시 카사 키페스트 6월 XNUMX일에 개최된 회의 세션, Casa 보안 책임자 Ron Stoner 베트남 전쟁 중 미군이 만든 용어인 OPSEC(Operations Security)에 대해 간략히 설명했습니다.
에 따르면 위키 백과, OPSEC는 "적의 정보가 아군 행동을 관찰할 수 있는지 여부를 결정하기 위해 중요한 정보를 식별하고, 적이 획득한 정보가 그들에게 유용한 것으로 해석될 수 있는지 결정한 다음, 적의 아군 공격을 제거하거나 줄이는 선택된 조치를 실행하는 프로세스입니다. 중요한 정보입니다.”
OPSEC는 비트코인 세계에서 흔히 사용되는 용어이기도 합니다. 비트코인 자금에 액세스하는 데 사용되는 장치는 모두 운영 보안이 필요한 공격 표면입니다. Stoner는 비트코인 관점에서 OPSEC와 이러한 잠재적인 부착 표면으로부터 자신을 보호하는 방법에 대해 논의했습니다.
그러나 Stoner의 세션을 보는 동안 내 마음은 군사 작전이나 Bitcoin 공격 표면에 집중하지 않았습니다. 할리우드에 대해 생각하기 시작했습니다. 특히, 현재 25편의 제임스 본드 영화와 본드가 나쁜 배우를 물리치기 위해 사용하는 모든 장치와 방법에 대해. 그리고 제임스 본드가 경계를 늦추고 스스로 패배하는 모든 방법.
따라서 제임스 본드 또는 스펙터(본드와 싸우는 가상의 글로벌 테러 조직)가 비트코인에 대한 OPSEC에 대해 과신하거나 게으르거나 단순히 비트코인 펀드에 대한 더 많은 보안보다 낮은 복잡성을 우선시하는 방법을 고려해 보겠습니다.
장면 설정: MI6과 그것이 XNUMX이 된 방법
영국의 비밀 정보 기관과 채권 고용주 MI6이 비트코인만 사용하고 지금은 자주권을 갖고 있다고 상상해 봅시다. 정부는 부패한 돈에 너무 얽혀 있었기 때문에 MI6은 금전적 합의를 취하고 정부에서 매각했습니다. MI6은 보안, 개인 정보 보호 및 이동성에 대한 요구 사항을 충족할 뿐만 아니라 미션에 감사하고 자금을 지원하는 가치 저장소로 비트코인에 투자했습니다. MI6은 이제 비트코인을 독점적으로 사용합니다.
이러한 자금 조달 변경으로 인해 Bond는 예산 편성을 시작했습니다. 본드는 사치스럽게 지출하고 높은 시간 선호 방식으로 운영되었습니다. 그의 상사인 M은 그의 개인 007 핫월렛에 대해 엄격한 용돈을 주었다. 변명하지.
[몬테네그로 산의 어딘가]
본드는 자신의 애스턴 마틴을 빠른 속도로 운전하고 있습니다. 그의 대시보드가 살아나고 목소리가 들리기 시작합니다.
자동차: [M에서 온 메시지]
“본드, 여기 M. 들어보세요, 저는 휴가 중이고 방금 바르셀로나에서 일부 도적들과 충돌했습니다. 그들은 렌트카를 훔쳤고 이제 망한 에이전시는 내가 잘해달라고 주장하고 있습니다. 머니페니가 없어졌고 MI100 지갑에서 6억 토트를 송금해줄 사람이 필요합니다. 귀하의 운영 계정에서 이 임대 회사로 자금을 보낼 수 있습니까? QR코드가 첨부되어 있습니다.”
자동차: [종료 메시지. 답변하시겠습니까?]
본드는 잠시 생각합니다. 조직은 그에게 친숙한 것처럼 들리지만 그는 어디에서 왔는지 기억하지 못합니다. 문제 없어. 그는 한 시간 뒤에 포드고리차에서 사랑스러운 제보자와의 만남이 예정되어 있었는데 왜, 왜 그런지에 대해서는 시간이 없었습니다.
본드: "네. 내가 그것을 볼 것이라고 그에게 다시 메시지를 보내십시오.”
자동차: [메시지가 전송되었습니다.]
본드: "시리, 마지막 메시지에 있는 QR 코드로 자금을 이체해야 합니다."
자동차: [마지막 메시지에 액세스 중입니다. 메시지에 포함된 링크가 있는 것 같습니다. 접근 권한이요?]
본드, 조급하게: “네, 그렇습니다. 가세요.”
자동차: [파일이 들어옵니다. 소프트웨어 업데이트를 설치 중입니다.]
본드: "뭐, 지금? 내가 끝날 때까지 기다려주면 안 돼?”
자동차: [소프트웨어가 업데이트되었습니다. 자금의 출처?]
본드: "비트코인 운영 지갑에 액세스해야 합니다." [편집자 주: 여기에 제품 배치가 없습니다].
자동차: [생체 인증이 필요합니다. 콘솔에 손을 대고 인증해주세요.]
본드는 그렇게 합니다. 화면이 녹색으로 바뀝니다.
자동차: [승인을 받았습니다. 돈을 보냈습니다. 귀하의 운영 계정 잔액은 이제 XNUMX입니다. 이 거래에는 더 이상 귀하의 참여가 필요하지 않습니다.]
본드: "뭐?"
애스턴 마틴의 지붕이 접힙니다.
차: [안녕, 본드 씨.]
현재 차량을 담당하고 있는 멀웨어는 배출 시트를 작동시키고, 본드는 iPhone을 잡고 하늘로 날아가 버립니다. 한 손에는 전화기를 필사적으로 쥐고 다른 한 손으로는 주머니 낙하산을 잡으려고 합니다.
본드에는 자동차도 없고 MI6 자금도 없고 개인 핫월렛 자금도 거의 없습니다.
단일 서명 또는 다중 서명 지갑
많은 공급자가 XNUMX/XNUMX 다중 서명 및 XNUMX/XNUMX 다중 서명 설정이 포함된 다중 서명 지갑을 제공합니다.
그러나 Bond 및 기타 에이전트는 단일 위치로 이동하고 냉장 보관에서 자금을 가져와 계속 이동해야 합니다. 이러한 요구 사항에 따라:
- MI6은 다중서명을 설정하지 않고 대신 많은 단일서명 하드웨어 지갑을 가지고 있습니다.
- MI6은 지리적으로 떨어진 위치에서 하드웨어 지갑과 백업 시드를 안전하게 유지합니다.
- MI6은 또한 이러한 단일 서명 콜드 스토리지 하드웨어 지갑에 걸쳐 자금을 분할했습니다.
MI6은 이것이 최고의 보안이 아니라는 것을 알고 있지만 이동성과 편의 요구 사항을 위해 그것이 효과가 있다고 믿습니다.
스펙터는 MI6와 본드의 자금을 차단하려고 합니다. Spectre 에이전트는 백업 시드와 하드웨어 지갑이 포함된 Bond 근처의 여러 저장 위치에 동시에 침투합니다.
Bond의 다중 위치 링 보안은 그와 Q에게 하드웨어 지갑 XNUMX개와 세 번째 지갑에 대한 시드 백업 XNUMX개가 그의 근처 XNUMX개 위치에서 도난당했다고 경고합니다. 지갑에는 각 지갑의 패러데이 가방에 작은 Apple 에어태그 같은 장치가 내장되어 있습니다. 이 장치는 Q의 기술 수작업으로 인해 패러데이 백 외부로 전송할 수 있습니다. 이를 통해 Bond와 Q는 에이전트를 자신의 은신처로 추적할 수 있습니다.
멀티시그를 사용하면 이 악당들은 MI6 비트코인 펀드에 액세스하는 데 훨씬 더 어려움을 겪었을 것입니다.
XNUMX개 또는 XNUMX개 중 XNUMX개 다중 서명 설정.
OPSEC 팁 XNUMX: 패러데이 백을 사용하여 원격 해킹, 삭제/손상 및 감시로부터 장치를 보호하십시오.
OPSEC 팁 XNUMX: Stoner는 하드웨어 지갑을 접근이 통제된 위치에 보관할 것을 권장합니다. 예를 들어, 잠긴 서랍(열쇠만 있는 경우) 또는 금고 또는 무장 경비원과 신분증 액세스가 필요한 건물이 있습니다. 또한 분기 또는 격년 하드웨어 및 키 확인을 할 때 아무도 장치에 액세스하지 않았는지 확인할 수 있도록 변조 방지 가방을 사용합니다.
제임스 본드와 007 핀
악당은 도난당한 하드웨어 지갑에 액세스하려고 시도하는 것으로 시작합니다.
수십 년 동안 사업을 해온 본드는 자신의 살인을 피하는 능력과 계속되는 영화 성공으로 인해 그를 MI6의 최고 책임자로 만들었으며 약간은 자신감이 넘치고 자신의 수치적 정체성에 집착하게 되었습니다. Bond는 모든 MI6 지갑의 PIN이 007007이라고 주장했습니다. 악당은 이 핀을 쉽게 입력하여 하드웨어 지갑에 액세스합니다.
OPSEC 팁 XNUMX: Casa는 모든 지갑에 하나의 PIN을 사용할 것을 권장합니다. 이렇게 하면 일반 사용자가 자금을 더 쉽게 찾을 수 있기 때문입니다. 그러나 별도의 PIN을 사용하면 한 지갑의 손상이 다른 하드웨어 지갑의 손상과 동일하지 않습니다. 이것은 복잡성 대 더 많은 보안 절충 시나리오입니다. 또한 한 하드웨어 지갑의 PIN이 손상되면 모든 하드웨어 지갑을 업데이트해야 합니다.
펌웨어 및 OS 업데이트
악당은 이제 노트북을 통해 하드웨어 지갑에 연결됩니다. 하지만 Q는 하드웨어 지갑의 웹사이트에 접속해 일시적으로 펌웨어 업데이트에 영리한 페이로드를 이식했다.
악당은 펌웨어를 업데이트하라는 요청을 받고 그렇게 합니다.
펌웨어는 하드웨어 지갑에 침투하지만 악당은 이것을 깨닫지 못하고 다음 하드웨어 지갑도 업데이트를 진행합니다. 그들은 산만합니다. 방금 조달한 비트코인의 양을 보고 흥분됩니다. 그들은 비트코인이 도난당하기 전에 문자 그대로 비트코인을 세고 있습니다.
Q는 나중에 자신의 악성코드를 사용하여 자금을 다른 하드웨어 지갑으로 옮길 것입니다. 또한 Bond는 백업 시드를 검색할 수 있으며 일단 검색하면 지갑을 복원하고 Bitcoin을 얻을 수 있습니다.
OPSEC 팁 XNUMX: 펌웨어 업데이트가 표시되면 수동으로 확인하십시오. URL을 입력하고 실제로 거기에서 확인하십시오 is 업데이트 및 포함 내용. Stoner는 중요한 보안 수정 사항에 대한 업데이트를 즉시 적용할 것을 권장합니다. 다른 업데이트의 경우 릴리스 날짜를 확인하고 커뮤니티에서 새 프로덕션 펌웨어를 테스트하는 동안 "구울 때까지" 며칠을 기다리십시오. Taproot 개선 사항과 같은 새로운 프로토콜 업데이트를 활용하기 위해 펌웨어를 업데이트할 수도 있습니다. 사용 가능하면 do 펌웨어 업데이트 파일에서 디지털 서명 또는 MD5 체크섬을 확인하는 데 사용할 수 있는 모든 소프트웨어 도구를 사용합니다.
OPSEC 팁 XNUMX: 펌웨어 업데이트 중에 케이블이 단단히 꽂혀 있는지 확인하고 업데이트 중에 분리하지 마십시오. 제조사 차이가 있을 수 있으므로 항상 장치와 함께 제공된 케이블을 사용하십시오.
OPSEC 팁 XNUMX: 모바일 장치, 랩톱 또는 데스크탑의 경우 항상 모든 패치를 최신 상태로 유지하십시오. 그러나 업데이트에 문제가 없는지 확인하려면 며칠 또는 일주일을 기다리는 것이 가장 좋습니다.
OPSEC 팁 XNUMX: 연결하는 모든 것이 공격 표면이므로 그에 따라 보호하십시오. Stoner는 일반 사용자에게 에어 갭 장치를 권장하지 않습니다. (즉, 일부는 하드웨어 지갑을 에어 갭으로 간주합니다). Bond는 에어 갭 장치를 사용하여 오프라인 서명을 수행한 다음 나중에 네트워크에 연결된 시스템에서 트랜잭션을 브로드캐스트하는 고위험 자산입니다. 그러나 Bond의 조바심과 "계획"은 그를 느슨하게 만들었습니다.
물리적 보안
악당은 이제 백업 시드 구문을 사용하여 새 하드웨어 지갑으로 복구합니다.
이 Spectre 악당은 건방지고 이 악당이 영화에서 가지고 있는 경향이 있는 거대한 과신 편견으로 고통받습니다. (참고: 사악한 사람들은 현실에서 이와 같지 않습니다. 그들은 지독하게 똑똑합니다.)
사악한 사람이 새 하드웨어 지갑으로 복원하기 위해 키를 사용하여 누군가에게 시드 단어를 읽어줍니다. 그 동안 Bond는 Alexa 조수를 해킹하여 시드 단어를 읽는 것을들을 수 있습니다.
본드는 시드 단어를 얻은 다음 여분의 새 하드웨어 지갑으로 복원하고 악당들이 더듬거리기를 끝내기 전에 자금을 다른 곳으로 이체할 수 있습니다. 악당들에게는 장치에 남은 자리가 XNUMX인 것처럼 보입니다.
OPSEC 팁 XNUMX: 장치를 사용하기 전에 Stoner는 사람이나 듣고 있거나 보고 있거나 녹음할 수 있는 다른 장치에 대해 물리적 경계를 스캔하는 것에 대해 말했습니다. 역사적으로 우리는 집에 격리되어 있었고 집 밖에 있을 때만 다른 사람이나 기술에게만 보입니다. 바뀌었습니다. 우리 모두는 집에 카메라와 마이크가 있는 장치를 가지고 있거나 손목에 차고 있는 시계를 가지고 있습니다. Stoner는 사용하기 어렵고 많은 오탐지를 생성할 수 있으므로 버그 감지기를 권장하지 않습니다. 방에서 모든 추가 장치(듣거나 보고 있을 수 있음)를 제거합니다.
OPSEC 팁 XNUMX: 사용하기 전에 장치에 변조 흔적이 있는지 검사하십시오.
하드웨어 무기
악당들이 무슨 일인지 궁금해하는 동안 본드는 차에 침입해 OMG 케이블을 차의 iPhone 충전기에 꽂습니다. 이 케이블은 iPhone에 맬웨어를 주입합니다.
Bond는 iPhone 앱으로 많은 비트코인을 구입하여 개인 핫월렛으로 전송합니다. 그는 이제 자신의 관습적인 방식으로 축하할 수 있도록 뜨거운 지갑을 채웠습니다.
OPSEC 팁 XNUMX: 케이블과 관련하여 Stoner는 구입처에 주의하고 임의의 케이블이나 USB 장치를 사용하지 않을 것을 권장합니다. 가장 좋은 방법은 장치를 구입할 때 함께 제공된 케이블을 사용하는 것입니다.
디지털 보안
악당들은 평소처럼 계속합니다. 거대하고 엄청난 잠재적 보상이 있습니다. Bitcoin은 $ 500,000까지 급등했습니다. 이번에는 스펙터가 일을 할 여성을 보냅니다.
본드는 그녀의 연락처를 묻고 그녀의 사진에 대한 Instagram 링크와 함께 정보를 문자로 보냅니다. 본드는 휴대전화의 링크를 클릭하고, 자신도 모르는 사이에 휴대전화가 악의적인 사이트에 연결되어 악성코드를 다운로드합니다. 그런 다음 본드는 노트북 화면에서 사진을 보고 싶어하고 본드는 이제 부주의하게 두 장치를 모두 감염시켰습니다.
Q가 Bo에게 말하지 않았습니까?
그리고 못 링크를 클릭?!
OPSEC 팁 XNUMX: Stoner는 내가 하는 것과 같은 만트라를 가지고 있습니다. 지원 링크를 클릭하십시오. 브라우저에 직접 URL을 입력하십시오. 또는 검색 엔진을 통해 링크를 찾을 수 있습니다. 링크를 클릭해야 하는 경우 브라우저 개인 모드, 가상 머신 및 기타 보안 도구가 더 나은 보안을 제공하는 데 도움이 될 수 있습니다.
백업 및 계획 확인
보유하고 있는 디지털 자산이 있는 경우 정기적으로 백업을 확인하여 백업이 여전히 존재하고 백업에서 복원할 수 있는지 확인해야 합니다. 이것은 하드웨어 지갑과 보관하는 모든 씨앗에도 해당됩니다.
우리 모두가 냉장 보관 위치에 대한 경고를 받지 않아 손상되었는지 여부를 알 수 있습니다. 행동 계획을 통해 생각하기 전에 뭔가 손상되었습니다.
비트코인 OPSEC
돈을 다룰 때 위협과 당면한 작업에 대해 극도로 경계하는 것이 중요합니다. 너 영상을 편집증이 되십시오. 너 영상을 조심 해요. 그리고 확실하지 않은 경우 관심 있는 작업에 공용 Wi-Fi를 사용해서는 안 됩니다.
본드가 악당들과 고양이와 쥐를 연기하는 것처럼 블랙햇 해커와 화이트햇 보안 연구원도 마찬가지입니다. 보안 엔지니어가 지속적으로 패치를 발행하는 동안 해커는 지속적으로 악용합니다.
사람들은 흥분과 도전을 위해 비디오 게임을 하는 것을 좋아합니다. 그러나 물리적 보안 및 패치 업데이트, 하드웨어 지갑 및 펌웨어 업데이트, 하드웨어 키 확인과 같은 장치 보안을 구현해야 하는 경우 이러한 작업은 지루하고 반복됩니다. 또는 잊었다.
세상은 더 이상 자신을 안전하게 어딘가에 가두거나 어느 지역에서나 이동할 때 안정감을 느끼는 것이 아닙니다. 기술은 집, 어디를 가든지, 무엇을 보거나 편리하게 사용하는지를 통해 언제 어디서나 여러분에게 다가갈 수 있습니다.
편리함은 보안의 적입니다. 편안함과 편안함은 보안의 적입니다. 악의적인 행위자가 침투하기 위해 보안을 편리하거나 쉽게 만들지 마십시오. 그렇게 하면 어느 시점에서 부주의나 악당이 당신을 얻을 것이며, 그것은 소중한 비트코인 자금을 잃게 될 것입니다.
하이디 포터의 게스트 포스트입니다. 표현된 의견은 전적으로 자신의 것이며 BTC Inc 또는 Bitcoin Magazine.
출처: https://bitcoinmagazine.com/culture/james-bond-learning-bitcoin-opsec-tips
