نکات OPSEC برای اطمینان از امنیت رمزنگاری

ران استونر، رئیس امنیت در متخصص امنیت ارزهای دیجیتال مستقر در ایالات متحده است کاسا.
__________

امنیت عملیاتی یا OPSEC، فرآیند انجام مدیریت ریسک با تعریف اطلاعاتی است که می خواهید ایمن کنید، چه چیزی برای رسیدن به آن هدف مورد نیاز است و سپس اقدامات عملی مورد نیاز را انجام می دهید.

فلسفه پشت OPSEC در درجه اول بر تفکر مانند مهاجم شما تمرکز دارد، درک اینکه مهاجم ممکن است چه کسی باشد و چه اقداماتی ممکن است برای سوء استفاده از شما انجام دهد.

انجام OPSEC خوب به ویژه برای دستگاه های امضاکننده کلید ارزهای دیجیتال، مانند کیف پول های سخت افزاری، ضروری است. کیف پول‌های سخت‌افزاری «کیف‌پول‌های سرد» در نظر گرفته می‌شوند، زیرا هیچ عملکرد اینترنتی مستقیمی ندارند و باید برای اتصال به اینترنت و انجام تراکنش به دستگاه دیگری مانند تلفن هوشمند یا رایانه شخصی متصل شوند.

این دستگاه‌های سخت‌افزاری و پلی که از طریق آن‌ها به هم متصل می‌شوند، مهم‌ترین نقاط شکست هنگام انجام تراکنش‌های ارز دیجیتال هستند.

با توجه به اینکه سال 2022 به بدترین سال ثبت شده برای هک ارزهای دیجیتال، با سرقت 3.8 میلیارد دلار تبدیل شده است، OPSEC هرگز به این اندازه بحرانی نبوده است. با تبدیل شدن به فضای دارایی دیجیتال به جریان اصلی، مهاجمان به دنبال راه های جدیدی برای بهره برداری از کاربران و پلتفرم ها هستند.

در حالی که سهام و مشخصات ریسک برای هر نهادی که از دارایی های دیجیتال استفاده می کند متفاوت است، همه کاربران باید از بهترین شیوه ها برای محافظت از ارزش خود پیروی کنند.

ایمن سازی محیط امضا

قبل از امضای تراکنش ها، برای شناسایی به محیط خود نگاه کنید هر چیزی که می تواند به عنوان یک بردار حمله عمل کند.

با فرض اینکه در یک محیط خصوصی مانند خانه خود هستید، این موارد شامل مواردی مانند دوربین یا میکروفون است که تقریباً در تمام لپ‌تاپ‌ها و دستگاه‌های موبایل مدرن وجود دارد.

محصولات مختلف اینترنت اشیا (IoT) مانند تلویزیون های هوشمند، الکسا و غیره را فراموش نکنید. هر یک از اینها می تواند به طور بالقوه برای جاسوسی از شما در حین انجام تراکنش استفاده شود.

به این ترتیب، ضروری است که فضای کاری خود را از هر چیزی که به طور بالقوه می تواند مورد استفاده قرار گیرد، “پاکسازی” کنید – خاموش کردن یا حتی حذف کامل این دستگاه ها از منطقه کار.

در حالی که این ممکن است کمی پارانوئید به نظر برسد، اگر مقادیر زیادی پول در خط باشد، یکی از جنبه های مهم محافظت از شما در برابر مهاجمان است.

امضای تراکنش ها از هر مکان عمومی، مانند دفتر، کتابخانه یا کافه، معمولاً توصیه نمی شود، اما ممکن است گاهی اوقات جایگزین دیگری نداشته باشید. در این صورت می توان چندین گام برای به حداکثر رساندن امنیت برداشت.

یک بار دیگر، شما می خواهید برای هر گونه دوربین امنیتی در منطقه حساب کنید. این روزها دوربین های مداربسته به خصوص دوربین های با وضوح HD و 4K به راحتی می توانند آنچه را که بر روی صفحه نمایش کامپیوتر یا تلفن همراه نمایش داده می شود در میدان دید بخوانند.

البته – و امیدوارم، این ناگفته نماند – نباید افراد دیگری در مجاورت مستقیم باشند. بهتر است خلوت ترین فضای ممکن را پیدا کنید، مثلا یک اتاق کار خالی.

به روز رسانی همه دستگاه های درگیر

شاید مهم‌تر از همه، شما بخواهید همه نرم‌افزارها و سیستم‌افزار را در هر دستگاهی که در فرآیند امضای دخیل است به‌روزرسانی کنید.

اگر مستقیماً از رایانه یا دستگاه تلفن همراه استفاده نمی کنید، کیف پول سخت افزاری شما برای انتقال تراکنش باید به یکی از آنها متصل شود.

از لحاظ تئوری، کیف پول‌های سخت‌افزاری طوری طراحی شده‌اند که مهم نیست واحدی که به آن متصل می‌شود به خطر بیفتد. تمام فرآیندها در خود کیف پول اتفاق می افتد. رایانه های شخصی یا تلفن های هوشمند فقط برای پخش تراکنش استفاده می شوند.

با این حال، برخی از اشکال بدافزار می توانند جنبه های مختلف تراکنش، از جمله مبلغ و آدرس گیرنده را تغییر دهند. حتی آدرس تغییر – آدرسی که تغییر یک تراکنش پس از ارسال مبلغ انتخابی به گیرنده انجام می شود – می تواند دستکاری شود، فیلدی که به راحتی قابل چشم پوشی است.

اگر از تلفن یا رایانه استفاده می کنید، می خواهید سیستم عامل خود را با آخرین وصله امنیتی به روز کنید. سفت‌افزار کیف پول شما نیز باید از نظر نظارتی به‌روزرسانی شود.

اگر چه اگر به‌روزرسانی شامل یک تهدید امنیتی فوری خاص نباشد، اغلب بهتر است چند روز پس از انتشار جدید برای ارتقا صبر کنید. این امر به این دلیل است که در آخرین وصله‌ها باگ‌هایی وجود دارد که به سرعت برطرف می‌شوند اما می‌توانند باعث سردرد شوند. به همین دلیل، دادن به‌روزرسانی‌های غیر بحرانی کمی فضا برای آزمایش ایده خوبی است.

آخرین چیزی که باید به خاطر بسپارید این است که به طور مداوم همه نرم افزارها و سیستم عامل ها را فقط از منابع رسمی مانند یک وب سایت یا مخزن به روز کنید.

سعی کنید یاد بگیرید که از ابزارهایی مانند GPG برای بررسی امضاهای فایل در برابر امضاهای رسمی ثبت شده استفاده کنید تا تأیید کنید که همه داده ها مطابق با آنچه قرار است وجود داشته باشد.

هرگز به هیچ پیوندی اعتماد نکنید، حتی به پیوندهایی که از داخل یک نرم افزار خاص می آیند، زیرا راه های بسیار زیادی وجود دارد که می توان از آنها به عنوان وسیله ای برای حمله استفاده کرد.

به عنوان مثال، کیف پول محبوب بیت کوین الکتروم در سال 2020 مورد حمله ای قرار گرفت که به عوامل مخرب اجازه داد تا از طریق خود برنامه پیامی را به همه کاربران ارسال کنند و مدعی نیاز به به روز رسانی با پیوند ارائه شده باشند.

همانطور که مشخص شد، این پیوند یک حمله فیشینگ بود که یک نسخه خراب از Electrum را روی دستگاه قربانی نصب کرد. این امر به مهاجمان کنترل کامل کیف پول کسانی که نرم‌افزار مخرب را نصب کرده‌اند، می‌دهد و در نتیجه میلیون‌ها دلار از وجوه کاربران را از دست می‌دهد.

رویه های OPSEC که به راحتی نادیده گرفته می شود

یکی از آشکارترین بردارهای حمله برای رسیدگی به خطای انسانی است. حتی اگر فکر می‌کنید امنیت خوبی دارید، انسان‌ها تمایل دارند وقتی هیچ مشکلی پیش نمی‌آید، احساس امنیت کاذب ایجاد کنند، که منجر به اقدامات سست می‌شود.

بدترین شکست‌ها زمانی اتفاق می‌افتد که مراقب خودت را ناامید کنی. هرگز در یک رویداد امضا عجله نکنید. اطمینان حاصل کنید که زمان زیادی بدون وقفه دارید.

عجله کردن یا حواس پرتی راه های خوبی برای نادیده گرفتن مواردی مانند بررسی مجدد داده های تراکنش قبل از تأیید امضا هستند.

در حالی که ما چندین خط دفاعی را ذکر کرده‌ایم، دومی هرگز نباید بدیهی گرفته شود. مقادیر و آدرس های مربوط به هر تراکنش را دوبار و سه بار بررسی کنید زیرا می تواند شما را از اشتباه بزرگ نجات دهد.

همچنین، در مورد استفاده از ایستگاه های شارژ عمومی یا حتی کابل های USB شخص ثالث، بسیار محتاط باشید. کابل‌های USB به‌ظاهر بی‌ضرر با تراشه‌های کوچک در داخل هد در گردش هستند که می‌توانند داده‌ها را رهگیری و تزریق کنند – تراکنش ارز دیجیتال را ربوده و ویرانی به بار می‌آورند.

همراه با برخی مشکلات در مورد سازگاری و فرسودگی دستگاه، همیشه بهتر است از کابل های USB که با هر دستگاه امضای خارجی بسته بندی شده اند استفاده کنید.

چک‌های سلامت می‌توانند اعتماد سریع به کلیدهای شما را فراهم کنند

در نهایت، تکنیکی وجود دارد که برخی از دستگاه های امضا ارائه می دهند که می تواند در افزایش امنیت بسیار ارزشمند باشد. این تکنیک که به عنوان “چک سلامت” شناخته می شود، روشی آسان برای تأیید اینکه آیا کلیدهای شما برای امضای تراکنش ها در دسترس هستند، ارائه می دهد.

اگر می‌خواهید یک بررسی سلامت روی تلفن همراه انجام دهید، بررسی ابتدا تأیید می‌کند که کلید شما به صورت محلی در دسترس است و دستگاه به درستی کار می‌کند. همچنین اطمینان حاصل می کند که همان کلید معتبر به طور ایمن در فضای ابری پشتیبان گیری می شود.

همه اینها را می توان با یک کلیک ساده خودکار کرد و در صورت بروز مشکل به کاربر هشدار داده می شود.

همان مراحل اولیه برای کیف پول های سخت افزاری اعمال می شود، اما دستگاه خارجی باید به رایانه یا تلفن همراه متصل شود. بررسی های سلامتی را می توان برای چندین کلید در کیف پول های چند امضایی نیز انجام داد.

نکته مهم، اگر این کلیدها در دستگاه‌های مختلف ذخیره می‌شوند، بررسی سلامت باید در هر واحد مربوطه اجرا شود.

در حالی که دنیای OPSEC پیچیده و دائما در حال تغییر است، ایمن سازی محیط، به روز نگه داشتن همه دستگاه ها و اطمینان از اینکه آنها مسائلی را که به راحتی نادیده گرفته می شوند، در نظر گرفته اند، گام های اساسی برای جلوتر از مهاجمان هستند.

با ترکیب این استراتژی‌ها با بررسی‌های منظم سلامت هر شش ماه، کاربران می‌توانند به طور قابل‌توجهی امنیت را که از وجوه ارزهای دیجیتال محافظت می‌کند، بهبود بخشند.

____

بیشتر بدانید:

– ترزور یک هشدار امنیتی صادر می کند
– این کیف پول سخت افزاری محبوب توسط یک شرکت امنیت سایبری هک شد – آیا باید نگران باشید؟

– هکرها و کلاهبرداران کریپتو تنها در سه ماهه چهارم 1.62 میلیارد دلار به سرقت بردند
– Web3 در سال گذشته نزدیک به 4 میلیارد دلار به دست کلاهبرداران از دست داد – آیا اوضاع در سال 2023 بهبود می یابد

– کلاهبردار کریپتو از طریق حمله “مسمومیت آدرس” با 1.2 میلیون دلار توکن های ARB از بین می رود – این چیزی است که اتفاق افتاد
– Ledger سازنده کیف پول رمزنگاری 109 میلیون دلار در آخرین دور سرمایه جمع آوری کرد – آیا بازار صعودی بازگشته است؟

– MetaMask گزینه های پرداخت بیشتری را برای خرید ارزهای رمزپایه معرفی می کند – پذیرش کریپتو در حال افزایش است؟
– اپل برنامه غیرمتمرکز صرافی Uniswap کیف پول iOS را تأیید می کند – در اینجا نحوه عملکرد آن آمده است

– چگونه کیف پول بیت کوین را انتخاب کنیم؟
– 3 راه برای راه اندازی کیف پول اتریوم