La configurazione di sicurezza “ideale” per il bitcoiner medio secondo gli esperti di sicurezza

Rispondendo ad una domanda in una recente sessione AMA (chiedimi qualsiasi cosa) sulla protezione dei propri Bitcoin dai ladri, gli esperti dell’azienda specializzata in sicurezza crittografica Casa hanno fornito quella che potrebbe essere un’impostazione di sicurezza ideale per qualsiasi titolare medio di BTC, in base all’importo che stanno assicurando.

Il Chief Technology Officer (CTO) di Casa, Jameson Lopp, e il responsabile del prodotto per il nodo Casa, Brian Lockhart, hanno tenuto una AMA su Reddit lo scorso martedì. Tra le molte domande, c’era anche una richiesta di consiglio da parte dell’utente "CorporalCrabcake" sulla "configurazione di sicurezza ideale solo per il Bitcoiner medio che cerca di assicurarsi che non vengano hackerati".

Lopp ha risposto a questa richiesta di chiarimenti affermando che "Ideale" è un termine relativo, quindi non è possibile dare una risposta ampia, poiché dipende dalla quantità di valore che qualcuno si sta assicurando. Il modo in cui Lopp lo osserva è: "se il costo di creazione di un sistema" ideale "per proteggere le chiavi private è inferiore a qualche percento del valore delle monete, allora dovrebbe essere un gioco da ragazzi."

Fornisce alcuni suggerimenti più dettagliati basati sulle sue opinioni personali, nonché su vari livelli offerti da Casa:

• Per garantire importi superiori a 1.000 USD – l’acquisto di un portafoglio hardware è il minimo indispensabile; al momento consiglia il wallet ColdCard, anche se dice che qualsiasi wallet popolare dovrebbe andare bene.
• Per garantire importi per un valore superiore a 10.000 USD – usa la multisignatura (multisig), preferibilmente con le chiavi detenute da diversi marchi di portafogli hardware.
• Per garantire importi per un valore superiore a 100.000 USD – pensa a quanto geograficamente distribuito vuoi che siano i diversi dispositivi e, possibilmente, utilizza una "configurazione M più alta di N multisig per maggiore robustezza", afferma il esperto.

Rispondendo alle domande di Redditor ‘eYou’, Lockhart ha affermato che con il multisig gli utenti stanno distribuendo il rischio su più chiavi, ma "maggiore è la quantità protetta, maggiore [numero] di chiavi è necessario per firmare una transazione." che una combinazione di dispositivi di archiviazione chiave – chiave mobile e uno o più portafogli hardware – sia raccomandata in entrambi i casi, mentre si mescolano i marchi di portafoglio hardware "non è una cattiva idea e può proteggere da possibili problemi con un produttore specifico".

Nel frattempo, Casa è uscito con un paio di annunci negli ultimi giorni. In un blog post, i due esperti hanno affrontato le preoccupazioni relative alla speculazione sulla vulnerabilità in Casa Node 1, un nodo plug-and-play Bitcoin e Lightning. Hanno detto che si tratta di problemi noti derivanti da decisioni di progettazione intenzionali, ma che non è necessario rimuovere fondi dal nodo Casa. Inoltre, Casa Node 2 è già uscito come in precedenza annunciato.

Riguardo la sicurezza online, è uscito l’annuale Internet Organized Crime Threat Assessment (IOCTA) per il 2019 dall’Agenzia dell’Unione europea per la cooperazione nel settore dell’applicazione della legge (Europol). Il rapporto afferma che "mentre le criptovalute continuano a facilitare il crimine informatico, gli hacker e i truffatori ora puntano abitualmente i cripto-asset e le imprese". Tra le conclusioni principali, il rapporto rileva che:

• Le bande usano tattiche di tipo Advanced Persistent Threat (APT) per assumere il controllo di alcuni aspetti della rete interna di una banca, e talvolta sono coinvolti stati nazionali; ad esempio, il gruppo Lazarus, che ha legami con la Corea del Nord, è stato presumibilmente responsabile di oltre mezzo miliardo di dollari di furti di criptovaluta dal 2017.
• Gli exchange di criptovaluta sono ancora una calamita per i gruppi di hacker e l’anno scorso oltre 1 miliardo di dollari in criptovalute sono stati rubati dagli exchange e da altre piattaforme in tutto il mondo.
• Si è verificata un’enorme ondata di mining cripto, sia passivo (tramite script eseguiti nel browser Internet di una vittima) sia tramite malware cryptojacking. "Entrambe le tecniche sfruttano il potere di elaborazione di una vittima senza il suo permesso di estrarre criptovalute – in genere Monero,” dice il rapporto. Con la chiusura di Coinhive a marzo, il cryptomining basato su browser è diminuito, ma gli attacchi contro entità del settore pubblico e privato si stanno evolvendo. "A parte il caso eccezionale occasionale, è probabile che il cryptomining rimanga una minaccia a bassa priorità per le forze dell’ordine dell’UE."

Per combattere i crimini e l’elevata adattabilità di coloro che li compiono, l’IOCTA afferma che:

• le forze dell’ordine e i legislatori devono innovare e conoscere le nuove tecnologie specifiche per indagare sui reati informatici tecnicamente impegnativi o complessi;
• poiché sta diventando sempre più difficile acquisire dati per indagini grazie a sviluppi tecnologici, come l’uso migliorato della crittografia per nascondere tracce o criptovalute per nascondere guadagni illeciti, "le forze dell’ordine e la magistratura devono continuare a sviluppare, condividere e diffondere la conoscenza su come riconoscere, tracciare, rintracciare, sequestrare e recuperare gli asset di criptovaluta”, ma anche costruire relazioni basate sulla fiducia con il mondo cripto;
• Gli investigatori dell’UE dovrebbero essere vigili in merito alle emergenti opportunità di conversione e incasso e condividere ogni nuova informazione con l’Europol.