ULTIMATE privát kulcs kezelési útmutató: hogyan VÉDD a Bitcoinod
A Bitcoin hihetetlen magas szintű szuverenitást biztosít a pénzük felett a felhasználóknak. Mindenki hallotta már azt a kifejezést, hogy „legyél a saját bankod tulaja” (be your own bank). A Bitcoin pont ezt a lehetőséget és hatalmat adja mindenki kezébe. Azonban ha ‘bankot birtokolsz‘, annak van árnyoldala is. Azok a jellemzők, amik a Bitcoint olyan értékessé teszik – mint a cenzúramentesség, engedélymentesség, anonimitás, ugyanígy attraktívvá teszik a csalók számára is. Ezek a kétes hátterű szereplők nagyon sokféle csapdát állították már fel, hogy megbolondítsák a Bitcoin tulajdonosokat, és arra vegyék rá őket, hogy tudtuk nélkül megváljanak az érméiktől. Az internet egy veszélyes hely, de minden eszköz rendelkezésre áll, hogy megvédjük magunkat.
Tarts kontroll alatt mindent
Ha nem te saját magad őrzöd a privát kulcsodat, akkor sosem lehetsz biztos benne, hogy biztonságos helyen tárolják azt. Bármilyen harmadik fél, amiről úgy gondolod, hogy megbízható, egy fekete lutri, mert sose fogod tudni száz százalékosan. Ilyenek a centralizált tőzsdék.
Ha valaki másra bízod a kulcsok őrzését, azt gondolhatod, hogy megszabadulsz a privát kulcsok tárolásának kockázatától. Hatalmasat tévedsz. A korábbi fenyegetések ugyanúgy fennállnak, de most már nincs kontrollod az felett, hogy milyen megelőző intézkedéseket hozhatsz a fenyegetések csökkentésére. Emellett a fenyegetések listája tovább bővül, hiszen a pénzednél újabb kockázatok jelennek meg:
– a letétkezelő ellened konspirál
– támadás a letétkezelő szervezetén belül
– külső támadás harmadik fél által, amit a letétkezelő által őrzött vagyon megszerzése ösztönöz
Védd saját magadat és a privát kulcsodat
Vezess be erős kiberbiztonsági intézkedéseket az összes online profilodon. Használj jelszómenedzser alkalmazásokat. Ajánlott olyat választani, ami támogatja a hardveres kétfaktoros autentikációt – ilyen lehet például a Yubikey, 1Password, KePassXC és Bitwarden. Ezek minden egyes szolgáltatáshoz egyedi jelszót generálnak és ugyanígy minden online szolgáltatásnál állíts be kétfaktoros autentikációt.
Ha nem vagy biztos abban, hogy mik a kiberbiztonság legjobb gyakorlatai és milyen biztonsági praktikák vannak, akkor ajánlott elolvasni a Jolly Roger: Security Thread for Beginners könyvét.
Meg kell érteni a kényelem és a biztonság közötti átmenetet is, ha a privát kulcsokról beszélünk. Egy egyszeri aláírásos forró tárca, amit a telefonodon tartasz megfelel arra, hogy azon tartsd azt az összeget, amit el akarsz költeni. De nem ajánljuk, hogy az életed megtakarítását ebben a forró tárca alkalmazásban tárold. Másrészről geográfiailag szétosztott többszöri aláírásos megoldás pedig már nagyon kényelmetlen lenne, ha hozzá akarsz férni az érméidhez, és máshogy kell kezelni, ha havi vagy csak éves szinten nyúlsz hozzá a kriptóidhoz.
Használj dedikált hardvertárcákat
Használj dedikált hardver eszközöket a privát kulcsod tárolásához. Mindig ellenőrizd a küldő címeket ezeken a dedikált hardver eszközökön (mint a Ledger, közvetítőlink), ne bízz azokban a címekben, amiket a böngésző vagy a számítógépes alkalmazás mutat.
Mindig ellenőrizd le a címzett címét is, ha kriptót küldesz, ne csak az első pár karaktert. Rengeteg olyan malware típus létezik, amely képes arra, hogy megváltoztatja a címzett címét valami hasonlóra, és eltéríti így a kripto utalást.
Mindig építs fel egy biztos tervet arra, hogyan állsz fel egy katasztrófa után, építsd fel a forgatókönyvedet. Ennek része legyen, hogy van egy seed kifejezésed a backup sémához, amit tárolhatsz különféle hidegtárca megoldásokon. Ha úgy döntesz, hogy a seed kifejezés backup-ot egy fizikai eszközön tárolod, győződj meg róla, hogy a kiválasztott eszköz átesett komoly stresszteszteken, és így túl fog élni bármilyen extrém környezetben előforduló szituációt.
Győződj meg arról is, hogy a szoftver, amit telepítesz autentikus, és nem egy rosszindulatú utánzat. Sajnos a verifikáció platformoktól függően eltérő. Egy számítógépes szoftvernél ellenőrizni tudod a GPG aláírást, ha ismered a command line használatát. A mobilalkalmazások általában kriptográfiailag vannak aláírva, az aláírást általában azonban csak az app store tudja verifikálni. Könnyen elkerülheted, hogy ne rosszindulatú alkalmazást telepíts, azzal, ha felkeresed a mobilalkalmazás készítőjének a hivatalos weboldalát, és onnan közvetlenül a hivatalos oldalról telepíted azt a mobilkészülékre.
Ne válj adathalászat áldozatává
Ne írd be a seed kifejezésedet semmilyen számítógépbe, ami az internetre van csatlakoztatva. Különösen ne gépeld ezt be egy webböngészőbe. Manapság, amikor a legtöbb Bitcoin felhasználó a kulcsait dedikált hardver eszközökön tárolja, a támadók a még megmaradt utolsó gyengeséget támadják: azaz magát a felhasználót.
A Typosquatting egy kevésbé ismert támadó vektor, ahol a rosszindulatú szereplők olyan domain neveket vásárolnak, amik nagyon hasonlítanak, vagy csak egy-egy betűben térnek el az általános kriptós webszolgáltatóktól. Csak olyan szolgáltatók weboldalait nyisd meg, amit előtte elmentettél könyvjelzőként, így biztosíthatod, hogy még véletlenül sem tévedsz ilyen rosszindulatú oldalra.
Nagyon hasonló a typosquatting átveréshez az az eset is, amikor a rosszindulatú oldalak fizetnek a kereső oldalaknak, hogy az ő oldalaikat listázza hirdetett weboldalként a normál keresési eredmények előtt. Ez még egyszer egy jó indok arra, hogy könyvjelzőkként mentsd el a kedvenc oldalaidat, és ne használd a keresőoldalak által hozott eredményeket. Ugyanis véletlenül még egy rosszindulatú linkre kattintasz.
Ne telepíts malware-t
Kerüld el, hogy sok böngésző kiegészítőt használj. Ezek között lehet rosszindulatú is, amely így lekövetheti a teljes webböngészési aktivitásodat.
Ne használj olyan tárcákat, amik böngészőkiegészítőként működnek, azok ugyanis könnyen kompromittálódhatnak.
Ne futtass szoftver tárcákat olyan számítógépeken, amelyeken sok más szoftver is telepítve van. Növeled annak kockázatát, hogy egy másik alkalmazás kompromittálódott függőség injekció – dependency injection által. Ez ugyanis clipboard malware-t és trójai programokat telepíthet, amelyek lemásolhatják a számítógépeden alkalmazott privát kulcsokat.
Ne ess olyan ransomware áldozatává, amely a merevlemezedet támadja meg. Csak autentikus szoftvereket telepíts, és rendszeresen készíts biztonsági mentést a merevlemezedről. Így ha olyan eset fordul elő, hogy nem férsz hozzá a saját adataidhoz, akkor könnyen visszaállíthatod a mentésből az adataidat.
Ne használj web alapú QR kód generátorokat, különösen ne Bitcoin QR kód generátorokat – ezek könnyen kicserélhetik a te címedet a sajátjukra.
Ne kreálj technikai gyengeségeket
Ne tárold a privát kulcsok biztonsági mentéseit digitális formátumban, különösen ne online szolgáltatóknál. Habár lehetőség van biztonságos digitális backupok létrehozására, nagyon gyakorlott felhasználónak kell lenned, hogy ezt biztonságosan be tudd állítani.
Mi egyáltalán nem ajánljuk, hogy böngésző alapú tárcákat használj, még akkor sem, ha az csak egy böngésző interface a hardver tárcához. A böngészők kínálta támadási felület ugyanis óriási.
Ne használj úgynevezett ‘brain’ tárcákat sem. Ha a kriptókat brain tárcába küldöd, ami általános angol szavakat használ, akkor ha azt feltörik, akkor pár perc alatt ellopnak tőled mindent.
Ne használj Shamir-féle titokmegosztást sem, ugyanis rengeteg negatívuma van.
Manuálisan ne szeleteld fel a seed kifejezésedet, ez ugyanis drasztikusan csökkenti a biztonságot külső behatás esetén.
Ne legyél kreatív, és ne próbáld túlbonyolítani a seed backupodat. Nagy valószínűséggel csökkented a biztonságot, és adatvesztés kockázatát is elkönyvelheted.
Ne fáradj azzal, hogy randomizálni próbálod a backup seed kifejezést. A seed kifejezésed hosszától függően nagyon triviális ennek detektálása, ugyanis a seed kifejezésekbe beépített checksum ellenőrzés van. Például egy 12 szóból álló kifejezésnek 500 millió kombinációja lehet, amik közül valószínűleg 50 ezer érvényes. A szofisztikált támadó képes mindet leellenőrizni pár perc alatt.
Ne használj papírtárcákat. Nagyon nehéz ezeket biztonságosan tárolni, és ha elveszted azt a papírt, akkor nagyon könnyen elvesztheted a kriptóidat is.
Gyakori eset a felhasználóknál, hogy szétosztják a betétjeiket különféle egyszeri aláírásos hardver eszközök és papír tárcák között. Habár ez összességében csökkenti a teljes katasztrofális veszteség kockázatát, azonban egyúttal növeli a részleges veszteség kockázatát. Ne bízz abban sem, hogyha a kulcsodat szétosztod több egyszeri meghibásodási pont között, akkor azzal növeled a biztonságot.
Ne ess csalás áldozatává
Ne higgy a fenyegetőző és zsaroló üzeneteknek, akkor sem, ha azok tartalmazzák a felhasználónevedet és jelszavadat különféle szolgáltatásokhoz. Ezek a kiszivárgott adatok egy darknetre kikerült adatbázisból származnak. Nagyon gyakoriak az olyan esetek is, amiket ‘sextortion scams’ kifejezéssel illetnek. Ezek azt állítják, hogy malware-t telepítettek a gépedre, és kínos képeket rögzítettek rólad.
Kerüld el a ‘Bitcoin duplázás’ csalásokat is. Senki sem fogja elkérni a Bitcoinjaidat azért, hogy egy idő múlva a dupláját adja vissza neked. A pénz időbeli értéke még a Bitcoin esetében se ilyen magas.
Ne próbálj ingyenérméket gyűjteni, nagy valószínűséggel hamisak. Valakik ezzel próbálkoznak annak érdekében, hogy megszerezzék a hitelesítő adataidat. A bonyolultabb csalások esetében ezek az airdropok malware tárcák is lehetnek, amelyek ellopják a Bitcoinjaidat. Az egyetlen biztonságos módja annak, hogy összeszedd az airdrop forkcoinokat egy tárcából, ha a saját kriptóidat egy teljesen új tárcába mozgattad át.
Kerüld el a kísértést, hogy Bitcoint küldj mixer weboldalaknak, a legtöbb ugyanis átverés. A keverést csak akkor lehet biztonságosan alkalmazni, ha saját keverő szoftvert használsz, és így megtarthatod az ellenőrzést a privát kulcsok felett. A JoinMarket, Wasabi és Whirlpool ilyen példák.
Ne fektess kezdeti coin kibocsátásba (Initial Coin Offerings) anélkül, hogy kellő átvilágítást végeznél. Egy Bloomberg által készített jelentés szerint az ICO-k 80%-a csalással végződik.
Hasonlóan, ne ess áldozatául a kapzsi “pump és dump” csoportoknak. Ezeknek az eseteknek a nagy része úgy végződik, hogy pár belsős (insider) nagy profitot szakít, és a többség pedig csak veszít a dolgon.
Ne vásárolj hardver tárcákat másodlagos értékesítőktől. Egyszerűen ne inicializálj hardver tárcákat seed kifejezésekkel, ha a tárcát harmadik féltől kaptad.
Ne ess hack áldozatává
Ne telepíts távoli hozzáférésű szoftvereket (pl. Teamviewer) a számítógépedre.
Ne tedd magad és a privát kulcsodat célponttá
Ne tedd magad célponttá azáltal, hogy a Bitcoinjaidról beszélsz. Nagyon jó példája ennek az esetnek, Cody barátjának az esete. A srác Coinbase számlája meg lett hekkelve. Szerencsétlenségére, ezután azt is közzétette, hogy van egy másik Coinbase fiókja is, ahol még több coint tart.
Pár napon belül teljesen kipucolták a másik Coinbase számláját is.
Nagyon hasonló az eset a telefonoddal is. Próbáld meg elkerülni, hogy a telefonszámodat hozzárendeled az online számládhoz. A támadó egy SIM+telefonszám cserével könnyen feltöri a számládat, és kikényszeríthet egy jelszóváltoztatást. Sajnos ez annyira gyakori eset, hogy ma már senki sem tud nevetni rajta.
A biztonság egy nagyon dinamikus változó környezet
A harc a támadók és a védekezők között állandóan változik, ugyanis állandóan új taktikát, új innovatív támadási eszközöket vetnek be, amit a védelemnek gyorsan le kell reagálni.
Azonban ne érezd magad elnyomva a fenyegetések súlya alatt. Ha betartod a fent leírt tanácsokat és javaslatokat, sikeresen ki tudod védeni a csalók és a támadók rohamát.
Borítókép: Akhilleusz új páncélt kap Thetisztől, Carl Adolf Henning (1809-1900) falfestménye