—
撰文|?Cobo金库大掌柜
黑客从来只黑有价值的人,如果你觉得自己很安全,那只是你缺乏被黑的价值
根据近几年的用户调研,掌柜发现有相当一部分用户,即使你告诉他千万遍“手机端软件更便捷,更安全”,他们仍然对PC端软件情有独钟。不得不承认,PC端软件确实有着不可替代的优势:显示面积大,鼠标键盘交互精确,适合流程复杂、规模更大的操作。
如果一定要使用PC端钱包软件进行资产管理,我们需要付出两百倍的安全意识。
安全意识通常来自于对攻击面的了解,掌柜习惯通过以下3个“灵魂拷问”来判断:
01|哪些数据需要保护?
-涉及隐私的敏感信息,如浏览记录、用户名&密码、私钥文件、钱包文件等
声音 | 陈建奇:区块链应用还在于如何构建让区块链技术有效运行的机制:据人民日报无线新媒体报道,中共中央党校国际战略研究所世界经济室副主任陈建奇指出,区块链最核心的创新在于解决信任问题,非对称加密是区块链技术基础。区块链应用不仅在于技术,还在于如何构建让区块链技术有效运行的机制。他强调,区块链技术进步面临的挑战也不容低估:一是量子计算的发展对加密技术的冲击;二是区块链技术在货币金融领域的应用与有效监管的问题;三是用户规模的问题,不同应用的用户不足以认证;四是不同应用区块链平台之间的对接问题。[2019/12/29]
02|哪些应用程序存在敏感信息?
-如交易软件、钱包软件、浏览器等
03|资产管理过程中哪些外部服务易被攻击?
声音 | 中金公司:66家公司有区块链相关业务 未来如何受益有待进一步研究???:中金公司发布相关研究报告指出,根据不完全整理,A股、H股和中概股中66家公司有区块链相关业务,其中市值较大的企业包括阿里巴巴、腾讯、平安、恒生电子、航天信息、众安在线等,未来如何受益有待进一步研究。中金公司分析师黄乐平、杨俊杰研究认为,区块链的一个优势是通过数字签名等密码学技术,在保证数据唯一性和所有权不可篡改的前提下,实现多方之间的信息共享。这适合需要“多方共享”“高频重复”“交易链条长”的许多金融场景。过去几年,区块链主要应用案例包括:在跨境汇款领域,蚂蚁金服利用区块链技术为菲律宾、巴基斯坦、马来西亚等“一带一路”沿线国家提供低费率、高速的跨境汇款服务;在清结算领域,港交所计划利用区块链结算系统简化互联互通下内地股票的北向交易流程,方便欧美投资者投资A股;在贸易融资领域,香港金管局和平安合作推出区块链贸易融资技术平台“贸易联动”,增加贸易参与者之间的信任,降低风险,提高贸易流程中获得融资的机会。?[2019/10/28]
-如设备的通讯接口、交易软件、钱包软件、浏览器等
声音 | 赵长鹏:无论市场如何变化,币安仍将在100年内存在:据CCN报道,币安首席执行官赵长鹏今日表示,无论行业发生什么变化,币安仍将在100年内存在。币安团队并没有对每日比特币的价格波动有所顾忌,基本上并没有真正关注市场,而是长期关注并专注于团队工作。赵长鹏表示,币安只是低着头,建立功能。[2019/2/8]
基于以上,我们试着对PC端钱包软件的各个使用环节展开疑问:
下载安装:登陆的是不是官方网站?下载安装的是不是官方软件?
掌柜之前看到过一个案例,攻击者“山寨了一整套”下载网站和软件,山寨软件植入了专门针对MacOS开发的木马程序“GMERA”,然后诱导用户下载,实现盗取Cookie数据、网站浏览数据以及获取屏幕截图等。
声音 | 罗玫:金融机构非常重视如何对加密货币进行计量:据数字金融资产研究中心微信公众号消息,清华经管数字金融资产研究中心主任罗玫称如何对加密数字货币进行计量是国际国内证券监管机构、税务和会计准则制定机构都非常重视的领域,国际会计准则和美国GAAP都没有对加密数字货币的会计计量和确认制定单独准则。建立新的财务报告规范需要会计准则制定委员会的参与,也需要和正在经历变化的加密数字货币的证券规范、以及税务规范同时融合更新。[2018/11/27]
这些被盗的隐私数据即使不包含关键的私钥或者密码信息,也非常有可能被应用到社会工程学,实施绑架、勒索、。
版本升级:这是不是官方升级提示?不升级有什么影响?升级前需要备份什么?
Electrum钱包就遭受过持续性钓鱼攻击。黑客利用旧版本的漏洞,给用户发送升级提示,诱导用户升级到“携带后门”的客户端后,窃取私钥。
首先,肯定是鼓励大家持续升级的,新版本通常会包含:新功能,体验优化,修复bug。但是,升级前请务必检查:①升级包是否来自官方;②私钥/钱包文件是否已备份。
钱包文件备份:文件是什么内容?如果是私钥,触过网吗?触过网后还安全吗?
还是以Electrum钱包为例,创建新钱包,会生成一个WIF私钥文件。这个私钥文件会被用户自定义的密码加密。
私钥就是资产所有权,即使被攻击,只要私钥没泄露就还有可能保住资产。对于PC端保存的私钥文件,有以下三种主流攻击方式:
■?木马程序窃取私钥文件+诱导用户输密码/暴力破解密码
■?木马程序/蠕虫病恶意加密+勒索赎金
■?直接损坏私钥文件或者电脑设备
那么,实现上述攻击的路径又有哪些呢?
■?钓鱼网站/钓鱼邮件
在浏览网页和查看邮件时,一个简单的点击动作就足已中招,木马/病在不被察觉的情况下已下载运行。
现在很多重视安全的企业都会实行随机内部演练,运维工程师和一级部门负责人也会上中招名单——安全意识再强,也会有翻车的时候。
■?USB设备
所有USB设备都有一个微控制器芯片,可以被重新编程固件或写入恶意代码。
常规攻击路径:
①准备一个可以被重新编程的USB设备,成本20不到
②植入恶意代码
③插入电脑,恶意代码自动执行
USB攻击还包括利用USB协议/标准与操作系统交互中的漏洞实施攻击,如掌柜之前提到过的冷启动攻击。
冷启动攻击-demo
还有一种更为极端的情况:USB电气攻击,插入电脑后可触发电力超载,对设备造成永久性破坏。
交易签名:收币地址会不会被替换?签名的时候密码会不会被偷窥?
综上,下载到山寨客户端,收币地址被替换的可能性存在;恶意程序可以实现远程监控键盘输入或摄像头,密码也存在被偷窥的风险。
简单总结:了解攻击面-->建立安全意识-->敏感操作保持怀疑态度。
掌柜会坚持督促大家学习,用知识武装自己的数字资产。因为,最终资产安全的程度取决于你的安全知识,而不是使用了多么硬核的钱包工具。
头图byNeONBRANDonUnsplash
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。