ब्लॉकचेन डार्क फ़ॉरेस्ट सेल्फगार्ड हैंडबुक
(स्रोत:https://github.com/slowmist/Blockचेन-डार्क-फ़ॉरेस्ट-सेल्फगार्ड-हैंडबुक)
प्रस्ताव
सबसे पहले, इस पुस्तिका को ढूंढने के लिए बधाई! इससे कोई फर्क नहीं पड़ता कि आप कौन हैं - यदि आप एक क्रिप्टोकरेंसी धारक हैं या आप भविष्य में क्रिप्टो दुनिया में कूदना चाहते हैं, तो यह हैंडबुक आपकी बहुत मदद करेगी। आपको इस पुस्तिका को ध्यान से पढ़ना चाहिए और इसकी शिक्षाओं को वास्तविक जीवन में लागू करना चाहिए।
इसके अतिरिक्त, इस पुस्तिका को पूरी तरह से समझने के लिए कुछ पृष्ठभूमि ज्ञान की आवश्यकता है। हालाँकि, कृपया चिंता न करें। जहां तक शुरुआती लोगों का सवाल है, ज्ञान संबंधी बाधाओं से डरो मत, जिन्हें दूर किया जा सकता है। यदि आपका सामना किसी ऐसी चीज़ से होता है जो आपको समझ में नहीं आती है, और आपको और अधिक जानने की आवश्यकता है, तो Google की अत्यधिक अनुशंसा की जाती है। इसके अलावा, एक सुरक्षा नियम को ध्यान में रखना महत्वपूर्ण है: संशयवादी बनें! इससे कोई फर्क नहीं पड़ता कि आप वेब पर कौन सी जानकारी देखते हैं, आपको हमेशा क्रॉस-रेफरेंस के लिए कम से कम दो स्रोतों की तलाश करनी चाहिए।
पुनः, इस पुस्तिका में उल्लिखित ज्ञान सहित, हमेशा संदेहशील रहें।
ब्लॉकचेन एक महान आविष्कार है जो उत्पादन संबंधों में बदलाव लाता है और कुछ हद तक विश्वास की समस्या को हल करता है। विशेष रूप से, ब्लॉकचेन केंद्रीकरण और तीसरे पक्ष की आवश्यकता के बिना कई "विश्वास" परिदृश्य बनाता है, जैसे अपरिवर्तनीयता, सहमति के अनुसार निष्पादन और अस्वीकृति की रोकथाम। हालाँकि, वास्तविकता क्रूर है. ब्लॉकचेन के बारे में कई गलतफहमियां हैं, और बुरे लोग इन गलतफहमियों का इस्तेमाल खामियों का फायदा उठाने और लोगों से पैसे चुराने के लिए करेंगे, जिससे बहुत सारे वित्तीय नुकसान होंगे। आज, क्रिप्टो दुनिया पहले से ही एक अंधेरा जंगल बन गई है।
ब्लॉकचेन अंधेरे जंगल से बचने के लिए कृपया निम्नलिखित दो सुरक्षा नियमों को याद रखें।
- शून्य भरोसा: इसे सरल बनाने के लिए, संशयवादी बने रहें और हमेशा ऐसे ही बने रहें।
- सतत सुरक्षा सत्यापन: किसी चीज़ पर भरोसा करने के लिए, आपको जिस बात पर संदेह है उसकी पुष्टि करनी होगी और पुष्टि को अपनी आदत बनाना होगा।
नोट: उपरोक्त दो सुरक्षा नियम इस हैंडबुक के मूल सिद्धांत हैं, और इस हैंडबुक में उल्लिखित अन्य सभी सुरक्षा सिद्धांत उन्हीं से लिए गए हैं।
ठीक है, हमारे परिचय के लिए बस इतना ही। आइए एक आरेख से शुरुआत करें और इस अंधेरे जंगल का पता लगाएं कि हमें किन जोखिमों का सामना करना पड़ेगा और हमें उनसे कैसे निपटना चाहिए।
एक आरेख
आप शेष पुस्तिका पर करीब से नज़र डालने से पहले इस आरेख को देख सकते हैं। यह इस दुनिया की सभी प्रमुख गतिविधियों के बारे में है (आप इसे जो भी कहें: ब्लॉकचेन, क्रिप्टोकरेंसी या वेब3), जिसमें तीन मुख्य प्रक्रियाएं शामिल हैं: एक वॉलेट बनाना, एक वॉलेट का बैकअप लेना और एक वॉलेट का उपयोग करना।
आइए इन तीन प्रक्रियाओं का पालन करें और उनमें से प्रत्येक का विश्लेषण करें।
एक वॉलेट बनाएं
वॉलेट का मूल निजी कुंजी (या बीज वाक्यांश) है।
निजी कुंजी इस प्रकार दिखती है:
0xa164d4767469de4faf09793ceea07d5a2f5d3cef7f6a9658916c581829ff5584
इसके अलावा, यहां बताया गया है कि बीज वाक्यांश कैसा दिखता है:
क्रूर सप्ताहांत स्पाइक प्वाइंट निर्दोष चक्कर विदेशी उपयोग इवोक शेड गलत समायोजित करें
नोट: हम यहां उदाहरण के तौर पर एथेरियम का उपयोग कर रहे हैं। कृपया निजी कुंजी/बीज वाक्यांश के अधिक विवरण स्वयं देखें।
निजी कुंजी आपकी पहचान है. यदि निजी कुंजी खो जाती है/चोरी हो जाती है, तो आपने अपनी पहचान खो दी है। कई प्रसिद्ध वॉलेट एप्लिकेशन हैं, और यह हैंडबुक उन सभी को कवर नहीं करेगी।
हालाँकि, मैं कुछ विशिष्ट वॉलेट का उल्लेख करूँगा। कृपया ध्यान दें, यहां बताए गए वॉलेट पर कुछ हद तक भरोसा किया जा सकता है। लेकिन मैं इसकी गारंटी नहीं दे सकता कि उपयोग के दौरान उन्हें कोई सुरक्षा समस्या या जोखिम नहीं होगा, चाहे अपेक्षित हो या नहीं (मैं अधिक नहीं दोहराऊंगा। कृपया प्रस्तावना में उल्लिखित दो मुख्य सुरक्षा नियमों को हमेशा ध्यान में रखें)
एप्लिकेशन द्वारा वर्गीकृत, पीसी वॉलेट, ब्राउज़र एक्सटेंशन वॉलेट, मोबाइल वॉलेट, हार्डवेयर वॉलेट और वेब वॉलेट हैं। इंटरनेट कनेक्शन के संदर्भ में, उन्हें मुख्य रूप से कोल्ड वॉलेट और हॉट वॉलेट में विभाजित किया जा सकता है। इससे पहले कि हम क्रिप्टो दुनिया में कूदें, हमें पहले वॉलेट के उद्देश्य के बारे में सोचना चाहिए। उद्देश्य न केवल यह निर्धारित करता है कि हमें किस वॉलेट का उपयोग करना चाहिए, बल्कि यह भी निर्धारित करता है कि हम वॉलेट का उपयोग कैसे करते हैं।
इससे कोई फर्क नहीं पड़ता कि आप किस प्रकार का बटुआ चुनते हैं, एक बात निश्चित है: इस दुनिया में पर्याप्त अनुभव होने के बाद, एक बटुआ पर्याप्त नहीं है।
यहां हमें एक और सुरक्षा सिद्धांत को ध्यान में रखना चाहिए: अलगाव, यानी, अपने सभी अंडे एक टोकरी में न रखें। जितना अधिक बार वॉलेट का उपयोग किया जाता है, उतना अधिक जोखिम भरा होता है। हमेशा याद रखें: कुछ भी नया आज़माते समय, पहले एक अलग बटुआ तैयार करें और थोड़े से पैसे के साथ इसे कुछ समय के लिए आज़माएँ। यहां तक कि मेरे जैसे क्रिप्टो दिग्गज के लिए भी, यदि आप आग से खेलते हैं, तो आप आसानी से जल जाएंगे।
डाउनलोड करना
यह सरल लगता है, लेकिन वास्तव में यह आसान नहीं है। कारण इस प्रकार हैं:
- बहुत से लोग वास्तविक आधिकारिक वेबसाइट, या सही एप्लिकेशन बाज़ार नहीं ढूंढ पाते हैं, और अंततः एक नकली वॉलेट स्थापित कर लेते हैं।
- बहुत से लोग यह नहीं जानते कि कैसे पहचानें कि डाउनलोड किए गए एप्लिकेशन के साथ छेड़छाड़ की गई है या नहीं।
इस प्रकार, कई लोगों के लिए, ब्लॉकचेन दुनिया में प्रवेश करने से पहले ही, उनका बटुआ पहले से ही खाली है।
उपरोक्त पहली समस्या को हल करने के लिए, सही आधिकारिक वेबसाइट खोजने की कुछ तकनीकें हैं, जैसे
- Google का उपयोग करना
- कॉइनमार्केटकैप जैसी प्रसिद्ध आधिकारिक वेबसाइटों का उपयोग करना
- भरोसेमंद लोगों और दोस्तों से पूछ रहे हैं
आप इन विभिन्न स्रोतों से प्राप्त जानकारी को क्रॉस-रेफरेंस कर सकते हैं, और अंततः केवल एक ही सत्य है:) बधाई हो, आपको सही आधिकारिक वेबसाइट मिल गई है।
इसके बाद आपको एप्लिकेशन डाउनलोड और इंस्टॉल करना होगा। यदि यह एक पीसी वॉलेट हैआधिकारिक वेबसाइट से डाउनलोड करने के बाद आपको इसे स्वयं इंस्टॉल करना होगा। यह सत्यापित करने की अत्यधिक अनुशंसा की जाती है कि इंस्टॉलेशन से पहले लिंक के साथ छेड़छाड़ की गई है या नहीं। यद्यपि यह सत्यापन उन मामलों को नहीं रोक सकता है जहां स्रोत कोड पूरी तरह से बदल दिया गया था (अंदरूनी घोटाले, आंतरिक हैकिंग या आधिकारिक वेबसाइट हैक हो सकती है, आदि के कारण) हालांकि, यह स्रोत कोड के आंशिक छेड़छाड़ जैसे मामलों को रोक सकता है, बीच में आदमी का हमला, आदि।
यह सत्यापित करने की विधि कि किसी फ़ाइल के साथ छेड़छाड़ की गई है, फ़ाइल संगतता जाँच है। आमतौर पर दो तरीके होते हैं:
- हैश जांचता है: जैसे कि MD5, SHA256, आदि। MD5 ज्यादातर मामलों में काम करता है, लेकिन अभी भी हैश टकराव का एक छोटा जोखिम है, इसलिए हम आम तौर पर SHA256 चुनते हैं, जो काफी सुरक्षित है।
- जीपीजी हस्ताक्षर सत्यापन: यह तरीका भी काफी लोकप्रिय है. GPG टूल, कमांड और विधियों में महारत हासिल करने की अत्यधिक अनुशंसा की जाती है। हालाँकि यह विधि नए लोगों के लिए थोड़ी कठिन है, लेकिन एक बार इससे परिचित होने के बाद आपको यह बहुत उपयोगी लगेगी।
हालाँकि, क्रिप्टो दुनिया में ऐसी कई परियोजनाएँ नहीं हैं जो सत्यापन प्रदान करती हैं। तो, इसे पाना भाग्यशाली है। उदाहरण के लिए, यहां एक बिटकॉइन वॉलेट है जिसे स्पैरो वॉलेट कहा जाता है। इसका डाउनलोड पृष्ठ कहता है "रिलीज़ का सत्यापन", जो वास्तव में प्रभावशाली है, और ऊपर उल्लिखित दोनों विधियों के लिए स्पष्ट दिशानिर्देश हैं, इसलिए आप संदर्भ के लिए इसका उपयोग कर सकते हैं:
डाउनलोड पृष्ठ में दो GPG टूल का उल्लेख किया गया है:
- MacOS के लिए GPG सुइट।
- विंडोज के लिए Gpg4win।
यदि आप ध्यान दें, तो आप पाएंगे कि दोनों जीपीजी टूल के डाउनलोड पेज दोनों तरीकों की स्थिरता की जांच करने के बारे में कुछ निर्देश देते हैं। हालाँकि, कोई चरण-दर-चरण मार्गदर्शिका नहीं है, यानी आपको स्वयं सीखने और अभ्यास करने की आवश्यकता है:)
यदि यह एक ब्राउज़र एक्सटेंशन वॉलेट है, जैसे कि मेटामास्क, केवल एक चीज जिस पर आपको ध्यान देना है वह है क्रोम वेब स्टोर में डाउनलोड संख्या और रेटिंग। उदाहरण के लिए, मेटामास्क के 10 मिलियन से अधिक डाउनलोड और 2,000 से अधिक रेटिंग हैं (हालाँकि समग्र रेटिंग अधिक नहीं है)। कुछ लोग सोच सकते हैं कि डाउनलोड संख्या और रेटिंग बढ़ी हुई हो सकती है। सच कहा जाए तो इतनी बड़ी संख्या में फर्जीवाड़ा करना बहुत मुश्किल है।
मोबाइल वॉलेट ब्राउज़र एक्सटेंशन वॉलेट के समान है। हालाँकि, यह ध्यान दिया जाना चाहिए कि ऐप स्टोर के प्रत्येक क्षेत्र के लिए अलग-अलग संस्करण हैं। क्रिप्टोकरेंसी मुख्यभूमि चीन में प्रतिबंधित है, इसलिए यदि आपने अपने चीनी ऐप स्टोर खाते से वॉलेट डाउनलोड किया है, तो केवल एक ही सुझाव है: इसका उपयोग न करें, इसे अमेरिका जैसे किसी अलग क्षेत्र में किसी अन्य खाते में बदल दें और फिर से डाउनलोड करें यह। इसके अलावा, सही आधिकारिक वेबसाइट आपको सही डाउनलोड विधि (जैसे इमटोकन, ट्रस्ट वॉलेट इत्यादि) तक भी ले जाएगी। आधिकारिक वेबसाइटों के लिए उच्च वेबसाइट सुरक्षा बनाए रखना महत्वपूर्ण है। यदि आधिकारिक वेबसाइट हैक हो गई है, तो बड़ी समस्याएं होंगी। ).
यदि यह एक हार्डवेयर वॉलेट है, इसे आधिकारिक वेबसाइट से खरीदने की अत्यधिक अनुशंसा की जाती है। इन्हें ऑनलाइन स्टोर से न खरीदें. एक बार जब आपको बटुआ मिल जाए, तो आपको इस बात पर भी ध्यान देना चाहिए कि बटुआ निष्क्रिय है या नहीं। बेशक, पैकेजिंग पर कुछ ऐसी गड़बड़ियाँ हैं जिनका पता लगाना मुश्किल है। किसी भी स्थिति में, हार्डवेयर वॉलेट का उपयोग करते समय, आपको स्क्रैच से कम से कम तीन बार सीड वाक्यांश और वॉलेट पता बनाना चाहिए। और सुनिश्चित करें कि उनकी पुनरावृत्ति न हो।
यदि यह एक वेब वॉलेट है, हम अत्यधिक अनुशंसा करते हैं कि इसका उपयोग न करें। जब तक आपके पास कोई विकल्प न हो, सुनिश्चित करें कि यह प्रामाणिक है और फिर इसे संयम से उपयोग करें और कभी भी इस पर भरोसा न करें।
स्मरणीय वाक्यांश
वॉलेट बनाने के बाद, जिस मुख्य चीज़ से हम सीधे निपटते हैं वह स्मरणीय वाक्यांश/बीज वाक्यांश है, न कि निजी कुंजी, जिसे याद रखना आसान है। स्मरणीय वाक्यांशों के लिए मानक परंपराएँ हैं (उदाहरण के लिए, BIP39); सामान्यतः 12 अंग्रेजी शब्द हैं; यह अन्य संख्याएँ (3 के गुणज) हो सकती हैं, लेकिन 24 शब्दों से अधिक नहीं। अन्यथा यह बहुत जटिल है और याद रखना आसान नहीं है। यदि शब्दों की संख्या 12 से कम है, तो सुरक्षा विश्वसनीय नहीं है। 12/15/18/21/24 शब्द देखना आम बात है। ब्लॉकचेन दुनिया में, 12-शब्द लोकप्रिय और पर्याप्त सुरक्षित है। हालाँकि, अभी भी लेजर जैसे हार्डकोर हार्डवेयर वॉलेट हैं जो 24 शब्दों से शुरू होते हैं। अंग्रेजी शब्दों के अलावा, कुछ अन्य भाषाएँ भी उपलब्ध हैं, जैसे चीनी, जापानी, कोरियाई इत्यादि। यहां संदर्भ के लिए 2048 शब्दों की सूची दी गई है:
https://github.com/bitcoin/bips/blob/master/bip-0039/bip-0039-wordlists.md
वॉलेट बनाते समय, आपका बीज वाक्यांश असुरक्षित होता है। कृपया ध्यान रखें कि आप लोगों या वेबकैम या किसी अन्य चीज़ से घिरे नहीं हैं जो आपके बीज वाक्यांश को चुरा सकता है।
साथ ही, कृपया इस बात पर भी ध्यान दें कि क्या बीज वाक्यांश यादृच्छिक रूप से उत्पन्न हुआ है। आम तौर पर प्रसिद्ध वॉलेट पर्याप्त संख्या में यादृच्छिक बीज वाक्यांश उत्पन्न कर सकते हैं। हालाँकि, आपको हमेशा सावधान रहना चाहिए। यह जानना कठिन है कि बटुए में कुछ गड़बड़ है या नहीं। धैर्य रखें क्योंकि आपकी सुरक्षा के लिए इन आदतों को विकसित करना बहुत फायदेमंद हो सकता है। अंत में, कभी-कभी आप वॉलेट बनाने के लिए इंटरनेट से डिस्कनेक्ट करने पर भी विचार कर सकते हैं, खासकर यदि आप वॉलेट को कोल्ड वॉलेट के रूप में उपयोग करने जा रहे हैं। इंटरनेट से डिस्कनेक्ट करना हमेशा काम करता है.
बिना चाबी
बिना चाबी का मतलब कोई निजी कुंजी नहीं है। यहां हम कीलेस को दो प्रमुख परिदृश्यों में विभाजित करते हैं (स्पष्टीकरण में आसानी के लिए। ऐसा विभाजन उद्योग मानक नहीं है)
- हिरासत में. उदाहरण केंद्रीकृत एक्सचेंज और वॉलेट हैं, जहां उपयोगकर्ताओं को केवल खाते पंजीकृत करने की आवश्यकता होती है और उनके पास निजी कुंजी नहीं होती है। उनकी सुरक्षा पूरी तरह से इन केंद्रीकृत प्लेटफार्मों पर निर्भर है।
- गैर हिरासत में. उपयोगकर्ता के पास एक निजी कुंजी जैसी नियंत्रण शक्ति होती है, जो वास्तविक निजी कुंजी (या बीज वाक्यांश) नहीं है। यह होस्टिंग और प्रमाणीकरण/प्राधिकरण के लिए प्रसिद्ध क्लाउड प्लेटफार्मों पर निर्भर करता है। इसलिए क्लाउड प्लेटफ़ॉर्म की सुरक्षा सबसे कमजोर हिस्सा बन जाती है। अन्य जोखिम के एकल बिंदु को खत्म करने के लिए सुरक्षित मल्टी-पार्टी कंप्यूटिंग (एमपीसी) का उपयोग करते हैं, और उपयोगकर्ता अनुभव को अधिकतम करने के लिए लोकप्रिय क्लाउड प्लेटफार्मों के साथ साझेदारी भी करते हैं।
व्यक्तिगत रूप से, मैंने विभिन्न प्रकार के बिना चाबी वाले उपकरणों का उपयोग किया है। गहरी जेब और अच्छी प्रतिष्ठा के साथ केंद्रीकृत आदान-प्रदान सर्वोत्तम अनुभव प्रदान करते हैं। जब तक आप टोकन खोने के लिए व्यक्तिगत रूप से जिम्मेदार नहीं हैं (जैसे कि यदि आपके खाते की जानकारी हैक हो गई है), तो केंद्रीकृत एक्सचेंज आमतौर पर आपके नुकसान की प्रतिपूर्ति करेंगे। एमपीसी-आधारित कीलेस प्रोग्राम बहुत आशाजनक लगता है और इसे बढ़ावा दिया जाना चाहिए। मुझे ज़ेनगो, फायरब्लॉक्स और सेफहेरॉन के साथ अच्छा अनुभव है। लाभ स्पष्ट हैं:
- प्रसिद्ध ब्लॉकचेन पर एमपीसी एल्गोरिदम इंजीनियरिंग अधिक से अधिक परिपक्व होती जा रही है, और इसे केवल निजी कुंजी के लिए करने की आवश्यकता है।
- विचारों का एक सेट अलग-अलग ब्लॉकचेन की समस्या को हल कर सकता है जिसमें काफी भिन्न बहु-हस्ताक्षर योजनाएं होती हैं, जो एक सुसंगत उपयोगकर्ता अनुभव बनाती है, जिसे हम अक्सर कहते हैं: सार्वभौमिक बहु-हस्ताक्षर।
- यह सुनिश्चित कर सकता है कि वास्तविक निजी कुंजी कभी प्रकट न हो और बहु-हस्ताक्षर गणना के माध्यम से जोखिम के एकल बिंदु को हल करें।
- क्लाउड (या वेब2.0 तकनीक) के साथ मिलकर एमपीसी न केवल सुरक्षित बनाता है बल्कि एक अच्छा अनुभव भी बनाता है।
हालाँकि, अभी भी कुछ नुकसान हैं:
- सभी ओपन सोर्स प्रोजेक्ट उद्योग के स्वीकृत मानकों को पूरा नहीं कर सकते हैं। और अधिक काम करने की जरूरत है.
- बहुत से लोग मूल रूप से केवल एथेरियम (या ईवीएम-आधारित ब्लॉकचेन) का उपयोग करते हैं। ऐसे में, ग्नोसिस सेफ जैसा स्मार्ट अनुबंध दृष्टिकोण पर आधारित बहु-हस्ताक्षर समाधान पर्याप्त है।
कुल मिलाकर, इससे कोई फर्क नहीं पड़ता कि आप किस उपकरण का उपयोग करते हैं, जब तक आप सुरक्षित और नियंत्रणीय महसूस करते हैं और आपके पास अच्छा अनुभव है, यह एक अच्छा उपकरण है।
अब तक हमने कवर किया है कि वॉलेट के निर्माण के संबंध में हमें किन बातों के बारे में जागरूक होना चाहिए। अन्य सामान्य सुरक्षा मुद्दों को बाद के अनुभागों में शामिल किया जाएगा।
अपने बटुए का बैकअप लें
यह वह जगह है जहां कई अच्छे लोग जाल में फंस जाएंगे, जिनमें मैं भी शामिल हूं। मैंने ठीक से बैकअप नहीं लिया और मुझे पता था कि देर-सबेर ऐसा होगा। सौभाग्य से, यह बड़ी मात्रा में संपत्ति वाला बटुआ नहीं था और स्लोमिस्ट के दोस्तों ने इसे पुनर्प्राप्त करने में मेरी मदद की। फिर भी, यह एक डरावना अनुभव था जिससे मुझे नहीं लगता कि कोई भी गुजरना चाहेगा। तो कमर कस लें और आइए जानें कि अपने बटुए का सुरक्षित बैकअप कैसे लें।
स्मरणीय वाक्यांश / निजी कुंजी
जब हम वॉलेट का बैकअप लेने के बारे में बात करते हैं, तो हम अनिवार्य रूप से स्मरक वाक्यांश (या निजी कुंजी) का बैकअप लेने के बारे में बात कर रहे हैं। सुविधा के लिए, हम निम्नलिखित में स्मरक वाक्यांश का उपयोग करेंगे)। अधिकांश स्मरणीय वाक्यांशों को इस प्रकार वर्गीकृत किया जा सकता है:
- सादे पाठ
- पासवर्ड के साथ
- मल्टी हस्ताक्षर
- शमीर की गुप्त साझेदारी, या संक्षेप में एसएसएस
मैं प्रत्येक प्रकार के बारे में संक्षेप में बताऊंगा।
सादे पाठ, सादा पाठ समझना आसान है। एक बार जब आपके पास वे 12 अंग्रेजी शब्द आ जाएं, तो आप बटुए में संपत्ति के मालिक हो जाएंगे। आप कुछ विशेष फेरबदल करने पर विचार कर सकते हैं, या किसी एक शब्द को किसी और चीज़ से बदल सकते हैं। दोनों ही हैकरों के लिए आपके वॉलेट को हैक करने में कठिनाई बढ़ा देंगे, हालाँकि, यदि आप नियमों के बारे में भूल जाते हैं तो आपको बड़ा सिरदर्द होगा। आपकी याददाश्त बुलेटप्रूफ़ नहीं है. मेरा विश्वास करो, आपकी याददाश्त कई वर्षों के बाद उलझ जाएगी। कुछ साल पहले, जब मैंने लेजर हार्डवेयर वॉलेट का उपयोग किया था, तो मैंने 24-शब्द-स्मरक वाक्यांश का क्रम बदल दिया था। कुछ वर्षों के बाद, मैं आदेश भूल गया और मुझे यकीन नहीं था कि मैंने कोई शब्द बदला है या नहीं। जैसा कि पहले उल्लेख किया गया है, मेरी समस्या एक विशेष कोड ब्रेकर प्रोग्राम से हल हो गई थी जो सही अनुक्रम और शब्दों का अनुमान लगाने के लिए क्रूर बल का उपयोग करता है।
पासवर्ड के साथ, मानक के अनुसार, स्मरणीय वाक्यांशों में एक पासवर्ड हो सकता है। यह अभी भी वही वाक्यांश है लेकिन पासवर्ड के साथ, एक अलग बीज वाक्यांश प्राप्त किया जाएगा। बीज वाक्यांश का उपयोग निजी कुंजियों, सार्वजनिक कुंजियों और संबंधित पतों की एक श्रृंखला प्राप्त करने के लिए किया जाता है। इसलिए आपको न केवल स्मरणीय वाक्यांशों का, बल्कि पासवर्ड का भी बैकअप लेना चाहिए। वैसे, निजी कुंजी में एक पासवर्ड भी हो सकता है और इसके अपने मानक हैं, जैसे बिटकॉइन के लिए बीआईपी 38 और एथेरियम के लिए कीस्टोर।
मल्टी हस्ताक्षर, जैसा कि नाम से पता चलता है, इसमें वॉलेट तक पहुंचने के लिए कई लोगों के हस्ताक्षर की आवश्यकता होती है। यह बहुत लचीला है क्योंकि आप अपने नियम स्वयं निर्धारित कर सकते हैं। उदाहरण के लिए, यदि 3 लोगों के पास कुंजी (स्मृति संबंधी शब्द या निजी कुंजी) है, तो आपको वॉलेट तक पहुंचने के लिए कम से कम दो व्यक्तियों को हस्ताक्षर करने की आवश्यकता हो सकती है। प्रत्येक ब्लॉकचेन का अपना बहु-हस्ताक्षर समाधान होता है। अधिकांश प्रसिद्ध बिटकॉइन वॉलेट बहु-हस्ताक्षर का समर्थन करते हैं। हालाँकि, एथेरियम में, बहु-हस्ताक्षर मुख्य रूप से ग्नोसिस सेफ जैसे स्मार्ट अनुबंधों के माध्यम से समर्थित है। इसके अलावा, एमपीसी, या सिक्योर मल्टी-पार्टी कंप्यूटेशन अधिक से अधिक लोकप्रिय हो रहा है। यह पारंपरिक मल्टी-सिग्नेचर के समान अनुभव प्रदान करता है, लेकिन विभिन्न तकनीक के साथ। बहु-हस्ताक्षर के विपरीत, एमपीसी ब्लॉकचेन अज्ञेयवादी है और सभी प्रोटोकॉल के साथ काम कर सकता है।
एसएसएस, शमीर की सीक्रेट शेयरिंग, एसएसएस बीज को कई शेयरों में तोड़ देता है (सामान्य तौर पर, प्रत्येक शेयर में 20 शब्द होते हैं)। वॉलेट को पुनर्प्राप्त करने के लिए, एक निर्दिष्ट संख्या में शेयर एकत्र और उपयोग करने होंगे। विवरण के लिए, नीचे दी गई उद्योग की सर्वोत्तम प्रथाओं को देखें:
https://support.keyst.one/advanced-features/recovery-phrase/import-or-create-shamir-backup
https://wiki.trezor.io/Shamir_backup
मल्टी-सिग्नेचर और एसएसएस जैसे समाधानों का उपयोग करने से आपको मानसिक शांति मिलेगी और एकल-बिंदु जोखिमों से बचा जा सकेगा, लेकिन यह प्रबंधन को अपेक्षाकृत जटिल बना सकता है और कभी-कभी इसमें कई पक्ष शामिल होंगे। सुविधा और सुरक्षा के बीच हमेशा समझौता होता है। यह निर्णय लेना व्यक्ति पर निर्भर है लेकिन सिद्धांतों में कभी भी आलस्य नहीं करना चाहिए।
कूटलेखन
एन्क्रिप्शन एक बहुत ही व्यापक अवधारणा है। इससे कोई फर्क नहीं पड़ता कि एन्क्रिप्शन सममित है, असममित है या अन्य उन्नत प्रौद्योगिकियों का उपयोग करता है; जब तक एक एन्क्रिप्टेड संदेश को आप या आपकी आपातकालीन प्रबंधन टीम द्वारा आसानी से डिक्रिप्ट किया जा सकता है, लेकिन दशकों के बाद कोई और नहीं, यह अच्छा एन्क्रिप्शन है।
"शून्य विश्वास" के सुरक्षा सिद्धांत के आधार पर, जब हम वॉलेट का बैकअप ले रहे होते हैं, तो हमें यह मानना होगा कि किसी भी कदम को हैक किया जा सकता है, जिसमें तिजोरी जैसे भौतिक वातावरण भी शामिल है। ध्यान रखें कि आपके अलावा कोई और नहीं है जिस पर पूरा भरोसा किया जा सके। दरअसल, कभी-कभी आप खुद पर भी भरोसा नहीं कर सकते, क्योंकि आपकी यादें धुंधली हो सकती हैं या गुम हो सकती हैं। हालाँकि, मैं हर समय निराशावादी धारणाएँ नहीं बनाऊँगा, अन्यथा यह मुझे कुछ अवांछित परिणामों की ओर ले जाएगा।
बैकअप लेते समय, आपदा पुनर्प्राप्ति पर विशेष ध्यान दिया जाना चाहिए। आपदा पुनर्प्राप्ति का मुख्य उद्देश्य जोखिम के एक भी बिंदु से बचना है। यदि आप चले गए या जहाँ आप बैकअप संग्रहित करते हैं वह वातावरण बंद हो गया तो क्या होगा? इसलिए, महत्वपूर्ण चीज़ों के लिए, एक आपदा पुनर्प्राप्ति व्यक्ति होना चाहिए और कई बैकअप होने चाहिए।
मैं इस बारे में अधिक विस्तार से नहीं बताऊंगा कि आपदा वसूली व्यक्ति को कैसे चुना जाए क्योंकि यह इस पर निर्भर करता है कि आप किस पर भरोसा करते हैं। मैं इस बात पर ध्यान केंद्रित करूंगा कि मल्टी-बैकअप कैसे करें। आइए बैकअप स्थानों के कुछ बुनियादी रूपों पर एक नज़र डालें:
- बादल
- कागज़
- उपकरण
- दिमाग
बादल, बहुत से लोग क्लाउड पर बैकअप पर भरोसा नहीं करते हैं, उन्हें लगता है कि यह हैकर के हमलों के प्रति संवेदनशील है। दिन के अंत में, यह सब इस बारे में है कि कौन सा पक्ष - हमलावर या रक्षक - जनशक्ति और बजट दोनों के संदर्भ में अधिक प्रयास करता है। व्यक्तिगत रूप से, मुझे Google, Apple, Microsoft आदि द्वारा संचालित क्लाउड सेवाओं पर भरोसा है, क्योंकि मैं जानता हूं कि उनकी सुरक्षा टीमें कितनी मजबूत हैं और उन्होंने सुरक्षा पर कितना खर्च किया है। बाहरी हैकरों से लड़ने के अलावा, मैं आंतरिक सुरक्षा जोखिम नियंत्रण और निजी डेटा सुरक्षा का भी बहुत ध्यान रखता हूँ। जिन कुछ सेवा प्रदाताओं पर मुझे भरोसा है वे इन क्षेत्रों में अपेक्षाकृत बेहतर काम कर रहे हैं। लेकिन कुछ भी पूर्ण नहीं है. यदि मैं महत्वपूर्ण डेटा (जैसे वॉलेट) का बैकअप लेने के लिए इनमें से किसी भी क्लाउड सेवा को चुनता हूं, तो मैं निश्चित रूप से वॉलेट को कम से कम एक बार और एन्क्रिप्ट करूंगा।
मैं दृढ़तापूर्वक जीपीजी में महारत हासिल करने की अनुशंसा करता हूं। इसका उपयोग "हस्ताक्षर सत्यापन" के लिए किया जा सकता है, और इस बीच एन्क्रिप्शन और डिक्रिप्शन की मजबूत सुरक्षा प्रदान करता है। आप जीपीजी के बारे में यहां अधिक जान सकते हैं:
ठीक है, आपने GPG में महारत हासिल कर ली है 🙂 अब जब आपने अपने वॉलेट में संबंधित डेटा (स्मृति वाक्यांश या निजी कुंजी) को ऑफ़लाइन सुरक्षित वातावरण में GPG के साथ एन्क्रिप्ट कर लिया है, तो अब आप एन्क्रिप्ट की गई फ़ाइलों को सीधे इन क्लाउड सेवाओं में डाल सकते हैं और उन्हें वहाँ सहेज सकते हैं। सब ठीक रहेगा। लेकिन मुझे आपको यहाँ याद दिलाना होगा: अपने GPG की निजी कुंजी को कभी न खोएँ या निजी कुंजी का पासवर्ड न भूलें…
इस बिंदु पर, आपको सुरक्षा का यह अतिरिक्त स्तर काफी परेशानी भरा लग सकता है: आपको GPG के बारे में सीखना होगा और अपनी GPG निजी कुंजी और पासवर्ड का बैकअप लेना होगा। वास्तव में, यदि आपने उपरोक्त सभी चरण पूरे कर लिए हैं, तो आप पहले से ही प्रक्रिया से परिचित हैं और आपको यह उतना कठिन या परेशानी भरा नहीं लगेगा। मैं और कुछ नहीं कहूंगा क्योंकि अभ्यास परिपूर्ण बनाता है।
यदि आप कुछ प्रयास बचाना चाहते हैं, तो एक और संभावना है लेकिन इसकी सुरक्षा में छूट दी जा सकती है। मैं सटीक छूट का आकलन नहीं कर सकता लेकिन कभी-कभी मैं आलसी हो जाता हूं जब मैं सहायता के लिए कुछ प्रसिद्ध उपकरणों का उपयोग करता हूं। वह टूल है 1 पासवर्ड. 1Password का नवीनतम संस्करण पहले से ही वॉलेट-संबंधित डेटा, जैसे स्मरणीय शब्द, पासवर्ड, वॉलेट पते इत्यादि के सीधे भंडारण का समर्थन करता है, जो उपयोगकर्ताओं के लिए सुविधाजनक है। अन्य उपकरण (जैसे बिटवर्डन) भी कुछ ऐसा ही हासिल कर सकते हैं, लेकिन वे उतने सुविधाजनक नहीं हैं।
कागज़, कई हार्डवेयर वॉलेट कई उच्च-गुणवत्ता वाले पेपर कार्ड के साथ आते हैं, जिन पर आप अपने स्मरणीय वाक्यांश (प्लेनटेक्स्ट, एसएसएस, आदि में) लिख सकते हैं। कागज के अलावा, कुछ लोग स्टील प्लेटों (आग प्रतिरोधी, जल प्रतिरोधी और संक्षारण प्रतिरोधी, निश्चित रूप से, मैंने उन्हें आज़माया नहीं है) का भी उपयोग करते हैं। स्मरणीय वाक्यांशों को कॉपी करने के बाद इसका परीक्षण करें और यदि सब कुछ काम करता है, तो इसे ऐसे स्थान पर रखें जहां आप सुरक्षित महसूस करें, जैसे कि तिजोरी में। मैं व्यक्तिगत रूप से कागज का उपयोग करना बहुत पसंद करता हूं क्योंकि अगर ठीक से संग्रहीत किया जाए, तो कागज का जीवनकाल इलेक्ट्रॉनिक्स की तुलना में अधिक लंबा होता है।
उपकरण, यह सभी प्रकार के उपकरणों को संदर्भित करता है; बैकअप के लिए इलेक्ट्रॉनिक्स एक सामान्य प्रकार है, जैसे कंप्यूटर, आईपैड, आईफोन, या हार्ड ड्राइव इत्यादि, जो व्यक्तिगत पसंद पर निर्भर करता है। हमें उपकरणों के बीच सुरक्षित ट्रांसमिशन के बारे में भी सोचना होगा। मैं एयरड्रॉप और यूएसबी जैसे पीयर-टू-पीयर तरीकों का उपयोग करने में सहज महसूस करता हूं जहां किसी बिचौलिए के लिए प्रक्रिया को हाईजैक करना मुश्किल होता है। मैं इस तथ्य को लेकर स्वाभाविक रूप से असहज हूं कि इलेक्ट्रॉनिक उपकरण कुछ वर्षों के बाद खराब हो सकते हैं, इसलिए मैं साल में कम से कम एक बार डिवाइस की जांच करने की आदत रखता हूं। कुछ दोहराए गए चरण हैं (जैसे एन्क्रिप्शन) जिन्हें आप क्लाउड अनुभाग में देख सकते हैं।
दिमाग, अपनी याददाश्त पर भरोसा करना रोमांचक है। दरअसल, हर किसी का अपना "स्मृति महल" होता है। याददाश्त रहस्यमय नहीं है और इसे बेहतर ढंग से काम करने के लिए प्रशिक्षित किया जा सकता है। कुछ चीजें ऐसी हैं जो वास्तव में स्मृति के लिहाज से अधिक सुरक्षित हैं। क्या केवल मस्तिष्क पर निर्भर रहना एक व्यक्तिगत पसंद है। लेकिन दो जोखिमों पर ध्यान दें: पहला, समय के साथ याददाश्त ख़त्म हो जाती है और भ्रम पैदा हो सकता है; दूसरा जोखिम यह है कि आपके साथ कोई दुर्घटना हो सकती है। मैं यहां रुकूंगा और आपको और अधिक जानने दूंगा।
अब आप सभी का बैकअप हो गया है। बहुत अधिक एन्क्रिप्ट न करें, अन्यथा कई वर्षों के बाद आप स्वयं ही पीड़ित हो जाएंगे। "निरंतर सत्यापन" के सुरक्षा सिद्धांत के अनुसार, आपके एन्क्रिप्शन और बैकअप तरीकों को, चाहे अत्यधिक हो या नहीं, नियमित रूप से और साथ ही यादृच्छिक रूप से लगातार सत्यापित किया जाना चाहिए। सत्यापन की आवृत्ति आपकी मेमोरी पर निर्भर करती है और आपको पूरी प्रक्रिया पूरी करने की आवश्यकता नहीं है। जब तक प्रक्रिया सही है, आंशिक सत्यापन भी काम करता है। अंत में, प्रमाणीकरण प्रक्रिया की गोपनीयता और सुरक्षा पर भी ध्यान देना आवश्यक है।
ठीक है, चलो यहाँ एक गहरी साँस लेते हैं। शुरू करना सबसे कठिन हिस्सा है। अब जब आप तैयार हैं, तो चलिए इस अंधेरे जंगल में प्रवेश करते हैं 🙂
अपने वॉलेट का उपयोग कैसे करें
एक बार जब आप अपना बटुआ बना लेते हैं और उसका बैकअप ले लेते हैं, तो असली चुनौती सामने आती है। यदि आप अपनी संपत्तियों को बार-बार इधर-उधर नहीं करते हैं, या आप DeFi, NFT, GameFi, या Web3 के किसी भी स्मार्ट अनुबंध के साथ मुश्किल से बातचीत करते हैं, जो इन दिनों अक्सर लोकप्रिय शब्द है, तो आपकी संपत्ति अपेक्षाकृत सुरक्षित होनी चाहिए।
एएमएल
हालाँकि, "अपेक्षाकृत सुरक्षित" का मतलब "कोई जोखिम नहीं" नहीं है। क्योंकि "आप कभी नहीं जानते कि पहले क्या आता है, कल या दुर्घटनाएँ", ठीक है? क्यों यह है? इसके बारे में सोचें, आपको क्रिप्टोकरेंसी कहां से मिली? यह कहीं से नहीं आया, है ना? आपको किसी भी समय मिलने वाली सभी क्रिप्टोकरेंसी पर एएमएल (एंटी मनी लॉन्ड्रिंग) का सामना करना पड़ सकता है। इसका मतलब यह है कि इस समय आपके पास जो क्रिप्टोकरेंसी है वह गंदी हो सकती है, और यदि आप भाग्यशाली नहीं हैं, तो यह सीधे चेन पर भी जमी हो सकती है। सार्वजनिक रिपोर्टों के अनुसार, टीथर ने एक बार कानून प्रवर्तन एजेंसियों के अनुरोध के अनुसार कुछ यूएसडीटी संपत्तियों को फ्रीज कर दिया था। जमे हुए धन की सूची यहां पाई जा सकती है।
आप सत्यापित कर सकते हैं कि यूएसडीटी अनुबंध से टीथर द्वारा कोई पता फ्रीज कर दिया गया है या नहीं।
https://etherscan.io/token/0xdac17f958d2ee523a2206206994597c13d831ec7#readContract
जाँच करने के लिए लक्ष्य वॉलेट पते का उपयोग इनपुट int BlackListed के रूप में करें। यूएसडीटी लेने वाली अन्य श्रृंखलाओं का सत्यापन तरीका समान है।
हालाँकि, आपका बीटीसी और ईटीएच कभी भी फ्रीज नहीं होना चाहिए। यदि भविष्य में किसी दिन ऐसा हुआ तो विकेंद्रीकरण की धारणा भी ध्वस्त हो जायेगी। अधिकांश क्रिप्टोकरेंसी एसेट फ़्रीज़िंग के मामले जो हमने आज सुने हैं, वे वास्तव में केंद्रीकृत प्लेटफ़ॉर्म (जैसे बिनेंस, कॉइनबेस, आदि) में हुए थे, लेकिन ब्लॉकचेन पर नहीं। जब आपकी क्रिप्टोकरेंसी सेंट्रलाइज्ड एक्सचेंज प्लेटफॉर्म में रहती है, तो वास्तव में आप उनमें से किसी के भी मालिक नहीं होते हैं। जब केंद्रीकृत प्लेटफ़ॉर्म आपके खाते को फ़्रीज़ कर देते हैं, तो वे वास्तव में व्यापार करने या निकालने की आपकी अनुमति रद्द कर रहे होते हैं। ठंड की अवधारणा क्षेत्र में नए लोगों के लिए भ्रामक हो सकती है। परिणामस्वरूप, कुछ लापरवाह स्वयं मीडिया बिटकॉइन के बारे में सभी प्रकार के षड्यंत्र सिद्धांतों को फैलाएंगे।
यद्यपि आपकी बीटीसी और ईटीएच परिसंपत्तियां ब्लॉकचेन पर फ्रीज नहीं की जाएंगी, लेकिन जब आपकी संपत्ति इन प्लेटफार्मों में स्थानांतरित हो जाती है और वे किसी भी खुले मामले में शामिल होते हैं, जिस पर कानून प्रवर्तन काम कर रहे हैं, तो केंद्रीकृत एक्सचेंज एएमएल की आवश्यकता के अनुसार आपकी संपत्ति को फ्रीज कर सकते हैं।
एएमएल मुद्दों से बेहतर तरीके से बचने के लिए, हमेशा अपने समकक्ष के रूप में अच्छी प्रतिष्ठा वाले प्लेटफ़ॉर्म और व्यक्तियों को चुनें। इस प्रकार की समस्या के लिए वास्तव में कुछ समाधान हैं। उदाहरण के लिए, एथेरियम पर, लगभग सभी बुरे लोग और वे लोग जो अपनी गोपनीयता की बहुत परवाह करते हैं, सिक्का मिश्रण के लिए टॉरनेडो कैश का उपयोग करते हैं। मैं इस विषय में और अधिक गहराई से नहीं जाऊँगा क्योंकि यहाँ अधिकांश तरीकों का उपयोग बुराई करने के लिए किया जा रहा है।
ठंडा बटुआ
कोल्ड वॉलेट का उपयोग करने के विभिन्न तरीके हैं। वॉलेट के दृष्टिकोण से, इसे तब तक एक ठंडा वॉलेट माना जा सकता है जब तक यह किसी नेटवर्क से जुड़ा नहीं है। लेकिन ऑफ़लाइन होने पर इसका उपयोग कैसे करें? सबसे पहले, यदि आप केवल क्रिप्टोकरेंसी प्राप्त करना चाहते हैं, तो यह कोई बड़ी बात नहीं है। एक कोल्ड वॉलेट वॉच-ओनली वॉलेट, जैसे कि इमटोकन, ट्रस्ट वॉलेट इत्यादि के साथ काम करके उत्कृष्ट अनुभव प्रदान कर सकता है। इन वॉलेट्स को केवल लक्ष्य वॉलेट पते जोड़कर केवल वॉच-ओनली वॉलेट में बदला जा सकता है।
यदि हम कोल्ड वॉलेट का उपयोग करके क्रिप्टोकरेंसी भेजना चाहते हैं, तो यहां सबसे अधिक उपयोग किए जाने वाले तरीके हैं:
- क्यू आर संहिता
- USB
- ब्लूटूथ
इन सभी को कोल्ड वॉलेट के साथ काम करने के लिए एक समर्पित ऐप (जिसे यहां लाइट ऐप कहा जाता है) की आवश्यकता होती है। लाइट ऐप उपरोक्त वॉच-ओनली वॉलेट के साथ ऑनलाइन होगा। एक बार जब हम अंतर्निहित आवश्यक सिद्धांत को समझ लेते हैं, तो हमें इन दृष्टिकोणों को समझने में सक्षम होना चाहिए। आवश्यक सिद्धांत यह है: अंततः, यह केवल यह पता लगाने का मामला है कि ब्लॉकचेन पर हस्ताक्षरित सामग्री को कैसे प्रसारित किया जाए। विस्तृत प्रक्रिया इस प्रकार है:
- हस्ताक्षरित की जाने वाली सामग्री लाइट ऐप द्वारा कोल्ड वॉलेट में इनमें से किसी एक माध्यम से प्रेषित की जाती है।
- हस्ताक्षर को कोल्ड वॉलेट द्वारा संसाधित किया जाता है जिसमें निजी कुंजी होती है और फिर उसी तरीके का उपयोग करके लाइट ऐप पर वापस प्रेषित किया जाता है
- लाइट ऐप ब्लॉकचेन पर हस्ताक्षरित सामग्री प्रसारित करता है।
इसलिए इससे कोई फर्क नहीं पड़ता कि किस विधि का उपयोग किया जाता है, क्यूआर कोड, यूएसबी या ब्लूटूथ, इसे उपरोक्त प्रक्रिया का पालन करना चाहिए। बेशक, अलग-अलग तरीकों से विवरण भिन्न हो सकते हैं। उदाहरण के लिए, क्यूआर कोड में सीमित सूचना क्षमता होती है, इसलिए जब हस्ताक्षर डेटा बहुत बड़ा होता है, तो हमें इसे विभाजित करना होगा।
यह थोड़ा परेशानी भरा लगता है, लेकिन जब आपको इसकी आदत हो जाती है तो यह बेहतर हो जाता है। आपको सुरक्षा का पूरा एहसास भी होगा. हालाँकि, इसे 100% सुरक्षित न मानें क्योंकि यहाँ अभी भी जोखिम हैं, और इन जोखिमों के कारण भारी नुकसान के कई मामले सामने आए हैं। यहां जोखिम बिंदु हैं:
- सिक्का हस्तांतरण के लक्ष्य पते की सावधानीपूर्वक जांच नहीं की गई, जिसके परिणामस्वरूप सिक्का किसी और को स्थानांतरित कर दिया गया। लोग कभी-कभी आलसी और लापरवाह होते हैं। उदाहरण के लिए, अधिकांश समय वे पूरे पते की पूरी तरह से जांच करने के बजाय वॉलेट पते के केवल आरंभ और अंत के कुछ हिस्सों की जांच करते हैं। यह बुरे लोगों के लिए एक पिछला दरवाजा छोड़ देता है। वे आपके वांछित लक्ष्य पते के समान पहले और आखिरी कुछ बिट्स के साथ वॉलेट पता प्राप्त करने के लिए प्रोग्राम चलाएंगे और फिर कुछ तरकीबों का उपयोग करके आपके सिक्का हस्तांतरण लक्ष्य पते को उनके नियंत्रण में वाले पते से बदल देंगे।
- सिक्के अज्ञात पते पर अधिकृत हैं। आमतौर पर प्राधिकरण एथेरियम स्मार्ट कॉन्ट्रैक्ट टोकन का तंत्र है, "अनुमोदन" फ़ंक्शन, जिसमें एक तर्क लक्ष्य प्राधिकरण पता है और दूसरा मात्रा है। बहुत से लोग इस तंत्र को नहीं समझते हैं, इसलिए वे लक्ष्य पते पर असीमित संख्या में टोकन अधिकृत कर सकते हैं, जिस बिंदु पर लक्ष्य पते को उन सभी टोकन को स्थानांतरित करने की अनुमति होती है। इसे अधिकृत सिक्का चोरी कहा जाता है, और तकनीक के अन्य रूप भी हैं, लेकिन मैं यहां इसका विस्तार नहीं करूंगा।
- कुछ हस्ताक्षर जो महत्वपूर्ण नहीं लगते, वास्तव में उनके पीछे बहुत बड़ा जाल होता है, और मैं अभी इसकी गहराई में नहीं जाऊंगा, लेकिन विवरण बाद में बताऊंगा।
- हो सकता है कि कोल्ड वॉलेट ने पर्याप्त आवश्यक जानकारी प्रदान न की हो, जिसके कारण आप लापरवाह हुए और गलत निर्णय लिया गया।
यह सब दो बिंदुओं पर आकर सिमट जाता है:
- "आप जो देखते हैं वही आप हस्ताक्षर करते हैं" का उपयोगकर्ता इंटरैक्शन सुरक्षा तंत्र गायब है।
- उपयोगकर्ता की प्रासंगिक पृष्ठभूमि जानकारी का अभाव.
हॉट वॉलेट
कोल्ड वॉलेट की तुलना में, हॉट वॉलेट में मूल रूप से वे सभी जोखिम होते हैं जो कोल्ड वॉलेट में होते हैं। इसके अलावा, एक और भी है: गुप्त वाक्यांश (या निजी कुंजी) की चोरी का जोखिम। इस बिंदु पर हॉट वॉलेट के साथ विचार करने के लिए अधिक सुरक्षा मुद्दे हैं, जैसे रनटाइम वातावरण की सुरक्षा। यदि रनटाइम वातावरण से जुड़े वायरस हैं, तो चोरी होने का जोखिम है। ऐसे हॉट वॉलेट भी हैं जिनमें कुछ कमजोरियाँ हैं जिनके माध्यम से गुप्त वाक्यांश को सीधे चुराया जा सकता है।
नियमित सिक्का स्थानांतरण फ़ंक्शन के अलावा, यदि आप अन्य DApps (DeFi, NFT, GameFi, आदि) के साथ इंटरैक्ट करना चाहते हैं, तो आपको या तो उन्हें सीधे अपने ब्राउज़र से एक्सेस करना होगा या अपने पीसी ब्राउज़र में खोले गए DApps के साथ इंटरैक्ट करना होगा। वॉलेटकनेक्ट प्रोटोकॉल।
नोट: इस हैंडबुक में डीएपी के संदर्भ डिफ़ॉल्ट रूप से एथेरियम ब्लॉकचेन पर चलने वाले स्मार्ट अनुबंध परियोजनाओं को संदर्भित करते हैं।
डिफ़ॉल्ट रूप से, इस तरह की बातचीत से गुप्त वाक्यांश चोरी नहीं होती है, जब तक कि वॉलेट सुरक्षा डिज़ाइन में कोई समस्या न हो। हमारे सुरक्षा ऑडिट और सुरक्षा अनुसंधान इतिहास से, लक्ष्य पृष्ठ पर सीधे दुर्भावनापूर्ण जावास्क्रिप्ट द्वारा वॉलेट गुप्त वाक्यांशों को चुराए जाने का जोखिम है। हालाँकि, यह एक दुर्लभ मामला है, क्योंकि यह वास्तव में एक अत्यंत निम्न-स्तरीय गलती है जो किसी भी प्रसिद्ध वॉलेट द्वारा किए जाने की संभावना नहीं है।
इनमें से कोई भी वास्तव में यहाँ मेरी वास्तविक चिंताएँ नहीं हैं, वे मेरे लिए (और आपके लिए भी) प्रबंधनीय हैं। मेरी सबसे बड़ी चिंता/चिंता यह है: एक प्रसिद्ध वॉलेट का प्रत्येक पुनरावृत्ति यह कैसे सुनिश्चित करता है कि कोई दुर्भावनापूर्ण कोड या बैकडोर प्लांट नहीं किया गया है? इस प्रश्न का निहितार्थ स्पष्ट है: मैंने सत्यापित किया कि वॉलेट के वर्तमान संस्करण में कोई सुरक्षा समस्या नहीं है और मैं इसका उपयोग करने में सहज हूं, लेकिन मुझे नहीं पता कि अगला संस्करण कितना सुरक्षित होगा। आख़िरकार, मेरे या मेरी सुरक्षा टीम के पास सभी सत्यापन करने के लिए इतना समय और ऊर्जा नहीं हो सकती।
दुर्भावनापूर्ण कोड या बैकडोर के कारण सिक्का चोरी की कई घटनाएं हुई हैं, जैसा कि यहां बताया गया है, जैसे कि CoPay, AToken, आदि। आप विशिष्ट घटनाओं को स्वयं खोज सकते हैं।
इस मामले में, बुराई करने के कई तरीके हैं:
- जब वॉलेट चल रहा होता है, तो दुर्भावनापूर्ण कोड पैकेज करता है और संबंधित गुप्त वाक्यांश को सीधे हैकर-नियंत्रित सर्वर पर अपलोड करता है।
- जब वॉलेट चल रहा होता है और उपयोगकर्ता स्थानांतरण शुरू करता है, तो लक्ष्य पता और राशि जैसी जानकारी गुप्त रूप से वॉलेट बैकएंड में बदल दी जाती है, और उपयोगकर्ता के लिए इसे नोटिस करना मुश्किल होता है।
- गुप्त वाक्यांशों की पीढ़ी से जुड़े यादृच्छिक संख्या एन्ट्रापी मूल्यों को दूषित करना, जिससे उन्हें समझना अपेक्षाकृत आसान हो जाता है।
सुरक्षा अज्ञानता और ज्ञान की चीज़ है, और ऐसी कई चीज़ें हैं जिन्हें आसानी से नज़रअंदाज़ किया जा सकता है या छोड़ा जा सकता है। इसलिए महत्वपूर्ण संपत्ति रखने वाले वॉलेट के लिए, मेरा सुरक्षा नियम भी सरल है: उपयोग के लिए पर्याप्त होने पर कोई आसान अपडेट नहीं।
डेफी सिक्योरिटी क्या है
जब हम DApp के बारे में बात करते हैं, तो यह DeFi, NFT या GameFi आदि हो सकता है। इनके सुरक्षा मूल सिद्धांत अधिकतर समान हैं, लेकिन उनकी अपनी-अपनी विशिष्टताएँ होंगी। आइए समझाने के लिए सबसे पहले DeFi को एक उदाहरण के रूप में लें। जब हम DeFi सुरक्षा के बारे में बात करते हैं, तो हमारा वास्तव में क्या मतलब है? उद्योग में लोग लगभग हमेशा केवल स्मार्ट अनुबंधों को ही देखते हैं। ऐसा लगता है कि जब स्मार्ट कॉन्ट्रैक्ट अच्छे होंगे तो सब कुछ ठीक हो जाएगा। खैर वास्तव में, यह सच से बहुत दूर है।
DeFi सुरक्षा में कम से कम निम्नलिखित घटक शामिल हैं:
- स्मार्ट अनुबंध सुरक्षा
- ब्लॉकचेन फाउंडेशन सुरक्षा
- फ्रंटएंड सुरक्षा
- संचार सुरक्षा
- मानव सुरक्षा
- वित्तीय सुरक्षा
- अनुपालन सुरक्षा
स्मार्ट अनुबंध सुरक्षा
स्मार्ट कॉन्ट्रैक्ट सुरक्षा वास्तव में सुरक्षा ऑडिट के लिए सबसे महत्वपूर्ण प्रवेश बिंदु है, और स्मार्ट कॉन्ट्रैक्ट के लिए स्लोमिस्ट के सुरक्षा ऑडिट मानकों को यहां पाया जा सकता है:
https://www.slowmist.com/service-smart-contract-security-audit.html
उन्नत खिलाड़ियों के लिए, यदि स्मार्ट अनुबंध भाग की सुरक्षा स्वयं नियंत्रणीय है (चाहे वे स्वयं ऑडिट कर सकें या पेशेवर संगठनों द्वारा जारी सुरक्षा ऑडिट रिपोर्ट को समझ सकें), तो इससे कोई फर्क नहीं पड़ता कि अन्य भाग सुरक्षित हैं या नहीं। नियंत्रणीय एक पेचीदा अवधारणा है, जिसमें से कुछ खिलाड़ी की अपनी ताकत पर निर्भर करता है। उदाहरण के लिए, अत्यधिक स्मार्ट अनुबंध प्राधिकरण से जोखिम के संबंध में खिलाड़ियों की कुछ आवश्यकताएँ होती हैं। यदि परियोजना स्वयं मजबूत है और इसके पीछे के लोगों की अच्छी प्रतिष्ठा है, तो पूर्ण केंद्रीकरण से कोई फर्क नहीं पड़ेगा। हालाँकि, उन कम प्रसिद्ध, विवादास्पद या उभरती परियोजनाओं के लिए, यदि आपको पता चलता है कि परियोजना के स्मार्ट अनुबंधों में अत्यधिक अनुमति जोखिम है, खासकर यदि ऐसी अनुमतियाँ आपके मूलधन या कमाई को भी प्रभावित कर सकती हैं, तो आप निश्चित रूप से अनिच्छुक होंगे।
अत्यधिक अनुमति का जोखिम बहुत सूक्ष्म है। कई मामलों में, यह परियोजना के व्यवस्थापक के लिए प्रासंगिक प्रशासन और जोखिम आकस्मिकता का संचालन करने के लिए है। लेकिन उपयोगकर्ताओं के लिए, यह मानव स्वभाव पर एक परीक्षण है। यदि टीम बुरा करने का निर्णय ले तो क्या होगा? इसलिए उद्योग में एक व्यापार-बंद प्रथा है: अत्यधिक अनुमति के ऐसे जोखिमों को कम करने के लिए टाइमलॉक जोड़ना, उदाहरण के लिए:
कंपाउंड, एक स्थापित और प्रसिद्ध डेफी प्रोजेक्ट, कोर स्मार्ट कॉन्ट्रैक्ट मॉड्यूल नियंत्रक और शासन, दोनों ने टाइमलॉक तंत्र को अपनी व्यवस्थापक अनुमति में जोड़ा है:
नियंत्रक(0x3d9819210a31b4961b30ef54be2aed79b9c9cd3b)
शासन(0xc0da02939e1441f497fd74f78ce7decb17b66529)
व्यवस्थापक ये 2 मॉड्यूल है
टाइमलॉक(0x6d903f6003cca6255d85cca4d3b5e5146dc33925)
आप सीधे श्रृंखला पर पता लगा सकते हैं कि टाइमलॉक (विलंब चर) 48 घंटे (172,800 सेकंड) है:
कहने का तात्पर्य यह है कि, यदि कंपाउंड के व्यवस्थापक को लक्ष्य स्मार्ट अनुबंध के कुछ प्रमुख चर को बदलने की आवश्यकता है, तो लेनदेन को ब्लॉकचेन पर शुरू होने के बाद रिकॉर्ड किया जाएगा, लेकिन लेनदेन को अंतिम रूप देने और निष्पादित करने से पहले 48 घंटे इंतजार करना होगा। इसका मतलब यह है कि यदि आप चाहें, तो आप एडमिन से हर एक ऑपरेशन का ऑडिट कर सकते हैं, और आपके पास कार्य करने के लिए कम से कम 48 घंटे होंगे। उदाहरण के लिए, यदि आप अनिश्चित हैं, तो आप 48 घंटों के भीतर अपनी धनराशि निकाल सकते हैं।
व्यवस्थापक की अत्यधिक अनुमति के जोखिम को कम करने का एक अन्य तरीका बहु-हस्ताक्षर जोड़ना है, जैसे कि मल्टीसिग प्रबंधन के लिए ग्नोसिस सेफ का उपयोग करना, ताकि कम से कम कोई तानाशाह न हो। यहां यह ध्यान दिया जाना चाहिए कि मल्टीसिग "सम्राट के नए कपड़े" हो सकते हैं। उदाहरण के लिए, एक व्यक्ति कई चाबियाँ रख सकता है। इसलिए, लक्ष्य परियोजना की मल्टीसिग रणनीति को स्पष्ट रूप से बताए जाने की आवश्यकता है। चाबियाँ किसके पास हैं, और प्रत्येक चाभी धारक की पहचान प्रतिष्ठित होनी चाहिए।
यहां यह उल्लेखनीय है कि कोई भी सुरक्षा रणनीति "सम्राट के नए कपड़े" की समस्या को जन्म दे सकती है, ऐसा प्रतीत हो सकता है कि रणनीति अच्छी तरह से की गई है, लेकिन वास्तव में ऐसा नहीं है, जिसके परिणामस्वरूप सुरक्षा का भ्रम पैदा होता है। एक और उदाहरण लें, टाइमलॉक कागज पर अच्छा दिखता है। दरअसल, ऐसे मामले सामने आए हैं जहां कुछ परियोजनाओं द्वारा तैनात टाइमलॉक में पिछले दरवाजे हैं। आम तौर पर, उपयोगकर्ता टाइमलॉक के स्रोत कोड पर ध्यान नहीं देते हैं, और यदि वे ऐसा करते हैं तो भी वे इसे जरूरी नहीं समझते हैं, इसलिए व्यवस्थापक वहां एक पिछला दरवाजा लगा देता है, और कोई भी वास्तव में लंबे समय तक नोटिस नहीं करेगा।
अत्यधिक अनुमति के जोखिम के अलावा, स्मार्ट अनुबंध सुरक्षा के अन्य तत्व भी महत्वपूर्ण हैं। हालाँकि, समझने के लिए आवश्यक शर्तों पर विचार करते हुए, मैं यहाँ विस्तार नहीं करूँगा। यहां मेरी सलाह है: आपको कम से कम सुरक्षा ऑडिट रिपोर्ट पढ़ना सीखना चाहिए, और अभ्यास परिपूर्ण बनाता है।
ब्लॉकचेन फाउंडेशन सुरक्षा
ब्लॉकचेन फाउंडेशन सुरक्षा से तात्पर्य ब्लॉकचेन की सुरक्षा से है, जैसे सर्वसम्मति बहीखाता सुरक्षा, वर्चुअल मशीन सुरक्षा आदि। यदि ब्लॉकचेन की सुरक्षा ही चिंताजनक है, तो श्रृंखला पर चलने वाले स्मार्ट अनुबंध परियोजनाओं को सीधे नुकसान होगा। पर्याप्त सुरक्षा तंत्र और प्रतिष्ठा के साथ और दीर्घायु की उच्च संभावना के साथ बेहतर ब्लॉकचेन चुनना बहुत महत्वपूर्ण है।
फ्रंटएंड सुरक्षा
फ्रंटएंड सुरक्षा वास्तव में शैतान है। यह उपयोगकर्ताओं के बहुत करीब है, और उपयोगकर्ताओं को धोखे में फंसाना विशेष रूप से आसान है। शायद हर किसी का मुख्य ध्यान वॉलेट और स्मार्ट कॉन्ट्रैक्ट सुरक्षा पर है, जिसके परिणामस्वरूप फ्रंटएंड सुरक्षा को आसानी से नजरअंदाज कर दिया जाता है। मैं फिर से इस बात पर जोर देना चाहता हूं कि फ्रंटएंड सुरक्षा शैतान है! मुझे और गहराई तक जाने की अनुमति दें.
फ्रंटएंड सुरक्षा के संबंध में मेरी सबसे बड़ी चिंता यह है: मुझे कैसे पता चलेगा कि मैं इस विशिष्ट फ्रंटएंड पेज से जिस अनुबंध के साथ बातचीत कर रहा हूं वह स्मार्ट अनुबंध है जिसकी मैं अपेक्षा कर रहा हूं?
यह असुरक्षा मुख्यतः दो कारकों के कारण है:
- अंदर का काम
- तृतीय पक्ष
अंदर के काम को समझना सीधा है. उदाहरण के लिए, डेवलपर्स गुप्त रूप से फ्रंटएंड पेज में लक्ष्य स्मार्ट अनुबंध पते को एक अनुबंध पते से बदल देते हैं जिसमें एक बैकडोर होता है, या एक प्राधिकरण फ़िशिंग स्क्रिप्ट लगा रहा होता है। जब आप इस धांधली वाले फ्रंटएंड पेज पर जाते हैं, तो आपके वॉलेट में क्रिप्टो से जुड़े बाद के ऑपरेशनों की एक श्रृंखला को जाल में फंसाया जा सकता है। इससे पहले कि आपको एहसास हो, सिक्के पहले ही ख़त्म हो चुके होंगे।
तृतीय पक्ष मुख्यतः दो प्रकारों को संदर्भित करता है:
-
एक यह है कि निर्भरता श्रृंखला में घुसपैठ की जाती है। उदाहरण के लिए, फ्रंटएंड पेज द्वारा उपयोग की जाने वाली तृतीय-पक्ष निर्भरता में एक पिछला दरवाजा होता है जो पैकेजिंग और रिलीज के साथ लक्ष्य फ्रंटएंड पेज में घुस जाता है। सुशीस्वैप की पैकेज निर्भरता संरचना निम्नलिखित है (केवल उदाहरण के लिए, इसका मतलब यह नहीं है कि स्क्रीनशॉट में प्रोजेक्ट में ऐसी समस्या है):
-
दूसरा उदाहरण फ्रंटएंड पेज द्वारा आयातित तृतीय-पक्ष दूरस्थ जावास्क्रिप्ट फ़ाइलें हैं। यदि यह जावास्क्रिप्ट फ़ाइल हैक हो गई है, तो यह संभव है कि लक्ष्य फ्रंटएंड पेज भी प्रभावित हो, जैसे कि OpenSea (केवल उदाहरण के लिए, इसका मतलब यह नहीं है कि स्क्रीनशॉट में प्रोजेक्ट में ऐसी कोई समस्या है):
हमने यह क्यों कहा कि यह संभव है लेकिन निश्चित रूप से नहीं, इसका कारण यह है कि यदि डेवलपर्स निम्न तरीके से फ्रंटएंड पेज पर तीसरे पक्ष की दूरस्थ जावास्क्रिप्ट फ़ाइल को संदर्भित करते हैं तो जोखिम को कम किया जा सकता है:
<script src=”https://example.com/example-framework.js“अखंडता=”sha384-Li9vy3DqF8tnTXuiaAJuML3ky+er10rcgNR/VqsVpcw+ThHmYcwiB1pbOxEbzJr7″crossorigin=”गुमनाम”>
यहां मुख्य बिंदु HTML5 का एक अच्छा सुरक्षा तंत्र है: टैग में अखंडता विशेषता (एसआरआई तंत्र)। अखंडता SHA256, SHA384 और SHA512 का समर्थन करती है। यदि तृतीय-पक्ष जावास्क्रिप्ट फ़ाइलें हैश अखंडता जांच को पूरा नहीं करती हैं, तो फ़ाइलें लोड नहीं की जाएंगी। यह अनपेक्षित कोड निष्पादन को रोकने का एक अच्छा तरीका हो सकता है। हालाँकि, इस तंत्र का उपयोग करने के लिए CORS प्रतिक्रिया का समर्थन करने के लिए लक्ष्य संसाधन की आवश्यकता होती है। विवरण के लिए, निम्नलिखित देखें:
https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity
संचार सुरक्षा
आइए इस अनुभाग में HTTPS सुरक्षा पर ध्यान केंद्रित करें। सबसे पहले, लक्ष्य वेबसाइट को HTTPS का उपयोग करना चाहिए, और HTTP प्लेनटेक्स्ट ट्रांसमिशन की अनुमति कभी नहीं दी जानी चाहिए। ऐसा इसलिए है क्योंकि HTTP प्लेनटेक्स्ट ट्रांसमिशन को मैन-इन-द-मिडिल हमलों द्वारा हाईजैक किया जाना बहुत आसान है। आजकल HTTPS एक सुरक्षित ट्रांसमिशन प्रोटोकॉल के रूप में बहुत आम है। यदि HTTPS पर कोई मैन-इन-द-मिडिल हमला होता है, और हमलावरों ने वेब एप्लिकेशन के फ्रंट-एंड में दुर्भावनापूर्ण जावास्क्रिप्ट को इंजेक्ट किया है, तो उपयोगकर्ता के ब्राउज़र में एक बहुत ही स्पष्ट HTTPS प्रमाणपत्र त्रुटि चेतावनी प्रदर्शित की जाएगी।
आइए इस बिंदु को स्पष्ट करने के लिए एक उदाहरण के रूप में MyEtherWallet घटना का उपयोग करें।
MyEtherWallet एक बहुत लोकप्रिय वेब एप्लिकेशन वॉलेट हुआ करता था, और अब तक यह बहुत प्रसिद्ध है। हालाँकि यह अब केवल एक वेब एप्लिकेशन वॉलेट नहीं है। जैसा कि पहले उल्लेख किया गया है, मैं सुरक्षा कारणों से वेब एप्लिकेशन वॉलेट के उपयोग को दृढ़ता से हतोत्साहित करता हूं। फ्रंट-एंड सुरक्षा में विभिन्न मुद्दों के अलावा, HTTPS अपहरण भी एक बड़ा संभावित जोखिम है।
24 अप्रैल, 2018 को MyEtherWallet में HTTPS अपहरण की एक बड़ी सुरक्षा घटना हुई थी। घटना का पुनर्कथन यहां पाया जा सकता है:
https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/
https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_highjacked_on_google/
हमले में, हैकर ने BGP, एक प्राचीन रूटिंग प्रोटोकॉल, के माध्यम से बड़ी संख्या में MyEtherWallet उपयोगकर्ताओं द्वारा उपयोग की जाने वाली DNS सेवा (Google सार्वजनिक DNS) को हाईजैक कर लिया, जिसके कारण जब उन्होंने विज़िट करने का प्रयास किया तो प्रत्येक उपयोगकर्ता के ब्राउज़र में सीधे HTTPS त्रुटि अलर्ट प्रदर्शित होने लगे। MyEtherWallet वेबसाइट। वास्तव में, जब उपयोगकर्ताओं को यह अलर्ट दिखे तो उन्हें रुक जाना चाहिए, क्योंकि यह मूल रूप से इंगित करता है कि लक्ष्य वेब पेज को हाईजैक कर लिया गया है। हालाँकि, वास्तव में, कई उपयोगकर्ताओं ने तुरंत अलर्ट को नजरअंदाज कर दिया और अपहृत साइट के साथ अपनी बातचीत जारी रखी, क्योंकि वे HTTPS त्रुटि अलर्ट के पीछे के सुरक्षा जोखिम को बिल्कुल भी नहीं समझते थे।
चूंकि लक्ष्य वेब पेज को हाईजैक कर लिया गया था और हैकर ने वहां दुर्भावनापूर्ण जावास्क्रिप्ट को इंजेक्ट किया था, उपयोगकर्ताओं के इंटरेक्शन पर, हैकर्स ने सफलतापूर्वक उनकी प्लेनटेक्स्ट निजी कुंजी चुरा ली होगी और उनके फंड (ज्यादातर ईटीएच) को स्थानांतरित कर दिया होगा।
यह निश्चित रूप से एक क्लासिक मामला है जहां हैकर्स ने क्रिप्टो चोरी करने के लिए बीजीपी अपहरण तकनीकों का इस्तेमाल किया। यह तो अति है। इसके बाद भी इसी तरह के कई मामले सामने आए हैं और मैं यहां उनका विस्तार से उल्लेख नहीं करूंगा। उपयोगकर्ता के लिए केवल एक चीज है जिस पर वास्तव में ध्यान देने की आवश्यकता है: यदि आप कभी भी वेब एप्लिकेशन वॉलेट का उपयोग करने का निर्णय लेते हैं, या डीएपी के साथ बातचीत करने का प्रयास करते हैं, तो हमेशा सुनिश्चित करें कि जब भी आपको HTTPS प्रमाणपत्र त्रुटि चेतावनी दिखाई दे तो आप रुक जाएं और पेज बंद कर दें! और आपका धन ठीक रहेगा। सुरक्षा में एक क्रूर वास्तविकता है: जब कोई जोखिम हो, तो उपयोगकर्ताओं को कोई विकल्प न दें। यदि आप ऐसा करते हैं, तो उपयोगकर्ता हमेशा किसी भी कारण से जाल में फंसते रहेंगे। दरअसल, प्रोजेक्ट टीम को जिम्मेदारी लेने की जरूरत है। आज तक, ऊपर उल्लिखित HTTPS अपहरण समस्या के लिए पहले से ही बहुत प्रभावी सुरक्षा समाधान मौजूद हैं: प्रोजेक्ट टीम को HSTS को ठीक से कॉन्फ़िगर करने की आवश्यकता है। एचएसटीएस का मतलब HTTP स्ट्रिक्ट ट्रांसपोर्ट सिक्योरिटी है; यह एक वेब सुरक्षा नीति तंत्र है जो अधिकांश आधुनिक ब्राउज़रों द्वारा समर्थित है। यदि एचएसटीएस सक्षम है, तो HTTPS प्रमाणपत्र त्रुटि के मामले में ब्राउज़र उपयोगकर्ताओं को लक्ष्य वेब अनुप्रयोगों तक पहुंच बंद करने के लिए बाध्य करेगा और प्रतिबंध को नजरअंदाज नहीं किया जा सकता है। अब आप समझ गए कि मेरा मतलब क्या है?
मानव प्रकृति सुरक्षा
इस अनुभाग को समझना आसान है. उदाहरण के लिए, प्रोजेक्ट टीम दुष्ट मानसिकता वाली है और बेईमान तरीके से काम करती है। मैंने पिछले अनुभागों में कुछ प्रासंगिक सामग्रियों का उल्लेख किया है, इसलिए यहां मैं अधिक विवरण में नहीं जाऊंगा। बाद के अनुभागों में और अधिक जानकारी दी जाएगी।
वित्तीय सुरक्षा
वित्तीय सुरक्षा का गहराई से सम्मान किया जाना चाहिए। DeFi में उपयोगकर्ता टोकन मूल्य और रिटर्न पर सबसे अधिक ध्यान देते हैं। वे निवेश पर बेहतर या कम से कम स्थिर रिटर्न चाहते हैं। दूसरे शब्दों में, एक उपयोगकर्ता के रूप में, मैं जीतने के लिए गेम खेलता हूं और यदि मैं हार जाता हूं, तो कम से कम मुझे आश्वस्त होना होगा कि यह एक निष्पक्ष गेम है। यह सिर्फ मानव स्वभाव है.
DeFi में वित्तीय सुरक्षा निम्नलिखित रूपों में हमलों के प्रति संवेदनशील है:
- पूर्व-खनन या पूर्व-बिक्री जैसी अनुचित लॉन्च प्रथाएं;
- क्रिप्टो व्हेल हमला;
- पंप और डंप;
- ब्लैक स्वान घटनाएँ, अचानक बाज़ार झरने की तरह; या मान लें कि जब एक DeFi प्रोटोकॉल अन्य DeFi/टोकन के साथ नेस्टेड या इंटरऑपरेटेड होता है, तो इसकी सुरक्षा/विश्वसनीयता अन्य प्रोटोकॉल पर अत्यधिक निर्भर होगी
- अन्य तकनीकी हमले या जिन्हें हम वैज्ञानिक तकनीक कहते हैं जैसे फ्रंट रनिंग, सैंडविच अटैक, फ्लैश लोन अटैक आदि
अनुपालन आवश्यकताएं
अनुपालन की आवश्यकता एक बहुत बड़ा विषय है, पहले उल्लिखित एएमएल (एंटी मनी लॉन्ड्रिंग) केवल एक बिंदु है। इसमें केवाईसी (अपने ग्राहक को जानें), प्रतिबंध, प्रतिभूति जोखिम आदि जैसे पहलू भी हैं। वास्तव में हम उपयोगकर्ताओं के लिए ये हमारे नियंत्रण में नहीं हैं। जब हम किसी निश्चित परियोजना के साथ बातचीत करते हैं, क्योंकि यह कुछ देशों में प्रासंगिक नियमों के अधीन हो सकता है, तो हमारी गोपनीयता जानकारी एकत्र हो सकती है। हो सकता है कि आपको ऐसे गोपनीयता संबंधी मुद्दों की परवाह न हो, लेकिन ऐसे लोग हैं जो ऐसा करते हैं।
उदाहरण के लिए, 2022 की शुरुआत में एक छोटी सी घटना हुई थी: कुछ वॉलेट ने एड्रेस ओनरशिप प्रूफ प्रोटोकॉल (एओपीपी) प्रोटोकॉल का समर्थन करने का निर्णय लिया:
मैंने प्रोटोकॉल डिज़ाइन पर एक नज़र डाली, यह पता चला कि एओपीपी का समर्थन करने वाले वॉलेट उपयोगकर्ता की गोपनीयता को लीक कर सकते हैं। नियामकों को एक विनियमित क्रिप्टो एक्सचेंज और एक अज्ञात बाहरी वॉलेट पते के बीच अंतरसंबंध का पता चल सकता है।
इसमें कोई आश्चर्य नहीं कि कई गोपनीयता-उन्मुख वॉलेट उपयोगकर्ता की प्रतिक्रिया के बारे में इतने चिंतित हैं और उन्होंने तुरंत अपने उत्पादों से एओपीपी समर्थन हटा दिया है। लेकिन ईमानदार होने के लिए: प्रोटोकॉल डिज़ाइन काफी दिलचस्प है। मैंने देखा है कि कुछ वॉलेट्स में एओपीपी के लिए समर्थन हटाने की कोई योजना नहीं है, जैसे कि एजवॉलेट। उनकी राय है कि एओपीपी आवश्यक रूप से अधिक उपयोगकर्ता गोपनीयता को उजागर नहीं करता है, इसके विपरीत यह क्रिप्टोकरेंसी के प्रसार को बढ़ाने में मदद करता है। कई विनियमित क्रिप्टो एक्सचेंजों में, उपयोगकर्ताओं को किसी विशेष बाहरी वॉलेट पते पर अपना स्वामित्व साबित करने से पहले उसे वापस लेने की अनुमति नहीं है।
सबसे पहले, प्रसिद्ध हार्डवेयर वॉलेट ट्रेज़ोर ने AOPP समर्थन हटाने से इनकार कर दिया। लेकिन बाद में इसे समझौता करने के लिए मजबूर होना पड़ा और ट्विटर पर समुदाय और उपयोगकर्ताओं के दबाव के कारण ऐसा किया गया।
जैसा कि आप देख सकते हैं, यह एक छोटी सी घटना है लेकिन कुछ लोगों के लिए गोपनीयता वास्तव में महत्वपूर्ण है। इसका मतलब यह नहीं है कि हमें नियमों के खिलाफ जाना चाहिए और अनुपालन आवश्यकताओं को पूरी तरह से नजरअंदाज करना चाहिए। वस्तुतः मेरा मानना है कि अनुपालन आवश्यकताओं के साथ एक निश्चित स्तर का समझौता करना आवश्यक है। हम इस विषय पर गहराई से विचार करना जारी नहीं रखेंगे, आप बेझिझक सामग्री को अपने तरीके से समझ सकते हैं।
अब तक, हमने DeFi सुरक्षा अनुभाग में अधिकांश सामग्री को कवर कर लिया है।
इसके अलावा, भविष्य में होने वाले परिवर्धन या अपडेट से सुरक्षा संबंधी समस्याएं भी उत्पन्न होती हैं। हम अक्सर कहते हैं "सुरक्षा मुद्रा गतिशील है, स्थिर नहीं"। उदाहरण के लिए आजकल अधिकांश प्रोजेक्ट टीमें सुरक्षा ऑडिट करती हैं और स्वच्छ सुरक्षा ऑडिट रिपोर्ट दिखाती हैं। यदि आप कभी भी अच्छी गुणवत्ता वाली रिपोर्टों को ध्यान से पढ़ेंगे तो आप देखेंगे कि ये रिपोर्टें ऑडिट की गई सामग्री के दायरे, समय-सीमा और विशिष्ट पहचानकर्ता (उदाहरण के लिए सत्यापित ओपन सोर्स स्मार्ट अनुबंध पता, या गिटहब रेपो पर प्रतिबद्ध पता) को स्पष्ट रूप से समझाएंगी। या लक्ष्य स्रोत कोड फ़ाइल का हैश)। कहने का तात्पर्य यह है कि रिपोर्ट स्थिर है, लेकिन यदि किसी प्रोजेक्ट में आपने रिपोर्ट में उल्लिखित बातों से कोई विचलन देखा है, तो आप उसे इंगित कर सकते हैं।
एनएफटी सुरक्षा
DeFi सुरक्षा पर पहले उल्लिखित सभी सामग्री को NFT सुरक्षा पर लागू किया जा सकता है, और NFT में स्वयं कुछ बहुत विशिष्ट और अद्वितीय सुरक्षा विषय हैं, उदाहरण के लिए:
- मेटाडेटा सुरक्षा
- हस्ताक्षर सुरक्षा
मेटाडेटा मुख्य रूप से एम्बेडेड चित्र, चलचित्र और अन्य सामग्री को संदर्भित करता है। विशिष्ट मानकों पर OpenSea को संदर्भित करने की अनुशंसा की जाती है:
यहां दो मुख्य सुरक्षा चिंताएं उत्पन्न हो सकती हैं:
- एक यह है कि यूआरआई जहां छवि (या चलचित्र) स्थित है वह भरोसेमंद नहीं हो सकता है। यह बस एक बेतरतीब ढंग से चयनित केंद्रीकृत सेवा हो सकती है, एक तरफ उपलब्धता की कोई गारंटी नहीं है, दूसरी तरफ परियोजना टीम इच्छानुसार छवियों को संशोधित कर सकती है, इस प्रकार एनएफटी अब एक अपरिवर्तनीय "डिजिटल संग्रहणीय" नहीं बन जाएगा। आमतौर पर IPFS, Arweave जैसे केंद्रीकृत भंडारण समाधानों का उपयोग करने और एक प्रसिद्ध URI गेटवे सेवा का चयन करने की अनुशंसा की जाती है।
- दूसरा गोपनीयता रिसाव की संभावना है। बेतरतीब ढंग से चुनी गई यूआरआई सेवा उपयोगकर्ता की बुनियादी जानकारी (जैसे आईपी, उपयोगकर्ता-एजेंट, आदि) को कैप्चर कर सकती है।
सुरक्षा पर हस्ताक्षर करना यहां एक और बड़ी चिंता है, और हम इसे नीचे स्पष्ट करेंगे।
हस्ताक्षर करते समय सावधान रहें!
हस्ताक्षर सुरक्षा एक ऐसी चीज़ है जिसका मैं विशेष रूप से उल्लेख करना चाहता हूँ क्योंकि इसमें बहुत सारी खामियाँ हैं और आपको हर समय सावधान रहना चाहिए। विशेषकर एनएफटी ट्रेडिंग पर कई घटनाएं हुई हैं। हालाँकि, मैंने देखा है कि बहुत से लोग यह नहीं समझते हैं कि ऐसी सुरक्षा समस्याओं के लिए कैसे तैयारी करें और उनसे कैसे निपटें। अंतर्निहित कारण यह है कि कुछ ही लोगों ने समस्या को पर्याप्त रूप से स्पष्ट किया है।
हस्ताक्षर सुरक्षा में नंबर 1 और सबसे महत्वपूर्ण सुरक्षा सिद्धांत है: आप जो देखते हैं वही हस्ताक्षर करते हैं. अर्थात्, आपको प्राप्त हस्ताक्षर अनुरोध में वही संदेश है जिसकी आपको हस्ताक्षर करने के बाद अपेक्षा करनी चाहिए। आपके द्वारा इस पर हस्ताक्षर करने के बाद, परिणाम वही होना चाहिए जिसकी आपने अपेक्षा की थी, बजाय इसके कि आपको पछताना पड़े।
हस्ताक्षर सुरक्षा के कुछ विवरण "कोल्ड वॉलेट" अनुभाग में उल्लिखित किए गए हैं। यदि आप याद नहीं कर पा रहे हैं, तो मेरा सुझाव है कि आप उस अनुभाग को दोबारा देखें। इस अनुभाग में, हम अन्य पहलुओं पर ध्यान केंद्रित करेंगे।
2022 के आसपास OpenSea पर कई प्रसिद्ध एनएफटी हैक थे। 20 फरवरी, 2022 को एक बड़ा प्रकोप हुआ था। मूल कारण हैं:
- उपयोगकर्ताओं ने OpenSea पर NFT लिस्टिंग अनुरोधों पर हस्ताक्षर किए।
- हैकर्स ने उपयोगकर्ताओं से प्रासंगिक हस्ताक्षर प्राप्त करने के लिए फ़िशिंग की।
वास्तव में हैकर्स के लिए प्रासंगिक हस्ताक्षर प्राप्त करना कठिन नहीं है। हैकर को 1) की आवश्यकता है। हस्ताक्षरित किए जाने वाले संदेश का निर्माण करें, 2). इसे हैश करें, 3). अनुरोध पर हस्ताक्षर करने के लिए लक्षित उपयोगकर्ता को धोखा दें (यह एक अंधा हस्ताक्षर होगा, जिसका अर्थ है कि उपयोगकर्ताओं को वास्तव में पता नहीं है कि वे क्या हस्ताक्षर कर रहे हैं), 4)। हस्ताक्षरित सामग्री प्राप्त करें और डेटा का निर्माण करें। इस बिंदु पर, उपयोगकर्ता को हैक कर लिया गया है.
मैं एक उदाहरण के रूप में ओपनसी का उपयोग करूंगा (वास्तव में, यह कोई भी एनएफटी बाज़ार हो सकता है)। लक्ष्य उपयोगकर्ता द्वारा बाज़ार में एनएफटी लिस्टिंग ऑपरेशन को अधिकृत करने के बाद, हैकर हस्ताक्षरित होने के लिए संदेश का निर्माण करेगा। इसे Keccak256 के साथ हैश करने के बाद, फ़िशिंग पेज पर एक हस्ताक्षर अनुरोध पॉप अप होगा। उपयोगकर्ताओं को निम्नलिखित जैसा कुछ दिखाई देगा:
नज़दीक से देखें। इस मेटामास्क पॉपअप विंडो से हम किस प्रकार की जानकारी प्राप्त कर सकते हैं? खाते की जानकारी और खाते की शेष राशि, स्रोत वेबसाइट जहां से हस्ताक्षर अनुरोध आता है, वह संदेश जिस पर उपयोगकर्ता हस्ताक्षर करने वाले हैं और...और कुछ नहीं। उपयोगकर्ता कैसे संदेह कर सकते हैं कि आपदा पहले से ही आने वाली है? और उन्हें कैसे एहसास हुआ कि एक बार जब वे "साइन" बटन पर क्लिक करेंगे, तो उनके एनएफटी चोरी हो जाएंगे।
यह वास्तव में आँख मूँद कर हस्ताक्षर करने का उदाहरण है। उपयोगकर्ताओं को एनएफटी बाज़ार में हस्ताक्षर करने की आवश्यकता नहीं है। इसके बजाय, उपयोगकर्ताओं को इन हस्ताक्षरों के वास्तविक अर्थ और परिणाम को पूरी तरह समझे बिना संदेश पर हस्ताक्षर करने के लिए किसी भी फ़िशिंग वेबसाइट में धोखा दिया जा सकता है। दुर्भाग्य से, हैकर्स जानते हैं। एक उपयोगकर्ता के रूप में, बस ध्यान रखें: कभी भी बिना सोचे-समझे किसी भी चीज़ पर हस्ताक्षर न करें। OpenSea में ब्लाइंड साइनिंग की समस्या होती थी, और उन्होंने 20 फरवरी 2022 के बाद EIP-712 को अपनाकर इसे ठीक कर लिया। हालाँकि, ब्लाइंड साइनिंग के बिना, उपयोगकर्ता अभी भी लापरवाह हो सकते हैं और अन्य तरीकों से हैक हो सकते हैं।
ऐसा होने का सबसे महत्वपूर्ण कारण यह है कि हस्ताक्षर ब्राउज़र की समान-मूल नीति का पालन करने तक सीमित नहीं है। आप इसे आसानी से ऐसे समझ सकते हैं: समान-मूल नीति यह सुनिश्चित कर सकती है कि कोई कार्रवाई केवल एक विशिष्ट डोमेन के अंतर्गत होती है और डोमेन को पार नहीं करेगी, जब तक कि प्रोजेक्ट टीम जानबूझकर डोमेन क्रॉसिंग नहीं चाहती। यदि हस्ताक्षर करना समान-मूल नीति का पालन करता है, तो भले ही उपयोगकर्ता गैर-लक्ष्य डोमेन द्वारा उत्पन्न हस्ताक्षर अनुरोध पर हस्ताक्षर करता है, हैकर्स लक्ष्य डोमेन के तहत हमलों के लिए हस्ताक्षर का उपयोग नहीं कर सकते हैं। अधिक विवरण में जाने से पहले मैं यहां रुकूंगा। मैंने प्रोटोकॉल स्तर पर सुरक्षा सुधार पर नए प्रस्ताव देखे हैं, और मुझे उम्मीद है कि इस स्थिति में जल्द से जल्द सुधार किया जा सकता है।
हमने अधिकांश प्रमुख आक्रमण प्रारूपों का उल्लेख किया है जो किसी संदेश पर हस्ताक्षर करते समय हो सकते हैं, लेकिन वास्तव में इसके कई प्रकार हैं। इससे कोई फर्क नहीं पड़ता कि वे कितने अलग दिखते हैं, वे समान पैटर्न का पालन करते हैं। उन्हें समझने का सबसे अच्छा तरीका यह है कि किसी हमले को शुरू से अंत तक खुद ही दोहराया जाए, या यहां तक कि कुछ अनोखे हमले के तरीके भी बनाए जाएं। उदाहरण के लिए, यहां उल्लिखित हस्ताक्षर अनुरोध हमले में वास्तव में बहुत सारे विवरण शामिल हैं, जैसे कि हस्ताक्षर किए जाने वाले संदेश का निर्माण कैसे करें, और हस्ताक्षर करने के बाद वास्तव में क्या उत्पन्न होता है? क्या "अनुमोदन" के अलावा कोई प्राधिकरण विधियां हैं (हां, उदाहरण के लिए: वृद्धि भत्ता)। खैर, अगर हम यहां विस्तार करेंगे तो यह बहुत तकनीकी हो जाएगा। अच्छी बात यह है कि आपको किसी संदेश पर हस्ताक्षर करने का महत्व पहले से ही समझना चाहिए।
उपयोगकर्ता प्राधिकरण/अनुमोदन को रद्द करके स्रोत पर ऐसे हमलों को रोक सकते हैं। निम्नलिखित कुछ प्रसिद्ध उपकरण हैं जिनका आप उपयोग कर सकते हैं।
-
टोकन अनुमोदन
https://etherscan.io/tokenapprovalchecker
यह एथेरियम के आधिकारिक ब्राउज़र द्वारा प्रदान किया गया प्राधिकरण जांच और रद्दीकरण का उपकरण है। अन्य ईवीएम संगत ब्लॉकचेन में भी कुछ ऐसा ही है क्योंकि उनके ब्लॉकचेन ब्राउज़र मूल रूप से इथरस्कैन द्वारा विकसित किए गए हैं। उदाहरण के लिए:
https://bscscan.com/tokenapprovalchecker
https://hecoinfo.com/tokenapprovalchecker
https://polygonscan.com/tokenapprovalchecker
https://snowtrace.io/tokenapprovalchecker
https://cronoscan.com/tokenapprovalchecker -
निरस्त करें.नकद
https://revoke.cash/
अच्छी प्रसिद्धि वाला सुपर पुराना स्कूल और बढ़ती शक्ति के साथ मल्टी-चेन सपोर्ट -
रब्बी एक्सटेंशन वॉलेट
https://rabby.io/
उन वॉलेट्स में से एक जिसके साथ हमने बहुत सहयोग किया है। ईवीएम संगत ब्लॉकचेन की संख्या जहां वे "प्राधिकरण जांच और रद्दीकरण" फ़ंक्शन प्रदान करते हैं, वह सबसे अधिक है जो मैंने कभी देखा है
⚠️टिप्पणी: यदि आप हस्ताक्षर सुरक्षा की अधिक व्यापक और गहन समझ चाहते हैं, तो कृपया संदर्भ के रूप में निम्नलिखित रिपॉजिटरी परिवर्धन में एक्सटेंशन की जांच करें:
https://github.com/evilcos/darkhandbook
यह सच है कि शुरुआती लोगों के लिए सिग्नेचर सिक्योरिटी का ज्ञान काफी चुनौतीपूर्ण है। रिपॉजिटरी प्रासंगिक सामग्री संकलित करती है, और इसे ध्यान से पढ़ने से आपको सुरक्षा ज्ञान को समझने में मदद मिलेगी। इस प्रकार, आपको अब यह मुश्किल नहीं लगेगा। (यदि आप सब कुछ पढ़ और समझ सकते हैं, तो मेरा मानना है कि सुरक्षा ज्ञान अब आपके लिए कठिन नहीं होगा 🙂
प्रति-सहज हस्ताक्षर अनुरोधों से सावधान रहें!
मैं विशेष रूप से एक और जोखिम का उल्लेख करना चाहूँगा: प्रति-सहज जोखिम.
प्रति-सहज ज्ञान क्या है? उदाहरण के लिए, आप पहले से ही Ethereum से बहुत परिचित हैं, और सभी प्रकार के DeFi और NFT के OG बन गए हैं। जब आप पहली बार सोलाना पारिस्थितिकी तंत्र में प्रवेश करेंगे, तो संभवतः आपका सामना कुछ ऐसी ही फ़िशिंग वेबसाइटों से होगा। आप इतनी अच्छी तरह से तैयार महसूस कर सकते हैं कि आप सोचने लगते हैं कि "मैंने एथेरियम पारिस्थितिकी तंत्र में इसे हजारों बार देखा है और मैं कैसे मूर्ख बन सकता हूं?"
इस बीच, हैकर्स खुश होंगे क्योंकि आप पहले ही मूर्ख बन चुके हैं। लोग अपनी सहज भावनाओं का पालन करते हैं जो उन्हें लापरवाह बनाता है। जब कोई जवाबी हमला होगा, तो लोग जाल में फंस जायेंगे।
ठीक है, आइए एक वास्तविक मामले पर नज़र डालें जिसने प्रति-अंतर्ज्ञान का लाभ उठाया।
सबसे पहले, एक चेतावनी: सोलाना पर प्राधिकरण फ़िशिंग कहीं अधिक क्रूर है। उपरोक्त उदाहरण 5 मार्च, 2022 को हुआ। हमलावरों ने बैचों में उपयोगकर्ताओं के लिए एनएफटी को एयरड्रॉप किया (चित्र 1)। उपयोगकर्ताओं ने एयरड्रॉप्ड एनएफटी (www_officialsolanarares_net) के विवरण में लिंक के माध्यम से लक्ष्य वेबसाइट में प्रवेश किया और अपने वॉलेट कनेक्ट किए (चित्र 2)। पेज पर "मिंट" बटन पर क्लिक करने के बाद, अनुमोदन विंडो पॉप अप हो गई (चित्र 3)। ध्यान दें कि इस समय पॉप अप विंडो में कोई विशेष सूचना या संदेश नहीं था। एक बार जब वे स्वीकृत हो जाएंगे, तो वॉलेट के सभी एसओएल स्थानांतरित कर दिए जाएंगे।
जब उपयोगकर्ता "स्वीकृत करें" बटन पर क्लिक करते हैं, तो वे वास्तव में हमलावरों द्वारा तैनात दुर्भावनापूर्ण स्मार्ट अनुबंधों के साथ बातचीत कर रहे होते हैं: 3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v
इस दुर्भावनापूर्ण स्मार्ट अनुबंध का अंतिम लक्ष्य "एसओएल ट्रांसफर" शुरू करना है, जो उपयोगकर्ता के लगभग सभी एसओएल को स्थानांतरित करता है। ऑन-चेन डेटा के विश्लेषण से, फ़िशिंग व्यवहार कई दिनों तक जारी रहा, और इस अवधि के दौरान पीड़ितों की संख्या बढ़ती रही।
इस उदाहरण से दो नुकसान हैं जिन पर आपको ध्यान देने की आवश्यकता है:
- उपयोगकर्ता द्वारा अनुमोदन के बाद, दुर्भावनापूर्ण स्मार्ट अनुबंध उपयोगकर्ता की मूल संपत्तियों (इस मामले में एसओएल) को स्थानांतरित कर सकता है। एथेरियम पर यह संभव नहीं है. एथेरियम पर प्राधिकरण फ़िशिंग केवल अन्य टोकन को प्रभावित कर सकती है, लेकिन ईटीएच की मूल संपत्ति को नहीं। यह प्रति-सहज ज्ञान युक्त हिस्सा है जो उपयोगकर्ताओं को कम सतर्कता देगा।
- सोलाना पर सबसे प्रसिद्ध वॉलेट, फैंटम, के सुरक्षा तंत्र में खामियां हैं कि यह "आप जो देखते हैं वही आप हस्ताक्षर करते हैं" सिद्धांत का पालन नहीं करते हैं (हमने अभी तक अन्य वॉलेट का परीक्षण नहीं किया है), और यह नहीं करता है उपयोगकर्ताओं को पर्याप्त जोखिम चेतावनी प्रदान करें। यह आसानी से सुरक्षा ब्लाइंड स्पॉट बना सकता है जिससे उपयोगकर्ताओं के सिक्कों की कीमत चुकानी पड़ेगी।
कुछ उन्नत आक्रमण पद्धतियाँ
दरअसल, कई उन्नत आक्रमण पद्धतियां हैं, लेकिन जनता के नजरिए से उन्हें ज्यादातर फ़िशिंग माना जाता है। हालाँकि, कुछ सामान्य फ़िशिंग हमले नहीं हैं। उदाहरण के लिए:
हैकर्स ने इस अनुलग्नक के साथ एक फ़िशिंग ई-मेल भेजा:
Stablecoin(संरक्षित) का एक बड़ा जोखिम.docx
सच कहूँ तो यह एक आकर्षक दस्तावेज़ है। हालाँकि, एक बार खुलने के बाद उपयोगकर्ता के कंप्यूटर में एक ट्रोजन (आमतौर पर ऑफिस मैक्रो या 0day / 1day शोषण के माध्यम से) लगाया जाएगा, जिसमें आमतौर पर निम्नलिखित कार्य होते हैं:
- सभी प्रकार के क्रेडेंशियल एकत्र करना, उदाहरण के लिए, ब्राउज़र से संबंधित, या एसएसएच से संबंधित, आदि। इस तरह, हैकर्स लक्ष्य उपयोगकर्ता की अन्य सेवाओं तक अपनी पहुंच बढ़ा सकते हैं। इसलिए, संक्रमण के बाद उपयोगकर्ताओं को आमतौर पर न केवल लक्ष्य डिवाइस को साफ करने की सलाह दी जाती है, बल्कि प्रासंगिक खाता अनुमतियों को भी साफ करने की सलाह दी जाती है।
- कीलॉगर, विशेष रूप से पासवर्ड जैसी अस्थायी रूप से प्रदर्शित होने वाली संवेदनशील जानकारी को लक्षित करता है।
- प्रासंगिक स्क्रीनशॉट, संवेदनशील फ़ाइलें इत्यादि एकत्रित करना।
- यदि यह रैंसमवेयर है, तो लक्ष्य प्रणाली की सभी फाइलें दृढ़ता से एन्क्रिप्ट की जाएंगी, और पीड़ित द्वारा फिरौती के लिए भुगतान करने की प्रतीक्षा की जाएगी, आमतौर पर बिटकॉइन द्वारा। लेकिन इस मामले में यह रैंसमवेयर नहीं था जिसका व्यवहार अधिक स्पष्ट और शोर-शराबा और सीधा इरादा है।
इसके अलावा, क्रिप्टो उद्योग को लक्षित करने वाले ट्रोजन को उपयोगकर्ता के धन को चुराने के लिए, प्रसिद्ध वॉलेट या एक्सचेंजों से संवेदनशील जानकारी एकत्र करने के लिए विशेष रूप से अनुकूलित किया जाएगा। पेशेवर विश्लेषण के अनुसार, उपर्युक्त ट्रोजन मेटामास्क पर लक्षित हमला करेगा:
https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/
ट्रोजन उपयोगकर्ता के मेटामास्क को पिछले दरवाजे वाले नकली मेटामास्क से बदल देगा। पिछले दरवाजे वाले मेटामास्क का मूल रूप से मतलब है कि आपके द्वारा संग्रहीत कोई भी धनराशि अब आपकी नहीं है। भले ही आप हार्डवेयर वॉलेट का उपयोग कर रहे हों, यह नकली मेटामास्क गंतव्य पते या राशि की जानकारी में हेरफेर करके आपके फंड को चुराने में कामयाब होगा।
यह दृष्टिकोण विशेष रूप से ज्ञात वॉलेट पते वाले प्रसिद्ध लक्ष्यों के लिए तैयार किया गया है। मैंने जो देखा है वह यह है कि ऐसे कई लोग इतने अहंकारी होते हैं कि खुद को हैक होने से नहीं बचा पाते। हैक के बाद, कई लोग पाठ से सीखेंगे, पूरी समीक्षा करेंगे, महत्वपूर्ण सुधार करेंगे, और विश्वसनीय सुरक्षा पेशेवरों या एजेंसियों के साथ दीर्घकालिक सहयोग और मित्रता भी बनाएंगे। हालाँकि, इस दुनिया में हमेशा अपवाद होते हैं। कुछ लोग या प्रोजेक्ट बार-बार हैक होते रहते हैं। यदि हर बार ऐसा किसी ऐसी चीज़ के कारण होता है जिसका पहले किसी ने सामना नहीं किया है, तो मैं उनका अत्यधिक सम्मान करूँगा और उन्हें अग्रणी कहूँगा। उच्च संभावना है कि समय बीतने के साथ वे सफल होंगे। दुर्भाग्य से कई घटनाएँ बहुत ही मूर्खतापूर्ण और बार-बार दोहराई जाने वाली गलतियों का परिणाम होती हैं जिनसे आसानी से बचा जा सकता है। मैं इन परियोजनाओं से दूर रहने की सलाह दूंगा।
तुलनात्मक रूप से, वे बड़े पैमाने पर फ़िशिंग हमले बिल्कुल भी व्यापक नहीं हैं। हमलावर समान दिखने वाले डोमेन नामों का एक समूह तैयार करेंगे और ट्विटर या अन्य सोशल प्लेटफॉर्म पर अकाउंट, फॉलोअर्स और रीट्वीट खरीदकर पेलोड फैलाएंगे। यदि अच्छी तरह से प्रबंधन किया जाए तो कई लोग जाल में फंस जाएंगे। इस तरह के फ़िशिंग हमले में वास्तव में कुछ खास नहीं है, और आम तौर पर हमलावर उपयोगकर्ता को टोकन (एनएफटी सहित) को दूर स्थानांतरित करने के लिए बेरहमी से अधिकृत कर देगा।
अन्य प्रकार के उन्नत हमले हैं, उदाहरण के लिए हमले की प्रक्रिया को सुचारू करने के लिए XSS, CSRF, रिवर्स प्रॉक्सी जैसी तकनीकों का उपयोग करना। मैं यहां उन सभी के बारे में विस्तार से नहीं बताऊंगा, एक बहुत ही विशेष मामले (क्लाउडफ्लेयर मैन-इन-द-मिडिल अटैक) को छोड़कर, जो रिवर्स प्रॉक्सी में परिदृश्यों में से एक है। ऐसे वास्तविक हमले हुए हैं जिनसे इस अत्यंत गुप्त पद्धति का उपयोग करके वित्तीय हानि हुई है।
यहां समस्या क्लाउडफ्लेयर के दुष्ट होने या हैक होने की नहीं है। इसके बजाय यह प्रोजेक्ट टीम का क्लाउडफ़ेयर खाता है जिससे समझौता किया जाता है। आम तौर पर प्रक्रिया इस प्रकार है: यदि आप क्लाउडफ्लेयर का उपयोग करते हैं, तो आप डैशबोर्ड में इस "वर्कर" मॉड्यूल को देखेंगे, जिसका आधिकारिक विवरण है:
उत्कृष्ट प्रदर्शन, विश्वसनीयता और पैमाने हासिल करते हुए, सर्वर रहित अनुप्रयोगों का निर्माण करना और उन्हें तुरंत दुनिया भर में तैनात करना। विवरण के लिए कृपया देखें https://developers.cloudflare.com/workers/
मैंने बहुत समय पहले एक परीक्षण पृष्ठ बनाया था:
जब आप पृष्ठ पर जाएंगे तो एक पॉप-अप विंडो दिखाई देगी जिसमें लिखा होगा:
xssor.io, Cloudflare द्वारा अपहृत।
वास्तव में, यह पॉप-अप, और यहां तक कि x.html की संपूर्ण सामग्री, स्वयं दस्तावेज़ से संबंधित नहीं है। ये सभी Cloudflare द्वारा प्रदान किए गए हैं। तंत्र नीचे दिखाया गया है:
स्क्रीनशॉट में कोड स्निपेट का संकेत बहुत सरल है: यदि मैं हैकर होता और मैंने आपके क्लाउडफ़ेयर खाते को नियंत्रित किया है, तो मैं किसी भी वेब पेज पर मनमानी दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने के लिए वर्कर्स का उपयोग कर सकता हूं। और उपयोगकर्ताओं के लिए यह महसूस करना बहुत मुश्किल है कि लक्ष्य वेब पेज को हाईजैक कर लिया गया है और उसके साथ छेड़छाड़ की गई है, क्योंकि कोई त्रुटि अलर्ट नहीं होगा (जैसे HTTPS प्रमाणपत्र त्रुटि)। यहां तक कि प्रोजेक्ट टीम भी अपने सर्वर और कर्मियों की सुरक्षा की जांच करने में काफी समय खर्च किए बिना आसानी से समस्या की पहचान नहीं कर पाएगी। जब तक उन्हें पता चलता है कि यह क्लाउडफ्लेयर वर्कर्स हैं, तब तक नुकसान काफी हो चुका था।
क्लाउडफ्लेयर वास्तव में एक अच्छा टूल है। कई वेबसाइटें या वेब एप्लिकेशन इसे अपने वेब एप्लिकेशन फ़ायरवॉल, एंटी डीडीओएस समाधान, वैश्विक सीडीएन, रिवर्स प्रॉक्सी आदि के रूप में उपयोग करेंगे। क्योंकि एक मुफ़्त संस्करण है, उनके पास एक बड़ा ग्राहक आधार है। वैकल्पिक रूप से, अकाईमाई आदि जैसी सेवाएँ हैं।
यूजर्स को ऐसे अकाउंट की सुरक्षा पर ध्यान देना चाहिए। इंटरनेट के बढ़ने से खाता सुरक्षा संबंधी समस्याएँ उत्पन्न होती हैं। यह दुनिया में इतना आम विषय है कि लगभग हर कोई हर जगह इसके बारे में बात कर रहा है, लेकिन फिर भी कई लोग इसके कारण हैक हो रहे हैं। कुछ मूल कारण यह हो सकते हैं कि वे महत्वपूर्ण सेवाओं के लिए एक अद्वितीय मजबूत पासवर्ड का उपयोग नहीं करते हैं (1 पासवर्ड जैसे पासवर्ड प्रबंधक वैसे भी उतने लोकप्रिय नहीं हैं), कुछ हो सकते हैं कि वे 2 कारक प्रमाणीकरण (2FA) चालू करने की जहमत नहीं उठाते हैं, या हो सकता है उन्हें इस बात का भी पता नहीं है. कुछ निश्चित सेवाओं के लिए पासवर्ड कम से कम सालाना रीसेट किया जाना चाहिए।
ठीक है, यह इस अनुभाग का अंत होगा। आपको केवल यह समझने की आवश्यकता है कि यह वास्तव में एक अंधेरा जंगल है, और आपको यथासंभव अधिक से अधिक हमलावर तरीकों के बारे में जानना चाहिए। कागज पर पर्याप्त देखने के बाद, यदि आप कम से कम एक या दो बार जाल में फंस गए हैं, तो आप खुद को एक शौकिया सुरक्षा पेशेवर के रूप में मान सकते हैं (जिससे आपको वैसे भी फायदा होगा)।
पारंपरिक गोपनीयता संरक्षण
बधाई हो, आप इस भाग में आ गए हैं। पारंपरिक गोपनीयता सुरक्षा एक पुराना विषय है: यहां वह लेख है जो मैंने 2014 में लिखा था।
आपको गोपनीयता उल्लंघन के युग में खुद को सुरक्षित रखने के लिए कुछ तरकीबें सीखनी होंगी।
https://evilcos.me/yinsi.html
इस लेख को दोबारा पढ़ते हुए, हालांकि यह 2014 में एक प्रवेश स्तर का लेख था, तथापि, इसमें अधिकांश सलाह पुरानी नहीं हैं। लेख को दोबारा पढ़ने के बाद, मैं यहां कुछ नया पेश करूंगा: वास्तव में, गोपनीयता सुरक्षा का सुरक्षा से गहरा संबंध है . पारंपरिक गोपनीयता सुरक्षा की आधारशिला है। इस अनुभाग में आपकी निजी कुंजियाँ गोपनीयता का हिस्सा हैं। यदि आधारशिलाएं सुरक्षित नहीं हैं, आधारशिलाओं की गोपनीयता अर्थहीन है, तो अधिरचना हवा में उड़ती इमारत की तरह नाजुक होगी।
निम्नलिखित दो संसाधन अत्यधिक अनुशंसित हैं:
निगरानी आत्मरक्षा
सुरक्षित ऑनलाइन संचार के लिए युक्तियाँ, उपकरण और उपाय
https://ssd.eff.org/
एसएसडी के लिए निगरानी आत्मरक्षा संक्षिप्त है। सुप्रसिद्ध इलेक्ट्रॉनिक फ्रंटियर फ़ाउंडेशन (ईएफएफ) द्वारा लॉन्च किया गया, जिसने विशेष रूप से आपको यह बताने के लिए प्रासंगिक दिशानिर्देश जारी किए हैं कि निगरानी इंटरनेट की दुनिया में आपको देखने वाले बड़े भाई से कैसे बचें, जिनमें कई उपयोगी उपकरण (जैसे टोर, व्हाट्सएप, सिग्नल) शामिल हैं। पीजीपी, आदि)
गोपनीयता गाइड: एन्क्रिप्शन और गोपनीयता टूल के साथ निगरानी से लड़ें
https://www.privacytools.io/
उपरोक्त वेबसाइट अनेक उपकरणों की विस्तृत सूची प्रस्तुत करती है। यह कुछ क्रिप्टोकरेंसी एक्सचेंज, वॉलेट आदि की भी सिफारिश करता है। हालांकि, यह ध्यान दिया जाना चाहिए कि मैं वेबसाइट पर सूचीबद्ध बहुत सारे टूल का उपयोग नहीं करता, क्योंकि मेरे पास अपना तरीका है। अत: आपको तुलना करने और निरंतर सुधार करने के साथ-साथ अपना तरीका भी विकसित करना चाहिए।
यहां उन उपकरणों के कुछ मुख्य अंश दिए गए हैं जिनका मैं सुझाव देता हूं कि आपको उपयोग करना चाहिए।
ऑपरेशन सिस्टम
Windows 10 संस्करण (और उच्चतर) और macOS दोनों सुरक्षित विकल्प हैं। यदि आपके पास क्षमता है, तो आप लिनक्स चुन सकते हैं, जैसे कि उबंटू, या यहां तक कि अत्यंत सुरक्षा और गोपनीयता केंद्रित जैसे टेल्स, या व्होनिक्स।
ऑपरेशन सिस्टम के विषय पर, सबसे सीधा सुरक्षा सिद्धांत है: सिस्टम अपडेट पर पूरा ध्यान दें, और उपलब्ध होने पर उन्हें यथाशीघ्र लागू करें। ऑपरेटिंग सिस्टम में महारत हासिल करने की क्षमता इसके बाद आती है। लोग पूछ सकते हैं कि विंडोज़ या मैकओएस जैसे ऑपरेटिंग सिस्टम में महारत हासिल करने के लिए आपको क्या सीखने की ज़रूरत है? क्या यह सिर्फ क्लिक करना नहीं है? खैर यह वास्तव में पर्याप्त होने से बहुत दूर है। नौसिखिए उपयोगकर्ताओं के लिए, एक अच्छा एंटीवायरस सॉफ़्टवेयर, जैसे कि कास्परस्की, बिटडिफ़ेंडर, आवश्यक है, और ये दोनों MacOS पर उपलब्ध हैं।
और फिर, डाउनलोड सुरक्षा के बारे में मत भूलिए, जिसका मैंने पहले उल्लेख किया था। यदि आप लापरवाही से प्रोग्राम डाउनलोड और इंस्टॉल नहीं करते हैं, तो आपने अधिकांश जोखिम समाप्त कर दिए होंगे।
इसके बाद, सोचें कि यदि आपका कंप्यूटर खो जाए या चोरी हो जाए तो आप क्या करेंगे। बूट पासवर्ड रखना स्पष्ट रूप से पर्याप्त नहीं है। यदि डिस्क एन्क्रिप्शन चालू नहीं है, तो खराब अभिनेता हार्डडिस्क को बाहर निकाल सकते हैं और अंदर डेटा पुनः प्राप्त कर सकते हैं। इस प्रकार मेरी सलाह है कि महत्वपूर्ण कंप्यूटरों के लिए डिस्क एन्क्रिप्शन चालू किया जाना चाहिए।
https://docs.microsoft.com/en-us/windows/security/encryption-data-protection
https://support.apple.com/en-us/HT204837
हमारे पास VeraCrypt (पूर्व TrueCrypt) जैसे शक्तिशाली और प्रसिद्ध उपकरण भी हैं, यदि आप रुचि रखते हैं तो बेझिझक इसे आज़माएँ:
आप BIOS या फ़र्मवेयर पासवर्ड को सक्षम करने के लिए एक कदम आगे जा सकते हैं। मैंने इसे स्वयं किया है लेकिन यह पूरी तरह से आपकी अपनी पसंद पर निर्भर है। बस याद रखें: यदि आप ऐसा करते हैं, तो पासवर्ड को बहुत स्पष्ट रूप से याद रखें, अन्यथा कोई भी आपकी मदद नहीं कर सकता है। मैं काफी भाग्यशाली हूं कि पहले खुद भी खरगोश के बिल में गिर चुका हूं, जिसमें मुझे एक लैपटॉप, कुछ क्रिप्टोकरंसी और एक हफ्ते का समय खर्च करना पड़ा। दूसरी ओर, यह सीखने का एक बहुत अच्छा अनुभव भी है।
चल दूरभाष
आजकल iPhone और Android केवल दो मुख्यधारा मोबाइल फोन श्रेणियां हैं। मैं ब्लैकबेरी का बहुत बड़ा प्रशंसक हुआ करता था, लेकिन समय के साथ इसकी महिमा फीकी पड़ गई। अतीत में, एंड्रॉइड फोन की सुरक्षा स्थिति ने मुझे बहुत चिंतित किया था। एक ओर यह अभी शुरुआती चरण में था, दूसरी ओर संस्करण बहुत खंडित थे, प्रत्येक ब्रांड का अपना फोर्क्ड एंड्रॉइड संस्करण होगा। लेकिन अब हालात काफी बेहतर हो गए हैं.
मोबाइल फोन पर हमें सिक्योरिटी अपडेट और डाउनलोड सिक्योरिटी पर भी ध्यान देने की जरूरत है। इसके अलावा निम्नलिखित बातों पर भी ध्यान दें:
- अपने फ़ोन को जेलब्रेक/रूट न करें, यह तब तक अनावश्यक है जब तक आप प्रासंगिक सुरक्षा अनुसंधान नहीं कर रहे हैं। यदि आप इसे पायरेटेड सॉफ़्टवेयर के लिए कर रहे हैं तो यह वास्तव में इस बात पर निर्भर करता है कि आप कौशल में कितनी अच्छी तरह महारत हासिल कर सकते हैं।
- अनाधिकारिक ऐप स्टोर से ऐप डाउनलोड न करें।
- ऐसा तब तक न करें जब तक आपको पता न हो कि आप क्या कर रहे हैं। यह बताने की जरूरत नहीं है कि आधिकारिक ऐप स्टोर में कई नकली ऐप भी हैं।
- आधिकारिक क्लाउड सिंक्रोनाइज़ेशन फ़ंक्शन का उपयोग करने की शर्त यह है कि आपको यह सुनिश्चित करना होगा कि आपका खाता सुरक्षित है, अन्यथा यदि क्लाउड खाता समझौता हो जाता है, तो मोबाइल फ़ोन भी सुरक्षित हो जाएगा।
व्यक्तिगत तौर पर मैं आईफोन पर ज्यादा भरोसा करता हूं। और आपको कम से कम दो iCloud खातों की आवश्यकता होगी: एक चीन और एक विदेशी। आपको विभिन्न क्षेत्रीय प्रतिबंधों वाले ऐप्स इंस्टॉल करने के लिए उनकी आवश्यकता होगी। (जो सुनने में बहुत अजीब लगता है लेकिन वास्तविकता में आपका स्वागत है)
नेटवर्क
नेटवर्क सुरक्षा के मुद्दे परेशानी का सबब बनते थे, लेकिन हाल के वर्षों में पहले से ही महत्वपूर्ण सुधार हुए हैं, खासकर HTTPS एवरीवेयर नीति को बड़े पैमाने पर अपनाने के बाद से।
चल रहे नेटवर्क अपहरण (मैन-इन-द-मिडिल अटैक) हमले के मामले में, संबंधित सिस्टम त्रुटि अलर्ट होंगे। लेकिन हमेशा अपवाद होते हैं, इसलिए जब आपके पास कोई विकल्प हो तो अधिक सुरक्षित विकल्प का उपयोग करें। उदाहरण के लिए, अपरिचित वाई-फाई नेटवर्क से कनेक्ट न करें जब तक कि अधिक लोकप्रिय और सुरक्षित 4जी/5जी नेटवर्क उपलब्ध न हो या स्थिर न हो।
ब्राउज़र्स
सबसे लोकप्रिय ब्राउज़र क्रोम और फ़ायरफ़ॉक्स हैं, क्रिप्टो क्षेत्रों में कुछ ब्रेव का भी उपयोग करेंगे। इन प्रसिद्ध ब्राउज़रों के पास एक मजबूत टीम है और समय पर सुरक्षा अपडेट होंगे। ब्राउज़र सुरक्षा का विषय बहुत व्यापक है. आपके लिए जागरूक रहने के लिए यहां कुछ सुझाव दिए गए हैं:
- जितनी जल्दी हो सके अपडेट करें, जोखिम न लें।
- यदि आवश्यक न हो तो एक्सटेंशन का उपयोग न करें। यदि आप ऐसा करते हैं, तो उपयोगकर्ता की समीक्षाओं, उपयोगकर्ताओं की संख्या, कंपनी के रखरखाव आदि के आधार पर अपने निर्णय लें और इसके द्वारा मांगी गई अनुमति पर ध्यान दें। सुनिश्चित करें कि आपको एक्सटेंशन अपने ब्राउज़र के आधिकारिक ऐप स्टोर से मिले।
- एकाधिक ब्राउज़रों का उपयोग समानांतर में किया जा सकता है, और यह दृढ़ता से अनुशंसा की जाती है कि आप एक ब्राउज़र में महत्वपूर्ण संचालन करें, और अधिक नियमित, कम महत्वपूर्ण कार्यों के लिए दूसरे ब्राउज़र का उपयोग करें।
- यहां कुछ प्रसिद्ध गोपनीयता केंद्रित एक्सटेंशन हैं (जैसे कि यूब्लॉक ओरिजिन, एचटीटीपीएस एवरीव्हेयर, क्लियरयूआरएल इत्यादि), बेझिझक उन्हें आज़माएं।
विशेष रूप से फ़ायरफ़ॉक्स में, मैं प्रसिद्ध प्राचीन एक्सटेंशन नोस्क्रिप्ट का भी उपयोग करूंगा, जिसका दुर्भावनापूर्ण जावास्क्रिप्ट पेलोड को रोकने का एक सिद्ध रिकॉर्ड था। आजकल ब्राउज़र अधिक सुरक्षित होते जा रहे हैं क्योंकि वे समान-मूल नीति, सीएसपी, कुकी सुरक्षा नीति, HTTP सुरक्षा हेडर, एक्सटेंशन सुरक्षा नीति इत्यादि जैसी चीज़ों के लिए समर्थन जोड़ते हैं। इस प्रकार NoScript जैसे टूल का उपयोग करने की आवश्यकता कम होती जा रही है और छोटा, यदि रुचि हो तो बेझिझक देख लें।
पासवर्ड मैनेजर
यदि आपने अभी तक पासवर्ड मैनेजर का उपयोग नहीं किया है, तो या तो आप इसका उपयोग करने की सुविधा नहीं जानते हैं, या आपके पास अपना स्वयं का मजबूत मेमोरी पैलेस है। मस्तिष्क की याददाश्त के खतरे का उल्लेख पहले भी किया जा चुका है, एक तो यह कि समय आपकी याददाश्त को कमजोर या बाधित कर देगा; दूसरा यह कि आपके साथ कोई दुर्घटना हो सकती है। किसी भी स्थिति में, मैं अभी भी अनुशंसा करता हूं कि आप अपनी मस्तिष्क मेमोरी के साथ जाने के लिए एक पासवर्ड मैनेजर का उपयोग करें, 1 पासवर्ड, बिटवर्डन इत्यादि जैसे किसी प्रसिद्ध का उपयोग करें।
मुझे इस भाग को बहुत अधिक कवर करने की आवश्यकता नहीं है, ऑनलाइन बहुत सारे संबंधित ट्यूटोरियल हैं, ट्यूटोरियल की आवश्यकता के बिना भी शुरुआत करना आसान है।
यहां मुझे आपको याद दिलाने की आवश्यकता है:
- अपना मास्टर पासवर्ड कभी न भूलें और अपने खाते की जानकारी सुरक्षित रखें, अन्यथा सब कुछ खो जाएगा।
- सुनिश्चित करें कि आपका ईमेल सुरक्षित है. यदि आपके ईमेल के साथ छेड़छाड़ की गई है, तो यह आपके पासवर्ड मैनेजर में मौजूद संवेदनशील जानकारी से सीधे तौर पर समझौता नहीं कर सकता है, लेकिन बुरे तत्व इसे नष्ट करने की क्षमता रखते हैं।
- मैंने अपने द्वारा बताए गए टूल (जैसे 1 पासवर्ड) की सुरक्षा को सत्यापित कर लिया है, और संबंधित सुरक्षा घटनाओं, उपयोगकर्ता समीक्षाओं, समाचारों आदि को करीब से देख रहा हूं। लेकिन मैं गारंटी नहीं दे सकता कि ये उपकरण बिल्कुल सुरक्षित हैं, और कोई ब्लैक स्वान इवेंट नहीं है। उनके साथ भविष्य में कभी भी ऐसा होने वाला है।
उदाहरण के लिए, एक चीज़ जिसकी मैं सराहना करता हूँ वह है 1पासवर्ड के सुरक्षा पृष्ठ का परिचय और विवरण।
इस पृष्ठ में सुरक्षा डिज़ाइन अवधारणाएँ, प्रासंगिक गोपनीयता और सुरक्षा प्रमाणपत्र, सुरक्षा डिज़ाइन श्वेत पत्र, सुरक्षा ऑडिट रिपोर्ट आदि हैं। पारदर्शिता और खुलेपन का यह स्तर उद्योग में आवश्यक सत्यापन की सुविधा भी प्रदान करता है। सभी प्रोजेक्ट टीमों को इससे सीखना चाहिए।
बिटवर्डन एक कदम आगे बढ़ता है, क्योंकि यह सर्वर साइड सहित पूरी तरह से खुला स्रोत है, इसलिए कोई भी सत्यापन, ऑडिट और योगदान कर सकता है। अब आप देखो? 1Password और Bitwarden का इरादा बहुत स्पष्ट है:
मैं बहुत सुरक्षित हूं और मुझे गोपनीयता की चिंता है. ऐसा न केवल मैं स्वयं कहता हूं, बल्कि तीसरे पक्ष के अधिकारी भी ऐसा कहते हैं। बेझिझक मेरा ऑडिट करें, और आपके ऑडिट को आसान बनाने के लिए, मैं जहां भी संभव हो खुला रहने के लिए बहुत प्रयास करता हूं। यदि मैं जो करता हूं वह जो मैं कहता हूं उससे मेल नहीं खाता, तो मुझे चुनौती देना आसान है। और इसे सुरक्षा विश्वास कहा जाता है.
दो तरीकों से प्रमाणीकरण
इंटरनेट पर आपकी पहचान सुरक्षा की बात करें तो पहली परत पासवर्ड पर निर्भर करती है, दूसरी परत दो कारक प्रमाणीकरण पर निर्भर करती है, और तीसरी परत लक्ष्य परियोजना की जोखिम नियंत्रण क्षमता पर निर्भर करती है। मैं यह नहीं कह सकता कि दो कारक प्रमाणीकरण अनिवार्य है। उदाहरण के लिए, यदि आप विकेंद्रीकृत वॉलेट का उपयोग कर रहे हैं, तो पासवर्ड की एक परत काफी कष्टप्रद है (अब वे मूल रूप से उपयोगकर्ता अनुभव को बेहतर बनाने के लिए चेहरे की पहचान या फिंगरप्रिंट जैसी बायोमेट्रिक पहचान का समर्थन करते हैं), कोई भी दूसरे कारक का उपयोग नहीं करना चाहता है। लेकिन एक केंद्रीकृत प्लेटफ़ॉर्म में, आपको 2FA का उपयोग करना होगा। कोई भी केंद्रीकृत प्लेटफ़ॉर्म तक पहुंच सकता है, और यदि आपकी साख चोरी हो जाती है, तो आपके खाते में सेंध लग जाएगी और आपका फंड खो जाएगा। इसके विपरीत, आपके विकेन्द्रीकृत वॉलेट का पासवर्ड सिर्फ एक स्थानीय प्रमाणीकरण है, भले ही हैकर को पासवर्ड मिल जाए, फिर भी उन्हें उस डिवाइस तक पहुंच प्राप्त करने की आवश्यकता होगी जहां आपका वॉलेट स्थित है।
अब आप अंतर देख रहे हैं? कुछ प्रसिद्ध दो-कारक प्रमाणीकरण (2FA) टूल में शामिल हैं: Google प्रमाणक, Microsoft प्रमाणक, आदि। बेशक, यदि आप पासवर्ड मैनेजर (जैसे 1Password) का उपयोग करते हैं, तो यह 2FA मॉड्यूल के साथ भी आता है। , जो बहुत उपयोगी है. बैकअप बनाना हमेशा याद रखें, क्योंकि 2FA खोना परेशानी भरा हो सकता है।
इसके अलावा, दो-कारक प्रमाणीकरण भी एक व्यापक अवधारणा हो सकती है। उदाहरण के लिए, जब लक्ष्य प्लेटफ़ॉर्म पर लॉग इन करने के लिए खाता पहचानकर्ता और पासवर्ड का उपयोग किया जाता है, तो हमारा खाता पहचानकर्ता आम तौर पर एक ईमेल या मोबाइल फ़ोन नंबर होता है। इस समय, सत्यापन कोड प्राप्त करने के लिए मेलबॉक्स या मोबाइल फ़ोन नंबर का उपयोग 2FA के रूप में किया जा सकता है। लेकिन इस पद्धति का सुरक्षा स्तर उतना अच्छा नहीं है। उदाहरण के लिए, यदि मेलबॉक्स से छेड़छाड़ की जाती है या सिम कार्ड हाईजैक हो जाता है, या ईमेल और टेक्स्ट संदेश भेजने के लिए उपयोग की जाने वाली तृतीय-पक्ष सेवा हैक हो जाती है, तो प्लेटफ़ॉर्म द्वारा भेजा गया सत्यापन कोड भी सामने आ जाएगा।
वैज्ञानिक इंटरनेट सर्फिंग
नीतिगत कारणों से, आइए इस बारे में ज़्यादा बात न करें, बस प्रसिद्ध समाधानों में से एक चुनें। यदि आप अपना स्वयं का समाधान बना सकते हैं तो चीजें अधिक नियंत्रण में होंगी। आखिरकार, हमारा शुरुआती बिंदु वैज्ञानिक और सुरक्षित रूप से इंटरनेट पर सर्फ करना है।
यदि आप स्व-निर्मित समाधान का उपयोग नहीं कर रहे हैं, तो आप मानव-मध्य हमले की संभावना को पूरी तरह से खारिज नहीं कर सकते। जैसा कि पहले उल्लेख किया गया है, इंटरनेट सुरक्षा स्थिति उतनी बुरी नहीं है जितनी पहले हुआ करती थी, खासकर HTTPS एवरीवेयर नीति को बड़े पैमाने पर अपनाने के बाद। हालाँकि, कुछ शांति सिर्फ पानी की सतह हो सकती है, और सतह के नीचे पहले से ही अंतर्धाराएं मौजूद हैं जो आसानी से ध्यान देने योग्य नहीं हैं। सच कहूँ तो, मेरे पास वास्तव में इसके लिए कोई आशा की किरण नहीं है। अपना स्वयं का समाधान बनाना आसान नहीं है, लेकिन यह निश्चित रूप से इसके लायक है। और यदि आप नहीं कर सकते हैं, तो सुनिश्चित करें कि आप कई स्रोतों का उपयोग करके जांच करें और एक प्रतिष्ठित स्रोत चुनें जो लंबे समय से मौजूद है।
ईमेल
ईमेल हमारी वेब आधारित पहचान की आधारशिला है। हम बहुत सी सेवाओं के लिए साइन अप करने के लिए ईमेल का उपयोग करते हैं। हमारे द्वारा उपयोग की जाने वाली लगभग सभी ईमेल सेवाएँ निःशुल्क हैं। यह हवा की तरह लगता है, और आपको नहीं लगता कि यह गायब हो जाएगा। क्या होगा अगर एक दिन आपकी ईमेल सेवा ख़त्म हो जाए, तो उस पर निर्भर अन्य सभी सेवाएँ एक अजीब स्थिति में होंगी। यदि युद्ध, प्राकृतिक आपदाएँ आदि हों तो यह चरम स्थिति वास्तव में असंभव नहीं है। बेशक, यदि ये चरम स्थितियाँ घटित होती हैं, तो ईमेल आपके लिए जीवित रहने से कम महत्वपूर्ण नहीं होगा।
जब ईमेल सेवा प्रदाताओं की बात आती है, तो आपको जीमेल, आउटलुक, या क्यूक्यू ईमेल जैसे तकनीकी दिग्गजों में से चुनना चाहिए। ऐसा होता है कि मेरे पिछले सुरक्षा शोध इस क्षेत्र को कवर करते हैं। इन मेलबॉक्सों की सुरक्षा स्थिति काफी अच्छी है। लेकिन फिर भी आपको ईमेल फ़िशिंग हमलों से सावधान रहना होगा। आपको हर एक ईमेल, विशेष रूप से एम्बेडेड लिंक और अटैचमेंट से निपटने की ज़रूरत नहीं है, जहां ट्रोजन छिपे हो सकते हैं।
यदि आप अपने ईमेल सेवा प्रदाताओं पर अत्यधिक परिष्कृत हमले का सामना करते हैं, तो आप अकेले हैं।
इन तकनीकी दिग्गजों की ईमेल सेवाओं के अलावा, यदि आप गोपनीयता के बारे में बहुत चिंतित हैं, तो आप इन दो प्रसिद्ध गोपनीयता-अनुकूल ईमेल सेवाओं पर एक नज़र डाल सकते हैं: प्रोटोनमेल और टूटनोटा। मेरा सुझाव है कि इन निजी-अनुकूल मेलबॉक्सों को दैनिक उपयोग से अलग किया जाए, और उनका उपयोग केवल उन सेवाओं के लिए किया जाए जिनके लिए गोपनीयता पर विशेष ध्यान देने की आवश्यकता है। लंबे समय तक निष्क्रियता के कारण आपके खातों को निलंबित होने से बचाने के लिए आपको नियमित रूप से अपनी निःशुल्क ईमेल सेवाओं का उपयोग करने की भी आवश्यकता है।
सिम कार्ड
ईमेल की तरह सिम कार्ड और मोबाइल फोन नंबर भी कई मामलों में बहुत महत्वपूर्ण बुनियादी पहचान हैं। हाल के वर्षों में, हमारे देश के प्रमुख ऑपरेटरों ने मोबाइल फोन नंबरों की सुरक्षा में बहुत अच्छा काम किया है। उदाहरण के लिए, सिम कार्ड को रद्द करने और पुनः जारी करने के लिए सख्त सुरक्षा प्रोटोकॉल और सत्यापन प्रक्रियाएं हैं, और वे सभी साइट पर होती हैं। सिम कार्ड हमलों के विषय पर, मैं आपको एक उदाहरण देता हूँ:
2019.5 में, किसी के कॉइनबेस खाते को सिम पोर्ट अटैक (सिम कार्ड ट्रांसफर अटैक) का सामना करना पड़ा, और दुर्भाग्य से 100,000 अमेरिकी डॉलर से अधिक क्रिप्टोकरेंसी खो गई। हमले की प्रक्रिया मोटे तौर पर इस प्रकार है:
हमलावर ने सोशल इंजीनियरिंग और अन्य तरीकों के माध्यम से लक्ष्य उपयोगकर्ता की गोपनीयता जानकारी प्राप्त की, और मोबाइल फोन ऑपरेटर को उसे एक नया सिम कार्ड जारी करने के लिए धोखा दिया, और फिर उसने उसी मोबाइल फोन नंबर के माध्यम से लक्ष्य उपयोगकर्ता के कॉइनबेस खाते को आसानी से अपने कब्जे में ले लिया। सिम ट्रांसफर कर दिया गया है, जो काफी परेशानी भरा है। यदि आपका सिम कार्ड किसी हमलावर द्वारा स्थानांतरित कर दिया गया है तो यह बहुत परेशानी वाली बात है, क्योंकि आजकल, कई ऑनलाइन सेवाएँ हमारे मोबाइल फ़ोन नंबर को प्रत्यक्ष प्रमाणीकरण कारक या 2FA के रूप में उपयोग करती हैं। यह एक बहुत ही केंद्रीकृत प्रमाणीकरण तंत्र है, और मोबाइल फोन नंबर इसका कमजोर बिंदु बन जाता है।
विस्तृत विश्लेषण के लिए कृपया देखें:
इसके लिए बचाव सुझाव वास्तव में सरल है: एक प्रसिद्ध 2FA समाधान सक्षम करें।
सिम कार्ड का एक और जोखिम है: वह यह है कि यदि फोन खो जाता है या चोरी हो जाता है, तो यह शर्मनाक होगा कि बुरा आदमी सिम कार्ड निकाल सकता है और उसका उपयोग कर सकता है। मैंने यह किया है: सिम कार्ड पासवर्ड (पिन कोड) सक्षम करें, इसलिए हर बार जब मैं अपना फोन चालू करता हूं या किसी नए डिवाइस में अपना सिम कार्ड उपयोग करता हूं, तो मुझे सही पासवर्ड दर्ज करने की आवश्यकता होती है। कृपया विस्तृत तरीके के लिए Google से पूछें। यहां मेरी ओर से अनुस्मारक है: इस पासवर्ड को न भूलें, अन्यथा यह बहुत परेशानी भरा होगा।
जीपीजी
इस भाग की कई सामग्रियों का उल्लेख पिछले अनुभागों में किया गया है, और मैं यहां और अधिक बुनियादी अवधारणाओं को जोड़ना चाहूंगा।: कभी-कभी आपको पीजीपी, ओपनपीजीपी और जीपीजी जैसे समान दिखने वाले नाम मिलेंगे। बस उन्हें इस प्रकार अलग करें:
- पीजीपी, प्रिटी गुड प्राइवेसी का संक्षिप्त रूप, एक 30 साल पुराना वाणिज्यिक एन्क्रिप्शन सॉफ्टवेयर है जो अब सिमेंटेक की छत्रछाया में है।
- ओपनपीजीपी पीजीपी से प्राप्त एक एन्क्रिप्शन मानक है।
- GPG, पूरा नाम GnuPG है, OpenPGP मानक पर आधारित एक ओपन सोर्स एन्क्रिप्शन सॉफ्टवेयर है।
उनके कोर समान हैं, और जीपीजी के साथ आप दूसरों के साथ संगत हैं। यहां मैं फिर से दृढ़तापूर्वक अनुशंसा करता हूं: सुरक्षा एन्क्रिप्शन में, पहिये को फिर से आविष्कार करने का प्रयास न करें; जीपीजी, अगर सही तरीके से उपयोग किया जाए, तो सुरक्षा स्तर में काफी सुधार हो सकता है!
पृथक्करण
पृथक्करण के सुरक्षा सिद्धांत के पीछे मुख्य मूल्य शून्य विश्वास मानसिकता है। आपको यह समझना होगा कि हम चाहे कितने भी मजबूत क्यों न हों, देर-सबेर हमें हैक कर ही लिया जाएगा, भले ही यह बाहरी हैकर्स, अंदरूनी सूत्रों या खुद हमारे द्वारा हो। हैक होने पर स्टॉप लॉस पहला कदम होना चाहिए। नुकसान को रोकने की क्षमता को कई लोग नजरअंदाज कर देते हैं और यही कारण है कि वे बार-बार हैक हो जाते हैं। मूल कारण यह है कि कोई सुरक्षा डिज़ाइन नहीं है, विशेष रूप से अलगाव जैसे सीधे तरीके
एक अच्छा पृथक्करण अभ्यास यह सुनिश्चित कर सकता है कि सुरक्षा घटनाओं के मामले में, आप अन्य परिसंपत्तियों को प्रभावित किए बिना, केवल सीधे तौर पर समझौता किए गए लक्ष्य से संबंधित वस्तुओं को खो देंगे।
उदाहरण के लिए:
- यदि आपका पासवर्ड सुरक्षा अभ्यास अच्छा है, तो जब आपका कोई खाता हैक हो जाता है, तो वही पासवर्ड अन्य खातों से समझौता नहीं करेगा।
- यदि आपकी क्रिप्टोकरेंसी को स्मरणीय बीजों के एक सेट के तहत संग्रहीत नहीं किया गया है, तो यदि आप कभी भी जाल में फंसते हैं तो आप सब कुछ नहीं खोएंगे।
- यदि आपका कंप्यूटर संक्रमित है, तो सौभाग्य से यह केवल आकस्मिक गतिविधियों के लिए उपयोग किया जाने वाला कंप्यूटर है, और इसमें कुछ भी महत्वपूर्ण नहीं है, इसलिए आपको घबराने की ज़रूरत नहीं है, क्योंकि कंप्यूटर को पुनः इंस्टॉल करने से अधिकांश समस्याएं हल हो जाएंगी। यदि आप वर्चुअल मशीन का उपयोग करने में अच्छे हैं, तो चीजें और भी बेहतर हैं, क्योंकि आप केवल स्नैपशॉट को पुनर्स्थापित कर सकते हैं। अच्छे वर्चुअल मशीन टूल्स हैं: VMware, Parallels।
- संक्षेप में कहें तो, आपके पास कम से कम दो खाते, दो उपकरण, दो उपकरण आदि हो सकते हैं। इससे परिचित होने के बाद एक स्वतंत्र आभासी पहचान पूरी तरह से बनाना असंभव नहीं है।
मैंने पहले एक अधिक चरम राय का उल्लेख किया था: गोपनीयता की रक्षा करना हमारे लिए नहीं है, गोपनीयता को नियंत्रित किया जाना चाहिए।
इस दृष्टिकोण का कारण यह है कि: वर्तमान इंटरनेट परिवेश में, गोपनीयता वास्तव में गंभीर रूप से लीक हो गई है। सौभाग्य से, गोपनीयता संबंधी नियम हाल के वर्षों में अधिक व्यापक रूप से अपनाए गए हैं, और लोग अधिक से अधिक ध्यान दे रहे हैं। सचमुच सब कुछ सही दिशा में जा रहा है। लेकिन उससे पहले, किसी भी स्थिति में, जब आप मेरे द्वारा सूचीबद्ध ज्ञान बिंदुओं में महारत हासिल कर लेंगे, तो आप आसानी से अपनी गोपनीयता को नियंत्रित करने में सक्षम होंगे। इंटरनेट पर, यदि आप इसके आदी हैं, तो आपके पास कई आभासी पहचान हो सकती हैं जो एक-दूसरे से लगभग स्वतंत्र हैं।
मानव प्रकृति की सुरक्षा
मनुष्य हमेशा उच्चतम और शाश्वत जोखिम में रहता है। द थ्री-बॉडी प्रॉब्लम का एक उद्धरण है: "कमजोरी और अज्ञानता जीवित रहने में बाधा नहीं है, लेकिन अहंकार है।"
- अहंकारी न बनें: अगर आपको लगता है कि आप पहले से ही मजबूत हैं, तो आपको कोई दिक्कत नहीं है। पूरी दुनिया को हेय दृष्टि से मत देखो. विशेष रूप से, अत्यधिक गर्व न करें और सोचें कि आप वैश्विक हैकर्स को चुनौती दे सकते हैं। सीखने का कोई अंत नहीं है, और अभी भी कई बाधाएँ हैं।
- लालची न बनें: लालच वास्तव में कई मामलों में आगे बढ़ने की प्रेरणा है, लेकिन इस बारे में सोचें कि इतना अच्छा अवसर सिर्फ आपके लिए आरक्षित क्यों है?
- आवेगी मत बनो: आवेग वह शैतान है जो आपको जाल में फंसा देगा। जल्दबाज़ी में की गई कार्रवाई जुआ है.
मानव स्वभाव में बात करने के लिए अनगिनत चीज़ें हैं और आप इससे अधिक सावधान नहीं हो सकते। कृपया निम्नलिखित बिंदुओं पर विशेष ध्यान दें और देखें कि कैसे बुरे कलाकार विभिन्न सुविधाजनक प्लेटफार्मों का उपयोग करके मानव स्वभाव की कमजोरी का फायदा उठाते हैं।
तार
मैंने पहले भी कहा है कि टेलीग्राम सबसे बड़ा डार्क वेब है। मेरा कहना है कि लोग टेलीग्राम को उसकी सुरक्षा, स्थिरता और खुली डिज़ाइन सुविधाओं के लिए पसंद करते हैं। लेकिन टेलीग्राम की खुली संस्कृति बुरे लोगों को भी आकर्षित करती है: बड़ी संख्या में उपयोगकर्ता, उच्च अनुकूलन योग्य कार्यक्षमता, सभी प्रकार की बॉट सेवाओं को बनाने में काफी आसान। क्रिप्टोकरेंसी के साथ संयोजन में, वास्तविक व्यापारिक अनुभव टोर के उन डार्क वेब मार्केटप्लेस से कहीं आगे हैं। और इसमें बहुत सारी मछलियाँ हैं।
आम तौर पर, सोशल मीडिया खातों की विशिष्ट पहचान केवल उपयोगकर्ता नाम, उपयोगकर्ता आईडी जैसी कुछ होती है, लेकिन इन्हें बुरे कलाकारों द्वारा पूरी तरह से क्लोन किया जा सकता है। कुछ सामाजिक प्लेटफ़ॉर्म में खाता सत्यापन तंत्र होते हैं, जैसे नीला वी आइकन या कुछ और जोड़ना। सार्वजनिक सोशल मीडिया खातों को कुछ संकेतकों के माध्यम से मान्य किया जा सकता है, जैसे कि अनुयायियों की संख्या, पोस्ट की गई सामग्री, प्रशंसकों के साथ बातचीत आदि। गैर-सार्वजनिक सोशल मीडिया खाते थोड़े अधिक कठिन हैं। यह देखकर अच्छा लगा कि टेलीग्राम ने "हम एक साथ किन समूहों में हैं" फ़ंक्शन जारी किया।
जहां भी कमियां हैं जिनका फायदा उठाया जा सकता है और लाभ काफी है, बुरे लोगों का एक समूह पहले से ही वहां मौजूद होगा, यह मानव स्वभाव है।
परिणामस्वरूप, सोशल मीडिया प्लेटफ़ॉर्म फ़िशिंग जाल से भरे हुए हैं। उदाहरण के लिए: एक समूह चैट में, आधिकारिक ग्राहक सेवा जैसा दिखने वाला कोई व्यक्ति अचानक प्रकट हुआ और एक निजी चैट शुरू कर दी (कोई भी निजी चैट टेलीग्राम की सुविधा है, मित्र अनुरोध की कोई आवश्यकता नहीं है), और फिर क्लासिक रणनीति से बाहर हो गया स्पैम, मछली एक के बाद एक काटेगी।
या फिर हमलावर एक कदम आगे जाकर आपको दूसरे समूह में जोड़ सकते हैं। आपके द्वारा खरीदे गए सभी प्रतिभागी नकली हैं, लेकिन आपको यह बहुत यथार्थवादी लगता है। इस तकनीक को हम भूमिगत समाज में समूह क्लोनिंग कहते हैं।
ये मानव स्वभाव में हेरफेर करने के केवल बुनियादी तरीके हैं, उन्नत तकनीकों को कमजोरियों के साथ जोड़ दिया जाएगा और इस प्रकार इसे रोकना अधिक कठिन होगा।
कलह
डिस्कॉर्ड एक नया और लोकप्रिय सोशल प्लेटफॉर्म/आईएम सॉफ्टवेयर है जिसे पिछले दो वर्षों में विकसित किया गया है। मुख्य कार्य सामुदायिक सर्वर है (पारंपरिक सर्वर की अवधारणा नहीं), जैसा कि आधिकारिक बयान में कहा गया है:
डिस्कॉर्ड एक मुफ़्त वॉयस, वीडियो और टेक्स्ट चैट ऐप है जिसका उपयोग 13+ आयु वर्ग के लाखों लोग अपने समुदायों और दोस्तों के साथ बात करने और घूमने के लिए करते हैं।
लोग कला परियोजनाओं और पारिवारिक यात्राओं से लेकर होमवर्क और मानसिक स्वास्थ्य सहायता तक कई चीजों के बारे में बात करने के लिए रोजाना डिस्कॉर्ड का उपयोग करते हैं। यह किसी भी आकार के समुदायों के लिए एक घर है, लेकिन इसका सबसे अधिक उपयोग छोटे और सक्रिय लोगों के समूहों द्वारा किया जाता है जो नियमित रूप से बात करते हैं।
यह बहुत अच्छा दिखता है लेकिन इसके लिए काफी मजबूत सुरक्षा डिज़ाइन मानक की आवश्यकता होती है। डिस्कॉर्ड के विशिष्ट सुरक्षा नियम और नीतियां हैं:
दुर्भाग्य से, अधिकांश लोग इसे ध्यान से पढ़ने की जहमत नहीं उठाएंगे। इसके अलावा, डिस्कॉर्ड हमेशा कुछ मुख्य सुरक्षा मुद्दों को स्पष्ट रूप से चित्रित करने में सक्षम नहीं होगा, क्योंकि उन्हें एक हमलावर की टोपी पहननी होगी जो हमेशा संभव नहीं है।
उदाहरण के लिए:
डिस्कॉर्ड पर इतनी सारी एनएफटी चोरियों के साथ, हमले के प्रमुख तरीके क्या हैं? इससे पहले कि हम इसका पता लगाएं, डिस्कॉर्ड सुरक्षा सलाह बेकार है।
कई प्रोजेक्ट डिस्कॉर्डहैक्स के पीछे मुख्य कारण वास्तव में डिस्कॉर्ड टोकन है, जो HTTP अनुरोध हेडर में प्राधिकरण फ़ील्ड की सामग्री है। यह बहुत लंबे समय से डिस्कोर्ड में मौजूद है। हैकर्स के लिए, यदि वे इस डिस्कॉर्ड टोकन को प्राप्त करने का कोई तरीका ढूंढ सकते हैं, तो वे लक्ष्य डिस्कॉर्ड सर्वर के सभी विशेषाधिकारों को लगभग नियंत्रित कर सकते हैं। कहने का तात्पर्य यह है कि, यदि लक्ष्य कोई व्यवस्थापक है, प्रशासनिक विशेषाधिकार वाला खाता है या डिस्कॉर्ड बॉट है, तो हैकर्स जो चाहें कर सकते हैं। उदाहरण के लिए, एनएफटी फ़िशिंग साइट की घोषणा करके, वे लोगों को यह सोचने पर मजबूर कर देते हैं कि यह आधिकारिक घोषणा है, और मछली फँस जाएगी।
कुछ लोग पूछ सकते हैं कि यदि मैं अपने डिस्कॉर्ड खाते में दो-कारक प्रमाणीकरण (2FA) जोड़ दूं तो क्या होगा? बिल्कुल एक अच्छी आदत! लेकिन डिस्कॉर्ड टोकन का आपके खाते की 2FA स्थिति से कोई लेना-देना नहीं है। एक बार जब आपके खाते का उल्लंघन हो जाता है, तो आपको मूल डिस्कॉर्ड टोकन को अमान्य करने के लिए तुरंत अपना डिस्कॉर्ड पासवर्ड बदलना चाहिए।
इस सवाल के लिए कि हैकर डिस्कोर्ड टोकन कैसे प्राप्त कर सकता है, हमने कम से कम तीन प्रमुख तकनीकों का पता लगाया है, और हम भविष्य में इसे विस्तार से समझाने की कोशिश करेंगे। सामान्य उपयोगकर्ताओं के लिए, बहुत कुछ किया जा सकता है, लेकिन मुख्य बिंदु हैं: जल्दबाजी न करें, लालची न बनें, और कई स्रोतों से सत्यापित करें।
"आधिकारिक" फ़िशिंग
बुरे अभिनेता भूमिका निभाने, विशेषकर आधिकारिक भूमिका का लाभ उठाने में अच्छे होते हैं। उदाहरण के लिए हमने पहले नकली ग्राहक सेवा पद्धति का उल्लेख किया है। इसके अलावा, अप्रैल 2022 में, प्रसिद्ध हार्डवेयर वॉलेट ट्रेज़ोर के कई उपयोगकर्ताओं को trezor.us से फ़िशिंग ईमेल प्राप्त हुए, जो आधिकारिक ट्रेज़ोर डोमेन trezor.io नहीं है। डोमेन नाम प्रत्यय में मामूली अंतर है। इसके अलावा, निम्नलिखित डोमेन भी फ़िशिंग ईमेल के माध्यम से फैलाए गए थे।
इस डोमेन नाम में एक "हाइलाइट स्पॉट" है, इसमें अक्षर ẹ को ध्यान से देखें, और आप पाएंगे कि यह अक्षर ई नहीं है। भ्रमित करने वाला? यह वास्तव में पुनीकोड है, मानक विवरण इस प्रकार है:
अनुप्रयोगों में अंतर्राष्ट्रीयकृत डोमेन नामों के लिए यूनिकोड का बूटस्ट्रिंग एन्कोडिंग (आईडीएनए) एक अंतर्राष्ट्रीय डोमेन नाम एन्कोडिंग है जो यूनिकोड और एएससीआईआई कोड दोनों में वर्णों के सीमित सेट का प्रतिनिधित्व करता है।
यदि कोई ट्रैज़ोर को डिकोड करता है, तो यह इस तरह दिखता है: xn-trzor-o51b, जो वास्तविक डोमेन नाम है!
हैकर्स वर्षों से फ़िशिंग के लिए पुनीकोड का उपयोग कर रहे हैं, 2018 में, कुछ बिनेंस उपयोगकर्ताओं को उसी चाल से समझौता किया गया था।
इस प्रकार की फ़िशिंग साइटें पहले से ही कई लोगों को धोखा दे सकती हैं, उन अधिक उन्नत हमलों का उल्लेख नहीं करना चाहिए जैसे कि आधिकारिक मेलबॉक्स का नियंत्रित होना, या एसपीएफ़ कॉन्फ़िगरेशन समस्याओं के कारण होने वाले मेल जालसाजी हमले। परिणामस्वरूप, ईमेल का स्रोत बिल्कुल आधिकारिक जैसा ही दिखता है।
यदि यह एक दुष्ट अंदरूनी सूत्र है, तो उपयोगकर्ता कुछ नहीं कर सकता। परियोजना टीमों को अंदरूनी खतरों को रोकने के लिए बहुत प्रयास करना चाहिए। अंदरूनी लोग सबसे बड़े ट्रोजन हॉर्स हैं, लेकिन उन्हें अक्सर उपेक्षित कर दिया जाता है।
Web3 गोपनीयता मुद्दे
Web3 की बढ़ती लोकप्रियता के साथ, अधिक से अधिक दिलचस्प या उबाऊ परियोजनाएं सामने आईं: जैसे सभी प्रकार के Web3 बुनियादी ढांचे, सामाजिक प्लेटफ़ॉर्म इत्यादि। उनमें से कुछ ने बड़े पैमाने पर डेटा विश्लेषण किया है और न केवल ब्लॉकचेन पर, बल्कि लक्ष्यों के विभिन्न व्यवहारिक चित्रों की पहचान की है। पक्ष, लेकिन प्रसिद्ध Web2 प्लेटफ़ॉर्म पर भी। एक बार जब चित्र सामने आ जाता है, तो लक्ष्य मूल रूप से एक पारदर्शी व्यक्ति होता है। और Web3 सोशल प्लेटफ़ॉर्म की उपस्थिति भी ऐसे गोपनीयता मुद्दों को बढ़ा सकती है।
इसके बारे में सोचें, जब आप इन सभी Web3-संबंधित चीजों, जैसे हस्ताक्षर बाइंडिंग, ऑन चेन इंटरैक्शन इत्यादि के साथ खेलते हैं, तो क्या आप अपनी गोपनीयता को अधिक खो रहे हैं? बहुत से लोग सहमत नहीं हो सकते हैं, लेकिन जैसे-जैसे कई टुकड़े एक साथ आएंगे, एक अधिक सटीक और व्यापक तस्वीर होगी: आप कौन से एनएफटी एकत्र करना पसंद करते हैं, आप किन समुदायों में शामिल हुए हैं, आप किस श्वेतसूची में हैं, आप किसके साथ जुड़े हुए हैं, कौन से वेब2 खाते हैं आप बाध्य हैं, आप किस समय अवधि में सक्रिय हैं, इत्यादि। देखिए, ब्लॉकचेन कभी-कभी गोपनीयता को बदतर बना देती है। यदि आप गोपनीयता की परवाह करते हैं, तो आपको नई उभरती हर चीज़ से सावधान रहना होगा और अपनी पहचान अलग करने की अच्छी आदत रखनी होगी।
इस बिंदु पर, यदि निजी कुंजी गलती से चोरी हो जाती है, तो नुकसान केवल पैसे जितना आसान नहीं है, बल्कि सभी सावधानीपूर्वक बनाए गए वेब 3 अधिकारों और हितों का नुकसान है। हम अक्सर कहते हैं कि निजी कुंजी ही पहचान है, और अब आपके सामने वास्तविक आईडी समस्या है।
कभी भी मानव स्वभाव का परीक्षण न करें।
ब्लॉकचेन शेनानिगन्स
ब्लॉकचेन तकनीक ने एक बिल्कुल नया उद्योग बनाया। चाहे आप इसे ब्लॉकफाई, डेफी, क्रिप्टोकरेंसी, वर्चुअल करेंसी, डिजिटल करेंसी, वेब3 आदि कहें, हर चीज का मूल अभी भी ब्लॉकचेन ही है। अधिकांश प्रचार वित्तीय गतिविधियों पर केंद्रित है, जैसे क्रिप्टो संपत्ति, जिसमें अपूरणीय टोकन (या एनएफटी, डिजिटल संग्रहणीय) शामिल हैं।
ब्लॉकचेन उद्योग अत्यधिक गतिशील और आकर्षक है, लेकिन बुराई करने के बहुत सारे तरीके हैं। ब्लॉकचेन की विशेष विशेषताएं कुछ अनोखी बुराइयों को जन्म देती हैं, जिनमें क्रिप्टो चोरी, क्रिप्टोजैकिंग, रैंसमवेयर, डार्क वेब ट्रेडिंग, सी2 अटैक, मनी लॉन्ड्रिंग, पोंजी स्कीम, जुआ आदि शामिल हैं और इन्हीं तक सीमित नहीं हैं। मैंने 2019 में एक माइंड मैप बनाया था। संदर्भ के लिए।
https://github.com/slowmist/Knowledge-Base/blob/master/mindmaps/evil_blockchain.png
इस बीच, स्लोमिस्ट टीम स्लोमिस्ट हैक्ड का रखरखाव और अद्यतन कर रही है - जो ब्लॉकचेन से संबंधित हैकिंग गतिविधियों के लिए एक बढ़ता हुआ डेटाबेस है।
इस पुस्तिका में कई सुरक्षा उपाय पेश किए गए हैं, और यदि आप उन्हें अपनी सुरक्षा के लिए लागू कर सकते हैं, तो बधाई। मैं ब्लॉकचेन चालों के बारे में अधिक विस्तार से नहीं बताऊंगा। यदि आप रुचि रखते हैं, तो आप इसे स्वयं सीख सकते हैं, जो निश्चित रूप से एक अच्छी बात है, खासकर जब से नए घोटाले और धोखाधड़ी लगातार विकसित हो रहे हैं। जितना अधिक आप सीखेंगे, उतना बेहतर आप अपना बचाव कर सकेंगे और इस उद्योग को बेहतर बना सकेंगे।
जब आप हैक हो जाएं तो क्या करें
इससे पहले कि आप अंततः हैक हो जाएं, यह केवल समय की बात है। तो फिर क्या करें? मैं सीधे पीछा करने के लिए कट जाऊंगा। निम्नलिखित चरण आवश्यक रूप से क्रम में नहीं हैं; ऐसे समय होते हैं जब आपको आगे-पीछे जाना पड़ता है, लेकिन सामान्य विचार यह है।
सबसे पहले हानि रोकें
स्टॉप लॉस आपके नुकसान को सीमित करने के बारे में है। इसे कम से कम दो चरणों में तोड़ा जा सकता है।
- तत्काल कार्रवाई चरण. तुरंत कार्रवाई करें! यदि आप देखते हैं कि हैकर्स आपकी संपत्तियों को स्थानांतरित कर रहे हैं, तो अधिक मत सोचिए। बस जल्दी करें और शेष संपत्ति को सुरक्षित स्थान पर स्थानांतरित करें। यदि आपके पास फ्रंट रनिंग ट्रेडों का अनुभव है, तो बस पकड़ें और दौड़ें। संपत्ति के प्रकार के आधार पर, यदि आप ब्लॉकचेन पर अपनी संपत्ति को फ्रीज कर सकते हैं, तो इसे जितनी जल्दी हो सके करें; यदि आप ऑन-चेन विश्लेषण कर सकते हैं और पा सकते हैं कि आपकी संपत्ति एक केंद्रीकृत एक्सचेंज में स्थानांतरित हो गई है, तो आप उनके जोखिम नियंत्रण विभाग से संपर्क कर सकते हैं।
- कार्रवाई के बाद का चरण. एक बार स्थिति स्थिर हो जाने पर, आपका ध्यान यह सुनिश्चित करने पर होना चाहिए कि द्वितीयक या तृतीयक हमले न हों।
दृश्य को सुरक्षित रखें
जब आपको लगे कि कुछ गलत है, तो शांत रहें और गहरी सांस लें। दृश्य की सुरक्षा करना याद रखें. यहां कुछ सुझाव दिए गए हैं:
- यदि दुर्घटना कंप्यूटर, सर्वर या इंटरनेट से जुड़े अन्य उपकरणों पर होती है, तो उपकरणों को बिजली की आपूर्ति चालू रखते हुए तुरंत नेटवर्क काट दें। कुछ लोग दावा कर सकते हैं कि यदि यह एक विनाशकारी वायरस है, तो स्थानीय सिस्टम फ़ाइलें वायरस द्वारा नष्ट कर दी जाएंगी। वे सही हैं, हालाँकि शटडाउन करने से केवल तभी मदद मिलती है जब आप वायरस की तुलना में तेज़ी से प्रतिक्रिया कर सकते हैं…
- जब तक आप स्वयं इसे संभालने में सक्षम नहीं हैं, विश्लेषण के लिए सुरक्षा पेशेवरों के आने की प्रतीक्षा करना हमेशा बेहतर विकल्प होता है।
यह वास्तव में महत्वपूर्ण है क्योंकि हमने कई बार देखा है कि जब तक हम विश्लेषण करने के लिए आगे बढ़े, तब तक दृश्य पहले से ही अस्त-व्यस्त था। और ऐसे मामले भी थे जब मुख्य साक्ष्य (जैसे लॉग, वायरस फ़ाइलें) साफ़ कर दिए गए प्रतीत हुए। अच्छी तरह से संरक्षित अपराध स्थल के बिना, यह बाद के विश्लेषण और ट्रेसिंग के लिए बेहद विघटनकारी हो सकता है।
मूल कारण विश्लेषण
कारण का विश्लेषण करने का उद्देश्य प्रतिद्वंद्वी को समझना और हैकर का चित्र प्रस्तुत करना है। इस बिंदु पर घटना रिपोर्ट बहुत महत्वपूर्ण है, जिसे पोस्टमार्टम रिपोर्ट भी कहा जाता है। घटना रिपोर्ट और पोस्टमार्टम रिपोर्ट एक ही बात बताती है।
हम ऐसे बहुत से लोगों से मिले हैं जो अपने सिक्के चोरी हो जाने के बाद मदद के लिए हमारे पास आए थे, और उनमें से कई लोगों के लिए यह स्पष्ट रूप से बताना बहुत मुश्किल था कि क्या हुआ था। उनके लिए घटना की स्पष्ट रिपोर्ट तैयार करना और भी कठिन है। लेकिन मुझे लगता है कि इसका अभ्यास किया जा सकता है और उदाहरणों का हवाला देकर यह मददगार होगा। निम्नलिखित एक अच्छा आरंभिक बिंदु हो सकता है:
- सारांश 1: इसमें कौन शामिल था, यह कब हुआ, क्या हुआ और कुल कितना नुकसान हुआ?
- सारांश 2: हानि से संबंधित वॉलेट पते, हैकर का वॉलेट पता, सिक्के का प्रकार, सिक्के की मात्रा। केवल एक तालिका की सहायता से यह अधिक स्पष्ट हो सकता है।
- प्रक्रिया विवरण: यह भाग सबसे कठिन है। आपको घटना के सभी पहलुओं का सभी विवरणों के साथ वर्णन करना होगा, जो हैकर से संबंधित विभिन्न प्रकार के निशानों का विश्लेषण करने और अंततः उनसे हैकर का चित्र (प्रेरणा सहित) प्राप्त करने के लिए उपयोगी है।
जब विशेष मामलों की बात आती है, तो टेम्पलेट अधिक जटिल होगा। कभी-कभी मानव स्मृति भी अविश्वसनीय हो सकती है, और यहां तक कि महत्वपूर्ण जानकारी को जानबूझकर छुपाया जाता है जिससे समय बर्बाद हो सकता है या समय में देरी हो सकती है। इसलिए व्यवहार में, बहुत बड़ी खपत होगी और हमें काम को अच्छी तरह से निर्देशित करने के लिए अपने अनुभव का उपयोग करने की आवश्यकता है। अंत में हम उस व्यक्ति या टीम के साथ एक घटना रिपोर्ट तैयार करते हैं जिसने सिक्के खो दिए हैं, और इस घटना रिपोर्ट को अद्यतन रखना जारी रखते हैं।
स्रोत अनुरेखण
रोक्का के नियम के अनुसार, जहां आक्रमण होता है, वहां निशान होता है। यदि हम पर्याप्त जांच करें तो हमें हमेशा कुछ सुराग मिलेंगे। जांच की प्रक्रिया वास्तव में फोरेंसिक विश्लेषण और स्रोत का पता लगाना है। हम फोरेंसिक विश्लेषण से हैकर के चित्र के अनुसार स्रोतों का पता लगाएंगे, और इसे लगातार समृद्ध करेंगे, जो एक गतिशील और पुनरावृत्त प्रक्रिया है।
स्रोत अनुरेखण में दो मुख्य भाग होते हैं:
- ऑन-चेन इंटेलिजेंस. हम वॉलेट पते की संपत्ति गतिविधियों का विश्लेषण करते हैं, जैसे कि केंद्रीकृत एक्सचेंजों, सिक्का मिक्सर आदि में जाना, इसकी निगरानी करना और नए हस्तांतरण के अलर्ट प्राप्त करना।
- ऑफ-चेन इंटेलिजेंस: यह भाग हैकर के आईपी, डिवाइस की जानकारी, ईमेल पते और व्यवहार संबंधी जानकारी सहित इन संबंधित बिंदुओं के सहसंबंध से अधिक जानकारी को कवर करता है।
इस जानकारी के आधार पर स्रोत का पता लगाने का बहुत काम किया जा रहा है, और इसमें कानून प्रवर्तन की भागीदारी की भी आवश्यकता होगी।
मामलों का निष्कर्ष
बेशक हम सभी एक सुखद अंत चाहते हैं, और यहां सार्वजनिक रूप से प्रकट की गई घटनाओं के कुछ उदाहरण दिए गए हैं जिनमें हम शामिल हैं जिनके अच्छे परिणाम हैं:
- Lendf.Me, मूल्य $25 मिलियन
- एसआईएल फाइनेंस, मूल्य $12.15 मिलियन
- पॉली नेटवर्क, मूल्य $610 मिलियन
हमने कई अन्य अप्रकाशित मामलों का अनुभव किया है जिनका परिणाम अच्छे या ठीक-ठाक रहा। हालाँकि उनमें से अधिकांश का अंत ख़राब था, जो काफी दुर्भाग्यपूर्ण है। हमने इन प्रक्रियाओं में बहुत सारे मूल्यवान अनुभव प्राप्त किए हैं और हम भविष्य में अच्छे अंत के अनुपात को बढ़ाने की उम्मीद करते हैं।
इस भाग का संक्षेप में ऊपर उल्लेख किया गया है। इस क्षेत्र से संबंधित भारी मात्रा में ज्ञान मौजूद है और मैं इसमें से कुछ से पूरी तरह परिचित नहीं हूं। इस प्रकार, मैं यहां कोई विस्तृत विवरण नहीं देने जा रहा हूं। परिदृश्य के आधार पर, हमें जिन क्षमताओं में महारत हासिल करने की आवश्यकता है वे हैं:
- स्मार्ट अनुबंध सुरक्षा विश्लेषण और फोरेंसिक
- ऑन-चेन फंड ट्रांसफर का विश्लेषण और फोरेंसिक
- वेब सुरक्षा विश्लेषण और फोरेंसिक
- लिनक्स सर्वर सुरक्षा विश्लेषण और फोरेंसिक
- विंडोज़ सुरक्षा विश्लेषण और फोरेंसिक
- macOS सुरक्षा विश्लेषण और फोरेंसिक
- मोबाइल सुरक्षा विश्लेषण और फोरेंसिक
- दुर्भावनापूर्ण कोड विश्लेषण और फोरेंसिक
- नेटवर्क उपकरणों या प्लेटफार्मों का सुरक्षा विश्लेषण और फोरेंसिक
- अंदरूनी सुरक्षा विश्लेषण और फोरेंसिक
- …
इसमें सुरक्षा के लगभग हर पहलू को शामिल किया गया है और इस हैंडबुक में भी ऐसा ही है। हालाँकि, उन सुरक्षा बिंदुओं का यहाँ केवल परिचयात्मक मार्गदर्शिका के रूप में संक्षेप में उल्लेख किया गया है।
ग़लतफ़हमी
शुरुआत से ही, यह पुस्तिका आपको संशयवादी बने रहने के लिए कहती है! इसमें यहां उल्लिखित सभी चीजें शामिल हैं। यह एक अत्यंत जीवंत और आशाजनक उद्योग है, जो सभी प्रकार के जालों और अराजकता से भरा है। आइए यहां कुछ गलतफहमियों पर नजर डालते हैं, जिन्हें अगर सच मान लिया जाए तो आप आसानी से जाल में फंस सकते हैं और अराजकता का हिस्सा बन सकते हैं।
कोड कानून है
कोड कानून है. हालाँकि, जब कोई परियोजना (विशेष रूप से स्मार्ट अनुबंध से संबंधित) हैक हो जाती है या खराब हो जाती है, तो कोई भी पीड़ित कभी भी "कोड इज़ लॉ" की इच्छा नहीं करेगा, और यह पता चलता है कि उन्हें अभी भी वास्तविक दुनिया में कानून पर भरोसा करने की आवश्यकता है।
आपकी चाबियाँ नहीं, आपके सिक्के नहीं
यदि आपके पास अपनी चाबियाँ नहीं हैं, तो आपके पास अपने सिक्के भी नहीं हैं। वास्तव में, कई उपयोगकर्ता अपनी निजी कुंजियों को ठीक से प्रबंधित करने में विफल रहे। विभिन्न सुरक्षा गलतप्रथाओं के कारण वे अपनी क्रिप्टो संपत्ति भी खो देते हैं। कभी-कभी आप पाएंगे कि अपनी क्रिप्टो संपत्ति को बड़े और प्रतिष्ठित प्लेटफॉर्म पर रखना वास्तव में अधिक सुरक्षित है।
ब्लॉकचेन में हम भरोसा करते हैं
हमें इस पर भरोसा है क्योंकि यह ब्लॉकचेन है। वास्तव में, ब्लॉकचेन में स्वयं कई मूलभूत विश्वास मुद्दों को हल करने की क्षमता है, क्योंकि यह छेड़छाड़-प्रूफ, सेंसरशिप-प्रतिरोधी, आदि है; यदि मेरी संपत्ति और संबंधित गतिविधियां श्रृंखला पर हैं, तो मैं डिफ़ॉल्ट रूप से भरोसा कर सकता हूं कि कोई भी मेरी संपत्ति को छीन नहीं पाएगा या प्राधिकरण के बिना मेरी गतिविधि के साथ छेड़छाड़ नहीं कर पाएगा। हालाँकि वास्तविकता अक्सर कठोर होती है, सबसे पहले, प्रत्येक ब्लॉकचेन इन मूलभूत बिंदुओं को प्राप्त करने में सक्षम नहीं होता है, और दूसरी बात, मानव स्वभाव हमेशा सबसे कमजोर कड़ी बन जाता है। आजकल कई हैकिंग तकनीकें हममें से अधिकांश की कल्पना से परे हैं। हालाँकि हम हमेशा कहते हैं कि हमला और बचाव लागत और प्रभाव के बीच संतुलन है, जब आपके पास कोई बड़ी संपत्ति नहीं होती है तो कोई भी हैकर आपको निशाना बनाने में समय बर्बाद नहीं करेगा। लेकिन जब आपके जैसे कई लक्ष्य हों, तो हैकर्स के लिए हमला शुरू करना बहुत लाभदायक होगा।
मेरी सुरक्षा सलाह बहुत सरल है: डिफ़ॉल्ट रूप से अविश्वास करें (यानी, डिफ़ॉल्ट रूप से हर चीज़ पर सवाल उठाएं), और निरंतर सत्यापन करें। सत्यापित करना यहां मुख्य सुरक्षा कार्रवाई है, और निरंतर सत्यापन का मूल रूप से मतलब है कि सुरक्षा कभी भी स्थिर स्थिति में नहीं होती है, यह अभी सुरक्षित है इसका मतलब यह नहीं है कि यह कल सुरक्षित होगी। ठीक से सत्यापित करने की क्षमता हम सभी के लिए सबसे बड़ी चुनौती है, लेकिन यह काफी दिलचस्प है, क्योंकि इस प्रक्रिया में आपको बहुत सारा ज्ञान प्राप्त होगा। जब आप काफी मजबूत होते हैं तो कोई भी आपको आसानी से नुकसान नहीं पहुंचा सकता।
क्रिप्टोग्राफ़िक सुरक्षा सुरक्षा है
क्रिप्टोग्राफी शक्तिशाली और महत्वपूर्ण है. क्रिप्टोग्राफरों की कड़ी मेहनत, सभी ठोस क्रिप्टोग्राफ़िक एल्गोरिदम और इंजीनियरिंग कार्यान्वयन के बिना, कोई आधुनिक संचार तकनीक, इंटरनेट या ब्लॉकचेन तकनीक नहीं होगी। हालाँकि, कुछ व्यक्ति क्रिप्टोग्राफ़िक सुरक्षा को पूर्ण सुरक्षा मानते हैं। और इस प्रकार कई अजीब प्रश्न उठते हैं:
क्या ब्लॉकचेन इतना सुरक्षित नहीं है, कि एक निजी कुंजी को तोड़ने में खरबों साल लग गए? एफबीआई डार्क वेब बिटकॉइन को कैसे डिक्रिप्ट कर सकती है? जय चाउ का एनएफटी चोरी क्यों हो सकता है?
मैं इन नौसिखिए सवालों को सहन कर सकता हूं... जो मैं सहन नहीं कर सकता वह यह तथ्य है कि कई तथाकथित सुरक्षा पेशेवर जनता को बेवकूफ बनाने के लिए क्रिप्टोग्राफ़िक सुरक्षा अवधारणाओं का उपयोग करते हैं, वे सैन्य-ग्रेड एन्क्रिप्शन, दुनिया का सबसे अच्छा एन्क्रिप्शन, कॉस्मिक जैसे शब्दों का उल्लेख कर रहे हैं -स्तरीय एन्क्रिप्शन, पूर्ण सिस्टम सुरक्षा, अनहैकबिलिटी, आदि।
हैकर्स? वे परवाह नहीं करते...
क्या हैक किया जाना अपमानजनक है?
यह सच है कि हैक होने से मिश्रित भावनाएँ आ सकती हैं, और कभी-कभी शर्म की भावना भी होगी। लेकिन आपको यह समझने की आवश्यकता है कि हैक होने की लगभग 100% गारंटी है, इसलिए इसमें शर्मिंदा होने की कोई बात नहीं है।
एक बार हैक हो जाने के बाद, इससे कोई फर्क नहीं पड़ता कि आप केवल अपने लिए ज़िम्मेदार हैं। हालाँकि, यदि आप कई अन्य लोगों के लिए जिम्मेदार हैं, तो आपको घटना से निपटते समय पारदर्शी और खुला रहना होगा।
हालाँकि लोग आप पर सवाल उठा सकते हैं या स्वयं हैक करने का आरोप भी लगा सकते हैं, एक पारदर्शी और खुली अद्यतन प्रक्रिया हमेशा अच्छी किस्मत और समझ लाएगी।
इसे इस तरह से सोचें: यदि आपका प्रोजेक्ट प्रसिद्ध नहीं है, तो कोई भी आपको हैक नहीं करेगा। शर्मिंदगी को हैक नहीं किया जा रहा है; शर्म की बात है आपका अहंकार.
संभाव्यता के दृष्टिकोण से, हैक होना एक सामान्य घटना है, आम तौर पर, अधिकांश सुरक्षा समस्याएं सिर्फ छोटी समस्याएं होती हैं, जो आपके प्रोजेक्ट को बढ़ने में मदद कर सकती हैं। हालाँकि, गंभीर बड़ी समस्याओं से अभी भी यथासंभव बचना होगा।
तुरंत अपडेट करें
यह पुस्तिका कई बार अद्यतनीकरण पर ध्यान देने का सुझाव देती है। यदि कोई सुरक्षा अद्यतन उपलब्ध है, तो उसे तुरंत लागू करें। अब ध्यान से सोचिए, क्या यह कोई चांदी की गोली है?
दरअसल, ज्यादातर मामलों में, "अभी अपडेट करें" करना सही काम है। हालाँकि, इतिहास में कई बार ऐसा हुआ है जब कोई अपडेट एक समस्या का समाधान करता है लेकिन दूसरी समस्या पेश करता है। एक उदाहरण iPhone और Google प्रमाणक है:
नए iOS 15 अपडेट का जोखिम है, यानी iPhone अपग्रेड के बाद Google Authenticator में जानकारी मिटाई जा सकती है या दोगुनी हो सकती है। इस मामले में, यदि आप पाते हैं कि डुप्लिकेट प्रविष्टियाँ दोगुनी हो गई हैं, तो उन्हें कभी न हटाएँ, क्योंकि इससे दोबारा खोलने के बाद Google प्रमाणक में सभी जानकारी नष्ट हो सकती है।
उन लोगों के लिए जिन्होंने iOS 15 सिस्टम में अपग्रेड नहीं किया है और Google प्रमाणक का उपयोग कर रहे हैं, अपग्रेड करने से पहले इसका बैकअप लेने की अत्यधिक अनुशंसा की जाती है।
बाद में गूगल ने इस समस्या का स्थायी समाधान करते हुए ऑथेंटिकेटर ऐप को अपडेट कर दिया है।
इसके अलावा, मैं वॉलेट को बार-बार अपडेट करने की अनुशंसा नहीं करता, खासकर परिसंपत्ति-भारी वॉलेट के लिए, जब तक कि कोई प्रमुख सुरक्षा पैच न हो, या कोई बहुत महत्वपूर्ण सुविधा न हो जो अपरिहार्य अपडेट की ओर ले जाती है। किन मामलों में आपको अपना जोखिम मूल्यांकन स्वयं करना होगा और अपना निर्णय स्वयं लेना होगा।
निष्कर्ष
स्मरण करें कि यह पुस्तिका इस चित्र से शुरू होती है 🙂
क्या आपने देखा है कि मैंने चित्र में व्यक्ति को लाल रंग से चिह्नित किया है?, मैं हर किसी को फिर से याद दिलाने के लिए ऐसा करता हूं कि मनुष्य सभी की नींव है (ब्रह्मांड विज्ञान में इसे "मानव सिद्धांत" कहा जाता है)। इससे कोई फर्क नहीं पड़ता कि यह मानव स्वभाव की सुरक्षा है, या सुरक्षा कौशल में महारत हासिल करने की क्षमता है, यह सब आप पर निर्भर करता है। हां, जब आप काफी मजबूत होंगे तो कोई भी आपको आसानी से नुकसान नहीं पहुंचा सकता।
मैंने आरेख के आधार पर विस्तार करना शुरू किया, और तीन प्रक्रियाओं में कई सुरक्षा प्रमुख बिंदुओं को समझाया, वॉलेट बनाना, वॉलेट का बैकअप लेना और वॉलेट का उपयोग करना। फिर मैंने पारंपरिक गोपनीयता सुरक्षा की शुरुआत की। मैंने कहा कि ऐसे पारंपरिक ब्लॉकचेन पारिस्थितिकी तंत्र में सुरक्षित रहने के लिए हमारे लिए आधारशिला और बिल्डिंग ब्लॉक हैं। मानव प्रकृति सुरक्षा भाग को अतिरंजित नहीं किया जा सकता है। बुराई करने के विभिन्न तरीकों के बारे में अधिक समझना अच्छा है, खासकर यदि आप कुछ गड्ढों में कदम रखते हैं, तो कागज पर सुरक्षा जागरूकता अंततः आपका सुरक्षा अनुभव बन सकती है। कोई पूर्ण सुरक्षा नहीं है, इसलिए मैंने समझाया कि हैक होने पर क्या करना चाहिए। मैं नहीं चाहता कि आपके साथ कोई दुर्भाग्यपूर्ण घटना घटे, लेकिन अगर ऐसा होता है, तो मुझे उम्मीद है कि यह पुस्तिका आपकी मदद कर सकती है। आखिरी बात है कुछ गलतफहमियों के बारे में बात करना. मेरा इरादा बहुत सरल है, मुझे आशा है कि आप अपनी आलोचनात्मक सोच विकसित कर सकते हैं, क्योंकि दुनिया सुंदर और भयानक दोनों है।
काफी समय से मैंने इतने शब्द नहीं लिखे हैं. मुझे लगता है कि आखिरी बार 10 साल पहले था जब मैंने किताब लिखी थी "वेब 前端黑客技术揭秘“. यह काफी कड़वा-मीठा था. वेब सुरक्षा के साथ-साथ साइबर सुरक्षा में कई वर्षों के बाद, मैंने एक साइबरस्पेस खोज इंजन ZoomEye बनाने के लिए एक टीम का नेतृत्व किया। साइबर सुरक्षा के अंतर्गत, मैंने कई क्षेत्रों में हाथ आजमाया है, जिनमें से केवल कुछ में ही मैं कह सकता हूं कि मैं कुशल हूं।
अब ब्लॉकचेन सुरक्षा में, स्लोमिस्ट और मुझे अग्रणी माना जाता है। इन वर्षों में हमारे सामने इतने सारे मामले आए हैं कि आप लगभग सोच सकते हैं कि हम हर दिन अचेतन अवस्था में हैं। यह अफ़सोस की बात है कि कई अंतर्दृष्टियाँ रिकॉर्ड और साझा नहीं की जाती हैं। और परिणामस्वरूप, कई मित्रों के आग्रह पर, इस पुस्तिका का जन्म हुआ।
जब आप इस पुस्तिका को पढ़ना समाप्त कर लें, तो आपको अभ्यास करना चाहिए, कुशल बनना चाहिए और निष्कर्ष निकालना चाहिए। जब आपके पास अपनी खोज या अनुभव होगा, तो मुझे आशा है कि आप योगदान देंगे। यदि आपको लगता है कि कोई संवेदनशील जानकारी है तो आप उसे छुपा सकते हैं, या जानकारी को अज्ञात बना सकते हैं।
अंत में, सुरक्षा और गोपनीयता से संबंधित कानून और प्रवर्तन की वैश्विक परिपक्वता के लिए धन्यवाद; सभी अग्रणी क्रिप्टोग्राफर्स, इंजीनियरों, एथिकल हैकर्स और एक बेहतर दुनिया के निर्माण में शामिल सभी लोगों के प्रयासों को धन्यवाद, जिसमें सातोशी नाकामोतो भी शामिल हैं।
अनुबंध
सुरक्षा नियम और सिद्धांत
इस पुस्तिका में उल्लिखित सुरक्षा नियमों और सिद्धांतों का सारांश इस प्रकार है। उपरोक्त पाठ में कुछ नियम शामिल किए जा रहे हैं और इन्हें यहां विशेष रूप से परिष्कृत नहीं किया जाएगा।
दो प्रमुख सुरक्षा नियम:
- शून्य भरोसा. इसे सरल बनाने के लिए, संशयवादी बने रहें और हमेशा ऐसे ही बने रहें।
- निरंतर सत्यापन. किसी चीज़ पर भरोसा करने के लिए, आपको जिस बात पर संदेह है उसकी पुष्टि करनी होगी और पुष्टि को अपनी आदत बनाना होगा।
सुरक्षा सिद्धांत:
- इंटरनेट से प्राप्त सभी ज्ञान के लिए, कम से कम दो स्रोतों का संदर्भ लें, एक-दूसरे की पुष्टि करें, और हमेशा संशय में रहें।
- अलग करना. सारे अंडे एक ही टोकरी में न रखें।
- महत्वपूर्ण परिसंपत्तियों वाले वॉलेट के लिए, अनावश्यक अपडेट न करें।
- आप जो देखते हैं वही हस्ताक्षर करते हैं। आपको इस बात की जानकारी होनी चाहिए कि आप क्या हस्ताक्षर कर रहे हैं और हस्ताक्षरित लेनदेन भेजे जाने के बाद अपेक्षित परिणाम क्या होगा। ऐसे काम न करें जिसके लिए आपको बाद में पछताना पड़े।
- सिस्टम सुरक्षा अपडेट पर ध्यान दें. जैसे ही वे उपलब्ध हों, उन्हें लागू करें।
- लापरवाही से प्रोग्राम डाउनलोड और इंस्टॉल न करें, वास्तव में अधिकांश जोखिमों को रोका जा सकता है।
योगदानकर्ताओं
योगदानकर्ताओं को धन्यवाद, यह सूची लगातार अद्यतन की जाएगी और मुझे आशा है कि यदि इस पुस्तिका के लिए कोई विचार हो तो आप मुझसे संपर्क कर सकते हैं।
क्योंकि, ट्विटर(@evilcos)、即刻 (@余弦.jpg)
योगदानकर्ताओं
मेरी पत्नी स्लोमिस्ट, ट्विटर (@SlowMist_Team), उदाहरण के लिए पीडीएस, जोहान, कोंग, किर्क, थिंकिंग, ब्लू, लिसा, कीवुल्फ़... जिक ऐप कुछ गुमनाम दोस्त... अधिक: https://darhandbook.io/contributors.html
यदि आपका योगदान इस पुस्तिका में शामिल करने के लिए स्वीकार कर लिया जाता है, तो आपको योगदानकर्ताओं की सूची में जोड़ दिया जाएगा।
उदाहरण के लिए: विशिष्ट सुरक्षा रक्षा सुझाव या मामले प्रदान किए गए; अनुवाद कार्य में भाग लिया; बड़ी त्रुटियों को ठीक किया गया, आदि।
आधिकारिक साइटें
स्लोमिस्ट https://www.slowmist.com कॉइनमार्केटकैप https://coinmarketcap.com/ स्पैरो वॉलेट https://sprowwallet.com/ मेटामास्क https://metamask.io/ imToken https://token.im/ ट्रस्ट वॉलेट https ://trustwallet.com/ ग्नोसिस सेफ https://gnosis-safe.io/ ZenGo https://zengo.com/ फायरब्लॉक https://www.fireblocks.com/ सेफहेरॉन https://www.safeheron.com/ कीस्टोन https://keyst.one/ ट्रेज़ोर https://trezor.io/ रब्बी https://rabby.io/ EdgeWallet https://edge.app/ MyEtherWallet https://www.myetherwallet.com/ फैंटम https: //फैंटम.ऐप/ टॉरनेडो कैश https://tornado.cash/ बिनेंस https://www.binance.com/ कॉइनबेस https://coinbase.com कंपाउंड https://compound.finance/ सुशीस्वैप https://www .sashi.com/ OpenSea https://opensea.io/ Revoke.cash https://revoke.cash/ APPROVED.zone https://approved.zone/ डाउनलोड करें https://okjike.com/ कास्परस्की https:// www.kaspersky.com.cn/ बिटडिफेंडर https://www.bitdefender.com/ क्लाउडफ्लेयर https://www.cloudflare.com/ अकामाई https://www.akamai.com/ सर्वेक्षण आत्मरक्षा https://ssd .eff.org/ गोपनीयता गाइड https://www.privacytools.io/ OpenPGP https://www.openpgp.org/ GPG https://gnupg.org/ GPG सुइट https://gpgtools.org/ Gpg4win https: //www.gpg4win.org/ 1पासवर्ड https://1password.com/ बिटवर्डन https://bitwarden.com/ Google प्रमाणक https://support.google.com/accounts/answer/1066447 Microsoft प्रमाणक https://www .microsoft.com/en-us/security/mobile-authenticator-app प्रोटोनमेल https://protonmail.com/ टूटनोटा https://tutanota.com/ VMware वर्कस्टेशन https://www.vmware.com/products/workstation- pro.html समानताएं https://www.parallels.com/