Moje knowledge base, pro Vás i pro mne. Ale také spousta blbin okolo.

TrueFlip

Držení krypto a bezpečnost

08.02.2018 14:52
Přijít o krypto je snadné, lupiči jsou všude. Níže popisuji několik oblastí a situací, na které by měl každý držitel kryptoměn myslet, některými se jednoznačně řídit, některé alespoň vést v patrnosti.
Rizika operačních systémů a používaných programů
když Windows, tak mít verzi alespoň 7, 8, 10
mít antivir (zdarma např. Avast, Avira, ...)
vypnout v nastavení síťové karty Klient sítě Microsoft, a Sdílení souborů
programy stahovat alespoň z hlídaných zdrojů typu download.com, stahuj.cz atd.
neinstalovat programy bez certifikátu vydavatele, pokud chtějí admin práva
na programy Microsoftu je nejvíc útočeno, dokumenty Microsoft Office mohou  obsahovat makra, která přes chyby softwaru oblíbeně stahují a instalují  viry (alternativa OpenOffice, LibreOffice atd.)
k ukládání coinů používat HW peneženku jako Leger či Trezor.io s extra frází, Ledger
šifrovat disk (i mobil) jako ochranu proti fyzické krádeži (CipherShed je původní truecrypt s implementovanými doporučeními z jeho bezpečnostního auditu, viz goo.gl/r9qyyf).
Rizika e-mailů a webových stránek
Emaily a e-mailoví klienti
i přílohy, které jsou bezpečnými dokumenty, mohou občas obsahovat  modifikace, které využijí nejnovější bezpečnostní chyby programu, který  je standardně otevírá
klikat na odkazy v e-mailu znamená dostat se potenciálně jinam, než si člověk myslí
odesílatel e-mailu je volně nastavitelný údaj, nic nezaručuje, že uvedený odesílatel, je skutečně ten, kdo e-mail odeslal
přihlašovat se k mailboxu přes SMTP, POP3 nebo IMAP pouze přes šifrované spojení SSL (porty 465, 995 nebo 993):
alternativní emailový klient k Outlooku je Thunderbird
švýcarský mailbox ProtonMail.com  používá end-to-end šifrování při emailování mezi vlastními uživateli,  jinak externí emaily jsou uložené v mailboxu šifrovaně a klíče k nim má  pouze uživatel
Threema je švýcarská placená appka pro end-to-end  šifrované zprávy a hlavně hovory, nikdo nemůže hovor odposlouchávat (Švýcarsko má nejlepší zákony na ochranu soukromí)
Wickr Me je  appka zdarma pro end-to-end šifrovanou komunikaci, která používá několik  vrstev šifrování v komunikačním protokolu a umožňuje expiraci  odeslaného vzkazu (moje username: cryptoinsider)
Hesla, 2FA autentikace  
prozrazení/ukradení hesla k emailu je vstupní brána ke katastrofě
používat stejné heslo všude znamená ho jednoho dne použít někde, kde na to příjemce čeká, aby ho vyzkoušel k přihlášení na všech známých službách 
hesla si rozhodně neukládejte do prohlížeče, např. Trezor má i funkci Password Manageru
na burzu se přihlašujte pouze s tzv. 2FA, resp. dvoufaktorovým ověřením (Google Authenticator apod.), kdo má Trezor, může ho použít jako U2F klíč - je ho nutné  zadávat jen při přihlášení z nového zařízení
dvoufázové ověření  přes SMS není dostatečně bezpečné, protože předpokládá, že SMS je  dostupná jen majiteli telefonu, což tak není (hacknutí twitteru Johna McAfee skrz "únos" jeho tel. čísla na jinou sim kartu to dokládá)
naopak doporučuji vypnout možnost obnovit zapomenuté heslo přes SMS, možnost obnovit heslo k emailu z jiného e-mailu jedině tehdy, pokud druhý e-mail má přihlašování s dvoufázovým ověřením
Webové stránky
hojně se využívají se překlepy v názvu  domén, nebo záměna písmene, které vypadá skoro stejně, nebo je identické, ale z jiné znakové sady (nebo klasika velké I za malé L)
v prohlížeči adresa s https:// znamená, že heslo lze odposlechnout na cestě, https:// je šifrovaný přenos (NSA má ale k dispozici klíče většiny webů, takže  pro ně je provoz na internetu i tak čitelný)
dělají se klony celých webových stránek, které tlačí vlastní agendu, nebo kradou hesla
coiny z burzy jde ukrást nejenom výběrem, ale i tradingem s cizím účtem
k zajištění soukromí při surfování se dá použít opět švýcarské řešení ProtonVPN.com, ale verze zdarma je pomalá (kombinace soukromí a komfort nakonec vždy něco stojí)
pokud se hesla a data z telefonu, počítače, nebo jen prohlížeče zálohují v cloudu třetí strany, nelze mluvit o bezpečnosti, typicky tedy iCloud, Google, OneDrive. MiCloud, Dropbox apod. 
Rizika wifi
nepřipojovat se přes wifi, pouze přímo přes mobilního operátora, nebo kabel
pokud přes wifi, tak určitě ne přes wifi bez hesla
wifi s heslem sice znamená šifrovaný přenos vzduchem mezi zařízením a wifi routerem, ale jsou techniky, jak se tam vlomit a přenos stejně odposlouchávat
spojení přes wifi potenciálně umožňuje, aby byl člověk nasměrován na podvrženou wifi útočníka, který může simulovat  webovou stránku, kam člověk pošle heslo, které skončí u útočníka, ani https spojení potom nic nezajistí, pokud data končí u útočníka
některé wifi routery měly/mají dostupné konfigurační soubory bez hesla, jiné zase ve firmwaru tajně nastaveno heslo od výrobců, které obchází zabezpečení nastavené uživatelem
nejnebezpečnější veřejná wifi jsou na letištích, nákupních centrech a tam, kde je potenciál tisíců lidí
když už domácí wifi router, potom verzi s důrazem na bezpečnost jako Turris Omnia
Shrnutí a doporučení na závěr
na počítači/mobilu s peněženkami a přístupy na burzy ideálně  neinstalovat nic navíc, nemít tam ani e-mail, nenavštěvovat tam na žádné jiné stránky, mít zašifrovaný disk (celý systém) programem CipherShed
zálohy seedů a recovery kódy mít v psané podobě a někde "zazděné", nebo minimálně opět extra šifrované v Steganos LockNote
pokud zálohovat v cloudu, tak jedině v zero-knowledge šifrovaném cloudu typu mega.co.nz, kde k zašifrování dojde ještě před přenosem 
pokud zálohovat na externí disk, pak disk opět šifrovat CipherShed, zálohovat vypalováním na DVD a tedy nešifrovaně je bezpečnostní riziko
mít na paměti, že když se k nám někdo fyzicky vloupá, tak bez šifrování se  dostane k hodně věcem a možná i ke všemuPřijít o krypto je snadné, lupiči jsou všude. Níže popisuji několik oblastí a situací, na které by měl každý držitel kryptoměn myslet, některými se jednoznačně řídit, některé alespoň vést v patrnosti.
Rizika operačních systémů a používaných programů
když Windows, tak mít verzi alespoň 7, 8, 10
mít antivir (zdarma např. Avast, Avira, ...)
vypnout v nastavení síťové karty Klient sítě Microsoft, a Sdílení souborů
programy stahovat alespoň z hlídaných zdrojů typu download.com, stahuj.cz atd.
neinstalovat programy bez certifikátu vydavatele, pokud chtějí admin práva
na programy Microsoftu je nejvíc útočeno, dokumenty Microsoft Office mohou  obsahovat makra, která přes chyby softwaru oblíbeně stahují a instalují  viry (alternativa OpenOffice, LibreOffice atd.)
k ukládání coinů používat HW peneženku jako Leger či Trezor.io s extra frází, Ledger
šifrovat disk (i mobil) jako ochranu proti fyzické krádeži (CipherShed je původní truecrypt s implementovanými doporučeními z jeho bezpečnostního auditu, viz goo.gl/r9qyyf).
Rizika e-mailů a webových stránek
Emaily a e-mailoví klienti
i přílohy, které jsou bezpečnými dokumenty, mohou občas obsahovat  modifikace, které využijí nejnovější bezpečnostní chyby programu, který  je standardně otevírá
klikat na odkazy v e-mailu znamená dostat se potenciálně jinam, než si člověk myslí
odesílatel e-mailu je volně nastavitelný údaj, nic nezaručuje, že uvedený odesílatel, je skutečně ten, kdo e-mail odeslal
přihlašovat se k mailboxu přes SMTP, POP3 nebo IMAP pouze přes šifrované spojení SSL (porty 465, 995 nebo 993):
alternativní emailový klient k Outlooku je Thunderbird
švýcarský mailbox ProtonMail.com  používá end-to-end šifrování při emailování mezi vlastními uživateli,  jinak externí emaily jsou uložené v mailboxu šifrovaně a klíče k nim má  pouze uživatel
Threema je švýcarská placená appka pro end-to-end  šifrované zprávy a hlavně hovory, nikdo nemůže hovor odposlouchávat (Švýcarsko má nejlepší zákony na ochranu soukromí)
Wickr Me je  appka zdarma pro end-to-end šifrovanou komunikaci, která používá několik  vrstev šifrování v komunikačním protokolu a umožňuje expiraci  odeslaného vzkazu (moje username: cryptoinsider)
Hesla, 2FA autentikace  
prozrazení/ukradení hesla k emailu je vstupní brána ke katastrofě
používat stejné heslo všude znamená ho jednoho dne použít někde, kde na to příjemce čeká, aby ho vyzkoušel k přihlášení na všech známých službách 
hesla si rozhodně neukládejte do prohlížeče, např. Trezor má i funkci Password Manageru
na burzu se přihlašujte pouze s tzv. 2FA, resp. dvoufaktorovým ověřením (Google Authenticator apod.), kdo má Trezor, může ho použít jako U2F klíč - je ho nutné  zadávat jen při přihlášení z nového zařízení
dvoufázové ověření  přes SMS není dostatečně bezpečné, protože předpokládá, že SMS je  dostupná jen majiteli telefonu, což tak není (hacknutí twitteru Johna McAfee skrz "únos" jeho tel. čísla na jinou sim kartu to dokládá)
naopak doporučuji vypnout možnost obnovit zapomenuté heslo přes SMS, možnost obnovit heslo k emailu z jiného e-mailu jedině tehdy, pokud druhý e-mail má přihlašování s dvoufázovým ověřením
Webové stránky
hojně se využívají se překlepy v názvu  domén, nebo záměna písmene, které vypadá skoro stejně, nebo je identické, ale z jiné znakové sady (nebo klasika velké I za malé L)
v prohlížeči adresa s https:// znamená, že heslo lze odposlechnout na cestě, https:// je šifrovaný přenos (NSA má ale k dispozici klíče většiny webů, takže  pro ně je provoz na internetu i tak čitelný)
dělají se klony celých webových stránek, které tlačí vlastní agendu, nebo kradou hesla
coiny z burzy jde ukrást nejenom výběrem, ale i tradingem s cizím účtem
k zajištění soukromí při surfování se dá použít opět švýcarské řešení ProtonVPN.com, ale verze zdarma je pomalá (kombinace soukromí a komfort nakonec vždy něco stojí)
pokud se hesla a data z telefonu, počítače, nebo jen prohlížeče zálohují v cloudu třetí strany, nelze mluvit o bezpečnosti, typicky tedy iCloud, Google, OneDrive. MiCloud, Dropbox apod. 
Rizika wifi
nepřipojovat se přes wifi, pouze přímo přes mobilního operátora, nebo kabel
pokud přes wifi, tak určitě ne přes wifi bez hesla
wifi s heslem sice znamená šifrovaný přenos vzduchem mezi zařízením a wifi routerem, ale jsou techniky, jak se tam vlomit a přenos stejně odposlouchávat
spojení přes wifi potenciálně umožňuje, aby byl člověk nasměrován na podvrženou wifi útočníka, který může simulovat  webovou stránku, kam člověk pošle heslo, které skončí u útočníka, ani https spojení potom nic nezajistí, pokud data končí u útočníka
některé wifi routery měly/mají dostupné konfigurační soubory bez hesla, jiné zase ve firmwaru tajně nastaveno heslo od výrobců, které obchází zabezpečení nastavené uživatelem
nejnebezpečnější veřejná wifi jsou na letištích, nákupních centrech a tam, kde je potenciál tisíců lidí
když už domácí wifi router, potom verzi s důrazem na bezpečnost jako Turris Omnia
Shrnutí a doporučení na závěr
na počítači/mobilu s peněženkami a přístupy na burzy ideálně  neinstalovat nic navíc, nemít tam ani e-mail, nenavštěvovat tam na žádné jiné stránky, mít zašifrovaný disk (celý systém) programem CipherShed
zálohy seedů a recovery kódy mít v psané podobě a někde "zazděné", nebo minimálně opět extra šifrované v Steganos LockNote
pokud zálohovat v cloudu, tak jedině v zero-knowledge šifrovaném cloudu typu mega.co.nz, kde k zašifrování dojde ještě před přenosem 
pokud zálohovat na externí disk, pak disk opět šifrovat CipherShed, zálohovat vypalováním na DVD a tedy nešifrovaně je bezpečnostní riziko
mít na paměti, že když se k nám někdo fyzicky vloupá, tak bez šifrování se  dostane k hodně věcem a možná i ke všemuPřijít o krypto je snadné, lupiči jsou všude. Níže popisuji několik oblastí a situací, na které by měl každý držitel kryptoměn myslet, některými se jednoznačně řídit, některé alespoň vést v patrnosti.
Rizika operačních systémů a používaných programů
když Windows, tak mít verzi alespoň 7, 8, 10
mít antivir (zdarma např. Avast, Avira, ...)
vypnout v nastavení síťové karty Klient sítě Microsoft, a Sdílení souborů
programy stahovat alespoň z hlídaných zdrojů typu download.com, stahuj.cz atd.
neinstalovat programy bez certifikátu vydavatele, pokud chtějí admin práva
na programy Microsoftu je nejvíc útočeno, dokumenty Microsoft Office mohou  obsahovat makra, která přes chyby softwaru oblíbeně stahují a instalují  viry (alternativa OpenOffice, LibreOffice atd.)
k ukládání coinů používat HW peneženku jako Leger či Trezor.io s extra frází, Ledger
šifrovat disk (i mobil) jako ochranu proti fyzické krádeži (CipherShed je původní truecrypt s implementovanými doporučeními z jeho bezpečnostního auditu, viz goo.gl/r9qyyf).
Rizika e-mailů a webových stránek
Emaily a e-mailoví klienti
i přílohy, které jsou bezpečnými dokumenty, mohou občas obsahovat  modifikace, které využijí nejnovější bezpečnostní chyby programu, který  je standardně otevírá
klikat na odkazy v e-mailu znamená dostat se potenciálně jinam, než si člověk myslí
odesílatel e-mailu je volně nastavitelný údaj, nic nezaručuje, že uvedený odesílatel, je skutečně ten, kdo e-mail odeslal
přihlašovat se k mailboxu přes SMTP, POP3 nebo IMAP pouze přes šifrované spojení SSL (porty 465, 995 nebo 993):
alternativní emailový klient k Outlooku je Thunderbird
švýcarský mailbox ProtonMail.com  používá end-to-end šifrování při emailování mezi vlastními uživateli,  jinak externí emaily jsou uložené v mailboxu šifrovaně a klíče k nim má  pouze uživatel
Threema je švýcarská placená appka pro end-to-end  šifrované zprávy a hlavně hovory, nikdo nemůže hovor odposlouchávat (Švýcarsko má nejlepší zákony na ochranu soukromí)
Wickr Me je  appka zdarma pro end-to-end šifrovanou komunikaci, která používá několik  vrstev šifrování v komunikačním protokolu a umožňuje expiraci  odeslaného vzkazu (moje username: cryptoinsider)
Hesla, 2FA autentikace  
prozrazení/ukradení hesla k emailu je vstupní brána ke katastrofě
používat stejné heslo všude znamená ho jednoho dne použít někde, kde na to příjemce čeká, aby ho vyzkoušel k přihlášení na všech známých službách 
hesla si rozhodně neukládejte do prohlížeče, např. Trezor má i funkci Password Manageru
na burzu se přihlašujte pouze s tzv. 2FA, resp. dvoufaktorovým ověřením (Google Authenticator apod.), kdo má Trezor, může ho použít jako U2F klíč - je ho nutné  zadávat jen při přihlášení z nového zařízení
dvoufázové ověření  přes SMS není dostatečně bezpečné, protože předpokládá, že SMS je  dostupná jen majiteli telefonu, což tak není (hacknutí twitteru Johna McAfee skrz "únos" jeho tel. čísla na jinou sim kartu to dokládá)
naopak doporučuji vypnout možnost obnovit zapomenuté heslo přes SMS, možnost obnovit heslo k emailu z jiného e-mailu jedině tehdy, pokud druhý e-mail má přihlašování s dvoufázovým ověřením
Webové stránky
hojně se využívají se překlepy v názvu  domén, nebo záměna písmene, které vypadá skoro stejně, nebo je identické, ale z jiné znakové sady (nebo klasika velké I za malé L)
v prohlížeči adresa s https:// znamená, že heslo lze odposlechnout na cestě, https:// je šifrovaný přenos (NSA má ale k dispozici klíče většiny webů, takže  pro ně je provoz na internetu i tak čitelný)
dělají se klony celých webových stránek, které tlačí vlastní agendu, nebo kradou hesla
coiny z burzy jde ukrást nejenom výběrem, ale i tradingem s cizím účtem
k zajištění soukromí při surfování se dá použít opět švýcarské řešení ProtonVPN.com, ale verze zdarma je pomalá (kombinace soukromí a komfort nakonec vždy něco stojí)
pokud se hesla a data z telefonu, počítače, nebo jen prohlížeče zálohují v cloudu třetí strany, nelze mluvit o bezpečnosti, typicky tedy iCloud, Google, OneDrive. MiCloud, Dropbox apod. 
Rizika wifi
nepřipojovat se přes wifi, pouze přímo přes mobilního operátora, nebo kabel
pokud přes wifi, tak určitě ne přes wifi bez hesla
wifi s heslem sice znamená šifrovaný přenos vzduchem mezi zařízením a wifi routerem, ale jsou techniky, jak se tam vlomit a přenos stejně odposlouchávat
spojení přes wifi potenciálně umožňuje, aby byl člověk nasměrován na podvrženou wifi útočníka, který může simulovat  webovou stránku, kam člověk pošle heslo, které skončí u útočníka, ani https spojení potom nic nezajistí, pokud data končí u útočníka
některé wifi routery měly/mají dostupné konfigurační soubory bez hesla, jiné zase ve firmwaru tajně nastaveno heslo od výrobců, které obchází zabezpečení nastavené uživatelem
nejnebezpečnější veřejná wifi jsou na letištích, nákupních centrech a tam, kde je potenciál tisíců lidí
když už domácí wifi router, potom verzi s důrazem na bezpečnost jako Turris Omnia
Shrnutí a doporučení na závěr
na počítači/mobilu s peněženkami a přístupy na burzy ideálně  neinstalovat nic navíc, nemít tam ani e-mail, nenavštěvovat tam na žádné jiné stránky, mít zašifrovaný disk (celý systém) programem CipherShed
zálohy seedů a recovery kódy mít v psané podobě a někde "zazděné", nebo minimálně opět extra šifrované v Steganos LockNote
pokud zálohovat v cloudu, tak jedině v zero-knowledge šifrovaném cloudu typu mega.co.nz, kde k zašifrování dojde ještě před přenosem 
pokud zálohovat na externí disk, pak disk opět šifrovat CipherShed, zálohovat vypalováním na DVD a tedy nešifrovaně je bezpečnostní riziko
mít na paměti, že když se k nám někdo fyzicky vloupá, tak bez šifrování se  dostane k hodně věcem a možná i ke všemu