(kaynaklar: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook)

Giriş

Öncelikle bu el kitabını bulduğunuz için sizi tebrik ederiz! Kim olursanız olun, bir kripto para birimi sahibiyseniz veya gelecekte kripto dünyasına atlamak istiyorsanız bu el kitabı size çok yardımcı olacaktır. Bu el kitabını dikkatle okumalı ve öğretilerini gerçek hayatta uygulamalısınız.

Ayrıca, bu el kitabını tamamen anlamak için bazı arka plan bilgilerine ihtiyaç vardır. Ancak lütfen endişelenmeyin. Yeni başlayanlara gelince, aşılabilecek bilgi engellerinden korkmayın. Anlamadığınız bir şeyle karşılaşırsanız ve daha fazlasını keşfetmeniz gerekiyorsa Google'ı şiddetle tavsiye ederiz. Ayrıca bir güvenlik kuralını akılda tutmak önemlidir: Şüpheci olun! Web'de hangi bilgileri görürseniz görün, çapraz referans için her zaman en az iki kaynak aramalısınız.

Tekrar ediyorum, bu el kitabında bahsedilen bilgiler de dahil olmak üzere her zaman şüpheci olun 🙂.

Blockchain, üretim ilişkilerinde değişime yol açan, güven sorununu bir nebze de olsa çözen harika bir buluştur. Özellikle blockchain, merkezileşmeye ve üçüncü taraflara ihtiyaç duymadan, değişmezlik, kararlaştırıldığı şekilde yürütme ve reddedilmenin önlenmesi gibi birçok “güven” senaryosu yaratır. Ancak gerçek çok acımasızdır. Blockchain hakkında pek çok yanlış anlaşılma var ve kötü adamlar bu yanlış anlaşılmaları bu boşluktan yararlanmak ve insanlardan para çalmak için kullanacak ve bu da çok fazla mali kayba neden olacak. Bugün kripto dünyası zaten karanlık bir ormana dönüştü.

Blockchain karanlık ormanında hayatta kalmak için lütfen aşağıdaki iki güvenlik kuralını unutmayın.

1. Sıfır Güven: Basitleştirmek gerekirse, şüpheci kalın ve daima öyle kalın.
2. Sürekli Güvenlik Doğrulaması: Bir şeye güvenebilmek için şüphe duyduğunuz şeyi doğrulamanız ve doğrulamayı alışkanlık haline getirmeniz gerekir.

Not: Yukarıdaki iki güvenlik kuralı bu el kitabının temel ilkeleridir ve bu el kitabında bahsedilen diğer tüm güvenlik ilkeleri bunlardan türetilmiştir.

Tamam, tanıtımımız bu kadar. Bir diyagramla başlayalım ve hangi risklerle karşılaşacağımızı ve bunlarla nasıl başa çıkmamız gerektiğini görmek için bu karanlık ormanı inceleyelim.

Bir Diyagram

El kitabının geri kalanına daha yakından bakmadan önce bu şemaya göz atabilirsiniz. Her şey, üç ana süreçten oluşan bu dünyadaki (buna ne ad vermek isterseniz isteyin: blockchain, kripto para birimi veya Web3) temel faaliyetlerle ilgilidir: bir cüzdan oluşturmak, bir cüzdanı yedeklemek ve bir cüzdan kullanmak.

Bu üç süreci takip edelim ve her birini analiz edelim.

Cüzdan Oluştur

Cüzdanın çekirdeği özel anahtardır (veya tohum cümlesidir).

Özel anahtarın nasıl göründüğü aşağıda açıklanmıştır:

0xa164d4767469de4faf09793ceea07d5a2f5d3cef7f6a9658916c581829ff5584

Ek olarak, tohum cümlesi şu şekilde görünür:

zalim hafta sonu başak noktası masum baş döndürücü uzaylı kullanımı uyandırmak yanlış ayarlamak

Not: Burada örnek olarak Ethereum'u kullanıyoruz. Lütfen özel anahtarların/tohum cümlesinin daha fazla ayrıntısını kendiniz kontrol edin.

Özel anahtar sizin kimliğinizdir. Özel anahtarın kaybolması/çalınması durumunda kimliğinizi kaybetmişsiniz demektir. Pek çok iyi bilinen cüzdan uygulaması vardır ve bu el kitabı bunların hepsini kapsamayacaktır.

Ancak bazı spesifik cüzdanlardan bahsedeceğim. Lütfen burada bahsedilen cüzdanlara bir dereceye kadar güvenilebileceğini unutmayın. Ancak kullanım sırasında beklenen veya beklenmeyen herhangi bir güvenlik sorunu veya riski olmayacağını garanti edemem (Daha fazlasını tekrarlamayacağım. Lütfen önsözde bahsedilen iki ana güvenlik kuralını her zaman aklınızda bulundurun)

Uygulamaya göre sınıflandırılan PC cüzdanları, tarayıcı uzantısı cüzdanları, mobil cüzdanlar, donanım cüzdanları ve web cüzdanları vardır. İnternet bağlantısı açısından temel olarak soğuk cüzdanlar ve sıcak cüzdanlar olarak ikiye ayrılabilirler. Kripto dünyasına atlamadan önce öncelikle cüzdanın amacını düşünmeliyiz. Amaç sadece hangi cüzdanı kullanmamız gerektiğini değil aynı zamanda cüzdanı nasıl kullanacağımızı da belirler.

Ne tür bir cüzdan seçerseniz seçin, kesin olan bir şey var: Bu dünyada yeterince deneyime sahip olduktan sonra, bir cüzdan yeterli değildir.

Burada bir başka güvenlik ilkesini de aklımızda tutmalıyız: izolasyon, yani tüm yumurtalarınızı aynı sepete koymamak. Cüzdan ne kadar sık kullanılırsa o kadar riskli olur. Unutmayın: Yeni bir şey denerken öncelikle ayrı bir cüzdan hazırlayın ve az miktarda parayla bir süre deneyin. Benim gibi bir kripto emektarı için bile ateşle oynarsanız daha kolay yanarsınız.

İndirmek

Bu kulağa basit geliyor ama aslında hiç de kolay değil. Şöyle nedenleri vardır:

1. Pek çok kişi gerçek resmi web sitesini veya doğru uygulama pazarını bulamıyor ve sonunda sahte bir cüzdan kuruyor.
2. Birçok kişi, indirilen uygulamanın tahrif edilip edilmediğini nasıl belirleyeceğini bilmiyor.

Bu nedenle birçok insan için blockchain dünyasına girmeden önce cüzdanları zaten boştur.

Yukarıdaki ilk sorunu çözmek için doğru resmi web sitesini bulmaya yönelik bazı teknikler vardır:

• Google'ı kullanmak
• CoinMarketCap gibi tanınmış resmi web sitelerini kullanarak
• güvenilen kişilere ve arkadaşlara sormak

Bu farklı kaynaklardan elde edilen bilgilere çapraz referans verebilirsiniz ve sonuçta tek bir gerçek vardır :) Tebrikler, doğru resmi web sitesini buldunuz.

Daha sonra uygulamayı indirip yüklemeniz gerekiyor. Bu bir PC cüzdanı ise, resmi web sitesinden indirdikten sonra kendiniz yüklemeniz gerekir. Kurulumdan önce bağlantının kurcalanıp değiştirilmediğini doğrulamanız önemle tavsiye edilir. Bu doğrulama, kaynak kodunun tamamen değiştirildiği durumları (içeriden dolandırıcılık, dahili bilgisayar korsanlığı veya resmi web sitesinin saldırıya uğraması vb. nedeniyle) engellemese de, kaynak kodun kısmen tahrif edilmesi gibi durumları önleyebilir, ortadaki adam saldırısı vb.

Bir dosyanın tahrif edilip edilmediğini doğrulamanın yöntemi dosya tutarlılığı kontrolüdür. Genellikle iki yol vardır:

• Hash kontrolleri: MD5, SHA256 vb. gibi. MD5 çoğu durumda çalışır, ancak yine de küçük bir karma çarpışma riski vardır, bu nedenle genellikle yeterince güvenli olan SHA256'yı seçeriz.
• GPG imza doğrulaması: Bu yöntem de çok popüler. GPG araçlarına, komutlarına ve yöntemlerine hakim olmanız önemle tavsiye edilir. Bu yöntem yeni başlayanlar için biraz zor olsa da alıştığınızda çok faydalı olduğunu göreceksiniz.

Ancak kripto dünyasında doğrulama sağlayan çok fazla proje yok. Yani birini bulmak büyük şans. Örneğin burada Sparrow Wallet adında bir bitcoin cüzdanı var. İndirme sayfasında "Sürümün Doğrulanması" yazıyor, bu gerçekten etkileyici ve yukarıda bahsedilen her iki yöntem için de net yönergeler var, bu nedenle referans olarak kullanabilirsiniz:

https://sparrowwallet.com/download/

İndirme sayfasında iki GPG aracından bahsediliyordu:

• MacOS için GPG Suite.
• Gpg4win, Windows için.

Dikkat ederseniz, her iki GPG aracının indirme sayfalarında her iki yöntemin tutarlılığının nasıl kontrol edileceğine dair bazı talimatlar bulacaksınız. Ancak adım adım bir rehber yok, yani kendi başınıza öğrenmeniz ve pratik yapmanız gerekiyor :)

Bir tarayıcı uzantısı cüzdanı iseMetaMask gibi uygulamalarda dikkat etmeniz gereken tek şey Chrome web mağazasındaki indirme sayısı ve derecelendirmedir. Örneğin MetaMask'ın 10 milyondan fazla indirmesi ve 2.000'den fazla derecelendirmesi var (ancak genel derecelendirme yüksek değil). Bazı kişiler indirme sayısının ve derecelendirmelerin şişirilmiş olabileceğini düşünebilir. Gerçeği söylemek gerekirse bu kadar büyük bir rakamın sahtesini yapmak çok zordur.

Mobil cüzdan tarayıcı uzantısı cüzdanına benzer. Ancak App Store'un her bölge için farklı versiyonlarının bulunduğunu da belirtelim. Kripto para Çin Anakarasında yasaklanmıştır, dolayısıyla cüzdanı Çin App Store hesabınızla indirdiyseniz tek bir öneriniz var: kullanmayın, ABD gibi farklı bir bölgedeki başka bir hesaba değiştirin ve ardından yeniden indirin. BT. Ayrıca doğru resmi web sitesi sizi doğru indirme yöntemine de yönlendirecektir (imToken, Trust Wallet vb. gibi). Resmi web sitelerinin yüksek web sitesi güvenliğini sağlaması önemlidir. Resmi web sitesi hacklenirse büyük sorunlar yaşanacaktır. ).

Donanım cüzdanı iseResmi web sitesinden satın almanız şiddetle tavsiye edilir. Bunları çevrimiçi mağazalardan satın almayın. Cüzdanı teslim aldıktan sonra cüzdanın inaktif olup olmadığına da dikkat etmelisiniz. Elbette ambalajın üzerinde fark edilmesi zor bazı hileler var. Her durumda, bir donanım cüzdanı kullanırken, tohum cümlesini ve cüzdan adresini en az üç kez sıfırdan oluşturmalısınız. Ve tekrarlanmadıklarından emin olun.

Bu bir web cüzdanı ise, kullanmamanızı önemle tavsiye ederiz. Başka seçeneğiniz olmadığı sürece orijinal olduğundan emin olun ve dikkatli kullanın ve asla güvenmeyin.

Anımsatıcı İfade

Bir cüzdan oluşturduktan sonra doğrudan ele aldığımız en önemli şey, hatırlanması daha kolay olan özel anahtar değil, anımsatıcı ifade/tohum ifadedir. Anımsatıcı ifadeler için standart kurallar vardır (örneğin, BIP39); genel olarak 12 İngilizce kelime vardır; başka sayılar da olabilir (3'ün katları), ancak 24 kelimeyi geçemez. Aksi halde çok karmaşık olur ve hatırlanması kolay olmaz. Kelime sayısı 12'den az ise güvenlik güvenilir değildir. 12/15/18/21/24 kelimeleri görmek yaygındır. Blockchain dünyasında 12 kelime popüler ve yeterince güvenli. Ancak yine de Ledger gibi 24 kelimeyle başlayan hardcore donanım cüzdanları var. İngilizce kelimelere ek olarak Çince, Japonca, Korece vb. gibi başka diller de mevcuttur. Referans için 2048 kelimelik bir liste:

https://github.com/bitcoin/bips/blob/master/bip-0039/bip-0039-wordlists.md

Bir cüzdan oluştururken tohum ifadeniz savunmasızdır. Lütfen etrafınızın insanlar, web kameraları veya tohum ifadenizi çalabilecek başka herhangi bir şeyle çevrili olmadığını unutmayın.

Ayrıca, tohum ifadesinin rastgele oluşturulup oluşturulmadığına da dikkat edin. Normalde iyi bilinen cüzdanlar yeterli sayıda rastgele tohum cümlesi üretebilir. Ancak her zaman dikkatli olmalısınız. Cüzdanda bir sorun olup olmadığını bilmek zor. Sabırlı olun çünkü güvenliğiniz açısından bu alışkanlıkları geliştirmek çok faydalı olabilir. Son olarak, özellikle cüzdanı soğuk cüzdan olarak kullanacaksanız, bazen cüzdan oluşturmak için İnternet bağlantısını kesmeyi bile düşünebilirsiniz. İnternet bağlantısını kesmek her zaman işe yarar.

Anahtarsız

Anahtarsız, özel anahtarın olmadığı anlamına gelir. Burada Anahtarsız'ı iki ana senaryoya ayırıyoruz (açıklama kolaylığı açısından. Bu tür bir bölünme endüstri standardı değildir)

• gözaltı. Örnekler, kullanıcıların yalnızca hesap kaydetmeleri gereken ve özel anahtara sahip olmadıkları merkezi takas ve cüzdandır. Güvenlikleri tamamen bu merkezi platformlara bağlıdır.
• Gözaltı Dışı. Kullanıcının, gerçek bir özel anahtar (veya tohum ifadesi olmayan) özel anahtar benzeri bir kontrol gücü vardır. Barındırma ve kimlik doğrulama/yetkilendirme için iyi bilinen Bulut platformlarına dayanır. Dolayısıyla Bulut platformunun güvenliği en savunmasız kısım haline geliyor. Diğerleri, tek risk noktasını ortadan kaldırmak için güvenli çok taraflı bilgi işlemden (MPC) yararlanıyor ve ayrıca kullanıcı deneyimini en üst düzeye çıkarmak için popüler Bulut platformlarıyla ortaklık yapıyor.

Şahsen ben çeşitli Anahtarsız aletler kullandım. Derin ceplere ve iyi bir itibara sahip merkezi borsalar en iyi deneyimi sağlar. Tokenın kaybından kişisel olarak sorumlu olmadığınız sürece (örneğin, hesap bilgilerinizin saldırıya uğraması durumunda), merkezi borsalar genellikle kaybınızı karşılayacaktır. MPC tabanlı Anahtarsız programı oldukça umut verici görünüyor ve tanıtılması gerekiyor. ZenGo, Fireblocks ve Safeheron ile iyi bir deneyimim var. Avantajları açıktır:

• MPC algoritma mühendisliği, iyi bilinen blok zincirlerde giderek daha olgun hale geliyor ve yalnızca özel anahtarlar için yapılması gerekiyor.
• Bir dizi fikir, çok farklı çoklu imza şemalarına sahip farklı blok zincirleri sorununu çözebilir ve tutarlı bir kullanıcı deneyimi yaratabilir; buna sıklıkla evrensel çoklu imza adını veriyoruz.
• Gerçek özel anahtarın hiçbir zaman görünmemesini sağlayabilir ve çoklu imza hesaplaması yoluyla tek risk noktasını çözebilir.
• Bulut (veya Web2.0 teknolojisi) ile birleştiğinde MPC yalnızca güvenli olmakla kalmaz, aynı zamanda iyi bir deneyim de yaratır.

Ancak yine de bazı dezavantajlar var:

• Açık kaynaklı projelerin tümü endüstrinin kabul edilen standartlarını karşılayamaz. Daha fazla çalışma yapılması gerekiyor.
• Pek çok kişi temel olarak yalnızca Ethereum (veya EVM tabanlı blockchain) kullanıyor. Hal böyle olunca Gnosis Safe gibi akıllı sözleşme yaklaşımına dayalı çoklu imza çözümü yeterli oluyor.

Genel olarak, hangi aracı kullanırsanız kullanın, kendinizi güvende ve kontrol edilebilir hissettiğiniz ve iyi bir deneyime sahip olduğunuz sürece, bu iyi bir araçtır.

Buraya kadar cüzdan oluşturma konusunda dikkat edilmesi gerekenleri anlattık. Diğer genel güvenlik konularına daha sonraki bölümlerde değinilecektir.

Cüzdanınızı yedekleyin

Ben de dahil olmak üzere pek çok iyi elin tuzağa düşeceği yer burası. Düzgün bir şekilde yedekleme yapmadım ve bunun er ya da geç olacağını biliyordum. Şans eseri içinde büyük miktarda varlık bulunan bir cüzdan değildi ve SlowMist'teki arkadaşlarım onu kurtarmama yardımcı oldu. Yine de kimsenin yaşamak isteyemeyeceğini düşündüğüm korkunç bir deneyimdi. O halde kemerlerinizi bağlayın ve cüzdanınızı güvenli bir şekilde nasıl yedekleyeceğinizi öğrenelim.

Anımsatıcı İfade / Özel Anahtar

Bir cüzdanı yedeklemekten bahsettiğimizde, aslında anımsatıcı ifadeyi (veya özel anahtarı) yedeklemekten bahsediyoruz. Kolaylık sağlamak için aşağıda anımsatıcı ifadeyi kullanacağız. Anımsatıcı ifadelerin çoğu aşağıdaki gibi kategorize edilebilir:

• Düz Metin
• Şifreli
• Çoklu imza
• Shamir'in Gizli Paylaşımı veya kısaca SSS

Her türü kısaca açıklayacağım.

Düz Metin, Düz metnin anlaşılması kolaydır. Bu 12 İngilizce kelimeye sahip olduğunuzda cüzdandaki varlıkların sahibi olursunuz. Özel bir karıştırma yapmayı düşünebilir, hatta kelimelerden birini başka bir şeyle değiştirebilirsiniz. Her ikisi de bilgisayar korsanlarının cüzdanınıza sızmasını zorlaştırır ancak kuralları unutursanız başınız büyük belaya girer. Hafızanız kurşun geçirmez değil. İnan bana, birkaç yıl sonra hafızan karışacak. Birkaç yıl önce Ledger donanım cüzdanını kullandığımda 24 kelimelik anımsatıcı cümlenin sırasını değiştirdim. Birkaç yıl sonra sırayı unuttum ve herhangi bir kelimeyi değiştirip değiştirmediğimden emin olamadım. Daha önce de belirttiğim gibi sorunum, doğru sırayı ve kelimeleri tahmin etmek için kaba kuvvet kullanan özel bir kod kırıcı programla çözüldü.

Şifreli, Standarda göre anımsatıcı ifadelerin şifresi olabilir. Hala aynı cümle ama şifreyle farklı bir tohum cümlesi elde edilecek. Tohum ifadesi bir dizi özel anahtarı, genel anahtarı ve bunlara karşılık gelen adresleri türetmek için kullanılır. Bu nedenle, yalnızca anımsatıcı ifadeleri değil aynı zamanda şifreyi de yedeklemelisiniz. Bu arada, özel anahtarların da bir şifresi olabilir ve bitcoin için BIP 38 ve Ethereum için Keystore gibi kendi standartları vardır.

Çoklu İmzaAdından da anlaşılacağı üzere cüzdanlara erişim için birden fazla kişinin imzası gerekiyor. Kendi kurallarınızı belirleyebileceğiniz için çok esnektir. Örneğin, anahtara (anımsatıcı kelimeler veya özel anahtarlar) sahip olan 3 kişi varsa, cüzdanlara erişmek için en az iki kişinin imza atmasını isteyebilirsiniz. Her blockchain'in kendine ait çoklu imza çözümü vardır. Tanınmış Bitcoin cüzdanlarının çoğu çoklu imzayı destekler. Ancak Ethereum'da çoklu imza esas olarak Gnosis Safe gibi akıllı sözleşmelerle desteklenir. Ayrıca, MPC veya Güvenli Çok Taraflı Hesaplama giderek daha popüler hale geliyor. Geleneksel çoklu imzaya benzer ancak farklı teknolojiye sahip bir deneyim sunuyor. Çoklu imzadan farklı olarak MPC, blockchainden bağımsızdır ve tüm protokollerle çalışabilir.

SSS, Shamir'in Gizli Paylaşımı, SSS, tohumu birden fazla paylaşıma ayırır (normalde her paylaşım 20 kelime içerir). Cüzdanı kurtarmak için belirli sayıda hissenin toplanması ve kullanılması gerekir. Ayrıntılar için aşağıdaki sektördeki en iyi uygulamalara bakın:

https://support.keyst.one/advanced-features/recovery-phrase/import-or-create-shamir-backup
https://wiki.trezor.io/Shamir_backup

Çoklu imza ve SSS gibi çözümleri kullanmak içinizin rahat olmasını sağlayacak ve tek nokta risklerini önleyecektir, ancak yönetimi nispeten karmaşık hale getirebilir ve bazen birden fazla taraf dahil olabilir. Kolaylık ve güvenlik arasında her zaman bir uzlaşma vardır. Karar vermek bireye bağlıdır ancak ilkelerde asla tembel olmayın.

Şifreleme

Şifreleme çok geniş bir kavramdır. Şifrelemenin simetrik mi, asimetrik mi olduğu ya da diğer gelişmiş teknolojileri mi kullandığı önemli değil; Şifrelenmiş bir mesajın şifresi siz veya acil durum müdahale ekibiniz tarafından onlarca yıl sonra başka hiç kimse tarafından kolaylıkla çözülemediği sürece, bu iyi bir şifrelemedir.

“Sıfır güven” güvenlik ilkesinden yola çıkarak cüzdanları yedeklerken, kasa gibi fiziksel ortamlar da dahil olmak üzere her adımın hacklenebileceğini varsaymak zorundayız. Kendinizden başka tamamen güvenilebilecek kimsenin olmadığını unutmayın. Hatta bazen kendinize bile güvenemezsiniz çünkü anılarınız kaybolabilir veya kaybolabilir. Ancak her zaman kötümser varsayımlarda bulunmayacağım, aksi takdirde bu beni istenmeyen sonuçlara sürükleyebilir.

Yedekleme yaparken olağanüstü durum kurtarmaya özel dikkat gösterilmelidir. Felaket kurtarmanın temel amacı tek bir risk noktasından kaçınmaktır. Siz giderseniz veya yedeği sakladığınız ortam çökerse ne olur? Bu nedenle önemli şeyler için bir felaket kurtarma elemanının bulunması ve birden fazla yedeklemenin olması gerekir.

Felaket kurtarma personelinin nasıl seçileceği konusunda çok fazla ayrıntıya girmeyeceğim çünkü bu kime güvendiğinize bağlıdır. Çoklu yedeklemelerin nasıl yapılacağına odaklanacağım. Yedekleme konumlarının bazı temel biçimlerine bir göz atalım:

• Bulut
• Kağıt
• Cihaz
• Beyin

Bulut, Birçok kişi Bulut üzerindeki yedeklemeye güvenmiyor, hacker saldırılarına karşı savunmasız olduğunu düşünüyor. Günün sonunda önemli olan hem insan gücü hem de bütçe açısından hangi tarafın (saldırganın mı yoksa savunmacının mı) daha fazla çaba harcadığıdır. Kişisel olarak Google, Apple, Microsoft vb. tarafından desteklenen bulut hizmetlerine inanıyorum çünkü güvenlik ekiplerinin ne kadar güçlü olduğunu ve güvenliğe ne kadar harcadıklarını biliyorum. Dışarıdan gelen bilgisayar korsanlarına karşı mücadelenin yanı sıra, iç güvenlik risk kontrolü ve özel verilerin korunması konularına da çok önem veriyorum. Güvendiğim birkaç hizmet sağlayıcı bu alanlarda nispeten daha iyi iş çıkarıyor. Ama hiçbir şey mutlak değildir. Önemli verileri (cüzdanlar gibi) yedeklemek için bu bulut hizmetlerinden herhangi birini seçersem, cüzdanları mutlaka en az bir kez daha şifreleyeceğim.

GPG'de uzmanlaşmanızı şiddetle tavsiye ederim. “İmza doğrulama” için kullanılabilir ve bu arada güçlü şifreleme ve şifre çözme güvenliği sağlar. GPG hakkında daha fazla bilgiyi şu adreste bulabilirsiniz:

https://www.ruanyifeng.com/blog/2013/07/gpg.html

Tamam, GPG konusunda uzmanlaştınız 🙂 Artık cüzdanınızdaki ilgili verileri (anımsatıcı ifade veya özel anahtar) çevrimdışı güvenli bir ortamda GPG ile şifrelediğinize göre, artık şifrelenmiş dosyaları doğrudan bu bulut hizmetlerine atabilir ve oraya kaydedebilirsiniz. Her şey güzel olacak. Ancak burada şunu hatırlatmam gerekiyor: GPG'nizin özel anahtarını asla kaybetmeyin veya özel anahtarınızın şifresini unutmayın…

Bu noktada, bu ekstra güvenlik düzeyinin oldukça zahmetli olduğunu fark edebilirsiniz: GPG hakkında bilgi edinmeli ve GPG özel anahtarınızı ve şifrelerinizi yedeklemelisiniz. Gerçekte, yukarıda belirtilen adımların tümünü yaptıysanız, sürece zaten aşinasınızdır ve bunu o kadar zor veya zahmetli bulmayacaksınız. Daha fazlasını söylemeyeceğim çünkü pratik mükemmelleştirir.

Biraz çabadan tasarruf etmek istiyorsanız başka bir olasılık daha var ama güvenliği azaltılabilir. İndirimi tam olarak ölçemiyorum ancak bazen yardım için iyi bilinen bazı araçları kullanırken tembellik ediyorum. Bu araç 1Password'dur. 1Password'ün en son sürümü, kullanıcılar için uygun olan anımsatıcı kelimeler, şifreler, cüzdan adresleri vb. gibi cüzdanla ilgili verilerin doğrudan depolanmasını zaten desteklemektedir. Diğer araçlar (Bitwarden gibi) benzer bir şeyi başarabilir, ancak onlar kadar kullanışlı değildir.

Kağıt, Birçok donanım cüzdanı, üzerine anımsatıcı cümlelerinizi (düz metin, SSS vb.) yazabileceğiniz birkaç yüksek kaliteli kağıt kartla birlikte gelir. Kağıdın yanı sıra çelik levhalar da kullananlar var (ateşe dayanıklı, suya dayanıklı ve korozyona dayanıklı tabi ki bunları denemedim). Anımsatıcı cümleleri kopyaladıktan sonra test edin ve her şey işe yararsa, kasa gibi kendinizi güvende hissettiğiniz bir yere koyun. Kişisel olarak kağıt kullanmayı çok seviyorum çünkü kağıdın ömrü, doğru şekilde saklanırsa elektronik cihazlara göre çok daha uzundur.

Cihaz, Her türlü ekipmanı ifade eder; elektronik cihazlar, kişisel tercihe bağlı olarak bilgisayar, iPad, iPhone veya sabit sürücü vb. gibi yaygın bir yedekleme türüdür. Cihazlar arasında güvenli aktarımı da düşünmemiz gerekiyor. Bir aracının süreci ele geçirmesinin zor olduğu AirDrop ve USB gibi eşler arası yöntemleri kullanırken kendimi rahat hissediyorum. Elektronik ekipmanların birkaç yıl sonra bozulabileceği gerçeğinden doğal olarak tedirginim, bu yüzden yılda en az bir kez cihazı kontrol etme alışkanlığımı sürdürüyorum. Bulut bölümüne başvurabileceğiniz bazı tekrarlanan adımlar (şifreleme gibi) vardır.

Beyin, Hafızanıza güvenmek heyecan vericidir. Aslında herkesin kendine ait bir “hafıza sarayı” vardır. Bellek gizemli değildir ve daha iyi çalışacak şekilde eğitilebilir. Hafızayla gerçekten daha güvenli olan bazı şeyler var. Yalnızca beyne güvenip güvenmemek kişisel bir seçimdir. Ancak iki riske dikkat edin: Birincisi, zaman geçtikçe hafıza kaybolur ve kafa karışıklığına neden olabilir; diğer risk ise kaza geçirme ihtimalinizdir. Burada duracağım ve daha fazlasını keşfetmenize izin vereceğim.

Artık hepiniz yedeklendiniz. Çok fazla şifrelemeyin yoksa birkaç yıl sonra kendinizden sıkıntı çekersiniz. “Sürekli doğrulama” güvenlik prensibine göre, aşırı olsun veya olmasın, şifreleme ve yedekleme yöntemlerinizin hem düzenli hem de rastgele olarak sürekli olarak doğrulanması gerekir. Doğrulama sıklığı hafızanıza bağlıdır ve tüm işlemi tamamlamanıza gerek yoktur. İşlem doğru olduğu sürece kısmi doğrulama da işe yarar. Son olarak kimlik doğrulama işleminin gizliliğine ve güvenliğine de dikkat etmek gerekir.

Tamam, burada derin bir nefes alalım. Başlamak en zor kısımdır. Artık hazır olduğunuza göre haydi bu karanlık ormana girelim 🙂

Cüzdanınızı nasıl kullanabilirsiniz?

Cüzdanlarınızı oluşturup yedekledikten sonra sıra asıl zorluğa gelir. Varlıklarınız arasında sık sık hareket etmiyorsanız veya bugünlerde sıklıkla kullanılan popüler terim olan DeFi, NFT, GameFi veya Web3'ün akıllı sözleşmeleriyle çok az etkileşim kuruyorsanız, varlıklarınızın nispeten güvende olması gerekir.

AML

Ancak “nispeten güvenli”, “hiç risk yok” anlamına gelmez. Çünkü “hangisinin önce geleceğini, yarın mı yoksa kazalar mı” asla bilemezsiniz, değil mi? Neden o? Bir düşünün, kripto para birimini nereden aldınız? Bir anda ortaya çıkmadı, değil mi? Aldığınız tüm kripto para birimlerinde istediğiniz zaman AML (Kara Para Aklamayı Önleme) ile karşılaşabilirsiniz. Bu, şu anda elinizde tuttuğunuz kripto para biriminin kirli olabileceği ve hatta şanslı değilseniz doğrudan zincir üzerinde donmuş olabileceği anlamına gelir. Kamuya açık raporlara göre Tether, kolluk kuvvetlerinin talebi üzerine bir zamanlar bazı USDT varlıklarını dondurmuştu. Dondurulan fonların listesine buradan ulaşabilirsiniz.

https://dune.xyz/phabc/usdt—banned-addresses

USDT sözleşmesinden bir adresin Tether tarafından dondurulup dondurulmadığını doğrulayabilirsiniz.

https://etherscan.io/token/0xdac17f958d2ee523a2206206994597c13d831ec7#readContract

Kontrol etmek için hedef cüzdan adresini int isBlackListed girişi olarak kullanın. USDT alan diğer zincirlerin de benzer doğrulama yöntemi vardır.

Ancak BTC ve ETH'niz asla dondurulmamalıdır. Eğer gelecekte bir gün bu gerçekleşirse, ademi merkeziyetçilik inancı da çökecektir. Bugün duyduğumuz kripto para varlıklarının dondurulması vakalarının çoğu aslında merkezi platformlarda (Binance, Coinbase vb.) meydana geldi, ancak blockchain üzerinde gerçekleşmedi. Kripto paranız Merkezi Borsa platformlarında kaldığında aslında hiçbirinin sahibi olmazsınız. Merkezi platformlar hesabınızı dondurduğunda aslında işlem yapma veya para çekme izninizi iptal ediyorlar. Donma kavramı bölgede yeni başlayanlar için yanıltıcı olabilir. Sonuç olarak, bazı pervasız kişisel medya, BitCoin hakkında her türlü komplo teorisini yayacaktır.

BTC ve ETH varlıklarınız blok zincirinde dondurulmasa da, merkezi borsalar, varlıklarınız bu platformlara aktarıldığında ve kolluk kuvvetlerinin üzerinde çalıştığı herhangi bir açık davaya karıştıklarında AML'nin gereklilikleri uyarınca varlıklarınızı dondurabilir.

AML sorunlarından daha iyi kaçınmak için karşı taraf olarak her zaman iyi bir üne sahip platformları ve kişileri seçin. Bu tür problemler için aslında birkaç çözüm var. Örneğin, Ethereum'da neredeyse tüm kötü adamlar ve gizliliklerine çok önem veren kişiler, para karıştırmak için Tornado Cash'i kullanıyor. Buradaki yöntemlerin çoğu kötülük yapmak için kullanıldığı için bu konuya daha fazla girmeyeceğim.

Soğuk Cüzdan

Soğuk cüzdan kullanmanın farklı yolları vardır. Cüzdan açısından bakıldığında herhangi bir ağa bağlı olmadığı sürece soğuk cüzdan olarak değerlendirilebilir. Peki çevrimdışıyken nasıl kullanılır? Öncelikle sadece kripto para almak istiyorsanız bu çok da önemli değil. Soğuk cüzdan, imToken, Trust Wallet vb. gibi Yalnızca İzleme cüzdanlarıyla çalışarak mükemmel bir deneyim sağlayabilir. Bu cüzdanlar, yalnızca hedef cüzdan adresleri eklenerek yalnızca izleme cüzdanlarına dönüştürülebilir.

Soğuk cüzdan kullanarak kripto para göndermek istiyorsak en sık kullanılan yöntemler şunlardır:

• QR kod
• USB
• Bluetooth

Bunların hepsi, soğuk cüzdanla çalışmak için özel bir uygulamaya (burada Light Uygulaması olarak adlandırılıyor) ihtiyaç duyar. Light Uygulaması, yukarıda belirtilen Salt İzleme cüzdanıyla birlikte çevrimiçi olacaktır. Temel prensibi anladığımızda, bu yaklaşımları da anlayabilmeliyiz. Temel prensip şudur: Sonunda, bu sadece imzalı içeriğin blockchain'e nasıl yayınlanacağını bulma meselesidir. Detaylı süreç aşağıdaki gibidir:

• İmzalanacak içerik Light Uygulaması tarafından bu yollardan biri ile Soğuk Cüzdan'a iletilir.
• İmza, özel anahtara sahip soğuk cüzdan tarafından işlenir ve ardından aynı şekilde Light Uygulamasına geri iletilir.
• Light Uygulaması, imzalanan içeriği blockchain üzerinde yayınlar.

Yani hangi yöntem kullanılırsa kullanılsın (QR kod, USB veya Bluetooth) yukarıdaki süreci takip etmesi gerekiyor. Elbette detaylar farklı yöntemlere göre farklılık gösterebilir. Örneğin, QR kodun bilgi kapasitesi sınırlıdır, dolayısıyla imza verileri çok büyük olduğunda onu bölmek zorunda kalırız.

Biraz zahmetli gibi görünüyor ama alışınca güzelleşiyor. Hatta tam bir güvenlik hissi bile hissedersiniz. Ancak 100%'yi güvenli olarak düşünmeyin çünkü burada hala riskler var ve bu riskler nedeniyle birçok ağır kayıp vakası yaşandı. İşte risk noktaları:

• Coin transferinin hedef adresi dikkatli bir şekilde kontrol edilmedi ve bu da coinin başka birine aktarılmasına neden oldu. İnsanlar bazen tembel ve dikkatsizdirler. Örneğin çoğu zaman adresin tamamını kontrol etmek yerine cüzdan adresinin sadece başlangıcını ve bitişini birkaç bit kontrol ederler. Bu, kötü adamlara bir arka kapı bırakır. İstediğiniz hedef adresinizle aynı ilk ve son birkaç biti içeren cüzdan adresini almak için programlar çalıştıracaklar ve ardından bazı hileler kullanarak para transferi hedef adresinizi kendi kontrolleri altındaki adresle değiştirecekler.
• Coinler bilinmeyen adreslere yetkilendiriliyor. Yetkilendirme genellikle Ethereum akıllı sözleşme tokenlerinin mekanizmasıdır, "onaylama" işlevidir; bir argüman hedef yetkilendirme adresi ve diğeri miktardır. Birçok kişi bu mekanizmayı anlamıyor, bu nedenle hedef adrese sınırsız sayıda jeton yetkilendirebilirler, bu noktada hedef adresin tüm bu jetonları aktarma izni vardır. Buna yetkili madeni para hırsızlığı denir ve tekniğin başka çeşitleri de vardır, ancak burada bu konuyu genişletmeyeceğim.
• Önemsiz gibi görünen bazı imzaların arkasında aslında çok büyük tuzaklar var, şimdi bu konuya girmeyeceğim, detayları daha sonra açıklayacağım.
• Soğuk cüzdan gerekli bilgileri yeterince sağlamamış olabilir, bu da dikkatsiz olmanıza ve yanlış karar vermenize neden olabilir.

Her şey iki noktaya indirgeniyor:

• “Ne görüyorsan onu imzalarsın” şeklindeki kullanıcı etkileşimi güvenlik mekanizması eksik.
• Kullanıcının ilgili arka plan bilgisinin eksikliği.

Sıcak Cüzdan

Soğuk cüzdanla karşılaştırıldığında sıcak cüzdan, temelde soğuk cüzdanın sahip olabileceği tüm riskleri taşır. Ayrıca bir tane daha var: gizli ifadenin (veya özel anahtarın) çalınması riski. Bu noktada sıcak cüzdanlarla ilgili olarak çalışma zamanı ortamının güvenliği gibi dikkate alınması gereken daha fazla güvenlik sorunu vardır. Çalışma zamanı ortamıyla ilişkili virüsler varsa çalınma riski vardır. Ayrıca gizli ifadenin doğrudan çalınabileceği belirli güvenlik açıklarına sahip sıcak cüzdanlar da vardır.

Normal jeton transferi fonksiyonuna ek olarak, diğer DApp'lerle (DeFi, NFT, GameFi vb.) etkileşime geçmek istiyorsanız, bunlara ya doğrudan kendi tarayıcınız üzerinden erişmeniz ya da PC tarayıcınızda açılan DApp'lerle etkileşime geçmeniz gerekir. WalletConnect protokolü.

Not: Bu el kitabındaki DApp referansları varsayılan olarak Ethereum blok zincirlerinde çalışan akıllı sözleşme projelerine atıfta bulunmaktadır.

Varsayılan olarak bu tür etkileşimler, cüzdan güvenlik tasarımında bir sorun olmadığı sürece gizli ifade hırsızlığına yol açmaz. Güvenlik denetimlerimiz ve güvenlik araştırma geçmişimize göre, cüzdan gizli ifadelerinin hedef sayfadaki kötü amaçlı JavaScript tarafından doğrudan çalınması riski vardır. Ancak bu nadir görülen bir durumdur çünkü aslında bilinen hiçbir cüzdanın yapmayacağı son derece düşük seviyeli bir hatadır.

Bunların hiçbiri aslında buradaki asıl endişelerim değil, benim için (ve sizin için de) yönetilebilir şeyler. En büyük endişem/endişem şu: Tanınmış bir cüzdanın her yinelemesi, hiçbir kötü amaçlı kodun veya arka kapının yerleştirilmemesini nasıl sağlıyor? Bu sorunun anlamı açık: Cüzdanın mevcut sürümünün herhangi bir güvenlik sorunu olmadığını doğruladım ve rahatlıkla kullanıyorum ancak bir sonraki sürümün ne kadar güvenli olacağını bilmiyorum. Sonuçta benim veya güvenlik ekibimin tüm doğrulamaları yapacak kadar zamanı ve enerjisi olamaz.

Kötü amaçlı kodların veya burada açıklandığı gibi CoPay, AToken vb. gibi arka kapıların neden olduğu çeşitli madeni para hırsızlığı vakaları olmuştur. Belirli olayları kendiniz arayabilirsiniz.

Bu durumda kötülük yapmanın birkaç yolu vardır:

• Cüzdan çalışırken, kötü amaçlı kod, ilgili gizli ifadeyi doğrudan bilgisayar korsanının kontrolündeki sunucuya paketler ve yükler.
• Cüzdan çalışırken ve kullanıcı bir transfer başlattığında, hedef adres ve miktar gibi bilgiler cüzdan arka ucunda gizlice değiştirilir ve kullanıcının bunu fark etmesi zordur.
• Gizli ifadelerin üretilmesiyle ilişkili rastgele sayı entropi değerlerinin bozulması, bunların deşifre edilmesinin nispeten kolay olmasını sağlar.

Güvenlik, cehalet ve bilgi meselesidir ve kolayca göz ardı edilebilecek veya gözden kaçırılabilecek pek çok şey vardır. Dolayısıyla, önemli varlıkları barındıran cüzdanlar için güvenlik kuralım da basit: Kullanmak yeterli olduğunda kolay güncelleme yok.

DeFi Güvenliği Nedir?

DApp deyince DeFi, NFT, GameFi vb. olabilir. Bunların güvenlik esasları çoğunlukla aynı ama kendine has özellikleri olacak. Açıklamak için öncelikle DeFi'yi örnek alalım. DeFi güvenliğinden bahsettiğimizde tam olarak neyi kastediyoruz? Sektördeki insanlar neredeyse her zaman yalnızca akıllı sözleşmelere bakıyor. Akıllı sözleşmeler iyi olduğunda her şey yoluna girecek gibi görünüyor. Aslında bu gerçek olmaktan çok uzak.

DeFi güvenliği en azından aşağıdaki bileşenleri içerir:

• Akıllı Sözleşme Güvenliği
• Blockchain Vakfı Güvenliği
• Ön Uç Güvenliği
• İletişim Güvenliği
• İnsan güvenliği
• Finansal güvenlik
• Uyumluluk Güvenliği

Akıllı Sözleşme Güvenliği

Akıllı sözleşme güvenliği gerçekten de güvenlik denetimi için en önemli giriş noktasıdır ve SlowMist'in akıllı sözleşmeler için güvenlik denetimi standartları şu adreste bulunabilir:

https://www.slowmist.com/service-smart-contract-security-audit.html

İleri düzey oyuncular için, eğer akıllı sözleşme kısmının güvenliği kontrol edilebilirse (ister kendilerini denetleyebiliyorlar, ister profesyonel kuruluşlar tarafından yayınlanan güvenlik denetim raporlarını anlıyorlar), o zaman diğer kısımların güvenli olup olmamasının bir önemi kalmıyor. Kontrol edilebilirlik zor bir kavramdır ve bunların bir kısmı oyuncunun kendi gücüne bağlıdır. Örneğin oyuncuların aşırı akıllı sözleşme yetkisinden kaynaklanan riske ilişkin belirli gereksinimleri vardır. Projenin kendisi güçlüyse ve arkasındaki insanlar iyi bir üne sahipse, tam merkezileşmenin bir önemi olmayacaktır. Ancak daha az bilinen, tartışmalı veya yeni ortaya çıkan projeler için, projenin akıllı sözleşmelerinin aşırı izin riski taşıdığını fark ederseniz, özellikle de bu tür izinler ana paranızı veya kazancınızı da etkileyebiliyorsa, kesinlikle isteksiz olacaksınız.

Aşırı izin riski çok hafiftir. Çoğu durumda, ilgili yönetişimi ve risk durumunu yürütmek proje yöneticisinin sorumluluğundadır. Ancak kullanıcılar için bu, insan doğasına yönelik bir testtir. Peki ya ekip kötülük yapmaya karar verirse? Dolayısıyla sektörde bir dengeleme uygulaması var: Bu tür aşırı izin risklerini azaltmak için Timelock eklemek, örneğin:

Yerleşik ve tanınmış bir DeFi projesi olan Compound'un ve temel akıllı sözleşme modülleri Comptroller ve Governance'ın her ikisinin de yönetici izinlerine Timelock mekanizması eklenmiştir:
Denetleyici(0x3d9819210a31b4961b30ef54be2aed79b9c9cd3b)
Yönetişim(0xc0da02939e1441f497fd74f78ce7decb17b66529)
Bu 2 modülün yöneticisi
Zaman kilidi(0x6d903f6003cca6255d85cca4d3b5e5146dc33925)

Timelock'un (gecikme değişkeni) 48 saat (172.800 saniye) olduğunu doğrudan zincir üzerinde öğrenebilirsiniz:

Yani Compound yöneticisinin hedef akıllı sözleşmenin bazı temel değişkenlerini değiştirmesi gerekiyorsa, işlem blockchain üzerinde başlatıldıktan sonra kaydedilecek ancak işlemin sonlandırılıp yürütülebilmesi için 48 saat beklenmesi gerekiyor. Bu, dilerseniz her işlemi yöneticiden denetleyebileceğiniz ve harekete geçmek için en az 48 saatiniz olacağı anlamına gelir. Örneğin emin değilseniz 48 saat içinde paranızı çekebilirsiniz.

Yöneticinin aşırı izin riskini azaltmanın bir başka yolu da, çoklu imza yönetimi için Gnosis Safe'i kullanmak gibi çoklu imza eklemektir, böylece en azından diktatör kalmaz. Burada multisig'in “imparatorun yeni kıyafetleri” olabileceğini belirtmekte fayda var. Örneğin bir kişi birden fazla anahtarı elinde tutabilir. Bu nedenle hedef projenin çoklu imza stratejisinin açıkça belirtilmesi gerekmektedir. Anahtarların kimin elinde olduğu ve her bir anahtar sahibinin kimliği saygın olmalıdır.

Herhangi bir güvenlik stratejisinin “imparatorun yeni kıyafetleri” sorununa yol açabileceğini, bu stratejinin iyi uygulanmış gibi görünse de gerçekte öyle olmadığını ve bir güvenlik yanılsamasına yol açabileceğini burada belirtmekte fayda var. Başka bir örnek verelim; Timelock kağıt üzerinde iyi görünüyor. Aslında bazı projeler tarafından dağıtılan Timelock'un arka kapılara sahip olduğu durumlar olmuştur. Genellikle kullanıcılar Timelock'un kaynak koduna bakmazlar ve anlasalar bile bunu mutlaka anlamazlar, dolayısıyla yönetici oraya bir arka kapı koyar ve yeterince uzun bir süre boyunca kimse bunu fark etmez.

Aşırı izin riskine ek olarak akıllı sözleşme güvenliğinin diğer unsurları da kritik öneme sahiptir. Ancak anlamanın önkoşullarını göz önünde bulundurarak burada konuyu genişletmeyeceğim. İşte tavsiyem: En azından güvenlik denetim raporunu okumayı öğrenmelisin; pratik yapmak mükemmelleştirir.

Blockchain Vakfı Güvenliği

Blockchain temel güvenliği, mutabakat defteri güvenliği, sanal makine güvenliği vb. gibi blockchain'in kendi güvenliğini ifade eder. Blockchain'in güvenliği endişe verici ise, zincir üzerinde çalışan akıllı sözleşme projeleri doğrudan zarar görecektir. Yeterli güvenlik mekanizmasına ve itibara sahip, daha uzun ömürlü olma olasılığı daha yüksek olan bir blockchain seçmek çok önemlidir.

Ön Uç Güvenliği

Ön uç güvenliği gerçekten şeytandır. Kullanıcılara çok yakındır ve kullanıcıları kandırarak kandırmak özellikle kolaydır. Belki de herkesin asıl odak noktası cüzdan ve akıllı sözleşme güvenliğidir, bu da ön uç güvenliğinin kolayca gözden kaçırılmasına neden olur. Ön uç güvenliğin şeytan olduğunu bir kez daha vurgulamak istiyorum! Daha derine inmeme izin ver.

Ön uç güvenliğiyle ilgili en büyük endişem şu: Bu ön uç sayfasından etkileşimde bulunduğum sözleşmenin, beklediğim akıllı sözleşme olduğunu nasıl bilebilirim?

Bu güvensizlik temel olarak iki faktörden kaynaklanmaktadır:

• İç işi
• Üçüncü şahıs

İçerideki işi anlamak kolaydır. Örneğin, geliştiriciler ön uç sayfasındaki hedef akıllı sözleşme adresini gizlice arka kapısı olan bir sözleşme adresiyle değiştirir veya bir yetkilendirme kimlik avı komut dosyası yerleştirir. Bu hileli ön uç sayfasını ziyaret ettiğinizde, cüzdanınızdaki kripto paraları içeren bir dizi ardışık işlem bir tuzakta yapılabilir. Siz fark etmeden önce paralar çoktan gitmiş olurdu.

Üçüncü taraf esas olarak iki türe atıfta bulunur:

• Birincisi, bağımlılıklar zincirine sızılmış olmasıdır. Örneğin, ön uç sayfası tarafından kullanılan üçüncü taraf bağımlılığı, paketleme ve sürümle birlikte hedef ön uç sayfasına gizlice giren bir arka kapıya sahiptir. SushiSwap'in paket bağımlılık yapısı aşağıdadır (yalnızca örnekleme amaçlıdır, bu, ekran görüntüsündeki projede mutlaka böyle bir sorun olduğu anlamına gelmez):
  

• Diğer örnek ise ön uç sayfa tarafından içe aktarılan üçüncü taraf uzak JavaScript dosyalarıdır. Bu JavaScript dosyası saldırıya uğrarsa, OpenSea gibi hedef ön uç sayfasının da etkilenmesi mümkündür (yalnızca örnekleme amaçlıdır, bu, ekran görüntüsündeki projede mutlaka böyle bir sorun olduğu anlamına gelmez):
  

Bunun mümkün olduğunu ancak kesin olmadığını söylememizin nedeni, geliştiricilerin ön uç sayfasında üçüncü taraf uzak bir JavaScript dosyasına aşağıdaki şekilde başvurması durumunda riskin azaltılabileceğidir:

<script src=”https://example.com/example-framework.js” bütünlük=”sha384-Li9vy3DqF8tnTXuiaATuML3ky+er10rcgNR/VqsVpcw+ThHmYcwiB1pbOxEbzJr7″ crossorigin=”anonim”>

Buradaki kilit nokta HTML5'in güzel bir güvenlik mekanizmasıdır: etiketlerdeki bütünlük özelliği (SRI mekanizması). bütünlük SHA256, SHA384 ve SHA512'yi destekler. Üçüncü taraf JavaScript dosyaları karma bütünlüğü kontrolünü karşılamıyorsa dosyalar yüklenmeyecektir. Bu, istenmeyen kod yürütülmesini önlemenin iyi bir yolu olabilir. Ancak bu mekanizmanın kullanılması hedef kaynağın CORS yanıtını desteklemesini gerektirir. Ayrıntılar için aşağıdakilere bakın:

https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity

İletişim Güvenliği

Bu bölümde HTTPS güvenliğine odaklanalım. Öncelikle hedef web sitesi HTTPS kullanmalı ve HTTP düz metin aktarımına asla izin verilmemelidir. Bunun nedeni, HTTP düz metin iletiminin ortadaki adam saldırıları tarafından ele geçirilemeyecek kadar kolay olmasıdır. Günümüzde HTTPS güvenli bir iletim protokolü olarak çok yaygındır. HTTPS'de ortadaki adam saldırısı varsa ve saldırganlar web uygulamasının ön ucuna kötü amaçlı JavaScript enjekte ettiyse, kullanıcının tarayıcısında çok açık bir HTTPS sertifika hatası uyarısı görüntülenecektir.

Bu noktayı açıklamak için MyEtherWallet olayını örnek olarak kullanalım.

MyEtherWallet eskiden çok popüler bir web uygulaması cüzdanıydı ve şu ana kadar hala çok iyi biliniyor. Ancak artık yalnızca bir web uygulaması cüzdanı değil. Daha önce de belirttiğim gibi, güvenlik nedeniyle web uygulaması cüzdanlarının kullanılmasını kesinlikle önermiyorum. Ön uç güvenliğindeki çeşitli sorunların yanı sıra, HTTPS'nin ele geçirilmesi de büyük bir potansiyel risktir.

24 Nisan 2018'de MyEtherWallet'ta HTTPS'nin ele geçirilmesiyle ilgili büyük bir güvenlik olayı yaşandı. Olayın özetine buradan ulaşabilirsiniz:

https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/
https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_highjacked_on_google/

Saldırıda, bilgisayar korsanı, eski bir yönlendirme protokolü olan BGP aracılığıyla çok sayıda MyEtherWallet kullanıcısı tarafından kullanılan DNS hizmetini (Google Genel DNS) ele geçirdi ve bu, ziyaret etmeye çalıştıklarında her kullanıcının tarayıcısında doğrudan HTTPS hata uyarılarının görüntülenmesine yol açtı. MyEtherWallet web sitesi. Aslında, kullanıcıların bu uyarıyı gördüklerinde durmaları gerekir çünkü bu, temel olarak hedef web sayfasının ele geçirildiğini gösterir. Ancak gerçekte birçok kullanıcı uyarıyı hemen görmezden geldi ve ele geçirilen siteyle etkileşimlerine devam etti çünkü HTTPS hata uyarısının ardındaki güvenlik riskini hiç anlamadılar.

Hedef web sayfası ele geçirildiğinden ve bilgisayar korsanı buraya kötü amaçlı JavaScript enjekte ettiğinden, kullanıcıların etkileşimi üzerine bilgisayar korsanları düz metin özel anahtarını başarıyla çalmış ve fonlarını (çoğunlukla ETH) aktarmış olabilir.

Bu kesinlikle bilgisayar korsanlarının kriptoyu çalmak için BGP ele geçirme tekniklerini kullandığı klasik bir durumdur. Bu sadece aşırılık. Bundan sonra buna benzer pek çok vaka yaşandı ve bunlardan burada detaylı olarak bahsetmeyeceğim. Kullanıcının gerçekten dikkat etmesi gereken tek bir şey var: Bir web uygulaması cüzdanı kullanmaya karar verirseniz veya bir DApp ile etkileşime girmeye çalışırsanız, bir HTTPS sertifikası hata uyarısı gördüğünüzde daima durup sayfayı kapattığınızdan emin olun! Ve fonlarınız iyi olacak. Güvenlikte acımasız bir gerçek var: Risk olduğunda kullanıcılara hiçbir seçenek bırakmayın. Sanki bunu yaparsanız, her zaman hangi sebeple olursa olsun tuzağa düşen kullanıcılar olacaktır. Aslında proje ekibinin sorumluluğu üstlenmesi gerekiyor. Bugün itibariyle, yukarıda bahsedilen HTTPS ele geçirme sorununa yönelik çok etkili güvenlik çözümleri zaten mevcut: proje ekibinin HSTS'yi doğru şekilde yapılandırması gerekiyor. HSTS, HTTP Sıkı Aktarım Güvenliği anlamına gelir; çoğu modern tarayıcı tarafından desteklenen bir web güvenlik politikası mekanizmasıdır. HSTS etkinleştirilirse, HTTPS sertifikası hatası durumunda tarayıcı, kullanıcıları hedef web uygulamalarına erişimi durdurmaya zorlar ve kısıtlama atlanamaz. Şimdi ne demek istediğimi anladın mı?

İnsan Doğası Güvenliği

Bu bölümün anlaşılması kolaydır. Örneğin proje ekibi kötü niyetlidir ve dürüst olmayan bir şekilde hareket etmektedir. Önceki bölümlerde konuyla ilgili bazı içeriklerden bahsetmiştim, bu yüzden burada daha fazla ayrıntıya girmeyeceğim. Daha sonraki bölümlerde daha fazlası ele alınacaktır.

Finansal güvenlik

Finansal Güvenliğe derinden saygı duyulmalıdır. DeFi'de kullanıcılar token fiyatına ve getirisine son derece dikkat ediyor. Üstün veya en azından istikrarlı bir yatırım getirisi istiyorlar. Yani bir kullanıcı olarak oyunu kazanmak için oynuyorum ve kaybedersem en azından bunun adil bir oyun olduğuna ikna olmam gerekiyor. Bu sadece insan doğasıdır.

DeFi'deki finansal güvenlik aşağıdaki şekillerdeki saldırılara karşı hassastır:

• Ön madencilik veya ön satış gibi adil olmayan lansman uygulamaları;
• Kripto balina saldırısı;
• Pompalayın ve boşaltın;
• Ani piyasa şelalesi gibi siyah kuğu olayları; veya diyelim ki bir DeFi protokolü diğer DeFi/Token'larla yuvalandığında veya birlikte çalıştığında, güvenliği/güvenilirliği büyük ölçüde diğer protokollere bağlı olacaktır.
• Diğer teknik saldırılar veya önden koşma, sandviç saldırısı, flaş kredi saldırıları vb. gibi bilimsel teknikler olarak adlandırdığımız saldırılar

Uyumluluk Gereksinimleri

Uyum gerekliliği çok büyük bir konudur; daha önce bahsedilen AML (Kara Para Aklamanın Önlenmesi) bu noktalardan sadece bir tanesidir. Ayrıca KYC (Müşterinizi Tanıyın), yaptırımlar, menkul kıymet riskleri vb. hususlar da var. Aslında biz kullanıcılar için bunlar bizim kontrolümüz altında değil. Belirli bir projeyle etkileşime girdiğimizde, belirli ülkelerdeki ilgili düzenlemelere tabi olabileceğinden gizlilik bilgilerimiz toplanabilir. Siz bu tür gizlilik sorunlarını umursamayabilirsiniz, ancak bunu yapan insanlar var.

Örneğin, 2022'nin başlarında küçük bir olay yaşandı: Bazı cüzdanlar Adres Sahipliği Kanıtı Protokolü (AOPP) protokolünü desteklemeye karar verdi:

Protokol tasarımına baktım, AOPP'yi destekleyen cüzdanların kullanıcı gizliliğini sızdırabileceği ortaya çıktı. Düzenleyiciler, denetlenen bir kripto borsası ile bilinmeyen bir harici cüzdan adresi arasındaki bağlantıyı öğrenebilir.

https://gitlab.com/aopp/address-ownership-proof-protocol

Gizlilik odaklı cüzdanların çoğunun kullanıcı geri bildirimleriyle bu kadar ilgilenmesine ve ürünlerinden AOPP desteğini hızla kaldırmasına şaşmamak gerek. Ancak dürüst olmak gerekirse: Protokol tasarımı oldukça ilginç. EdgeWallet gibi bazı cüzdanların AOPP desteğini kaldırma planlarının olmadığını fark ettim. Onların görüşü, AOPP'nin mutlaka daha fazla kullanıcı gizliliğini açığa çıkarmadığı, aksine kripto para biriminin dolaşımını artırmaya yardımcı olduğu yönünde. Düzenlenen birçok kripto para borsasında, kullanıcıların belirli bir harici cüzdan adresine, sahibi olduğunu kanıtlamadan para çekmelerine izin verilmiyor.

İlk başta tanınmış donanım cüzdanı Trezor, AOPP desteğini kaldırmayı reddetti. Ancak daha sonra topluluktan ve Twitter kullanıcılarından gelen baskılar nedeniyle taviz vermek zorunda kaldı ve bunu yaptı.

Gördüğünüz gibi bu çok küçük bir olay ama bazı insanlar için mahremiyet gerçekten önemli. Bu, düzenlemelere karşı çıkmamız ve uyumluluk gerekliliklerini tamamen göz ardı etmemiz gerektiği anlamına gelmiyor. Aslına bakılırsa uyumluluk gereksinimlerinden belli bir düzeyde taviz verilmesinin gerekli olduğuna inanıyorum. Bu konunun derinliklerine dalmaya devam etmeyeceğiz, içeriği kendi yöntemlerinizle sindirmekten çekinmeyin.

Şu ana kadar DeFi Güvenliği bölümündeki içeriğin çoğunluğunu ele aldık.

Dahası, gelecekteki eklemeler veya güncellemeler nedeniyle ortaya çıkan güvenlik sorunları da vardır. Sık sık “güvenlik duruşu statik değil dinamiktir” deriz. Örneğin günümüzde çoğu proje ekibi güvenlik denetimleri yapıyor ve temiz güvenlik denetim raporları gösteriyor. Kaliteli raporları dikkatlice okursanız, bu raporların denetlenen içeriklerin kapsamını, zaman dilimini ve benzersiz tanımlayıcısını (örneğin, doğrulanmış açık kaynak akıllı sözleşme adresi veya GitHub deposundaki taahhüt adresi) açık bir şekilde açıkladığını fark edeceksiniz. veya hedef kaynak kod dosyasının karma değeri). Yani rapor statiktir ama bir projede raporda belirtilenlerden sapmalar gözlemlediyseniz bunu belirtebilirsiniz.

NFT Güvenliği

DeFi güvenliğiyle ilgili daha önce bahsedilen tüm içerikler NFT güvenliğine uygulanabilir ve NFT'nin kendisi de çok özel ve benzersiz birkaç güvenlik konusuna sahiptir, örneğin:

• Meta veri güvenliği
• İmza güvenliği

Meta veriler esas olarak gömülü resim, hareketli görüntüler ve diğer içerikleri ifade eder. Belirli standartlar için OpenSea'ye başvurmanız önerilir:

https://docs.opensea.io/docs/metadata-standards

Burada ortaya çıkabilecek iki ana güvenlik endişesi vardır:

• Birincisi, görüntünün (veya hareketli görüntünün) bulunduğu URI'nin güvenilir olmayabileceğidir. Bu sadece rastgele seçilmiş merkezi bir hizmet olabilir, bir yandan kullanılabilirlik garantisi yoktur, diğer yandan proje ekibi görüntüleri istediği zaman değiştirebilir, dolayısıyla NFT artık değişmez bir "dijital koleksiyon parçası" olmayacaktır. Genellikle IPFS, Arweave gibi merkezi depolama çözümlerinin kullanılması ve iyi bilinen bir URI ağ geçidi hizmetinin seçilmesi önerilir.
• Bir diğeri ise gizlilik sızıntısı potansiyelidir. Rastgele seçilen bir URI hizmeti, kullanıcının temel bilgilerini (IP, Kullanıcı Aracısı vb. gibi) yakalayabilir

İmza güvenliği burada başka bir büyük endişe kaynağıdır ve bunu aşağıda göstereceğiz.

İmzalarken DİKKATLİ OLUN!

İmza güvenliği, pek çok tuzak olduğundan ve her zaman dikkatli olmanız gerektiğinden özellikle bahsetmek istediğim bir konu. Özellikle NFT ticaretinde birçok olay yaşandı. Ancak pek çok kişinin bu tür güvenlik sorunlarına nasıl hazırlanılacağını ve bunlarla nasıl başa çıkılacağını anlamadığını fark ettim. Bunun altında yatan sebep, şimdiye kadar çok az kişinin sorunu yeterince açık bir şekilde ortaya koymuş olmasıdır.

İmza güvenliğinde NO.1 ve en önemli güvenlik prensibi: Ne görüyorsan onu imzalıyorsun. Yani, aldığınız imza isteğindeki mesaj, imzaladıktan sonra beklemeniz gereken mesajdır. İmzaladıktan sonra sonuç pişman olacağınız bir şey değil beklediğiniz gibi olmalıdır.

İmza güvenliğine ilişkin bazı detaylara “Soğuk Cüzdan” bölümünde değinildi. Eğer hatırlamıyorsanız o bölüme tekrar göz atmanızı öneririm. Bu bölümde diğer yönlere odaklanacağız.

2022 yılı civarında OpenSea'de çok sayıda iyi bilinen NFT saldırısı yaşandı. 20 Şubat 2022'de büyük bir salgın yaşandı. Temel nedenler şunlardır:

• Kullanıcılar OpenSea'de NFT listeleme isteklerini imzaladı.
• Bilgisayar korsanları kullanıcılardan ilgili imzaları almak için kimlik avı yaptı.

Bilgisayar korsanlarının ilgili imzayı alması aslında zor değil. Bilgisayar korsanının şunları yapması gerekir: 1). İmzalanacak mesajı oluşturun, 2). karma, 3). hedef kullanıcıyı isteği imzalaması için kandırmak (bu, kör bir imzalama olacaktır; bu, kullanıcıların aslında neyi imzaladıklarını bilmedikleri anlamına gelir), 4). imzalı içeriği alın ve verileri oluşturun. Bu noktada kullanıcı saldırıya uğradı.

Örnek olarak Opensea'yi kullanacağım (gerçekte HERHANGİ bir NFT pazarı olabilir). Hedef kullanıcı pazardaki NFT listeleme işlemine izin verdikten sonra bilgisayar korsanı imzalanacak mesajı oluşturacaktır. Keccak256 ile hashing yapıldıktan sonra kimlik avı sayfasında bir imza isteği beliriyordu. Kullanıcılar aşağıdakine benzer bir şey görecektir:

Yakından bak. Bu MetaMask açılır penceresinden ne tür bilgiler alabiliriz? Hesap Bilgileri ve hesap bakiyesi, imza isteğinin geldiği kaynak web sitesi, kullanıcıların imzalamak üzere olduğu mesaj ve… başka hiçbir şey. Kullanıcılar felaketin yaklaşmakta olduğundan nasıl şüphelenebilir? Ve "İmzala" butonuna tıkladıklarında NFT'lerinin çalınacağını nasıl anlayabilirlerdi?

Bu aslında kör imzalamanın bir örneğidir. Kullanıcıların NFT pazarında oturum açması gerekmez. Bunun yerine kullanıcılar, bu imzaların gerçek anlamını ve sonuçlarını tam olarak anlamadan mesajı imzalamak için herhangi bir kimlik avı web sitesine kandırılabilir. Maalesef hackerlar biliyor. Bir kullanıcı olarak şunu aklınızda bulundurun: ASLA HİÇBİR ŞEYİ KÖR İMZALAMAYIN. OpenSea'de kör imzalama sorunu vardı ve 20 Şubat 2022'den sonra EIP-712'yi benimseyerek bu sorunu çözdüler. Ancak kör imzalama olmadan kullanıcılar yine de dikkatsiz olabilir ve başka şekillerde saldırıya uğrayabilir.

Bunun olmasının en temel nedeni, imzalamanın tarayıcının aynı kaynak politikasını takip etmekle sınırlı olmamasıdır. Bunu basitçe şu şekilde anlayabilirsiniz: aynı köken politikası, bir eylemin yalnızca belirli bir etki alanı altında gerçekleşmesini ve proje ekibi kasıtlı olarak etki alanı geçişinin gerçekleşmesini istemediği sürece etki alanları arasında geçmemesini sağlayabilir. İmzalama aynı kaynak politikasını izliyorsa, kullanıcı hedef olmayan alan adı tarafından oluşturulan bir imza isteğini imzalasa bile bilgisayar korsanları imzayı hedef alan adı altındaki saldırılar için kullanamaz. Daha fazla ayrıntıya girmeden önce burada duracağım. Protokol düzeyinde güvenliğin iyileştirilmesine yönelik yeni öneriler fark ettim ve bu durumun en kısa sürede iyileştirilebileceğini umuyorum.

Bir mesajı imzalarken meydana gelebilecek başlıca saldırı formatlarının çoğundan bahsettik, ancak aslında pek çok çeşidi var. Ne kadar farklı görünürlerse görünsünler, benzer kalıpları takip ediyorlar. Bunları anlamanın en iyi yolu, bir saldırıyı baştan sona kendiniz yeniden oluşturmak, hatta bazı benzersiz saldırı yöntemleri oluşturmaktır. Örneğin burada bahsettiğimiz imza isteği saldırısı aslında imzalanacak mesajın nasıl oluşturulacağı, imzalandıktan sonra tam olarak ne üretileceği gibi pek çok ayrıntıyı içeriyor. “Onayla” dışında herhangi bir yetkilendirme yöntemi var mı (evet, örneğin: İzin Arttırma). Burada konuyu genişletirsek çok teknik olur. İşin güzel yanı, bir mesajı imzalamanın önemini zaten anlamış olmanızdır.

Kullanıcılar yetkilendirmeyi/onaylamayı iptal ederek bu tür saldırıları kaynağında engelleyebilirler. Aşağıda kullanabileceğiniz bazı iyi bilinen araçlar verilmiştir.

• Jeton Onayları

  https://etherscan.io/tokenapprovalchecker
  Bu, Ethereum'un resmi tarayıcısı tarafından sağlanan yetkilendirme kontrolü ve iptali için kullanılan araçtır. Diğer EVM uyumlu blok zincirleri, blok zinciri tarayıcılarının temel olarak Etherscan tarafından geliştirilmesine benzer bir şeye sahiptir. Örneğin:
  https://bscscan.com/tokenapprovalchecker
  https://hecoinfo.com/tokenapprovalchecker
  https://polygonscan.com/tokenapprovalchecker
  https://snowtrace.io/tokenapprovalchecker
  https://cronoscan.com/tokenapprovalchecker

• İptal.nakit

  https://revoke.cash/
  İyi şöhrete sahip süper eski okul ve Giderek artan güçle Çoklu Zincir Desteği

• Rabby uzatma cüzdanı

  https://rabby.io/
  Çok iş birliği yaptığımız cüzdanlardan biri. “Yetki kontrolü ve iptali” fonksiyonunu sağlayan EVM uyumlu blockchainlerin sayısı şu ana kadar gördüğüm en fazla

⚠️Not: İMZA GÜVENLİĞİ hakkında daha kapsamlı ve derinlemesine bir anlayış istiyorsanız, lütfen referans olarak aşağıdaki depo eklentilerindeki uzantıları kontrol edin:

https://github.com/evilcos/darkhandbook
İMZA GÜVENLİĞİ bilgisinin yeni başlayanlar için oldukça zorlayıcı olduğu doğrudur. Depo ilgili içeriği derler ve dikkatlice okumak güvenlik bilgisini kavramanıza yardımcı olacaktır. Böylece artık zorlanmayacaksınız. (Eğer her şeyi okuyup anlayabilirseniz güvenlik bilgisinin artık size zor gelmeyeceğine inanıyorum 🙂

Mantıksız İmza İsteklerine Karşı DİKKATLİ OLUN!

Bir başka riske özellikle değinmek istiyorum: sezgiye aykırı risk.

Sezgiye aykırı olan nedir? Örneğin, Ethereum'a zaten çok aşinasınız ve her türlü DeFi ve NFT'nin OG'si oldunuz. Solana ekosistemine ilk girdiğinizde muhtemelen benzer kimlik avı web siteleriyle karşılaşırsınız. Kendinizi o kadar hazırlıklı hissedebilirsiniz ki, “Ben bunları Ethereum ekosisteminde binlerce kez gördüm, nasıl kandırabilirim?” diye düşünmeye başlıyorsunuz.

Bu arada, zaten kandırılmış olduğunuz için bilgisayar korsanları mutlu olacaktır. İnsanlar sezgisel duygularını takip ederler ve bu da onları dikkatsiz yapar. Sezgiye aykırı bir saldırı olduğunda insanlar tuzağa düşer.

Tamam, karşı-sezgisellikten yararlanan gerçek bir duruma bakalım.

Öncelikle bir uyarı: Solana'da yetkilendirme kimlik avı çok daha acımasızdır. Yukarıdaki örnek 5 Mart 2022'de yaşandı. Saldırganlar, NFT'leri kullanıcılara gruplar halinde havadan attı (Şekil 1). Kullanıcılar, airdrop'lanan NFT'nin açıklamasında yer alan bağlantı (www_officialsolanarares_net) aracılığıyla hedef web sitesine girerek cüzdanlarını bağladılar (Şekil 2). Sayfadaki “Nane” butonuna tıkladıktan sonra onay penceresi açıldı (Şekil 3). Şu anda açılır pencerede özel bir bildirim veya mesaj bulunmadığını unutmayın. Onaylandıktan sonra cüzdandaki tüm SOL'ler aktarılacaktı.

Kullanıcılar "Onayla" düğmesine tıkladıklarında aslında saldırganlar tarafından dağıtılan kötü amaçlı akıllı sözleşmelerle etkileşime giriyorlar: 3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

Bu kötü niyetli akıllı sözleşmenin nihai hedefi, kullanıcının SOL'lerinin neredeyse tamamını aktaran “SOL Transferi”ni başlatmaktır. Zincir üstü verilerin analizine göre, kimlik avı davranışı birkaç gün boyunca devam etti ve zaman içinde kurbanların sayısı artmaya devam etti.

Bu örnekte dikkat etmeniz gereken iki tuzak var:

1. Kullanıcı onayladıktan sonra kötü amaçlı akıllı sözleşme, kullanıcının yerel varlıklarını (bu durumda SOL) aktarabilir. Ethereum'da bu mümkün değil. Ethereum'daki yetkilendirme kimlik avı yalnızca diğer tokenleri etkileyebilir ancak ETH'nin yerel varlığını etkilemez. Bu, kullanıcıların dikkatini azaltacak mantık dışı kısımdır.
2. Solana'nın en bilinen cüzdanı Phantom'un güvenlik mekanizmasında boşluklar var ve "ne görüyorsan onu imzalarsın" prensibini takip etmiyor (henüz diğer cüzdanları test etmedik) ve Kullanıcılara yeterli risk uyarısı sağlayın. Bu, kolayca kullanıcıların paralarına mal olacak güvenlik kör noktaları yaratabilir.

Bazı Gelişmiş Saldırı Metodolojileri

Aslında pek çok gelişmiş saldırı metodolojisi mevcut ancak bunlar halkın bakış açısıyla çoğunlukla kimlik avı olarak değerlendiriliyor. Ancak bazıları normal kimlik avı saldırıları değildir. Örneğin:

https://twitter.com/Arthur_0x/status/1506167899437686784

Bilgisayar korsanları şu eki içeren bir kimlik avı e-postası gönderdi:

Stablecoin(Korumalı) İçin Büyük Risk.docx

Dürüst olmak gerekirse çekici bir belge. Ancak, kullanıcının bilgisayarına bir kez açıldığında, genellikle aşağıdaki işlevleri içeren bir Truva atı (genellikle Office makrosu veya 0 gün / 1 gün istismarı yoluyla) yerleştirilir:

• Tarayıcıyla ilgili veya SSH ile ilgili vb. her türlü kimlik bilgisini toplamak. Bu şekilde bilgisayar korsanları, hedef kullanıcının diğer hizmetlerine erişimlerini genişletebilir. Bu nedenle, enfeksiyondan sonra kullanıcılara genellikle yalnızca hedef cihazı değil aynı zamanda ilgili hesap izinlerini de temizlemeleri önerilir.
• Keylogger, özellikle şifreler gibi geçici olarak görünen hassas bilgileri hedef alıyor.
• İlgili ekran görüntülerinin, hassas dosyaların vb. toplanması
• Fidye yazılımıysa, hedef sistemdeki tüm dosyalar güçlü bir şekilde şifrelenir ve kurbanın genellikle bitcoin yoluyla fidyeyi ödemesi beklenir. Ancak bu durumda, daha bariz ve gürültülü davranışları ve açık niyetleri olan fidye yazılımı değildi.

Ayrıca, kripto endüstrisini hedef alan Truva atları, kullanıcının fonlarını çalmak amacıyla, iyi bilinen cüzdanlardan veya borsalardan hassas bilgiler toplayacak şekilde özel olarak özelleştirilecek. Profesyonel analize göre, yukarıda bahsedilen Truva atı Metamask'a hedefli bir saldırı gerçekleştirecektir:

https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/

Truva Atı, kullanıcının MetaMask'ını arka kapıları olan sahte bir MetaMask ile değiştirecektir. Arka kapılı bir MetaMask, temel olarak, içinde sakladığınız fonların artık size ait olmadığı anlamına gelir. Donanım cüzdanı kullanıyor olsanız bile, bu sahte MetaMask, hedef adresi veya miktar bilgisini manipüle ederek paranızı çalmayı başaracaktır.

Bu yaklaşım, bilinen cüzdan adreslerine sahip, iyi bilinen hedefler için özel olarak hazırlanmıştır. Bu tür insanların çoğunun kendilerinin saldırıya uğramasını önleyemeyecek kadar kibirli olduğunu fark ettim. Hack'ten sonra çoğu kişi ders alacak, kapsamlı incelemeler yapacak, önemli gelişmeler elde edecek ve aynı zamanda güvenilir güvenlik profesyonelleri veya kurumlarıyla uzun vadeli işbirliği ve dostluk kuracak. Ancak bu dünyada her zaman istisnalar vardır. Bazı kişiler veya projeler tekrar tekrar saldırıya uğruyor. Eğer her defasında daha önce kimsenin karşılaşmadığı bir şey yüzünden oluyorsa, onlara büyük saygı duyarım ve onları öncü olarak adlandırırım. Zaman geçtikçe başarılı olma ihtimalleri yüksek. Ne yazık ki olayların çoğu, kolayca önlenebilecek çok aptalca ve tekrarlanan hataların sonucudur. Bu projelerden uzak durmanızı tavsiye ederim.

Buna kıyasla, bu toplu kimlik avı saldırıları hiç de kapsamlı değil. Saldırganlar, benzer görünen bir grup alan adı hazırlayacak ve Twitter veya diğer sosyal platformlardaki hesapları, takipçileri ve retweetleri satın alarak yükleri yayacaktır. İyi yönetilirse birçok kişi tuzağa düşecek. Bu tür kimlik avı saldırılarında gerçekten özel bir şey yoktur ve normalde saldırgan, kullanıcının tokenleri (NFT dahil) başka yere aktarmak için acımasızca yetkilendirmesini sağlar.

Saldırı sürecini kolaylaştırmak için XSS, CSRF, Ters Proxy gibi tekniklerin kullanıldığı başka gelişmiş saldırı türleri de vardır. Reverse Proxy'deki senaryolardan biri olan çok özel bir durum (Cloudflare Ortadaki Adam saldırısı) dışında burada hepsini detaylandırmayacağım. Son derece gizli olan bu yöntemi kullanarak maddi kayıplara neden olan gerçek saldırılar yaşandı.

Buradaki sorun Cloudflare'in kendisinin kötü olması ya da saldırıya uğraması değil. Bunun yerine proje ekibinin Cloudflare hesabı tehlikeye giriyor. Genel olarak süreç şu şekildedir: Cloudflare kullanıyorsanız kontrol panelinde resmi açıklaması şu şekilde olan bu “Çalışan” modülünü göreceksiniz:

Sunucusuz uygulamalar oluşturup bunları dünya çapında anında dağıtarak mükemmel performans, güvenilirlik ve ölçek elde edin. Ayrıntılar için lütfen bkz. https://developers.cloudflare.com/workers/

Uzun zaman önce bir test sayfası hazırladım:

https://xssor.io/s/x.html

Sayfayı ziyaret ettiğinizde aşağıdakileri söyleyen bir açılır pencere olacaktır:

xssor.io, Cloudflare tarafından ele geçirildi.

Aslında bu açılır pencere ve hatta x.html'nin tüm içeriği belgenin kendisine ait değildir. Hepsi Cloudflare tarafından sağlanmaktadır. Mekanizma aşağıda gösterilmiştir:

Ekran görüntüsündeki kod pasajının göstergesi çok basittir: Bilgisayar korsanı olsaydım ve Cloudflare hesabınızı kontrol etsem, Workers'ı herhangi bir web sayfasına rastgele kötü amaçlı komut dosyası enjekte etmek için kullanabilirim. Ayrıca herhangi bir hata uyarısı olmayacağından (HTTPS sertifika hatası gibi) kullanıcıların hedef web sayfasının ele geçirildiğini ve değiştirildiğini fark etmesi çok zordur. Proje ekibi bile, sunucularının ve personelinin güvenliğini kontrol etmek için çok fazla zaman harcamak zorunda kalmadan sorunu kolayca tespit edemeyecektir. Cloudflare İşçileri olduğunu anladıklarında kayıp zaten önemli olabilir.

Cloudflare aslında iyi bir araçtır. Birçok web sitesi veya web uygulaması bunu web uygulaması güvenlik duvarı, anti DDoS çözümü, global CDN, ters proxy vb. olarak kullanacaktır. Ücretsiz bir sürümü olduğundan büyük bir müşteri tabanına sahiptirler. Alternatif olarak Akaimai vb. hizmetler de mevcuttur.

Kullanıcıların bu tür hesapların güvenliğine dikkat etmesi gerekmektedir. İnternetin yükselişiyle birlikte hesap güvenliği sorunları ortaya çıkıyor. Bu dünyada o kadar yaygın bir konu ki neredeyse herkes her yerde bu konuyu konuşuyor ama yine de birçok insan bu yüzden hackleniyor. Bazı temel nedenler, önemli hizmetler için benzersiz ve güçlü bir şifre kullanmamaları olabilir (1Password gibi şifre yöneticileri zaten o kadar popüler değil), bazıları 2 faktörlü kimlik doğrulamayı (2FA) açma zahmetine girmeyebilir veya belki onların bu şeyden haberi bile yok. Bazı belirli hizmetlerden bahsetmiyorum bile, şifreler en az yılda bir kez sıfırlanmalıdır.

Pekala, bu bölümün sonu olacak. Sadece bunun gerçekten karanlık bir orman olduğunu anlamalısınız ve mümkün olduğunca çok sayıda saldırı metodolojisini bilmelisiniz. Kağıt üzerinde yeterince gördükten sonra, en azından bir veya iki kez tuzağa düştüyseniz, kendinizi amatör bir güvenlik profesyoneli olarak değerlendirebilirsiniz (bu da size zaten fayda sağlayacaktır).

Geleneksel Gizlilik Koruması

Tebrikler, bu bölüme geçmeyi başardınız. Geleneksel gizlilik koruması eski bir konudur: İşte 2014'te yazdığım makale.

Gizlilik ihlalleri çağında kendinizi korumak için birkaç püf noktası öğrenmelisiniz.
https://evilcos.me/yinsi.html

Bu makaleyi tekrar okuyunca, 2014 yılında giriş seviyesi bir makale olmasına rağmen içindeki tavsiyelerin çoğu güncelliğini kaybetmiş değil. Makaleyi tekrar okuduktan sonra burada yeni bir şey ekleyeceğim: aslında gizliliğin korunması güvenlikle yakından ilgilidir. . Geleneksel gizlilik güvenliğin temel taşıdır. Bu bölüm, gizliliğinizin bir parçası olan özel anahtarlarınızı içerir. Temel taşları sağlam olmazsa, köşe taşlarının mahremiyeti anlamsızlaşırsa üst yapı da havadaki bir bina kadar kırılgan olacaktır.

Aşağıdaki iki kaynak şiddetle tavsiye edilir:

GÖZETİM KENDİ SAVUNMA
DAHA GÜVENLİ ÇEVRİMİÇİ İLETİŞİM İÇİN İPUÇLARI, ARAÇLAR VE NASIL YAPILIR
https://ssd.eff.org/

SURVEILLANCE SELF-DEFENSE, SSD'nin kısaltmasıdır. Tanınmış Electronic Frontier Foundation (EFF) tarafından başlatılmıştır ve bu kuruluş, büyük biraderin sizi izleme İnternet dünyasında izlemesini nasıl önleyeceğinizi anlatmak için özel olarak ilgili yönergeler yayınlamıştır; bunların arasında çeşitli yararlı araçlar (Tor, WhatsApp, Signal gibi) bulunmaktadır. PGP, vb.)

Gizlilik Kılavuzu: Şifreleme ve Gizlilik Araçlarıyla Gözetlemeyle Mücadele Edin
https://www.privacytools.io/

Yukarıdaki web sitesi bir dizi aracı listeleyen kapsamlı bir sitedir. Ayrıca bazı kripto para birimi borsaları, cüzdanlar vb. tavsiyelerde bulunur. Ancak şunu da belirtmek gerekir ki, web sitesinde listelenen çok fazla aracı kullanmıyorum çünkü kendi yolum var. Bu nedenle siz de sürekli karşılaştırarak ve geliştirerek kendi yolunuzu geliştirmelisiniz.

Kullanmanızı önerdiğim araçlardan bazı önemli noktaları burada bulabilirsiniz.

İşletim sistemi

Windows 10 Edition (ve üzeri) ve macOS güvenli seçeneklerdir. Yeteneğiniz varsa, Ubuntu gibi Linux'u, hatta Tails veya Whonix gibi son derece güvenlik ve gizlilik odaklı olanları seçebilirsiniz.

İşletim Sistemi konusunda en basit güvenlik prensibi şudur: Sistem güncellemelerine çok dikkat edin ve mümkün olduğunda bunları en kısa sürede uygulayın. Daha sonra İşletim Sistemine hakim olma yeteneği gelir. İnsanlar şunu sorabilir: Windows veya MacOS gibi bir İşletim Sisteminde uzmanlaşmak için ne öğrenmeniz gerekiyor? Sadece tıklamak değil mi? Aslında yeterli olmaktan çok uzak. Acemi kullanıcılar için Kaspersky, BitDefender gibi iyi bir antivirüs yazılımı şarttır ve her ikisi de MacOS'ta mevcuttur.

Daha sonra daha önce bahsettiğim indirme güvenliğini de unutmayın. Dikkatsizce program indirip kurmazsanız risklerin çoğunu ortadan kaldırmış olursunuz.

Daha sonra bilgisayarınız kaybolur veya çalınırsa ne yapacağınızı düşünün. Bir önyükleme parolasına sahip olmak elbette yeterince iyi değil. Disk şifreleme açık değilse, kötü niyetli kişiler sabit diski çıkarıp içindeki verileri alabilir. Bu nedenle benim tavsiyem, önemli bilgisayarlar için disk şifrelemenin açılması gerektiğidir.

https://docs.microsoft.com/en-us/windows/security/encryption-data-protection
https://support.apple.com/en-us/HT204837

Ayrıca VeraCrypt (eski TrueCrypt) gibi güçlü ve efsanevi araçlarımız da var, eğer ilgileniyorsanız denemekten çekinmeyin:

https://veracrypt.fr/

BIOS veya ürün yazılımı parolasını etkinleştirmek için bir adım daha ileri gidebilirsiniz. Ben kendim yaptım ama tamamen sizin tercihinize kalmış. Unutmayın: Bunu yaparsanız şifreyi çok net bir şekilde hatırlayın, aksi takdirde kimse size yardımcı olamaz. Daha önce tavşan deliğine düşecek kadar şanslıydım ki bu bana bir dizüstü bilgisayara, bir miktar kripto paraya ve bir haftalık zamana mal oldu. Öte yandan çok iyi bir öğrenme deneyimi de oluyor.

Cep telefonu

Günümüzde iPhone ve Android sadece iki ana cep telefonu kategorisidir. Eskiden BlackBerry'nin büyük bir hayranıydım ama şöhreti zamanla soldu. Geçmişte Android telefonların güvenlik duruşu beni çok endişelendiriyordu. Bir yandan henüz başlangıç aşamasındaydı, diğer yandan sürümler çok parçalıydı, her markanın kendine ait çatallanmış Android sürümü olacaktı. Ama şimdi işler çok gelişti.

Cep telefonlarında da güvenlik güncellemeleri ve indirme güvenliğine dikkat etmemiz gerekiyor. Ayrıca aşağıdaki noktalara dikkat edin:

• Telefonunuzu jailbreak/root işlemine tabi tutmayın, ilgili güvenlik araştırması yapmadığınız sürece bu gereksizdir. Eğer bunu korsan yazılım için yapıyorsanız, bu gerçekten bu beceride ne kadar iyi ustalaşabildiğinize bağlıdır.
• Resmi olmayan uygulama mağazalarından uygulama indirmeyin.
• Ne yaptığınızı bilmiyorsanız yapmayın. Resmi uygulama mağazalarında bile birçok sahte uygulamanın bulunduğunu belirtmeye bile gerek yok.
• Resmi Bulut senkronizasyon işlevini kullanmanın ön koşulu, hesabınızın güvenli olduğundan emin olmanızdır; aksi takdirde Bulut hesabı tehlikeye girerse cep telefonu da tehlikeye girer.

Şahsen ben iPhone'a daha çok güveniyorum. Ve en az iki iCloud hesabına ihtiyacınız olacak: biri Çin ve biri denizaşırı. Farklı bölgesel kısıtlamalara sahip uygulamaları yüklemek için bunlara ihtiyacınız olacak. (Kulağa oldukça tuhaf geliyor ama gerçeğe hoş geldiniz)

Ağ

Ağ güvenliği sorunları eskiden baş belasıydı, ancak son yıllarda, özellikle de HTTPS Everywhere politikasının kitlesel olarak benimsenmesinden bu yana zaten önemli gelişmeler var.

Devam eden bir ağ ele geçirme (ortadaki adam saldırısı) saldırısı durumunda, ilgili sistem hatası uyarıları verilecektir. Ancak her zaman istisnalar vardır, bu nedenle bir seçeneğiniz olduğunda daha güvenli seçeneği kullanın. Örneğin, daha popüler ve güvenli 4G/5G ağı mevcut olmadığı veya kararlı olmadığı sürece, tanımadığınız Wi-Fi ağlarına bağlanmayın.

Tarayıcılar

En popüler tarayıcılar Chrome ve Firefox'tur; kripto alanlarında bazıları da Brave'i kullanacak. Bu iyi bilinen tarayıcıların güçlü bir ekibi var ve zamanında güvenlik güncellemeleri yapılacak. Tarayıcı güvenliği konusu çok geniştir. İşte bilmeniz gereken bazı ipuçları:

• Mümkün olduğunca çabuk güncelleyin, şansınızı kaçırmayın.
• Gerekmedikçe uzantı kullanmayın. Bunu yaparsanız kararlarınızı kullanıcı incelemelerine, kullanıcı sayısına, şirket bakımına vb. göre verin ve istediği izne dikkat edin. Uzantıyı tarayıcınızın resmi uygulama mağazasından aldığınızdan emin olun.
• Birden fazla tarayıcı paralel olarak kullanılabilir ve önemli işlemleri bir tarayıcıda gerçekleştirmeniz, daha rutin, daha az önemli işlemler için ise başka bir tarayıcı kullanmanız önemle tavsiye edilir.
• İşte bazı iyi bilinen gizlilik odaklı uzantılar (uBlock Origin, HTTPS Everywhere, ClearURLs vb. gibi), bunları denemekten çekinmeyin.

Özellikle Firefox'ta, kötü amaçlı JavaScript yüklerini savuşturma konusunda kanıtlanmış bir geçmişi olan efsanevi eski NoScript uzantısını da kullanacağım. Günümüzde tarayıcılar, aynı kaynak politikası, CSP, Çerez güvenlik politikası, HTTP güvenlik başlıkları, uzantı güvenlik politikası vb. gibi şeylere destek ekledikçe giderek daha güvenli hale geliyor. Böylece NoScript gibi bir araç kullanma ihtiyacı azalıyor ve daha küçük, ilgilenirseniz bir göz atmaktan çekinmeyin.

Şifre Yöneticisi

Henüz bir şifre yöneticisi kullanmadıysanız ya kullanmanın rahatlığını bilmiyorsunuz ya da kendinize ait güçlü bir hafıza sarayınız var. Beyin hafızasının riskinden daha önce de bahsedilmişti, bunlardan biri, zamanın hafızanızı zayıflatacağı veya bozacağı; diğeri ise kaza geçirme ihtimalinizdir. Her iki durumda da, beyin hafızanıza uygun bir şifre yöneticisi kullanmanızı, 1Password, Bitwarden vb. gibi iyi bilinen bir şifre yöneticisi kullanmanızı öneririm.

Bu kısmı çok fazla ele almama gerek yok, internette konuyla ilgili o kadar çok eğitim var ki, bir eğitime ihtiyaç duymadan başlamak çok kolay.

Burada hatırlatmam gereken şey şu:

• Ana şifrenizi asla unutmayın ve hesap bilgilerinizi güvende tutun, aksi takdirde her şey kaybolur.
• E-postanızın güvenli olduğundan emin olun. E-postanızın güvenliği ihlal edilirse, şifre yöneticinizdeki hassas bilgileri doğrudan tehlikeye atmayabilir, ancak kötü aktörlerin bu bilgileri yok etme yeteneği vardır.
• Bahsettiğim araçların (1Password gibi) güvenliğini doğruladım ve ilgili güvenlik olaylarını, kullanıcı incelemelerini, haberleri vb. yakından takip ediyorum. Ancak bu araçların tamamen güvenli olduğunu ve hiçbir siyah kuğu olayının yaşanmadığını garanti edemem. gelecekte onların başına gelebilecek bir şey.

Takdir ettiğim şeylerden biri örneğin 1Password'ün güvenlik sayfasının tanıtımı ve açıklamasıdır.

https://1password.com/security/

Bu sayfada güvenlik tasarımı konseptleri, ilgili gizlilik ve güvenlik sertifikaları, güvenlik tasarımı teknik incelemeleri, güvenlik denetim raporları vb. bulunur. Bu düzeyde şeffaflık ve açıklık aynı zamanda sektörde gerekli doğrulamayı da kolaylaştırır. Tüm proje ekiplerinin bundan ders alması gerekir.

Bitwarden bir adım daha ileri gidiyor; sunucu tarafı da dahil olmak üzere tamamen açık kaynak olduğundan herkes doğrulayabilir, denetleyebilir ve katkıda bulunabilir. Şimdi görüyorsun? 1Password ve Bitwarden'ın niyeti çok açık:

Oldukça güvendeyim ve mahremiyet konusunda endişeliyim. Bunu sadece ben söylemiyorum, üçüncü parti yetkililer de söylüyor. Beni denetlemekten çekinmeyin, denetimlerinizin kolay olması adına mümkün olan her yerde açık olmaya çaba harcıyorum. Eğer yaptıklarım söylediklerime uymuyorsa bana meydan okumak kolaydır. Buna Güvenlik Güveni denir.

İki Faktörlü Kimlik Doğrulama

İnternetteki kimlik güvenliğinizden bahsetmişken, ilk katman şifrelere, ikinci katman iki faktörlü kimlik doğrulamasına ve üçüncü katman ise hedef projenin risk kontrol yeteneğine dayanmaktadır. İki faktörlü kimlik doğrulamanın olmazsa olmaz olduğunu söyleyemem. Örneğin, merkezi olmayan bir cüzdan kullanıyorsanız, tek bir şifre katmanı yeterince can sıkıcı olabilir (artık kullanıcı deneyimlerini iyileştirmek için temel olarak yüz tanıma veya parmak izi gibi biyometrik tanımlamayı destekliyorlar), kimse ikinci faktörü kullanmak istemez. Ancak merkezi bir platformda 2FA kullanmanız gerekir. Merkezi platforma herkes erişebilir ve kimlik bilgileriniz çalınırsa hesabınız ihlal edilir ve paranız kaybolur. Aksine, merkezi olmayan cüzdanınızın şifresi yalnızca yerel bir kimlik doğrulamadır, bilgisayar korsanı şifreyi alsa bile yine de cüzdanınızın bulunduğu cihaza erişmesi gerekir.

Şimdi farkları görebiliyor musunuz? İyi bilinen iki faktörlü kimlik doğrulama (2FA) araçlarından bazıları şunlardır: Google Authenticator, Microsoft Authenticator, vb. Elbette, bir şifre yöneticisi (1Password gibi) kullanıyorsanız, bu aynı zamanda bir 2FA modülüyle birlikte gelir. Bu çok kullanışlıdır. Her zaman yedekleme yapmayı unutmayın çünkü 2FA'yı kaybetmek zor olabilir.

Ayrıca iki faktörlü kimlik doğrulama daha geniş bir kavram da olabilir. Örneğin, hedef platforma giriş yapmak için bir hesap tanımlayıcı ve şifre kullanıldığında, hesap tanımlayıcımız normalde bir e-posta veya cep telefonu numarasıdır. Şu anda posta kutusu veya cep telefonu numarası, doğrulama kodunu almak için 2FA olarak kullanılabilir. Ancak bu yöntemin güvenlik düzeyi o kadar iyi değil. Örneğin, posta kutusu ele geçirilirse veya SIM kart ele geçirilirse ya da e-posta ve kısa mesaj göndermek için kullanılan üçüncü taraf hizmeti ele geçirilirse platform tarafından gönderilen doğrulama kodu da açığa çıkacak.

Bilimsel İnternette Gezinme

Politika nedenleriyle bunun hakkında çok fazla konuşmayalım, sadece iyi bilinen çözümlerden birini seçin. Kendi çözümünüzü oluşturabilirseniz işler daha kontrol altında olacaktır. Sonuçta çıkış noktamız internette bilimsel ve güvenli bir şekilde gezinmek.

Kendi oluşturduğunuz bir çözümü kullanmıyorsanız, ortadaki adam saldırısı olasılığını tamamen göz ardı edemezsiniz. Daha önce de belirtildiği gibi, İnternet güvenliği durumu, özellikle HTTPS Everywhere politikasının kitlesel olarak benimsenmesinden sonra, eskisi kadar kötü değil. Ancak huzurun bir kısmı suyun sadece yüzeyinde olabilir ve yüzeyin altında kolayca fark edilemeyen alt akıntılar zaten vardır. Dürüst olmak gerekirse bu konuda sihirli bir çözümüm yok. Kendi çözümünüzü oluşturmak kolay değil ama kesinlikle buna değer. Eğer yapamıyorsanız, birden fazla kaynak kullanarak kontrol ettiğinizden ve uzun süredir piyasada olan saygın bir kaynak seçtiğinizden emin olun.

E-posta

E-posta, web tabanlı kimliğimizin temel taşıdır. Pek çok hizmete kaydolmak için e-postayı kullanıyoruz. Kullandığımız e-posta hizmetlerinin neredeyse tamamı ücretsizdir. Hava gibi görünüyor ve onun kaybolacağını düşünmüyorsunuz. Ya bir gün E-posta hizmetiniz kaybolursa, o zaman ona bağlı olan diğer tüm hizmetler oldukça garip bir durumda olacaktır. Savaşlar, doğal afetler vb. varsa bu aşırı durum gerçekten imkansız değildir. Elbette, bu aşırı durumlar meydana gelirse, E-posta sizin için hayatta kalmaktan daha az önemli olacaktır.

E-posta servis sağlayıcıları söz konusu olduğunda Gmail, Outlook veya QQ Email gibi teknoloji devleri arasından seçim yapmalısınız. Daha önceki güvenlik araştırmalarım bu alanı kapsıyor. Bu posta kutularının güvenlik durumu yeterince iyidir. Ancak yine de E-posta kimlik avı saldırılarına karşı dikkatli olmalısınız. Her bir E-postayla, özellikle de Truva atlarının gizlenmiş olabileceği gömülü bağlantılar ve eklerle uğraşmanıza gerek yok.

E-posta servis sağlayıcılarınıza son derece karmaşık bir saldırıyla karşılaşırsanız, tek başınızasınız.

Bu teknoloji devlerinin e-posta hizmetlerinin yanı sıra, gizlilik konusunda çok endişeleniyorsanız, gizlilik dostu bu iki e-posta hizmetine göz atabilirsiniz: ProtonMail ve Tutanota. Benim önerim, bu özel kullanım dostu posta kutularını günlük kullanımdan ayırmanız ve yalnızca gizliliğe özel dikkat gerektiren hizmetler için kullanmanızdır. Ayrıca hesaplarınızın uzun süre işlem yapılmaması nedeniyle askıya alınmasını önlemek için ücretsiz E-posta hizmetlerinizi düzenli olarak kullanmanız gerekir.

SIM kart

SIM kart ve cep telefonu numarası da birçok durumda tıpkı e-posta gibi çok önemli temel kimliklerdir. Son yıllarda ülkemizdeki büyük operatörler cep telefonu numaralarının güvenliği konusunda çok iyi iş çıkardılar. Örneğin, SIM kartların iptali ve yeniden verilmesi için katı güvenlik protokolleri ve doğrulama süreçleri vardır ve bunların tümü tesiste gerçekleşir. SIM kart saldırıları konusuna gelecek olursak size bir örnek vereyim:

2019.5'te birinin Coinbase hesabı SIM Bağlantı Noktası Saldırısına (SIM kart aktarım saldırısı) maruz kaldı ve ne yazık ki 100.000 ABD dolarından fazla kripto para birimini kaybetti. Saldırı süreci kabaca şu şekildedir:

Saldırgan, sosyal mühendislik ve diğer yöntemlerle hedef kullanıcının gizlilik bilgilerini elde ederek Cep telefonu operatörünü kendisine yeni bir SIM kart vermesi için kandırdı ve ardından aynı cep telefonu numarası üzerinden hedef kullanıcının Coinbase hesabını kolayca ele geçirdi. SIM aktarıldı ve bu çok zahmetli. SIM kartınızın saldırgan tarafından aktarılması çok sıkıntılıdır; çünkü günümüzde birçok çevrimiçi hizmet, cep telefonu numaramızı doğrudan kimlik doğrulama faktörü veya 2FA olarak kullanıyor. Bu oldukça merkezi bir kimlik doğrulama mekanizmasıdır ve cep telefonu numarası zayıf nokta haline gelir.

Ayrıntılı analiz için lütfen şu adrese bakın:

https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124

Bunun için savunma önerisi aslında basit: iyi bilinen bir 2FA çözümünü etkinleştirin.

SIM kartın başka bir riski daha vardır: yani, telefon kaybolursa veya çalınırsa, kötü adamın SIM kartı çıkarıp kullanması utanç verici olacaktır. Yaptığım şey şu: SIM kart şifresini (PIN kodu) etkinleştirin, böylece telefonumu her açtığımda veya SIM kartımı yeni bir cihazda kullandığımda doğru şifreyi girmem gerekiyor. Lütfen ayrıntılı nasıl yapılır bilgisini Google'a sorun. Benden hatırlatma şu: Bu şifreyi unutmayın, yoksa çok sıkıntı olur.

GPG

Bu bölümdeki pek çok içerikten önceki bölümlerde bahsedilmişti, buraya daha temel kavramları da eklemek isterim. Bazen PGP, OpenPGP, GPG gibi birbirine benzeyen isimlerle karşılaşırsınız. Bunları basitçe şu şekilde ayırt edin:

• Pretty Good Privacy'nin kısaltması olan PGP, şu anda Symantec çatısı altında olan 30 yıllık bir ticari şifreleme yazılımıdır.
• OpenPGP, PGP'den türetilen bir şifreleme standardıdır.
• Tam adı GnuPG olan GPG, OpenPGP standardını temel alan açık kaynaklı bir şifreleme yazılımıdır.

Çekirdekleri benzer ve GPG ile diğerleriyle uyumlusunuz. Burada tekrar şiddetle tavsiye ediyorum: Güvenlik şifrelemesinde tekerleği yeniden icat etmeye çalışmayın; GPG, doğru şekilde kullanıldığında güvenlik düzeyini önemli ölçüde artırabilir!

Ayrışma

Ayrıştırmanın güvenlik ilkesinin ardındaki temel değer, sıfır güven zihniyetidir. Ne kadar güçlü olursak olalım, er ya da geç saldırıya uğrayacağımızı anlamalısınız; ister harici bilgisayar korsanları, ister içerideki kişiler ya da kendimiz tarafından olsun. Saldırıya uğradığında ilk adım kaybı durdurmak olmalıdır. Kaybı durdurma yeteneği birçok kişi tarafından göz ardı ediliyor ve bu yüzden tekrar tekrar saldırıya uğruyorlar. Temel neden, herhangi bir güvenlik tasarımının, özellikle de ayırma gibi basit yöntemlerin bulunmamasıdır.

İyi bir ayırma uygulaması, güvenlik olayları durumunda, diğer varlıkları etkilemeden yalnızca ele geçirilen hedefle doğrudan ilgili olanları kaybetmenizi sağlayabilir.

Örneğin:

• Şifre güvenliği uygulamanız iyiyse, hesaplarınızdan biri hacklendiğinde aynı şifre diğer hesaplarınıza zarar vermeyecektir.
• Kripto para biriminiz bir dizi anımsatıcı tohum altında depolanmıyorsa, bir tuzağa düşerseniz her şeyi kaybetmezsiniz.
• Bilgisayarınıza virüs bulaşmışsa, şans eseri bu yalnızca gündelik faaliyetler için kullanılan bir bilgisayardır ve içinde önemli hiçbir şey yoktur. Dolayısıyla paniğe kapılmanıza gerek yoktur, çünkü bilgisayarı yeniden yüklemek sorunların çoğunu çözecektir. Sanal makineleri kullanma konusunda iyiyseniz, anlık görüntüyü geri yükleyebileceğiniz için işler daha da iyidir. İyi sanal makine araçları şunlardır: VMware, Parallels.
• Özetlemek gerekirse, en az iki hesabınız, iki aracınız, iki cihazınız vb. olabilir. Alıştıktan sonra tamamen bağımsız bir sanal kimlik oluşturmanız imkansız değildir.

Daha önce daha uç bir görüşten bahsetmiştim: Mahremiyet bizim korumamız değildir, mahremiyetin kontrol edilmesi gerekir.

Bu bakış açısının nedeni şudur: Günümüz internet ortamında gizlilik aslında ciddi anlamda sızdırılmıştır. Neyse ki, gizlilikle ilgili düzenlemeler son yıllarda giderek daha yaygın bir şekilde benimsenmeye başlandı ve insanlar giderek daha fazla dikkat gösteriyor. Aslında her şey doğru yönde gidiyor. Ancak bundan önce, her durumda, saydığım bilgi noktalarına hakim olduğunuzda gizliliğinizi kolaylıkla kontrol edebileceksiniz. İnternette alışkınsanız neredeyse birbirinden bağımsız birçok sanal kimliğiniz olabilir.

İnsan Doğasının Güvenliği

İnsan her zaman en yüksek ve sonsuz risk altındadır. Üç Beden Problemi'nden bir alıntı var: "Zayıflık ve cehalet hayatta kalmanın önünde engel değildir, kibir öyledir."

• Kibirli olmayın: Zaten güçlü olduğunuzu düşünüyorsanız, kendiniz için sorun yok. Bütün dünyaya tepeden bakmayın. Özellikle aşırı gurur duymayın ve küresel bilgisayar korsanlarına meydan okuyabileceğinizi düşünmeyin. Öğrenmenin sonu yok ve hala birçok engel var.
• Açgözlü olmayın: Açgözlülük birçok durumda gerçekten de ilerlemenin motivasyonudur, ancak bir düşünün, neden bu kadar iyi bir fırsat sadece sizin için ayrıldı?
• Dürtüsel olmayın: dürtüsellik sizi tuzaklara sürükleyecek şeytandır. Döküntü eylemi kumardır.

İnsan doğasında konuşacak sonsuz şey vardır ve daha dikkatli olamazsınız. Lütfen aşağıdaki noktalara özellikle dikkat edin ve kötü aktörlerin çeşitli uygun platformlar kullanarak insan doğasının zayıflığından nasıl faydalandıklarını görün.

Telgraf

Daha önce Telegram'ın en büyük karanlık ağ olduğunu söylemiştim. İnsanların Telegram'ı güvenliği, istikrarı ve açık tasarım özellikleri nedeniyle sevdiğini söylemeliyim. Ancak Telegram'ın açık kültürü aynı zamanda kötü adamları da çekiyor: çok sayıda kullanıcı, son derece özelleştirilebilir işlevsellik, her türlü Bot hizmetini oluşturabilecek kadar kolay. Kripto para birimiyle birleştiğinde gerçek ticaret deneyimleri Tor'daki karanlık web pazaryerlerinin çok ötesindedir. Ve içinde çok fazla balık var.

Normalde sosyal medya hesaplarının benzersiz tanımlayıcısı yalnızca kullanıcı adı, kullanıcı kimliği gibi bir şeydir ancak bunlar kötü aktörler tarafından tamamen kopyalanabilir. Bazı sosyal platformlarda mavi V simgesi veya benzeri bir şey eklemek gibi hesap doğrulama mekanizmaları bulunur. Herkese açık sosyal medya hesapları, takipçi sayısı, paylaşılan içerikler, hayranlarla etkileşim vb. bazı göstergelerle doğrulanabilir. Halka açık olmayan sosyal medya hesapları biraz daha zordur. Telegram'ın “Hangi Gruplarda Birlikteyiz” fonksiyonunu yayınladığını görmek güzel.

Kullanılabilecek boşlukların olduğu ve kayda değer kazanımların olduğu her yerde, bir grup kötü adamın zaten orada olması gerekir, bu insan doğasıdır.

Sonuç olarak sosyal medya platformları kimlik avı tuzaklarıyla doludur. Örneğin: Bir grup sohbetinde aniden resmi müşteri hizmetlerine benzeyen biri ortaya çıkıyor ve özel bir sohbet başlatıyor (any2any özel sohbet Telegram'ın özelliğidir, arkadaşlık isteğine gerek yok) ve ardından klasik taktiklerin dışına çıkıyor. spam, balıklar birbiri ardına ısırır.

Veya saldırganlar bir adım daha ileri giderek sizi başka bir gruba ekleyebilir. Tüm katılımcılar seni satın alıyor sahte, ama sana çok gerçekçi görünüyor. Bu tekniğe yeraltı toplumunda Grup Klonlama diyoruz.

Bunlar sadece insan doğasını manipüle etmenin temel yöntemleridir; ileri teknikler güvenlik açıklarıyla birleşecek ve dolayısıyla önlenmesi daha zor olacaktır.

Anlaşmazlık

Discord, son iki yılda ortaya çıkan yeni ve popüler bir sosyal platform/IM yazılımıdır. Resmi açıklamada belirtildiği gibi, temel işlev topluluk sunucularıdır (geleneksel sunucu kavramı değil):

Discord, 13 yaş ve üzeri on milyonlarca kişinin toplulukları ve arkadaşlarıyla konuşmak ve takılmak için kullandığı ücretsiz bir sesli, görüntülü ve yazılı sohbet uygulamasıdır.

İnsanlar Discord'u her gün sanat projelerinden aile gezilerine, ev ödevlerinden zihinsel sağlık desteğine kadar pek çok şey hakkında konuşmak için kullanıyor. Burası her büyüklükteki topluluğun evidir ancak en yaygın olarak düzenli olarak konuşan küçük ve aktif insan grupları tarafından kullanılır.

Harika görünüyor ancak oldukça güçlü bir güvenlik tasarımı standardı gerektiriyor. Discord'un aşağıdaki gibi belirli güvenlik kuralları ve politikaları vardır:

https://discord.com/safety

Ne yazık ki çoğu insan bunu dikkatlice okuma zahmetine girmeyecek. Dahası, Discord bazı temel güvenlik sorunlarını her zaman açıkça gösteremeyebilir çünkü saldırgan şapkasını takmak zorunda kalacaklar ki bu da her zaman mümkün olmayabilir.

Örneğin:

Discord'da bu kadar çok NFT hırsızlığı varken, temel saldırı yöntemleri neler? Bunu çözmeden önce Discord güvenlik tavsiyelerinin faydası yok.

Pek çok Discordhack projesinin ardındaki temel neden aslında HTTP istek başlığındaki yetkilendirme alanının içeriği olan Discord Token'dır. Discord'da çok uzun zamandır var. Bilgisayar korsanları bu Discord Token'ı almanın bir yolunu bulabilirlerse hedef Discord sunucusunun neredeyse tüm ayrıcalıklarını kontrol edebilecekler. Yani hedef bir yönetici, yönetici ayrıcalıklarına sahip bir hesap veya Discord botu ise bilgisayar korsanları istedikleri her şeyi yapabilirler. Örneğin, bir NFT kimlik avı sitesi duyurusu yaparak, insanlara bunun resmi bir duyuru olduğunu düşündürüyorlar ve balıklar kancayı ısırıyor.

Bazıları Discord hesabıma iki faktörlü kimlik doğrulama (2FA) eklersem ne olur diye sorabilir. Kesinlikle iyi bir alışkanlık! Ancak Discord Token'ın hesabınızın 2FA durumuyla hiçbir ilgisi yoktur. Hesabınız ihlal edildiğinde orijinal Discord Token'ınızı geçersiz kılmak için Discord şifrenizi derhal değiştirmelisiniz.

Bilgisayar korsanının Discord Token'ı nasıl elde edebileceği sorusu için en az üç ana teknik belirledik, ileride detaylı olarak anlatmaya çalışacağız. Normal kullanıcılar için yapılabilecek çok şey var, ancak temel noktalar şunlardır: acele etmeyin, açgözlü olmayın ve birden fazla kaynaktan doğrulama yapın.

“Resmi” kimlik avı

Kötü aktörler rol oynamanın, özellikle de resmi rolün avantajlarından yararlanma konusunda iyidirler. Mesela sahte müşteri hizmetleri yönteminden daha önce bahsetmiştik. Bunun yanı sıra, Nisan 2022'de, tanınmış donanım cüzdanı Trezor'un birçok kullanıcısı, Trezor'un resmi alan adı trezor.io olmayan trezor.us'tan kimlik avı e-postaları aldı. Alan adı son ekinde küçük bir fark vardır. Dahası, aşağıdaki alan adları da kimlik avı e-postaları aracılığıyla yayıldı.

https://suite.trẹzor.com

Bu alan adında bir "vurgu noktası" var, içindeki ẹ harfine yakından bakın ve bunun e harfi olmadığını görebilirsiniz. Kafa karıştırıcı? Aslında Punycode'dur, standart açıklama aşağıdaki gibidir:

Uygulamalarda Uluslararasılaştırılmış Alan Adları için Unicode'un (IDNA) Bootstring kodlaması, hem Unicode hem de ASCII kodlarında sınırlı bir karakter kümesini temsil eden uluslararasılaştırılmış bir alan adı kodlamasıdır.

Birisi trẹzor'un kodunu çözerse, şuna benzer: xn-trzor-o51b, bu gerçek alan adıdır!

Bilgisayar korsanları yıllardır kimlik avı için Punycode'u kullanıyor; 2018'de bazı Binance kullanıcılarının güvenliği aynı hileyle ele geçirilmişti.

Bu tür kimlik avı siteleri, resmi posta kutusunun kontrol edilmesi veya SPF yapılandırma sorunlarının neden olduğu posta sahteciliği saldırıları gibi daha gelişmiş saldırıların yanı sıra, birçok kişinin düşmesine neden olabilir. Sonuç olarak, e-postanın kaynağı resmi olanla tamamen aynı görünüyor.

Eğer sahte bir içeriden biriyse, kullanıcı hiçbir şey yapamaz. proje ekipleri içeriden gelen tehditleri önlemek için çok çaba sarf etmelidir. İçeriden öğrenenler en büyük Truva atıdır, ancak çoğu zaman ihmal edilirler.

Web3 Gizlilik Sorunları

Web3'ün popülaritesinin artmasıyla birlikte, giderek daha ilginç veya sıkıcı projeler ortaya çıktı: her türlü Web3 altyapısı, sosyal platformlar vb. gibi. Bazıları, yalnızca blockchain üzerinde değil, büyük veri analizi yaptı ve hedeflerin çeşitli davranışsal portrelerini belirledi. tarafta değil, aynı zamanda iyi bilinen Web2 platformlarında da. Portre ortaya çıktığında hedef temelde şeffaf bir kişidir. Web3 sosyal platformlarının ortaya çıkışı da bu tür gizlilik sorunlarını daha da kötüleştirebilir.

Bir düşünün, imza bağlama, zincirleme etkileşimler vb. gibi Web3 ile ilgili tüm bu şeylerle uğraşırken, gizliliğinizden daha fazlasını mı veriyorsunuz? Birçoğu aynı fikirde olmayabilir, ancak birçok parça bir araya geldikçe daha doğru ve kapsamlı bir resim ortaya çıkacak: hangi NFT'leri toplamaktan hoşlanıyorsunuz, hangi topluluklara katıldınız, hangi beyaz listede bulunuyorsunuz, kimlerle bağlantıdasınız, hangi Web2 hesapları bağlı olduğunuz, hangi zaman dilimlerinde aktif olduğunuz vb. Bakın, blockchain bazen gizliliği daha da kötüleştiriyor. Gizliliğe önem veriyorsanız, yeni ortaya çıkan her şeye karşı dikkatli olmanız ve kimliğinizi ayırma yönündeki iyi alışkanlığınızı sürdürmeniz gerekecektir.

Bu noktada, eğer özel anahtar yanlışlıkla çalınırsa, kayıp sadece para kadar basit değil, özenle korunan Web3 hak ve menfaatlerinin kaybıdır. Sık sık özel anahtarın kimlik olduğunu söyleriz ve artık gerçek bir kimlik sorununuz var.

Asla insan doğasını test etmeyin.

Blockchain saçmalıkları

Blockchain teknolojisi yepyeni bir endüstri yarattı. İster BlockFi, DeFi, kripto para birimi, sanal para birimi, dijital para birimi, Web3 vb. olarak adlandırın, her şeyin özü hâlâ blockchaindir. Çoğu abartılı reklam, takas edilemeyen tokenlar (veya NFT, dijital tahsil edilebilir) dahil olmak üzere kripto varlıkları gibi finansal faaliyetlere odaklanıyordu.

Blockchain endüstrisi son derece dinamik ve etkileyici ancak kötülük yapmanın çok fazla yolu var. Blockchain'in özel özellikleri, kripto hırsızlığı, kripto hırsızlığı, fidye yazılımı, karanlık web ticareti, C2 saldırısı, kara para aklama, Ponzi şemaları, kumar vb. dahil ancak bunlarla sınırlı olmamak üzere bazı benzersiz kötülüklere yol açmaktadır. 2019'da bir zihin haritası yapmıştım. referans için.

https://github.com/slowmist/Knowledge-Base/blob/master/mindmaps/evil_blockchain.png

Bu arada SlowMist ekibi, blockchain ile ilgili hackleme faaliyetleri için büyüyen bir veritabanı olan SlowMist Hacked'in bakımını ve güncellemesini yapıyor.

https://hacked.slowmist.io/

Bu el kitabı birçok güvenlik önlemini tanıtıyor ve bunları kendi güvenliğinize uygulayabiliyorsanız tebrikler. Blockchain saçmalıklarını çok fazla detaylandırmayacağım. Eğer ilgileniyorsanız, bunu kendi başınıza öğrenebilirsiniz ki bu kesinlikle iyi bir şeydir, özellikle de yeni dolandırıcılık ve sahtekarlıkların sürekli olarak gelişmesi nedeniyle. Ne kadar çok öğrenirseniz kendinizi o kadar iyi savunabilir ve bu sektörü daha iyi hale getirebilirsiniz.

Saldırıya uğradığınızda ne yapmalısınız?

Sonunda saldırıya uğramanız sadece an meselesi. Peki o zaman ne yapmalı? Doğrudan kovalamacaya geçeceğim. Aşağıdaki adımların mutlaka sıralı olması gerekmez; Bazen ileri geri gitmeniz gerekir ama genel fikir şudur.

Önce Kaybı Durdurun

Zararı durdurma, kaybınızı sınırlamakla ilgilidir. En az iki aşamaya ayrılabilir.

• Acil Eylem Aşaması. Derhal harekete geçin! Bilgisayar korsanlarının varlıklarınızı aktardığını görürseniz daha fazla düşünmeyin. Acele edin ve kalan varlıkları güvenli bir yere aktarın. Önden işlem yapma konusunda deneyiminiz varsa, yakalayın ve koşun. Varlık türüne bağlı olarak, blok zincirindeki varlıklarınızı dondurabiliyorsanız bunu mümkün olan en kısa sürede yapın; Zincir içi analiz yapabilir ve varlıklarınızın merkezi bir borsaya aktarıldığını tespit ederseniz risk kontrol departmanıyla iletişime geçebilirsiniz.
• Eylem Sonrası Aşama. Durum istikrara kavuştuğunda, ikincil veya üçüncül saldırıların olmayacağından emin olmaya odaklanmalısınız.

Sahneyi Koruyun

Bir şeylerin ters gittiğini fark ettiğinizde sakin olun ve derin bir nefes alın. Sahneyi korumayı unutmayın. İşte birkaç öneri:

• Kaza internete bağlı bir bilgisayar, sunucu veya diğer cihazlarda meydana gelirse, cihazları güç kaynağıyla açık tutarak derhal ağ bağlantısını kesin. Bazı kişiler, eğer yıkıcı bir virüs ise yerel sistem dosyalarının virüs tarafından yok edileceğini iddia edebilir. Haklılar, ancak kapatmak yalnızca virüsten daha hızlı tepki verebilirseniz yardımcı olur…
• Bunu kendi başınıza halletme yeteneğiniz olmadığı sürece, güvenlik uzmanlarının analiz için devreye girmesini beklemek her zaman daha iyi bir seçimdir.

Bu gerçekten önemli çünkü biz analizi yapmak için devreye girdiğimizde sahnenin zaten karmakarışık olduğu pek çok kez karşılaştık. Hatta önemli kanıtların (örn. günlükler, virüs dosyaları) temizlendiği durumlar bile vardı. İyi korunmuş bir suç mahalli olmadığı takdirde, daha sonraki analiz ve takip işlemleri son derece aksatıcı olabilir.

Sorun kaynağı çözümlemesi

Nedeni analiz etmenin amacı, düşmanı anlamak ve bilgisayar korsanının portresini çıkarmaktır. Bu noktada Post Mortem Raporu olarak da adlandırılan olay tutanağı çok önemlidir. Olay Raporu ve Otopsi Raporu aynı şeyi ifade eder.

Madeni paraları çalındıktan sonra yardım için bize gelen pek çok insanla tanıştık ve birçoğunun ne olduğunu net bir şekilde anlatması çok zordu. Net bir olay raporu hazırlamaları onlar için daha da zor. Ancak bunun uygulanabilir olduğunu ve örneklere başvurulmasının yararlı olacağını düşünüyorum. Aşağıdakiler iyi bir başlangıç noktası olabilir:

• Özet 1: Olaya kim karıştı, bu ne zaman oldu, ne oldu ve toplam kayıp ne kadar oldu?
• Özet 2: Kayba ilişkin cüzdan adresleri, hackerın cüzdan adresi, coinin türü, coinin miktarı. Tek bir tablo yardımıyla çok daha net bir şekilde anlaşılabilir.
• Süreç açıklaması: Bu kısım en zor olanıdır. Olayın tüm yönlerini tüm detaylarıyla anlatmanız gerekecek; bu, hacker ile ilgili çeşitli izleri analiz etmek ve sonunda onlardan hacker portresini almak (motivasyon dahil) açısından faydalıdır.

Belirli durumlar söz konusu olduğunda şablon çok daha karmaşık olacaktır. Bazen insan hafızası da güvenilmez olabilir ve hatta önemli bilgilerin kasıtlı olarak gizlenmesi zaman kaybına veya zamanlamanın gecikmesine neden olabilir. Yani pratikte çok büyük bir tüketim olacak ve tecrübemizi işi iyi yönlendirmek için kullanmamız gerekiyor. Son olarak coinleri kaybeden kişi veya ekiple birlikte bir olay raporu hazırlıyoruz ve bu olay raporunu güncel tutmaya devam ediyoruz.

Kaynak İzleme

Rocca Yasasına göre istilanın olduğu yerde iz de vardır. Yeterince derinlemesine araştırırsak her zaman bazı ipuçları buluruz. Soruşturma süreci aslında adli analiz ve kaynak takibidir. Adli analizden çıkan hacker portresine göre kaynakları takip edip, dinamik ve yinelemeli bir süreç olan sürekli zenginleştireceğiz.

Kaynak izleme iki ana bölümden oluşur:

• Zincir üstü zeka. Cüzdan adreslerinin merkezi borsalara, kripto para karıştırıcılara vb. girme gibi varlık faaliyetlerini analiz ediyor, izliyor ve yeni transferlerle ilgili uyarılar alıyoruz.
• Zincir dışı istihbarat: Bu bölüm, bilgisayar korsanının IP'sini, cihaz bilgilerini, e-posta adresini ve davranışsal bilgiler de dahil olmak üzere bu ilişkili noktaların korelasyonundan elde edilen daha fazla bilgiyi kapsar.

Bu bilgilere dayanan çok sayıda kaynak izleme çalışması mevcut ve hatta kolluk kuvvetlerinin katılımını gerektirecek.

Davaların Sonuçlanması

Elbette hepimiz mutlu bir son isteriz ve işte dahil olduğumuz ve iyi sonuçlar veren, kamuya açıklanmış olaylardan bazı örnekler:

• Lendf.Me, Değeri $25 milyon
• SIL Finans, Değeri $12,15 milyon
• Poly Network, Değeri $610 milyon

İyi ya da iyi sonuçlarla sonuçlanan pek çok yayınlanmamış vakayla karşılaştık. Ancak çoğunun sonu kötü oldu ki bu da oldukça talihsiz bir durum. Bu süreçlerde çok değerli deneyimler kazandık ve gelecekte de iyi sonların oranını daha da artıracağımızı umuyoruz.

Bu kısımdan yukarıda kısaca bahsedilmiştir. Bu alanla ilgili çok fazla bilgi var ve bazılarına pek aşina değilim. Bu nedenle burada detaylı bir açıklama yapmayacağım. Senaryoya bağlı olarak uzmanlaşmamız gereken yetenekler şunlardır:

• Akıllı Sözleşme Güvenlik Analizi ve Adli Tıp
• Zincir içi fon transferlerinin analizi ve adli tıp
• Web Güvenliği Analizi ve Adli Tıp
• Linux Sunucu Güvenliği Analizi ve Adli Tıp
• Windows Güvenlik Analizi ve Adli Tıp
• macOS Güvenlik Analizi ve Adli Bilimler
• Mobil Güvenlik Analizi ve Adli Tıp
• Kötü amaçlı kod analizi ve adli tıp
• Ağ cihazlarının veya platformlarının güvenlik analizi ve adli tıp
• İçeriden güvenlik analizi ve adli tıp
• …

Güvenliğin neredeyse her yönünü kapsıyor ve bu el kitabı da öyle. Ancak bu güvenlik noktalarından burada sadece bir Giriş kılavuzu olarak kısaca bahsedilmektedir.

Yanlış kanı

Bu el kitabı en başından itibaren size şüpheci kalmanızı söylüyor! Bu, burada bahsedilen her şeyi içerir. Bu, her türlü tuzak ve kaosla dolu, son derece canlı ve gelecek vaat eden bir sektör. Burada, eğer gerçek olarak kabul edilirse kolayca tuzaklara düşmenize ve kaosun bir parçası olmanıza neden olabilecek bazı yanlış anlamalara bir göz atalım.

Kod Kanundur

Kod kanundur. Bununla birlikte, bir proje (özellikle akıllı sözleşmeyle ilgili olanlar) saldırıya uğradığında veya bozulduğunda, hiçbir kurban "Kod Yasadır"ı istemez ve görünen o ki, yine de gerçek dünyadaki yasalara güvenmeleri gerekiyor.

Anahtarlarınız Değil, Paralarınız Değil

Anahtarlarınıza sahip değilseniz, madeni paralarınıza da sahip değilsiniz. Aslına bakılırsa pek çok kullanıcı kendi özel anahtarlarını doğru şekilde yönetemedi. Çeşitli güvenlik yanlış uygulamaları nedeniyle kripto varlıklarını bile kaybediyorlar. Bazen kripto varlığınızı büyük ve saygın platformlara koymanın aslında daha güvenli olduğunu göreceksiniz.

Blockchain'e Güveniyoruz

Blockchain olduğu için ona güveniyoruz. Aslında blockchain'in kendisi, kurcalamaya ve sansüre karşı dayanıklı olduğundan temel güven sorunlarının çoğunu çözme kapasitesine sahiptir; Varlığım ve ilgili faaliyetlerim zincir halindeyse, başka kimsenin iznim olmadan varlığımı alamayacağına veya faaliyetlerime müdahale edemeyeceğine varsayılan olarak güvenebilirim. Ancak gerçek çoğu zaman serttir; öncelikle her blockchain bu temel noktalara ulaşamaz ve ikinci olarak insan doğası her zaman en zayıf halka haline gelir. Günümüzde hackleme tekniklerinin çoğu çoğumuzun hayal gücünün ötesindedir. Her zaman saldırı ve savunmanın maliyet ve etki arasındaki denge olduğunu söylesek de, büyük bir varlığa sahip değilseniz hiçbir bilgisayar korsanı sizi hedeflemek için zaman kaybetmez. Ancak sizin gibi birden fazla hedef olduğunda hackerların saldırıyı başlatması oldukça karlı olacaktır.

Güvenlik tavsiyem çok basit: Varsayılan olarak güvenmeyin (yani, varsayılan olarak her şeyi sorgulayın) ve sürekli doğrulama yapın. Doğrulama buradaki temel güvenlik eylemidir ve sürekli doğrulama temel olarak güvenliğin hiçbir zaman statik bir durumda olmadığı anlamına gelir; şu anda güvenli olması yarın da güvenli olacağı anlamına gelmez. Doğru şekilde doğrulama yeteneği hepimiz için en büyük zorluktur, ancak bu oldukça ilginçtir, çünkü bu süreçte pek çok bilgiye hakim olacaksınız. Yeterince güçlü olduğunuzda kimse size kolay kolay zarar veremez.

Kriptografik Güvenlik Güvenliktir

Kriptografi güçlü ve önemlidir. Kriptografların tüm sıkı çalışmaları, tüm sağlam kriptografik algoritmalar ve mühendislik uygulamaları olmadan modern iletişim teknolojisi, İnternet veya blockchain teknolojisi olmayacak. Ancak bazı kişiler kriptografik güvenliği mutlak güvenlik olarak görmektedir. Ve böylece bir sürü tuhaf soru ortaya çıkıyor:

Blockchain o kadar güvenli değil mi ki özel bir anahtarı kırmak trilyonlarca yıl sürdü? FBI nasıl oluyor da Dark Web Bitcoin'in şifresini çözebiliyor? Jay Chou'nun NFT'si neden çalınabilir ki?

Bu acemi sorulara dayanabiliyorum… dayanamadığım şey, sözde güvenlik profesyonellerinin çoğunun halkı kandırmak için kriptografik güvenlik kavramlarını kullanması, askeri düzeyde şifreleme, dünyanın en iyi şifrelemesi, kozmik güvenlik gibi terimlerden bahsetmeleri. düzeyinde şifreleme, mutlak sistem güvenliği, hacklenemezlik vb.

Bilgisayar korsanları mı? Hiç umurlarında değil…

Hacklenmek küçük düşürücü bir şey mi?

Saldırıya uğramanın karışık duygulara yol açabileceği ve bazen utanç duygusunun ortaya çıkabileceği doğrudur. Ancak saldırıya uğramanın neredeyse 100% garantili olduğunu, dolayısıyla utanılacak bir şey olmadığını anlamalısınız.

Bir kez saldırıya uğradığınızda, yalnızca kendinizden sorumlu olmanızın bir önemi yoktur. Ancak birçok kişiden sorumluysanız, olayla ilgilenirken şeffaf ve açık olmanız gerekir.

İnsanlar sizi hacklemeyi kendiniz düzenlemekle sorgulayabilir veya hatta suçlayabilirlerse de, şeffaf ve açık bir güncelleme süreci her zaman iyi şanslar ve anlayış getirecektir.

Bunu şu şekilde düşünün: Projeniz iyi tanınmıyorsa kimse sizi hacklemez. Utanç verici olan hacklenmek değil; ayıp senin kibirindir.

Olasılık açısından bakıldığında, saldırıya uğramak yaygın bir olgudur; normalde güvenlik sorunlarının çoğu, projenizin büyümesine yardımcı olabilecek küçük sorunlardır. Ancak yine de ciddi büyük sorunlardan mümkün olduğunca kaçınılması gerekiyor.

Hemen Güncelle

Bu el kitabı birçok kez güncellemeye dikkat edilmesini öneriyor. Bir güvenlik güncellemesi varsa hemen uygulayın. Şimdi dikkatlice düşünün, bu sihirli bir değnek mi?

Aslında çoğu durumda "şimdi güncellemek" yapılacak doğru şeydir. Ancak tarihte bir güncellemenin bir sorunu çözüp başka bir sorunu ortaya çıkardığı zamanlar olmuştur. Bir örnek iPhone ve Google Authenticator'dır:

Yeni iOS 15 güncellemesinin riski vardır, yani Google Authenticator'daki bilgiler iPhone yükseltmesinden sonra silinebilir veya iki katına çıkarılabilir. Bu durumda, iki katına çıktıklarını fark ettiğinizde yinelenen girişleri asla silmeyin; zira bu, yeniden açıldıktan sonra Google Authenticator'daki tüm bilgilerin kaybolmasına neden olabilir.

iOS 15 sistemine yükseltme yapmamış ve Google Authenticator kullananların, yükseltme öncesinde yedekleme yapmaları önemle tavsiye edilir.

Daha sonra Google, Authenticator uygulamasını güncelleyerek bu sorunu kalıcı olarak çözdü.

Ayrıca, büyük bir güvenlik yaması veya kaçınılmaz bir güncellemeye yol açan çok önemli bir özellik olmadığı sürece, özellikle varlık ağırlıklı cüzdanlar için cüzdanların sık sık güncellenmesini önermiyorum. bu durumlarda kendi risk değerlendirmenizi yapmanız ve kendi kararınızı vermeniz gerekecektir.

Çözüm

Bu el kitabının bu diyagramla başladığını unutmayın 🙂

Diyagramdaki kişiyi kırmızıyla işaretlediğimi fark ettiniz mi? Bunu, insanın her şeyin temeli olduğunu (kozmolojide “antropik prensip” olarak anılır) bir kez daha hatırlatmak için yapıyorum. İster insan doğasının güvenliği olsun, ister güvenlik becerilerinde uzmanlaşma yeteneği olsun, her şey size bağlıdır. Evet, yeterince güçlü olduğunuzda kimse size kolay kolay zarar veremez.

Diyagramı temel alarak genişletmeye başladım ve üç süreçteki birçok güvenlik anahtar noktasını açıkladım; cüzdan oluşturma, cüzdanı yedekleme ve cüzdan kullanma. Daha sonra geleneksel gizlilik korumasını uygulamaya koydum. Bu tür geleneksel olanların blockchain ekosistemlerinde güvende kalmamızın temel taşları ve yapı taşları olduğunu belirttim. İnsan doğasının güvenlik kısmı aşırıya kaçılamaz. Kötülük yapmanın çeşitli yolları hakkında daha fazla bilgi edinmek iyidir, özellikle de birkaç çukura adım atarsanız kağıt üzerindeki güvenlik farkındalığı, sonunda sizin güvenlik deneyiminiz haline gelebilir. Mutlak bir güvenlik yok o yüzden hacklendiğinizde ne yapmanız gerektiğini anlattım. Talihsiz bir olayın başınıza gelmesini istemiyorum ama olması durumunda bu el kitabının size yardımcı olabileceğini umuyorum. Son olarak bazı yanılgılardan bahsetmek gerekiyor. Niyetim çok basit, umarım kendi eleştirel düşüncenizi geliştirebilirsiniz çünkü dünya hem güzel hem de berbat.

Uzun zamandır bu kadar çok kelime yazmamıştım. Sanırım en son 10 yıl önce bu kitabı yazmıştım.Web Erişimi“. Oldukça acı tatlıydı. Web güvenliği ve siber güvenlik alanında uzun yıllar çalıştıktan sonra, bir siber uzay arama motoru olan ZoomEye'yi oluşturmak için bir ekibe liderlik ettim. Siber güvenlik kapsamında pek çok alanla ilgilendim, bunlardan sadece birkaçında yetenekli olduğumu söyleyebilirim.

Artık blockchain güvenliğinde SlowMist ve ben öncü olarak kabul ediliyoruz. Bu yıllarda o kadar çok vakayla karşılaştık ki, neredeyse her gün transa girdiğimizi zannedersiniz. Pek çok içgörünün kaydedilmemesi ve paylaşılmaması üzücü. Sonuç olarak, birkaç arkadaşın teşvikiyle bu el kitabı doğdu.

Bu el kitabını okumayı bitirdiğinizde pratik yapmalı, uzmanlaşmalı ve çıkarımlarda bulunmalısınız. Sonrasında kendi keşfiniz ya da deneyiminiz olduğunda umarım katkı sağlarsınız. Hassas bilgiler olduğunu düşünüyorsanız bunları maskeleyebilir veya bilgileri anonimleştirebilirsiniz.

Son olarak, güvenlik ve gizlilikle ilgili mevzuat ve yaptırımların küresel olgunluğu sayesinde; Tüm öncü kriptografların, mühendislerin, etik hackerların ve Satoshi Nakamoto'nun da aralarında bulunduğu daha iyi bir dünyanın yaratılmasında emeği geçen herkesin çabalarına teşekkür ederiz.

Ek

Güvenlik kuralları ve ilkeleri

Bu el kitabında bahsedilen güvenlik kural ve ilkeleri aşağıdaki şekilde özetlenmiştir. Yukarıdaki metne pek çok kural dahil edilmiştir ve burada özel olarak geliştirilmeyecektir.

İki önemli güvenlik kuralı:

• Sıfır güven. Basitleştirmek gerekirse, şüpheci kalın ve daima öyle kalın.
• Sürekli doğrulama. Bir şeye güvenebilmek için şüphe duyduğunuz şeyi doğrulamanız ve doğrulamayı alışkanlık haline getirmeniz gerekir.

Güvenlik ilkeleri:

• İnternetteki tüm bilgiler için en az iki kaynağa bakın, birbirinizi doğrulayın ve her zaman şüpheci kalın.
• Ayrım yapmak. Yumurtaların hepsini aynı sepete koymayın.
• Önemli varlıklara sahip cüzdanlar için gereksiz güncellemeler yapmayın.
• Ne görüyorsanız onu imzalıyorsunuz. Neyi imzaladığınızın ve imzalanan işlem gönderildikten sonra beklenen sonucun farkında olmanız gerekir. Daha sonra pişman olmanızı sağlayacak şeyler yapmayın.
• Sistem güvenliği güncellemelerine dikkat edin. Bunları mümkün olan en kısa sürede uygulayın.
• Programları dikkatsizce indirip yüklemeyin, aslında çoğu riski önleyebilirsiniz.

Katkıda Bulunanlar

Katkıda bulunanlar sayesinde bu liste sürekli güncellenecektir ve umarım bu el kitabı için herhangi bir fikriniz varsa benimle iletişime geçebilirsiniz.

Çünkü Twitter(@evilcos)、即刻(@余弦.jpg)

Katkıda Bulunanlar

Eşim SlowMist, Twitter (@SlowMist_Team), örneğin Pds, Johan, Kong, Kirk, Thinking, Blue, Lisa, Keywolf... Jike uygulaması Bazı anonim arkadaşlar ... Daha fazlası: https://darkhandbook.io/contributors.html

Katkınız bu el kitabına dahil edilmek üzere kabul edilirse, katkıda bulunanlar listesine ekleneceksiniz.

Örneğin: spesifik emniyet savunma önerileri veya vakaları sağlanmıştır; çeviri çalışmalarına katıldı; daha büyük hataları vb. düzeltti.

Resmi Siteler

SlowMist https://www.slowmist.com CoinMarketCap https://coinmarketcap.com/ Sparrow Cüzdan https://sparrowwallet.com/ MetaMask https://metamask.io/ imToken https://token.im/ Trust Wallet https ://trustwallet.com/ Gnosis Güvenli https://gnosis-safe.io/ ZenGo https://zengo.com/ Fireblocks https://www.fireblocks.com/ Safeheron https://www.safeheron.com/ Keystone https://keyst.one/ Trezor https://trezor.io/ Habby https://rabby.io/ EdgeWallet https://edge.app/ MyEtherWallet https://www.myetherwallet.com/ Phantom https: //phantom.app/ Tornado Cash https://tornado.cash/ Binance https://www.binance.com/ Coinbase https://coinbase.com Compound https://compound.finance/ SushiSwap https://www .sushi.com/ OpenSea https://opensea.io/ Revoke.cash https://revoke.cash/ APPROVED.zone https://approved.zone/ 即刻 https://okjike.com/ Kaspersky https:// www.kaspersky.com.cn/ Bitdefender https://www.bitdefender.com/ Cloudflare https://www.cloudflare.com/ Akamai https://www.akamai.com/ GÖZETİM KENDİ SAVUNMA https://ssd .eff.org/ Gizlilik Kılavuzu https://www.privacytools.io/ OpenPGP https://www.openpgp.org/ GPG https://gnupg.org/ GPG Suite https://gpgtools.org/ Gpg4win https: //www.gpg4win.org/ 1Password https://1password.com/ Bitwarden https://bitwarden.com/ Google Authenticator https://support.google.com/accounts/answer/1066447 Microsoft Authenticator https://www .microsoft.com/en-us/security/mobile-authenticator-app ProtonMail https://protonmail.com/ Tutanota https://tutanota.com/ VMware Workstation https://www.vmware.com/products/workstation- pro.html Paralellikler https://www.parallels.com/