Как работает защита на NanoWallet (кошелек для NEM)

Возьмем за эталон безопасности вход в личный кабинет СБЕРБАНК онлайн и вывод от туда средств (фиат). Или же вход на биржу POLONIEX и вывод средств (криптовалюта).

Для того, чтоб осуществить вход НЕОБХОДИМО ввести простой логин и пароль, но этого НЕДОСТАТОЧНО, так же необходимо ввести КОД подтверждения, который придет в СМС на ВАШ номер мобильного телефона и будет действителен в течении некоторого времени (или же код из приложения гугл-аутентификатор).

Но для того, чтоб осуществить еще и перевод средств, необходимо этот конкретный перевод подтвердить еще одним вводом кода, который снова придет в СМС на ВАШ номер мобильного телефона (или код с аутентификатора).

Подтверждение через СМС или через код из гугл-аутентификатора, называется двухфакторной аутентификацией (2FA, в NanoWallet еѐ нет!! с выходом CATAPULTA может быть у NEM что-то и изменится, это обновление как раз и нацелено на безопасность, у них это будет называться двухсторонняя подпись, но это не точно). Так же имеются другие способы реализации 2FA, но подтверждение через СМС или гугл-аутентификатор - самые надежные, а соответственно и самые популярные из них.

ДЕЛАЕМ ВЫВОД: вся безопасность ваших средств, будь то фиат в банке, или же любая криптовалюта на криптобирже или вашем личном кошельке, должна быть акцентирована на ВАШЕМ мобильном устройстве. Уясните для себя в таком случае: ваш мобильник - это ключ к вашему сейфу, простым языком.

Вы храните в сейфе, сотни тысяч долларов, а ваш ключ загажен посторонними, ненужными, непроверенными приложениями и хламом - так быть не должно.

Если имеем дело через СМС подтверждения, и вы утратили телефон, а вместе с ним и свою сим-карту. Что в таком случае делать? Ответ: как можно быстрее, блокировать утраченную симку, и делать новую с восстановленным СТАРЫМ номером!

Если имеем дело с приложением гугл-аутентификатор, и вы утратили телефон, или же перепрошили телефон, иначе говоря просто напросто похерили приложение GA. Что в таком случае делать? Ответ: Устанавливаем приложение заново, но чтоб в нем появился заново 6-ти значный код, который обновляется каждые 30 секунд, и который позволит вам заново входить в личные кабинеты через 2FA, вам необходимо заново сканировать тот QR-код или ввести 16-ти значный секретный ключ (что в принципе одно и то же, только QR-код это картинка, сделанная для удобства ввода, а 16-ти значный секретный ключ это еѐ аналог). Где их взять? Они предоставлялись ЕДИНОЖДЫ, на том сервисе, где вы впервые подключали 2FA. Необходимо изначально при подключении 2FA, делать принтскрин QR-кода, распечатать его и хранить под матрасом! а принтскрин удалить отовсюду! Или же записать его 16-ти значный аналог ручкой в свой личный блокнот! Если вы этого не сделали изначально, то придется звонить в техподдержку и надеяться, что они вам помогут с восстановлением.

Вообще все логины и пароли желательно не хранить в цифровом виде нигде. Особенно это касается кодов восстановления для двухфакторки.

Злоумышленник не получит доступа к вашим средствам, пока у него не будет непосредственного доступа к вашему мобильному устройству.

Другими словами, ему НЕДОСТАТОЧНО иметь ваш ЛОГИН и ПАРОЛЬ.

еперь смотрим внимательно чего ДОСТАТОЧНО, чтоб не только получить доступ к ВАШЕМУ кошельку, но и вывести с него средства.

Лишь логин и пароль! Вся их защита, акцентируется на том факте, что у них логины супер длинные и сложные, их невероятно сложно подобрать, можно сказать даже невозможно. Но уясните для себя простое правило, неважно насколько СЛОЖНЫЕ и длинные (:D) ваши логины и пароли, пусть они хоть до Китая будут длиной, заполучив их злоумышленник, единожды, вы попрощаетесь со сбережением своего сейфа навсегда.

Когда я говорю СЛОЖНЫЕ, я подразумеваю лишь совокупность различных символов и их порядок. Идем дальше.

При регистрации кошелька NanoWallet, изначально кошелек, так скажем, сам формирует ваш логин, то есть не логин даже, там первое поле для ввода называется "кошелек", но мы для простоты будем называть это логином. Эта длинная последовательность символов называется "raw wallet file" (она достаточно длинная).

Вам предлагают сохранить еѐ или сохранить .txt файл с этой последовательностью (но не поленитесь, потратьте час и перепишите еѐ в блокнот, без шуток, или же сохраните этот .txt файл на чистую флэшку и пользуйтесь ею, исключительно оффлайн (но Вы спросите – как это исключительно оффлайн, а если перевести куда нужно? А я отвечу – да хрен вот знает как, пока у них такая защита), без лишних копий на вашем копьютере, или еще где либо). Кроме того вам предлагают сохранить ваш приватный ключ (такая же бесполезная вещь, поскольку является статическим набором символов).

Все, что вам нужно знать, это то, что ваши NEM'ы хранятся непосредственно в этом длинном логине, в этой длинной последовательности символов, которая называется "raw wallet file", которая хранится на вашем компьютере, вам лишь достаточно пройти по фишинговой ссылке, и злоумышленник получит доступ к вашему компьютеру, а затем и к этому файлу.

NanoWallet разрабатывается как холодный кошелек (не точно), я думал, если удалю саму программу (приложение) с компьютера, я потеряю свои немы, это не так. Я теряю свои немы, если утрачу этот файл, мои немы останутся в этом файле, а ключ к этому файлу – это опять же ваш пароль – статический набор символов.

Ваш кошелек – это ваш "raw wallet file". И для безопасного хранения своих средств, этот файл нужно хранить оффлайн (холодное хранение, флэшка, SSD диск и т.д.).

Но к нему нет привязки вашего личного номера, нет привязки вашего личного КЛЮЧА, это нужно уяснить, это очень важно.

ВСЕ что нужно злоумышленнику, чтоб украсть ваши средства (ваши NEM'ы) с NanoWallet – это "raw wallet file" (вы не просто указываете его в качестве логина при входе в NanoWallet, вы его загружаете) и КЛЮЧ к этому файлу, а именно ваш пароль – ваша статическая последовательность символов, неважно какой сложной она будет (помните, что я имел ввиду под сложностью в данной статье).

Пока нет катапульты, у данного кошелька нет никакой двухфакторной защиты, криптографической защиты, динамической защиты, защиты по отпечатку пальца или сканировании сетчатки глаза.

ВЫВОД: холодное хранение далеко не самое безопасное, а зачастую многие даже не понимают, что это и как работает (например я не понимал до тех пор, пока не сп**дили мои немы, кстати, вот вам наглядный пример).

Мой личный вердикт: пока NEM'ы безопаснее хранить на верифицированной криптобирже, с подключенной 2FA.

Как воруются такие файлы как "raw wallet file" и аналогичные? Да очень просто. Закинул жертве ссылку или файл, замаскированные под полезный сайт или программу, она их открывает (вы даже не заметите этого, таких троянских файлов и ссылок миллионы, ваш пиратский антивирус тоже этого не заметит) и все записи из электронных блокнотов с рабочего стола ("raw wallet file" можно открыть при помощи обычного блокнота и посмотреть тот самый длинный логин – ваш кошелек, он лишь шифруется в формате .wlt, а формат .txt легко изменить вручную на .wlt), все ваши сохраненные логины, пароли и прочее улетят злоумышленнику на почту.

ЛИЧНАЯ ИСТОРИЯ ИЗ ЖИЗНИ:

Я знаю, о чем говорю, т.к. лично крал аккаунт STEAM у знакомого, с которым вместе играли в Dark Souls. Как это было. Он как то увидел, что Dark Souls на моем ПК выдает 60 ФПС, а это изначально было невозможно, т.к. игра разрабатывалась для консолей под 30 ФПС. У него она и выдавала естественно 30 ФПС. Руководство было доступно в самом стиме, нужно было лишь внимательно его прочитать, открыть один файл в папке с игрой через блокнот, снять в нем ограничение на лимит в 30 ФПС, и вуаля игра выдает 60 ФПС. Моему знакомому было лень все это проделывать, изначально он даже не знал о такой процедуре. Я решил подшутить над ним, сказал, что могу скинуть .exe файл, запустив который перед запуском игры, решишь свою проблему и будет тебе счастье в 60 ФПС. Он естественно запустил и сказал, что ничего не произошло, на что я ответил – ну значит на твоем ПК данная фишка не работает ;) Он расстроился, но потом расстроился еще больше.

В этот .exe файл я написал пару строк кода (это делается очень просто, куча примеров в интернете, главное сами не попадитесь), простым языком указал свою почту, на которую после запуска файла должна прилететь некоторая информация с его ПК. Для входа в его аккаунт STEAM мне был нужен его логин и пароль от стима, а так же логин и пароль от почты, к которой привязан стим.

Мне пришли логины и пароли от нескольких его почт, от других аккаунтов, на которых он когда-либо регистрировался – скайп, стим, телеграмм, вконтакте и т.д. В стиме я ввел его логин пароль, попытался войти, просит код доступа, который выслали на почту, по всем почтам прочекал письмо от стима, взял код доступа, вошел в стим. Так же через код доступа по почте, изменил его логин и пароль в стиме, на другом конце его тут же выкидывает из игры и аккаунта стим.

Он пишет мне, жалуется, мол аккаунт стим украли. Я спрашиваю, есть ли у него мобильное приложение STEAM GUARD (хотя знаю, что нет, иначе бы не взломал). Отвечает, что нет. Я говорю – ну вот надо было ставить. Пиши в техподдержку. Он написал, и ему бы восстановили аккаунт стим с его играми, но я вернул его ему раньше.

Хотя, пока бы ему отвечала техподдержка, за это время (она неделю отвечает, а я его помучал и на второй день вернул, не с кем играть было :D) я смог бы к его аккаунту привязать свой STEAM GUARD (аналог гугл-аутентификатора) и продать его инвентарь на несколько тысяч рублей (инвентарь – можно сказать внутренние ценности аккаунта, как кошелек). Но даже в противном случае теххподдержка восстановила бы его аккаунт, т.к. он имел чеки на купленные игры, и ими мог доказать, что аккаунт принадлежит ему лично. Пароль его почты изменить не мог, т.к. требовалось подтверждение по номеру мобильного телефона. И аккаунт стим не смог бы увести, будь у него мобильное приложение.

Вот вам и второй пример. Запомните ваше мобильное устройства – ваш ключ, потеряв который никто вам его не восстановит.

P.S. Извиняюсь за тавтологию, речевые и прочие ошибки. Пытался максимально ясно изложить свои мысли по поводу компьютерной безопасности. Попробую записать видео как просто выполняется вход и перевод средств в NanoWallet.

Достаточно кейлогера или трояна. Примерно так взламывают известных крипто-блогеров майнеров. Перечитал свою статью и во многих местах выражался неккоректно, т.к статья писалась пол года назад, когда у меня лично украли XEM. И за это время некоторые вещи я стал называть другими именами. Пишите комментарии, открыт для обоснованной критики, и не сомневаюсь, что есть куча мест, где меня следует поправить. Всем добра!