Пара слов про безопасность криптовалютных кошельков

Навеяно громкими заявлениями о безопасности биржи WCEX, о которых я упоминал в прошлом посте.

Для начала напомню основы безопасного обращения с криптовалютой. Средства для ее хранения в порядке увеличения безопасности:

• нелегальные биржи. Периодически их взламывают, а владелец или кто-то из сотрудников может сделать последний рывок и исчезнуть вместе со всеми средствами. Иногда блокируют пользователей без особых на то причин. Привлечь кого-то к ответственности крайне сложно.
• легальные биржи. В них меньше бардака и больше ответственности. Но они также подвержены взлому, а судиться с профессиональной командой юристов занятие достаточно хлопотное и затратное. Тем более, что скорей всего это придется делать в другой стране. Есть риск блокировки из-за несоблюдения каких-нибудь формальностей.
• онлайн кошельки. Также высокая угроза взлома. Даже если сервис не хранит постоянно ваш приватный ключ. В этом случае хакер не получит его сразу, но может модифицировать код сервера. И если это вовремя не обнаружат, то при первом же входе вы отдадите ему свой ключ и все средства на блюдечке.
• кошелёк на своем компьютере, подключенном к интернету. Операционная система Windows считается самой дырявой, OS X получше, Linux еще лучше. При наличии прямых рук и антивируса, а также отсутствия привычки лазать по сомнительным сайтам, качать оттуда и запускать что попало - разница не столь заметна.
• холодный кошелёк - кошелёк на компьютере без интернета
• аппаратный кошелёк

Как всегда, приходится соблюдать разумный компромисс. Аппаратный кошелёк, или холодное хранение это здорово, но играть на изменении курса не получится. К тому же отдельный компьютер, или специальное устройство стоят денег и эти деньги должны быть несопоставимо меньше чем сумма, которую вы защищаете.

Linux безопаснее, но как правило вы используете домашний ПК не только для операций с криптовалютой. Или его используете не только вы.

Локальный кошелек это хороший выбор, но блокчейн занимает на текущий момент около 150 Гб, не знаю как у вас, а у меня до недавнего времени весь жесткий диск был 125.

На мой взгляд, не то что оптимальным выбором, а просто единственным доступным для большинства пользователей является хранение на своём домашнем ПК. А если у вас нет 50$ на покупку жесткого диска в 1Тб, то наверно не стоит слишком переживать о тех суммах которые вы можете потерять из-за взлома blockchain.info или myetherwallet.com

Точно также, для большинства безальтернативным вариантом является ОС Windows .

Как можно повысить безопасность своих биткоинов без дорогостоящих вложений и создания себе значительных неудобств?

Принцип первый. Подальше положишь - поближе возьмешь

• Если ваш домашний ПК с привычной ОС Windows подключен к интернету напрямую - поставьте роутер. Многие провайдеры предлагают вообще бесплатно, или за символическую плату, точки доступа WiFi. Вы обеспечите быстрым и бесплатным интернетом все свои смартфоны и планшеты. А за одно, между вашей дырявой ОС Windows и опасностями интернета будет стоять роутер на основе Linux и работать как файрволл. Это значит что вместо прямого прощупывания всех дыр в вашей системе хакеру придется сначала взломать роутер - эта задачка на порядок посложнее.
• Поставьте виртуальную машину. А в нее - Ubuntu, или другой Linux. Используйте в нем максимальные настройки безопасности, надежный пароль и шифрование диска. Не используйте эту систему ни для чего другого. Если хотите поизучать линукс - заведите для этого другую виртуальную машину и там развлекайтесь сколько хотите. В идеале - под каждую криптовалюту нужно завести отдельную виртуалку с разными паролями. Или по крайней мере одну - для нормальных криптовалют с официальными клиентами, а вторую для разных мусорных коинов, за наличием закладок в клиентском ПО которых никто не следит.
• Храните приватные ключи и пароли в зашифрованном контейнере на флешке, подключайте его только к виртуальной машине, и только когда в этом есть необходимость.
• Пользуйтесь антивирусом. Если у него предусмотрен более строгий режим, или более тщательная проверка, включайте их перед тем как запускать виртуальную машину с кошельками.

Не то чтобы вирус-троян из основной системы принципиально не мог заглянуть в запущенную на ней виртуальную - но это нужен специальный вирус, заточенный именно под такую возможность.

Хакеру на заметку:

А неплохая идея - создаешь какой-нибудь свой Blablacoin, засовываешь в клиент и майнер трояна, который ворует пароли от кошельков других криптовалют. Тщательно оформляешь анонс на bitcointalk.org. Пока кто-то просечёт эту фишку - ты успеешь натырить тысячи-десятки тысяч паролей у идиотов, которые скачают и поставят его на той же системе с которой они рулят своими миллионами в BTC и ETH. Благодарность за идею можете высылать мне в BTC на адрес 1HdD7rkpUResNiVq7Se9U5fZKD9PThgTzS

Принцип второй. Избегайте ненужных контактов.

• Нет необходимости запускать кошелёк и лишний раз светить свой пароль, чтобы проверить не пришли ли запрошенные несколько сатошиков. Кошелек может вообще храниться вхолодную, подключать его для проверки поступлений не нужно. 

Для этого есть эксплорер. Это не тот который Internet (кстати, поменяйте на Chrome - зачем вам лишние дыры?), а тот который позволяет всем желающим просматривать все транзакции по вашему  номеру кошельке. Да-да, анонимность - она такая :) 

• заведите 2 отдельных кошелька для каждой криптовалюты. На одном - основная сумма ваших сбережений, на втором - небольшой запас для текущих операций. Потеря второго не станет для вас трагедией, но предостережением, о том что вы где-то облажались и ваша система дискредитирована. Сносите всё к черту и ставьте с чистого листа, усилив меры безопасности.

Резюме

Паранойя - это хорошо. Но с ума сходить не надо. Усилия направленные на защиту своих своих средств должны соответствовать их размеру. 

Обеспечить весьма приличную защиту можно совершенно бесплатно, или очень дешево - дисциплина и ответственный подход тут играют большую роль, чем продвинутые аппаратные или программные средства.