17 KiB
Guia Opsec para usuários cripto
Nota: Opsec é um termo utilizado no exército americano, que significa segurança operacional. É um termo utilizado para descrever precauções e medidas de segurança utilizadas em atividades sensíveis, e mais recentemente passou a ser usado também no gerenciamento de criptomoedas.
Problema 1
Utilizar um provedor de e-mail seguro como Protonmail ou Tutanota. Utilize também serviços de VPN como Mullvad ou ProtonVPN.
Problema 2
Utilizar diferentes endereços de e-mail com senhas diferentes. Armazene as senhas em um mesmo lugar, mas jamais use senhas repetidas, especialmente para contas com informações pessoais identificáveis e/ou sensíveis (Ex: Facebook, Gmail, AppleID, Twitter, bancos/pagamentos, contas cripto). Utilize senhas geradas randomicamente com mais de 20 caracteres. Se você vir atividade suspeita ou tentativas de login em qualquer uma das suas contas, altere todas as suas senhas, começando pelas contas mais sensíveis que requerem autorizações como contas de banco e cripto. Gerenciadores de senha como 1Password e LastPass são boas opções.
Problema 3
Nunca linkar números de telefone com plataformas cripto. Se você tiver que fazer um link com o telefone, utilize múltiplos e-sim. Para travar o seu cartão SIM, contacte a sua operadora. Peça para eles nunca fazer alterações no seu número ou cartão SIM a não ser que você fisicamente apareça na loja com no mínimo duas formas de identificação. Isso (deveria) prevenir hackers de ligar na Claro, Vivo ou Tim, se passando por você, e pedindo para eles trocarem seu número para outro aparelho.
Problema 4
Ao invés de utilizar verificação de duas etapas baseadas em SMS, utilize o Google Authenticator (iOS/Android) ou Authy (iOS/Android). O Google Authenticator é mais fácil e rápido para fazer o setup, mas o Authy oferece opções mais robustas de recuperação de conta. Tenha em mente que os códigos gerados em aplicativos de 2FA são específicos para cada aparelho. Então se a sua conta não utilizar Google Cloud e iCloud, vai levar um tempinho para você conseguir restaurar o seu 2FA. A segurança adicional que você obtém vale qualquer trabalho que você possa vir a ter!
Problema 5
Carteiras frias e quentes. Utilize esquemas de multi-sig (múltiplas assinaturas) como o Gnosis-Safe por exemplo, ou, ao menos, utilize um hardware wallet. Jamais armazene suas palavras-chave digitalmente. Ao comprar um hardware wallet, você recebe um papel para anotar as suas palavras-chave. O papel vem incluso por um bom motivo, utilize-o! Isso significa também jamais digitar as palavras, armazená-las online, ou tirar foto do papel. Guarde suas chaves em um hard device.
Problema 6
Armazene seus backups offline, guarde-os em um cofre.
Problema 7
Jamais faça algo que você não entenda. Sempre verifique qual token você aprova na sua carteira, qual transação você assina, quais ativos você envia etc. – seja extremamente preciso enquanto estiver fazendo qualquer operação financeira. Tenha em mente que um possível vetor de ataque é colocar você em uma situação que vai te encorajar a tomar uma determinada ação como fazer um login, ou algo assim...
Problema 8
Tenha cuidado ao usar seu endereço residencial em cadastros e principalmente em serviços que envolvem entrega. Hoje em dia, vazamentos de dados ocorrem de forma corriqueira, e diversos vazamentos envolvem nomes e endereços dos consumidores. Seu endereço físico não é tão facilmente alterável, como um número de telefone ou endereço de e-mail, então tenha um cuidado especial sobre onde você utiliza seu endereço residencial na internet. Se você estiver pedindo pizza com pagamento em cripto, tente utilizar retirada ao invés de delivery. Outras opções incluem usar seu endereço de trabalho, caixas postais ou seu serviço de correio local.
Problema 9
Lembre-se: você pode ser um alvo. Somos um alvo natural para todos os tipos de ataques – de cibercriminosos até espionagem competitiva (soa dramático, mas é real). Dito isso, não importa em qual indústria você está. Se você tem informação sensível e proprietária (a grande maioria das pessoas em cripto têm), isso te torna um alvo. Isso é uma coisa importante para ter em mente.
Problema 10
Se mantenha vigilante sempre – crie uma cultura de ceticismo, checando sempre os links onde você clica ou respondendo a algum pedido de informação sensível, e com isso você terá um esquema de segurança muito mais robusto.
Problema 11
Opsec vem à tona com frequência em ambientes públicos. Por exemplo, se membros do seu time estão discutindo um assunto relacionado a trabalho em um ambiente público como um restaurante, ou barzinho, existe uma chance grande de alguém escutar. Tome cuidado para não discutir conteúdo empresarial sensível enquanto você está em ambientes públicos. Muitas falhas de segurança podem ser evitadas prestando atenção no ambiente e nos seus arredores, e no contexto em que você está falando: o que você está falando, onde você está, com quem você está falando e quem pode ouvir. É uma boa ideia revisar periodicamente as melhores práticas dentro da sua empresa e junto aos colaboradores.
Problema 12
Identifique seus dados sensíveis, propriedade intelectual, análises financeiras, assim como bases de dados de clientes e de colaboradores. Esses dados têm que ser os dados que vocês têm que proteger com maior afinco.
Problema 13
Identifique possíveis ameaças. Para cada categoria de informação que você considere sensível, identifique quais ameaças estão presentes. Enquanto você deve se preocupar com terceiros tentando roubar suas informações, você tem que se preocupar também com ameaças internas, como colaboradores negligentes.
Problema 14
Analise as suas brechas de segurança e outras vulnerabilidades. Preste atenção no seu esquema de segurança de modo a determinar quais fraquezas podem existir e como elas podem ser exploradas para obter acesso às suas informações importantes.
Problema 15
Avalie o nível de risco associado a cada vulnerabilidade. Ranqueie suas vulnerabilidades usando fatores como a probabilidade de um determinado ataque acontecer, as perdas associadas a cada ataque, e a quantidade de trabalho necessário para recuperar essas perdas. Quanto mais provável e prejudicial um ataque, mais você deve priorizar mitigá-lo.
Problema 16
Utilize contramedidas! O último passo do Opsec é criar e implementar um plano para eliminar ameaças e mitigar riscos. Isso pode incluir fazer update no seu hardware, criar novas políticas relacionadas a dados sensíveis ou treinamento de colaboradores em práticas de segurança da organização. As contramedidas devem ser diretas e simples. Colaboradores devem ser capazes de implementar medidas necessárias nos seus lados, com ou sem treinamento adicional.
Problema 17
Implemente controle duplo. Ou seja, certifique-se que aqueles que trabalham na sua rede não são os mesmos responsáveis por segurança.
Problema 18
Automatize tarefas de modo a reduzir a intervenção humana nos processos de segurança. Humanos são o ponto fraco em qualquer esquema de segurança organizacional porque eles cometem erros, deixam passar detalhes, esquecem coisas, e dão bypass em processos.
Problema 19
Resposta a incidentes e planejamento para recuperação de desastres são sempre medidas cruciais em um esquema de segurança de qualidade. Mesmo quando as medidas são robustas, você deve ter um plano para identificar riscos, responder a eventos e ameaças, e mitigar possíveis danos!
Problema 20
Gerenciamento de risco envolve ser capaz de identificar ameaças e vulnerabilidades antes que elas se tornem problemas. Segurança operacional força gerentes a mergulhar a fundo nas suas operações de modo a identificar quais informações podem ser facilmente obtidas. Olhar para a sua operação com os olhos de um terceiro malicioso ajuda os gerentes a identificar as vulnerabilidades que eles possam ter perdido, para que possam tomar as contramedidas necessárias para proteger dados sensíveis. A coisa mais importante aqui é entender o processo do ataque, o vetor.
Por exemplo: um hacker entrega RAT (remote access trojan) para o seu computador e agora ele tem duas entradas. No primeiro caso, se o hack é “fan”, então o hacker vai roubar seus cookies e outras informações, para que mais tarde seus dados sejam vendidos no mercado secundário pelo processamento desses logs por lammers (uma pessoa com pouco conhecimento técnico que se utiliza de ferramentas criadas por hackers para realizar seus ataques). Nesse caso, o Opsec clássico nos passos 1 a 10 deve resolver.
A alternativa é um ataque direto onde um hacker vai criar uma página de phishing no seu roteador, por onde você vai digitar suas senhas (envenenamento de servidor DNS). Para prevenir esse tipo de ataque, idealmente você precisa separar máquinas e redes. Você deve também checar seus certificados.
Um hacker pode também fazer um ataque na sua área de transferência quando você copia o endereço de envio. Nesse caso o hacker consegue mudar o endereço a ser colado na hora do envio. Além disso, o início e o final do endereço irão se parecer com o endereço original. O resultado desse ataque é uma mistura de vetores de ataque – engenharia social, phishing e malware clássico.
Problema 21
O nível do seu opsec geralmente depende do seu modelo de ameaça ou qual adversário está te atacando. Por isso é bem difícil acessar o quão bom o seu opsec. Recomendo assistir alguns vídeos sobre isso:
Problema 22
Se você usa um smartphone, seja cuidadoso e fique alerta.
Problema 23
Somente interaja com protocolos DeFi que você confia – Certifique-se que você estudou a fundo os conceitos de staking, yield farming, farming de NFTs, e pesquise outros temas que você deparar-se ao longo do caminho, antes de fazer qualquer tipo de depósito de cripto em um aplicativo descentralizado (dAPP) que utiliza qualquer uma dessas estratégias.
Problema 24
Use somente serviços confiáveis. Usar uma carteira cripto segura e fácil de usar para interagir com os protocolos DeFi é essencial para uma experiência segura e amigável. Interagir com contratos inteligentes pode ser complexo na primeira vez, então usar uma carteira fácil de usar é uma maneira inteligente de mitigar riscos que podem surgir a partir de erros acidentais do outro lado do usuário.
Problema 25
Conheça os ataques mais comuns. Siga websites de hackers, leia sobre os últimos padrões de segurança, entenda o que fazem Nitrokey e Yubikey e porque eles existem. Para finalizar, leia sobre OSINT e counterOSINT para que possíveis criminosos não consigam coletar os dados necessários.
Table of contents
Se você gostou e quiser apoiar o projeto do escritor desse trabalho, você pode doar para o seguinte endereço:
0xB25C5E8fA1E53eEb9bE3421C59F6A66B786ED77A — ERC20 & ETH (officercia.eth)!
17Ydx9m7vrhnx4XjZPuGPMqrhw3sDviNTU - BTC