Kryptovaluta & sikkerhet

Hardware wallets

Hardware wallets er dedikerte offline-enheter som holder dine private keys. Ledger Nano og Trezor er to eksempler og de mest brukte.

Har tidligere laget en post som angår de forskjellige hardware mulighetene som er der ute samt hvilken software og kryptovaluta de forskjellige støtter.

Les artikkelen her!

Unboxing av Trezor

 

Software wallets

Bruker du software wallets som Mist, bitcoin core wallet etc må du alltid huske å kryptere lommeboken. Altså sett et passord på lommeboken slik at ingen uvedkommende får tilgang til den.

Ha også backup liggende i form av et seed eller en wallet fil på et offline medium om datamaskinen din skulle krasje. Vil anbefale å ha disse backupene liggende på en trygg plass langt unna din datamaskin, grunnen til dette er mange så nevner noen få.

  • Brann.
  • Innbrudd.
  • naturkatastrofer etc

 

Lommebøker og exchanges

Det går igjen at de som har holdt på med kryptovaluta i en del år anbefaler andre å ha alle verdier offline med mindre man daytrader.

Skal du trade mye anbefales det at du har både såkalte hot wallets og cold wallets.

En hot wallet er en lommebok som er aktivt i bruk.

En cold wallet er en lommebok du kan anse som en sparekonto, disse midlene skal ikke online og røres nesten aldri.

Cold wallets er viktig, og disse må behandles riktig. Hardware lommebøker er den perfekte cold wallet siden det er offline medium. Bruk ikke software wallets som en cold wallet, software wallets kan sammenlignes med å ha en lommebok i baklommen full av kontanter.

Altså det anbefales IKKE å har penger stående hos Kraken, Coinbase, Blockchain.info, Bittrex osv. Disse aktørene er tredjeparter, altså du har ikke full kontroll over egne verdier. Exchanges kan være der en dag for så å forsvinne over natten.
Mt.Gox er et godt eksempel på dette: Mt. Gox

Vi har også sett eksempler hvor midler på Coinbase har blitt stjålet selv om 2fa er skrudd på, dette kan skyldes både hacking og malware.

Noen exchanges som Bittrex tilbyr også et ekstra sikkerhetslag ved whitelisting av IP og adresser. Dette øker sikkerheten, men man må ikke stole blindt på slike tiltak.

Du kan lese mer om whitelisting på bittrex sin support side.

 

2fa (To-Faktor AUTENTISERING)

De fleste exchanges, e-post leverandører og andre seriøse aktører tilbyr to-faktor autentisering som et ekstra sikkerhetslag for brukeren.
Dette ofte i form av engangs-koder slik som du har på den gode gamle kodebrikken i nettbanken, her finnet det flere tilbydere men jeg vil alltid anbefale googles 2FA applikasjon.

Denne er helt offline, den kommuniserer altså ikke ut. Her er det viktig å ha en backup av koden/QR-koden slik at du har backup om du skulle miste mobiltelefonen din eller skal flytte alt over til en ny enhet.

2FA via sms har vist seg å være en farlig løsning siden man kan “viderekoble” telefonnummeret relativt lett ved å ta en telefon til operatør.

Her er en god artikkel på hvorfor man burde unngå sms som en løsning.

PhisHing

Phishing, på norsk også kalt nettfiske eller phiske, er en betegnelse på digital snoking eller «fisking» etter sensitiv informasjon, som passord eller kredittkortnummer. Uttrykket kommer fra engelsk fishing, der f-en er erstattet med «ph», som er vanlig hackersjargong. – Wiki

Om du følger personer som driver med info sec eller lignende på twitter vil du nok se noen ord som går igjen fra de fleste av dem.

“People can’t be protected from them self, people are the weakest link when it comes to security.”

De fleste av oss har nok opplevd å få til-sendt spam mail som ser noenlunde ekte ut ved første øyekast, har sett flere skjermdumper på kryptovaluta grupper hvor noen spør “Er denne e-posten ekte?”

Hovedregelen er at du aldri skal trykke på linker verken på e-post eller sms fra avsendere du ikke stoler på, exchanges og andre aktører vil aldri spørre om informasjon via e-post.

Behandle e-posten din som en lommebok også, sikre den så godt du bare kan. Blir e-posten din hacket og den er koblet mot andre e-poster, exchanges og lignende vil du få store problemer.

ALLTID bokmerk linker eller skriv dem inn manuelt i adressefeltet.

Slack som er en chatte applikasjon ofte brukt av start-ups for å kommunisere med investorer og likesinnede har vært under sterkt angrep de siste månedene av boter og andre ondsinnede aktører, aldri klikk på lenker…ha det som en hovedregel og du kommer til å være mye sikrere.

 

Malware

 

Malware kommer i mange former og fra mange kilder, vi har den siste tiden sett mer sofistikerte angrep rettet mot kryptovaluta brukere.

En ny type malware som har sneket seg inn den siste tiden endrer mottaks-adressen  når du copy/paster en Bitcoin/Ethereum adresse.

Alltid dobbelsjekk at iallefall de 3 første og de 3 siste sifrene/bokstavene stemmer med adressen du skal sende til.

Kildene til denne skadevaren kan være så mangt så det er viktig å ta forehåndsregler.

Jeg har selv minet en del og laster da ned mange forskjellige lommebøker for mange forskjellige nye alternative kryptovaluta.

Det har vært kjent i flere år at ikke alle har rent mel i posen, har selv lastet ned en tilsynelatende trygg lommebok som har vist seg å inneholder en trojaner med en keylogger.
Måten du kan sikre deg på her er å kjøre slike ting i en såkalt “sandbox”, et virtuelt og lukket miljø som kjører i en egen instans på datamaskinen.

Her er en god artikkel som tar for seg forskjellige sandkasser som det heter på godt norsk: Testing software in sandboxes.  

Jeg bruker selv Oracle’s virtualbox og anbefaler alle å kjøre filene i slike miljøer istedenfor å kjøre dem direkte på din datamaskin.
Du kan da også lagre “diskene” på minnebrikker slikt at wallet filene dine ligger trygt tilgjengelig på en minnepenn.

Anti-malware software som anbefales på siden av standard antivirus er:

Malwarebytes

BitDefender

Kaspersky Internet Security

 

Leave a Reply

Your email address will not be published. Required fields are marked *