Защита Сайта и Бирж от Взлома

Проанализировав более 60 популярных криптовалютных бирж, и 95 менее популярных и еще 50 огромных популярных порталах (по данным Alexa имеют популярность...

Проанализировав более 60 популярных криптовалютных бирж, и 95 менее популярных и еще 50 огромных популярных порталах (по данным Alexa имеют популярность менее 10,000 пользователей в сутки), мы выделили список пунктов по безопасности в криптовалютных биржах и обменниках. Зачастую стандарта безопасности криптовалют - CCSS не всегда достаточно чтобы разработать полноценную, масштабируемою, функционирующую а главное безопасную биржу криптовалют. Поэтому мы решили написать о основных пунктах безопасности.

1. DDoS защита; Как бы это не странно звучало, но все же это один из наиболее распространённых методов атаки на платформы, сайты, и особенно криптовалютные биржи. Защита может исходить на низком уровне сервера, фаервола или прослойки на платформе. Наиболее безопасной считается AWS Shield совокупно с их инфраструктурой позволяет построить не только масштабируемые, но и безопасные платформы.

2. Межсайтовый скриптинг (X-XSS-Protection).

3. Не показывать информацию о сервере; Если вы показываете информацию о сервере, ПО и ОС это причиняет только неудобства. Вы даете буквально зеленый свет хакерам раскрывая информацию о сервере и программном обеспечение. Если Вы интересуетесь почему, вот небольшая ссылка на список уязвимостей Apache. В каждом новом релизе, разработчики исправляют их и закрывают дыри. Узнав версии и прочитав уязвимости в системе, вы сами вырыли себе яму.

4. NoSQL/SQLi-Инъекции; Классический вариант уязвимости, и наиболее легок в применении.

5. CSRF уязвимость; Атака подделкой запроса достаточно просто нейтрализовать используя подписанные токены. К тому же, это еще один слой защиты от XSS.

6. Атака Clickjacking и X-Frame-Options;

7. HSTS (HTTP Strict-Transport-Security) и SSL; SSL хорош не только тем что показывает зеленый замочек и придает немного доверия. Кстати, гипотеза что Google поощряет в поисковой выдаче ложна. Но современные методы шифрования база данных требуют немедленного подключения SSL сертификата. Самоподнисанные не подходят, только выданные авторитетным уставом. К тому же, если есть функции оплаты в системе – SSL должен быть.

8. Уязвимые или вредоносные библиотеки; Очень похожа с предыдущим пунктом о серверной информации.

9. Content Security Policy (CSP) защита; Написав собственный уникальный, авторский контент никогда не хочется чтобы его украли и разместили под чужим именем. К сожалению, такую проблему достаточно сложно решить, как и ту что Facebook борется с фейковыми новостями и очистить ленту. CSP защита вероятно единственный автоматический вариант копирайтинга.

10. HTTP Public Key Pinning (HPKP).

11. Данные пункт касается только бирж. Cold storage; Вероятно только новичок крипто-инвестор не слышал о холодном хранилище. Холодное хранилище бывает нескольких видов, но основная суть это офлайн кошелек. Например, hardware-кошелек Trezor или Ledger, USD кошелек, ваш развернутый узел на изолированном от интернета компьютере, либо же бумажный кошелек. Наиболее защитным принято считать именно hardware-кошелек который имеет в себе несколько слоев защиты включая шифрование ключей, и возможность мультивалютного хранения. Совместно с мульти-подписью позволяет снизить риск похищенного устройства в разы, вплоть до 0.01%.

12. Идентифицированные устройства; Сам по себе этот не представляет проникновения, но позволяет своевременно предотвратить несанкционированные действия. Аудит и логи всех авторизаций (успешных и неуспешных) обязательно должны вестись и храниться.

13. Обработка ошибок; Обработка ошибок должна быть отключена для любого live сервера.

14. 2FA; В пользовательских же интересах включить двухфакторную аутентификацию чтобы создать дополнительный слой защиты. Иногда лучше переступить лень, и включить ее. Учитывая, что приложения как Google Authenticator требуют лишь минимум времени чтобы настроить это.

Как вы видите, безопасность и защита скрывают в несколько много слоев. Только совместно они могут надлежать защиту высокого уровня. И помните, что в большинстве платформ слабым местом является не платформа или биржа а ее пользователи. Социальную инженерию еще никто не отменял, и злоумышленники многие года успешно ею используют в сферах связанных с финансами.

Оцените (7 голосов - 4.9 из 5)
Спасибо!
1
(Ужасно)
2
(Плохо)
3
(Средне)
4
(Хорошо)
5
(Класс!)


Спасибо!
Ok