17 grudnia 2017

Bezpieczny Portfel Kryptowalut

By  bitcoin, kryptowaluty  0 Comments

Tak jak w codziennym życiu dbasz o gotówkę, tak samo warto zadbać o wirtualną walutę, którą dość łatwo jest ukraść i przesłać dalej. W tym artykule postaram się przybliżyć kilka kwestii związanych z bezpieczeństwem nie tylko samego portfela, ale także stanowiska pracy. Portfel z kryptowalutami rządzi się innymi prawami niż zwykłe konto w bank, jak stracisz dostęp, zgubisz seed, podzielisz się kluczem prywatnym, to koniec. Żadna infolinia, helpdesk już Ci nie pomoże.

Czego się nie dowiesz

Zacznijmy od tego, czego ten wpis nie będzie dotyczył:

  • Nie powiem Ci jak zostać milionerem:)
  • Nie powiem Ci w jakie kryptowaluty zainwestować
  • Nie powiem Ci jaki portfel wybrać, ani z jakiej giełdy korzystać

Skupiam się tylko na kwestii bezpieczeństwa, natomiast jeżeli dopiero zaczynasz swoją przygodę z Bitcoinami czy kryptowalutą, dodaj do obserwowanych profil na FB Jakuba Mrugalskiego, prowadzi bardzo fajny eksperyment odnośnie inwestowania w altcoiny oraz przeczytaj jego poradnik jak zacząć przygodę z inwestowaniem w altcoiny.

Rodzaje portfeli i ich przeznaczanie

Nie trzeba ograniczać się do jednego portfela, a wręcz nie powinieneś tego robić. Wszystko zależy od ilości transakcji jakie wykonujesz oraz ich wielkości. W przypadku obracania małymi środkami, ale nie za często, dobrym rozwiązaniem będzie Portfel online, przy częstszych transakcjach Portfel na telefonie. Pozostaje nam jeszcze Portfel Sprzętowy oraz „Papierowy” stosujemy tylko dla dużych transakcji.

Mobilny Portfel

Na co zwrócić uwagę przy wyborze aplikacji mobilnej:

  • Przeczytaj komentarze pod aplikacją w sklepie
  • Zwróć uwagę na ilość pobrań, jeżeli będzie podejrzanie mało, sprawdź co wujek Google powie.
  • Dobrze przyjrzyj się nazwie aplikacji oraz ich opisom. Zwróć uwagę na gramatykę oraz pisownie. Fałszywe aplikacje dość często są tłumaczone za pomocą translatorów, dlatego pisownia może być bardzo dziwna. Jest to pierwszy sygnał, że coś jest nie tak.
  • Sprawdź kto jest twórcą aplikacji. Niestety czasami może być to kłopotliwe, tak jak w przypadku whatsapp’a, gdzie nazwa fałszywego wydawcy różniła się spacją na końcu, czyli praktycznie nie zauważalne dla oka.
  • Weryfikuj jakie uprawnienia żąda aplikacja przy instalacji. Jeżeli coś wyda Ci się podejrzane, nie instaluj, bo przecież po co aplikacji potrzebny dostęp do smsów czy notatek

Zasady bezpiecznego korzystania z smartfonu:

  • Zawsze sprawdzaj aktualizacje przez App Store bądź Google Play, masz pewność, że pobierzesz aktualizację a nie fałszywą aplikacje.
  • Wykonuj częste kopie bezpieczeństwa telefonu. Przy archiwizacji urządzenia z iOS, koniecznie zaznacz opcję szyfruj kopie
  • Zapisz swój seed i bardzo na niego uważaj. Może być na papierze, ale bezpieczniejsze rozwiązanie będzie Cryptosteel, jest odporne na uszkodzenia mechaniczne, pożar, czy zalanie. Pamiętaj, że jeżeli stracisz seed stracisz dostęp do swojego portfela oraz historii transakcji. Jeżeli ktoś pozna Twój seed będzie miał także dostęp do Twojego portfela. Jeżeli nie chcesz inwestować dodatkowej gotówki, skorzystaj z menadżera haseł np. KeePass, nigdy nie trzymaj seeda czy haseł zapisanych otwartym tekstem(notatnik)
  • Zawsze, ale to zawsze korzystaj z połączenia VPN. Na moim kanale jest materiał jak przygotować serwer VPN z routera Mikrotik. Jeżeli nie używasz Mikrotika, możesz skorzystać z serwisów oferujących połączenia VPN, takich jak: PureVPN, NordVPN, czy OpenVPN(bardzo łatwo można postawić serwer openvpn na VPSie, daj znać w komentarzu jeżeli nie wiesz jak to zrobić). Polecam przesłuchanie podcastu niebezpiecznika odnoście sieci Tor i VPN
  • Ten punkt myślę, że jest zbędny, ale i tak dla pewności go napiszę. Ustaw blokadę telefonu KOD(najlepiej 6-znakowy) lub inną metodę odblokowywania telefonu.

Portfel Online

Zwany też jako gorący. Wykorzystywany głównie do mniejszy transakcji. Podobnie jak przy wyborze aplikacji mobilnej. Przed założeniem konta zweryfikuj reputację strony. Dużym minusem wszystkich portfeli online, czyli tych dostępnych przez przeglądarkę, jest fakt, iż nie masz większego wpływu na poziom ich bezpieczeństwa. Niestety takie portale dość często ulegają atakom hakerów. Najlepszym zabezpieczeniem jest dywersyfikacja środków, czyli rozłożenie ich na wiele portfeli. Nigdy nie trzymają większych środków na giełdzie, ale też nie przelewaj wszystkiego, bo z każdym przelewem będziesz płacił prowizję(czasami niemałą). Pamiętaj także o używaniu KeePass’a do przechowywania haseł.

Portfel Sprzętowy

Najbezpieczniejsze rozwiązanie, zalecam każdemu, kto trzyma większą ilość kryptowaluty. Portfele sprzętowe wizualnie wyglądają jak pendrive. Dodatkowo są zabezpieczone hasłem. Nawet w przypadku, gdy komputer zostanie zainfekowany złośliwym oprogramowaniem, z portfelem nic się nie stanie. Można je zamówić bezpośrednio ze strony producenta Ledger, Trezor, obsługują głównie Bitcoiny.

Portfel Offline – Windows

Możemy skorzystać z portfeli instalowanych na komputerze bądź nośniku USB(uruchamiany jako LiveCD). Aplikacji jest dość sporo, wspierają różne platformy. Jak zabezpieczyć swój komputer? Oczywiście bezpieczniej jest skorzystać z dystrybucji Linuksa, i to w wersji Live, ale najpierw zacznijmy od Windows’a.
Na co zwrócić uwagę, aby podnieść bezpieczeństwo korzystania z systemu z rodziny Windows:

  • Zaszyfruj cały dysk twardy. Możesz skorzystać z Bitlockera bądź TrueCrypt, ale tylko w wersji 7.1a
  • Nie przechowuj haseł w przeglądarce. Używaj menadżera haseł, polecam KeePass
  • Zainwestuj w oprogramowanie antywirusowe najlepiej z serii smart security z funkcją firewalla, pozwoli Ci to kontrolować ruch wychodzący i przychodzący
  • Nie używaj konta administratora do normalnej pracy. Bezpieczniej jest założyć użytkownika standardowego i na nim pracować, a hasło administratora wpisywać w razie potrzeby
  • Zacznij używać aplikacji typu sandbox, w ten sposób możesz odseparować pracujące w jednym systemie aplikacje. Jeżeli masz podejrzenia co do wiarygodności danej strony, a koniecznie chcesz ją odwiedzić odpal przeglądarkę w snadboxie, w przypadku infekcji masz mniejszą szanse na zarażenie reszty systemu. Dobrą aplikacją tego typu jest Snadboxie

Inne zagrożenia i porady

  • Uważaj na phishing mailowy, webowy podszywający się pod giełdy, portfele online. Jeżeli nie jesteś w 100% pewny, że mail pochodzi od prawdziwego nadawcy, nie klikaj w zamieszczone w nim linki
  • Jeżeli szukasz giełdy, portfeli poprzez wyszukiwarkę, uważaj na reklamy Google. Przestępcy są na tyle cwani, że wykupują reklamy w Google Adwords. Adres strony bezpieczniej jest wpisać ręcznie
  • Tam gdzie jest to możliwe używaj dwuskładnikowej metody weryfikacji 2FA, polega to na dodatkowy podaniu hasła, kodu z smsa, kodu z aplikacji
  • Sprawdź dwa razy adres portfela na jaki przelewasz środki, złośliwe oprogramowanie potrafi podmieć adres skopiowany do schowka. Czasami lepiej zrobić pierwszy mikroprzelew jako weryfikację, później dosłać resztę
  • Nigdy nie pobieraj nowych programów, skryptów ze stron, for o tematyce kryptowalut, bez wcześniejsze weryfikacji
  • Twórz kopie portfeli i je szyfruj. Nie przechowuj kopii w jednej lokalizacji. Zaszyfrowane kopie możesz wrzucić do zaufanej chmury, najlepiej takiej co obsługuje 2FA, czyli dwuskładnikową metodę uwierzytelnia.
  • Z migruj pocztę na gmail’a. Gmail posiada zaawansowane algorytmy wykrywające phishing, dość sprawnie blokuje wszystkie maile odnośnie fałszywych faktur, zawiadomień. Oczywiście oddajesz trochę prywatności dla Google:)
  • Uważaj na wszystkie programy partnerskie odnośnie zarabiania na bitcoinach, czy klikanie w bannery reklamowe dla pieniędzy. Podobnie jak we wcześniejszych przykładach zweryfikuj wszystko wcześniej
  • Nie ufaj dobrym duszkom, którzy założą portfel bitcoina za Ciebie, ponieważ będą w posiadaniu Twojego klucza prywatnego
  • Nie ufaj super promocją na ceny BTC, nikt Ci ich tanio nie sprzeda

    • Dedykowane stanowisko pracy

    Zaczniemy od przygotowania Live dystrybucji. Do tego celu wykorzystamy chyba jedną z najprostszych wersji Linuksa, czyli Ubuntu. Do stworzenia takiej dystrybucji można wykorzystać Rufus albo Unetbootin. Gotowy tutorial znajdziemy pod tym adresem. Minusem takiego rozwiązania jest fakt, iż całość zapisywana jest do pamięci RAM, z której część informacji można wyciągnąć. Dla zwiększenie bezpieczeństwa polecam TAILS. Dystrybucja oparta jest na Debianie, przeznaczona do „ukrywania” naszych działań w sieci.
    Jednym z najbezpieczniejszych systemów na jakim miałem okazje pracować, to Qubes OS, jednak nie jest taki prosty do instalacji dla użytkownika, który wcześniej nie miał do czynienia z Linuksem. Przede wszystkim należy sprawdzić czy nasz sprzęt jest kompatybilny z Qubes OS. Jeżeli jest na liście można próbować zainstalować system według opisu z oficjalnej strony

    Podsumowanie

    Nigdy nie trzymaj całej kryptowaluty w jednym portfelu, rozbij to na kilka, a nawet kilkanaście portfeli. Większą walutę przenieś na sprzętowy portfel. Nie zapomnij o regularnych backupach oraz różnych lokalizacjach do ich przechowywania. W sieciach, których nie jesteś administratorem używaj VPN’a.
    Nie daje Ci gwarancji, że zastosowanie się do powyższych porad ochroni Cię przed utartą kryptowaluty. Są to jedynie dobre wskazówki, które warto wdrożyć w codziennej pracy.

    Tags:, , , ,

    About Author

    grzegorz

    Add a Comment

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *