نکات OPSEC برای اطمینان از امنیت رمزنگاری

ران استونر، رئیس امنیت در متخصص امنیت ارزهای دیجیتال مستقر در ایالات متحده است کاسا.
__________

عملیاتی امنیتیا OPSEC، فرآیند انجام مدیریت ریسک با تعریف اطلاعاتی است که می‌خواهید ایمن کنید، برای رسیدن به آن هدف چه چیزی لازم است و سپس اقدامات عملی مورد نیاز را انجام می‌دهید.

فلسفه پشت OPSEC در درجه اول بر تفکر مانند مهاجم شما تمرکز دارد، درک اینکه مهاجم ممکن است چه کسی باشد و چه اقداماتی ممکن است برای سوء استفاده از شما انجام دهد.

انجام OPSEC خوب به ویژه برای دستگاه های امضاکننده کلید ارزهای دیجیتال، مانند سخت افزار ضروری است. کیف پول. کیف پول‌های سخت‌افزاری «کیف‌پول‌های سرد» در نظر گرفته می‌شوند، زیرا هیچ عملکرد اینترنتی مستقیمی ندارند و باید برای اتصال به اینترنت و انجام تراکنش به دستگاه دیگری مانند تلفن هوشمند یا رایانه شخصی متصل شوند.

این دستگاه‌های سخت‌افزاری و پلی که از طریق آن‌ها به هم متصل می‌شوند، مهم‌ترین نقاط شکست هنگام انجام تراکنش‌های ارز دیجیتال هستند.

با تبدیل شدن 2022 به بدترین سال ثبت شده برای هک ارزهای دیجیتال، با 3.8 میلیارد دلار به سرقت رفته، OPSEC هرگز اینقدر مهم نبوده است. با تبدیل شدن به فضای دارایی دیجیتال به جریان اصلی، مهاجمان به دنبال راه های جدیدی برای بهره برداری از کاربران و پلتفرم ها هستند.

در حالی که سهام و مشخصات ریسک برای هر نهادی که از دارایی های دیجیتال استفاده می کند متفاوت است، همه کاربران باید از بهترین شیوه ها برای محافظت از ارزش خود پیروی کنند.

ایمن سازی محیط امضا

قبل از امضای تراکنش ها، برای شناسایی به محیط خود نگاه کنید هر چیزی که می تواند به عنوان یک بردار حمله عمل کند.

با فرض اینکه در یک محیط خصوصی مانند خانه خود هستید، این موارد شامل مواردی مانند دوربین یا میکروفون است که تقریباً در تمام لپ‌تاپ‌ها و دستگاه‌های موبایل مدرن وجود دارد.

محصولات مختلف اینترنت اشیا (IoT) مانند تلویزیون های هوشمند، الکسا و غیره را فراموش نکنید. جاسوسی شما در حالی که یک معامله انجام می دهید.

به این ترتیب، ضروری است که فضای کاری خود را از هر چیزی که به طور بالقوه می تواند مورد استفاده قرار گیرد، “پاکسازی” کنید – خاموش کردن یا حتی حذف کامل این دستگاه ها از منطقه کار.

در حالی که این ممکن است کمی پارانوئید به نظر برسد، اگر مقادیر زیادی پول در خط باشد، یکی از جنبه های مهم محافظت از شما در برابر مهاجمان است.

امضای تراکنش ها از هر مکان عمومی، مانند دفتر، کتابخانه یا کافه، معمولاً توصیه نمی شود، اما ممکن است گاهی اوقات جایگزین دیگری نداشته باشید. در این صورت می توان چندین گام برای به حداکثر رساندن امنیت برداشت.

یک بار دیگر، شما می خواهید برای هر گونه دوربین امنیتی در منطقه حساب کنید. این روزها دوربین های مداربسته به خصوص دوربین های با وضوح HD و 4K به راحتی می توانند آنچه را که بر روی صفحه نمایش کامپیوتر یا تلفن همراه نمایش داده می شود در میدان دید بخوانند.

البته – و امیدوارم، این ناگفته نماند – نباید افراد دیگری در مجاورت مستقیم باشند. بهتر است خلوت ترین فضای ممکن را پیدا کنید، مثلا یک اتاق کار خالی.

به روز رسانی همه دستگاه های درگیر

شاید مهم‌تر از همه، شما بخواهید همه نرم‌افزارها و سیستم‌افزار را در هر دستگاهی که در فرآیند امضای دخیل است به‌روزرسانی کنید.

اگر مستقیماً از رایانه یا دستگاه تلفن همراه استفاده نمی کنید، کیف پول سخت افزاری شما برای انتقال تراکنش باید به یکی از آنها متصل شود.

از لحاظ تئوری، کیف پول‌های سخت‌افزاری طوری طراحی شده‌اند که مهم نیست واحدی که به آن متصل می‌شود به خطر بیفتد. تمام فرآیندها در خود کیف پول اتفاق می افتد. رایانه های شخصی یا تلفن های هوشمند فقط برای پخش تراکنش استفاده می شوند.

با این حال، برخی از اشکال بدافزار می توانند جنبه های مختلف تراکنش، از جمله مبلغ و آدرس گیرنده را تغییر دهند. حتی آدرس تغییر – آدرسی که تغییر یک تراکنش پس از ارسال مبلغ انتخابی به گیرنده انجام می شود – می تواند دستکاری شود، فیلدی که به راحتی قابل چشم پوشی است.

اگر از تلفن یا رایانه استفاده می کنید، می خواهید سیستم عامل خود را با آخرین وصله امنیتی به روز کنید. سفت‌افزار کیف پول شما نیز باید از نظر نظارتی به‌روزرسانی شود.

اگر چه اگر به‌روزرسانی شامل یک تهدید امنیتی فوری خاص نباشد، اغلب بهتر است چند روز پس از انتشار جدید برای ارتقا صبر کنید. این امر به این دلیل است که در آخرین وصله‌ها باگ‌هایی وجود دارد که به سرعت برطرف می‌شوند اما می‌توانند باعث سردرد شوند. به همین دلیل، دادن به‌روزرسانی‌های غیر بحرانی کمی فضا برای آزمایش ایده خوبی است.

آخرین چیزی که باید به خاطر بسپارید این است که به طور مداوم همه نرم افزارها و سیستم عامل ها را فقط از منابع رسمی مانند یک وب سایت یا مخزن به روز کنید.

سعی کنید استفاده از ابزارهایی مانند GPG برای بررسی امضاهای پرونده در برابر امضاهای رسمی ثبت شده برای تأیید همه داده ها مطابق با آنچه قرار است وجود داشته باشد.

هرگز به هیچ پیوندی اعتماد نکنید، حتی به پیوندهایی که از داخل یک نرم افزار خاص می آیند، زیرا راه های بسیار زیادی وجود دارد که می توان از آنها به عنوان وسیله ای برای حمله استفاده کرد.

به عنوان مثال، محبوب بیت کوین کیف پول الکتروم دچار یک حمله کنند در سال 2020 که به بازیگران مخرب اجازه داد تا پیامی را از طریق خود برنامه به همه کاربران ارسال کنند و مدعی نیاز به به روز رسانی با پیوند ارائه شده باشند.

همانطور که مشخص شد، این پیوند یک حمله فیشینگ بود که یک نسخه خراب از Electrum را روی دستگاه قربانی نصب کرد. این امر به مهاجمان کنترل کامل کیف پول کسانی که نرم‌افزار مخرب را نصب کرده‌اند، می‌دهد و در نتیجه میلیون‌ها دلار از وجوه کاربران را از دست می‌دهد.

رویه های OPSEC که به راحتی نادیده گرفته می شود

یکی از آشکارترین بردارهای حمله برای رسیدگی به خطای انسانی است. حتی اگر فکر می‌کنید امنیت خوبی دارید، انسان‌ها تمایل دارند وقتی هیچ مشکلی پیش نمی‌آید، احساس امنیت کاذب ایجاد کنند، که منجر به اقدامات سست می‌شود.

بدترین شکست‌ها زمانی اتفاق می‌افتد که مراقب خودت را ناامید کنی. هرگز در یک رویداد امضا عجله نکنید. اطمینان حاصل کنید که زمان زیادی بدون وقفه دارید.

عجله کردن یا حواس پرتی راه های خوبی برای نادیده گرفتن مواردی مانند بررسی مجدد داده های تراکنش قبل از تأیید امضا هستند.

در حالی که ما چندین خط دفاعی را ذکر کرده‌ایم، دومی هرگز نباید بدیهی گرفته شود. مقادیر و آدرس های مربوط به هر تراکنش را دوبار و سه بار بررسی کنید زیرا می تواند شما را از اشتباه بزرگ نجات دهد.

همچنین، در مورد استفاده از ایستگاه های شارژ عمومی یا حتی کابل های USB شخص ثالث، بسیار محتاط باشید. کابل های USB به ظاهر بی ضرر وجود دارد در حال گردش با تراشه های کوچک در داخل هد که می تواند داده ها را رهگیری و تزریق کند – ربودن یک تراکنش ارز دیجیتال و ویران کردن.

همراه با برخی مشکلات در مورد سازگاری و فرسودگی دستگاه، همیشه بهتر است از کابل های USB که با هر دستگاه امضای خارجی بسته بندی شده اند استفاده کنید.

چک‌های سلامت می‌توانند اعتماد سریع به کلیدهای شما را فراهم کنند

در نهایت، تکنیکی وجود دارد که برخی از دستگاه های امضا ارائه می دهند که می تواند در افزایش امنیت بسیار ارزشمند باشد. معروف به “بررسی سلامت“، این تکنیک راهی آسان برای تأیید اینکه آیا کلیدهای شما برای امضای تراکنش ها در دسترس هستند، ارائه می دهد.

اگر می‌خواهید یک بررسی سلامت روی تلفن همراه انجام دهید، بررسی ابتدا تأیید می‌کند که کلید شما به صورت محلی در دسترس است و دستگاه به درستی کار می‌کند. همچنین اطمینان حاصل می کند که همان کلید معتبر به طور ایمن در فضای ابری پشتیبان گیری می شود.

همه اینها را می توان با یک کلیک ساده خودکار کرد و در صورت بروز مشکل به کاربر هشدار داده می شود.

همان مراحل اولیه برای کیف پول های سخت افزاری اعمال می شود، اما دستگاه خارجی باید به رایانه یا تلفن همراه متصل شود. بررسی های سلامتی را می توان برای چندین کلید در کیف پول های چند امضایی نیز انجام داد.

نکته مهم، اگر این کلیدها در دستگاه‌های مختلف ذخیره می‌شوند، بررسی سلامت باید در هر واحد مربوطه اجرا شود.

در حالی که دنیای OPSEC پیچیده و دائماً در حال تغییر است، ایمن کردن محیط، به روز نگه داشتن همه دستگاه‌ها و اطمینان از اینکه آنها مسائلی را که به راحتی نادیده گرفته می‌شوند را در نظر گرفته‌اند، گام‌های اساسی برای جلوتر از مهاجمان هستند.

با ترکیب این استراتژی‌ها با بررسی‌های منظم سلامت هر شش ماه، کاربران می‌توانند به طور قابل‌توجهی امنیت را بهبود ببخشند که از وجوه ارزهای دیجیتال خود محافظت می‌کند.

____