Аппаратные кошельки: трагические недостатки и альтернативы

Многих людей интригует концепция элегантного, высокофункционального, но безопасного устройства для хранения и обмена криптовалют, что привело к исследованию аппаратных кошельков.

Золотой стандарт в области безопасности крипто-активов

Оказалось, что аппаратные кошельки могут быть относительно легко взломаны продвинутыми техническими специалистами с использованием различных методов. Эти методы зависят от аппаратных компонентов каждого устройства и их конфигурации, и поэтому, скорее всего, покупка такого дорогостоящего крипто-кошелька является ненужными расходами для многих любителей криптовалют.

Аппаратные кошельки обычно зарезервированы больше для энтузиастов, которые хотят ими похвастаться, или тех, кто владеет огромным количеством активов, требующих улучшенных функций безопасности, таких как киты — самые большие держатели активов на рынках криптовалют.

Правильно его настроив, вы конечно способны повысить безопасность своих аппаратных кошельков и чувствовать себя комфортно со своими монетами и токенами. В качестве примера можно привести модели бренда Trezor, выбрав дополнительную парольную фразу (помимо защитных) из 16 слов, которая может быть взломана в течение нескольких минут после того, как на микросхеме устройства возник сбой низкого уровня напряжения от внешнего контроллера, чтобы выявить фразу безопасности восстановления кошельков. Ledger Nano (как S, так и X) также уязвимы для атак со стороны продвинутых технических экспертов.

Не существует ни одного аппаратного кошелька, который нельзя было бы взломать в этих экстремальных обстоятельствах.

Хотя на данный момент это не было сделано, некоторые эксперты говорят, что они могут создать розничный продукт, который взламывает аппаратные кошельки, всего за 75 долларов США. Это не то, что хочется услышать, когда вы держите большие суммы валют на предположительно защищенном устройстве. Особенно после того, как вам сказали, что они полностью безопасны, и которые стоят достаточно дорого для большинства людей в мире.

Статистические шансы этого типа атак маловероятны, однако, поскольку эта информация обнародована, появление на рынке такого устройства для взлома аппаратных кошельков — лишь вопрос времени. Скорее всего, они уже существуют в даркнете. Со временем это сделает эти атаки более распространенными и заставит специалистов по безопасности исправить проблемы, связанные с новыми уязвимостями оборудования.

Как достичь необходимого уровня безопасности

Как достичь необходимого уровня безопасности
Как достичь необходимого уровня безопасности

Многие любители криптовалюты прекрасно справляются с использованием чего-то столь же простого, как защищенный паролем настольный кошелек при запуске антивирусных программ, для защиты их от бэкдоров и вредоносов, потенциально предотвращая атаку в большинстве случаев.

Множество людей охраняют свою собственность с помощью систем безопасности, огнестойких сейфов и огнестрельного оружия, что дает большее чувство защиты, чем их система. Других вполне устраивает биометрическая безопасность на своих смартфонах, наряду с мобильными кошельками с двухфакторной аутентификацией. Если вы ведете осторожный образ жизни — умный подход способен даже стать вашим билетом к финансовой безопасности.

Что, если бы вы могли достичь уровня безопасности, сопоставимого с аппаратным кошельком с обычной флешкой, за меньшие деньги? USB-накопитель может направить вас в разных направлениях, включая зашифрованное холодное хранилище (автономная среда хранения), которое чрезвычайно сложно расшифровать, кроме создателя кошелька, при условии, что вы используете шифрование AES-256 и уникальную и длинную парольную фразу.

Спецслужбы способны расшифровать 256-битное шифрование AES, доступное гражданам, но они не объявляют об этом миру, если у них и есть такая возможность. И не удивительно будет узнать, что квантовые вычисления продвинулись на много дальше, чем нам говорят, и это было бы легкой работой для них.

TrueCrypt, предшественник Veracrypt, прекратил свое существование 28 мая 2014 года, и они прекратили выпуск обновлений программного обеспечения, когда их сотрудники объявили, что больше не будут поддерживать проект. С тех пор почти все пользователи перешли на Veracrypt.

Это было результатом взлома тома TrueCrypt в правительстве США спецотделом ФБР в сроки, которые были слишком малы для типичной атаки с использованием грубой силы. Это свидетельствует о том, что федералы расшифровали его другими способами. Они могли использовать бэкдор, восстановить парольную фразу из оперативной памяти компьютера или даже использовать кейлоггер.

Veracrypt предлагает пользователям больше защиты от атак грубой силы. Тем не менее, предположим, что у правительства есть такая возможность дешифрования. В этом случае единственное, что вас должно беспокоить — это то, являетесь ли вы для них важной целью. Упомянутый выше случай, использовал TrueCrypt для сокрытия секретной правительственной информации, а не для защиты своих личных финансов, что сделало его приоритетной целью для спецов.

Зашифрованные флешки и 7Zip

Зашифрованные флешки и 7Zip
Зашифрованные флешки и 7Zip

Можно пойти дальше флеш-накопителей и сделать «живой» USB с предварительно настроенным дистрибутивом Linux через VMWare или VirtualBox, например, Tails OS или BlackArch Linux для опытных пользователей. Ubuntu и Linux Mint были бы хорошими дистрибутивами для тех, кто не знаком с терминалами Linux, с чистым и интуитивно понятным пользовательским интерфейсом.

Используя этот метод, вы имеете все свои ресурсы, включая кошельки, браузеры и любые другие желаемые приложения, готовые к загрузке с многоуровневым шифрованием. Вы можете использовать скрытый том через Veracrypt (или аналогичный). Оттуда вам доступно зашифрованное содержимое в скрытом томе в Veracrypt в 7Zip, которые являются бесплатными и имеют 256-битное шифрование AES. При желании, вы можете поместить скрытый том в файл 7zip с другим содержимым, защищенный случайной парольной фразой.

Никогда не используйте одну и ту же парольную фразу для каждого уровня безопасности. Помещая скрытые тома внутрь скрытых томов не забывайте серию парольных фраз, которые вы установили, иначе потеряете доступ к своему кошельку. Рекомендуется хранить резервные копии ваших парольных фраз с использованием 256-битного шифрования AES в нескольких местах.

Вы можете подумать, нельзя ли перебрать зашифрованные флешки и 7Zip? Да, можно. Но не в том случае, если вы используете тщательную и длинную парольную фразу. Даже если бы они обходили один уровень шифрования, им нужно было бы перебрать последующие, и все же получить доступ к вашему устройству для двухфакторной аутентификации. По этой причине это не вызывает беспокойства при правильной настройке, так как даже талантливому взломщику потребуется много лет, чтобы взломать единственную 256-битную кодовую фразу AES-256.

DeepSound

Конечно, эти методы далеко не единственное доступное программное обеспечение для шифрования. Другой хорошей альтернативой, представленной в популярном шоу Mr Robot, было использование DeepSound — бесплатного программного инструмента для стеганографии, способного скрывать данные в аудиофайлах, таких как MP3 и FLAC. Эти зашифрованные аудиофайлы записываются на компакт-диск или смешаны с другими цифровыми носителями на вашем жестком диске, и при этом способны воспроизводить аудиофайлы в обычном режиме, скрывая ваши данные у всех на виду с помощью того же 256-битного шифрования AES.

Но, как бы там ни было, «Никогда не держите все яйца в одной корзине» — пословица, которая применяется к криптовалютам, используя различные методы для защиты нескольких кошельков. При такой работе, если один из них будет скомпрометирован, вы не потеряете все свои активы. Кроме того, злоумышленник, скорее всего, подумает, что нашел все ваши финансы, хотя на самом деле — это умышленная приманка, с достаточным количеством средств на ней.

«Здравый смысл встречается не так часто». 

Вольтер

Вольтер
Вольтер

Не возможно подчеркнуть важность нескольких уровней защиты, независимо от того, какое устройство, типы шифрования или альтернативные методы вы используете для защиты данных, особенно ваших финансов и другой личной информации. У вас должно быть как минимум три уровня безопасности, включая двухфакторную аутентификацию, 256-битное шифрование AES и другую технику по вашему выбору. Пользователи среднего и продвинутого уровня часто говорят, что лучший антивирус — это здравый смысл. Однако на всякий случай рекомендуется, чтобы все использовали антивирусное программное обеспечение, которое постоянно обновляется. Особенно, если вы плохо знакомы с криптовалютами или компьютерной безопасностью.

Уровни защиты зависят не только от того, какой тип шифрования вы используете, но и от образа жизни, который вы ведете. Совмещайте свои знания в области шифрования с дополнительной домашней безопасностью. У вас гораздо больше шансов оказаться под угрозой со стороны тех, кого вы знаете или с которыми общаетесь, будь то партнеры, друзья, родственники или значимые другие люди. Достаточно их знаний, что у вас есть активы, которые нужно защищать.

Вашей первой линией защиты всегда должен быть здравый смысл. Последней линией защиты должна быть ваша жизнь, но это в большой степени зависит от важности содержания: вы не потратить свою криптовалюту, если вы мертвы. Тем не менее, понятно, почему человек принимает пулю, чтобы защитить огромные финансовые активы своей семьи. До тех пор, пока существует несколько копий открытых и закрытых ключей кошельков, их семьям возможен позже доступ к ним, и снятие средств, как в случае с пакетами резервного копирования Ledger, которые предоставляются при покупке моделей S и X в паре. К счастью, в настоящее время это не так часто происходит, но в этом случае нужно быть готовым ко всему.

При наличии достаточного количества денег, времени и ресурсов практически все можно взломать, особенно склонными к этому хорошо образованными и талантливыми людьми. Однако стоит присмотреться и к другой форме предостережения: социальной инженерии.

Лучшая защита, которую можно иметь наряду с уже упомянутыми вещами — это анонимность. Сохраняя максимально возможную анонимность, вас будет сложно идентифицировать, не говоря уже об отслеживании, мониторинге или потенциальной опасности стать жертвой атаки. В век децентрализованных валют и обменов, это становится только проще и, во многих случаях, прибыльнее.

Исследования показывают, что ни один актив не является по-настоящему безопасным, если вас идентифицировали, отследили и нашли с вашим кошельком передовые технологии, которым ничто не препятствует их стремлению к финансовой выгоде.

Надежность любого современного сейфа, цифрового или другого, зависит от силы человека, держащего ключи. Лучшая защита — это хорошее нападение, а лучшее нападение — здравый смысл.

Пионеры CBDC: какие страны в настоящее время результативно тестируют цифровую валюту розничного центрального банка - image
РАЗРАБОТКА

Пионеры CBDC: какие страны в настоящее время результативно тестируют цифровую валюту розничного центрального банка

Цифровые валюты центральных банков (CBDC) в настоящее время являются горячей темой. Исследование, проведенное Банком международных расчетов (BIS) в 2020 году, ...

Китай планирует включить блокчейн в попытке Хайнаня обогнать Гонконг по международной торговле - image
Новости

Китай планирует включить блокчейн в попытке Хайнаня обогнать Гонконг по международной торговле

[vc_row][vc_column][vc_paragraph text="Правительство Китая планирует превратить провинцию Хайнань в порт свободной торговли, сосредоточив внимание на содействии свободной торговле, инвестициям и трансграничным ...