—
撰文|?Cobo金庫大掌柜
黑客從來只黑有價值的人,如果你覺得自己很安全,那只是你缺乏被黑的價值
根據近幾年的用戶調研,掌柜發現有相當一部分用戶,即使你告訴他千萬遍“手機端軟件更便捷,更安全”,他們仍然對PC端軟件情有獨鐘。不得不承認,PC端軟件確實有著不可替代的優勢:顯示面積大,鼠標鍵盤交互精確,適合流程復雜、規模更大的操作。
如果一定要使用PC端錢包軟件進行資產管理,我們需要付出兩百倍的安全意識。
安全意識通常來自于對攻擊面的了解,掌柜習慣通過以下3個“靈魂拷問”來判斷:
01|哪些數據需要保護?
韓國國會將討論如何提高加密貨幣交易透明:金色財經報道,韓國國會將于今日舉行一場題為“如何提高加密貨幣交易透明度”的研討會。該研討會將討論有關防止洗錢和建立監管加密交易的系統的問題。據報道,此前國會全體會議已通過一項特別法案,旨在引入一種數字資產業務報告系統,包括客戶身份識別和建立反洗錢義務。如果政府簽署該法律,新的反洗錢法案可能最早在2021年3月開始阻止與非法暗網相關的加密交易。國會議員Lee Soo-jin表示,區塊鏈是數字經濟的根基,透明度是關鍵,但隨著加密貨幣被用于犯罪活動,負面形象開始積累,需要通過與調查機構的技術合作來防止洗錢。[2020/7/10]
-涉及隱私的敏感信息,如瀏覽記錄、用戶名&密碼、私鑰文件、錢包文件等
幣情觀察室 | 全球遇冷 比特幣橫盤震蕩 如何布局進場:4月3日16:30,金色盤面邀請行情大V星河區塊鏈做客金色財經《幣情觀察室》直播間,將分享《全球遇冷 比特幣橫盤震蕩 如何布局進場》,敬請關注,掃描下圖二維碼即可觀看。[2020/4/3]
02|哪些應用程序存在敏感信息?
-如交易軟件、錢包軟件、瀏覽器等
03|資產管理過程中哪些外部服務易被攻擊?
-如設備的通訊接口、交易軟件、錢包軟件、瀏覽器等
基于以上,我們試著對PC端錢包軟件的各個使用環節展開疑問:
下載安裝:登陸的是不是官方網站?下載安裝的是不是官方軟件?
聲音 | 段新星:看到有價值的場景時思考如何用區塊鏈去更好地打造才是正確的:Bytom創始人段新星在“區塊鏈平昌論壇2019(Blockchain Pyeongchang Forum, BPF2019)”的圓桌論壇上表示,在投機和炒作層面區塊鏈處于熊市,但是在區塊鏈應用層面仍然在向前發展。同時,他指出,不能像拿著錘子砸釘子一樣,把區塊鏈強加于所有項目,而應該在看到有價值、有意義的場景時,思考如何用區塊鏈去更好地打造才是正確的。只有做到這點,離區塊鏈下一次爆發也就不遠了。[2019/1/28]
掌柜之前看到過一個案例,攻擊者“山寨了一整套”下載網站和軟件,山寨軟件植入了專門針對MacOS開發的木馬程序“GMERA”,然后誘導用戶下載,實現盜取Cookie數據、網站瀏覽數據以及獲取屏幕截圖等。
聲音 | 救助兒童會Paul Ronalds:慈善機構領導者也應去了解區塊鏈等技術如何運作:根據Coincryptorama消息,救助兒童會首席執行官Paul Ronalds在關于區塊鏈對慈善事業的潛在影響的小組討論后表示,慈善機構對區塊鏈的使用還處于初期階段”,要在其潛力被夸大之前需要進行更多的討論和研究。慈善機構面臨的主要障礙之一是,當涉及區塊鏈這種存儲數據的方法時,行業領導者并不能很好理解,我們需要確保慈善機構領導者同樣參與、了解數字世界以及如何運作區塊鏈等技術,來幫助他們的做好慈善事業。[2018/9/3]
這些被盜的隱私數據即使不包含關鍵的私鑰或者密碼信息,也非常有可能被應用到社會工程學,實施綁架、勒索、詐騙。
版本升級:這是不是官方升級提示?不升級有什么影響?升級前需要備份什么?
Electrum錢包就遭受過持續性釣魚攻擊。黑客利用舊版本的漏洞,給用戶發送升級提示,誘導用戶升級到“攜帶后門”的客戶端后,竊取私鑰。
首先,肯定是鼓勵大家持續升級的,新版本通常會包含:新功能,體驗優化,修復bug。但是,升級前請務必檢查:①升級包是否來自官方;②私鑰/錢包文件是否已備份。
錢包文件備份:文件是什么內容?如果是私鑰,觸過網嗎?觸過網后還安全嗎?
還是以Electrum錢包為例,創建新錢包,會生成一個WIF私鑰文件。這個私鑰文件會被用戶自定義的密碼加密。
私鑰就是資產所有權,即使被攻擊,只要私鑰沒泄露就還有可能保住資產。對于PC端保存的私鑰文件,有以下三種主流攻擊方式:
■?木馬程序竊取私鑰文件+誘導用戶輸密碼/暴力破解密碼
■?木馬程序/蠕蟲病惡意加密+勒索贖金
■?直接損壞私鑰文件或者電腦設備
那么,實現上述攻擊的路徑又有哪些呢?
■?釣魚網站/釣魚郵件
在瀏覽網頁和查看郵件時,一個簡單的點擊動作就足已中招,木馬/病在不被察覺的情況下已下載運行。
現在很多重視安全的企業都會實行隨機內部演練,運維工程師和一級部門負責人也會上中招名單——安全意識再強,也會有翻車的時候。
■?USB設備
所有USB設備都有一個微控制器芯片,可以被重新編程固件或寫入惡意代碼。
常規攻擊路徑:
①準備一個可以被重新編程的USB設備,成本20不到
②植入惡意代碼
③插入電腦,惡意代碼自動執行
USB攻擊還包括利用USB協議/標準與操作系統交互中的漏洞實施攻擊,如掌柜之前提到過的冷啟動攻擊。
冷啟動攻擊-demo
還有一種更為極端的情況:USB電氣攻擊,插入電腦后可觸發電力超載,對設備造成永久性破壞。
交易簽名:收幣地址會不會被替換?簽名的時候密碼會不會被偷窺?
綜上,下載到山寨客戶端,收幣地址被替換的可能性存在;惡意程序可以實現遠程監控鍵盤輸入或攝像頭,密碼也存在被偷窺的風險。
簡單總結:了解攻擊面-->建立安全意識-->敏感操作保持懷疑態度。
掌柜會堅持督促大家學習,用知識武裝自己的數字資產。因為,最終資產安全的程度取決于你的安全知識,而不是使用了多么硬核的錢包工具。
頭圖byNeONBRANDonUnsplash
作者:江小漁 編輯:黑土 出品:碳鏈價值 在加密貨幣行業,變化就像龍卷風,你不知道它會在什么時候到來,但它總會在某一天突然降臨,隨后引起一波劇烈的風潮.
1900/1/1 0:00:00最近,幣圈真的有點涼。 雖然,DeFi爆火,很多投資人感受到了加密貨幣市場的暗流涌動,但比特幣和主流幣,幾乎橫盤了3個月,一點牛市的樣子也沒有.
1900/1/1 0:00:00據報道,世界第五大銀行三菱日聯金融集團計劃在2020年下半年發行自己的數字貨幣。這個數字貨幣項目始于2015年,最初旨在運行在區塊鏈網絡上,并促進即時的點對點交易.
1900/1/1 0:00:00OceanProtocol是一種專注于數據收集,共享和貨幣化的去中心化數據交換協議。它宣布與梅賽德斯·奔馳制造商戴姆勒公司合作進行一個試點項目.
1900/1/1 0:00:00前言 整體而言數字資產交易市場第二季度表現不如第一季度,主要原因在于六月一整個月市場波動極小,長時間處于橫盤狀態.
1900/1/1 0:00:00上期回顧 若情緒指數重新站上1以上,市場將投資熱情將轉暖。7月9日標準共識情緒指數最新數值為1.1,重新站上1區間,之后開始展開幣種輪動上漲,標準共識市場綜合指數最高上漲超7%.
1900/1/1 0:00:00