—
撰文|?Cobo金庫大掌柜
黑客從來只黑有價值的人,如果你覺得自己很安全,那只是你缺乏被黑的價值
根據近幾年的用戶調研,掌柜發現有相當一部分用戶,即使你告訴他千萬遍“手機端軟件更便捷,更安全”,他們仍然對PC端軟件情有獨鐘。不得不承認,PC端軟件確實有著不可替代的優勢:顯示面積大,鼠標鍵盤交互精確,適合流程復雜、規模更大的操作。
如果一定要使用PC端錢包軟件進行資產管理,我們需要付出兩百倍的安全意識。
安全意識通常來自于對攻擊面的了解,掌柜習慣通過以下3個“靈魂拷問”來判斷:
01|哪些數據需要保護?
央行回應非指定機構如何參與數字人民幣運營:央行表示,需發揮其他商業銀行及非銀行支付機構作用,與指定運營機構一起,共同提供數字人民幣流通服務,包括支付產品設計創新、系統開發、場景拓展、市場推廣等服務。(一財)[2021/7/16 0:57:56]
-涉及隱私的敏感信息,如瀏覽記錄、用戶名&密碼、私鑰文件、錢包文件等
02|哪些應用程序存在敏感信息?
-如交易軟件、錢包軟件、瀏覽器等
03|資產管理過程中哪些外部服務易被攻擊?
-如設備的通訊接口、交易軟件、錢包軟件、瀏覽器等
基于以上,我們試著對PC端錢包軟件的各個使用環節展開疑問:
直播|“后浪”仙女58Coin-小貝如何乘風破浪:金色財經 · 直播主辦的《 幣圈 “后浪” 仙女直播周》第7期20:00 58COIN|市場總監小貝將在直播間聊聊“幣圈‘后浪’仙女如何乘風破浪”,感興趣的朋友掃碼移步收聽![2020/7/1]
下載安裝:登陸的是不是官方網站?下載安裝的是不是官方軟件?
掌柜之前看到過一個案例,攻擊者“山寨了一整套”下載網站和軟件,山寨軟件植入了專門針對MacOS開發的木馬程序“GMERA”,然后誘導用戶下載,實現盜取Cookie數據、網站瀏覽數據以及獲取屏幕截圖等。
這些被盜的隱私數據即使不包含關鍵的私鑰或者密碼信息,也非常有可能被應用到社會工程學,實施綁架、勒索、詐騙。
聲音 | 推特CEO:推特正在“考慮”如何應用區塊鏈技術:據coindesk報道,推特CEO Jack Dorsey今日向美國國會委員會表示,該社交媒體公司正在為其平臺探索區塊鏈解決方案。Dorsey表示,區塊鏈具有很多未開發的潛力,特別是圍繞分布式信任和分布式執行。推特目前沒有在區塊鏈上研究得那么深入,但Dorsey愿意了解應怎樣把區塊鏈應用到推特,該公司現在確實有員工在“考慮”此事。[2018/9/6]
版本升級:這是不是官方升級提示?不升級有什么影響?升級前需要備份什么?
Electrum錢包就遭受過持續性釣魚攻擊。黑客利用舊版本的漏洞,給用戶發送升級提示,誘導用戶升級到“攜帶后門”的客戶端后,竊取私鑰。
動態 | 人民網:區塊鏈與實業結合應注意如何界定算法和物理設備權責體系:今日人民網發文表示,區塊鏈與實業的結合與我國“數字化”的趨勢一致,這一融合過程需要注意三個問題。一是算法和物理設備權責體系如何界定;二是智能制造標準制定思路是否應該轉變;三是5G會給邊緣計算、區塊鏈和物聯網帶來什么沖擊。[2018/8/24]
首先,肯定是鼓勵大家持續升級的,新版本通常會包含:新功能,體驗優化,修復bug。但是,升級前請務必檢查:①升級包是否來自官方;②私鑰/錢包文件是否已備份。
錢包文件備份:文件是什么內容?如果是私鑰,觸過網嗎?觸過網后還安全嗎?
還是以Electrum錢包為例,創建新錢包,會生成一個WIF私鑰文件。這個私鑰文件會被用戶自定義的密碼加密。
私鑰就是資產所有權,即使被攻擊,只要私鑰沒泄露就還有可能保住資產。對于PC端保存的私鑰文件,有以下三種主流攻擊方式:
■?木馬程序竊取私鑰文件+誘導用戶輸密碼/暴力破解密碼
■?木馬程序/蠕蟲病惡意加密+勒索贖金
■?直接損壞私鑰文件或者電腦設備
那么,實現上述攻擊的路徑又有哪些呢?
■?釣魚網站/釣魚郵件
在瀏覽網頁和查看郵件時,一個簡單的點擊動作就足已中招,木馬/病在不被察覺的情況下已下載運行。
現在很多重視安全的企業都會實行隨機內部演練,運維工程師和一級部門負責人也會上中招名單——安全意識再強,也會有翻車的時候。
■?USB設備
所有USB設備都有一個微控制器芯片,可以被重新編程固件或寫入惡意代碼。
常規攻擊路徑:
①準備一個可以被重新編程的USB設備,成本20不到
②植入惡意代碼
③插入電腦,惡意代碼自動執行
USB攻擊還包括利用USB協議/標準與操作系統交互中的漏洞實施攻擊,如掌柜之前提到過的冷啟動攻擊。
冷啟動攻擊-demo
還有一種更為極端的情況:USB電氣攻擊,插入電腦后可觸發電力超載,對設備造成永久性破壞。
交易簽名:收幣地址會不會被替換?簽名的時候密碼會不會被偷窺?
綜上,下載到山寨客戶端,收幣地址被替換的可能性存在;惡意程序可以實現遠程監控鍵盤輸入或攝像頭,密碼也存在被偷窺的風險。
簡單總結:了解攻擊面-->建立安全意識-->敏感操作保持懷疑態度。
掌柜會堅持督促大家學習,用知識武裝自己的數字資產。因為,最終資產安全的程度取決于你的安全知識,而不是使用了多么硬核的錢包工具。
頭圖byNeONBRANDonUnsplash
本文來源:鏈得得 作者:毛利五郎 7月22日,據韓聯社消息,韓國戰略和財政部于22日成立了稅收發展審查委員會,由副總理洪南基和戰略和財政部長擔任主席。此次會議宣布了2020年的稅收修正計劃.
1900/1/1 0:00:00最近舉行的第90期核心開發者會議幾乎全程都在討論一個問題。我強烈建議大家親自聽一下這場會議。在這場會議上,Alexey提出了客戶端開發者負荷過重的問題.
1900/1/1 0:00:00盡管監管機構需要更多時間,但比特幣ETF最終可能會獲得加密市場的批準。在7月15日的采訪中,灰度投資的董事總經理MichaelSonnenshein告訴摩根溪聯合創始人AnthonyPompli.
1900/1/1 0:00:00作者:廖飛強|微眾銀行區塊鏈核心開發者來源:微眾銀行區塊鏈微信公眾號數字簽名在數字契約中包含不便公開的敏感信息時,如何進行有效的簽名?簽名時看不到信息明文.
1900/1/1 0:00:00據Cryptopotato7月17日報道,泰國央行計劃啟動其央行數字貨幣開發的第三階段,在當地企業中試行該數字貨幣.
1900/1/1 0:00:00OceanProtocol是一種專注于數據收集,共享和貨幣化的去中心化數據交換協議。它宣布與梅賽德斯·奔馳制造商戴姆勒公司合作進行一個試點項目.
1900/1/1 0:00:00