如何判断你的数字资产是不是真的安全?
—
撰文 | Cobo金库大掌柜
黑客从来只黑有价值的人,如果你觉得自己很安全,那只是你缺乏被黑的价值(人不出名,币还少)
根据近几年的用户调研,掌柜发现有相当一部分用户,即使你告诉他千万遍“手机端软件更便捷,更安全”,他们仍然对PC端软件情有独钟。不得不承认,PC端软件确实有着不可替代的优势:显示面积大,鼠标键盘交互精确,适合流程复杂、规模更大的操作。
如果一定要使用PC端钱包软件进行资产管理(包括配合硬件钱包使用的观察钱包),我们需要付出两百倍的安全意识。
安全意识通常来自于对攻击面的了解,掌柜习惯通过以下3个“灵魂拷问”来判断:
01 |哪些数据需要保护?
- 涉及隐私的敏感信息,如浏览记录、用户名&密码、私钥文件、钱包文件等
02 |哪些应用程序存在敏感信息?
- 如交易软件、钱包软件、浏览器等
03 |资产管理过程中哪些外部服务易被攻击?
- 如设备的通讯接口、交易软件、钱包软件、浏览器等
基于以上,我们试着对PC端钱包软件的各个使用环节展开疑问:
下载安装 : 登陆的是不是官方网站?下载安装的是不是官方软件?
掌柜之前看到过一个案例,攻击者“山寨了一整套”下载网站和软件,山寨软件植入了专门针对MacOS开发的木马程序“GMERA”,然后诱导用户下载,实现盗取Cookie数据、网站浏览数据以及获取屏幕截图等。
这些被盗的隐私数据即使不包含关键的私钥或者密码信息,也非常有可能被应用到社会工程学,实施绑架、勒索、诈骗。
版本升级 : 这是不是官方升级提示?不升级有什么影响?升级前需要备份什么?
Electrum钱包就遭受过持续性钓鱼攻击。黑客利用旧版本的漏洞,给用户发送升级提示(不升级就不能发币),诱导用户升级到“携带后门”的客户端后,窃取私钥。
首先,肯定是鼓励大家持续升级的,新版本通常会包含:新功能,体验优化,修复bug。但是,升级前请务必检查:①升级包是否来自官方;②私钥/钱包文件是否已备份。
钱包文件备份 : 文件是什么内容?如果是私钥,触过网吗?触过网后还安全吗?
还是以Electrum钱包为例,创建新钱包,会生成一个WIF(Wallet Import Format)私钥文件。这个私钥文件会被用户自定义的密码加密。
私钥就是资产所有权,即使被攻击,只要私钥没泄露就还有可能保住资产。对于PC端保存的私钥文件,有以下三种主流攻击方式:
■ 木马程序窃取私钥文件 + 诱导用户输密码/暴力破解密码
■ 木马程序/蠕虫病毒恶意加密 + 勒索赎金
■ 直接损坏私钥文件或者电脑设备
那么,实现上述攻击的路径又有哪些呢?
■ 钓鱼网站/钓鱼邮件(远程)
在浏览网页和查看邮件时,一个简单的点击动作就足已中招,木马/病毒在不被察觉的情况下已下载运行。
现在很多重视安全的企业都会实行随机内部演练(给全员发送钓鱼邮件),运维工程师和一级部门负责人也会上中招名单——安全意识再强,也会有翻车的时候。
■ USB设备(物理)
所有USB设备都有一个微控制器芯片,可以被重新编程固件或写入恶意代码。
常规攻击路径:
① 准备一个可以被重新编程的USB设备,成本20不到
② 植入恶意代码(决定最终的攻击方式,如文件加密、文件传输、远程监控、摄像头监控等)
③ 插入电脑,恶意代码自动执行
USB攻击还包括利用USB协议/标准与操作系统交互中的漏洞实施攻击,如掌柜之前提到过的冷启动攻击(Cold Boot Attacks)。
冷启动攻击-demo
还有一种更为极端的情况:USB电气攻击,插入电脑后可触发电力超载,对设备造成永久性破坏。交易签名 : 收币地址会不会被替换?签名的时候密码会不会被偷窥?
综上,下载到山寨客户端,收币地址被替换的可能性存在;恶意程序可以实现远程监控键盘输入或摄像头,密码也存在被偷窥的风险。
简单总结: 了解攻击面 --> 建立安全意识 --> 敏感操作保持怀疑态度。
掌柜会坚持督促大家学习,用知识武装自己的数字资产。因为,最终资产安全的程度取决于你的安全知识(安全意识),而不是使用了多么硬核的钱包工具。
头图 by NeONBRAND on Unsplash
Bitcoin Price Consolidates Below Resistance, Are Dips Still Supported?
Bitcoin Price Consolidates Below Resistance, Are Dips Still Supported?
XRP, Solana, Cardano, Shiba Inu Making Up for Lost Time as Big Whale Transaction Spikes Pop Up
XRP, Solana, Cardano, Shiba Inu Making Up for Lost Time as Big Whale Transaction Spikes Pop Up
Justin Sun suspected to have purchased $160m in Ethereum
Justin Sun suspected to have purchased $160m in Ethereum