Безопасность в сети

Безопасность в сети

Bitcoinfox.ru

Наш telegram-канал.

Краткий гайд по безопасности, который поможет защититься от большинства угроз.

Особенно важен для тех, кто использует криптовалюты, активно участвует в ICO, часто открывает MyEtherWallet.


Новая почта.

Проверьте свои email адреса на факт утечки данных. Сервис показывает, где и когда ваши данные утекли в сеть в результате взлома сайтов, на которых вы были зарегистрированы.

Заведите отдельную почту для работы с криптовалютами, для участия в важных ICO - хорошо подходит https://protonmail.com (не привязывайте к ней свою старую почту для восстановления, это скомпрометирует новый адрес).

И ещё одну почту - для записи в Whitelist, участия в Airdrop и прочих дел.

Почты не должны пересекаться (первая - редкое использование, вход с защищенной системы - желательно с виртуальной).


2FA.

Где только возможно используйте двухфакторную авторизацию (2FA). Но не Google Authentificator (при потере приложения вы не сможете восстановить доступ), а более удобный и безопасный аналог - https://authy.com.

Даже используя это приложение, всегда сохраняйте backup коды.

Если вам предлагают смс-коды для авторизации, откажитесь от них в пользу приложения Authy (сим-карту можно перевыпустить, а смс подменить). В настройках выключите поддержку нескольких устройств (Allow multi-device = OFF).

Не храните коды восстановления для 2FA вместе с паролями для доступа к биржам, кошелькам, сервисам.


Буфер обмена.

Установите защиту от keylogger'ов (зловред, который следит за тем, что вы набираете на клавиатуре, копирует ваши пароли и отправляет мошенникам).

А вот так выглядит скрытая атака, когда вирус подменяет номер кошелька в буфере обмена: https://www.bleepingcomputer.com/news/security/clipboard-hijacker-malware-monitors-23-million-bitcoin-addresses/

Самый простой способ защиты - https://www.qfxsoftware.com.

Почаще перезагружайте компьютер, очищайте буфер обмена, удаление подозрительных файлов выполняйте с помощью https://www.ccleaner.com/ccleaner (хотя бы в 7 проходов).


Пароли.

Для каждого сайта или кошелька создавайте новые и уникальные. Сложные, по 16 и более символов.

Не сохраняйте пароли в браузере.

Не храните их в блокнотике на рабочем столе, в программах типа Evernote, Google Docs (которые индексирует Яндекс) или в записках смартфона.

Заведите https://keepass.info и положите его в зашифрованный контейнер.


Контейнер.

Все ценные документы, таблицы, записи, заметки, файлы храните только в зашифрованном контейнере с двойным дном (одна часть с лёгким паролем, его можно выдать под давлением, там пустышка; скрытая часть - ваши ценные документы).

Удобный вариант - https://www.veracrypt.fr/en/Home.html.

Контейнер замаскируйте под любой системный файл или повреждённый музыкальный файл (хотя бы измените расширение на mp3).

Перенос ценной информации с устройства на устройство делайте только в виде контейнера.

Сам контейнер создавайте в защищенной среде (на виртуальной машине).


Виртуальная машина.

Установите виртуальную операционную систему с помощью https://www.virtualbox.org. На неё поставьте https://linuxmint.com/download.php (простая и удобная в использовании).

Перед началом работы зашифруйте ОС и виртуальный жёсткий диск.

На этой системе держите все рабочие кошельки, через неё входите в кабинеты на биржах, обменниках, MyEtherWallet. Это безопасная среда, где следует создавать контейнеры.

Её сложнее взломать, в Linux труднее поставить зловреда, вирусы с вашего рабочего компьютера на неё не проникнут (чаще всего). В экстренной ситуации такую систему можно удалить за минуту.

Виртуальная ОС изолирована от вашего основного компьютера (и его угроз), поэтому стоит поддерживать её безопасность - не устанавливайте лишние программы, не скачивайте на неё файлы, видео, торренты.


Конфиденциальность.

Зашифруйте свой рабочий компьютер, подойдёт BitLocker или https://www.veracrypt.fr/en/Home.html. Ключи шифрования спрячьте в контейнер.

Обычный пароль к учетной записи - не защитит; нужно сделать так, чтобы ваш компьютер нельзя было открыть без вашего разрешения.

Это же касается и смартфона, если на нём есть кошельки и важные данные.

Не используйте свои реальные имя и фамилию в Интернете. Нигде. Особенно, если их можно связать с кошельками, почтой, месседжерами, телефоном, покупками, доставкой, такси.

Для KYC на ICO желательно иметь отдельную группу кошельков и почты - они не должны пересекаться с вашими сбережениями (для хвостов используйте миксеры и децентрализованные биржи).

Физически закройте камеру на ноутбуке и отключите в настройках.

Старайтесь не пользоваться программами, которые отображают ваш экран (удалённый доступ - тем более).

Никому не сообщайте, что вы изучаете криптовалюты и когда-либо покупали биткоин.


Антивирус.

Не полагайтесь на антивирус. Он защищает только от уже известных зловредов. А реальную угрозу представляют именно новые вирусы.

Проверьте свой роутер и wifi (измените пароли на сложные, отключите удалённый доступ из сети).

Не вставляйте в свой компьютер флешки, которые вам дают знакомые (на них легко спрятать зловреда).

Не скачивайте подозрительные pdf, xlx, zip, rar и даже картинки. Если вы сами изначально не просили их прислать - не позволяйте любопытству заразить ваш компьютер.

Когда нет сил терпеть, проверьте файл или ссылку через https://www.virustotal.com/#/home/upload.

Следите за фишингом.

Не переходите по ссылкам из писем. Даже если письмо пришло с официального email - введите адрес сайта вручную.

Если есть сомнения, настоящий ли сайт - сравните его хотя бы с 3 источниками: поиск Google, поиск https://www.startpage.com и https://coinmarketcap.com/ (должно быть совпадение 3/3).

Трижды проверяйте адреса сайтов и кошельков. Если делаете перевод, после вставки из буфера обмена, ещё раз проверьте все символы (зловред может подменить их во время копирования).


Кошельки.

Для баловства, airdrop, bounty и небольших транзакций заведите отдельный кошелек. Держите в нём мелочь.

В одном кошельке следует держать не более 25% всех средств. Это же касается отдельной взятой биржи.

Обязательно заведите аппаратный кошелек для долговременного хранения криптовалюты. Не светите его адреса, каждый раз проверяйте на экране устройства адрес для получения и отправки, вовремя делайте обновление прошивки, спрячьте в надёжном месте (seed фразу разделите на части, зашифруйте и разместите в нескольких разных точках - а не только дома).

Если есть возможность, купите Ledger Nano S (если доставки в ваш регион нет, возьмите Trezor).

Не держите на биржах большие суммы - для всех валют сделайте вывод на официальные кошельки, к которым у вас есть приватные ключи.

Бережно и скрытно храните приватные ключи - в зашифрованном контейнере на компьютере, на зашифрованной флешке вне дома, спрячьте коды восстановления в виде записок в старых блокнотах (оформите ключи, как некий набор текста - проявите фантазию или изучите методы простейшего шифрования https://habrahabr.ru/post/116716/).

Не пользуйтесь кошельками на чужих компьютерах или когда работаете в общественных wifi сетях (даже у знакомых или на работе).

Не загружайте приватные ключи в посторонние кошельки для получения форков или airdrop. Никогда.

Приватные ключи - это то, что не должно попадать в Интернет.

В крайнем случае: сначала выведите все валюты из кошелька в новый - после загрузки ключа никогда не возвращайтесь к старому кошельку (сам кошелек может пригодиться для новых форков, но хранить в нем криптовалюты уже нельзя).


Интернет и Wifi.

Не стоит пользоваться домашним Интернетом во время работы с криптовалютами (переводы, торговля на бирже) - он привязан к вашим паспортным данным и легко просматривается (любыми заинтересованными лицами без вашего разрешения и ведома). Это же касается и мобильного трафика, когда сим-карта оформлена на вас у сотового оператора.

Чтобы сохранить свою конфиденциальность, купите сим-карту для путешественников. Она даёт недорогой мобильный Интернет в большинстве стран, смартфон с ней всегда и везде можно превратить в мобильную точку доступа (для работы за ноутбуком в дороге или заграницей), а также позволяет скрыть весь ваш трафик от местных операторов.

Сим-карта выпускается на номер в Великобритании со всеми вытекающими юридическими последствиями. Тарифы можно посмотреть здесь (сравните с вашим оператором).

Сим-карта стоит 10 евро, без абонентской платы. Чтобы её активировать, достаточно пополнить ещё на 10 евро. Если используете нашу ссылку, при первом пополнении получите бонус +5 евро на счет.


Защита трафика.

Для защиты трафика при работе с кошельками, биржами, складчинами, обменниками вам нужен туннель. Он прячет все ваши действия в сети - их не увидит провайдер или постороннее лицо.

Особенно важно устанавливать туннель при работе в публичных Wifi сетях (пусть и с паролем и шифрованием) или дома, где ваши данные могут просматривать и анализировать посторонние (без вашего ведома).

Туннель позволяет обходить блокировки, когда ваш провайдер закрывает доступ к некоторым сайтами или сервисам.

Попробуйте TunnelBear - достаточно пройти регистрацию, установить приложение (на компьютер или телефон), сделать простейшие настройки за 1 минуту - и ваш трафик под защитой. Запускайте приложение, когда заходите в кошелек или личный кабинет на бирже.

По этой ссылке дают бесплатный тест на 7 дней.

Можно просто работать без покупки тарифа: ежемесячно выделяется 500 мб трафика + увеличивают квоту за твит.

Попробуйте. Даже бесплатного тарифа без обязательств (регистрируйте на левый email) достаточно для безопасного серфинга.

Разумно соединить сим-карту для путешественников с туннелем и виртуальной машиной - так ваша конфиденциальность будет выше.

Браузер для Интернет - https://brave.com, и поисковик - https://duckduckgo.com. Оба выбраны потому, что они мешают сайтам вроде Google, Яндекс и прочим отслеживать ваши движения по сети, интересы, запросы, историю просмотров и покупок.


Дополнительные материалы, которые стоит изучить:

https://medium.com/mycrypto/mycryptos-security-guide-for-dummies-and-smart-people-too-ab178299c82e

https://medium.com/@encryptmymoney/продвинутый-гайд-по-хранению-криптовалюты-bdf877ebb3e6


Инкубатор.

Не думайте, что хакеры моментально используют лазейки, ключи или пароли, которые получат через зловредов или фишинг. Наоборот - они будут ждать, пока сложится благоприятный момент (крупный перевод, раздача токенов, бурный рост курса).

Поэтому глупо сейчас пренебрегать защитой, если вам нечего терять (мало криптовалют, нет сбережений). Когда вы увеличите капитал, будет поздно выстраивать защиту и латать дыры.


Все пункты лёгкие в исполнении, в Интернете есть видео-инструкции по каждому.

Если вам требуется помощь, заполните эту анкету.


Меню канала.