Zephyrnet-logo

Generatieve data-intelligentie

Blockchain

Bitcoin OPSEC-tips van Casa Keyfest: wat moet James Bond doen?

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 302

Tijdens Casa Keyfest conferentie gehouden op 6 januari Casa Hoofd Beveiliging Ron Stoner gaf een overzicht van "operations security" (OPSEC), een term die door het Amerikaanse leger werd bedacht tijdens de oorlog in Vietnam.

Think Wikipedia, OPSEC is “een proces dat kritieke informatie identificeert om te bepalen of eigen acties kunnen worden waargenomen door vijandelijke inlichtingen, bepaalt of informatie die door tegenstanders is verkregen, kan worden geïnterpreteerd als nuttig voor hen, en vervolgens geselecteerde maatregelen uitvoert die de uitbuiting van bevriende vijanden elimineren of verminderen. Kritische informatie."

OPSEC is ook gebruikelijk in de Bitcoin-wereld: de apparaten die worden gebruikt voor toegang tot uw bitcoin-fondsen zijn allemaal aanvalsoppervlakken waarvoor bedrijfsbeveiliging vereist is. Stoner besprak OPSEC vanuit een Bitcoin-perspectief en hoe je jezelf kunt beschermen tegen deze potentiële bevestigingsoppervlakken.

Maar terwijl ik naar de sessie van Stoner keek, concentreerde mijn geest zich niet op militaire operaties of Bitcoin-aanvalsoppervlakken. Ik begon aan Hollywood te denken. Specifiek over de inmiddels 25 James Bond-films en alle gadgets en methoden die Bond gebruikt om slechte acteurs te verslaan. En ook alle manieren waarop James Bond zijn waakzaamheid verslapt en zelf wordt verslagen.

Laten we dus eens kijken hoe James Bond of Spectre (de fictieve wereldwijde terroristische organisatie die Bond bestrijdt) overmoedig of lui kunnen worden over OPSEC voor Bitcoin, of eenvoudigweg prioriteit geven aan lage complexiteit boven meer veiligheid voor hun bitcoin-fondsen.

De scène instellen: MI6 en hoe het op nul kwam

Laten we ons voorstellen dat de Britse geheime inlichtingendiensten en Bond-werkgever MI6 alleen bitcoin gebruiken en nu zelf-soeverein is. De overheid was te verstrengeld met corrupt geld, daarom nam MI6 een monetaire regeling en desinvesteerde ze van de overheid. MI6 investeerde in bitcoin als een waardeopslag die zijn missies zou waarderen en financieren, en ook zou voldoen aan zijn behoeften op het gebied van veiligheid, privacy en mobiliteit. MI6 gebruikt nu exclusief bitcoin.

Deze verandering in financiering heeft Bond gedwongen om te gaan budgetteren. Bond had extravagant uitgegeven en werkte volgens een hoge tijdsvoorkeur. Zijn baas, M, heeft hem een ​​strikte vergoeding gegeven voor zijn persoonlijke 007 hot wallet. Geen excuses.

[ERgens IN DE BERGEN VAN MONTENEGRO]

Bond bestuurt zijn Aston Martin met een springerige clip. Zijn dashboard komt tot leven en een stem begint te spreken.

Auto: [Binnenkomend bericht van M]

'Bond, M hier. Luister, ik ben op vakantie en had net een aanvaring met een paar bandieten in Barcelona. Ze hebben de gehuurde auto gestolen en nu staat het belabberde bureau erop dat ik het goed maak. Moneypenny is uit en ik heb iemand nodig die me 100 miljoen sats van de MI6-portemonnee overboekt. Zou u een goede kerel kunnen zijn en geld van uw bedrijfsrekening naar dit verhuurbedrijf kunnen sturen? QR-code bijgevoegd.”

Auto: [Beëindig bericht. Wil je reageren?]

Bond denkt even na. De organisatie komt hem bekend voor, maar hij weet niet meer waar vandaan. Maakt niet uit. Hij moest over een uur naar een ontmoeting met een aardige informant in Podgorica, en hij had geen tijd voor het waarom en waarom.

Bond: “Ja. Stuur hem een ​​bericht dat ik ervoor zal zorgen.'

Auto: [Bericht verzonden.]

Bond: "Siri, ik moet geld overmaken naar de QR-code in het laatste bericht."

Auto: [Toegang tot laatste bericht. Er lijkt een link in het bericht te zijn ingesloten. Toegangsrechten?]

Bond ongeduldig: “Ja, ja. Doe Maar."

Auto: [Inkomend bestand. Software-update installeren.]

Bond: “Wat, nu? Kan het niet wachten tot ik klaar ben?”

Auto: [Software bijgewerkt. Inkomsten bron?]

Bond: "Ik heb toegang nodig tot mijn operationele Bitcoin-portemonnee." [Noot van de redactie: hier geen productplaatsing].

Auto: [Biometrische authenticatie vereist. Plaats uw hand op de console om te autoriseren.]

Bond doet dat. Het scherm wordt groen.

Auto: [Toestemming geaccepteerd. Geld gestuurd. Uw operationele rekeningsaldo is nu nul. Uw deelname is niet langer vereist voor deze transactie.]

Bond: "Wat?"

Het dak van de Aston Martin schuift in.

Auto: [Tot ziens, meneer Bond.]

De malware die nu de leiding heeft over het voertuig activeert de schietstoel, Bond grijpt zijn iPhone en wordt naar de hemel geschoten, de telefoon wanhopig in de ene hand, terwijl hij met zijn andere hand naar zijn zakparachute reikt.

Bond heeft geen auto, geen MI6-fondsen en heel weinig persoonlijke hot wallet-fondsen.

Portemonnees met enkele handtekening of meerdere handtekeningen

Talloze providers bieden portemonnees met meerdere handtekeningen met twee-van-drie multisig- en drie-of-vijf multisig-configuraties.

Bond en andere agenten moeten zich echter op één locatie begeven, geld uit de koude opslag halen en verder gaan. Op basis van die behoeften:

  • MI6 stelt geen multisig in en heeft in plaats daarvan veel hardwareportefeuilles met één sig
  • MI6 houdt hardwareportefeuilles en back-upzaden veilig op geografisch gescheiden locaties
  • MI6 heeft ook fondsen verdeeld over al deze hardwareportefeuilles voor koude opslag met één handtekening

MI6 weet dat dit niet de beste beveiliging is, maar vanwege mobiliteits- en gemaksbehoeften denken ze dat het voor hen werkt.

Spectre wil de fondsen van MI6 en Bond afsnijden. Spectre-agenten infiltreren tegelijkertijd verschillende opslaglocaties in de buurt van Bond die back-upzaden en hardwareportefeuilles bevatten.

Bonds multi-locatie Ring-beveiliging waarschuwt hem en Q dat twee van de hardware-wallets en één seed-back-up voor een derde wallet zijn gestolen van de drie locaties bij hem in de buurt. De portemonnees hebben een klein Apple-airtag-achtig apparaatje ingebed in de Faraday-tas van elke portemonnee. Dit apparaat kan buiten de Faraday-tas zenden dankzij het technologische handwerk van Q. Hierdoor kunnen Bond en Q de agenten naar hun hol volgen.

Met multisig zouden deze schurken het veel moeilijker hebben gehad om toegang te krijgen tot een van de MI6 bitcoin-fondsen, omdat ze de juiste twee of drie apparaten of zaden nodig zouden hebben om het geld over te dragen van een twee-van-
drie of drie-van-vijf multisig-opstelling.

OPSEC Tip één: gebruik Faraday-tassen om uw apparaten te beschermen tegen hacken, wissen/schade en bewaking op afstand.

OPSEC-tip twee: Stoner adviseert om hardware wallets op te slaan op een locatie met toegangscontrole. Bijvoorbeeld een afgesloten la (waar alleen jij de sleutel hebt) of een kluis of gebouw met gewapende bewaker en vereiste ID-toegang. Gebruik daarnaast een sabotagebestendige tas, zodat wanneer iemand zijn driemaandelijkse of tweejaarlijkse hardware- en sleutelcontroles uitvoert, ze ervoor kunnen zorgen dat niemand toegang heeft gekregen tot de apparaten.

James Bond en 007 PIN's

De schurken beginnen door te proberen toegang te krijgen tot de gestolen hardware-wallets.

Na tientallen jaren in het bedrijfsleven, heeft Bonds vermogen om zijn eigen moord te ontwijken en het aanhoudende filmsucces hem een ​​topman bij MI6 gemaakt en een beetje overmoedig en gehecht aan zijn numerieke identiteit. Bond stond erop dat de pincode op alle MI6-wallets 007007 is. De schurken kunnen deze pin gemakkelijk invoeren en zo toegang krijgen tot de hardware-wallets.

OPSEC Tip drie: Casa raadt aan om voor alle portemonnees één pincode te gebruiken, omdat dit het voor de gemiddelde gebruiker gemakkelijker maakt om hun geld op te halen. Met afzonderlijke pincodes zou het compromis van de ene portemonnee echter niet hetzelfde zijn als het compromis van een andere hardwareportefeuille. Dit is een scenario van complexiteit versus meer veiligheid. Als de pincode van één hardwarewallet wordt gecompromitteerd, moet u bovendien alle hardwarewallets bijwerken.

Firmware- en OS-updates

De schurken zijn nu via hun laptop verbonden met de hardware wallet. Q heeft echter toegang gekregen tot de website van de hardware-wallets en implanteert tijdelijk een slimme payload in een firmware-update.

De schurken wordt gevraagd om de firmware bij te werken en dat doen ze.

De firmware infiltreert in de hardware wallet, maar de slechteriken beseffen dit niet en gaan dus ook door met het updaten van de volgende hardware wallet. Ze zijn afgeleid - opgewonden om de hoeveelheid bitcoin te zien die ze zojuist hebben aangeschaft. Ze tellen letterlijk hun bitcoin voordat deze wordt teruggestolen.

Q zal later zijn malware gebruiken om het geld naar een andere hardware wallet te verplaatsen. Bovendien zou Bond de back-up seed kunnen ophalen en als hij deze eenmaal heeft opgehaald, kan hij nog steeds de portemonnee herstellen en de Bitcoin krijgen.

OPSEC Tip Vier: Als je een firmware-update ziet, doe dan wat handmatige controle. Typ de URL in, bevestig daar daadwerkelijk is een update en wat deze bevat. Stoner raadt aan om updates voor kritieke beveiligingsoplossingen onmiddellijk toe te passen. Voor andere updates, controleer de releasedatum en wacht misschien een paar dagen om het te laten bakken terwijl de nieuwe productiefirmware wordt getest door de community. Mogelijk wilt u ook de firmware bijwerken om te profiteren van nieuwe protocolupdates, zoals Taproot-verbeteringen. Wanneer het beschikbaar is, do gebruik alle beschikbare softwaretools om de digitale handtekening of MD5-controlesom in het firmware-updatebestand te controleren.

OPSEC Tip vijf: Zorg ervoor dat u tijdens een firmware-update de kabel stevig hebt aangesloten en koppel deze niet los tijdens de update. Gebruik altijd de kabel die bij het apparaat is geleverd, aangezien er fabrikantverschillen kunnen zijn.

OPSEC-tip zes: Voor uw mobiele apparaat, laptop of desktop, blijf altijd op de hoogte van alle patches. Het kan echter het beste zijn om een ​​paar dagen of een week te wachten om er zeker van te zijn dat de updates geen problemen opleveren.

OPSEC-tip zeven: Alles waarmee u verbinding maakt, is een aanvalsoppervlak - bescherm het dienovereenkomstig. Stoner raadt geen air-gapped apparaten aan voor de gemiddelde gebruiker. (Dat gezegd hebbende, sommigen beschouwen hardwareportefeuilles als air-gapped). Bond is een activa met een hoog risico die wel air-gapped apparaten gebruikt om offline te ondertekenen, en later de transactie uit te zenden op een op het netwerk aangesloten machine. Bonds ongeduld en "plannen" zorgden er echter voor dat hij laks was.

Fysieke bewaking

De schurken wenden zich nu tot de back-up seed-zin om deze te herstellen naar een nieuwe hardware-portemonnee.

Deze schurken van Spectre zijn eigenwijs en lijden aan de enorme vooringenomenheid van overmoed die deze slechteriken in de films hebben. (Opmerking: slechte mensen zijn niet zo in het echte leven. Ze zijn verdomd slim).

Een boze man leest de seed-woorden voor aan iemand die de sleutels gebruikt om een ​​nieuwe hardwarewallet te herstellen. Ondertussen heeft Bond hun Alexa-assistent gehackt en kan ze de zaadwoorden horen voorlezen.

Bond krijgt de startwoorden en kan vervolgens een reserve-nieuwe hardware-portemonnee herstellen en zijn geld ergens anders overboeken voordat de schurken klaar zijn met rommelen. Voor de schurken lijkt het alsof er geen sats meer over zijn op het apparaat.

OPSEC Tip Acht: Voordat Stoner apparaten gebruikte, had hij het over het scannen van je fysieke omtrek op mensen of op andere apparaten die zouden kunnen luisteren, kijken of opnemen. Historisch gezien waren we geïsoleerd in onze huizen en alleen zichtbaar voor andere mensen of technologie als we buiten onze huizen waren. Dat is veranderd: we hebben allemaal apparaten met camera's en microfoons in huis of in horloges om onze pols. Stoner raadt bugdetectoren niet aan, omdat ze moeilijk te gebruiken zijn en veel valse positieven kunnen genereren. Verwijder eventuele extra apparaten (die mogelijk luisteren of kijken) uit de kamer.

OPSEC Tip Negen: Inspecteer apparaten voor gebruik op tekenen van manipulatie.

Hardware Wapens

Terwijl de schurken zich afvragen wat er is misgegaan, breekt Bond in in hun auto en steekt een OMG-kabel in de iPhone-oplader van hun auto. Deze kabel injecteert malware in de iPhone.

Bond koopt een hoop bitcoin met hun iPhone-app en zet deze over naar zijn persoonlijke hot wallet. Hij heeft nu zijn warme portemonnee weer aangevuld, zodat hij het op zijn gebruikelijke manier kan vieren.

OPSEC Tip Tien: Wat kabels betreft, raadt Stoner aan voorzichtig te zijn waar je ze koopt en geen willekeurige kabels of USB-apparaten te gebruiken. U kunt het beste de kabel gebruiken die bij het apparaat is geleverd toen u het kocht.

Digitale beveiliging

De schurken houden vol, zoals ze gewoonlijk doen. Er is een enorme, enorme potentiële uitbetaling. Bitcoin is zojuist omhooggeschoten naar $ 500,000. Deze keer stuurt Spectre een vrouw om het werk te doen.

Bond vraagt ​​om haar contactgegevens en ze sms't hem de info samen met een Instagram-link naar enkele foto's van haar. Bond klikt op de link op zijn telefoon en zijn telefoon maakt onbewust verbinding met een kwaadaardige site en downloadt malware. Bond wil dan de foto's op zijn laptopscherm zien, en nogmaals, Bond heeft nu achteloos zijn beide apparaten besmet.

Heeft Q het Bo niet verteld
en naar nooit klik links?!

OPSEC Tip Elf: Stoner heeft dezelfde mantra als ik: Do niet klik op koppelingen. Typ zelf URL's in de browser. Of u kunt de links vinden via een zoekmachine. Als u op een link moet klikken, kunnen privémodi van browsers, virtuele machines en andere beveiligingshulpmiddelen helpen om een ​​betere beveiliging te bieden.

Uw back-ups en abonnement controleren

Met alle digitale middelen die je hebt, moet je regelmatig je back-ups controleren om er zeker van te zijn dat de back-ups nog steeds bestaan ​​en dat je ze kunt herstellen. Dit geldt ook voor je hardware-wallets en alle zaden die je bewaart.

We hebben niet allemaal waarschuwingen over onze koude opslaglocaties om te weten of ze zijn gecompromitteerd. Bedenk een plan van aanpak vaardigheden iets wordt gecompromitteerd.

Bitcoin OPSEC

Het is belangrijk om bij het omgaan met uw geld uiterst waakzaam te zijn voor bedreigingen en voor de taak die voorhanden is. U moet paranoïde zijn. U moet wees voorzichtig. En als het niet duidelijk is, mag u nooit openbare wifi gebruiken voor activiteiten waar u om geeft.

Net zoals Bond kat en muis speelt met schurken, doen black hat hackers en white hat security onderzoekers dat ook. Hackers maken voortdurend misbruik, terwijl beveiligingsingenieurs voortdurend patches uitgeven.

Mensen spelen graag videogames voor de spanning en uitdaging. En toch, wanneer u apparaatbeveiliging moet implementeren - fysieke beveiliging en patchupdates, hardwareportefeuilles en firmware-updates, en hardwaresleutelcontroles, worden deze acties vervelend en saai. Of vergeten.

De wereld gaat niet langer over jezelf ergens veilig opsluiten of je veilig voelen terwijl je je door een gebied beweegt. Technologie kan u bereiken waar u ook bent - thuis, waar u ook gaat, en via alles wat u voor het gemak bekijkt of gebruikt.

Gemak is de vijand van veiligheid. Gemak en comfort zijn de vijand van veiligheid. Maak uw beveiliging niet gemakkelijk of gemakkelijk voor slechte actoren om te infiltreren. Als je dat doet, zullen op een gegeven moment onvoorzichtigheid of schurken je pakken, en dat zal je verlies zijn ... van kostbare bitcoin-fondsen.

Dit is een gastpost van Heidi Porter. De geuite meningen zijn geheel van henzelf en komen niet noodzakelijk overeen met die van BTC Inc of Bitcoin Magazine.

Bron: https://bitcoinmagazine.com/culture/james-bond-learning-bitcoin-opsec-tips

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.

Chat met ons

Hallo daar! Hoe kan ik u helpen?