Безопасность кошелька Bitcoin

Содержание

Безопасность кошелька Биткоина

1. Введение

Будьте уверены, что всегда будут желающие позариться на чужие средства, хотим мы того или нет. Проблеме безопасности их хранения уже не первая тысяча лет, и она будет актуальна еще явно долгое время. В данной статье мне хотелось бы затронуть аспекты безопасности хранения средств в кошельке Bitcoin, хотя описанные ниже идеи и приемы можно использовать и для безопасного хранения других электронных кошельков и не только. Тем, кто только знакомится с биткоином, полезно будет сначала прочитать статью «Что такое биткоин?».

Рейтинг лучших брокеров бинарных опционов:

Анализ угроз

Для начала давайте определимся с угрозами, и как мы будем от них защищаться. Если вы используете кошелек версии ниже 0.4.0, то данные о ключах в нем хранятся в открытом виде, и злоумышленнику достаточно получить ваш файл wallet.dat чтобы похитить все ваши средства. Каким образом злоумышленник может получить этот файл? Самый распространенный способ — через программы «трояны», которые незаметно для пользователя выполняют действия злоумышленника. Получить такую программу можно из сети Интернет, скачав с сайтов вместе с другими программами «в довесок», получив незаметно с зараженных сайтов, получить по почте, с зараженной флэшки и еще много других способов. Еще одним способом попадания файла в руки злоумышленника может быть потеря флэшки с кошельком, или считывание с выброшенного жесткого диска, после апгрейда, например. Начиная с версии 0.4.0 в кошельке появилась функция шифрования, которую можно включить в опциях программы. Но не стоит надеяться на нее, как на панацею, вредоносные программы довольно быстро адаптируются к новым методам защиты, и ничего не помешает такой программе считать введенные с клавиатуры символы, когда вы вводите свой пароль.

Еще одной угрозой могут быть мошеннические действия, когда, например, недобросовестный трейдер покупает у вас BTC за PayPal, получает BTC, шлет жалобу на невыполненную сделку, PayPal отменяет платеж, и злоумышленник получает ваши средства ничего не заплатив. Другой пример — некий онлайн сервис, заявляющий, что на нем можно безопасно и удобно хранить свои средства, может даже получать проценты и другие полезные сервисы, в один не прекрасный момент закрывается и исчезает со всеми сбережениями доверявших ему клиентов. К сожалению, случаев подобных известно достаточно, и от таких действий техническая защита практически бесполезна, надо всегда думать своей головой, кому и зачем посылаются средства.

Из анализа угроз становится понятно, что наша цель- не допустить попадания вредоносных программ на компьютер, где хранится кошелек биткоин, ограничить физический доступ к кошельку и сделать невозможным использование кошелька при утере носителя, на котором он расположен.

Решить проблему попадания вредоносного ПО на компьютер, который используется для широкого круга задач, в том числе интернет-серфинга, получения почты, игр и т.д. довольно сложно, а покупать для этих целей отдельный компьютер не целесообразно в большинстве случаев. Исходя из этого, для хранения кошелька на компьютере мы установим виртуальную машину, которая будет использоваться только для работы с кошельком. Для решения проблемы неправомерного доступа и физической утери носителя будут настроены специальные права на кошелек и дополнительное шифрование файла с ключами.

В качестве гипервизора мной был выбран Oracle VirtualBox за свою бесплатность и универсальность. В качестве гостевой операционной системы будет использоваться Windows Server 2008 R2, у него есть довольно длительный тестовый период, которого хватит, чтобы отразить все описанные в статье нюансы настройки, а кому его не хватит, есть замечательная команда slmgr -rearm, которая может несколько раз запустить тестовый период с начала, и даже после его окончания ОС позволяет работать с собой. Для шифрования будет использована встроенная шифрующая файловая система EFS, а для контроля доступа внутри гостевой ОС будут особым образом настроены права ACL на папку с кошельком.

2. Установка дистрибутивов

На диске хост-машины, на котором будет лежать образ виртуальной машины, очень рекомендую включить теневое копирование. В Windows 7 оно включается в свойствах системы – защита системы.

Открываем VirtualBox, создаем новую виртуальную машину.

Жесткий диск советую делать не менее 20Гб, остальное по вкусу и возможностям компьютера. Заходим в настройки только что созданной виртуалки, на вкладке «Носители» справа от надписи «Привод» кликаем по значку диска, выбираем наш свежескачанный образ 2008 сервера. Все, можно запускать виртуальную машину. Указываем языки по вкусу, редакцию Standart (Full edition) нам вполне хватит. На этапе разбивки жесткого диска конфигурацию каждый под свои нужды рассчитывает, я разбил 80Гб диск на 30 под систему и 50 под данные.

Для надежности уберем возможность загрузки виртуальной машины с иных носителей, кроме основного жесткого диска после инсталляции ОС. Заходим при выключенной виртуалке в ее свойства и ставим первым и единственным загрузочным устройством жесткий диск, а CD-ROM вообще убираем из списка подключенных устройств.

Русскоязычные конторы бинарных опционов:
Обратите внимание:  Бездепозитный бонус бинарных опционов на 2020 год

Первое, что делаем после установки ОС и задания сложного(!) пароля администратора, это включение автоматического обновления и установка обновлений безопасности.

3. Настройка ОС

После установки всех обновлений безопасности включаем теневые копии на диске, где будет лежать кошелек, в 2008 сервере делается это в свойствах диска на вкладке Shadow Copies.

В тех же свойствах на вкладке General нужно убрать галку с разрешения индексировать файлы и папки.

Настройка сети

Заходим в свойства адаптера ( ncpa.cpl) local area connection и в Properties убираем галочки у всех протоколов и служб, кроме Internet Protocol Version 4. Параноики могут еще и сменить DHCP адрес на статический.

Настройка служб

Отключаем большинство не нужных для наших целей служб, это сузит круг потенциально опасных мест. Перейти к ним можно через Control Panel – All Control Panell Items – Administrative Tools – Services. Вот список служб, которые я отключил:

  • Print spooler
  • Remote registry
  • Windows Remote Management
  • Problem Reports and Solutions Control Panel Support
  • Remote Access Auto Connection Manager
  • Remote Access Connections Manager
  • Remote Desktop Configuration
  • Remote Desktop Services
  • Remote Desktop Services UserMode Port Redirector
  • WinHTTP Web Proxy Auto-Discovery Service

Ваш список может отличаться от моего в зависимости от соотношения лени и паранои.

Создание пользователей

Нам понадобится создать дополнительно 2 пользователя, под первым мы будем заходить на сервер, т.к. под Администратором это делать неправильно, и второй для работы с кошельком. Войти в оснастку управления пользователями можно командой lusrmgr.msc или через Computer Management. Первого пользователя я назову user, второго banker, на своих системах лучше назовите их по-другому и задайте сложные пароли в целях безопасности.

Настройка политик

Чтобы каждый раз при выключении или перезагрузке не докладывать серверу, с какой целью мы это делаем, запускаем редактор политик gpedit.msc идем по пути Computer Configuration > Administrative Templates > System и в правой части окна выберите вариант настройки “Display Shutdown Event Tracker” в открывшемся окне ставим активным значение Disabled и нажимаем Ok.

Далее идем по пути Computer Configuration > Windows settings > Security settings > Local Polices > User Rights Assignment и в правой части окна выберите вариант настройки “Shut down the system”. Добавьте в список пользователей, которым система будет разрешать выключать и перезагружать компьютер, пользователя user через кнопку “Add User or Group”.

По тому же пути добавляем всех наших троих пользователей — Administrator, banker и user в пункты “Deny access to this computer from the network”, “Deny log on as a batch job”, “Deny log on as a service”, “Deny log on through Remote Desctop Services”, чтобы единственным методом входа в компьютер остался локальный вход. В итоге политики должны выглядеть примерно так:

В свойствах системы в разделе Computer Name задаем более понятное имя системе, в моем случае компьютер стал называться my_bank, можно сменить рабочую группу.

В свойствах системы в разделе Advanced в настройках Perfomance ставим Adjust for best performance.

В Server Manager в правой колонке жмем на Configure IE ESC и для администраторов выключаем дополнительную защиту, это понадобится для скачивания кошелька и антивируса, потом ее можно включить назад.

4. Установка и настройка ПО

Антивирус

Антивирус дело религии, но лучше его держать на всякий случай, я на эту виртуалку поставил Microsoft Essentials, скачать можно тут — http://www.microsoft.com/ru-ru/security_essentials/default.aspx

Кошелек

Качаем с официального сайта http://bitcoin.org/ программу кошелька(.zip версию). Распаковываем в подготовленную для него папку, у меня папка с программой кошельком будет лежать по адресу D:\bitcoin, а каталог данных, в котором лежит wallet.dat и скачанные блоки будет располагаться в папке D:\wallet.

Далее открываем блокнот и пишем в него следущую строку – D:\bitcoin\bitcoin.exe –datadir=D:\wallet

Настройка Firewall

Заходим под администратором, Control Panel – All Control Panel Items – Windows Firewall и кликаем “Allow a program or feature through Windows Firewall”. В этом окне убираем все галочки и жмем Ok, для работы кошелька эти программы и службы нам не нужны.

Шифрование и доступ

Закрываем корректно кошелек, щелкаем правой кнопкой по папке wallet, выбираем properties , заходим на вкладку Security, нажимаем Advanced > Change Permission. Снимаем галочку напротив Include inheritable permissions from this object’s parent, на всплывающем запросе жмем кнопку Remove. Эти действия удалят все наследованные права на папку. Жмем пару раз ok, на вкладке Security нажимаем Edit > Add, добавляем пользователя banker и даем ему права в том числе на редактирование, после чего удаляем всех оставшихся пользователей и группы, сохраняем, итоговые значения должны получиться такие:

Заходим в виртуальную машину от имени пользователя banker. Щелкаем правой кнопкой по папке wallet, выбираем properties, и на вкладке General снизу нажимаем на кнопку Advanced, в открывшемся окне ставим галку напротив Encrypt contents to secure data, жмем ок, в окне подтверждения выбираем Apply changes to this folder, subfolder and files. Подтверждаем, дожидаемся окончания процесса шифрования.

Теперь только пользователь banker может пользоваться кошельком, для остальных он зашифрован, даже если украдут образ виртуальной машины или физический компьютер, без ключа пользователя banker до кошелька не добраться. После выполнения приведенных выше действий никто, кроме banker, не имеет доступа к папке кошелька по правам NTFS, плюс папка зашифрована EFS с ключом пользователя banker.

Но есть одно но, сидя под banker любая программа может вытащить данные, от этого защитимся следующим образом: мы не будем заходить под пользователем banker, а заходить будем под пользователем user, а запускать кошелек будем от имени banker. Для этого изменим файл run.cmd следующим образом: кликаем по нему правой кнопкой мыши, нажимаем edit и изменяем содержимое на Runas /user:my_bank\banker “D:\bitcoin\bitcoin.exe –datadir=D:\wallet”

После этих действий запуск run.cmd будет сопровождаться запросом пароля пользователя banker, кто его не знает не сможет запустить кошелек.

Обратите внимание:  Налогообложение доходов трейдеров бинарных опционов, Форекс и других ( на примере Российской

Ограничения на вход

Настройка почти завершена, осталось только убрать возможность входа пользователей Administrator и banker с страницы приветствия, т.к. у banker есть все права на кошелек, а у Administrator – на систему. Сейчас окно приветствия имеет следующий вид:

А раз уж система у нас настроена и кошелек защищен, запускаем под администратором редактор реестра командой regedit, идем по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ У раздела “Winlogon” создаем подраздел “SpecialAccounts”, а в нем подраздел “UserList” В этом подразделе создаем запись типа DWORD (New-> DWORD (32bit) Value) с именем banker, значение 0 не меняем. Аналогично создаем запись с именем Administrator.

Это действие не запрещает локальный вход, но убирает указанных пользователей из окна приветствия, то есть иначе как под пользователем user теперь не войти.

Если нам понадобится что- то изменить в настройке сервера, то можно запустить редактор реестра от администратора и убрать внесенные записи, что позволит выполнять вход как от администратора, так и от banker’а, хотя предпочтительнее просто запускать нужные оснастки от имени нужного пользователя, сделать это можно зажав Shift+ правая кнопка мышки по объекту -> Run as different user -> ввести логин и пароль нужного пользователя.

5. Заключение

Полной и 100% защиты от взлома, к сожалению, не существует, но если принять такие меры, что сложность и стоимость взлома будет сопоставима или превышать полученную в результате него выгоду, то никто его осуществлять не будет, это и есть гарантия вашей безопасности. Описанные выше шаги позволяют существенно осложнить жизнь злоумышленникам и довольно надежно ограничить доступ к своим сбережениям. Однако существует еще одна проблема, потерять сбережения можно не только столкнувшись с кражей, но и забыв свой пароль например, так что расслабляться и считать описанное решение панецеей все же не стоит. Отдельно стоит упомянуть, что мы никак не коснулись темы бэкапа, а это очень важный элемент хренения кошелька, т.к. носители информации не вечны и зачастую выходят из строя в самый неподходящий момент, но это уже тема следующей статьи.

Подписывайтесь на новости и их анализ в нашем Telegram канале!

Учебный портал

Безопасность вашего кошелька

Когда вы создаете кошелек Blockchain, мы рекомендуем выполнить три основные действия по обеспечению безопасности.

Подтвердите свой адрес электронной почты

Подтверждение вашего адреса электронной почты позволяет нам отправлять коды для входа в систему или информировать вас, если по вашему аккаунту обнаруживается подозрительная или необычная активность, а также, чтобы мы смогли напомнить вам ваш идентификатор входа в кошелек и отправить сообщения о биткойн-платежах при получении.

Настройте двухфакторную аутентификацию

Включите двухфакторную аутентификацию по СМС-коду, через Yubikey или Google Authenticator для дальнейшей защиты вашего кошелька от несанкционированного доступа.

Запишите фразу для восстановления доступа

Фраза для восстановления доступа является наиболее важной из всех мер безопасности. Это ключ к обеспечению доступа к вашим средствам, если вы забыли свой пароль или Blockchain недоступен.

Ваша фраза для восстановления доступа

Ваша фраза для восстановления доступа, закодированная версия основного сида вашего кошелька, является мнемонической кодовой фразой, состоящей из 12 случайных слов. Она действует как запасной вариант, гарантируя, что вы всегда можете получить доступ к своим средствам.

Зачем мне это нужно?

В случае, если вы потеряете свой идентификатор кошелька (или, что еще хуже, свой пароль), ваша фраза для восстановления доступа — это единственный способ вернуть вам доступ к своим средствам. Помните: мы не сохраняем пароли к кошелькам, поэтому мы не можем сбросить ваш пароль.

Зачем нужно ее записывать?

Любой, у кого есть ваша фраза для восстановления доступа, может получить доступ к вашим средствам и истории ваших транзакций. Для того, чтобы защитить ваши средства от хакеров в интернете или случайной потери данных, рекомендуем хранить эту фразу не на компьютере — а в записной книжке или на листе бумаги.

Где я смогу ее найти?

Фразу для восстановления доступа можно найти в Центре безопасности вашего кошелька, выбрав ‘Фраза для восстановления доступа’.

Обеспечение безопасности вашего кошелька

Как и в реальной жизни, вы должны позаботиться о безопасности своего кошелька. Биткойн позволяет переводить суммы куда угодно очень простым способом, и позволяет вам полностью контролировать свои деньги. Такие большие возможности сопровождаются и повышенным уровнем опасности. Однако, Биткойн может предоставить очень высокий уровень безопасности, если его правильно использовать. Всегда помните, что защита ваших денег — это ваша ответственность.

Будьте осторожны с онлайн-сервисами

Вам следует остерегаться любых сервисов, предлагающих хранение ваших средств онлайн. Многие обменники и онлайн кошельки в прошлом пострадали от прорех в безопасности и такие услуги все еще недостаточно застрахованы и безопасны для того, чтобы хранить там средства, как в банке. Естественно, вы можете пользоваться другими видами биткойн-кошельков. Или же, вам следует выбирать такие услуги очень тщательно. К тому же, рекомендуется использование двухфакторной авторизации.

Небольшие суммы на карманные расходы

Биткойн-кошелек как обычный кошелек с деньгами. Если вы не носите с собой постоянно тысячи долларов наличными, то не храните такие суммы и в биткойн-кошельке. В целом, нормальная практика хранить небольшие суммы на вашем компьютере, смартфоне или сервере для обычных расходов, и хранить остальные деньги в другом, безопасном месте.

Обратите внимание:  Как торговать индексами на бинарных опционах

Сделайте резервную копию своего кошелька

Хранение резервной копии вашего кошелька в безопасном месте может защитить вас от сбоев компьютера и множества человеческих ошибок. Это также позволит вам восстановить ваш кошелек, в случае если ваш телефон или компьютер будет украден, если ваш кошелек был зашифрован.

Сделайте резервную копию всего кошелька

Некоторые кошельки содержат множество спрятанных секретных ключей. Если у вас есть резервные копии только секретных ключей к вашим видимым биткойн-адресам, возможно это далеко не все, и тогда вы не сможете восстановить большую часть ваших средств из резервной копии.

Шифруйте сетевые резервные копии

Любая резервная копия, которая хранится в сети, сильно уязвима для мошенников. Даже компьютер, подключённый к сети, уязвим для вирусов. В связи с этим, следует шифровать все резервные копии, доступные из сети.

Используйте несколько безопасных мест

Единственный бекап не очень безопасен. Если у Вас есть несколько резервных копий, то неприятные события, препятствующее восстановлению Вашего кошелька вас не затронут. Вы можете использовать различные типы носителей, таких как флешки, бумага и CD.

Регулярно делайте резервные копии

Вам необходимо делать резервные копии вашего кошелька регулярно, чтобы быть уверенным, что все недавние изменения биткойн-адресов и все новые биткойн-адреса, которые вы создали, включены в вашу резервную копию. Вскоре, все приложения начнут использовать кошельки, резервные копии которых нужно будет делать лишь один раз.

Шифруйте свой кошелек

Шифрование вашего кошелька, или вашего смартфона позволяет вам установить пароль против любого, пытающегося снять средства. Это поможет защититься против воров, однако, это не сможет защитить против устройств или программ кейлоггеров, которые следят за всеми набранными вами символами.

Никогда не забывайте свой пароль

Вам нужно убедиться, что вы не забудете свой пароль, иначе ваши средства будут безвозвратно утеряны. Биткойн — это не банк, восстановить забытый пароль очень мало шансов. На самом деле, вам нужно будет помнить пароль, даже если вы его много лет не используете. Если сомневаетесь, вы можете сохранить бумажную копию вашего пароля в надежном месте, например в сейфе.

Используйте сложный пароль

Любой пароль, который содержит только буквы или узнаваемые слова, может быть сочтен слабым и легким для взлома. Сильный пароль должен содержать буквы, цифры, знаки препинания, и должен быть длиной хотя бы 16 символов. Самые надежные пароли, это те, которые генерируются специальными программами, разработанными для этой цели. Надежные пароли обычно сложнее запомнить, так что вам придется постараться.

Оффлайн кошелек для сбережений

Не подключенный к сети кошелек, также известный как оффлайн хранилище, или холодное хранилище, обеспечивает высочайший уровень безопасности для сбережений. Для этого потребуется хранить кошелек в безопасном месте, которое не подключено к сети. Если все сделать правильно, этот способ предоставит очень хорошую защиту от компьютерных уязвимостей. Использование оффлайн хранилища в сочетании с резервным копированием и шифрованием также считается правильной практикой. Здесь представлен обзор некоторых подходов.

Подписывание транзакций на не подключенном к сети компьютере

Этот подход включает в себя наличие двух компьютеров, делящих между собой некоторые части одного и того же кошелька. Первый должен быть отключен от любой сети. Он единственный хранит весь кошелек и может авторизовать транзакции. Второй компьютер подключен к сети и содержит только «наблюдающий» кошелек, который не может создавать авторизованные транзакции. Таким образом, вы можете безопасно выполнить новую транзакцию, выполнив следующие шаги.

  1. Произведите транзакцию на компьютере, подключенном к интернету и сохраните ее на USB ключ.
  2. Авторизуйте транзакцию при помощи компьютера, не подключенного к сети.
  3. Отошлите авторизованную транзакцию с компьютера, подключенного к интернету.

Так как компьютер, который не подключен к сети, не может подписать транзакцию, он не может быть использован для снятия каких-либо средств если он скомпрометирован. Armory может быть использован для подписания транзакций оффлайн.

Специализированные устройства-кошельки

Устройства для хранения биткойнов — лучший баланс межу высокой защитой и легкостью использования. Существуют маленькие устройства, специально разработанные для того, чтобы быть биткойн-кошельками и и ничем больше. Никакое программное обеспечение не может быть на них установлено, что делает их очень защищенными от компьютерного мошенничества и онлайн воров. Так как они позволяют делать резервные копии, вы всегда сможете восстановить ваши средства, если вы потеряете свое устройство.

Вовремя обновляйте свое программное обеспечение

Использование последней версии программного обеспечения Биткойн, позволит вам получить необходимую стабильность и исправления безопасности. Обновления дадут возможность предотвратить проблемы различного уровня критичности, дополнить новыми функциями и помогут вашему кошельку оставаться надежным. Установка обновлений для всех остальных программ на вашем компьютере или телефоне так же важно, для сохранения в большей безопасности того, что окружает ваш кошелек.

Много-пользовательская подпись, для защиты от воровства

Биткойн включает опцию множественной подписи (мульти-подписи), которая позволяет требовать несколько независимых подтверждений для отправки транзакции. Например, организация может потребовать, чтобы ее средства можно было потратить, только если 3 из 5 сотрудников подпишут транзакцию. Некоторые онлайн-кошельки также поддерживают мульти-подпись, позволяя пользователю контролировать свои деньги, но при этом не давая злоумышленникам украсть их, получив доступ к одному устройству.

Подумайте о своем завещании

Ваши биткойны могут быть потеряны навсегда, если вы не позаботились о резервном доступе для своих друзей и близких. Если местоположение ваших кошельков или ваши пароли никому не известны, то в случае если вас не станет, нет никакой надежды, что близкие смогут получить доступ к вашим средствам. Потратьте немного времени для размышлений на эту тему, это может быть очень важным.

Рейтинг честных брокеров, дающих бонус за регистрацию:
Понравилась статья? Поделиться с друзьями:
Обучаем торговать бинарными опционами
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: