rozwiń >

Kryptowaluty to nie bank. Brak regulacji oznacza brak ochrony

forsal.pl: Coraz więcej Polaków kupuje kryptowaluty, płaci nimi lub przyjmuje je w biznesie. Z perspektywy cyberbezpieczeństwa – na co tak naprawdę się porywamy? Jakie są najczęstsze błędy popełniane przez początkujących użytkowników?

Odpowiedź na to pytanie nie jest prosta i najuczciwiej byłoby odpowiedzieć na nie: to zależy. Token nie jest równy tokenowi, memcoin'y to zupełnie inna kategoria niż stablecoin'y, więc bez choćby ogólnej wiedzy o rynku kryptowalut odradzałbym ich stosowanie w życiu prywatnym, a tym bardziej w biznesie. I mam tu na myśli bardziej ogólne ryzyka wynikające z tego czym jest krytopwaluta niż związane z cyberbezpieczeństwem. Chyba najważniejszym aspektem, o którym w tym kontekście należy pamiętać, jest to, że obrót kryptowalutą pozostaje poza jakąkolwiek oficjalną kontrolą. Przypomnę, że próba wprowadzenia pierwszych mechanizmów kontrolnych na tym rynku w Polsce została niedawno zawetowana przez prezydenta, a podmioty odpowiedzialne za obrót i wymianę tokenów (tzw. giełdy lub kantory krypto często działają w sposób, który naraża powierzane im środki klientów na utratę w wyniku (rzekomych?) zaniedbań. Przykłady: utracone klucze do portfela – QuadrigaCX, działań w sposób oczywisty nielegalnych jak spekulowanie powierzonymi środkami bez wiedzy klientów - FTX, czy niedostatecznych zabezpieczeń - Bybit. Taki błąd po stronie giełdy często oznacza bezpowrotną i całkowitą utratę środków przez klientów korzystających z ich usług - nie ma żadnego Bankowego Funduszu Gwarancyjnego, a podmioty świadczące usługi wymiany w świecie krypto nie posiadają zwykle żadnego majątku fizycznego, z którego możnaby próbować odzyskać choćby część poniesionych strat.

Socjotechnika rządzi. Dlaczego hakerzy nie muszą łamać systemów

Gdzie dziś czyhają największe zagrożenia związane z kryptowalutami? Czy częściej mamy do czynienia z atakami technicznymi (np. malware, kradzież kluczy), czy raczej z oszustwami opartymi na socjotechnice? Proszę o konkretne przykłady z praktyki.

W przypadku znanych mi historii kradzieży kryptowaluty, zawsze występował element socjotechniczny - czy to był fałszywy telefon od obsługi technicznej, czy phishing, czy nieuprawnione zduplikowanie karty SIM albo uzyskanie nieuprawnionego dostępu do konta mailowego. Jedna z grup przestępczych, specjalizująca się w kradzieżach krypto, już na etapie targetowania ofiar posługiwała się sieciami społecznościowymi. Prowokowała użytkowników (np. przez wyzwania, ankiety, fałszywe szkolenia lub doradztwo) do ujawniania pośrednio lub bezpośrednio stanu swojego konta kryptowalutowego (czysta socjotechnika). Natomiast należy zaznaczyć, że jednocześnie sama socjotechnika w znanych mi przypadkach nie była wystarczająca - bo dopiero w połączeniu z błędami właścicieli krypto (niewłaściwe przechowywanie kluczy, stosowanie przewidywalnych lub nieunikalnych haseł, brak dodatkowych czynników w procesie autentykacji, korzystanie z oprogramowania zawierającego znane podatności) prowadziła do przejęcia kontroli nad środkami.

ikona lupy />
phishing cyberatak bezpieczeństwo oszustwo / Shutterstock

Antywirus to za mało. Jak naprawdę zabezpieczyć kryptowaluty

Jak powinien zabezpieczyć się zwykły użytkownik, który instaluje aplikację do obsługi kryptowalut lub korzysta z giełdy? Czy klasyczny program antywirusowy wystarczy, czy potrzebne są dodatkowe środki ostrożności?

Program antywirusowy to już od dawna zbyt podstawowe zabezpieczenie aby znacząco ograniczało ryzyko tego, że padniemy ofiarą ataku cybernetycznego. I to nie tylko w przypadku transakcji na kryptowalutach. Ale wracając do pytania, konkretne zabezpieczenia techniczne będą częściowo zależały od urządzenia, z którego planujemy korzystać oraz od samej aplikacji obsługującej stronę transakcyjną. Niemniej jest kilka uniwersalnych zasad których warto przestrzegać:

  • realizować transakcje wyłącznie z wykorzystaniem zaufanych sieci WiFi lub z wykorzystaniem komórkowej transmisji danych (nie korzystamy z publicznych sieci), ale także unikamy wykonywania transakcji w miejscach publicznych, gdzie ktoś może zajrzeć na nasze urządzenie „przez ramię”;
  • realizować transakcje wyłącznie z naszych własnych urządzeń (nie logujemy się do serwisów transakcyjnych z urządzeń nam udostępnionych przez innych);
  • upewnić się, że używamy najnowszej dostępnej wersji programów na naszym urządzeniu, zawierających najświeższe poprawki (dotyczy to zarówno komponentów podstawowych, jak system operacyjny czy przeglądarka, jak i dedykowanych do obsługi krypto aplikacji);
  • wszelkie aplikacje wykorzystywane do realizacji transakcji pobieramy wyłącznie z oficjalnych sklepów/stron;
  • jeśli jest to tylko możliwe włączamy autentykację dwu- (2FA) lub wieloskładnikową (MFA) i jeśli mamy opcję wyboru, co jest dodatkowym składnikiem procesu autentykacji, to wybieramy sprzętowe klucze kryptograficzne (warto zakupić takie urządzenie jeśli zamierzamy przeznaczyć na krypto istotne dla nas środki), klucze dostępowe skojarzone z konkretnym urządzeniem (passkeys), a w ostateczności aplikacje autentykujące; kody wysyłane mailem, sms czy oddzwanianie nie stanowią zabezpieczenia, które w dzisiejszych czasach możnaby uznać za dostateczne jeśli w grę wchodzą transakcje finansowe lub dostęp do naszego portfela;
  • jeśli w procesie autentykacji wykorzystywane są hasła statyczne lub jeśli mamy możliwość resetu hasła/dostępu z wykorzystaniem zewnętrznych kanałów (najczęściej maila) to bezwzględnie korzystamy z silnych (przede wszystkim długich, w miarę możliwości także złożonych) i unikalnych haseł, a najlepiej z dedykowanego programu do zarządzania hasłami (menadżera haseł) w każdym miejscu, gdzie statyczne hasło jest podawane w procesie autentykacji;
  • jeżeli planujemy większe transakcje kryptowalutowe warto zaopatrzyć się w dedykowany sprzętowy portfel, do przechowywania kluczy kryptograficznych gwarantujących dostęp do naszych tokenów;
  • no i najważniejsze zabezpieczenie: zdrowy rozsądek połączony ze zdrową dawką podejrzliwości;

Kopanie kryptowalut: niskie ryzyko dla jednych, wysokie dla innych

Wiele osób interesuje się dziś „kopaniem” kryptowalut. Jakie zagrożenia cybernetyczne wiążą się z miningiem – zarówno dla użytkownika, jak i jego sprzętu czy sieci domowej?

Jeśli do „wydobycia” tokenów używamy własnej infrastruktury oraz legalnego, oficjalnego oprogramowania, to ryzyka są znikome. Z punktu widzenia cyberbezpieczeństwa mining jest istotnym ryzykiem w nieco innym kontekście: używania przez górników w sposób nieautoryzowany cudzej infrastruktury. Znane są liczne przypadki przejmowania kontroli nad urządzeniami końcowymi (w tym także z kategorii IoT i to pomimo niewielkiej mocy obliczeniowej takich urządzeń) lub serwerami w celu prowadzenia obliczeń umożliwiających wydobycie tokenu. Można też wymienić wiele przykładów (w tym nawet z jednego z ministerstw), kiedy „górnicy” instalują nielegalnie urządzenia w cudzych budynkach lub podłączają się na dziko do sieci energetycznej, obciążając kosztami wydobywania rachunki nieświadomych osób lub instytucji.

ikona lupy />
Upadające giełdy kryptowalut mogą nigdy nie oddać pieniędzy inwestorów / Shutterstock / Chinnapong

Czy kryptowaluty są dla każdego? Wymagany poziom świadomości

Jaki poziom świadomości i wiedzy jest dziś niezbędny, by bezpiecznie poruszać się w świecie kryptowalut? Czy to wciąż nisza dla zaawansowanych, czy przeciętny użytkownik Internetu jest w stanie nauczyć się tego bezpiecznie?

Do obrotu kryptowalutami niezbędna jest zarówno wiedza czym są kryptowaluty, jak i świadomość ryzyk związanych z takim obrotem.W kategorii ryzyk należy wymienić istotne ryzyko ze strony cyberprzestępców, a aby takie ryzyko realnie ograniczyć niezbędne będą kompetencje cyfrowe na nieco wyższym poziomie niż przeciętny. Może nie trzeba rozumieć jak działa kryptografia, czy jaką rolę w blockchain pełnią walidatory, ale umiejętność korzystania z kluczy czy portfeli sprzętowych, albo stosowanie właściwej cyberhigieny są bardzo silnie wskazane. A na dziś nie są to powszechne kompetencje. Oczywiście można realizować transakcje na rynku krypto bez odpowiedniej wiedzy i stosowania sugerowanych zabezpieczeń, ale to jest postepowanie z kategorii pozostawienia przed wyjazdem na urlop naszej całej gotówki na stole, przy otwartym oknie wychodzącym na ulicę. Oczywiście to wcale nie oznacza, że jak wrócimy z urlopu to tych pieniędzy nie będzie, ale chyba nikt nie zaryzykowałby takiego eksperymentu ze swoimi ciężko zarobionymi środkami.

Blockchain – technologia odporna, użytkownik już niekoniecznie

Na koniec pytanie podstawowe, ale kluczowe: czym właściwie jest blockchain i dlaczego z punktu widzenia bezpieczeństwa uchodzi za technologię „odporną na manipulacje”? A gdzie, mimo wszystko, kończy się jego bezpieczeństwo?

Blockchain to technologia wykorzystująca silną kryptografię do zapisu historii transakcji w sposób uniemożliwiający jej fałszowanie. W uproszczeniu transakcje, po zebraniu w blok (block), są kryptograficznie powiązane z wcześniejszym stanem blockchaina, a zapis bloku staje się kolejnym ogniwem łańcucha danych (chain). Kryptografia oraz architektura (rozproszenie informacji) stoją na straży tego, aby nie można było wstecznie modyfikować transakcji. W dużym uproszczeniu można to sobie zobrazować, jakbyśmy obracali banknotami w 100% zabezpieczonymi przed sfałszowaniem, a każdy z tych banknotów miał na sobie zapisaną tajnym kodem historię grup transakcji, w których uczestniczył od momentu opuszczenia drukarni papierów wartościowych do chwili obecnej. Oznacza to, że takie wirtualne banknoty (tokeny) są niepodrabialne i jednocześnie zapewniają wysoki poziom anonimowości. I właściwie w tym miejscu bezpieczeństwo gwarantowane przez technologie blockchain się kończy. Aby dziś wejść na rynek krypto musimy nabyć tokeny za tradycyjną walutę i w drugą stronę, żeby móc wykorzystać środki zgromadzone w kryptowalucie w sposób swobodny, musimy je wymienić na tradycyjne środki płatnicze. Stąd konieczność skorzystania z pośredników (giełd i kantorów krypto) z czym się wiążą wspomniane wcześniej ryzyka. Należy także pamiętać, że nawet „niepodrabialny banknot” może zostać skradziony (w tym przypadku mówimy tak naprawdę o kradzieży klucza kryptograficznego, umożliwiającego wykonanie kolejnej transakcji w blockchain) i technologia blockchain w żaden sposób nie zabezpiecza przed takim scenariuszem. To już od właściciela tokenu zależy jak skutecznie będzie je chronił przed nieuprawnionym dostępem. A co do manipulacji - to nie technologie a ludzie są podatni na manipulację i nie ma skutecznego zabezpieczenia przed takim zagrożeniem.

Podsumowanie

Kryptowaluty oferują nowe możliwości, ale jednocześnie przenoszą odpowiedzialność za bezpieczeństwo niemal w całości na użytkownika. Brak regulacji, nieodwracalność transakcji i rosnąca aktywność cyberprzestępców sprawiają, że bez odpowiedniej wiedzy i cyberhigieny ryzyko utraty środków jest realne. Jak podkreśla Kamil Wiśniewski, blockchain może być odporny na manipulacje, ale nie chroni przed ludzkimi błędami i socjotechniką.

ikona lupy />
Kamil Wiśniewski, ekspert ds. cyberbezpieczeństwa i wykładowca oraz kierownik studiów podyplomowych „Cyberbezpieczeństwo w praktyce” w Polsko-Japońskiej Akademii Technik Komputerowych / Materiały prasowe