Autore: Jamson Lopp | Pubblicazione originale: due anni fa | Tradotto da: 31febbraio | Milano Trustless | Link: The dos and don'ts of bitcoin key management
Bitcoin offre agli utenti un livello incredibilmente alto di sovranità sul proprio denaro. Forse avete sentito l'espressione "be your own bank" (sii la tua banca), che descrive bene il potere che bitcoin permette di esercitare ai suoi possessori. Il rovescio della medaglia è che essere la propria banca comporta molte responsabilità. Le stesse caratteristiche che rendono bitcoin così prezioso (assenza di autorizzazioni, resistenza alla censura e alla confisca, ecc.) lo rendono attraente per soggetti malevoli. Questi malintenzionati hanno escogitato un'ampia gamma di trappole per ingannare gli utenti di bitcoin e indurli a separarsi dal proprio denaro, rendendo la gestione delle chiavi più difficile da usare in sicurezza. Internet è un luogo pericoloso, ma abbiamo gli strumenti per proteggerci!
Prendete il controllo
Se non si entra in possesso delle proprie chiavi private non c'è modo di sapere se sono sicure. Qualsiasi terza parte fidata, come un exchange, è una scatola nera per voi.
Se non vi preoccupate di padroneggiare i vostri bitcoin, qualcun altro lo farà senza di voi.
- Jameson Lopp (@lopp) 17 maggio 2020
Quando affidate le vostre chiavi a qualcun altro, potreste pensare di liberarvi dei rischi legati alla sicurezza delle chiavi private. Non è così: tutte le minacce esistono ancora, ma ora non avete più il controllo sull'adozione di misure per impedirle. Inoltre, il vostro modello di minaccia si espande perché ora ci sono ulteriori rischi per il vostro denaro:
- Collusione contro di voi da parte del depositario
- Attacchi interni all'organizzazione del depositario
- Attacchi esterni incentivati dal fatto che il depositario detiene i fondi di molte persone.
Il resto di questo post può sembrare scoraggiante a causa della sua lunghezza, ma la conoscenza è potere!
Proteggetevi
Praticate una forte igiene informatica su tutti i vostri account online. Partite dal presupposto che i vostri nomi utente e le vostre password per ogni servizio verranno divulgati. Utilizzate un gestore di password (preferibilmente uno protetto dall'autenticazione a 2 fattori (2FA), hardware, come Yubikey), per generare password uniche per ogni servizio. Allo stesso modo, aggiungete la 2FA a tutti gli account online che la supportano, preferibilmente quella basata su hardware. Se un servizio supporta solo TOTP, è possibile proteggere i segreti su hardware (uno Yubikey) tramite Yubico Authenticator.
Se non conoscete bene le migliori pratiche di sicurezza informatica e operativa, vi consiglio di leggere Security Guide For Beginners di Jolly Roger.
Comprendete i compromessi tra convenienza e sicurezza quando si tratta delle vostre chiavi private. Un hot wallet a single sig sul telefono è ottimo per "portare in giro" il denaro da spendere, ma non dovrebbe essere usato per conservare i risparmi di una vita. D'altro canto, una configurazione multisig geograficamente distribuita dovrebbe essere sufficientemente scomoda da essere utilizzata solo per spese mensili o annuali.
Utilizzare dispositivi hardware dedicati per memorizzare le chiavi private. Verificate gli indirizzi di invio su dispositivi hardware dedicati; non fidatevi degli indirizzi visualizzati nei browser o nei software desktop.
Assicuratevi di controllare l'intero indirizzo di destinazione durante l'invio, non solo i primi caratteri. Esistono molti tipi di malware che tentano di scambiare l'indirizzo di destinazione con uno simile di proprietà degli autori del malware.
Sviluppare un piano solido per il ripristino da scenari disastrosi. Questo potrebbe comportare uno schema di backup delle seed phrase per il quale esistono diverse guide di archiviazione "a freddo". Non ci piace che gli utenti debbano gestire i dati delle seed phrase; spieghiamo perché in questo post.
Se scegliete di archiviare i backup dei seed su dispositivi metallici, assicuratevi di acquistarne uno che sia stato sottoposto a stress test e che abbia dimostrato di sopravvivere ad ambienti estremi!
Verificate che il software che installate sia autentico e non un sosia dannoso. Purtroppo la verificabilità è diversa per ogni piattaforma. Per i software desktop è possibile verificare le firme GPG se si ha dimestichezza con l'uso della riga di comando. Le applicazioni mobili sono generalmente firmate crittograficamente, ma la firma viene verificata solo dall'app store. Per evitare di installare un'applicazione mobile falsa visitate il sito web dell'azienda e fate clic su un link per installare l'applicazione mobile dal loro sito.
Non prestarsi a diventare vittima di phishing
Non digitate il vostro seed in nessun computer collegato a Internet! Soprattutto non in un browser web! Ora che molti utenti di bitcoin proteggono le loro chiavi con dispositivi hardware dedicati, gli aggressori si stanno dedicando alla più grande debolezza rimasta: l'operatore umano.
Il Typosquatting è un vettore di attacco meno conosciuto, in cui i malintenzionati acquistano domini che sono quasi delle storpiature di comuni servizi web bitcoin. È consigliabile visitare i siti web finanziari solo attraverso i segnalibri per evitare di finire accidentalmente su un sito dannoso di un typosquatter.
Fatto curioso appreso durante la ricerca: l'exchange Bitonic ha registrato http://bitadress.org/ per prevenire il typosquatting.
Simile al typosquatting è un problema in cui i siti dannosi pagano per la pubblicità sui motori di ricerca, facendo così salire i loro siti prima dei normali risultati di ricerca. Questo è un altro motivo per inserire nei preferiti i siti che si utilizzano piuttosto che utilizzare un motore di ricerca per visitarli; si potrebbe infatti cliccare accidentalmente su un link dannoso.
Non installare malware
Evitate di installare molte estensioni del browser; possono facilmente essere dannose e vedere tutte le vostre attività di navigazione.
Non utilizzate wallet che sono estensioni del browser; potrebbero essere delle vere e proprie truffe.
Non eseguite software wallet su un computer desktop su cui sono installati molti altri software. Aumentate il rischio che altri software vengano compromessi attraverso l'iniezione di funzioni aggiuntive che installano malware per gli clipboard e trojan che scansionano il computer alla ricerca di chiavi private.
Non cadete vittima di un ransomware che potrebbe dirottare il vostro disco rigido. Installate solo software autentico e assicuratevi di eseguire regolarmente il backup del disco rigido in modo da poter recuperare i dati in caso di perdita dell'accesso ai vostri dati.
Non utilizzate generatori di codici QR basati sul web, soprattutto non "generatori di codici QR bitcoin", poiché potrebbero sostituire il vostro indirizzo con il proprio.
Questo sito web afferma di trasformare il vostro indirizzo in un codice QR, ma in realtà produce solo il proprio indirizzo, indipendentemente da ciò che inserite. Bel tentativo, truffatori
-Bitcoin
Se possibile, verificate l'autenticità di qualsiasi software che installate. Ciò significa controllare gli hash dei file e le firme GPG di tutti i file binari scaricati. Non installate software per conservare le vostre chiavi private se non sapete verificare cosa il software stia facendo. Questo include cose come l'esecuzione di immagini AWS gestite da terzi.
Nodo Bitcoin Core violato
-Bitcoin
Non creare vulnerabilità tecniche
La maggior parte degli utenti non dovrebbe archiviare i backup delle chiavi private in formato digitale, soprattutto non in un servizio online. Sebbene sia possibile creare backup digitali sicuri, è necessario essere un utente avanzato per farlo in modo sicuro.
Sconsigliamo l'uso di wallet basati su browser, anche se si tratta solo di un'interfaccia browser per un wallet hardware; la superficie di attacco dei browser è enorme.
Allo stesso modo, se si utilizza il browser Tor per accedere a un servizio web che visualizza gli indirizzi bitcoin per i depositi, è bene tenere presente che i relay Tor maligni potrebbero scambiare gli indirizzi con i propri.
Non utilizzate i brain wallet: gli esseri umani sono pessimi nel generare entropia! Se si inviano fondi a un brain wallet composto da parole inglesi comuni, è probabile che vengano rubati in pochi secondi.
Non utilizzate la Condivisione segreta di Shamir; ha molti aspetti negativi che analizzo in dettaglio qui:
Non dividete manualmente i vostri seed; questo riduce drasticamente la loro sicurezza contro un attacco brute force.
Non siate creativi e non cercate di offuscare i backup dei seed. In questo modo si rischia di ridurre la sicurezza e di perdere i dati. In questo post ho approfondito un esempio:
In modo analogo, non preoccupatevi di randomizzare le seed phrase backuppate; a seconda della loro lunghezza, sarebbe banale individuarla e forzarla, dato che le seed phrase hanno un checksum incorporato. Ad esempio, una frase di 12 parole ha solo 500 milioni di combinazioni, di cui forse 50.000 sarebbero valide; un aggressore sofisticato sarebbe in grado di controllarle tutte in pochi minuti, mettendo a rischio i fondi.
Non utilizzate wallet di carta. È davvero ostico utilizzarli in modo sicuro ed è facile perdere accidentalmente i fondi se non si conoscono tutti i rischi.
Un tema comune che abbiamo riscontrato con i nuovi clienti Casa è che hanno suddiviso i loro fondi su una serie di dispositivi hardware single sig o paper wallet. Se da un lato questo riduce il rischio di perdite catastrofiche, dall'altro aumenta il rischio di perdite parziali. Non crediate che distribuire le vostre chiavi su molti singoli punti di rischio sia sicuro.
Non fatevi truffare
Non credete ai messaggi scareware/blackmail, anche se includono il vostro nome utente e la password di vari servizi: questi sono presi da fughe di dati che vengono venduti sul dark web. Al momento in cui scriviamo, l'ultima variante di questi messaggi è rappresentata dalle "truffe di sextortion" che affermano di aver installato un malware sul vostro computer e di aver registrato immagini imbarazzanti di voi [intenti in compromettenti pratiche intime, n.d.t.].
Non fatevi ingannare dalle truffe tipo "raddoppia i tuoi bitcoin". Nessuno prenderà i vostri bitcoin e poi ve ne restituirà ancora di più per il piacere di tenere i vostri soldi per una manciata di minuti. Il valore temporale del denaro non è così alto.
No, Bill Gates / Elon Musk / Jack Dorsey / la vostra celebrità preferita non stanno organizzando un'offerta di bitcoin. Se inviate bitcoin a un indirizzo che promette di inviarveli maggiorati, vi garantisco che riceverete indietro 0 BTC.
- Jameson Lopp (@lopp) 24 aprile 2020
Non cercate di raccogliere gli airdrops; potrebbero essere scam. Alcuni potrebbero cercare di carpire le vostre credenziali per i wallet/servizi online. Le truffe più sofisticate sono costituite da malware che rubano i bitcoin. L'unico modo sicuro per raccogliere i forkcoin scaricati da un airdrop, è dopo aver spostato i bitcoin in un portafoglio completamente nuovo.
Evitate la tentazione di inviare bitcoin a siti web di mixing; la maggior parte sono truffe. Il mix può essere effettuato, in modo sicuro, solo utilizzando il proprio software, in modo da mantenere il controllo delle proprie chiavi private. JoinMarket, Wasabi e Whirlpool sono alcuni di questi esempi.
Recentemente ho iniziato a fare trading e a inviare Bitcoin, senza fare ricerche ho deciso di provare a inviare BTC a un mixer e (nonostante 151 conferme) il mixer non ha ancora visualizzato i fondi che ho inviato
-Bitcoin
Non investite nelle Initial Coin Offerings senza aver svolto un'accurata attività di due diligence. Una ricerca di Bloomberg ha concluso che l'80% delle ICO si sono rivelate fraudolente.
Allo stesso modo, non cadete vittime dell'avidità e non partecipate a gruppi "pump-and-dump". Il risultato più probabile di questa attività è che alcuni addetti ai lavori finiscano per trarre profitto e voi per perdere il vostro denaro.
Non acquistate portafogli hardware da rivenditori, solo direttamente dai produttori . Allo stesso modo, non inizializzate i wallet hardware con frasi seed fornite da terzi.
Non fatevi hackerare
Non installate software di accesso remoto come Teamviewer su nessuno dei vostri computer.
Sono distrutto, sono stato hackerato e ho perso 40,5 BTC. Per favore, aiutatemi a trovare il responsabile
- Bitcoin
Non rendetevi un bersaglio
Non rendetevi un bersaglio parlando dei vostri bitcoin. Ad esempio, Cody ha pubblicato questo tweet su un amico il cui conto Coinbase è stato violato. Purtroppo ha fatto trapelare l'informazione che anche lui aveva un conto Coinbase finanziato.
Questo incidente con @adachis è piuttosto preoccupante per @coinbase. Ho tutte le mie monete lì, sono preoccupato dalla loro mancanza di trasparenza e di risposta pic.twitter.com/5nqrXjhzxu
- codyb (@codybrown) 21 maggio 2017
Nel giro di pochi giorni, gli è stata scambiata la SIM e il suo conto Coinbase è stato prosciugato in maniera analoga.
Per quanto riguarda la sicurezza del telefono, evitate di collegare il vostro numero di telefono a qualsiasi account online; un utente malintenzionato potrebbe scambiare il vostro numero di telefono con una SIM e usarlo per entrare in quegli account tramite la reimpostazione della password. Si tratta di un fenomeno talmente comune che non fa più ridere; quando lavoravo a BitGo ci siamo accorti presto di questa tendenza e abbiamo rimosso la funzionalità SMS dalla nostra piattaforma. Eppure, 3 anni dopo, un ingegnere di BitGo è stato vittima di questa stessa vulnerabilità (con il suo conto Coinbase).
La sicurezza è un contesto dinamico
Le battaglie tra aggressori e difensori cambiano costantemente, in quanto innovano nuove tattiche e costringono la controparte a reagire.
Se vi sentite sopraffatti dalla portata delle minacce ai vostri bitcoin, non temete: sono state progettate soluzioni di auto-custodiaper mitigarle.
(ad es.)
Se desiderate una consulenza sulla vostra configurazione di sicurezza per la custodia di bitcoin, potete iniziare dalle fonti che ha suggerito Jameson Lopp in questo articolo, oppure contattare qui.
Rimanete al sicuro
Volete altri consigli sulla sicurezza dei vostri fondi in bitcoin? Potete trovare da soli aggiornamenti periodici sulle novità e gli sviluppi che hanno un impatto sulla vostra sicurezza personale e sulla privacy, seguendo personalmente le fonti che si occupano di questi temi. [n.d.t.]
