a szolgáltatók figyelmét a problémára.

Hálózati támadás

Az internet struktúrájába való beavatkozással el lehet téríteni egy, vagy több felhasználó adatforgalmát. A MyEtherwallet felhasználóit támadták meg akkor, amikor a DNS-t módosítva avatkoztak be hackerek, hogy  máshova irányítsák a felhasználókat. 150 000 dolláros kárt okoztak.

Ha olyan hálózaton vagy, amit nem ismersz, védd magad VPN-el, használd a Tor böngészőjét. Ha lehet kriptoval kapcsolatos tevékenységet olyan helyről végezz, amit ismersz. Sose hagyd figyelmen kívül, ha a böngésző figyelmeztet HTTPS hibára!

Malware

A malware a rosszindulató programok, szoftverek gyűjtőneve. Idetartoznak a vírusok, programférgek, trójaiak, rootkitek, zsarolóprogramok, stb. Vannak olyanok is, amelyek a böngészőkbe épülnek be, magukat teljesen másnak álcázzák. Ezek az óvatlan felhasználó számítógépre pillanatokon belül települhetnek, egy rossz/irányított linkre kattintva. Még olyan is előfordulhat, hogy olyan programot sikerül “bezsebelni”, ami kifejezetten a titkos kulcsokra utazik és azt keresi a számítógépen. Ilyen rosszindulatú programok adathalászattal a gépre juthatnak, így ismeretlen online helyről csak óvatosan!

Használj külön hardvert és szoftvert a kriptoeszközök tárolására. Hardveres pénztárca mindenképpen javasolt!

Probléma az ellátási láncban

Minden kulcsot tároló szoftver függ a hardvertől, amelyiken fut. Legyen az telefon, tablet, laptop, PC, szerver, vagy akár hardveres tárca. A hardver gyártási folyamatába ha bekerül egy rosszindulatú dolgozó, olyan firmware-t, vagy chipet is helyezhet a termékbe, amit lehet, hogy észre sem vesznek, csak akkor, amikor már késő. Egy termék útja a tervezőasztaltól a végfelhasználóig nagyon sok kézen halad keresztül. Ha csak a logisztikai részébe gondolunk bele, már az is egy több országon és több 100 emberen át haladó folyamat.

Ellátási láncMindig győződj meg róla, hogy a termék eredeti, amit vásárolsz! Ha nagyobb számú kriptoeszközöd van, ne csak egy típusú hardveres tárcát használj, legyen külön HODL és gyakran használt tárcád. Használj több aláírásos rendszereket, amelyek lehetővé teszik a helyreállítást, ha probléma merülne fel.

Fizikai fenyegetés

Itt most nem a bitcoin, sem a hardveres tárca fizikai fenyegetettségéről van szó, hanem a személyes fenyegetettségről. Elrablásról, esetleges kínzástól, vagy váltságdíj kéréstől. A kriptoeszközök nagyobb rizikóval bírnak, mint a hagyományos eszközök, jóval egyszerűbben lehet őket erőszakkal megszerezni. (Több ilyen eset történt az utóbbi években szerte a világon, direkt linkeket nem írok, a keresőkkel ha érdekel utána járhatsz.) Akár még csak személyes jelenlét sem szükséges, illetve ahogy már fentebb írtam, a tranzakciók nem visszafordíthatóak.

A tárcához tartozó kulcsokat, vagy a titkos szavakat több helyen érdemes tárolni annnak érdekében, hogy minél nehezebb legyen egy támadó félnek megszereznni őket. A Shamir backup megoldás egy Trezor Model T tárcát használva ilyen esetben hasznos lehet.

Családtag/háziállat elrablása

Egy rosszindulatú támadó arra is vetemedhet, hogy a célszemély családtagját, vagy kedvenc háziállatát elrabolja cserébe azért, hogy megszerezze a kriptoeszközeit. Emiatt soha sehol ne büszkélkedj a kripto vagyonoddal. Nem tartozik másra, ahogyan az sem, hogy mennyi FIAT pénzed van. 

Külső támadás egy szolgáltatónál

Ez egy szintén nehéz terület. Hiába zárt egy szolgáltató, legyen az kriptováltó, vagy bármilyen más vállalkozás, aki kulcstárolásokat végez, az alkalmazottain keresztül veszélynek van kitéve. Főleg, ha az alkalmazott olyan számítógépet használ, amely nem csak a vállalati ökoszisztámában működik, hanem külsőleg is elérhető, a vállalat hálózatán kívülről.

A ShapeShift tőzsdét érte egy olyan támadás kb. 3 évvel ezelőtt, (amikor még nem is működtek publikusan) hogy egy rendszergazda laptopjára egy hacker egy olyan programot telepített, amellyel a tőzsde melegtárcáiról leszippantott bitcoint és ethereumot. Majd ezt a hozzáférést egy másik hackernek is átadta, aki újabb összegeket emelt el a tőzsdétől. Mialatt a tőzsde csak ment előre, hogy védje az eszközeit. Különböző felhőszolgáltatókra helyezte át a működését. A ShapeShift vezetője Eric Voorhees utólag nyíltan beszámolt az eseményről, amelyet a mai napig több homályos folt takar. De maga a betörési veszély megvan, ha rosszindulattal módosított informatikai eszköz kerül egy szolgáltató hálózatába.

Szoftverplatform támadás

A szoftverfejlesztőknek szükségük van arra, hogy harmadik fél is bekerüljön a rendszerbe azáltal, hogy a szoftvereiket eljuttassák az Ügyfeleiknek. Elég ha csak a 2 legnagyobbat vesszük alapul, A Google a Google Play áruházzal, vagy az Apple az Apple Store-al. Ezek is veszélyt jelentenek.

Akár a Google, akár az Apple eltávolíthatna az áruházából egy olyan szoftvert, amelyet egy külső fejlesztő készített és a helyére egy olyan programot tehetne, amely ugyanazzal a névvel, de rosszindulatú módon működne. Ha nem is maga a cég, hanem egy rosszindulatú (beavatott) alkalmazott. Az ördög nem alszik. Emiatt ne bízz, hanem mindig ellenőrízz!

Kód szintű támadás

Vannak olyan kriptotárcák, amelyek forráskódja nyílt. A támadók (akiknek leginkább csak az a célja, hogy lenyúlják a kriptoeszközöket), beilleszthetik a saját kódjukat az ilyen ingyenesen elérhető tárcák kódjába. Lehet, hogy egy “csillivilli” tárca programot töltessz le a telefonodra, ami nagyon színes és szagos, de nem ismered a kódbázisát. Ha az éppenséggel fertőzött és oda teszel bármilyen kriptoeszközt, előfordulhat, hogy eltűnik.

Ha valami ingyenes, akkor simán lehet, hogy Te vagy a termék. Ne Te legyél az, aki ismeretlen tárcát használ mert az ingyenes volt, majd úgy fizetsz érte, hogy a kriptoeszközeid eltűnnek. Ami ingyenes, azt járd körbe. Senki nem dolgozik ingyen!

Mi a megoldás? Használj több különböző tárcát. Legyen hardveres és ELISMERT szoftveres. De ha a Trezor és a Ledger tácáit használod, akkor szinte biztos lehetsz benne, hogy jó helyen tartod a kriptoeszközeidet.

Annak ellenére, hogy az általános javaslat az, hogy csak a gyártótól vásárolj ilyen eszközöket, mi forgalmazzuk a Trezor One és Model T, valamint a Leger Nano S tárcáját is. Azért, mert a környezetünkben többen szerették volna, hogy legyen egy olyan háttér, akihez bármikor fordulhatnak kérdésekkel, magyarul.

Mindkét gyártóval több éves kapcsolatunk van, minden tárca eredeti csomagolással rendelkezik, így ha most szeretnél vásárolni, nálunk gyorsan megteheted!

Hivatalos elkobzás

Bízunk bennne, hogy ez nem fog bekövetkezni, de a múltban volt ilyenre is példa. Utoljára 2010-ben, amikor Ciprus lefoglalta a bankbetéteket azért, hogy a költségvetési válságot megelőzze. De 1933-ban az USA kormánya is elkobozta a lakosságtól az összes aranyat. Vissza kellett szolgáltatni, ami volt. Nagyon remélem, hogy ilyen sem a Mi, sem a gyermekeink életében nem fog előfordulni!

1933 arany beszolgáltatás

Örököléssel kapcsolatos probléma

Ha valakinek vannak kripto eszközei, akkor az azokhoz tartozó titkos kulcsokat, a tárcához tartozó magszavakat titkosan kezel. Nem is nagyon gondol arra, hogy mi van akkor, ha nem lesz holnap. Pedig bármikor bárki fejére eshet egy nem várt cserép, és akkor oda a digitális világba tett vagyon…

Egy ilyen megtörtént eset volt az, amikor Matthew Mellon elveszített (azaz a családja) egy 500 millió dolláros vagyont, amikor hirtelen, előre nem várt módon meghalt. Mindenfajta öröklési terv nélkül. Az a vagyon eltűnt, nincs, senki nem tudja visszahozni.

Tegyél az öröklődési probléma ellen!

Ha kritpo eszközökben tárolsz vagyonokat, vagy akár 10 dollárt, gondoskodj arról, hogy a közeli hozzátartozód tudjanak kezdeni vele valamit, ha egy nem várt esemény következne be. Ha van családod, ez mindenképpen fontos. Hiába van több 10-100-1000, vagy akármennyi dollár/euró/forint értékű vagyonod a kriptoeszközökben, oszd meg azzal, aki a legközelebbi kapcsolatban van Veled!

Vagy vegyél egy Trezor Model T-t és a Shamir backup-al hozd létre a tárcát. A helyreállításhoz szükséges szavak fizikai helyeit pedig oszd meg azzal, aki a legközelebbi hozzátartozód. Ne bízz semmit a véletlenre.

Jeremy az előadását arra építette fel, hogy vegyük igénybe a Casa szolgáltatásait. Ez egy jó út is lehet abban az esetben, ha $100.000 feletti kriptoeszközökben gondolkoznánk. De az több, mint 30.000.000 HUF. Nem tudom, hogy mennyi Casa Ügyfél lehet az országunkban a Keymaster programjukra, de gyanítom, hogy 10 alatt lehetnek.

A böngészők problémája

Jeremy bemutatott olyan böngésző kiegészítőket (extensions), amelyeket azért készítettek el a Casa-nál, hogy a kripto eszközök adatait megszerezzék. Azaz demonstrálta, hogy hogyan lehetne ezt egy támadónak elérni. Az egyik azt csinálta, hogy minden BTC címet lementett, a másik pedig BTC utalásnál módosította a címet egy állandó címre, a támadó címére. Nem tudunk ilyen létező és az ismert böngészők kiegészítői között elérhető lehetőségekről, de ez nem vetíti előre azt, hogy ne lehetnének a jövőben. Akár egy böngésző háttérkép módosító program mögé bújva…

A kripto eszközök digitálisak. Azokhoz csak digitálisan lehet hozzájutni. Újra csak azt tudom írni, hogy ne bízz, ellenőrízz!

Ne telepíts olyan böngésző kiegészítőt, amit nem ismersz. Ne engedd ki a kezeid közül a digitális vagyonodat!

Összegzés

Igen, a kripto eszközök nagyon sok veszéllyel járnak. Gondoskodj arról, hogy ne veszítsd el ha bármi közbejönne. Ne bízz, ellenőrízz!

Mottó

A cikk mottója lehetne az is, hogy: Ne bízz, ellenőrízz!

De tényleg!

A témához kapcsolódó bejegyzések

Mi az az indexkövető kriptoalap? És hol találsz ilyet?

Mi az a Bitcoin? Hogyan működik? És mire használhatod?

Németh Krisztián

Mi az az Ethereum? És miben különbözik a Bitcointól?

Németh Krisztián