Logo Zéphyrnet

Intelligence de données générative

Blockchain

Conseils Bitcoin OPSEC de Casa Keyfest: que devrait faire James Bond?

Republié par Platon
Republié par Platon

Date :

Vues: 302

Au cours d'une Casa Keyfest conférence tenue le 6 janvier Casa Chef de la sécurité Ron Stoner a donné un aperçu de la «sécurité des opérations» (OPSEC), un terme inventé par l'armée américaine pendant la guerre du Vietnam.

Selon Wikipédia, OPSEC est "un processus qui identifie les informations critiques pour déterminer si les actions amies peuvent être observées par le renseignement ennemi, détermine si les informations obtenues par les adversaires pourraient être interprétées comme leur étant utiles, puis exécutent des mesures sélectionnées qui éliminent ou réduisent l'exploitation par l'adversaire des forces amies. Information critique."

OPSEC est également un langage courant dans le monde Bitcoin : les appareils utilisés pour accéder à vos fonds Bitcoin sont toutes des surfaces d'attaque qui nécessitent une sécurité des opérations. Stoner a discuté de l'OPSEC du point de vue du Bitcoin et de la manière de se protéger de ces surfaces de fixation potentielles.

Mais en regardant la session de Stoner, mon esprit ne s'est pas concentré sur les opérations militaires ou les surfaces d'attaque Bitcoin. J'ai commencé à penser à Hollywood. Plus précisément, sur les 25 films de James Bond et tous les gadgets et méthodes que Bond utilise pour vaincre les mauvais acteurs. Et aussi toutes les façons dont James Bond baisse sa garde et se fait vaincre lui-même.

Alors, considérons comment James Bond ou Spectre (l'organisation terroriste mondiale fictive que Bond combat) pourrait devenir trop confiant ou paresseux à propos de l'OPSEC pour Bitcoin, ou simplement donner la priorité à une faible complexité plutôt qu'à plus de sécurité pour leurs fonds bitcoin.

Mise en scène : MI6 et comment il est arrivé à zéro

Imaginons que les services de renseignement secrets britanniques et l'employeur de Bond, le MI6, n'utilisent que le bitcoin et soient désormais souverains. Le gouvernement était trop lié à l'argent corrompu, par conséquent, le MI6 a pris un règlement monétaire et s'est désengagé du gouvernement. Le MI6 a investi dans le bitcoin en tant que réserve de valeur qui apprécierait et financerait ses missions, ainsi que pour répondre à ses besoins de sécurité, de confidentialité et de mobilité. Le MI6 utilise désormais exclusivement le bitcoin.

Ce changement de financement a forcé Bond à commencer à budgétiser. Bond avait dépensé de manière extravagante et fonctionnait selon une préférence temporelle élevée. Son patron, M, lui a imposé une allocation stricte pour son portefeuille chaud personnel 007. Pas d'excuses.

[QUELQUE PART DANS LES MONTAGNES DU MONTENEGRO]

Bond conduit son Aston Martin à toute allure. Son tableau de bord s'anime et une voix se met à parler.

Voiture : [Message entrant de M]

"Bond, M ici. Écoute, je suis en vacances et je viens d'avoir une altercation avec des bandits à Barcelone. Ils ont volé la voiture de location et maintenant la maudite agence insiste pour que je répare. Moneypenny est sorti et j'ai besoin que quelqu'un me transfère 100 millions de sats du portefeuille du MI6. Pourriez-vous être un bon gars et envoyer des fonds de votre compte d'exploitation à cette société de location ? Code QR ci-joint.

Voiture : [Fin du message. Voulez-vous répondre?]

Bond réfléchit un moment. L'organisation lui semble familière, mais il ne se souvient pas d'où elle vient. Peu importe. Il devait se rendre à une réunion avec une ravissante informatrice à Podgorica dans une heure, et il n'avait pas le temps pour les pourquoi et les comment.

Lien : "Oui. Envoyez-lui un message pour que je m'en occupe.

Voiture : [Message envoyé.]

Bond : "Siri, je dois transférer des fonds vers le code QR dans le dernier message."

Voiture : [Accès au dernier message. Il semble y avoir un lien intégré dans le message. L'autorisation d'accès?]

Bond, impatient : « Oui, oui. Vas-y."

Voiture : [Fichier entrant. Installation de la mise à jour du logiciel.]

Bond : "Quoi, maintenant? Ça ne peut pas attendre que j'aie fini ?

Voiture : [Logiciel mis à jour. Source de fonds?]

Bond : "J'ai besoin d'accéder à mon portefeuille opérationnel Bitcoin." [NDLR : pas de placement de produit ici].

Voiture : [Authentification biométrique requise. Veuillez placer votre main sur la console pour autoriser.]

Bond le fait. L'écran devient vert.

Voiture : [Autorisation acceptée. Argent envoyé. Le solde de votre compte opérationnel est maintenant nul. Votre participation n'est plus requise pour cette transaction.]

Bond : "Quoi ?"

Le toit de l'Aston Martin se rétracte.

Voiture : [Au revoir, M. Bond.]

Le logiciel malveillant maintenant en charge du véhicule déclenche le siège éjectable, Bond attrape son iPhone et est propulsé vers le ciel, le téléphone désespérément tenu dans une main, atteignant son parachute de poche avec son autre main.

Bond n'a pas de voiture, pas de fonds MI6 et très peu de fonds personnels de portefeuille chaud.

Portefeuilles à signature unique ou multisignatures

De nombreux fournisseurs proposent des portefeuilles multi-signatures avec des configurations multisig deux sur trois et trois sur cinq.

Cependant, Bond et d'autres agents doivent se rendre à un seul endroit, obtenir des fonds de l'entrepôt frigorifique et passer à autre chose. En fonction de ces besoins :

  • Le MI6 ne configure pas le multisig et possède à la place de nombreux portefeuilles matériels à signature unique
  • Le MI6 maintient les portefeuilles matériels et les graines de sauvegarde en sécurité dans des emplacements géographiquement séparés
  • Le MI6 a également des fonds répartis sur tous ces portefeuilles matériels de stockage à froid à signature unique

Le MI6 sait que ce n'est pas la meilleure sécurité, mais pour les besoins de mobilité et de commodité, ils pensent que cela fonctionne pour eux.

Spectre veut couper les fonds du MI6 et de Bond. Les agents Spectre infiltrent simultanément plusieurs des emplacements de stockage près de Bond qui contiennent des graines de sauvegarde et des portefeuilles matériels.

La sécurité Ring multi-emplacement de Bond l'alerte, ainsi que Q, que deux des portefeuilles matériels et une sauvegarde de semences pour un troisième portefeuille ont été volés dans les trois emplacements proches de lui. Les portefeuilles ont un minuscule dispositif semblable à un airtag Apple intégré dans le sac Faraday de chaque portefeuille. Cet appareil est capable de transmettre à l'extérieur du sac de Faraday grâce au travail technologique de Q. Cela permet à Bond et Q de suivre les agents jusqu'à leur repaire.

Avec multisig, ces méchants auraient eu beaucoup plus de mal à accéder à l'un des fonds bitcoin du MI6, car ils auraient besoin de deux ou trois appareils ou graines appropriés pour transférer les fonds d'un deux-sur-
configuration multisig trois ou trois sur cinq.

Premier conseil OPSEC : utilisez des sacs Faraday pour protéger vos appareils contre le piratage, l'effacement/les dommages et la surveillance à distance.

Deuxième conseil OPSEC : Stoner conseille de stocker les portefeuilles matériels dans un endroit à accès contrôlé. Par exemple, un tiroir verrouillé (dont vous seul avez la clé) ou un coffre-fort ou un bâtiment avec un gardien armé et un accès avec ID requis. De plus, utilisez un sac inviolable afin que, lors de leurs vérifications trimestrielles ou biannuelles du matériel et des clés, ils puissent s'assurer que personne n'a accédé aux appareils.

James Bond et 007 PIN

Les méchants commencent par essayer d'accéder aux portefeuilles matériels volés.

Après des décennies dans les affaires, la capacité de Bond à échapper à son propre meurtre et le succès continu du film ont fait de lui le meilleur gars du MI6 et un peu trop confiant et attaché à son identité numérique. Bond a insisté pour que le code PIN de tous les portefeuilles MI6 soit 007007. Les méchants entrent facilement dans ce code PIN, accédant ainsi aux portefeuilles matériels.

Troisième conseil OPSEC : Casa recommande d'utiliser un code PIN pour tous les portefeuilles, car cela permet à l'utilisateur moyen de récupérer plus facilement ses fonds. Cependant, avec des codes PIN séparés, la compromission d'un portefeuille ne serait pas la même que celle d'un autre portefeuille matériel. Il s'agit d'un scénario de compromis entre complexité et plus de sécurité. De plus, si le code PIN d'un portefeuille matériel est compromis, vous devrez mettre à jour tous les portefeuilles matériels.

Mises à jour du micrologiciel et du système d'exploitation

Les méchants sont maintenant connectés au portefeuille matériel via leur ordinateur portable. Cependant, Q a accédé au site Web des portefeuilles matériels et implante temporairement une charge utile intelligente dans une mise à jour du micrologiciel.

Les méchants sont invités à mettre à jour le firmware et ils le font.

Le micrologiciel s'infiltre dans le portefeuille matériel, mais les méchants ne s'en rendent pas compte et procèdent également à la mise à jour du prochain portefeuille matériel. Ils sont distraits - excités de voir la quantité de bitcoins qu'ils viennent de se procurer. Ils comptent littéralement leur bitcoin avant qu'il ne soit volé.

Q utilisera plus tard son logiciel malveillant pour déplacer les fonds vers un autre portefeuille matériel. De plus, Bond pourrait récupérer la graine de sauvegarde et, une fois qu'il l'a récupérée, il pourrait toujours restaurer le portefeuille et obtenir le Bitcoin.

OPSEC Tip Four: Lorsque vous voyez une mise à jour du micrologiciel, effectuez une vérification manuelle. Tapez l'URL, confirmez là en fait is une mise à jour et ce qu'elle contient. Stoner recommande d'appliquer immédiatement les mises à jour pour les correctifs de sécurité critiques. Pour les autres mises à jour, vérifiez la date de sortie et attendez peut-être quelques jours pour "laisser cuire" pendant que le nouveau firmware de production est testé par la communauté. Vous pouvez également mettre à jour le micrologiciel pour tirer parti des nouvelles mises à jour de protocole, telles que les améliorations de Taproot. Lorsqu'il est disponible, do utilisez tous les outils logiciels disponibles pour vérifier la signature numérique ou la somme de contrôle MD5 sur le fichier de mise à jour du micrologiciel.

Cinquième astuce OPSEC : lors d'une mise à jour du micrologiciel, assurez-vous que le câble est bien branché et ne le déconnectez pas pendant la mise à jour. Utilisez toujours le câble fourni avec l'appareil car il peut y avoir des différences entre les fabricants.

Sixième conseil OPSEC : Pour votre appareil mobile, ordinateur portable ou de bureau, restez toujours à jour avec tous les correctifs. Cependant, il peut être préférable d'attendre quelques jours ou une semaine pour vous assurer que les mises à jour ne posent aucun problème.

Septième conseil OPSEC : Tout ce à quoi vous vous connectez est une surface d'attaque - protégez-la en conséquence. Stoner ne recommande pas les appareils à intervalle d'air pour l'utilisateur moyen. (Cela dit, certains considèrent que les portefeuilles matériels sont vides d'air). Bond est un actif à haut risque qui utilise des appareils isolés pour effectuer une signature hors ligne, puis diffuse ensuite la transaction sur une machine connectée au réseau. Cependant, l'impatience et les "plans" de Bond l'ont poussé à être laxiste.

Sûreté Matérielle

Les méchants se tournent maintenant vers la phrase de départ de sauvegarde pour la récupérer dans un nouveau portefeuille matériel.

Ces méchants du Spectre sont arrogants et souffrent du biais d'excès de confiance massif que ces méchants ont tendance à avoir dans les films. (Note : les méchants ne sont pas comme ça dans la vraie vie. Ils sont sacrément intelligents).

Un méchant lit les mots clés à quelqu'un qui utilise les clés pour restaurer un nouveau portefeuille matériel. En attendant, Bond a piraté leur assistant Alexa et peut les entendre lire les mots clés.

Bond obtient les mots de départ et est ensuite en mesure de restaurer un nouveau portefeuille matériel de rechange et de transférer ses fonds ailleurs avant que les méchants aient fini de tâtonner. Pour les méchants, il semble qu'il n'y ait plus de sats sur l'appareil.

Huitième conseil OPSEC : avant d'utiliser des appareils, Stoner a parlé de scanner votre périmètre physique à la recherche de personnes ou d'autres appareils susceptibles d'écouter, de regarder ou d'enregistrer. Historiquement, nous étions isolés dans nos maisons et visibles des autres personnes ou de la technologie uniquement à l'extérieur de nos maisons. Cela a changé - nous avons tous des appareils avec des caméras et des microphones dans nos maisons ou dans des montres au poignet. Stoner ne recommande pas les détecteurs de bugs, car ils sont difficiles à utiliser et peuvent générer de nombreux faux positifs. Retirez tous les appareils supplémentaires (qui pourraient être en train d'écouter ou de regarder) de la pièce.

Astuce OPSEC Nine: Avant utilisation, inspectez les appareils pour détecter tout signe d'altération.

Armes matérielles

Alors que les méchants se demandent ce qui n'allait pas, Bond s'introduit dans leur voiture et branche un câble OMG sur le chargeur d'iPhone de leur voiture. Ce câble injecte des logiciels malveillants dans l'iPhone.

Bond achète un tas de bitcoins avec son application iPhone et le transfère dans son portefeuille chaud personnel. Il a maintenant reconstitué son portefeuille chaud afin de pouvoir célébrer à sa manière habituelle.

Conseil OPSEC Dix : En ce qui concerne les câbles, Stoner recommande de faire attention à l'endroit où vous les achetez et de ne pas utiliser de câbles ou de périphériques USB aléatoires. Votre meilleur pari est d'utiliser le câble fourni avec l'appareil lorsque vous l'avez acheté.

Sécurité numérique

Les méchants persistent, comme ils le font habituellement. Il y a un gain potentiel énorme, énorme. Bitcoin vient de monter en flèche à 500,000 XNUMX $. Cette fois, Spectre envoie une femme pour faire le travail.

Bond lui demande ses coordonnées et elle lui envoie les informations par SMS avec un lien Instagram vers des photos d'elle. Bond clique sur le lien sur son téléphone, et son téléphone se connecte sans le savoir à un site infâme et télécharge des logiciels malveillants. Bond veut alors voir les images sur l'écran de son ordinateur portable, et encore une fois, Bond a maintenant négligemment infecté ses deux appareils.

Q n'a-t-il pas dit à Bo
et à n'allons jamais cliquez sur les liens ? !

Conseil OPSEC onze : Stoner a le même mantra que moi : faites ne sauraient cliquez sur les liens. Tapez vous-même les URL dans le navigateur. Ou, vous pouvez trouver les liens via un moteur de recherche. Si vous devez cliquer sur un lien, les modes privés du navigateur, les machines virtuelles et d'autres outils de sécurité peuvent aider à fournir une meilleure sécurité.

Vérification de vos sauvegardes et de votre plan

Avec tous les actifs numériques dont vous disposez, vous devez vérifier périodiquement vos sauvegardes pour vous assurer qu'elles existent toujours et que vous pouvez les restaurer à partir de celles-ci. Cela est également vrai pour vos portefeuilles matériels et toutes les graines que vous conservez.

Nous n'avons pas tous des alertes sur nos emplacements de stockage frigorifique, pour savoir s'ils ont été compromis. Réfléchir à un plan d'action before quelque chose est compromis.

Bitcoin OPSEC

Il est important d'être hypervigilant face aux menaces et à la tâche à accomplir lorsqu'il s'agit de votre argent. Vous devrait être paranoïaque. Vous devrait fais attention. Et, si ce n'est pas évident, vous ne devriez jamais utiliser le Wifi public pour les opérations qui vous tiennent à cœur.

Tout comme Bond joue au chat et à la souris avec les méchants, il en va de même pour les hackers black hat et les chercheurs en sécurité white hat. Les pirates exploitent constamment tandis que les ingénieurs en sécurité publient constamment des correctifs.

Les gens aiment jouer à des jeux vidéo pour l'excitation et le défi. Et pourtant, lorsque vous devez mettre en œuvre la sécurité de l'appareil - mises à jour de la sécurité physique et des correctifs, portefeuilles matériels et mises à jour du micrologiciel, et vérifications des clés matérielles, ces actions deviennent fastidieuses et routinières. Ou oublié.

Le monde ne consiste plus à s'enfermer quelque part en toute sécurité ou à se sentir en sécurité lorsque vous vous déplacez dans n'importe quelle zone. La technologie peut vous atteindre où que vous soyez - à la maison, partout où vous allez et via tout ce que vous regardez ou utilisez pour plus de commodité.

Le confort est l'ennemi de la sécurité. La facilité et le confort sont les ennemis de la sécurité. Ne rendez pas votre sécurité pratique ou facile à infiltrer par de mauvais acteurs. Si vous le faites, à un moment donné, la négligence ou les méchants vous attraperont, et ce sera votre perte… de précieux fonds en bitcoins.

Ceci est un article invité par Heidi Porter. Les opinions exprimées sont entièrement les leurs et ne reflètent pas nécessairement celles de BTC Inc ou Magazine Bitcoin.

Source : https://bitcoinmagazine.com/culture/james-bond-learning-bitcoin-opsec-tips

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.