Проанализировав более 60 популярных криптовалютных бирж, и 95 менее популярных и еще 50 огромных популярных порталах (по данным Alexa имеют популярность менее 10,000 пользователей в сутки), мы выделили список пунктов по безопасности в криптовалютных биржах и обменниках. Зачастую стандарта безопасности криптовалют - CCSS не всегда достаточно чтобы разработать полноценную, масштабируемою, функционирующую а главное безопасную биржу криптовалют. Поэтому мы решили написать о основных пунктах безопасности.
1. DDoS защита; Как бы это не странно звучало, но все же это один из наиболее распространённых методов атаки на платформы, сайты, и особенно криптовалютные биржи. Защита может исходить на низком уровне сервера, фаервола или прослойки на платформе. Наиболее безопасной считается AWS Shield совокупно с их инфраструктурой позволяет построить не только масштабируемые, но и безопасные платформы.
2. Межсайтовый скриптинг (X-XSS-Protection).
3. Не показывать информацию о сервере; Если вы показываете информацию о сервере, ПО и ОС это причиняет только неудобства. Вы даете буквально зеленый свет хакерам раскрывая информацию о сервере и программном обеспечение. Если Вы интересуетесь почему, вот небольшая ссылка на список уязвимостей Apache. В каждом новом релизе, разработчики исправляют их и закрывают дыри. Узнав версии и прочитав уязвимости в системе, вы сами вырыли себе яму.
4. NoSQL/SQLi-Инъекции; Классический вариант уязвимости, и наиболее легок в применении.
5. CSRF уязвимость; Атака подделкой запроса достаточно просто нейтрализовать используя подписанные токены. К тому же, это еще один слой защиты от XSS.
6. Атака Clickjacking и X-Frame-Options;
7. HSTS (HTTP Strict-Transport-Security) и SSL; SSL хорош не только тем что показывает зеленый замочек и придает немного доверия. Кстати, гипотеза что Google поощряет в поисковой выдаче ложна. Но современные методы шифрования база данных требуют немедленного подключения SSL сертификата. Самоподнисанные не подходят, только выданные авторитетным уставом. К тому же, если есть функции оплаты в системе – SSL должен быть.
8. Уязвимые или вредоносные библиотеки; Очень похожа с предыдущим пунктом о серверной информации.
9. Content Security Policy (CSP) защита; Написав собственный уникальный, авторский контент никогда не хочется чтобы его украли и разместили под чужим именем. К сожалению, такую проблему достаточно сложно решить, как и ту что Вконтакте борется с фейковыми новостями и очистить ленту. CSP защита вероятно единственный автоматический вариант копирайтинга.
10. HTTP Public Key Pinning (HPKP).
11. Данные пункт касается только бирж. Cold storage; Вероятно только новичок крипто-инвестор не слышал о холодном хранилище. Холодное хранилище бывает нескольких видов, но основная суть это офлайн кошелек. Например, hardware-кошелек Trezor или Ledger, USD кошелек, ваш развернутый узел на изолированном от интернета компьютере, либо же бумажный кошелек. Наиболее защитным принято считать именно hardware-кошелек который имеет в себе несколько слоев защиты включая шифрование ключей, и возможность мультивалютного хранения. Совместно с мульти-подписью позволяет снизить риск похищенного устройства в разы, вплоть до 0.01%.
12. Идентифицированные устройства; Сам по себе этот не представляет проникновения, но позволяет своевременно предотвратить несанкционированные действия. Аудит и логи всех авторизаций (успешных и неуспешных) обязательно должны вестись и храниться.
13. Обработка ошибок; Обработка ошибок должна быть отключена для любого live сервера.
14. 2FA; В пользовательских же интересах включить двухфакторную аутентификацию чтобы создать дополнительный слой защиты. Иногда лучше переступить лень, и включить ее. Учитывая, что приложения как Google Authenticator требуют лишь минимум времени чтобы настроить это. Как вы видите, безопасность и защита скрывают в несколько много слоев. Только совместно они могут надлежать защиту высокого уровня.