Bir sırasında Casa Keyfest 6 Ocak'ta düzenlenen konferans oturumu, Casa Güvenlik Şefi Ron Stoner Vietnam savaşı sırasında ABD ordusu tarafından icat edilen bir terim olan “operasyon güvenliği” (OPSEC) hakkında bir özet verdi.
Göre VikipediOPSEC, “düşman istihbaratı tarafından dostane eylemlerin gözlemlenip gözlemlenemeyeceğine karar vermek için kritik bilgileri tanımlayan, düşmanlar tarafından elde edilen bilgilerin onlar için yararlı olarak yorumlanıp yorumlanamayacağını belirleyen ve ardından düşmanın dostane eylemleri ortadan kaldıran veya azaltan seçilmiş önlemleri uygulayan bir süreçtir. kritik bilgi."
OPSEC, Bitcoin dünyasında da yaygın bir tabirdir: Bitcoin fonlarınıza erişmek için kullanılan cihazların tümü, operasyon güvenliği gerektiren saldırı yüzeyleridir. Stoner, OPSEC'yi Bitcoin perspektifinden ve kendinizi bu potansiyel tutunma yüzeylerinden nasıl koruyacağınızı tartıştı.
Ancak Stoner'ın oturumunu izlerken aklım askeri operasyonlara veya Bitcoin saldırı yüzeylerine odaklanmadı. Hollywood'u düşünmeye başladım. Spesifik olarak, şu anda 25 James Bond filmi ve Bond'un kötü oyuncuları yenmek için kullandığı tüm alet ve yöntemler hakkında. Ve ayrıca James Bond'un gardını indirip kendini yenmesinin tüm yolları.
Öyleyse, James Bond veya Spectre'ın (Bond'un savaştığı kurgusal küresel terör örgütü) Bitcoin için OPSEC konusunda nasıl aşırı özgüvenli veya tembel olabileceğini veya bitcoin fonları için daha fazla güvenlik yerine düşük karmaşıklığa nasıl öncelik verdiğini düşünelim.
Sahneyi Ayarlamak: MI6 Ve Nasıl Sıfırlandı?
İngiliz gizli istihbarat servislerinin ve Bond işvereni MI6'nın yalnızca bitcoin kullandığını ve artık kendi kendine egemen olduğunu düşünelim. Hükümet yozlaşmış parayla çok iç içeydi, bu nedenle MI6 parasal bir anlaşma yaptı ve hükümetten ayrıldı. MI6, güvenlik, mahremiyet ve hareketlilik ihtiyaçlarını karşılamanın yanı sıra misyonlarını takdir edecek ve finanse edecek bir değer deposu olarak bitcoin'e yatırım yaptı. MI6 artık sadece bitcoin kullanıyor.
Fonlamadaki bu değişiklik Bond'u bütçeye başlamaya zorladı. Bond savurganca harcamakta ve yüksek zaman tercihli bir şekilde faaliyet göstermektedir. Patronu M, kişisel 007 sıcak cüzdanı için ona sıkı bir ödenek koydu. Bahane yok.
[KARADAĞ DAĞLARINDA BİR YERDE]
Bond, Aston Martin'ini canlı bir klipte sürüyor. Gösterge paneli canlanıyor ve bir ses konuşmaya başlıyor.
Araba: [M'den gelen mesaj]
"Bond, burada M. Dinle, tatildeyim ve Barselona'da birkaç haydutla karşılaştım. Kiralanan arabayı çaldılar ve şimdi de lanet olası ajans iyi olmam için ısrar ediyor. Moneypenny çıktı ve bana MI100 cüzdanından 6 milyon sat gönderecek birine ihtiyacım var. İyi bir adam olup operasyon hesabınızdan bu kiralama şirketine para gönderebilir misiniz? QR kodu eklendi.”
Araba: [Mesajı bitir. Cevap vermek ister misin?]
Bond bir an düşünür. Organizasyon ona tanıdık geliyor ama nereden olduğunu hatırlayamıyor. Önemli değil. Bir saat sonra Podgorica'da sevimli bir muhbirle görüşmesi gerekiyordu ve nedenler ve nedenler için zamanı yoktu.
Bond: “Evet. Ona geri mesaj at, ben hallederim.”
Araba: [Mesaj gönderildi.]
Bond: "Siri, son mesajdaki QR koduna para aktarmam gerekiyor."
Araba: [Son mesaja erişiliyor. Mesajda gömülü bir bağlantı var gibi görünüyor. Giriş izni?]
Bond sabırsızca: "Evet, evet. Devam etmek."
Araba: [Gelen dosya. Yazılım güncellemesi yükleniyor.]
Bond: “Ne, şimdi? İşim bitene kadar bekleyemez mi?”
Araba: [Yazılım güncellendi. Para kaynağı?]
Bond: “Bitcoin operasyonel cüzdanıma erişmem gerekiyor.” [Editörün notu: Burada ürün yerleştirme yok].
Araba: [Biyometrik kimlik doğrulama gerekli. Yetki vermek için lütfen elinizi konsolun üzerine koyun.]
Bond'da öyle. Ekran yeşile döner.
Araba: [Yetki kabul edildi. Para gönderildi. Operasyonel hesap bakiyeniz artık sıfırdır. Bu işlem için katılımınız artık gerekli değil.]
Bond: "Ne?"
Aston Martin'in tavanı geri çekiliyor.
Araba: [Güle güle Bay Bond.]
Artık araçtan sorumlu olan kötü amaçlı yazılım, fırlatma koltuğunu tetikliyor, Bond iPhone'unu kapıyor ve havaya uçuyor, telefon umutsuzca bir elinde tutuluyor, diğer eliyle cep paraşütüne uzanıyor.
Bond'un arabası yok, MI6 fonu yok ve çok az kişisel sıcak cüzdan fonu var.
Tek İmzalı veya Çoklu İmzalı Cüzdanlar
Çok sayıda sağlayıcı, üçten ikisi çoklu imza ve beşte üçü çoklu imza kurulumuna sahip çoklu imza cüzdanları sunar.
Ancak Bond ve diğer ajanların tek bir yere inmeleri, soğuk hava deposundan para almaları ve devam etmeleri gerekiyor. Bu ihtiyaçlara dayalı olarak:
- MI6, çoklu imzayı kurmaz ve bunun yerine birçok tek imzalı donanım cüzdanına sahiptir.
- MI6, donanım cüzdanlarını ve yedekleme tohumlarını coğrafi olarak ayrı konumlarda güvende tutar
- MI6 ayrıca tüm bu tek imzalı soğuk depolama donanım cüzdanlarına bölünmüş fonlara sahiptir.
MI6 bunun en iyi güvenlik olmadığını biliyor, ancak hareketlilik ve rahatlık ihtiyaçları için kendileri için işe yaradığına inanıyorlar.
Spectre MI6 ve Bond'un fonlarını kesmek istiyor. Spectre ajanları, Bond yakınlarındaki yedek tohumlar ve donanım cüzdanları içeren birkaç depolama konumuna aynı anda sızar.
Bond'un çok konumlu Ring güvenliği, onu ve Q'yu, donanım cüzdanlarından ikisinin ve üçüncü bir cüzdan için bir tohum yedeğinin, yakınındaki üç yerden çalındığı konusunda uyarır. Cüzdanlarda, her cüzdanın Faraday çantasına yerleştirilmiş küçük bir Apple hava etiketi benzeri cihaz bulunur. Bu cihaz, Q'nun teknolojik el işi sayesinde Faraday torbasının dışına iletim yapabilmektedir. Bu, Bond ve Q'nun ajanları inlerine kadar takip etmesini sağlar.
Çoklu imzayla, bu kötü adamlar MI6 bitcoin fonlarından herhangi birine erişmekte çok daha zorlanacaklardı çünkü fonları ikili bir şirketten transfer etmek için uygun iki veya üç cihaza veya tohuma sahip olmaları gerekecekti.
üç veya beşte üç çoklu imza kurulumu.
OPSEC Birinci İpucu: Cihazlarınızı uzaktan bilgisayar korsanlığı, silme/hasar ve gözetimden korumak için Faraday çantalarını kullanın.
OPSEC İkinci İpucu: Stoner, donanım cüzdanlarının erişim kontrollü bir yerde saklanmasını önerir. Örneğin, kilitli bir çekmece (anahtarın yalnızca sizde olduğu yer) veya silahlı koruma ve gerekli kimlik erişimi olan bir kasa veya bina. Ayrıca, üç ayda bir veya iki yılda bir donanım ve anahtar kontrollerini yaptığında, kimsenin cihazlara erişmediğinden emin olabilmeleri için kurcalamaya dayanıklı bir çanta kullanın.
James Bond ve 007 PIN'leri
Kötüler, çalınan donanım cüzdanlarına erişmeye çalışarak işe başlar.
İş dünyasında geçen onlarca yıldan sonra, Bond'un kendi cinayetinden kaçma yeteneği ve devam eden film başarısı onu MI6'nın en iyi adamı ve biraz fazla kendine güvenen ve sayısal kimliğine bağlı hale getirdi. Bond, tüm MI6 cüzdanlarındaki PIN'in 007007 olması konusunda ısrar etti. Kötüler bu pime kolayca girerek donanım cüzdanlarına erişiyor.
OPSEC Üçüncü İpucu: Casa, ortalama bir kullanıcının fonlarını geri almasını kolaylaştırdığından, tüm cüzdanlar için bir PIN kullanılmasını önerir. Ancak, ayrı PIN'lerle, bir cüzdanın güvenliği, başka bir donanım cüzdanının güvenliğiyle aynı olmaz. Bu, daha fazla güvenlik takas senaryosuna karşı bir karmaşıklıktır. Ayrıca, bir donanım cüzdanının PIN'i tehlikeye girerse, tüm donanım cüzdanlarını güncellemeniz gerekir.
Bellenim ve İşletim Sistemi Güncellemeleri
Kötüler artık dizüstü bilgisayarları aracılığıyla donanım cüzdanına bağlı. Ancak Q, donanım cüzdanlarının web sitesine erişti ve bir bellenim güncellemesine geçici olarak akıllı bir yük yerleştirdi.
Kötü adamlardan bellenimi güncellemeleri istenir ve bunu yaparlar.
Firmware, donanım cüzdanına sızar, ancak kötüler bunu fark etmez ve bir sonraki donanım cüzdanını da güncellemeye devam eder. Dikkatleri dağılmış durumda – az önce elde ettikleri bitcoin miktarını görmekten heyecan duyuyorlar. Kelimenin tam anlamıyla bitcoinlerini geri çalınmadan önce sayıyorlar.
Q daha sonra kötü amaçlı yazılımını fonları başka bir donanım cüzdanına taşımak için kullanacak. Buna ek olarak, Bond yedek çekirdeği geri alabilir ve onu aldıktan sonra yine de cüzdanı geri yükleyebilir ve Bitcoin'i alabilir.
OPSEC Dördüncü İpucu: Bir donanım yazılımı güncellemesi gördüğünüzde, biraz manuel kontrol yapın. URL'yi yazın, orada gerçekten onaylayın is bir güncelleme ve içeriği. Stoner, kritik güvenlik düzeltmeleri için güncellemelerin hemen uygulanmasını önerir. Diğer güncellemeler için, yayın tarihini kontrol edin ve yeni üretim üretici yazılımı topluluk tarafından test edilirken "pişirilmesine izin vermek" için birkaç gün bekleyin. Taproot geliştirmeleri gibi yeni protokol güncellemelerinden yararlanmak için üretici yazılımını da güncellemek isteyebilirsiniz. Kullanılabilir olduğunda, do donanım yazılımı güncelleme dosyasındaki dijital imzayı veya MD5 sağlama toplamını kontrol etmek için mevcut herhangi bir yazılım aracını kullanın.
OPSEC Beşinci İpucu: Bir aygıt yazılımı güncellemesi sırasında, kabloyu sıkıca taktığınızdan ve güncelleme sırasında bağlantıyı kesmediğinizden emin olun. Üretici farklılıkları olabileceğinden her zaman cihazla birlikte gelen kabloyu kullanın.
OPSEC Altıncı İpucu: Mobil cihazınız, dizüstü bilgisayarınız veya masaüstünüz için tüm yamaları her zaman güncel tutun. Ancak, güncellemelerin herhangi bir sorun yaşamadığından emin olmak için birkaç gün veya bir hafta beklemek en iyisi olabilir.
OPSEC Yedinci İpucu: Bağlandığınız her şey bir saldırı yüzeyidir - buna göre koruyun. Stoner, ortalama bir kullanıcı için hava boşluklu cihazları önermez. (Bununla birlikte, bazıları donanım cüzdanlarının hava boşluklu olduğunu düşünüyor). Bond, çevrimdışı imzalama yapmak için hava boşluklu cihazlar kullanan ve daha sonra işlemi ağa bağlı bir makinede yayınlayan yüksek riskli bir varlıktır. Ancak Bond'un sabırsızlığı ve “planları” gevşek kalmasına neden oldu.
Fiziksel Güvenlik
Kötüler şimdi onu yeni bir donanım cüzdanına kurtarmak için yedek tohum cümlesine dönüyor.
Bu Spectre kötü adamları ukaladır ve bu kötü adamların filmlerde sahip olma eğiliminde olduğu muazzam aşırı özgüven önyargısından muzdariptir. (Not: Kötü insanlar gerçek hayatta böyle değildir. Çok zekiler).
Kötü bir adam, yeni bir donanım cüzdanına geri yüklemek için anahtarları kullanan birine tohum kelimeleri okur. Bu arada Bond, Alexa asistanlarını hackledi ve tohum kelimeleri okuduklarını duyabiliyor.
Bond ilk kelimeleri alır ve daha sonra yeni bir yedek donanım cüzdanına geri yükleyebilir ve kötü adamlar ortalığı karıştırmayı bitirmeden önce fonlarını başka bir yere aktarabilir. Kötü adamlara göre, cihazda sıfır satış kalmış gibi görünüyor.
OPSEC Sekizinci İpucu: Herhangi bir cihazı kullanmadan önce Stoner, insanlar veya dinleyen, izleyen veya kayıt yapan diğer cihazlar için fiziksel çevrenizi taramaktan bahsetti. Tarihsel olarak, evlerimizde tecrit edilmiştik ve sadece evlerimizin dışındayken diğer insanlar veya teknoloji tarafından görülebiliyorduk. Bu değişti - hepimizin evinde kameralı ve mikrofonlu cihazlar veya bileğimizde saatler var. Stoner, kullanımları zor olduğundan ve çok sayıda yanlış pozitif üretebileceğinden hata dedektörlerini önermez. Tüm ek cihazları (dinleyen veya izleyen) odadan çıkarın.
OPSEC Dokuzuncu İpucu: Kullanmadan önce cihazları herhangi bir kurcalama belirtisine karşı inceleyin.
Donanım Silahları
Kötü adamlar neyin yanlış gittiğini merak ederken, Bond arabalarına zorla girer ve arabalarının iPhone şarj cihazına bir OMG kablosu takar. Bu kablo, iPhone'a kötü amaçlı yazılım enjekte eder.
Bond, iPhone uygulamasıyla bir demet bitcoin satın alır ve onu kişisel sıcak cüzdanına aktarır. Artık her zamanki gibi kutlama yapabilmek için sıcak cüzdanını doldurdu.
OPSEC Onuncu İpucu: Stoner, kablolar konusunda onları satın aldığınız yere dikkat etmenizi ve rastgele kablolar veya USB aygıtları kullanmamanızı önerir. En iyisi, satın aldığınızda cihazla birlikte gelen kabloyu kullanmaktır.
Dijital güvenlik
Kötü adamlar, genellikle yaptıkları gibi ısrar ederler. Çok büyük, çok büyük bir potansiyel getiri var. Bitcoin az önce 500,000 dolara fırladı. Bu sefer, Spectre işi yapması için bir kadın gönderir.
Bond onun iletişim bilgilerini istiyor ve o da ona bazı fotoğraflarının olduğu bir Instagram bağlantısıyla birlikte bilgiyi mesaj olarak gönderiyor. Bond telefonundaki bağlantıya tıklar ve telefonu bilmeden kötü niyetli bir siteye bağlanır ve kötü amaçlı yazılım indirir. Bond daha sonra resimleri dizüstü bilgisayarında görmek istiyor ve yine Bond şimdi her iki cihazına da dikkatsizce bulaştı.
Q, Bo'ya söylemedi mi?
nd için asla bağlantıları tıklayın?!
OPSEC Tip Eleven: Stoner'da benimle aynı mantra var: Yap değil bağlantıları tıklayın. URL'leri tarayıcıya kendiniz yazın. Veya bağlantıları bir arama motoru aracılığıyla bulabilirsiniz. Bir bağlantıyı tıklamanız gerekiyorsa, tarayıcı özel modları, sanal makineler ve diğer güvenlik araçları daha iyi güvenlik sağlamaya yardımcı olabilir.
Yedeklemelerinizi ve Planınızı Kontrol Etme
Sahip olduğunuz herhangi bir dijital varlıkla, yedeklerin hala var olduğundan ve onlardan geri yükleyebildiğinizden emin olmak için periyodik olarak yedeklerinizi kontrol etmelisiniz. Bu, donanım cüzdanlarınız ve sakladığınız tohumlar için de geçerlidir.
Hepimizin, soğuk hava depolarımızın güvenliğinin ihlal edilip edilmediğini öğrenmek için uyarıları yok. Bir eylem planı düşünün önce bir şey tehlikeye girdi.
Bitcoin OPSEC
Paranızla uğraşırken tehditlere ve eldeki göreve karşı aşırı uyanık olmak önemlidir. Sen meli paranoyak ol. Sen meli dikkat olmak. Ve eğer bariz değilse, önemsediğiniz herhangi bir işlem için asla genel Wifi kullanmamalısınız.
Bond'un kötülerle kedi fare oynadığı gibi, siyah şapkalı hackerlar ve beyaz şapkalı güvenlik araştırmacıları da öyle. Güvenlik mühendisleri sürekli yamalar yayınlarken, bilgisayar korsanları sürekli olarak istismar ediyor.
İnsanlar heyecan ve meydan okuma için video oyunları oynamayı severler. Yine de, fiziksel güvenlik ve yama güncellemeleri, donanım cüzdanları ve bellenim güncellemeleri ve donanım anahtarı kontrolleri gibi cihaz güvenliğini uygulamanız gerektiğinde, bu eylemler sıkıcı ve ezbere dayalı hale gelir. Veya unutulmuş.
Dünya artık kendinizi güvenli bir yere kilitlemekle veya herhangi bir alanda hareket ederken kendinizi güvende hissetmekle ilgili değil. Teknoloji nerede olursanız olun size ulaşabilir - evde, gittiğiniz her yerde ve kolaylık sağlamak için izlediğiniz veya kullandığınız her şey aracılığıyla.
Kolaylık, güvenliğin düşmanıdır. Kolaylık ve rahatlık, güvenliğin düşmanıdır. Güvenliğinizi kötü aktörlerin sızması için uygun veya kolay hale getirmeyin. Bunu yaparsanız, bir noktada dikkatsizlik veya kötü adamlar sizi ele geçirecek ve bu sizin değerli bitcoin fonlarınızın kaybı olacaktır.
Bu, Heidi Porter'ın konuk yazısıdır. İfade edilen görüşler tamamen kendilerine aittir ve BTC Inc veya Bitcoin Dergisi.
Kaynak: https://bitcoinmagazine.com/culture/james-bond-learning-bitcoin-opsec-tips
