广告合作:点击联系

如何判断你的数字资产是否真的安全?

讯捷财经网

软件安全

黑客总是只攻击有价值的人。如果你觉得安全,那只是你缺乏被黑客攻击的价值(人们并不出名,也没有那么多钱)

根据近年来的用户调查,店主发现有相当多的用户。即使你千百次地告诉他“手机软件更方便、更安全”,他们还是对电脑软件情有独钟。我不得不承认,PC机端的软件的确有不可替代的优势:比如显示面积大,鼠标和键盘的交互准确,适合复杂过程和较大规模的操作。

如果我们必须使用个人电脑钱包软件进行资产管理(包括与硬件钱包结合使用的观察钱包),我们需要支付200倍的安全意识。

安全意识通常来自对攻击面的理解,店主习惯于通过以下三个“灵魂折磨”:来判断

01|哪些数据需要保护?

涉及隐私的敏感信息,如浏览记录、用户名和密码、私钥文件、钱包文件等。

02|哪些应用程序有敏感信息?

如交易软件、钱包软件、浏览器等。

03|在资产管理过程中,哪些外部服务容易受到攻击?

例如通信接口、交易软件、钱包软件、浏览器等。

基于以上,我们试着对个人电脑钱包软件:的每个使用环节提出质疑

下载安装:登陆的是不是官方网站?下载安装的是不是官方软件?

店主之前看到过一个案例,攻击者“拷贝”了一整套网站和软件,并在拷贝的软件中植入了专门为MacOS开发的木马程序“GMERA”,然后诱使用户下载,从而窃取Cookie数据,浏览网站数据,获取截图。

即使被盗的私人数据不包含密钥私人密钥或密码信息,它也很有可能会被应用于社会工程来实施绑架、勒索和欺诈。

版本升级:这是不是官方升级提示?不升级有什么影响?升级前需要备份什么?

银钱包一直受到持续的钓鱼攻击。黑客利用旧版本的漏洞向用户发送升级提示(他们不能不升级就给钱),并诱使用户在升级到“后门”客户端后窃取私钥。

首先,我们肯定被鼓励不断升级。新版本通常包括:新功能、体验优化和修复缺陷。但是,请在升级前检查: 升级包是否来自官方;私钥/钱包文件是否已备份。

钱包文件备份:文件是什么内容?如果是私钥,触过网吗?触过网后还安全吗?

以电子钱包为例,创建一个新的钱包将生成一个WIF(钱包导入格式)私钥文件。该私钥文件将由用户定义的密码加密。

私钥是资产的所有权。即使受到攻击,只要私钥没有泄露,就有可能保留资产。对存储在计算机中的私钥文件有三种主要的攻击方法:

特洛伊木马窃取私钥文件,诱使用户输入密码/strong力密码

木马/蠕虫恶意加密赎金

直接损坏了私人密钥文件或计算机设备

那么,实现上述攻击的途径是什么?

钓鱼网站/钓鱼邮件(远程)

当浏览网页和查看电子邮件时,一个简单的点击动作就足够了,木马/病毒已经被下载并运行而没有被注意到。

如今,许多重视安全的企业会进行随机的内部演练(向所有员工发送钓鱼邮件),运营维护工程师和一级部门负责人也将被列入——名单。无论安全意识有多强,都会发生翻车事故。

USB设备(物理)

所有的通用串行总线设备都有一个微控制器芯片,可以用固件重新编程或者用恶意代码编写。

一般攻击路径:

(1)准备一个可重编程的通用串行总线设备,成本低于20。

植入恶意代码(决定最终的攻击方式,如文件加密、文件传输、远程监控、摄像头监控等。(

插入计算机,恶意代码将自动执行

通用串行总线攻击还包括利用通用串行总线协议/标准和操作系统之间的交互中的漏洞,如店主之前提到的冷启动攻击。

冷启动攻击-演示

还有一种更极端的情况:它可以在插入计算机后触发电源过载,并对设备造成永久性损坏。

交易签名:收币地址会不会被替换?签名的时候密码会不会被偷窥?

总之,当下载到山寨客户端时,接收地址有可能被替换;恶意程序可以远程监控键盘输入或摄像头,密码有被偷窥的风险。

简单总结:了解攻击的表面-建立安全意识-仍然对敏感行动持怀疑态度。

店主们将坚持敦促每个人学习并用知识武装他们的数字资产。因为归根结底,资产安全的程度取决于你的安全知识(安全意识),而不是核心钱包工具的使用情况。

每日金融名言:股市不是天天能赚钱的地方。

本文是介绍如何判断你的数字资产是否真的安全?的所有内容,更多软件安全相关内容请关注收藏本站,谢谢!

(编辑:讯捷财经网)

标签: 软件安全

标题链接:如何判断你的数字资产是否真的安全? http://www.xj315.com/btc/33675.html

推荐阅读: