黑客从来只黑有价值的人,如果你觉得自己很安全,那只是你缺乏被黑的价值(人不出名,币还少) 根据近几年的用户调研,掌柜发现有相当一部分用户,即使你告诉他千万遍“手机端软件更便捷,更安全”,他们仍然对PC端软件情有独钟。不得不承认,PC端软件确实有着不可替代的优势:显示面积大,鼠标键盘交互精确,适合流程复杂、规模更大的操作。 如果一定要使用PC端钱包软件进行资产管理(包括配合硬件钱包使用的观察钱包),我们需要付出两百倍的安全意识。 安全意识通常来自于对攻击面的了解,掌柜习惯通过以下3个“灵魂拷问”来判断: 1.?哪些数据需要保护? - 涉及隐私的敏感信息,如浏览记录、用户名&密码、私钥文件、钱包文件等 2.?哪些应用程序存在敏感信息? - 如交易软件、钱包软件、浏览器等 3.?资产管理过程中哪些外部服务易被攻击? - 如设备的通讯接口、交易软件、钱包软件、浏览器等 基于以上,我们试着对PC端钱包软件的各个使用环节展开疑问: 下载安装:登陆的是不是官方网站?下载安装的是不是官方软件? 掌柜之前看到过一个案例,攻击者“山寨了一整套”下载网站和软件,山寨软件植入了专门针对MacOS开发的木马程序“GMERA”,然后诱导用户下载,实现盗取Cookie数据、网站浏览数据以及获取屏幕截图等。 这些被盗的隐私数据即使不包含关键的私钥或者密码信息,也非常有可能被应用到社会工程学,实施绑架、勒索、诈骗。 版本升级:这是不是官方升级提示?不升级有什么影响?升级前需要备份什么? Electrum钱包就遭受过持续性钓鱼攻击。黑客利用旧版本的漏洞,给用户发送升级提示(不升级就不能发币),诱导用户升级到“携带后门”的客户端后,窃取私钥。 首先,肯定是鼓励大家持续升级的,新版本通常会包含:新功能,体验优化,修复bug。但是,升级前请务必检查:①升级包是否来自官方;②私钥/钱包文件是否已备份。 钱包文件备份:文件是什么内容?如果是私钥,触过网吗?触过网后还安全吗? 还是以Electrum钱包为例,创建新钱包,会生成一个WIF(Wallet Import Format)私钥文件。这个私钥文件会被用户自定义的密码加密。 私钥就是资产所有权,即使被攻击,只要私钥没泄露就还有可能保住资产。对于PC端保存的私钥文件,有以下三种主流攻击方式: ■木马程序窃取私钥文件 + 诱导用户输密码/暴力破解密码 ■木马程序/蠕虫病毒恶意加密 + 勒索赎金 ■直接损坏私钥文件或者电脑设备 那么,实现上述攻击的路径又有哪些呢? ■?钓鱼网站/钓鱼邮件(远程) 在浏览网页和查看邮件时,一个简单的点击动作就足已中招,木马/病毒在不被察觉的情况下已下载运行。 现在很多重视安全的企业都会实行随机内部演练(给全员发送钓鱼邮件),运维工程师和一级部门负责人也会上中招名单——安全意识再强,也会有翻车的时候。 ■?USB设备(物理) 所有USB设备都有一个微控制器芯片,可以被重新编程固件或写入恶意代码。 常规攻击路径: ① 准备一个可以被重新编程的USB设备,成本20不到 ② 植入恶意代码(决定最终的攻击方式,如文件加密、文件传输、远程监控、摄像头监控等) ③ 插入电脑,恶意代码自动执行 USB攻击还包括利用USB协议/标准与操作系统交互中的漏洞实施攻击,如掌柜之前提到过的冷启动攻击(Cold Boot Attacks)。 冷启动攻击-demo 还有一种更为极端的情况:USB电气攻击,插入电脑后可触发电力超载,对设备造成永久性破坏。 交易签名:收币地址会不会被替换?签名的时候密码会不会被偷窥? 综上,下载到山寨客户端,收币地址被替换的可能性存在;恶意程序可以实现远程监控键盘输入或摄像头,密码也存在被偷窥的风险。 简单总结:了解攻击面 --> 建立安全意识 --> 敏感操作保持怀疑态度。 掌柜会坚持督促大家学习,用知识武装自己的数字资产。因为,最终资产安全的程度取决于你的安全知识(安全意识),而不是使用了多么硬核的钱包工具。 —- 编译者/作者:Cobo钱包 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
如何判断你的数字资产是不是真的安全?
2020-07-23 Cobo钱包 来源:区块链网络
LOADING...
相关阅读:
- 根据Crypto Monitor Whale Alert的消息,Ripple联合创始人每天的销售额为1,7402020-08-04
- INX将美国IPO目标削减至1.27亿美元–仍将是加密货币最大的2020-08-04
- 俄罗斯禁止匿名加密??钱包存款2020-08-04
- Nervos选择门户钱包和社交作为首批CKLabs同类公司2020-08-04
- ???????????? | Ξ????????????Ξ???????? ? 2020/01/152020-08-04