Безопасность в крипте

Данную статью для вас подготовил Dandelion.

Стой! Ты знал, что…

По статистике, криптаны, которые прочитали статью по безопасности от Dandelion и подписались на его канал, нервничают на 90% реже.

Чатик, где я отвечу на все ваши вопросы, возникшие во время прочтения статьи.

Спасибо всем авторам, кто делится своими знаниями в сфере безопасности, особенно в крипте, я многое у вас почерпнул и изложил в данной статье.

Я искренне убежден, что любая информация по безопасности должна быть общедоступной и распространяться на наибольшее количество людей. Чем проще взломать большинство людей в этой сфере - тем более лакомым кусочком становится эта ниша для киберпреступников, и как следствие - приводит к увеличению рисков для всех нас.

Вступление

В этой статье я постарался собрать все известные мне меры защиты. Однако это не означает, что я использую их все сам или рекомендую применять их всем.

Я советую сначала внимательно прочитать статью целиком, а затем обдумать, какие из предложенных методов подходят именно для вашей ситуации.

После прочтения вы сможете принять осознанное решение о том, стоит ли полностью переустанавливать систему и настраивать её с нуля. Если у вас есть сомнения по этому поводу, рекомендую взвесить все за и против перед принятием решения.

Самая важная часть

В вопросе безопасности важно найти баланс: чем выше уровень защиты, тем сложнее становится работать с системой. ⚖️ Помните, чем чаще вы видите системные предупреждения или запросы на ввод пароля, тем выше риск того, что вы однажды введёте пароль в фишинговое окно, которое появится совершенно не к месту (привет, macOS, которая не видит в таких окнах проблемы 👋).

Любое необычное поведение устройства — предупреждение, внезапное окно или запрос пароля — должно стать для вас красной тряпкой. Остановитесь на секунду и подумайте, что могло привести к этому. Если вы не понимаете, что и зачем требует от вас пароль, не вводите его! Сделайте следующее:

1. Отключите интернет.
2. Проанализируйте ситуацию: вспомните, какие программы вы запускали, какие файлы скачивали или изменения вносили в систему.
3. Проверьте журналы активности.
4. Проведите сканирование системы антивирусом или специализированным софтом для поиска угроз.

Если вы почитаете информацию на тему взломов корпораций, то вы не увидите там брутфорса пароля от самой главной супер-мега-админки. Вместо этого вы увидите картинку в сообщении на почте, которую секретарша открыла с рабочего компьютера.

Пожалуйста, запомните: вас не защитит никакой фаервол, если вы сами разрешите подключение с вашего устройства, через которое унесут ваши приватные данные. Станьте параноиками, не доверяйте никому и ничему. Вы тут заяц в волчьем логове, и у вас есть только ушки, которые должны быть на макушке. 🦊

Блок минимальной безопаснсоти

Социальная инженерия и личная осторожность

Не буду повторяться по очевидным вопросам, поэтому тезисно:

1. Не переходите по ссылкам, которые получили не из официальных или доверенных источников.
2. Не доверяйте никому, даже если вы полгода общаетесь с человеком, знаете его адрес, группу крови и размер полового органа. Множество случаев, когда скамер месяцами втирался в доверие.
3. Не раскрывайте свои личные данные и не рассказывайте о своих мерах защиты, чтобы не упростить целевую атаку на вас.
4. Не открывайте файлы, картинки, PDF-документы, Excel-таблицы и т. д., которые вам кто-то прислал. Не подключайте чужие флешки и другие устройства к своему рабочему компьютеру.
5. Не спешите переходить по ссылке, даже если она из официального источника. Пусть те, кто не могут ждать, возьмут удар на себя, если источник оказался взломан.
6. Не используйте чекеры, генераторы и сайты для массовой рассылки токенов и т. д. Даже если сайт кажется надежным, никто не застрахован от его взлома.
7. Забудьте про поиск в браузере. Мы им не пользуемся, а тем более не переходим по ссылкам из поисковой выдачи. Есть много способов вывести фишинговый сайт выше оригинала.
8. Все сайты, которые вы используете, после проверки через VirusTotal, должны попасть в закладки. И только из них переходите на сайты. 🌐
9. ВСЕ, абсолютно все ссылки и файлы проверяйте, даже если они с google.com. Проверяйте через вашего лучшего друга — VirusTotal. Он должен первым проверять все ссылки, файлы, IP-адреса и хэши файлов, а затем выдавать вам вердикт. ⚠️ Ложные срабатывания в 1-2 сервисах возможны, но если вы видите 10/94 — пора волноваться.

Важно! Не загружайте в VirusTotal приватные файлы — все, что вы загружаете туда, становится публичным!

Пароли

Сколько можно повторять эту мантру: делайте сложные пароли, делайте длинные пароли, не храните пароли где попало? Но, увы, большинству на всё это наплевать…

Давайте, я расскажу, зачем это важно. 🔍

Мы создаём длинный пароль из 20+ символов, чтобы, если стиллер украдёт кэш вашего браузера и зашифрованные тома, подобрать к ним пароль методом перебора было невозможно. Таким образом, мы разделяем ваше самое сокровенное на две части: кэш и пароль. Одно без другого бесполезно, и потерять сразу две части пазла будет гораздо сложнее. 🧩

Мы используем спецсимволы, буквы обоих регистров и цифры, чтобы максимально увеличить количество возможных комбинаций. Немного о математике:

Энтропия — это мера неопределенности системы, то есть чем выше энтропия, тем сложнее угадать конкретный вариант.

Вот зачем вам это нужно знать:

• Пароль из 10 цифр — энтропия 30 бит. 🔢
• Пароль из 20 цифр — энтропия 60 бит. 🔢
• Пароль из 20 символов (цифры, буквы обоих регистров, спецсимволы) — энтропия 120 бит. 🔠
• Пароль из 40 символов (цифры, буквы обоих регистров, спецсимволы) — энтропия 250 бит. 🔐

Длина ключа (пароля) в 128 бит считается минимальным уровнем безопасности в шифровании, а 256 бит — стандартом высокого класса. 128-битное шифрование имеет 2^128 комбинаций ключей.

Разные пароли важны, чтобы, даже если мы потеряем обе части пазла, ключи открывали не все наши расширения с приватниками, зашифрованные тома и соцсети, а только их часть.

Из всего этого можно сделать вывод, что пароли нужно генерировать только в менеджере паролей и делать их очень длинными, сложными и разнообразными.

Хранение приватной информации

Помимо всех описанных далее методов защиты, вы также должны разделять информацию по принципу частоты обращения к ней и хранить её в разных местах.

Давайте рассмотрим на примере:

1. В первом зашифрованном томе у вас хранятся различные таблицы и текстовые файлы для ведения статистики, скрипты и т.д. Суть здесь в том, что данный том будет постоянно смонтирован, то есть открыт, и в нём должна храниться информация, к которой вы должны иметь доступ постоянно.
2. Во втором томе хранятся ваши пароли от кошельков, бирж, почт и т.д. Этот том тоже может быть постоянно смонтирован, если внутри него данные хранятся в менеджере паролей.
3. Третий том — самый важный. Здесь хранятся ваши приватные ключи и сид фразы. Этот том монтируется в системе крайне редко, и лучше, если он будет храниться на нескольких флешках, а не на компьютере, чтобы снизить риски.

У вас может быть хоть 20 томов, если вы посчитаете, что это необходимо, но минимумом я считаю три, разделённые по данному типу.

Дальше — подробнее о том, что и как мы храним… 📚

Создание зашифрованных разделов

Для создания тех самых зашифрованных томов используем программу Veracrypt.

Вот подробный гайд и пара нюансов:

1. Создавайте тома больших размеров (50-100 ГБ), если это возможно. Эта мера усложнит взаимодействие зловредов с этими томами, так как код многих скам-скриптов достаточно примитивен. Они будут испытывать трудности при работе с такими большими файлами, особенно если зловред попытается скачать весь том целиком.
2. Создавайте тома в формате NTFS, если хотите настраивать права доступа в Windows к файлам. Подробнее об этом в разделе "Настройка Windows". ⚙️
3. На Mac придерживаемся тех же принципов. Единственным отличием будет то, что вместо Veracrypt мы можем использовать встроенную утилиту macOS для создания зашифрованных томов. Гайд по ее использованию.

При работе с VeraCrypt на Mac есть свои трудности, и я не вижу особого смысла отказываться от встроенных методов создания зашифрованных томов.

Менеджеры паролей

Менеджеры паролей служат для удобного хранения приватной информации в зашифрованном виде. Их существует множество, как платных, так и бесплатных, и иногда они идут в комплекте с антивирусами. Я всем рекомендую KeepassXC — это бесплатное приложение, без облачной синхронизации, с открытым исходным кодом, который тщательно изучают эксперты по безопасности по всему миру.

Вот подробный гайд и пара нюансов:

1. Устанавливайте минимальное комфортное время очистки буфера обмена и блокировки базы. 🧹 Это важно, чтобы после использования пароля, он не оставался в буфере обмена и не мог быть перехвачен сторонними приложениями.
2. При работе с базой, к которой вы постоянно обращаетесь, включите разблокировку по отпечатку пальца (в приоритете) или пин-коду. Это позволит вам не вводить длинный пароль от базы, когда она автоматически заблокируется. 🔒 Это не только ускоряет работу, но и повышает уровень безопасности.
3. Хорошим дополнением к паролю будет аппаратный ключ, такой как YubiKey 5. 🛡️ Без физического наличия этого ключа вашу базу не смогут открыть. Аппаратный ключ — это дополнительный уровень защиты, который требует физического подтверждения для доступа. Подробнее о аппаратных ключах читайте в разделе "Безопасность".

Взаимодействие с приватной информацией

Существует неочевидная проблема с доставкой информации до потребителя, будь то пароль от MetaMask или таблица приватных ключей для запуска софта.

Проблема заключается в буфере обмена, который может мониторить зловредный код. Особенно это актуально для Windows.

• В macOS всплывает уведомление, если приложение запрашивает данные из буфера обмена. Также благодаря более строгой политике доступа к API и ограничениям для приложений, зловреду сложнее получить доступ к буферу обмена без ведома пользователя. Сервис SIP (System Integrity Protection) в macOS защищает Clipboard API, через который приложениям предоставляется доступ к буферу обмена. Даже если злоумышленник получит root-доступ, SIP предотвращает изменение защищённых файлов и процессов.
• Windows предоставляет открытый доступ к Clipboard API, что делает буфер обмена менее безопасным. Системных уведомлений о том, что приложение получает данные из буфера обмена, нет. Это делает систему уязвимой для атак через злоумышленников, которые могут получить доступ к буферу обмена, не уведомляя пользователя.

Рекомендации для безопасного ввода приватной информации 💡

• Там, где это возможно, не используйте буфер обмена для передачи приватной информации, а используйте безопасный ввод в менеджерах паролей.
• Для Windows есть приложения, которые помогают защищать буфер обмена, которые могут работать в дополнение к вашему антивирусу. Они могут мониторить буфер обмена на предмет попыток нежелательного доступа и защищать вас от утечек данных.

Меры при работе с данными максимальной важности ⚠️

1. Перед началом работы с важными данными (например, ввод сид-фраз для вашей фермы) просканируйте систему антивирусом, который у вас установлен. Лучше сделать это в безопасном режиме, а также используйте антивирус, который не требует установки, для дополнительной проверки.
2. Включите режим максимальной безопасности, если такой имеется в вашем антивирусе и программах защиты системы. Это может включать блокировку ненадежных приложений и усиленную проверку всех процессов.
3. Отключите интернет на время работы с важными данными. Это предотвратит удалённый доступ к вашему устройству.
4. Расшифровывайте информацию только после выполнения этих шагов.
5. После работы с данными перезагрузите устройство. Это поможет завершить все процессы и защитить вас от возможных угроз.

Рекомендации для macOS 🍏

При вводе данных максимальной важности на macOS рекомендуется дополнительно включить "Режим блокировки", который можно найти в разделе Конфиденциальность и безопасность → Дополнительно. Эта мера обеспечит дополнительный уровень защиты вашей системы.

Почему режим блокировки полезен в таких случаях:

1. Ограничение сетевых угроз:
   Режим блокировки отключает множество функций, таких как подключение неизвестных устройств, а также некоторые сетевые возможности.
2. Снижение риска перехвата данных:
   При активации блокируются сторонние шрифты и сокращается количество фоново работающих процессов, которые могут получить доступ к буферу обмена или активному окну.
3. Защита от уязвимостей браузера:
   Режим блокировки усиливает безопасность браузера и снижает вероятность успешной эксплуатации уязвимостей.

Опасные программы и расширения

Следите за тем, чтобы все программы на вашем компьютере своевременно обновлялись — это одно из основных правил безопасности.

⚠️ Компания никогда не будет вам писать в уведомлении об обновлениях, что они закрыли уязвимость, которая может дать злоумышленникам доступ к вашему устройству. Особенно это актуально для программ с открытым исходным кодом, где с каждым обновлением публикуются гайды с перечнем уязвимостей, которые были найдены в старой версии и закрыты в новой.

Telegram

Telegram может быть одной из самых опасных программ для вашей безопасности, так как является одной из основных платформ, где активно действуют скамеры. Кроме того, после установки приложения оно автоматически включает автозагрузку файлов, что создаёт серьёзную уязвимость.

Если эта функция не отключена, ваш компьютер будет автоматически загружать файлы из чатов, групп и каналов. Можете сами подумать, что вам могут подгрузить в таких публичных чатах.

По возможности не используйте Telegram на рабочем компьютере.

Как отключить автозагрузку файлов в Telegram:

1. Перейдите в Настройки.
2. Откройте Продвинутые настройки.
3. Найдите раздел Автозагрузка медиа.
4. Отключите автозагрузку во всех категориях:
• В личных чатах
• В группах
• В каналах

Microsoft Office

• Перенесите автосохранение с диска C: на зашифрованный контейнер (постоянно смонтированный том с наименьшим приоритетом по безопасности)..
• Никогда не включайте макросы в чужих документах, даже если программа предлагает их установить. Это один из распространённых способов распространения вредоносного ПО. 🦠
• Выключите облачной синхронизацию.

По поводу остальной гадости в вашей системе:

Главное правило: если программа или расширение не являются жизненно необходимыми, то они потенциально вредные.

Все программы, которые мы используем, должны быть скачаны только с официальных сайтов и активированы купленным ключом. В интернете существует множество площадок, где ключи можно купить за копейки.

Каждое лишнее расширение или программа - потенциальная угроза, которая может проявиться в любой момент.

1. Зловред может быть вшит в приложение с один из обновлений, если будет взломан разработчик. Или будет найдена ранее не известная уязвимость.
2. Расширения браузера, могут быть заражены или иметь уязвимости.

Пример: Приложение Lightshot стало известным после того, как в одной из версий был вшит троян, который был распознаны только позднее.

Расширения браузера: опасности ⚠️

В настоящее время около 12,5% (17,3 тыс.) расширений имеют необходимые разрешения для извлечения конфиденциальной информации на всех веб-страницах. Примером таких расширений являются AdBlockPlus и Honey.

Также около 33,6% (46,4 тыс.) расширений имеют доступ к конфиденциальной информации хотя бы на одном сайте.

Что это значит? Читайте подробнее в блоке "Безобидный чекер для ZK — сибилов" или в статье, которая описывает это подробнее.

Рекомендации:

• Устанавливаем только самые необходимые расширения.
• Если вы редко пользуетесь каким-либо расширением, выключайте его. Это минимизирует риски.
• Перед установкой любого файла желательно проверяйте его хэш-сумму и убедитесь, что файл не был изменён.
• Обязательно проверяйте все файлы через VirusTotal. Это поможет обнаружить возможные угрозы до того, как файл будет установлен на вашем устройстве.

Антивирусы

Антивирусы. Нам нужны антивирусы, которые включают модуль защиты буфера обмена, и как бы это не было странно, но на обоих системах это одни и те же кандидаты.

✅ Лучшие варианты:

• Kaspersky Total Security / Internet Security for Mac
• Bitdefender Total Security / Bitdefender Antivirus for Mac

👍 Хорошие альтернативы:

• ESET Smart Security Premium / ESET Cyber Security Pro
• Norton 360 Deluxe / Norton 360 Deluxe for Mac
• Avast One / Avast Security for Mac (Premium)

⚠️ Важно: Многие антивирусы прекратили работу в России, поэтому для их нормального функционирования может понадобиться VPN.

Настройка и дополнительная защита

1. Включите автоматическое периодическое сканирование
• Настройте антивирус так, чтобы он регулярно сканировал систему, желательно в безопасном режиме.
• Это поможет обнаружить вредоносное ПО, которое может активироваться только при определенных условиях.
2. Дополнительный антивирусный сканер
• Помимо основного антивируса, рекомендуется использовать портативный антивирусный сканер, который не требует установки.
• Он позволит провести независимую проверку системы, повышая уровень защиты.

🔍 Список рекомендуемых сканеров

Ваш антивирус скорее всего будет иметь функцию сканирования системы на наличие уязвимостей. Применяйте все настройки что он предлагает.

Настройки антидетект браузера (для ADS)

Установка расширений

• Не используем массовую установку расширений в профили.
• Не используем встроенный магазин расширений.
• Все расширения ставим вручную в каждый профиль как в обычном Chrome (по прямой ссылке из официального магазина).

Отключение синхронизации и облачных данных

• Отключаем все виды синхронизации: Настройки ⟶ Глобальные настройки ⟶ Синхронизация данных.
• Удаляем из облака все синхронизированные данные: Выделяем все профиля ⟶ Нажимаем три точки в меню взаимодействия с профилями ⟶ Очистить кэш ⟶ Выбираем все типы данных и расположение в облаке

Безопасность профилей

• Отключаем загрузку видео: Настройки ⟶ Глобальные настройки ⟶ Отключить загрузку видео.
• Включаем безопасный доступ: Настройки ⟶ Глобальные настройки ⟶ Безопасный доступ.

Безопасность аккаунта

• Настройки→ Глобальные настройки → Безопасность аккаунта
  ✅ Включаем:
• Напоминание о входе удаленно.
• Оповещение о неудачных попытках входа в систему.
• Двухфакторную аутентификацию (2FA).
• Уровень аутентификации: Высокий.

Обновления 🔄

1. Переодически обновляйте ядро браузера всех профилей:
   Выделяем все профили → Меню (три точки) → Отпечаток → Изменить UA / ядро → Обновить ядро браузера и применяем.
2. Следите за актуальностью версии программы, патча и ядра:
   Настройки → Локальные настройки → Информация о версии.
• Все пункты должны отображать "Это последняя версия".
3. Автообновление ❓
• Не могу рекомендовать включение автообновления, так как в контексте ADS это может не повысить, а наоборот снизить безопасность.
• Команда данного браузера уже показала сомнительное отношение к защите доступа к своим серверам.

Если вы работаете с сотрудниками

• Вы заходите и логинитесь в аккаунт сотрудника с урезанными правами.
• Вы сами вводите пароли от кошельков.
• Сотрудник получает только доступ к серверу и не знает паролей, что предотвращает утечку сид-фраз.
• Используйте аналоги расширений без возможности экспорта сид-фразы.

Дополнительная безопасность

• Работайте сами не под администратором
• Создайте дополнительного пользователя для себя и максимально понизьте ему права.
• Это могло спасти некоторых пользователей при взломе ADS, так как их сотрудники не могли устанавливать расширения → скамеры не смогли подменить расширения.

Почему нельзя использовать синхронизацию?

💀 Если злоумышленники взломают серверы антидетект-браузера, то:

• Они смогут украсть все ваши профили.
• Они смогут залить в облако вредоносный код, который автоматически скачается на ваш компьютер при следующей синхронизации.

Настройки Google Chrome/Chrome профилей в антидетект

Обязательные настройки ⚠️:

• Включаем "Перед скачиванием спрашивать, куда сохранить файл": chrome://settings/downloads
• Включаем "Улучшенная защита": chrome://settings/security
• Запрещаем сайтам доступ к нашему буферу обмена: chrome://settings/content/clipboard

Рекомендуемые настройки:

• Отключаем разрешение на вход в Chrome: chrome://settings/syncSetup
• Выключаем все, что связанно с сохранением данных об оплате: chrome://settings/payments
• Отключаем все, что связанно с автосохранением паролей: chrome://password-manager/settings

Дополнительно:

• Включите запуск с пустой вкладки: chrome://settings/onStartup
• Как минимум закрывайте все лишние вкладки перед выходом.

Правильно храним криптy

Как и в любой финансовой системе, главное правило – диверсификация. Не стоит хранить все средства даже на холодном кошельке. Оптимальная стратегия распределения:

🔥 Горячие кошельки (наименьшая часть средств)

• Частые транзакции
• Работа со скриптами

❄️ Холодные кошельки через интерфейс горячего кошелька (примерно 1/3 средств)

• Используем, если нужно постоянно держать средства на балансе
• Удобно и безопасно для участия в активности, где требуется постоянный депозит
• Защищаем аппаратным кошельком (Ledger, Trezor)

🔒 Основной холодный / мультисиг кошелек (наибольшая часть средств)

• Храним основные активы
• Используем в фарминге ликвидностью
• Минимальное количество адресов, поэтому удобство подписания неважно
• Самая защищенная часть портфеля.

Горячие кошельки 🔥

😎 Рассказывать вам, что такое Metamask, я не буду, но пару слов, честно, скажу...

Мало кто задумывался, что такое сид-фраза. По сути, это одно из возможных представлений вашего мастер-ключа, который изначально представляет собой набор случайных чисел, закодированных в виде 256-битного числа (64 символа в HEX-формате). Мастер-ключ может быть представлен по-разному: в виде QR-кода, зашифрованного файла и других форматов — всё это сделано для удобства пользователя.

Но вот нюанс: алгоритмы генерации ключей могут отличаться. От использования обычных библиотек (к счастью, это уже история), до алгоритмов, которые учитывают даже температуру и давление, зафиксированные датчиками холодного кошелька в момент генерации фразы.

Если алгоритм был дырявым и генерировал приватные ключи со сниженной энтропией, то ваш кошелек могут подобрать методом перебора, просто пройдясь по всему диапазону слабых ключей.

Ох… Какое длинное получилось предисловие. 😅

Вывод: Генерируйте сид-фразу только проверенными методами. Никаких сервисов массовой генерации или "новомодных" кошельков. Один из надежных вариантов — Metamask.

Дополнительная проблема с малоизвестными кошельками в том, что даже если вы не генерируете в них сид-фразу, само расширение может быть уязвимым. Уже были случаи, когда злоумышленники получали доступ к сид-фразе из-за уязвимости кошелька.

Вывод: Не пихайте свою сид-фразу куда попало.

Холодные кошельки ❄️

Холодный кошелек — это криптовалютный кошелек, который хранит приватные ключи офлайн, то есть без постоянного подключения к интернету. Это делает его максимально защищенным от взломов, фишинга и вирусов.

Тезисно:

• Покупайте только у проверенных продавцов или в крупных сетях.
• Убедитесь, что никто не вскрывал упаковку до вас, обычно на таких устройствах отрывные пломбы или что то в этом роде.
• Первым делом проверьте подлинность кошелька и обновите прошивку, вся информация будет на официальном сайте.
• Посмотрите подробный гайд по вашей моделе кошелька.
• После активации кошелька и создании сид-фразы пройдитесь по всем настройкам и возможностям кошелька. Вы должны понимать все его функции и настройки.
• После всего выше перечисленного сбросьте кошелек до заводских настроек.
• Пользуйтесь кошельком)

Холодный кошелек в связке с Rabby/Metamask ❄️ 🔥

Эта связка — золотая середина между удобством и безопасностью. Суть проста: вы продолжаете использовать Metamask или Rabby, но подключаете к ним холодный кошелек с поддержкой мультиадресов.

Как это работает?
При инициализации транзакции на любом из ваших кошельков вам потребуется физическое подтверждение на холодном кошельке. У каждого профиля будет свой адрес, но все адреса будут привязаны к одной сид-фразе, которая надежно хранится на аппаратном устройстве.

✅ Плюсы такой схемы:

• Безопасность: Даже если злоумышленники получат все ваши пароли и доступ к ПК через удаленный рабочий стол, сид-фраза останется у вас, так как она никогда не покидает защищенный чип холодного кошелька.
• Ограниченные риски: Максимум, что можно сделать — подписать скам-транзакцию или дать фулл-апрув на активы. Но это коснется только конкретного кошелька, а не всей вашей фермы.

⚠️ Важно: Не каждый аппаратный кошелек удобен для активной работы с большим количеством адресов. Вам нужно от холодного кошелька:

• Скорость и удобство подписания транзакций.
• Возможность работы с множеством адресов.
• Простоту переключения между адресами.
• Совместимость с Rabby и Metamask.
• Поддержку разных сетей и возможность добавлять кастомные сети.

Поверьте, когда нужно подписывать 100+ транзакций в день, каждая лишняя секунда задержки ощущается как вечность

Какой холодный кошелек выбрать?

🥇 Лучший вариант — Ledger.

Но есть нюанс: у Ledger есть функция Ledger Recovery, которая позволяет восстановить сид-фразу через зашифрованное облачное хранилище. Чтобы ее активировать, нужно оформить подписку $10/мес, использовать официальное приложение и подписать сообщение на самом кошельке. Хотя система вроде бы защищена, техническая возможность извлечения сид-фразы существует, что может вызывать вопросы у параноиков 🧐

🥈 Альтернативный вариант — Trezor Model T.
Если Ledger вам не подходит, Trezor Model T — единственная достойная альтернатива. Но все же уступает в удобстве и скорости Ledger. Остальные кошельки, которые я пробовал, сильно ограничены в работе с большим количеством адресов, но возможно есть еще подходящие модели.

Gnosis Safe / мультисиг-кошелек ❄️ ❄️

Этот способ хранения активов самый безопасный, но при этом неудобный для быстрого взаимодействия с вашими средствами. Он отлично подходит именно для хранения значительных сумм.

Мультисиг кошелек - это криптовалютный кошелек, который требует подтверждения нескольких ключей (подписей) для выполнения транзакций.

Как это работает?

• Создается смарт контракт, с определенными параметрами по взаимодействию с ним, а именно: сколько всего адресов нужно для подписания транзакции, и сколько адресов будут обладать этим правом.
• Для отправки средств или любой другой транзакции требуется несколько подписей (например, 2 из 3 или 3 из 5).
• Вы можете сделать три кошелька на трех разных устройствах, и пока вы не подпишете транзакцию на всех этих кошельках, средства на вашем смарт-контракт не сдвинуться с места.
• Все это повышает безопасность, т.к. потребуется доступ ко всем вашим устройствам, с которых необходимо подписывать транзакцию.

Вот хороший видеогайд по Gnosis Safe.

Windows

Если у вас возникли сомнения в безопасности устройства после прочтения этой статьи, я рекомендую выполнить чистую установку системы.

Чистая установка системы

• Скачиваем windows с офф источника и создаем установочный носитель, потребуется VPN.
• Перед установкой форматируем весь диск. Если у вас есть файлы, которые вам нужно сохранить на вашем рабочем компьютере, то скиньте их на флэшку, и потом просканируйте ее антивирусом.
• Все не важные файлы (фотографии, фильмы и т.д.), перенесите куда нибудь. На рабочем устройстве - только необходимые файлы.
• При установке системы создаем локального пользователя. Для этого на время установки отключите интернет, и когда вы дойдете до окна "Давайте подключим вас к сети" нажмите Shift+F10 и в терминале введите oobe\bypassnro.

Настройка системы

Работать необходимо только через дополнительного пользователя без прав администратора. На windows работа из под админки открывает целый спектр уязвимостей, так что этого делать категорически нельзя.

Не забывайте ставить сложный пароль как для учетной записи администратора, так и для той, с которой будете работать. Если есть возможность добавить отпечаток пальца — делай это, так будет безопаснее и удобнее.

1. Устанавливаем требование выполнить повторный вход при выходе из спящего режима: Учетные записи → Варианты входа → Устанавливаем "Время выхода компьютера из спящего режима" в разделе "Дополнительные параметры".

2. Создайте дополнительного пользователя без прав администратора. Это можно сделать через: Учетные записи → Другие пользователи → Добавить учетную запись.

3. Устанавливаем минимальное комфортное время погружения компьютера в спящий режим: Система → Питание → Время ожидания экрана, спящего режима и гибернации.

4. Удаляем OneDrive.

5. Заходим в следующие настройки: Сеть и интернет → Дополнительные сетевые параметры → Дополнительные параметры общего доступа.

• В разделах "Частные и общественные сети" выключаем сетевое обнаружен и общий доступ к файлам и принтерам.
• В разделе Все сети отключаем доступ к общедоступным папкам, ставим 128-битное шифрование, включаем общий доступ с парольной защитой.

6. Проверяем что бы, тип сетевого профиля у вашего интернет подключения стоял - "Общедоступная сеть".

7. Установите антивирус и другие программы для защиты, которые вы посчитаете необходимыми. К другим программам относятся:

• Keyscrambler - шифрует вводимые данные c клавиатуры. Поможет в случае, если зловред уже пробрался на ваш компьютер. Он не сможет считать вводимые данные с вашей клавиатуры, и тем самым узнать ваши пароли или другую приватную информацию, т.к. благодаря Keyscrambler получит абсолютно не те символы которые вы вводили. Учтите, что работает не со всеми программами.
• Spyshelter - является программой защиты, которая дополняет ваш антивирус и нацелена на защиту от атак нулевого дня. В частности на защиту от постороннего доступа к вашей камере, микрофону, буферу обмена и т.д.

8. Переходим в раздел: Конфиденциальность → Безопасность Windows.

• В разделе "Защита учетных записей" просто подтвердите, что у вас локальная учетная запись, что бы не горело предупреждение.
• В разделе Безопасность устройства → Изоляция ядар: включаем все пункты.
• ✅ Проверяем, что бы все галочки были зеленого цвета, если есть красные или желтые - включите то, что вам предлагает Windows.

9. Выключаем журнал буфера обмена: Система → Буфер обмена.

10. Проверяем, что бы было выключено подключение по удаленному рабочему столу: Система → Удаленный рабочий стол.

11. Отключаем загрузку с других устройств: Центр обновления Windows → Дополнительные параметры → Оптимизация доставки.

12. Отключаем обмен с устройствами поблизости: Система → Обмен с устройствами по близости.

13. Bluetooth и WI-FI лучше не использовать.

14. Включаем BitLocker для шифрования локальных дисков: Конфиденциальность и защита → Безопасность Windows → Безопасность устройств → Управление шифрованием диска BitLocker

Дополнительная защита

Ограничение доступа к отдельным файлам

Вы можете ограничить доступ к важным папкам и томам для всех, кроме администратора. Это усложнит жизнь скамерам, ведь для взаимодействия с защищёнными файлами им понадобятся админ-права (ну и вам тоже надо будет вводить пароль администратора).

Настраиваем в Свойствах → Безопасность

• Учтите, что для получения доступа к файлам, которые открываются через программу (такие как: keepass, veracrypt), необходимо запустить эту самую программу от имени администратора.
• Что бы ограничить права доступа к тому, смонтированному через Veracrypt, нужно монтировать его в формате NTFS.

Мониторим автозапуск в Autoruns

Это инструмент от Microsoft, который показывает всё, что стартует при запуске Windows (включая скрытые процессы) и позволяет их отключить, а так же проверить через VirusTotal.

Основные возможности Autoruns:

• Показ всех автозапускаемых программ – в отличие от стандартного диспетчера задач, утилита показывает не только программы, но и скрытые процессы, драйверы, службы и расширения.
• Обнаружение вредоносного ПО – если вирус прописался в автозапуск, его можно найти и отключить.
• Анализ автозагрузки браузеров – показывает, какие расширения и плагины загружаются при запуске.
• Проверка цифровых подписей – позволяет убедиться, что программы от надежных источников.

С помощью этой программы вы можете в ручном режиме проверять свой автозапуск на наличие какой то гадости, а встроенная функция анализа через VirusTotal - просто имба. Так же вы можете делать снимки системы, и сравнивать их, что бы понять что поменялась после тех или иных действий.

Window на замке / тотальный Firewall с Windows Firewall Control

Данное решение по безопасности является невероятно мощной защитой, но только если ей правильно пользоваться, и всем рекомендовать я его не буду.

Как работает?

• Отключаем автоматический сетевой экран антивируса.
• Каждое новое соединение будет требовать вашего подтверждения.
• Если программа хочет в интернет – вам решать, пускать её или нет.

⚠️ Еще раз: вы ОТКЛЮЧАЕТЕ свой сетевой экран, и сами будете выдавать разрешения, вы можете своими руками выдать разрешение какому то зловреду, который унесет вашу сид-фразу по неизвестному адресу. Firewall лишь выдаст окно с информацией по подключению и вариантами действий.

Оставляю вам гайд по настройке данного инструмента.

Mac

Настройка системы

⚠️ Перед использованием Mac, будь то после покупки или если у вас возникли сомнения в безопасности устройства после прочтения этой статьи, я рекомендую выполнить сброс к заводским настройкам. Сделать это просто: Основные → Перенос или сброс → Стереть контент и настройки.

Далее, перед тем как настраивать систему, советую выполнить несколько важных шагов:

1. Создайте дополнительного пользователя без прав администратора, под которым вы будете работать. Это можно сделать через Пользователи и группы → Добавить пользователя.
2. Убедитесь, что у ваших учетных записей (и администратора, и обычного пользователя) установлены сложные пароли. Особенно важно обеспечить безопасность для учетной записи администратора.

Настройки а macOS очень интуитивны, в них удобно ориентировать по поиску, разобраться в них можно даже без гайда. Пройдемся по всем вкладкам, которые нам важны:

1. Wi-Fi

• Если есть возможность, откажитесь от использования Wi-Fi, так как это закроет часть возможных уязвимостей.
• Отключите опции "Запрос на подключение" и "Спрашивать о подключении к точкам доступа".
• В разделе "Дополнительно" активируйте все пункты, которые требуют авторизации администратора при изменении настроек.

2. Bluetooth

• По возможности не используйте Bluetooth — это также минимизирует потенциальные риски.

3. Сеть

• Отключите мост Thunderbolt.
• Включите брандмауэр и активируйте режим невидимости (находится в разделе "Параметры").

4. Основные настройки

4.1. Обновление ПО

• Нажмите на значок подсказки рядом с "Ответы на угрозы" и активируйте все доступные пункты.

4.2 Airdrop и Handoff

• Отключаем Handoff.
• Настраиваем AirDrop. По умолчанию выставляем режим "Никому".
• Отключаем ресивер AirPlay.
• Разрешаем AirPlay только текущему пользователю.
• Включаем запрос пароля. Включите настройку "Запрашивать пароль" для подключения.

4.3. Автозаполнение и пароли

• Отключите автозаполнение паролей и ключей входа.

4.4. Общий доступ

• Убедитесь, что все службы в этом разделе отключены.

4.5. Объекты входа и расширения

• Здесь можно посмотреть, какие программы автоматически запускаются при входе в систему и работают в фоновом режиме. Если обнаружите что-то лишнее, отключите. Оставляйте только то, что действительно нужно.

5. Дисплей

• Настройте минимальное комфортное для вас время выключения дисплея и запроса пароля после его отключения.

6. Конфиденциальность и безопасность

• Проверьте, какие программы имеют доступ к вашей системе. Если видите где-то цифру, отличную от нуля, убедитесь, что доверяете этим приложениям.

6.1. Безопасность

• Установите "Спрашивать для новых устройств" напротив пункта "Разрешить подключение аксессуаров".
• Включите FileVault для шифрования данных на диске.

6.2. Дополнительно

• Активируйте настройку "Запрашивать пароль администратора для доступа к системным настройкам".

7. Touch ID и пароль

• Добавьте отпечаток пальца для удобной разблокировки устройства.
• Включите только пункт "Использовать Touch ID для разблокировки Mac".

ПО для защиты

Следующий софт представлен некоммерческой организацией Objective-See, является бесплатным и имеет открытый исходный код. С полным списком их продуктов можно ознакомиться тут. Вот несколько самых интересных приложений:

1️⃣ LuLu — брандмауэр, с помощью которого можно контролировать исходящие соединения вручную. При новом исходящем соединении появится предупреждение с информацией о соединении и возможностью его разрешить или заблокировать. Даже если ваше устройство будет скомпрометировано, но вы не дадите зловреду выйти в сеть — ваши приватные данные не покинут устройство.

2️⃣ KnockKnock — с помощью этой программы можно провести сканирование системы на существующие в ней закрепленные компоненты. Если в системе засел зловред с функцией автозагрузки — скорее всего, он будет отображен.

3️⃣ BlockBlock — работает по схожему принципу с KnockKnock, но замечает изменения в файлах автозагрузки в реальном времени и сразу выдает предупреждения. 🔒

4️⃣ What's Your Sign? — предназначена для проверки подписи файла.

Блок дополнительной безопасности

DNS

DNS (Domain Name System) — это "телефонная книга интернета". Оно переводит понятные человеку адреса сайтов (например, example.com) в IP-адреса (например, 192.0.2.1), которые нужны устройствам для подключения к серверам.

⚠️Чем опасен стандартный DNS?

• Прозрачность: Стандартный DNS от интернет-провайдера передает запросы в нешифрованном виде, позволяя провайдеру и всем кто перехватит трафик видеть, какие сайты вы посещаете и иметь возможность подменить их.
• Отсутствие фильтрации: Стандартный DNS не защищает от фишинговых сайтов, вредоносного ПО и рекламы.

🛡Почему важно менять DNS?

• Шифрование: Альтернативы стандартному DNS поддерживают технологии DNS-over-HTTPS (DoH) и DNS-over-TLS (DoT), которые шифруют запросы и защищают их от перехвата.
• Фильтрация: Современные DNS, такие как NextDNS и AdGuard DNS, блокируют вредоносные сайты, трекеры, рекламу и фишинговые атаки.

Как настроить DNS?

• На уровне устройства: В macOS, Windows или мобильных устройствах можно вручную прописать DNS-серверы (например, 1.1.1.1 или адреса NextDNS).
• На уровне роутера: Позволяет защитить все устройства в сети, но при этом желательно использовать DoH/DoT для шифрования запросов.
• Через приложения: Некоторые DNS-провайдеры (например, NextDNS) предлагают свои приложения для упрощенной настройки и обеспечения DoH/DoT.

Альтернативы стандартному DNS

Если будете использовать обычный адрес IPv4, то шифрования не будет. Если используете адреса DoH/DoT, то DNS запросы будут шифроваться, но не везде будет поддерживаться данный стандарт.

1. NextDNS

• Особенности:
• Полная кастомизация блокировок через DoH/DoT (реклама, трекеры, фишинговые сайты), через персональный идентификатор.
• Возможность отключить логи запросов для повышения конфиденциальности.
• Адреса DNS:
• IPv4:
• Основной: 45.90.28.167
• Резервный: 45.90.30.167
• DoH/DoT: https://dns.nextdns.io/your-config-id (замените your-config-id на ваш персональный идентификатор).

2. AdGuard DNS

• Особенности:
• Использует фиксированную конфигурацию фильтрации, общую для всех пользователей.
• Не поддерживает индивидуальные настройки через DoH/DoT.
• Адреса DNS:
• IPv4:
• Основной: 94.140.14.14
• Резервный: 94.140.15.15
• DoH: https://dns.adguard-dns.com/dns-query
• DoT: tls://dns.adguard-dns.com

3. Cloudflare DNS

• Особенности:
• Высокая скорость и конфиденциальность.
• Не предоставляет глубокой фильтрации в бесплатной версии.
• Адреса DNS:
• IPv4:
• Основной: 1.1.1.1
• Резервный: 1.0.0.1
• DoH: https://cloudflare-dns.com/dns-query
• DoT: tls://1.1.1.1

4. Google Public DNS

• Особенности:
• Очень стабильный и быстрый.
• Не предлагает фильтрацию вредоносного контента.
• Адреса DNS:
• IPv4:
• Основной: 8.8.8.8
• Резервный: 8.8.4.4
• DoH: https://dns.google/dns-query
• DoT: tls://dns.google

VPN и собственные DNS

Некоторые VPN-провайдеры используют собственные DNS-серверы для защиты:

1. Mullvad VPN:
• Имеет встроенный DNS с опцией блокировки контента (реклама, трекеры, фишинговые сайты).
• Обеспечивает автоматическое шифрование запросов через VPN-туннель.
2. NordVPN:
• Собственные DNS с базовой фильтрацией.
• Есть функция Threat Protection для блокировки вредоносных сайтов.

Если ваш VPN имеет встроенный DNS-сервер, использование внешнего DNS, такого как NextDNS, может привести к конфликтам или снижению уровня защиты. Если будете использовать внешние DNS, то убедитесь, что в вашем VPN встроенный DNS-сервер выключен, или заменен тем, который вы хотите использовать.

VPN

VPN скрывает ваш IP-адрес , что делает сложной целенаправленную атаку на вас. Но самое главное — VPN шифрует весь ваш интернет-трафик, делая его недоступным для перехвата, что особенно важно при использовании Wi-Fi.

🛡 VPN также помогает предотвратить подмену DNS-запросов, когда злоумышленник пытается перенаправить вас на фишинговые сайты .

Лучшие VPN-сервисы:

1. NordVPN:
• Функция Double VPN для дополнительного шифрования — двойная защита для вашего трафика!
2. ProtonVPN:
• Особое внимание к конфиденциальности и швейцарская юрисдикция . Отличный выбор, если вам нужен бесплатный VPN.
• Функция Secure Core, аналогичная Double VPN, для усиленной безопасности.
3. Mullvad VPN:
• Максимальная анонимность, возможность оплаты в криптовалюте.
• Один из самых надежных вариантов для защиты вашей конфиденциальности.

Браузеры

Возможно кого то сейчас удивлю, но не обязательно юзать Сhrome, что бы иметь доступ к его расширениям.

Google Chrome проигрывает Brave и Edge в плане конфиденциальности и встроенных функций безопасности. Вам придется устанавливать больше расширений для защиты, что увеличивает риск уязвимостей.

⚠️ Но Chrome является самым популярным браузером, есть не малый шанс, что у вас что то не будет работать на том или ином сайте при использовании его аналогов. Особенно это актуально для индуских сайтов с каким то новым DEX, собранным за 2 дня.

Так что вариант с полной сменой браузера рассматривать не стоит, скорее тут речь идет об нишевой истории и общем понимании безопасности браузеров.

Аналоги с полной поддержкой расширений Chrome, в которых так же можно создать много профилей и сделать ферму, но с лучшей безопасностью:

1️⃣ Brave

• Brave, как независимый проект, рассматривает возможность сохранения поддержки V2 или создания собственных решений для блокировки. А это значит, что он останется единственным браузером на базе Chromium с глубокой поддержкой блокировщиков вредоносных скриптов на сайтах.
• Встроенный Brave Wallet, который можно использовать вместо сторонних кошельков.
• Все профили изолированы для повышения безопасности
• Улучшенная конфиденциальность: блокировка рекламы, трекеров и вредоносных скриптов прямо из коробки.
• Улучшенная производительность: Brave работает быстрее за счет блокировки лишнего контента, что делает его удобным для работы.
• Автономность: Brave Wallet встроен в браузер, что исключает необходимость использования расширений, снижающих безопасность.

2️⃣ Microsoft Edge:

• Встроенные инструменты защиты от фишинга и вредоносных сайтов.
• SmartScreen Filter: обнаружение подозрительных и вредоносных сайтов в реальном времени.
• Удобный интерфейс, совместимость с расширениями и возможность тонкой настройки безопасности.

3️⃣ Firefox - Лучший вариант в принципе из всех браузеров, но только, если вам не нужен Chromium.

• Firefox до сих пор поддерживает Manifest V2, что позволяет использовать полноценные блокировщики рекламы и скриптов, такие как uBlock Origin и NoScript.
• Мощные инструменты приватности: встроенная защита от трекеров, защита от отпечатков браузера.

Полезные расширения

⚠️ Здесь я представил только проверенные расширения с безупречной репутацией, но решение об их установке должно быть взвешенным.

• Каждое расширение - дополнительная нагрузка на систему.
• У данных расширений высокие права доступа, и даже у таких мастодонтов, могут вскрыться уязвимости.

1️⃣ Основную опасность при посещении зараженных сайтов для нас представляют JavaScript-сценарии на них. Мы можем бороться с ними при помощи расширений, которые будут ограничивать загрузку различных элементов.

• NoScript - идеальный вариант, но только для Firefox, в ввиду его специфических функций, которые обеспечивают детальный контроль над JavaScript и другими активными элементами страниц.
• uBlock Origin - лучший выбор на Сhrome.

Но, с Сhrome существует проблема, т.к. он переходит на новую систему расширений Manifest V3. Основное изменение в MV3 касается API для блокировки содержимого. Новый Declarative Net Request API (DNR) сильно ограничивает возможности блокировщиков, позволяя устанавливать лишь фиксированные правила фильтрации. Это мешает динамической блокировке скриптов, что является ключевой функцией для uBlock Origin. Так что поддержка этого расширения может прекратится в любой момент.

• uBlock Origin Lite - как замена uBlock Origin, после перехода на Manifest V3 будет лишь частичным решением.

Тут уже действительно стоит задуматься о переходе на браузер Firefox...

2️⃣ Malwarebytes Browser Guard - расширение, которые будет отличным дополнением к вашей защите.

Расширение блокирует фишинговые сайты, также защищает от вредоносных JavaScript-сценариев, которые могут эксплуатировать уязвимости браузера или взаимодействовать с подключёнными криптокошельками без вашего ведома. Но стоит учитывать, что данное расширение работает с базами и не блокирует не известные угрозы.

3️⃣ Для максимальной безопасности рекомендую использовать Malwarebytes Browser Guard в связке с uBlock Origin на Сhrome, или NoScript на Firefox.

При совместном использовании расширения дополняют друг друга:

• uBlock Origin: Блокирует рекламу, трекеры, вредоносные скрипты и определенные элементы страницы. Полезен для предотвращения запуска вредоносных JavaScript-кодов.
• Malwarebytes Browser Guard: Фокусируется на безопасности, блокируя фишинговые сайты, вредоносные ресурсы и подозрительный контент.

Так как каждая из этих технологий выполняет свою специфическую задачу, создается многослойная защита с проверкой сайтов на разных уровнях.

Настройки этих расширений для совместного использования:

uBlock Origin, включаем в разделе настройки:

• Я — опытный пользователь
• Блокировать сторонние шрифты
• 🚨 Опционально: отключить JavaScript (дает макс. защиту, но сайты могут сломаться).

Malwarebytes Browser Guard, отключаем "Ads/Trackers", для избежания конфликтов расширений.

В режиме "Я — опытный пользователь", на каждом сайте вы будете видеть список всех элементов, их статус и можете им управлять.

Роутер

Безопасность сети и роутеров: защищаем свою локальную сеть 🌐🔒

Большинство пользователей используют роутер от провайдера. И давайте будем честны: такие устройства чаще всего мусор в плане безопасности. Они ограничены по функциям, содержат известные уязвимости и практически никак не защищают вашу сеть от потенциальных угроз.

⚠️ Почему это опасно? Потому что безопасность вашей локальной сети играет важную роль. Если злоумышленник получит доступ к ней, он сможет:

• Перехватывать весь ваш трафик.
• Получить доступ к настройкам вашего роутера, что открывает ещё больше возможностей: от внедрения прокси-сервера для сбора данных до подмены DNS и перенаправления вас на фишинговые сайты.

⚠️ Если ваш роутер не обладает необходимыми функциями безопасности, его нужно заменить. Но в ряде случаев это сделать сложно, например:

• Ваш интернет поступает через оптоволокно, и провайдерский роутер выполняет функции оптического конвертера.
• Провайдер вшил данные авторизации непосредственно в ваш роутер и не предоставляет их вам.

Решение: второй роутер

Если вы не можете избавиться от роутера, выданного провайдером, единственный выход — поставить второй роутер, который будет выполнять функции маршрутизации и обеспечивать безопасность вашей сети. Роутер от провайдера в таком случае станет лишь "мостом" между интернетом и вашим оборудованием.

Порядок действий с роутером от провайдера

1. Смените стандартные логин и пароль.
   Найдите гайд к модели вашего роутера в интернете, зайдите в настройки и измените данные для входа. На некоторых моделях есть две учётные записи: пользовательская и администраторская. Данные нужно менять в обеих. Иногда для этого придётся выгрузить конфигурационный файл роутера и редактировать его вручную, все инструкции есть в интернете.
2. Отключите Wi-Fi.
   Роутер от провайдера не должен раздавать беспроводную сеть. Это уменьшает риски несанкционированного доступа.
3. Отключите лишние LAN-порты.
   Оставьте активным только тот порт, через который будет подключаться второй роутер.
4. Ограничьте доступ к настройкам роутера.
   Оставляем возможность подключаться к интерфейсу роутера, только через локальную LAN сеть.
5. Переключите роутер в режим моста (если возможно).
   Если у вас есть данные авторизации от провайдера, переведите порт, через который подключается второй роутер, в режим моста (bridge mode). В таком режиме провайдерский роутер будет выполнять только функции конвертации сигнала/посредника, не влияя на безопасность вашей сети. Если это невозможно, роутер по прежнему будет обрабатывать трафик, что снижает общий уровень безопасности. Если это критично, стоит задуматься о смене провайдера.

Еще один прикол провайдерского роутера: у провайдера обычно есть доступ к удалённому изменению настроек вашего роутера. Это можно отключить только на некоторых моделях, зайдя в "продвинутую" административную панель.

Настройка основного (второго) роутера

Теперь переходим к настройке вашего основного устройства, которое будет защищать вашу сеть.

1. Wi-Fi.

• Используйте сложный и длинный пароль (минимум 16 символов).
• Выберите протокол безопасности: WPA2 — минимально допустимый стандарт, лучше WPA3 (если поддерживается устройствами).
• Никогда не давайте пароль от основной Wi-Fi сети никому.
• Настройте whitelist (белый список) устройств по MAC - адресу, которым разрешено подключение.

2. Гостевая сеть.

• Создайте отдельную гостевую Wi-Fi сеть для всех устройств, которые не связаны с вашей работой: умных лампочек, ТВ, приставок и т.д.
• Выставьте для гостевой сети максимальный уровень защиты (WPA2/WPA3) и длинный пароль.
• Гостевая WIFI сеть не дает доступа к вашей основной локальной сети и настройкам роутера, а является сквозным доступом в интернет. Учитывайте нюанс: если вы подключили роутер не через режим моста, то хоть и доступа к локальной сети и настройкам вашего основного роутера не будет, но данный доступ будет к локальной сети вашего первого роутера (провайдерского).

3. Обновление прошивки.

• Регулярно обновляйте прошивку вашего роутера. Это важно для устранения новых уязвимостей. Настройте автоматическое обновление, если это возможно.

4. Ограничение портов.

• Включите фаервол и настройте блокировку входящих соединений. Вам нужно, чтобы устройства в сети могли выходить в интернет, но внешние подключения к вашей сети были невозможны.
• Закройте порты, которые не используются, такие как 23 (Telnet) и 445 (SMB).

5. DHCP.

• Привяжите IP-адреса к MAC-адресам ваших устройств. И установите ограничение на диапазон IP-адресов, что бы в него попадали только те адреса, которые вы выдали вашим устройствам.
• Используйте нестандартный диапазон IP-адресов, например, 192.168.50.1 вместо 192.168.0.1.

6. Раздел безопасности.

• Включаем все возможные степени защиты, доступные на вашем роутере, сюда могут входить: фаервол, защита от взлома WIFI, защита от сканирования портов и т.д.

7. Защита дополнительных функций.

• Отключите UPnP. Эта функция может быть использована злоумышленниками для открывания портов.
• Выключите WPS (Wi-Fi Protected Setup), так как это устаревшая и небезопасная технология.

Ханипот в Web3: Защита с изюминкой

Что такое ханипот?
Ханипот (от англ. honey — мёд и pot — горшок) — это специализированная система или программное обеспечение, предназначенное для имитации уязвимых устройств, сервисов или сетей с целью привлечения внимания злоумышленников. Это своего рода ловушка для хакеров, которая помогает обнаружить и анализировать угрозы, а также повысить безопасность.

Как использовать ханипот в Web3? 🛡️
Вот один из способов внедрения ханипота в Web3 для защиты ваших данных:

1. Создание ловушек: Размещаем файлы с seed-фразами и приватными ключами на разных уровнях защиты вашей системы — начиная с простых файлов .txt на рабочем столе и заканчивая файлами в зашифрованных томах с менеджерами паролей. Важно: устанавливаем слабые пароли для этих томов и файлов.
2. Пополнение кошельков: Создаём несколько кошельков, пополняем их на несколько десятков долларов в популярных нативных монетах (например, в Ethereum или BNB). Эти кошельки будут служить приманкой для хакеров.
3. Оповещения через бота: Подключаем эти кошельки к боту в Telegram, который будет уведомлять вас о любых транзакциях, происходящих на ваших кошельках.

Зачем это нужно? 🔍
Если вы получите уведомление о действиях на одном из ваших ловушечных кошельков, это будет сигналом о том, что ваша система скомпрометирована. Вы сможете понять, как глубоко злоумышленники проникли в вашу защиту.

Так же, хорошей практикой, будет поставить оповещения через того же бота в Telegram на каждый ваш 10-й кошелек. И заранее подготовить скрипт, который будет выводить деньги со всех ваших кошельков.

Про антидетект браузеры

Понимаю, что многим будет ещё долго больно после взлома ADS. Меня это тоже выбило из рабочей колеи. 😓

Да, команда ADS действительно подошла к своей работе с пугающим уровнем халатности. Но стоит понимать, что практически любую систему можно взломать. Чем популярнее инструмент, тем выше шанс, что он рано или поздно станет целью атаки.

Если говорить о потенциальных взломах, то тут всё упирается в два ключевых фактора:

1. Критическая масса пользователей.
   Чем больше людей пользуются системой, тем больше она привлекает злоумышленников.
2. Уровень защиты.
   Чем выше уровень защиты, тем дольше система будет сопротивляться атакам.

Реальность антидетект браузеров

В этой сфере много денег, а преследование за кражу криптоактивов практически невозможно. Компании занимающиеся разработкой антидетект браузеров не обладают должными финансами и по всей видимости желанием, что бы обеспечить защиту должного уровня.

Почти все антидетект браузеры уже ломали (и некоторых не раз). Тех, кого ещё не взломали, скорее всего тоже ждёт это в будущем, если они перехватят первенство на этом рынке. Так уж тут все устроено.

Что делать? 🤔

Точно не нужно метаться от одного инструмента к другому. Никто не даст вам гарантий, что, например, те же расширения для подмены отпечатков в Chrome не окажутся уязвимыми. Бегать между антидетект браузерами — тоже сомнительная идея.

Единственный реальный выход — это диверсификация.

Как это может выглядеть:

• Часть кошельков держим на горячих кошельках в ADS с мелкими суммами.
• Другую часть — на виртуалке через Chrome профили (тоже с мелкими суммами). Вот видеогайд по ферме через профиля Chrome.
• Основные средства — на холодном кошельке с мультиадресами через горячие кошельки в ADS.

Так вы в худшем случае потеряете только часть активов.

Работа с серверами

В принципе, не рекомендую вам работать с удалёнными серверами, особенно если вы храните там данные от ваших кошельков. Это может привести к неприятной ситуации, например:

1. В один прекрасный момент не сможете подключиться к серверу.
2. Личный кабинет на сайте будет забанен, и поддержка не ответит.
3. А кошельки, которые были на сервере, окажутся пустыми.

Советую вам собрать не дорогой отдельный компьютер под ваши скрипты - это будет лучшим решением.

Но, если все же бы собираетесь арендовать сервера, то вот пара советов:

• Берите сервера от крупных провайдеров, которые не станут размениваться на мелочи в виде чей то фермы. В идеале используйте только сервера от крупных американских/европейских компаний (GoogleAWS, Contabo, Amazon, Hetzner и т.д.). Но, почти для всех нужно будет пройти процедуру КУС и привязать европейскую/американскую карту.
• Смените пароль сервера на более сложный.
• Поменяйте стандартный порт для подключения.
• Измените пароль к VNC, если это возможно.
• Поставьте фильтр ip-адресов, которые могут подключаться.

Все эти действия не защитят вас от скама провайдера, но помогут в защите от атак со стороны.

Аппаратные ключи

Аппаратные ключи — это физические устройства, используемые для двухфакторной аутентификации и защиты онлайн-аккаунтов, данных и систем. Их основная цель — обеспечить дополнительный уровень безопасности: помимо пароля, для входа в систему требуется подтверждение с аппаратного ключа. Проще говоря, можно представить их как аналог холодного кошелька, где ключи для авторизации хранятся непосредственно на устройстве.

Принцип работы и преимущества

Ключевой особенностью таких устройств является необходимость их физического присутствия и прикосновения к контакту на корпусе для подтверждения авторизации.

Использование аппаратного ключа значительно повышает безопасность, поскольку для получения доступа к информации злоумышленнику потребуются три элемента:

1. Зашифрованный файл (например, база паролей).
2. Пароль от файла.
3. Сам аппаратный ключ или его программный эквивалент (ключ, возможность просмотра которого зависит от протокола).
• В OTP, PIV, OpenPGP ключ можно просмотреть с помощью специализированного ПО и при необходимости восстановить из аппаратного устройства.
• В FIDO2, U2F ключ невозможно извлечь, поэтому без физического устройства авторизация невозможна, а перехват запроса практически нереален.

Где используются аппаратные ключи?

Большое количество сервисов и программ поддерживает аппаратные ключи, в том числе:

• Криптовалютные биржи
• Менеджеры паролей
• Google-почта и другие сервисы Google
• Авторизация в операционной системе

Советы по выбору и использованию

1. Выбирайте ключ с максимальной поддержкой протоколов или убедитесь, что он поддерживает нужные вам. Разные сервисы используют разные протоколы, и важно заранее определить, где будет применяться устройство.
2. Продумайте резервные способы авторизации, если используемый протокол не позволяет восстановить ключ (FIDO2, U2F). В случае утери или поломки устройства вы не сможете войти в аккаунт.
3. Запишите ключ на бумаге, если используете протоколы, где возможен просмотр/восстановление ключа (OTP, PIV, OpenPGP).
4. Покупайте устройство только у проверенных продавцов, чтобы избежать подделок и компрометированных устройств.

Лучший аппаратный ключ на рынке

На данный момент YubiKey 5 поддерживает наибольшее количество протоколов аутентификации.

Руководство по использованию Yubikey.

Гостевая ОС: безопасная песочница

Гостевая ОС — это изолированная виртуальная операционная система, если вкратце, то вы можете творить на этом виртуальном компьютере все что угодно, и это все будет полностью изолированно от вашей основной системы.

Гостевая ОС выполняет роль защищённого контейнера для работы и хранения данных. Зачем оно нам надо?

• Использовать чужие софты и не бояться, что этот софт унесет всю информацию с вашего компьютера.
• Вы можете скачивать подозрительные файлы, проверять разные DeFi помойки или лететь в числе первых смотреть на скам-чекер с дропом в консервативный лям, не подвергая риску основной компьютер.
• Можете поделить ферму на более и менее рисковые кошельки.

Короче, варианты использования ограничиваются лишь вашей фантазией. Инструмент мощный, так что пользуйтесь.

Как настроить гостевую ОС: краткий гайд

1. Скачайте и установите VirtualBox.

2. Extension Pack. ⚠️

• По необходимости устанавливаем пакет расширений (Extension Pack), чтобы обеспечить совместимость и удобство работы (например, передача файлов и совместное использование буфера). Но, учтите, что функции по типу общего буфера обмена и передачи файлов открывают уязвимости. Для полной безопасности виртуалка должна быть полностью изолированна от вашей основной системы.

3. Скачайте образ (ISO File) Windows 10 или Windows 11, либо Linux.

4. Создайте виртуальную машину.

• Создайте новую гостевую ОС, укажите название и папку для виртуалки.
• Выберите тип ОС и образ, который вы скачали.
• Настройте параметры: выделите минимум 2 ГБ оперативной памяти и создайте виртуальный жёсткий диск объёмом от 30 ГБ.

5. Настройте характеристики под ваш ПК.

• Процессор. Выделите кол. ядер: например, 4 ядра, если у вас 16.
• Оперативная память. Рекомендуется выделить 8 ГБ, если у вас 32.
• Графика. Память видеокарты от 2 ГБ в зависимости от объема вашей видеопамяти.

Вот видеогайд.

Так же вы можете пользоваться на виртуалке снимками системы.

🔄 Снимки системы (Snapshots) в VirtualBox — это функция, позволяющая зафиксировать состояние виртуальной машины (гостевой ОС) в определённый момент времени. Снимки включают всё: состояние жёсткого диска, оперативной памяти, настроек виртуальной машины, а также текущих данных и приложений.

Вы можете проверять любую дрянь и тут же откатывать систему к безопасному состоянию.

Про успешные атаки и безопасность систем

Безобидный чекер для ZK - сибилов

Атака была совершена через уязвимости в расширение.

У большинства расширений есть разрешение для выполнения определенных действий на веб страницах. Если вы любитель ставить бесплатные VPN расширения и блокировщики рекламы, то можете в один прекрасный момент быть не приятно удивлены.

🛑 Почти все расширения и так имеют слишком много разрешений, можете сами зайти и посмотреть в разрешения ваших расширений. Так что ставить дополнительный мусор в ваш браузер - не просто риск, а большая ошибка.

🔍 Суть атаки заключалась в выполнении зловредного кода через уязвимости в расширениях при посещении зараженной страницы с чекером активности ZkSync. Скрипт скачивал .dll - библиотеку для замены системной. Это может быть абсолютно любая служба или системный процесс.

Стоит учитывать, что данный способ доставки зловредного кода можно реализовать так же через:

• открытие картинки или зараженного файла
• уязвимость приложения
• выполнение JS - скриптов внутри pdf

Уязвимости в расширениях криптокошельков

Phantom Wallet
Phantom Wallet – в 2022 году у него была опасная уязвимость, которая могла привести к краже активов при взаимодействии с некоторыми смарт-контрактами.

• Ошибки в коде позволяли вредоносным контрактам запрашивать подписи, не уведомляя пользователя.

MetaMask
В июне 2021 года была обнаружена серьезная уязвимость в MetaMask, связанная с утечкой сид-фраз в macOS.

• Сид-фраза кошелька могла сохраняться в логе системы в не шифрованном виде.

Slope Wallet
В августе 2022 года произошел один из крупнейших взломов экосистемы Solana, связанный с уязвимостью в Slope Wallet – популярном криптокошельке. Хакеры похитили более 8 000 кошельков и украли свыше $6 млн в SOL и в других токенах.

• Расширение Slope Wallet хранило сид-фразы в не шифрованном виде на централизованном сервере.
• Хакеры получили доступ к этим данным и просто опустошили кошельки пользователей.

Trust Wallet
В ноябре 2022 года в браузерном расширении Trust Wallet обнаружили критическую уязвимость, связанную с WebAssembly (WASM). Хакеры украли около $170 000.

• В WASM уровень энтропии (случайности) оказался недостаточным, что делало некоторые приватные ключи предсказуемыми.
• Из-за бага хакеры могли подобрать ключи к некоторым кошелькам, созданным в уязвимый период.

🚨 Из всего этого можно еще раз сделать важный вывод: никогда не генерируйте сид-фразы где попало и не вводите их куда попало. Потому что, как вы видите, даже у мастодонтов рынка бывают критические уязвимости.

Иллюзия неприступности MacOs

🍏 Почему macOS считается более безопасной системой?

Mac изначально позиционируется как более защищённая операционная система. Но это не значит, что Apple сделала что-то принципиально лучше, чем Microsoft. Важно понимать, почему macOS кажется безопаснее, чтобы избежать ложного ощущения абсолютной защиты.

На Mac также есть вирусы, и некоторые векторы атак могут быть даже проще, чем на Windows.

Основные причины безопасности macOS

• Меньшая заинтересованность со стороны злоумышленников
  Киберпреступники воспринимают свои действия как бизнес. Для них важно, чтобы затраты на создание вредоносного ПО окупались. На рынке macOS охват пользователей меньше, чем у Windows, а значит, потенциальных жертв тоже меньше.

⚠️ Но, текущая тенденция следующая:

• За последние три года наблюдается 60% рост популярности macOS.
• Увеличивается и количество обнаруживаемого вредоносного ПО для macOS, что говорит о увеличивающемся интересе со стороны злоумышленников.

• Ограниченность функционала как преимущество
  Простота и минимализм macOS играют важную роль в её безопасности. Ещё один важный аспект — использование технологий вроде песочницы (sandboxing). Программы в macOS работают в изолированных средах, что не позволяет вредоносному ПО получить доступ к системным компонентам или данным других приложений. Этот подход делает систему менее гибкой, но значительно повышает её устойчивость к атакам.

• Windows — это огромная экосистема, предоставляющая пользователю массу возможностей, но открывающая больше "дыр" для атак.
• macOS, напротив, предоставляет меньше функций или доступ к ним более ограниченный, что снижает количество потенциальных уязвимостей.

• Закрытость системы
  Apple активно защищает систему от главной угрозы — самих пользователей. Однако эта закрытость имеет и обратную сторону. Например: Таким образом, закрытость macOS создаёт баланс между защитой и удобством, где безопасность находится на первом месте.

• Каждый раз перед совершением потенциально опасного действия macOS запрашивает пароль и предупреждает о рисках.
• Закрытость системы препятствует запуску не проверенных приложений, уменьшая вероятность заражения.
• Использование стороннего ПО может быть сложнее из-за строгих требований безопасности.
• Пользователи ограничены в настройке системы под свои нужды, что иногда воспринимается как недостаток.

Итог:

Споры о том, какая операционная система лучше — Windows или macOS — бессмысленны, так как безопасность зависит от потребностей пользователя. В последние годы обе компании сделали серьёзные шаги вперёд в этой области.

macOS и Windows представляют два разных подхода к балансу между функциональностью и безопасностью.

Подробнее о том, как работает защита на macOS, можно узнать здесь.

Особенности атак и способов заражения MacOs

💀 Одним из самых распространенных способов доставки вирусов на mac в отличии от windows все еще являются зараженные установщики.

Apple сделали все, что бы вы не установили не доверенный софт. К доверенному относится программное обеспечение из AppStore или имеющее подпись, которую получает приложение после проверки apple и которая будет не легитимной, если после получения подписи в приложения будут внесены какие либо изменения. От сюда вытекает главное правило как для macOS, так и для всех систем - устанавливаем только проверенный софт.

Красным флагом будет, если к приложению будет идти инструкция по его установке, где вам будет представлен обход блокировки установки от не проверенных издателей. Никогда не открывайте файлы путем: ПКМ + Open - в этом случае вы обходите проверку подписи файла. При обычном запуске установщика левой кнопки мыши, вы не сможете установить ПО без подписи.

Так же к распространенным способам заражения относятся:

• Заражение библиотек, инструментов или проектов, хранящихся на платформах с открытым исходным кодом, каких как GitHub.
• Макросы Microsoft Office. При открытии документа с макросами, появится окно, которое оповестить о наличии макросов и предложит их загрузить. Будь очень осторожны с подобными файлами, лучше их открывать в изолированной среде.

Подробнее про методы атаки на macOS можете посмотреть в этом видео.

Windows система для скама?

К сожалению, эта операционная система широко распространена не только среди пользователей, но и среди киберпреступников. Любой школьник может найти в тёмном интернете множество готовых скриптов, способных сташить ваши приватные ключи.

Если от неопытных скамеров, которые рассылают вам в личку какую то дрянь, можно защититься антивирусом и базовыми мерами предосторожности, то против тех, для кого скам — это работа, защититься будет куда сложнее.

Да, macOS объективно безопаснее, но это не значит, что использование Windows превращает вашу работу в хождение по минному полю. И уж точно не является поводом брать кредит ради покупки Mac.

Те, кто использует Windows и соблюдает правила кибербезопасности, защищены не хуже, чем владельцы Mac, которые просто купили «более безопасную» систему.

Если покупка Mac составляет меньше 1/10 вашего депозита, то с точки зрения баланса капитал/безопасность это логичный шаг. Если же нет — просто соблюдайте правила безопасности, и, скорее всего, всё будет в порядке.

Поздравляю, ты дочитал эту статью! Ты молодец и круче большинства криптанов. 🚀 Я выражаю респект каждому, кто осилил этот талмуд по безопасности — вы действительно крутые!

Наверное хочешь подписаться на канал автора?) Можешь не листать в начало статьи - вот сюда *клик*

Что ты получил, прочитав эту статью?

1️⃣ Ты прокачал свою безопасность. Это значит, что ты внес бесценный вклад в сохранение и рост своего капитала. Возможно, здесь ты не узнаешь, как вынести очередной проект, но поверь, несколько часов, потраченных на изучение этой статьи и применение её рекомендаций, принесут тебе гораздо больше, чем ты можешь себе представить.

Как бы банально это ни звучало, в крипте главное — не заработать, а сохранить. И эта статья — один из лучших шагов в этом направлении.

2️⃣ Ты защитил свою нервную систему. И ты особенно это почувствуешь, когда в новостях снова появится сообщение об очередном взломе.

• Ты будешь увереннее 99% людей в подобных ситуациях.
• Твоя продуктивность не пострадает, а крипта не станет источником стресса, потому что ты не увидишь ноль на балансе своих кошельков в один прекрасный день.
• Твой организм скажет тебе спасибо, потому что ты избежишь проблем, вызванных нервным напряжением, что опять же положительно скажется на твоей продуктивности и заработке.

3️⃣ Теперь у тебя есть чат, где я отвечу на все вопросы по безопасности.

Ну что, с безопасностью разобрались? Теперь пришло время и денег заработать. И можешь быть уверен — к рынку и ретро я подхожу не менее скрупулезно, чем к безопасности. Хотя, ты наверное уже и сам это понял, когда пролистал мой паблик.

Как бы странно это ни звучало, но безопасность — это не моя основная деятельность. Я такой же криптан, как и ты, и зарабатываю с рынка на свою жизнь и жизнь моей семьи. Безопасность — это всего лишь мое хобби, в котором я преуспел благодаря своему хроническому тревожному расстройству. 😆

Отдельная благодарность всем, кто бесплатно распространил статью в своём комьюнити — вы крутые!

₿RAIN | ТА КРИПТА

Вишня

AUSLANDERIZATION

HVRSH on the base | #Vers

Early Berkut

Фармим крипту

Cиноптик щитпостит

Сrypto Hustlers Media

Блок для кодеров

Данный блок был честно украден написан на основе обучающего материала от Max Zarev, спасибо ему за проделанную работу.

Сразу скажу, что я не кодер. Я немного могу писать на JS, и мне этого хватило, что бы постараться передать суть. Это не гайд и не готовый шаблон, это информация исключительно для тех, кто уже пишет на python, или читает этот блок для общего повышения своей компетенции в данном вопросе.

Данный блок даст понять, какие есть инструменты для повышения безопасности вашего кода. Я не рассказываю как применять данные инструменты и могу где то допустить ошибки, я исключительно рассказываю о них.

Базовая защита для кодеров

К базовому уровню защиты можно отнести соление информации (добавление дополнительной части к уже имеющейся информации) и перемешивание символов. Данные методы реализуются стандартными средствами python. Логику работы вы можете выстроить на свой вкус. С помощью данных способ вы можете хранить в "зашифрованном" виде ваши приватники, сид-фразы, пароли от кошельков и вообще любую информацию.

Суть метода с перемешиванием символов заключается в том, что вы меняете местами символы по определенному алгоритму, и в таком виде храните информацию. Вы должны выстроить логику так, что бы в момент запуска вашего скрипта вы вводили в консоль пин-код, который будет указывать какие символы менять местами для обратного преобразования информации и работы с ней.

С солением паролей все максимально просто: при запуске скрипта вы вводите в консоле дополнительную часть, которую ваш скрипт подставляет к хранящейся части информации.

Пин-код и дополнительную часть информации храним в защищенном месте, отдельно от базы к которым они будут применятся. При комбинации двух этих методов вы уже не плохо себя обезопасите.

• Чем длиннее будет ваш пароль, тем меньше шансов, что его смогут подобрать методом перебора символов из которых он состоит, если будут знать, что символы заменены местами. Это может произойти, если к хакеру попадет логика вашего скрипта. Т.к. вы все равно не будете вводить эти данные в ручную, можете сделать хоть 100 символов, если это будет возможно, чем больше - тем лучше.
• К сид-фразам добавляйте лишние слова из списка слов BIP-39, потом перемешивайте слова и в таком виде храните их в вашей базе. Обязательно изменяйте последнее слово, оно самое важное, потому что является проверочным.
• С приватными ключами поступаем по тому же принципу, что и с сид-фразами. Добавляйте лишние символы и потом перемешивайте.

Главное - сохраните вашу логику шифрования (соль и пин-код), а так же шифруемую информацию в исходном виде, где нибудь на зашифрованной флешке (например через veracrypt).

Скрипт нужно будет запускать через терминал, т.к. только там можно реализовать скрытый ввод информации, которой являются ваш пин-код и соль. Для этого устанавливаем библиотеку getpass и для безопасного ввода пароля в терминале используем метод getpass.getpass().

Продвинутая защита для кодеров

Тут я постараюсь дать информаци, каким способом можно именно зашифровать информацию. Я не кодер, повторюсь еще раз, это не гайд, разбирайтесь сами как это работает.

Для работы вам понадобится библиотека cryptography, после ее установки ипортируем из нее модуль fernet. Данный способ работает по симмитричному принципу - вы будуте использовать ключ как для шифровки, так и для расшифровки.

Ключ создаем с помощью метода Fernet.generate_key(). Ключ будет представлен в текстово представлении байтовой информации (буква "b" перед текстом), для работы с данным модулем вся передаваемая ему информация должна быть в байтовом представление (в таком же как и ключ).

Дальше создаем объект с использованием нашего ключа "object = Fernet(key)".

Потом мы применяем к нашему объекту методы: encrypt - для шифрования: "encrypted_seed = object.encrypt()" и decrypt - для дешефровки: "decrypted_seed = object.decrypt()".

Данные методы шифрования умеют работать только с байтовым представлением информации, так что передаем в них данные с помощью метода encode. Для удобства хранения информации в виде обычного текста после шифрования, можете применить метод decode. После дешефрования данные так же будут в байтовом представлении, что бы увидеть их в изначально виде и отдать скрипту нужно после метода decrypt применить метод decode.

Так же существует возможность записи вашей вашего ключа шифрования где то в логах, если что то сломается. Что бы этого избежать используем защищенную переменную из библиотеки pydantic. Импортируем саму библиотеку и модули BaseModel и SecretStr из нее.

Создаем класс конфигурации "class Config(BaseModel)" и в нем переменную с типом данных SecretStr. Дальше нам нужно передать значение через SecretStr в секретную переменную, которую мы создали, создаем объект конфигурации: "object = Config(key=SecretStr(getpass.getpass( )))".

Для извлечения ключа из секретной переменной и работы с ним используем метод get_secret_value.

Вы так же можете хранить ваш ключ в защищенном месте операционной системы, что бы не вводить его каждый раз. В этой области хранятся ключи доступа от всех программ на вашем устройстве, на mac - связка ключей, на windows - диспетчер учетных записей. Скрипт сам будет брать его из это защищенной области в нужный момент. Доступ к этой области можно получить только если есть полный доступ к устройству и авторизационные данные пользователя. Для каждой записи в этой защищенной области вы можете настраивать права доступа: какие программы будут иметь доступ к этой записи и что делать при попытке какой либо программы получить эти данные.

Для работы с ключами операционной ситстемы нам понадобится библиотека keyring. Создаем в защищенной области новый ключ, даем ему имя, вводим имя пользователя и в поле пароль помещаем наш ключ. Для извлечения ключа используем метод "keyring.get_password(key,username)".

Добавить запись с ключом в защищенную область системы можно напрямую с помощь python "keyring.set_password(keyname,username,key)".

При все при этом остается одна уязвимость, даже если вы храните ключ в защищенной переменно, то в оперативной памяти он все равно хранится и от туда его можно вытащить.

Что бы защититься от этого, наш скрипт должен каждый раз брать ключ из защищенной области, когда мы будем обращяться к нашему объекту для шифрования или дешефровки информации, это будет иметь вид "object = Fernet(keyring.get_password(key,username))".

Тут уже вам предстоит выбрать один из двух вариантов:

• Ваш ключ будет хранится в защищенной переменной и тогда вы можете включить настройку, что бы при каждом обращении к вашему ключу из защищенной области системы требовался пароль.
• Вы берете ключ из защищенной области системы каждый раз, когда требуется что то расшифровать или зашифровать, и вам придется добавить python в исключение для этой записи в защищенной области системы. Тут стоит учитывать, что даже если на вашем устройстве смогут запустить какой то скрипт python, потребуется все равно знать по какому имени и под каким юзером находится этот ключ.

Дополнительно для изучения

Материал, который я советую прочитать, и который я использовал при написании данной статьи:

Отчеты о безопасности mac за 2024 год:

https://moonlock.com/moonlock-2024-macos-threat-report

https://objective-see.org/blog/blog_0x7D.html

Способы заражения mac:

https://youtu.be/T5MV0G27xRU?si=1jvHPlaHCxCXZRg3

Как работает защита в mac и разбор самого популярного стиллера:

https://teletype.in/@cppmyk/macos-security#xnxu

Подробно про механизмы защиты на mac:

https://bit.ly/3XkA7k6

Методы атак и защиты:

https://teletype.in/@gusik4ever/TMzm6knrR8s

Как чекер ZkSync соскамил сибилов:

https://teletype.in/@whonion/howtoscam_2023

Хорошая статья по безопасности на windows и настройки сетевого экрана:

https://teletype.in/@insov/protecting_win