Durante una Casa Keyfest sesión de la conferencia celebrada el 6 de enero de Casa Jefe de Seguridad Ron Stoner dio un resumen de la "seguridad de las operaciones" (OPSEC), un término acuñado por el ejército estadounidense durante la guerra de Vietnam.
Según la Wikipedia , OPSEC es “un proceso que identifica información crítica para determinar si las acciones amigas pueden ser observadas por la inteligencia enemiga, determina si la información obtenida por los adversarios podría interpretarse como útil para ellos, y luego ejecuta medidas seleccionadas que eliminan o reducen la explotación adversaria de los amigos. información crítica."
OPSEC también es un lenguaje común en el mundo de Bitcoin: los dispositivos que se utilizan para acceder a sus fondos de bitcoin son superficies de ataque que requieren seguridad en las operaciones. Stoner discutió OPSEC desde la perspectiva de Bitcoin y cómo protegerse de estas posibles superficies de unión.
Pero mientras miraba la sesión de Stoner, mi mente no se centró en las operaciones militares o las superficies de ataque de Bitcoin. Empecé a pensar en Hollywood. Específicamente, sobre las ahora 25 películas de James Bond y todos los dispositivos y métodos que utiliza Bond para derrotar a los malos actores. Y también todas las formas en que James Bond baja la guardia y es derrotado.
Por lo tanto, consideremos cómo James Bond o Spectre (la organización terrorista global ficticia contra la que lucha Bond) podrían volverse demasiado confiados o perezosos con respecto a OPSEC para Bitcoin, o simplemente priorizar la baja complejidad sobre una mayor seguridad para sus fondos de bitcoin.
Preparando la escena: MI6 y cómo llegó a cero
Imaginemos que los servicios de inteligencia secretos británicos y el empleador de Bond, el MI6, solo usan bitcoin y ahora son autónomos. El gobierno estaba demasiado entrelazado con el dinero corrupto, por lo tanto, el MI6 tomó un acuerdo monetario y se deshizo del gobierno. MI6 invirtió en bitcoin como una reserva de valor que apreciaría y financiaría sus misiones, además de satisfacer sus necesidades de seguridad, privacidad y movilidad. MI6 ahora usa bitcoin exclusivamente.
Este cambio en la financiación ha obligado a Bond a empezar a presupuestar. Bond había estado gastando de manera extravagante y operando con una preferencia de tiempo alta. Su jefe, M, le ha asignado una asignación estricta para su billetera caliente personal 007. No hay excusas.
[EN ALGUN LUGAR DE LAS MONTAÑAS DE MONTENEGRO]
Bond conduce su Aston Martin a paso vivo. Su tablero cobra vida y una voz comienza a hablar.
Coche: [Mensaje entrante de M]
“Bond, M aquí. Escucha, estoy de vacaciones y acabo de tener un encontronazo con unos bandidos en Barcelona. Han robado el coche alquilado y ahora la maldita agencia insiste en que lo haga bien. Moneypenny está fuera y necesito que alguien me transfiera 100 millones de satélites de la billetera MI6. ¿Podría ser un buen tipo y enviar fondos de su cuenta de operaciones a esta empresa de alquiler? Código QR adjunto.”
Coche: [Mensaje final. ¿Le gustaría responder?]
Bond considera un momento. La organización le suena familiar, pero no recuerda de dónde. No importa. Tenía una reunión con una encantadora informante en Podgorica en una hora, y no tenía tiempo para porqués y para qué.
Bono: “Sí. Envíale un mensaje que me ocuparé de ello”.
Coche: [Mensaje enviado.]
Bond: “Siri, necesito transferir fondos al código QR del último mensaje”.
Coche: [Accediendo al último mensaje. Parece que hay un enlace incrustado en el mensaje. ¿Permiso de acceso?]
Bond, con impaciencia: “Sí, sí. Avanzar."
Coche: [Archivo entrante. Instalando actualización de software.]
Bono: “¿Qué, ahora? ¿No puede esperar hasta que termine?
Coche: [Software actualizado. ¿Fuente de fondos?]
Bond: "Necesito acceder a mi billetera operativa de Bitcoin". [Nota del editor: No hay colocación de productos aquí].
Coche: [Se requiere autenticación biométrica. Coloque su mano en la consola para autorizar.]
Bond lo hace. La pantalla se vuelve verde.
Coche: [Autorización aceptada. Dinero enviado. El saldo de su cuenta operativa ahora es cero. Ya no se requiere su participación para esta transacción.]
Bono: "¿Qué?"
El techo del Aston Martin se retrae.
Auto: [Adiós, Sr. Bond.]
El malware ahora a cargo del vehículo activa el asiento eyectable, Bond agarra su iPhone y sale disparado hacia el cielo, con el teléfono sostenido desesperadamente en una mano, alcanzando su paracaídas de bolsillo con la otra mano.
Bond no tiene automóvil, ni fondos del MI6 y muy pocos fondos personales de billetera caliente.
Billeteras de firma única o multifirma
Numerosos proveedores ofrecen billeteras de múltiples firmas con configuraciones de dos de tres multisig y tres de cinco multisig.
Sin embargo, Bond y otros agentes deben ir a un solo lugar, obtener fondos del almacenamiento en frío y seguir adelante. En base a esas necesidades:
- MI6 no configura multisig y, en su lugar, tiene muchas billeteras de hardware de una sola firma
- MI6 mantiene seguras las billeteras de hardware y las semillas de respaldo en ubicaciones geográficamente separadas
- MI6 también tiene fondos divididos en todas estas billeteras de hardware de almacenamiento en frío de una sola firma
MI6 sabe que esta no es la mejor seguridad, pero para las necesidades de movilidad y conveniencia, creen que funciona para ellos.
Spectre quiere cortar los fondos de MI6 y Bond. Los agentes de Spectre se infiltran simultáneamente en varias de las ubicaciones de almacenamiento cerca de Bond que contienen semillas de respaldo y billeteras de hardware.
El sistema de seguridad Ring de múltiples ubicaciones de Bond lo alerta a él y a Q de que dos de las billeteras de hardware y una copia de seguridad semilla para una tercera billetera han sido robadas de las tres ubicaciones cercanas a él. Las billeteras tienen un pequeño dispositivo similar a una etiqueta de aire de Apple incrustado en la bolsa Faraday de cada billetera. Este dispositivo puede transmitir fuera de la bolsa de Faraday gracias al trabajo tecnológico de Q. Esto permite a Bond y Q rastrear a los agentes hasta su guarida.
Con multisig, a estos villanos les habría resultado mucho más difícil acceder a cualquiera de los fondos de bitcoin del MI6, ya que necesitarían tener los dos o tres dispositivos o semillas apropiados para transferir los fondos de dos de ellos.
configuración multisig de tres o tres de cinco.
Consejo uno de OPSEC: use bolsas de Faraday para proteger sus dispositivos contra piratería, borrado/daños y vigilancia remotos.
Consejo OPSEC dos: Stoner aconseja almacenar las billeteras de hardware en una ubicación con control de acceso. Por ejemplo, un cajón cerrado (donde solo usted tiene la llave) o una caja fuerte o un edificio con guardia armado y acceso con identificación requerida. Además, use una bolsa a prueba de manipulaciones para que cuando uno haga sus controles de hardware y claves trimestrales o semestrales, pueda asegurarse de que nadie haya accedido a los dispositivos.
PIN de James Bond y 007
Los villanos comienzan intentando acceder a las billeteras de hardware robadas.
Después de décadas en el negocio, la capacidad de Bond para evadir su propio asesinato y el éxito continuo de la película lo han convertido en el líder del MI6 y un poco demasiado confiado y apegado a su identidad numérica. Bond insistió en que el PIN de todas las carteras del MI6 fuera 007007. Los villanos ingresan fácilmente este pin y acceden así a las carteras de hardware.
Consejo tres de OPSEC: Casa recomienda usar un PIN para todas las billeteras, ya que esto facilita que el usuario promedio recupere sus fondos. Sin embargo, con PIN separados, el compromiso de una billetera no sería el mismo que el compromiso de otra billetera de hardware. Este es un escenario de compensación de complejidad versus más seguridad. Además, si el PIN de una billetera de hardware se ve comprometido, deberá actualizar todas las billeteras de hardware.
Actualizaciones de firmware y sistema operativo
Los villanos ahora están conectados a la billetera de hardware a través de su computadora portátil. Sin embargo, Q ha accedido al sitio web de las billeteras de hardware e implanta temporalmente una carga útil inteligente en una actualización de firmware.
Se les pide a los villanos que actualicen el firmware y lo hacen.
El firmware se infiltra en la billetera de hardware, pero los villanos no se dan cuenta de esto y proceden a actualizar también la próxima billetera de hardware. Están distraídos, emocionados de ver la cantidad de bitcoins que acaban de adquirir. Literalmente están contando sus bitcoins antes de que se los roben.
Q luego usará su malware para mover los fondos a otra billetera de hardware. Además, Bond podría recuperar la semilla de respaldo y, una vez que la recupere, aún podría restaurar la billetera y obtener el Bitcoin.
Consejo cuatro de OPSEC: cuando vea una actualización de firmware, realice una verificación manual. Escriba la URL, confirme allí realmente is una actualización y lo que contiene. Stoner recomienda aplicar actualizaciones de inmediato para las correcciones de seguridad críticas. Para otras actualizaciones, verifique la fecha de lanzamiento y tal vez espere unos días para "dejar que se hornee" mientras la comunidad prueba el nuevo firmware de producción. También es posible que desee actualizar el firmware para aprovechar las nuevas actualizaciones de protocolo, como las mejoras de Taproot. Cuando esté disponible, do use cualquier herramienta de software disponible para verificar la firma digital o la suma de verificación MD5 en el archivo de actualización de firmware.
Consejo cinco de OPSEC: durante una actualización de firmware, asegúrese de tener el cable enchufado firmemente y no lo desconecte durante la actualización. Utilice siempre el cable que viene con el dispositivo, ya que puede haber diferencias de fabricante.
Consejo seis de OPSEC: Para su dispositivo móvil, computadora portátil o de escritorio, manténgase siempre actualizado con todos los parches. Sin embargo, puede ser mejor esperar un par de días o una semana para asegurarse de que las actualizaciones no tengan ningún problema.
OPSEC Sugerencia Siete: Cualquier cosa a la que te conectes es una superficie de ataque; protégela en consecuencia. Stoner no recomienda dispositivos con espacio de aire para el usuario promedio. (Dicho esto, algunos consideran que las billeteras de hardware tienen espacios de aire). Bond es un activo de alto riesgo que utiliza dispositivos air-gapped para realizar la firma fuera de línea y luego transmite la transacción en una máquina conectada a la red. Sin embargo, la impaciencia y los “planes” de Bond hicieron que se relajara.
Seguridad Física
Los villanos ahora recurren a la frase semilla de respaldo para recuperarla en una nueva billetera de hardware.
Estos villanos de Spectre son engreídos y sufren el sesgo de exceso de confianza masivo que estos tipos malvados tienden a tener en las películas. (Nota: las personas malvadas no son así en la vida real. Son muy inteligentes).
Un tipo malvado lee las palabras iniciales a alguien que usa las claves para restaurar una nueva billetera de hardware. Mientras tanto, Bond ha pirateado a su asistente Alexa y puede escucharlos leer las palabras iniciales.
Bond obtiene las palabras iniciales y luego puede restaurar una nueva billetera de hardware de repuesto y transferir sus fondos a otra parte antes de que los villanos hayan terminado de buscar a tientas. Para los villanos, parece que no quedan sats en el dispositivo.
Consejo Ocho de OPSEC: Antes de usar cualquier dispositivo, Stoner habló sobre escanear su perímetro físico en busca de personas u otros dispositivos que puedan estar escuchando, mirando o grabando. Históricamente, estábamos aislados en nuestros hogares y solo visibles para otras personas o tecnología cuando estábamos fuera de nuestros hogares. Eso ha cambiado: todos tenemos dispositivos con cámaras y micrófonos en nuestros hogares o en relojes en nuestra muñeca. Stoner no recomienda detectores de errores, ya que son difíciles de usar y pueden generar muchos falsos positivos. Retire cualquier dispositivo adicional (que pueda estar escuchando o mirando) de la habitación.
Consejo nueve de OPSEC: antes del uso, inspeccione los dispositivos para detectar signos de manipulación.
Armas de hardware
Mientras los villanos se preguntan qué salió mal, Bond irrumpe en su automóvil y conecta un cable OMG al cargador de iPhone de su automóvil. Este cable inyecta malware en el iPhone.
Bond compra un montón de bitcoins con su aplicación para iPhone y lo transfiere a su billetera caliente personal. Ahora ha repuesto su billetera caliente para poder celebrar de la manera habitual.
Consejo diez de OPSEC: En cuanto a los cables, Stoner recomienda tener cuidado al comprarlos y no usar cables o dispositivos USB al azar. Su mejor apuesta es usar el cable que vino con el dispositivo cuando lo compró.
Seguridad digital
Los villanos persisten, como suelen hacer. Hay una recompensa potencial enorme, enorme. Bitcoin acaba de dispararse a $ 500,000. Esta vez, Spectre envía a una mujer para que haga el trabajo.
Bond le pide sus datos de contacto y ella le envía un mensaje de texto con la información junto con un enlace de Instagram a algunas fotos de ella. Bond hace clic en el enlace de su teléfono y, sin saberlo, su teléfono se conecta a un sitio nefasto y descarga malware. Bond luego quiere ver las imágenes en la pantalla de su computadora portátil y, nuevamente, Bond ahora infectó descuidadamente ambos dispositivos.
Q no le dijo a Bo
nd a nunca hacer clic en enlaces?!
OPSEC Tip Eleven: Stoner tiene el mismo mantra que yo: Hacer no haga clic en enlaces. Escriba las URL en el navegador usted mismo. O bien, puede encontrar los enlaces a través de un motor de búsqueda. Si debe hacer clic en un enlace, los modos privados del navegador, las máquinas virtuales y otras herramientas de seguridad pueden ayudar a proporcionar una mejor seguridad.
Comprobación de sus copias de seguridad y plan
Con cualquier activo digital que tenga, debe verificar periódicamente sus copias de seguridad para asegurarse de que aún existan y que pueda restaurarlas. Esto también es cierto para sus billeteras de hardware y cualquier semilla que conserve.
No todos tenemos alertas sobre nuestras ubicaciones de almacenamiento en frío para saber si se han visto comprometidas. Piense en un plan de acción antes algo está comprometido.
OPSEC de Bitcoin
Es importante estar muy atento a las amenazas y a la tarea en cuestión cuando se trata de su dinero. Ustedes tienes ser paranoico Ustedes tienes ten cuidado. Y, si no es obvio, nunca debe usar Wi-Fi público para ninguna operación que le interese.
Así como Bond juega al gato y al ratón con los villanos, también lo hacen los hackers de sombrero negro y los investigadores de seguridad de sombrero blanco. Los piratas informáticos explotan constantemente, mientras que los ingenieros de seguridad emiten parches constantemente.
A la gente le encanta jugar videojuegos por la emoción y el desafío. Y, sin embargo, cuando necesita implementar la seguridad del dispositivo (seguridad física y actualizaciones de parches, carteras de hardware y actualizaciones de firmware, y comprobaciones de claves de hardware), estas acciones se vuelven tediosas y rutinarias. O olvidado.
El mundo ya no se trata de encerrarte en un lugar seguro o sentirte seguro mientras te mueves en cualquier área. La tecnología puede llegar a ti estés donde estés: en casa, dondequiera que vayas y a través de lo que estés viendo o usando para tu comodidad.
La comodidad es enemiga de la seguridad. La facilidad y la comodidad son enemigas de la seguridad. No haga que su seguridad sea conveniente o fácil para que los malos se infiltren. Si lo hace, en algún momento, el descuido o los villanos lo atraparán, y esa será su pérdida... de preciosos fondos de bitcoin.
Esta es una publicación invitada de Heidi Porter. Las opiniones expresadas son totalmente propias y no reflejan necesariamente las de BTC Inc o Bitcoin Magazine.
Fuente: https://bitcoinmagazine.com/culture/james-bond-learning-bitcoin-opsec-tips
