mirror of
https://github.com/OffcierCia/Crypto-OpSec-SelfGuard-RoadMap.git
synced 2024-10-01 08:15:36 -04:00
c03a7a4fbf
fix
220 lines
17 KiB
Markdown
220 lines
17 KiB
Markdown
# Guia Opsec para usuários cripto
|
||
|
||
> Nota: Opsec é um termo utilizado no exército americano, que significa segurança operacional. É um termo utilizado para descrever precauções e medidas de segurança utilizadas em atividades sensíveis, e mais recentemente passou a ser usado também no gerenciamento de criptomoedas.
|
||
|
||
## Problema 1
|
||
|
||
Utilizar um provedor de e-mail seguro como Protonmail ou Tutanota. Utilize também serviços de VPN como Mullvad ou ProtonVPN.
|
||
|
||
[Assista](https://www.youtube.com/channel/UCYVU6rModlGxvJbszCclGGw)
|
||
|
||
## Problema 2
|
||
|
||
Utilizar diferentes endereços de e-mail com senhas diferentes. Armazene as senhas em um mesmo lugar, mas jamais use senhas repetidas, especialmente para contas com informações pessoais identificáveis e/ou sensíveis (Ex: Facebook, Gmail, AppleID, Twitter, bancos/pagamentos, contas cripto). Utilize senhas geradas randomicamente com mais de 20 caracteres. Se você vir atividade suspeita ou tentativas de login em qualquer uma das suas contas, altere todas as suas senhas, começando pelas contas mais sensíveis que requerem autorizações como contas de banco e cripto. Gerenciadores de senha como 1Password e LastPass são boas opções.
|
||
|
||
[Leia Mais](https://blog.keys.casa/7-ways-to-level-up-your-bitcoin-opsec/)
|
||
|
||
## Problema 3
|
||
|
||
Nunca linkar números de telefone com plataformas cripto. Se você tiver que fazer um link com o telefone, utilize múltiplos e-sim. Para travar o seu cartão SIM, contacte a sua operadora. Peça para eles nunca fazer alterações no seu número ou cartão SIM a não ser que você fisicamente apareça na loja com no mínimo duas formas de identificação. Isso (deveria) prevenir hackers de ligar na Claro, Vivo ou Tim, se passando por você, e pedindo para eles trocarem seu número para outro aparelho.
|
||
|
||
[Leia Mais](https://medium.com/the-business-of-crypto/fundamentals-of-opsec-in-crypto-7844ba701b1d)
|
||
|
||
## Problema 4
|
||
|
||
Ao invés de utilizar verificação de duas etapas baseadas em SMS, utilize o Google Authenticator (iOS/Android) ou Authy (iOS/Android). O Google Authenticator é mais fácil e rápido para fazer o setup, mas o Authy oferece opções mais robustas de recuperação de conta. Tenha em mente que os códigos gerados em aplicativos de 2FA são específicos para cada aparelho. Então se a sua conta não utilizar Google Cloud e iCloud, vai levar um tempinho para você conseguir restaurar o seu 2FA. A segurança adicional que você obtém vale qualquer trabalho que você possa vir a ter!
|
||
|
||
[Leia Mais](https://www.threatstack.com/blog/five-opsec-best-practices-to-live-by)
|
||
|
||
## Problema 5
|
||
|
||
Carteiras frias e quentes. Utilize esquemas de multi-sig (múltiplas assinaturas) como o Gnosis-Safe por exemplo, ou, ao menos, utilize um hardware wallet. Jamais armazene suas palavras-chave digitalmente. Ao comprar um hardware wallet, você recebe um papel para anotar as suas palavras-chave. O papel vem incluso por um bom motivo, utilize-o! Isso significa também jamais digitar as palavras, armazená-las online, ou tirar foto do papel. Guarde suas chaves em um hard device.
|
||
|
||
[Leia Mais](https://digitalguardian.com/blog/what-operational-security-five-step-process-best-practices-and-more)
|
||
|
||
## Problema 6
|
||
|
||
Armazene seus backups offline, guarde-os em um cofre.
|
||
|
||
[Leia Mais](https://www.gocivilairpatrol.com/programs/emergency-services/operations-support/operational-security-opsec)
|
||
|
||
## Problema 7
|
||
|
||
Jamais faça algo que você não entenda. Sempre verifique qual token você aprova na sua carteira, qual transação você assina, quais ativos você envia etc. – seja extremamente preciso enquanto estiver fazendo qualquer operação financeira. Tenha em mente que um possível vetor de ataque é colocar você em uma situação que vai te encorajar a tomar uma determinada ação como fazer um login, ou algo assim...
|
||
|
||
[Leia Mais](https://joelgsamuel.medium.com/how-to-keep-your-smartphone-safe-from-spying-d7d50fbed817)
|
||
|
||
## Problema 8
|
||
|
||
Tenha cuidado ao usar seu endereço residencial em cadastros e principalmente em serviços que envolvem entrega. Hoje em dia, vazamentos de dados ocorrem de forma corriqueira, e diversos vazamentos envolvem nomes e endereços dos consumidores. Seu endereço físico não é tão facilmente alterável, como um número de telefone ou endereço de e-mail, então tenha um cuidado especial sobre onde você utiliza seu endereço residencial na internet. Se você estiver pedindo pizza com pagamento em cripto, tente utilizar retirada ao invés de delivery. Outras opções incluem usar seu endereço de trabalho, caixas postais ou seu serviço de correio local.
|
||
|
||
[Leia Mais](https://www.cnbc.com/2017/11/02/heres-how-to-protect-your-bitcoin-and-ethereum-from-hacking.html)
|
||
|
||
## Problema 9
|
||
|
||
Lembre-se: você pode ser um alvo. Somos um alvo natural para todos os tipos de ataques – de cibercriminosos até espionagem competitiva (soa dramático, mas é real). Dito isso, não importa em qual indústria você está. Se você tem informação sensível e proprietária (a grande maioria das pessoas em cripto têm), isso te torna um alvo. Isso é uma coisa importante para ter em mente.
|
||
|
||
[Leia Mais](https://www.cnbc.com/2021/06/11/tips-to-help-keep-your-crypto-wallet-secure.html)
|
||
|
||
[Leia Mais](https://anonymousplanet.org/guide.html)
|
||
|
||
## Problema 10
|
||
|
||
Se mantenha vigilante sempre – crie uma cultura de ceticismo, checando sempre os links onde você clica ou respondendo a algum pedido de informação sensível, e com isso você terá um esquema de segurança muito mais robusto.
|
||
|
||
[Leia Mais](https://www.ledger.com/academy/security/hack-wifi)
|
||
|
||
[Leia Mais](https://anonymousplanet.org/guide.html)
|
||
|
||
## Problema 11
|
||
|
||
Opsec vem à tona com frequência em ambientes públicos. Por exemplo, se membros do seu time estão discutindo um assunto relacionado a trabalho em um ambiente público como um restaurante, ou barzinho, existe uma chance grande de alguém escutar. Tome cuidado para não discutir conteúdo empresarial sensível enquanto você está em ambientes públicos. Muitas falhas de segurança podem ser evitadas prestando atenção no ambiente e nos seus arredores, e no contexto em que você está falando: o que você está falando, onde você está, com quem você está falando e quem pode ouvir. É uma boa ideia revisar periodicamente as melhores práticas dentro da sua empresa e junto aos colaboradores.
|
||
|
||
[Assista](https://www.youtube.com/watch?v=hxHqE2W8scQy)
|
||
|
||
## Problema 12
|
||
|
||
Identifique seus dados sensíveis, propriedade intelectual, análises financeiras, assim como bases de dados de clientes e de colaboradores. Esses dados têm que ser os dados que vocês têm que proteger com maior afinco.
|
||
|
||
[Assista](https://www.youtube.com/watch?v=0aSQMeoz9ow)
|
||
|
||
## Problema 13
|
||
|
||
Identifique possíveis ameaças. Para cada categoria de informação que você considere sensível, identifique quais ameaças estão presentes. Enquanto você deve se preocupar com terceiros tentando roubar suas informações, você tem que se preocupar também com ameaças internas, como colaboradores negligentes.
|
||
|
||
[Leia Mais](https://datatracker.ietf.org/wg/opsec/documents/)
|
||
|
||
## Problema 14
|
||
|
||
Analise as suas brechas de segurança e outras vulnerabilidades. Preste atenção no seu esquema de segurança de modo a determinar quais fraquezas podem existir e como elas podem ser exploradas para obter acesso às suas informações importantes.
|
||
|
||
[Leia Mais](https://www.lopp.net/bitcoin-information/security.html)
|
||
|
||
## Problema 15
|
||
|
||
Avalie o nível de risco associado a cada vulnerabilidade. Ranqueie suas vulnerabilidades usando fatores como a probabilidade de um determinado ataque acontecer, as perdas associadas a cada ataque, e a quantidade de trabalho necessário para recuperar essas perdas. Quanto mais provável e prejudicial um ataque, mais você deve priorizar mitigá-lo.
|
||
|
||
[Leia Mais](https://www.reddit.com/r/opsec/)
|
||
|
||
## Problema 16
|
||
|
||
Utilize contramedidas! O último passo do Opsec é criar e implementar um plano para eliminar ameaças e mitigar riscos. Isso pode incluir fazer update no seu hardware, criar novas políticas relacionadas a dados sensíveis ou treinamento de colaboradores em práticas de segurança da organização. As contramedidas devem ser diretas e simples. Colaboradores devem ser capazes de implementar medidas necessárias nos seus lados, com ou sem treinamento adicional.
|
||
|
||
[Leia Mais](https://hackernoon.com/5-tips-to-prevent-hackers-from-stealing-your-crypto-assets-e2243zig)
|
||
|
||
## Problema 17
|
||
|
||
Implemente controle duplo. Ou seja, certifique-se que aqueles que trabalham na sua rede não são os mesmos responsáveis por segurança.
|
||
|
||
[Leia Mais](https://arxiv.org/abs/2106.10740)
|
||
|
||
## Problema 18
|
||
|
||
Automatize tarefas de modo a reduzir a intervenção humana nos processos de segurança. Humanos são o ponto fraco em qualquer esquema de segurança organizacional porque eles cometem erros, deixam passar detalhes, esquecem coisas, e dão bypass em processos.
|
||
|
||
[Leia Mais](https://web.mit.edu/smadnick/www/wp/2019-05.pdf)
|
||
|
||
[Leia Mais](https://medium.com/immunefi/how-not-to-get-hacked-on-telegram-2db2b93a5fa2v)
|
||
|
||
## Problema 19
|
||
|
||
Resposta a incidentes e planejamento para recuperação de desastres são sempre medidas cruciais em um esquema de segurança de qualidade. Mesmo quando as medidas são robustas, você deve ter um plano para identificar riscos, responder a eventos e ameaças, e mitigar possíveis danos!
|
||
|
||
[Leia Mais](https://airgapcomputer.com/)
|
||
|
||
[Leia Mais](https://trustwallet.com/blog/how-to-stay-safe-on-the-internet-crypto-guide)
|
||
|
||
## Problema 20
|
||
|
||
Gerenciamento de risco envolve ser capaz de identificar ameaças e vulnerabilidades antes que elas se tornem problemas. Segurança operacional força gerentes a mergulhar a fundo nas suas operações de modo a identificar quais informações podem ser facilmente obtidas. Olhar para a sua operação com os olhos de um terceiro malicioso ajuda os gerentes a identificar as vulnerabilidades que eles possam ter perdido, para que possam tomar as contramedidas necessárias para proteger dados sensíveis. A coisa mais importante aqui é entender o processo do ataque, o vetor.
|
||
|
||
Por exemplo: um hacker entrega RAT (remote access trojan) para o seu computador e agora ele tem duas entradas. No primeiro caso, se o hack é “fan”, então o hacker vai roubar seus cookies e outras informações, para que mais tarde seus dados sejam vendidos no mercado secundário pelo processamento desses logs por lammers (uma pessoa com pouco conhecimento técnico que se utiliza de ferramentas criadas por hackers para realizar seus ataques). Nesse caso, o Opsec clássico nos passos 1 a 10 deve resolver.
|
||
|
||
A alternativa é um ataque direto onde um hacker vai criar uma página de phishing no seu roteador, por onde você vai digitar suas senhas (envenenamento de servidor DNS). Para prevenir esse tipo de ataque, idealmente você precisa separar máquinas e redes. Você deve também checar seus certificados.
|
||
|
||
Um hacker pode também fazer um ataque na sua área de transferência quando você copia o endereço de envio. Nesse caso o hacker consegue mudar o endereço a ser colado na hora do envio. Além disso, o início e o final do endereço irão se parecer com o endereço original. O resultado desse ataque é uma mistura de vetores de ataque – engenharia social, phishing e malware clássico.
|
||
|
||
[Assista](https://www.youtube.com/watch?v=pGcerfVqYyU)
|
||
|
||
[Leia Mais](https://medium.com/@cryptochatjoe/remaining-anonymous-in-todays-crypto-market-a-101-guide-for-the-badass-not-so-techies-7091edffa9aa)
|
||
|
||
## Problema 21
|
||
|
||
O nível do seu opsec geralmente depende do seu modelo de ameaça ou qual adversário está te atacando. Por isso é bem difícil acessar o quão bom o seu opsec. Recomendo assistir alguns vídeos sobre isso:
|
||
|
||
[Assista](https://www.youtube.com/watch?v=9XaYdCdwiWU)
|
||
|
||
[Assista](https://www.youtube.com/watch?v=ixLuRvYlrlw)
|
||
|
||
## Problema 22
|
||
|
||
Se você usa um smartphone, seja cuidadoso e fique alerta.
|
||
|
||
[Leia Mais](https://joelgsamuel.medium.com/how-to-keep-your-smartphone-safe-from-spying-d7d50fbed817)
|
||
|
||
## Problema 23
|
||
|
||
Somente interaja com protocolos DeFi que você confia – Certifique-se que você estudou a fundo os conceitos de staking, yield farming, farming de NFTs, e pesquise outros temas que você deparar-se ao longo do caminho, antes de fazer qualquer tipo de depósito de cripto em um aplicativo descentralizado (dAPP) que utiliza qualquer uma dessas estratégias.
|
||
|
||
[Leia Mais](https://github.com/OffcierCia/ultimate-defi-research-base)
|
||
|
||
[Leia Mais](https://assets.website-files.com/5ffef4c69be53b44bd10b438/6012f54022181b0d0a3a948c_CryptoCurrency%20Security%20Standards%20Checklist.pdf)
|
||
|
||
## Problema 24
|
||
|
||
Use somente serviços confiáveis. Usar uma carteira cripto segura e fácil de usar para interagir com os protocolos DeFi é essencial para uma experiência segura e amigável. Interagir com contratos inteligentes pode ser complexo na primeira vez, então usar uma carteira fácil de usar é uma maneira inteligente de mitigar riscos que podem surgir a partir de erros acidentais do outro lado do usuário.
|
||
|
||
[Leia Mais](https://github.com/OffcierCia/DeFi-Developer-Road-Map)
|
||
|
||
[Leia Mais](https://blog.eduonix.com/cryptocurrency/cryptocurrency-security-checklist-investors-adopt/)
|
||
|
||
## Problema 25
|
||
|
||
Conheça os ataques mais comuns. Siga websites de hackers, leia sobre os últimos padrões de segurança, entenda o que fazem Nitrokey e Yubikey e porque eles existem. Para finalizar, leia sobre OSINT e counterOSINT para que possíveis criminosos não consigam coletar os dados necessários.
|
||
|
||
[Leia Mais](https://github.com/jlopp/physical-bitcoin-attacks/blob/master/README.md)
|
||
|
||
[Leia Mais](https://cryptosec.info/checklist/)
|
||
|
||
### Table of contents
|
||
|
||
| Watch |
|
||
|----------------------------------------------|
|
||
| https://www.youtube.com/watch?v=hxHqE2W8scQy |
|
||
| https://www.youtube.com/watch?v=0aSQMeoz9ow |
|
||
| https://www.youtube.com/watch?v=pGcerfVqYyU |
|
||
| https://www.youtube.com/watch?v=9XaYdCdwiWU |
|
||
| https://www.youtube.com/watch?v=ixLuRvYlrlw |
|
||
|
||
| Read |
|
||
|------------------------------------------------------------------------------------------------------------------------------------------|
|
||
| https://blog.keys.casa/7-ways-to-level-up-your-bitcoin-opsec |
|
||
| https://medium.com/the-business-of-crypto/fundamentals-of-opsec-in-crypto-7844ba701b1d |
|
||
| https://www.threatstack.com/blog/five-opsec-best-practices-to-live-by |
|
||
| https://digitalguardian.com/blog/what-operational-security-five-step-process-best-practices-and-more |
|
||
| https://www.gocivilairpatrol.com/programs/emergency-services/operations-support/operational-security-opsec |
|
||
| https://joelgsamuel.medium.com/how-to-keep-your-smartphone-safe-from-spying-d7d50fbed817 |
|
||
| https://www.cnbc.com/2017/11/02/heres-how-to-protect-your-bitcoin-and-ethereum-from-hacking.html |
|
||
| https://www.cnbc.com/2021/06/11/tips-to-help-keep-your-crypto-wallet-secure.html |
|
||
| https://www.ledger.com/academy/security/hack-wifi |
|
||
| https://datatracker.ietf.org/wg/opsec/documents/ |
|
||
| https://www.lopp.net/bitcoin-information/security.html |
|
||
| https://www.reddit.com/r/opsec/ |
|
||
| https://hackernoon.com/5-tips-to-prevent-hackers-from-stealing-your-crypto-assets-e2243zig |
|
||
| https://arxiv.org/abs/2106.10740 |
|
||
| https://web.mit.edu/smadnick/www/wp/2019-05.pdf |
|
||
| https://airgapcomputer.com |
|
||
| https://joelgsamuel.medium.com/how-to-keep-your-smartphone-safe-from-spying-d7d50fbed817 |
|
||
| https://assets.website-files.com/5ffef4c69be53b44bd10b438/6012f54022181b0d0a3a948c_CryptoCurrency%20Security%20Standards%20Checklist.pdf |
|
||
| https://blog.eduonix.com/cryptocurrency/cryptocurrency-security-checklist-investors-adopt/ |
|
||
| https://github.com/jlopp/physical-bitcoin-attacks/blob/master/README.md |
|
||
| https://cryptosec.info/checklist/ |
|
||
|
||
#
|
||
|
||
Se você gostou e quiser apoiar o projeto do escritor desse trabalho, você pode doar para o seguinte endereço:
|
||
|
||
**0xB25C5E8fA1E53eEb9bE3421C59F6A66B786ED77A** — ERC20 & ETH (officercia.eth)!
|
||
|
||
**17Ydx9m7vrhnx4XjZPuGPMqrhw3sDviNTU** - BTC
|