Perchè l’economia italiana non cresce
8 Dicembre 2017Intervento di Montemagno e Pistonio al #SIOS17
22 Dicembre 2017
Per i bitcoiners abituali e per chi per la prima volta vuole comprare bitcoin, la cripto-giungla è un vero casino per quanto riguarda la sicurezza.
Se hai già avuto modo (e probabilmente è così se stai leggendo questo articolo) di utilizzare un qualsiasi servizio relativo alle crittovalute in generale, avrai sicuramente notato che è necessario passare attraverso un “noiosa” serie di livelli di sicurezza che include frasi e codici complessi e lunghi da ricordare che dovresti conservare in modo sicuro da qualche parte (a questo proposito ti consigliamo di leggere la nostra guida sul tenere al sicuro i tuoi bitcoin o altcoin).
Certo, attraverso le crittovalute hai il totale controllo delle tue risorse ma il prezzo da pagare è che sei responsabile della tua sicurezza; e poiché la maggior parte delle persone non è esperta di sicurezza, 9 volte su 10 la gente è esposta ad un sacco di problemi, molte volta senza nemmeno rendersene conto.
Ogni volta mi stupisco nel vedere intorno a me quante persone, anche quelle che si professano esperte di tecnologia ed informatica, non adottino misure di sicurezza base.
Sei a rischio, SEMPRE. Anche con un Hardware Wallet come Trezor o il Ledger Nano S, che oggi sono considerati il top dei top per quanto riguarda la sicurezza del mondo delle crittovalute. In effetti la maggior parte dei problemi relativi alla sicurezza si verifica nei “punti di connessione” con il tuo portafoglio, non con il portafoglio stesso. Ciò che è a rischio non è necessariamente il tuo setup, ma la tua attenzione.
Ecco a voi alcune modalità che vengono utilizzate dagli hacker di tutto il mondo ogni giorno per impossessarsi delle chiavi private (ovvero quei dati necessari per accedere al tuo portafoglio e rubare le tue crittovalute) o anche solo per ingannarti nell’inviare monete/tokens ad un indirizzo sbagliato.
Copia/Incolla
Poniamo il caso che tu debba inviare un pagamento ad un indirizzo, magari che si trova su un sito web oppure che ti è stato inviato via mail. In questo caso per essere sicuri di inviare i tuoi bitcoin all’indirizzo corretto basta fare Copia/Incolla giusto? Bhè… non proprio.
Negli ultimi mesi sono nati una serie di virus decisamente diabolici chiamati CryptoShuffler, il cui scopo è molto semplice ma allo stesso tempo geniale. Il virus, una volta che riconosce che viene copiato un indirizzo bitcoin, sostituisce silenziosamente quest’ultimo con un altro indirizzo che non ha nulla a che fare con l’originale (sostituendolo nel 99% dei casi con l’indirizzo dell’hacker stesso).
Consiglio #1: verifica sempre l’indirizzo quando lo incolli; certo è molto noioso, ma meglio spendere 30 secondi in più piuttosto che perdere bitcoins in un secondo.
Consiglio #2: non installare programmi o app di cui non sei sicuro e cerca di verificarne sempre la firma digitale. Utilizza un antivirus e mantienilo aggiornato, utilizza contemporaneamente un anti-malware come BitDefender o MalwareByte ed effettua scansioni regolari.
Consiglio #3: utilizza un ENS ufficiale (ne parlerò più approfonditamente tra poco) invece di un indirizzo non verificabile. Alcuni sono economici da acquistare, altri no.
Estensioni del browser
Stanno sputando come funghi alcune estensioni per Chrome e Firefox che sostengono di migliorare l’esperienza e l’usabilità di alcuni siti web di trading come Bitstamp o Bittrex. Tutto a posto fin qua (perchè la maggior parte lo fanno per davvero), tranne per il fatto che possono leggere nello stesso momento tutti i dati inseriti. Fidati solo dell’esperienza nativa dei siti web che utilizzi.
Consiglio: non scaricare estensioni relative alle crittovalute o al trading. Cerca di utilizzare la modalità incognito/privata quando possibile, in quanto solitamente in questa modalità le estensioni e app terze sono disabilitate. Ti consiglio inoltre di utilizzare un browser specifico per questo tipo di operazioni a scelta tra Firefox (con uBlock Origin + HTTPs Everywhere + Privacy Badger) oppure Brave, che è un browser attento a privacy e sicurezza basato su Firefox.
Siti web clonati
Questo è un trucchetto vecchio, semplice ma che continua a mietere vittime ogni giorno: siti web clonati, pressochè identici, con una piccola differenza: solitamente vengono invertite due parole nel nome del dominio (es. coiners.it -> coniers.it).
Consiglio: Verifica sempre l’esattezza del dominio, controlla che abbia un certificato HTTPs legato ad una società e se proprio sei paranoico effettua una ricerca Whois. Inoltre gli stessi creatori di Metacert hanno sviluppato un’estensione gratuita, Cryptonite, per Chrome e Firefox che permette di verificare l’autenticità dei siti web legati alle crittovalute.
Pubblicità su Google ADS, Bing ed altri motori di ricerca e SEO
Anche questa è vecchia, però evidentemente la gente continua a non prestare abbastanza attenzione… Durante la ricerca di un particolare sito web (magari legato ad un wallet online, ad un exchange o ad una Token Sale) un hacker potrebbe indirizzarti verso un dominio “trappola” tramite annunci a pagamento o siti web ben posizionati tramite SEO (Search Engien Optimization).
Consiglio: Anche qui presta attenzione al nome dominio, al certificato ed al whois.
Mobile SMS 2FA
Questo è un problema molto conosciuto. Alcuni servizi chiederanno il tuo numero di cellulare per registrarti o attivare 2FA (autenticazione a due fattori) per aumentare la sicurezza del tuo account, ma, soprattutto negli Stati Uniti, alcuni hacker hanno uno spiccato talento nel prendere in giro il gli operatori mobile per ottenere le tue credenziali e da lì accedere a qualsiasi account collegato a Il tuo telefonino.
Consiglio #1: chiedi al tuo operatore in che modo è messo in sicurezza il tuo numero di telefono
Consiglio #2: evita di utilizzare l’sms come codice di autenticazione a 2 fattori ma privilegia le app come Google Authenticator o Authy
Phishing tramite Email
Ci risiamo: ricevi un’email da un servizio che utilizzi, ma non è autentica. Gli hacker per impossessarsi della tua password useranno esattamente lo stesso formato, modello e e design delle email “veritiere”.
Controlla sempre mittente e non cliccare alla cieca.
WiFi hacking
Probabilmente se ti interessi di sicurezza avrai già visto le notizie riguardo la falla relativa al protocollo WPA… Bhè se non ne hai mai sentito parlare, a fine 2017 è stato violato il protocollo di sicurezza che la maggior parte dei router wifi utilizza per gestire le connessioni. Attraverso un Krack attack chiunque può vedere tutti i dati che passano attraverso la tua rete wifi. Problemi simili si verificano nei Wi-Fi pubblici (es. Wifi dell’aeroporto).
Consiglio: aggiorna il tuo router, preferisci i dati mobili (3g o 4g LTE) al posto dei WiFi pubblici. Anche se nel caso di un KRACK Attack una VPN è inutile, utilizzala lo stesso nella tua quotidianità per avere maggior controllo sulla tua privacy.
Fake ENS
Per semplificare, ENS è l’equivalente delle email/DNS per l’address di un wallet. Molte ICO ne hanno fatto uso al posto di un indirizzo convenzionale (che potrebbe essere facilmente falsificato). Puoi immaginarlo come un dominio Coiners.eth. Alcuni hacker potrebbero comunque indurti ad inviare pagamenti ad un ENS sbagliato falsificando l’ENS originale con uno simile (es. ItalyICO.eth anzichè ItaliaICO.eth).
Consiglio #1: assicurati di fare riferimento solo all’ENS fornito dall’azienda e controllalo prima di inviare crittovalute
Consiglio #2: se invece vuoi avviare una ICO, acquista l’ENS relativo al nome del tuo progetto (comprendi inoltre dei possibili errori di battitura)
Airdrop gratuiti
Un Airdrop è la distribuzione gratuita di token per premiare i titolari di token esistenti o per coinvolgere più utenti in una fase d’avvio di una startup o ICO.
Chi non vorrebbe quindi token gratuiti? Solo un pazzo! Dei malintenzionati potrebbero comunque annunciare un airdrop anche quando realmente non esiste. A quel punto per ricevere i token ti faranno registrare sul loro sito web per ottenere le tue informazioni private. Anche qui… molta attenzione!