خلال كاسا كيفيست جلسة المؤتمر التي عقدت في 6 يناير ، كاسا رئيس الأمن رون ستونر أعطى ملخصًا عن "أمن العمليات" (OPSEC) ، وهو مصطلح صاغه الجيش الأمريكي خلال حرب فيتنام.
وفقًا ويكيبيديا، OPSEC هي "عملية تحدد المعلومات الهامة لتحديد ما إذا كان يمكن ملاحظة الإجراءات الودية من قبل استخبارات العدو ، وتحديد ما إذا كان يمكن تفسير المعلومات التي تم الحصول عليها من قبل الخصوم على أنها مفيدة لهم ، ثم تنفيذ إجراءات مختارة تقضي على أو تقلل من استغلال الخصم للودية. المعلومات الحساسة."
تعد OPSEC أيضًا لغة شائعة في عالم Bitcoin: الأجهزة المستخدمة للوصول إلى أموال Bitcoin الخاصة بك كلها أسطح هجومية تتطلب أمان العمليات. ناقش Stoner OPSEC من منظور Bitcoin وكيفية حماية نفسك من هذه الأسطح الملحقة المحتملة.
لكن أثناء مشاهدة جلسة Stoner ، لم أركز على العمليات العسكرية أو أسطح هجوم Bitcoin. بدأت أفكر في هوليوود. على وجه التحديد ، حوالي 25 فيلمًا من أفلام جيمس بوند وجميع الأدوات والأساليب التي يستخدمها بوند لهزيمة الممثلين السيئين. وكذلك جميع الطرق التي يتخلى فيها جيمس بوند عن حذره ويهزم نفسه.
لذلك ، دعنا نفكر في كيف أن جيمس بوند أو سبيكتر (المنظمة الإرهابية العالمية الخيالية التي يحاربها بوند) قد تكون أكثر ثقة أو كسولة بشأن OPSEC للبيتكوين ، أو ببساطة تعطي الأولوية للتعقيد المنخفض على المزيد من الأمان لأموال البيتكوين الخاصة بهم.
إعداد المشهد: MI6 وكيف وصل إلى الصفر
دعونا نتخيل أن أجهزة المخابرات البريطانية السرية وصاحب العمل MI6 في شركة Bond يستخدمان عملة البيتكوين فقط وهما الآن يتمتعان بالسيادة الذاتية. كانت الحكومة متشابكة للغاية مع الأموال الفاسدة ، لذلك ، أخذ MI6 تسوية نقدية وجردها من الحكومة. استثمر MI6 في البيتكوين كمخزن ذي قيمة يقدر ويمول مهامه ، بالإضافة إلى تلبية احتياجاته من الأمن والخصوصية والتنقل. يستخدم MI6 الآن البيتكوين حصريًا.
أجبر هذا التغيير في التمويل بوند على البدء في الميزانية. كان بوند ينفق بإسراف ويعمل بطريقة تفضيل وقت طويل. وضعه رئيسه ، M ، على بدل صارم لمحفظته الشخصية 007 الساخنة. لا اعذار.
[في مكان ما في جبال مونتينيغرو]
يقود بوند سيارته أستون مارتن في مقطع رشيق. تنبض لوحة العدادات الخاصة به بالحياة ويبدأ صوت في الكلام.
السيارة: [رسالة واردة من M]
"بوند ، هنا. اسمع ، أنا في عطلة وقد خضت للتو جولة مع بعض قطاع الطرق في برشلونة. لقد سرقوا السيارة المستأجرة والآن تصر الوكالة المفجورة على أن أفعل الخير. لقد خرج Moneypenny وأحتاج إلى شخص ما ليبلغني 100 مليون ساتس من محفظة MI6. هل يمكن أن تكون شابًا جيدًا وترسل الأموال من حساب العمليات الخاص بك إلى هذه الشركة المؤجرة؟ رمز الاستجابة السريعة مرفق. "
السيارة: [إنهاء الرسالة. هل تريد الرد؟]
يعتبر بوند لحظة. تبدو المنظمة مألوفة له ، لكنه لا يتذكر من أين. لا يهم. كان من المقرر أن يحضر اجتماعًا مع مخبر جميل في بودغوريتشا في غضون ساعة واحدة ، ولم يكن لديه وقت للسبب والمكان.
بوند: "نعم. أرسل له رسالة بأنني سأفعل ذلك ".
السيارة: [تم إرسال الرسالة]
Bond: "Siri ، أحتاج إلى تحويل الأموال إلى رمز الاستجابة السريعة في الرسالة الأخيرة."
السيارة: [جارٍ الوصول إلى آخر رسالة. يبدو أن هناك رابطًا مضمنًا في الرسالة. إذن للوصول إلى؟]
بوند ، بفارغ الصبر: "نعم ، نعم. إنطلق."
السيارة: [ملف وارد. تثبيت تحديث البرنامج.]
بوند: "ماذا ، الآن؟ ألا يمكن أن تنتظر حتى أنتهي؟ "
السيارة: [تم تحديث البرنامج. مصدر الأموال؟]
Bond: "أحتاج إلى الوصول إلى محفظة Bitcoin التشغيلية الخاصة بي." [ملاحظة المحرر: لا يوجد منتج موضع هنا].
السيارة: [المصادقة البيومترية مطلوبة. يرجى وضع يدك على وحدة التحكم للتصريح.]
بوند يفعل ذلك. تتحول الشاشة إلى اللون الأخضر.
السيارة: [الإذن مقبول. المال أرسلت. رصيد حسابك التشغيلي الآن صفر. لم تعد مشاركتك مطلوبة لهذه المعاملة.]
بوند: "ماذا؟"
يتراجع سقف أستون مارتن.
السيارة: [وداعا ، سيد بوند.]
يقوم البرنامج الضار المسؤول الآن عن السيارة بتشغيل مقعد الطرد ، ويمسك بوند بجهاز iPhone الخاص به وينطلق نحو السماء ، والهاتف ممسوك بإحدى يديه ، ويصل إلى مظلة جيبه بيده الأخرى.
بوند ليس لديه سيارة ، ولا أموال MI6 وقليل جدا من أموال المحفظة الشخصية الساخنة.
محافظ التوقيع الفردي أو متعددة التوقيع
يقدم العديد من المزودين محافظ متعددة التوقيع مع اثنين من ثلاثة multisig وثلاثة من خمسة إعدادات multisig.
ومع ذلك ، يحتاج بوند والوكلاء الآخرون إلى الانتقال إلى مكان واحد ، والحصول على أموال من التخزين البارد والمضي قدمًا. بناءً على تلك الاحتياجات:
- MI6 لا يقوم بإعداد multisig وبدلاً من ذلك لديه العديد من محافظ الأجهزة أحادية التوقيع
- يحتفظ MI6 بمحافظ الأجهزة وبذور النسخ الاحتياطي آمنة في مواقع منفصلة جغرافيًا
- لدى MI6 أيضًا أموال مقسمة عبر جميع محافظ أجهزة التخزين البارد ذات التوقيع الفردي
يعرف MI6 أن هذا ليس أفضل أمان ، ولكن بالنسبة لاحتياجات التنقل والراحة ، يعتقدون أنه يعمل من أجلهم.
يريد Specter قطع أموال MI6 و Bond. يتسلل وكلاء Specter في وقت واحد إلى العديد من مواقع التخزين بالقرب من Bond التي تحتوي على بذور احتياطية ومحافظ الأجهزة.
ينبهه أمان Ring متعدد المواقع الخاص بـ Bond و Q إلى سرقة اثنتين من محافظ الأجهزة ونسخة احتياطية واحدة لمحفظة ثالثة من المواقع الثلاثة القريبة منه. تحتوي المحافظ على جهاز صغير يشبه علامة Apple مدمج في حقيبة Faraday الخاصة بكل محفظة. هذا الجهاز قادر على الإرسال خارج حقيبة Faraday بسبب العمل اليدوي التكنولوجي لـ Q. يتيح ذلك لـ Bond و Q تتبع الوكلاء إلى مخبأهم.
مع multisig ، كان هؤلاء الأوغاد يواجهون صعوبة أكبر في الوصول إلى أي من صناديق Bitcoin MI6 ، حيث سيحتاجون إلى جهازين أو ثلاثة أجهزة أو بذور مناسبة لتحويل الأموال من اثنين من
ثلاثة أو ثلاثة من خمسة إعداد multisig.
نصيحة OPSEC الأولى: استخدم أكياس Faraday لحماية أجهزتك من القرصنة عن بُعد والمسح / التلف والمراقبة.
نصيحة OPSEC الثانية: ينصح ستونر بتخزين محافظ الأجهزة في مكان يتم التحكم في الوصول إليه. على سبيل المثال ، درج مقفل (حيث يكون لديك المفتاح فقط) أو خزنة أو مبنى به حارس مسلح والوصول المطلوب إلى بطاقة الهوية. بالإضافة إلى ذلك ، استخدم حقيبة غير قابلة للعبث حتى يتمكن المرء من التأكد من عدم تمكن أي شخص من الوصول إلى الأجهزة عندما يقوم بفحص الأجهزة كل ثلاثة أشهر أو كل سنتين.
جيمس بوند و 007 دبابيس
يبدأ الأشرار بمحاولة الوصول إلى محافظ الأجهزة المسروقة.
بعد عقود من العمل في عالم الأعمال ، جعلته قدرة بوند على التهرب من مقتله واستمرار نجاح الفيلم من أفضل الشخصيات في MI6 وشعرت بفرط الثقة والتعلق بهويته الرقمية. أصر بوند على أن يكون رقم التعريف الشخصي على جميع محافظ MI6 007007. يدخل الأشرار هذا الدبوس بسهولة ، وبالتالي الوصول إلى محافظ الأجهزة.
نصيحة OPSEC الثالثة: يوصي Casa باستخدام رقم تعريف شخصي واحد لجميع المحافظ ، لأن هذا يسهل على المستخدم العادي استرداد أمواله. ومع ذلك ، باستخدام أرقام التعريف الشخصية المنفصلة ، لن تكون تسوية إحدى المحفظة مماثلة لتسوية محفظة أجهزة أخرى. يعتبر هذا الأمر معقدًا مقابل سيناريو المزيد من مقايضات الأمان. بالإضافة إلى ذلك ، إذا تم اختراق رقم التعريف الشخصي لمحفظة أحد الأجهزة ، فستحتاج إلى تحديث جميع محافظ الأجهزة.
تحديثات البرامج الثابتة ونظام التشغيل
الأشرار متصلون الآن بمحفظة الأجهزة عبر الكمبيوتر المحمول الخاص بهم. ومع ذلك ، فقد وصل Q إلى موقع محافظ الأجهزة وقام مؤقتًا بزرع حمولة ذكية في تحديث البرنامج الثابت.
يُطلب من الأشرار تحديث البرامج الثابتة ويقومون بذلك.
تتسلل البرامج الثابتة إلى محفظة الأجهزة ، لكن الأشرار لا يدركون ذلك ولذا يشرعون في تحديث محفظة الأجهزة التالية أيضًا. إنهم مشتتون - متحمسون لمعرفة كمية البيتكوين التي اشتروها للتو. إنهم يحسبون حرفيا عملات البيتكوين الخاصة بهم قبل أن تتم سرقتها مرة أخرى.
سيستخدم Q لاحقًا البرامج الضارة الخاصة به لنقل الأموال إلى محفظة أجهزة أخرى. بالإضافة إلى ذلك ، يمكن لـ Bond استرداد البذور الاحتياطية ، وبمجرد استعادتها ، لا يزال بإمكانه استعادة المحفظة والحصول على Bitcoin.
نصيحة OPSEC الرابعة: عندما ترى تحديثًا للبرنامج الثابت ، قم ببعض عمليات الفحص اليدوي. اكتب عنوان URL ، وأكد هناك بالفعل is تحديث وما يحتويه. يوصي ستونر بتطبيق التحديثات على الفور لإصلاحات الأمان الهامة. للحصول على تحديثات أخرى ، تحقق من تاريخ الإصدار وربما انتظر بضعة أيام "للسماح له بالخبز" أثناء اختبار البرنامج الثابت للإنتاج الجديد من قبل المجتمع. قد ترغب أيضًا في تحديث البرنامج الثابت للاستفادة من تحديثات البروتوكول الجديدة ، مثل تحسينات Taproot. عندما يكون متاحًا ، do استخدم أي أدوات برمجية متاحة للتحقق من التوقيع الرقمي أو المجموع الاختباري MD5 في ملف تحديث البرنامج الثابت.
نصيحة OPSEC الخامسة: أثناء تحديث البرنامج الثابت ، تأكد من توصيل الكبل بإحكام وعدم فصله أثناء التحديث. استخدم دائمًا الكبل المرفق بالجهاز حيث قد تكون هناك اختلافات في الشركة المصنعة.
نصيحة OPSEC السادسة: بالنسبة لجهازك المحمول أو الكمبيوتر المحمول أو سطح المكتب ، ابق دائمًا على اطلاع دائم بجميع التصحيحات. ومع ذلك ، قد يكون من الأفضل الانتظار يومين أو أسبوع للتأكد من عدم وجود أية مشكلات في التحديثات.
نصيحة OPSEC السابعة: أي شيء تتصل به هو سطح هجوم - قم بحمايته وفقًا لذلك. لا يوصي Stoner بالأجهزة التي تعمل بالهواء المضغوط للمستخدم العادي. (ومع ذلك ، يعتبر البعض أن محافظ الأجهزة مقيدة بالهواء). Bond هو أحد الأصول عالية الخطورة الذي يستخدم الأجهزة التي تعمل بالهواء المضغوط لأداء التوقيع دون اتصال بالإنترنت ، ثم يبث المعاملة لاحقًا على جهاز متصل بالشبكة. ومع ذلك ، فإن نفاد صبر بوند و "خططه" تسببا في التراخي.
الأمن المادي
يلجأ الأشرار الآن إلى العبارة الأولية الاحتياطية لاستعادتها إلى محفظة أجهزة جديدة.
هؤلاء الأشرار في Spectre مغرورون ويعانون من تحيز الثقة المفرط الذي يميل هؤلاء الأشرار إلى الظهور في الأفلام. (ملاحظة: الأشرار ليسوا هكذا في الحياة الواقعية. إنهم أذكياء للغاية).
رجل شرير يقرأ الكلمات الأولية لشخص ما باستخدام المفاتيح لاستعادة محفظة أجهزة جديدة. في غضون ذلك ، اخترق Bond مساعد Alexa الخاص بهم ويمكنه سماعهم يقرأون الكلمات الأولية.
يحصل بوند على الكلمات الأولية ، ثم يكون قادرًا على استعادة محفظة أجهزة جديدة احتياطية وتحويل أمواله إلى مكان آخر قبل أن ينتهي الأشرار من التحسس. بالنسبة للأشرار ، يبدو أنه لم يتبق على الجهاز أي جلوس.
نصيحة OPSEC الثامنة: قبل استخدام أي أجهزة ، تحدث ستونر عن مسح محيطك المادي للأشخاص أو للأجهزة الأخرى التي قد تستمع أو تشاهد أو تسجل. تاريخيًا ، كنا معزولين في منازلنا ولم نتمكن من رؤيتنا إلا للأشخاص الآخرين أو التكنولوجيا عندما نكون خارج منازلنا. لقد تغير ذلك - لدينا جميعًا أجهزة بها كاميرات وميكروفونات في منازلنا أو في ساعات على معصمنا. لا ينصح Stoner بأجهزة كشف الأخطاء ، حيث يصعب استخدامها ويمكن أن تولد الكثير من الإيجابيات الخاطئة. قم بإزالة أي أجهزة إضافية (قد تكون مستمعة أو تشاهد) من الغرفة.
نصيحة OPSEC التاسعة: قبل الاستخدام ، افحص الأجهزة بحثًا عن أي علامات تلاعب.
أسلحة الأجهزة
بينما يتساءل الأشرار عما حدث ، اقتحم بوند سيارتهم وقام بتوصيل كابل OMG بشاحن iPhone الخاص بسيارتهم. يقوم هذا الكابل بحقن برامج ضارة في جهاز iPhone.
يشتري Bond مجموعة من البيتكوين باستخدام تطبيق iPhone الخاص به ، وينقلها إلى محفظته الشخصية الساخنة. لقد قام الآن بتجديد محفظته الساخنة حتى يتمكن من الاحتفال بطريقته المعتادة.
نصيحة OPSEC العاشرة: فيما يتعلق بالكابلات ، يوصي Stoner بتوخي الحذر عند شرائها وعدم استخدام الكابلات العشوائية أو أجهزة USB. أفضل رهان هو استخدام الكابل المرفق بالجهاز عند شرائه.
الأمن الرقمي
يستمر الأشرار ، كما يفعلون عادة. هناك مردود محتمل ضخم وهائل. قفزت عملة البيتكوين للتو إلى 500,000 دولار. هذه المرة ، يرسل Specter امرأة للقيام بهذه المهمة.
تطلب بوند تفاصيل الاتصال بها وترسل إليه المعلومات مع رابط Instagram لبعض صورها. ينقر بوند على الرابط الموجود على هاتفه ، ويتصل هاتفه عن غير قصد بموقع شنيع ويقوم بتنزيل برامج ضارة. ثم يريد بوند أن يرى الصور على شاشة الكمبيوتر المحمول الخاص به ، ومرة أخرى ، أصاب بوند الآن كل من أجهزته بلا مبالاة.
ألم تخبر Q بو
و الثاني أبدا انقر فوق الروابط ؟!
نصيحة OPSEC Eleven: لدى Stoner نفس الشعار الذي أفعله: Do ليس انقر فوق الروابط. اكتب عناوين URL في المتصفح بنفسك. أو يمكنك العثور على الروابط عبر محرك بحث. إذا كان لا بد من النقر فوق ارتباط ، فيمكن أن تساعد الأوضاع الخاصة بالمتصفح والآلات الافتراضية وأدوات الأمان الأخرى في توفير أمان أفضل.
التحقق من النسخ الاحتياطية والخطة
مع أي أصول رقمية لديك ، يجب عليك فحص النسخ الاحتياطية بشكل دوري للتأكد من استمرار وجود النسخ الاحتياطية وأنه يمكنك الاستعادة منها. هذا ينطبق أيضًا على محافظ أجهزتك وأي بذور تحتفظ بها.
ليس لدينا جميعًا تنبيهات بشأن مواقع التخزين البارد لدينا ، لمعرفة ما إذا كانت قد تعرضت للاختراق أم لا. فكر من خلال خطة عمل قبل تم اختراق شيء ما.
بيتكوين OPSEC
من المهم أن تكون متيقظًا جدًا للتهديدات والمهمة التي تقوم بها عند التعامل مع أموالك. أنت ينبغي يكون بجنون العظمة. أنت ينبغي كن حذرا. وإذا لم يكن الأمر واضحًا ، فلا يجب أبدًا استخدام شبكات Wifi العامة في أي عمليات تهتم بها.
تمامًا كما يلعب بوند دور القط والفأر مع الأشرار ، كذلك يفعل قراصنة القبعة السوداء وباحثو أمن القبعة البيضاء. يستغل المتسللون باستمرار بينما يقوم مهندسو الأمن بإصدار التصحيحات باستمرار.
يحب الناس ممارسة ألعاب الفيديو من أجل الإثارة والتحدي. ومع ذلك ، عندما تحتاج إلى تنفيذ أمان الجهاز - تحديثات الأمان المادي والتصحيحات ، ومحافظ الأجهزة وتحديثات البرامج الثابتة ، وفحوصات مفاتيح الأجهزة ، تصبح هذه الإجراءات مملة وحذرة. أو نسي.
لم يعد العالم يدور حول حبس نفسك في مكان ما بأمان أو الشعور بالأمان أثناء تنقلك في أي منطقة. يمكن أن تصل التكنولوجيا إليك أينما كنت - في المنزل ، وفي أي مكان تذهب إليه ، وعبر كل ما تشاهده أو تستخدمه للراحة.
الراحة هي عدو الأمن. السهولة والراحة عدو الأمن. لا تجعل أمنك مناسبًا أو سهلاً على الجهات السيئة للتسلل. إذا قمت بذلك ، في مرحلة ما ، فإن الإهمال أو الأشرار سوف يصيبك ، وستكون هذه خسارتك ... لأموال البيتكوين الثمينة.
هذا منشور ضيف بواسطة هايدي بورتر. الآراء المعبر عنها هي آراء خاصة بها ولا تعكس بالضرورة آراء BTC Inc أو بيتكوين مجلة.
المصدر: https://bitcoinmagazine.com/culture/james-bond-learning-bitcoin-opsec-tips
