समाचार

विटकोइन एक्सचेंज हैकिंग्स की बीमार पवन - एक बार काट लिया, दो बार शर्मीली (भाग 2)

अवरोधक तकनीक अब विकास के एक चरण में बैठी है जो कि 1 99 0 के दशक में इंटरनेट के समान है; कोई भी लाखों डॉलर का निवेश नहीं कर सकता है, मोटे व्यापारी को गोद लेने और बिटकॉइन और ब्लॉकचैन प्रौद्योगिकी से प्रेरित व्यवसायों की बड़ी संख्या। फिर भी, मानकीकृत सुरक्षा मॉडल की कमी ने आज के बिटकॉइन एक्सचेंजों और व्यवसायों के अधिकांश हमलों को हुक करने के लिए असुरक्षित बना दिया है, विशेषकर जब बुनियादी सुरक्षा उपायों की अनदेखी की जाती है।

सुरक्षा समस्याओं के इस अपरिपक्व और असंगत संचालन के बाद कई सुरक्षा उल्लंघनों सामने आई हैं जो कई बड़ी बिटकॉइन एक्सचेंजों और व्यवसायों (इस आलेख के भाग 1 को देखें) में फंस गए हैं। तदनुसार, हम सबसे अधिक परिष्कृत सुरक्षा मानकों के माध्यम से देखेंगे जो हैक्स हमलों, चोरी, धोखाधड़ी और सुरक्षा उल्लंघनों के अन्य रूपों से बचने के लिए एक्सचेंजों और बिटकॉइन ऑनलाइन व्यवसायों के अन्य रूपों द्वारा अपनाया जाना चाहिए।

क्रिप्टोकुरंन्सी सुरक्षा मानक

बैंक, ब्रोकरेज, भुगतान प्रोसेसर और ई-कॉमर्स कारोबार सहित अपनी भौतिक और डिजिटल संपत्तियों की सुरक्षा के लिए दुनिया के हर वित्तीय संस्थान में उसके विशेष सुरक्षा मानक हैं। दुर्भाग्य से, ब्लॉककोइन टेक्नोलॉजी पर भरोसा रखने वाले बिटकॉइन एक्सचेंजेस और अन्य ऑनलाइन व्यवसायों के लिए कोई औपचारिक सुरक्षा मानक कभी तैयार नहीं किए गए हैं।

कुछ शोध करने के बाद, मैंने एक कदम-दर-चरण गाइड तैयार किया है जो भविष्य के क्रिप्टोक्रार्सी मानकों के लिए एक नाभिक का प्रतिनिधित्व कर सकता है जो चोरी और धोखाधड़ी के खिलाफ ऑनलाइन क्रिप्टोक्यूरेंसी कारोबार को प्रतिरक्षित कर सकते हैं।

क्रिप्टोकुरेंसी सुरक्षा मानकों को सामूहिक रूप से निम्नलिखित बिंदुओं में संक्षेप किया जा सकता है:

1- SSL और डीडीओएस संरक्षण

2- सुरक्षा कुंजी / बीज उत्पादन

3- कुंजी भंडारण सुरक्षित करना

4- ऑडिट लॉग सुरक्षित करना

5- भंडारण का सबूत < 6- कोल्ड स्टोरेज

एसएसएल प्रमाणपत्र और डीडीओएस सुरक्षा:

एसएसएल प्रमाणपत्र और डीडीओएस संरक्षण अनिवार्य रूप से ऑनलाइन व्यवसायों के लिए अनिवार्य बुनियादी सुरक्षा उपाय हैं, जिसमें क्रिप्टोक्यूरेंसी एक्सचेंज भी शामिल हैं।

SSL प्रमाणपत्र क्या हैं?

सुरक्षित सॉकेट परतें, या एसएसएल, प्रमाण पत्र सुरक्षा के विशेष प्रकार हैं जो कि ग्राहक के नाम, व्यक्तिगत बैंकिंग जानकारी, संपर्क जानकारी (पते, फोन नंबर आदि आदि) और खातों के पासवर्ड सहित संवेदनशील जानकारी के प्रबंधन के लिए उपयोग किए जाते हैं। एसएसएल प्रमाणपत्र एक ग्राहक के इंटरनेट ब्राउज़र और ऑनलाइन कंपनी के साथ एक सुरक्षित एन्क्रिप्टेड कनेक्शन बनाते हैं जो वह साथ बातचीत कर रहा है। क्रिप्टोक्यूरेंसी एक्सचेंज, ई-कॉमर्स पोर्टल्स, फॉरेक्स ट्रेडिंग प्लेटफॉर्म, ब्रोकरेज ... आदि सहित ऑनलाइन व्यापारिक देशों की एक विस्तृत श्रृंखला के लिए SSL प्रमाण पत्र महत्वपूर्ण हैं।

एक SSL प्रमाणपत्र के साथ वेबसाइट के एक आगंतुक, एक "https" प्रोटोकॉल पर ध्यान देगा वेबसाइट के फ़ेविकॉन के बगल में दिखने वाले एक "ताला" छवि के साथ, सामान्य "http" प्रोटोकॉल के बजाय ब्राउज़र का एड्रेस बार

एकत्रित रूप से, किसी भी वेबसाइट को भुगतान स्वीकार करना, चाहे फिएट, क्रिप्टोस या किसी अन्य डिजिटल मुद्रा के रूप में, SSL प्रमाणपत्र को लागू करने की आवश्यकता है भुगतान कार्ड उद्योग (पीसीआई) के मानकों के मुताबिक, वेबसाइट के लिए क्रेडिट कार्ड भुगतान स्वीकार करना शुरू करने के लिए उसे कम से कम 128 बिट के एन्क्रिप्शन कुंजी आकार के साथ एक SSL प्रमाणपत्र लागू करना होगा। इसी तरह, आदान-प्रदान और अन्य ऑनलाइन व्यवसाय क्रिप्टोक्रैरेंसी भुगतान को स्वीकार करते हैं, उसी रास्ते

(1) के साथ जाना चाहिए

कैसे SSL प्रमाणपत्र बिटकोइन एक्सचेंजों की सुरक्षा को बढ़ावा दे सकता है? :

एक SSL प्रमाणपत्र डेटा को एन्क्रिप्ट करता है ताकि यह केवल वांछित पार्टियों द्वारा ही पढ़ा जा सके और संग्रहीत हो सके। अपने पूर्व-योजनाबद्ध गंतव्य तक पहुंचने से पहले कई तरह के कंप्यूटर / सर्वर के माध्यम से ऑनलाइन प्रसारित डाटा संचारित होती है। "रिले" की संख्या जितनी अधिक होगी, उतनी अधिक संभावना है कि एक अनजान तृतीय पक्ष ट्रांसमिट डेटा तक पहुंच सकता है। SSL प्रमाणपत्रों को यादृच्छिक वर्णों को सम्मिलित करते हुए एन्क्रिप्ट करता है जो उचित एन्क्रिप्शन कुंजी के बिना समझने के लिए संचरित डेटा प्रदान करता है। तदनुसार, जब भी संचरित डेटा किसी अनपेक्षित पार्टी द्वारा बाधित होता है, यह कभी भी पठनीय या सुगम नहीं होगा।

डीडीओएस हमलों क्या हैं?

डीडीओएस "सेवा हमले के परेशान नकार" के लिए खड़ा है यह "सेवा का नकार" हमलों का एक रूप है, जो तब होता है जब समझौता सिस्टम का समूह, आमतौर पर ट्रोजन से संक्रमित होता है, एक सर्वर बनाने की कोशिश करता है, मशीन या वेबसाइट अपने उपयोगकर्ताओं के लिए अनुपलब्ध होता है।

आम तौर पर, हैकर्स एक ट्रोजन को कोड और मंचों, सोशल मीडिया, स्पैमी ईमेल आदि के माध्यम से फैलता है ... आदि। यह ट्रोजन "DDoS" हमले के लक्षित वेबसाइट पर बड़ी संख्या में उपयोगकर्ताओं को भेजेगा। दूसरी ओर, कभी-कभी प्रयोक्ता जानबूझकर उच्च प्रोफ़ाइल कंपनियों के खिलाफ डीडीओएस हमले में भाग लेते हैं, खासकर जब उन्हें लगता है कि ये कंपनियां उन कार्यों का पालन करती हैं जो मानते हैं कि वे अवैध, अनुचित या दमन कर रहे हैं। यह 2010 में हुई थी, जब वीसा, मास्टरकार्ड और पेपैल जैसी बड़ी कंपनियों को डीडीओएस हमलों से मार दिया गया था, जब इन कंपनियों ने विकिलीक्स

(2) के लिए अपनी सेवाएं काटने का फैसला किया

विटकोइन एक्सचेंज पर डीडीओएस हमले के परिणाम:

बीटकोइन एक्सचेंज पर डीडीओएस हमले के माध्यम से पिछड़ने की लागत में कठोर हो सकता है, खासकर न केवल परिचालन लागत में वृद्धि, बल्कि राजस्व में गिरावट उच्च प्रभाव DDoS हमलों के लिए एक परिणाम के रूप में निम्नलिखित क्रिप्टोक्यूरेंसी एक्सचेंज पर डीडीओएस हमले के वित्तीय प्रभाव का प्रतिनिधित्व करता है:

- ट्रेडिंग का समापन जो आम तौर पर उपयोगकर्ताओं के आतंक से प्रज्वलित एक अराजक बाजार पैटर्न द्वारा किया जाता है।

- "सहायता डेस्क" द्वारा प्राप्त टिकटों का बढ़ता प्रवाह जो कि इसके खर्च को बढ़ा सकता है

- ग्राहकों की संख्या में वृद्धि "ड्रॉप आउट" और धनवापसी

- एक्सचेंज की प्रतिष्ठा में गिरावट जो समग्र कारोबारी विकास को रोकती है

डीडीओएस सुरक्षा:

हालांकि डीडीओएस रक्षा प्रणाली क्रिप्टोकुरेन्सी एक्सचेंज के ट्रेडिंग प्लेटफॉर्म पर होने वाले व्यापारिक कार्यों की रक्षा कर सकती हैं, हालांकि सबसे अधिक उपलब्ध डीडीओएस रक्षा प्रणालियों की उच्च लागत का अर्थ है कि डीडीओएस के कार्यान्वयन की लागत को हमेशा वज़न करना चाहिए निवेश पर लाभ के खिलाफ सुरक्षा सेवाएं (आरओआई)

आज इस्तेमाल किए जाने वाले अधिकांश रक्षा रणनीति वेबसाइट पर दिए गए निरंतरता सेवाओं को कम करने और आश्वस्त करने पर केंद्रित हैं।

ब्लैकहोलिंग < एक डीडीओएस रक्षात्मक रणनीति है जिसमें वेबसाइट और उसके ग्राहकों को सहेजने के प्रयास में "ब्लॉक छेद" पर पुनर्निर्देशित करने के माध्यम से हमला वेबसाइट पर सभी वेब ट्रैफिक को अवरुद्ध करना शामिल है। राउटर डीडीओएस हमले के दौरान, "अवांछनीय ट्रैफ़िक" चलाना अभिगम नियंत्रण सूचियों (एसीएल) का उपयोग करना हालांकि रूटर साधारण डीडीओएस हमलों के खिलाफ एक वेबसाइट को रोक सकते हैं, जैसे कि पिंग हमलों, वे डीडीओएस हमलों (3) के आज के और अधिक परिष्कृत रूपों के विरुद्ध एक वेबसाइट की रक्षा नहीं कर सकते हैं। कुंजी / बीज उत्पादन की सुरक्षा:

एक क्रिप्टोक्यूरेंसी एक्सचेंज के भीतर उपयोग किए जाने वाले चाबियाँ / बीज बनाने से ट्रेडिंग प्लेटफॉर्म की सुरक्षा का समर्थन करने के लिए एक एन्क्रिप्टेड प्रक्रिया होनी चाहिए। यह सुनिश्चित करने के लिए महत्वपूर्ण है कि किसी भी नई जेनरेट की गई कुंजी को अनपेक्षित पार्टियों द्वारा फ़िश नहीं किया जा सकता है। गोपनीयता की गारंटी दी जा सकती है जब एन्क्रिप्ट किए गए कुंजियां और बीज केवल उपयोगकर्ता द्वारा उपयोग किए जाते हैं जो इसका उपयोग करेगा। ए निर्धारित रैंडम बिट जेनरेटर (डीआरबीजी)

एन्क्रिप्टेड कुंजी और बीज उत्पन्न करने के लिए एक संपूर्ण एल्गोरिथ्म है वैकल्पिक रूप से, एक सच्चा यादृच्छिक संख्या जनरेटर इसका इस्तेमाल उस स्थिति में भी किया जा सकता है, जो सांख्यिकीय रैंडमैस के लिए मौजूदा उद्योग मानकों के अनुरूप है। कुंजी भंडारण की सुरक्षा: जब उपयोगकर्ता सक्रिय रूप से ट्रेडिंग प्लेटफॉर्म पर उनका उपयोग नहीं कर रहा है तो एक एक्सचेंज पर विभिन्न क्रिप्टोक्रैवेंसी पर्स की निजी कुंजी सुरक्षित रूप से संग्रहीत की जानी चाहिए। निजी चाबियों की गोपनीयता एन्क्रिप्शन एल्गोरिदम, भौतिक तालों और जब भी उपयुक्त हो तो गुप्त साझाकरण के उपयोग के माध्यम से बढ़ाया जाना चाहिए।

संग्रहीत निजी कुंजी को एक एन्क्रिप्शन एल्गोरिथ्म का उपयोग करके एन्क्रिप्ट किया जाना चाहिए जो अपेक्षित अवधि के दौरान अनुमानित वैश्विक कंप्यूटिंग पावर x1000 का उपयोग करके समझना असंभव कुंजी प्रदान करेगा, जिसके दौरान चाबी का उपयोग किया जाएगा

एईएस -256

एक एन्क्रिप्शन एल्गोरिथ्म का एक उदाहरण है जो इस तरह की सुरक्षा प्रदान कर सकता है। जनरेटेड क्रिप्टोग्राफिक कुंजियों (पेपर, डिजिटल ... आदि) का कम से कम एक बैकअप बनाया जाना चाहिए। बैकअप को अग्नि, बाढ़ और अन्य रूपों सहित प्राकृतिक पर्यावरणीय खतरों से संरक्षित किया जाना चाहिए प्राकृतिक आपदाएं रिजर्व का सबूत:

रिज़र्व का सबूत एक्सचेंज की वेबसाइट स्क्रिप्ट की क्षमता के सबूत को संदर्भित करता है जो अपने सभी ट्रेडिंग प्लेटफॉर्म के सभी प्रयोक्ताओं के स्वामित्व वाले 100% निधि को नियंत्रित करता है। आरक्षित का एक प्रमाण सभी उपयोगकर्ताओं को आश्वासन देता है कि उनके सभी सिक्कों और फिएट पैसे एक्सचेंज प्रणाली के लिए उपलब्ध हैं जो कि फंड हानि जोखिम को कम करता है। रिजर्व के प्रमाण को पूरा करने और आरक्षित ऑडिट के नियमित रूप से निर्धारित प्रमाण के प्रकाशन द्वारा समर्थित होना चाहिए, जिन्हें एक स्वतंत्र तृतीय पक्ष द्वारा हस्ताक्षरित किया गया है।

सुरक्षा लेखापरीक्षा लॉग: < ऑडिट लॉग सभी ट्रेडिंग प्लेटफॉर्म पर होने वाली सभी सूचना परिवर्तनों और लेनदेन के रिकॉर्ड प्रदान करते हैं। जब भी सुरक्षा उल्लंघन का सामना करना पड़ता है, ऑडिट लॉग अनिवार्य उपकरण होते हैं जो जांचकर्ताओं को इस तरह की घटनाओं के कारण और निदान करने में सहायता कर सकते हैं।यह माध्यम से प्राप्त किया जा सकता है:

-

आंशिक ऑडिट लॉग

: जिसमें सभी जमाओं के रिकॉर्ड और एक्सचेंज के ट्रेडिंग प्लेटफॉर्म पर होने वाले निकासी शामिल हैं।

- " सभी उपयोगकर्ता की कार्रवाइयां" ऑडिट

: जिसमें सभी लॉगिन और लॉकआउट प्रयासों का अभिलेख शामिल है, जो उपयोगकर्ताओं के खाते तक पहुंचने के लिए उपयोग किए गए सभी आईपी पते के रिकॉर्ड के साथ होता है।

- पूर्ण लेखा परीक्षा बैकअप : सभी लेखापरीक्षाओं को नियमित रूप से एक सर्वर पर बैकअप लेना चाहिए जो विनिमय

(4) कोल्ड स्टोरेज: कोल्ड स्टोरेज बिटकोइन की निजी कुंजी को संसाधित करने की प्रक्रिया या किसी अन्य क्रिप्टोकुर्न्सी को ऑफ़लाइन, एक कागज बटुआ, भौतिक हार्ड ड्राइव ... आदि का उपयोग करने की प्रक्रिया को दर्शाता है। हालांकि शीत भंडारण एक्सचेंज "आरक्षित का सबूत", इसका प्रयोग उदाहरणों में किया जा सकता है जब उपयोगकर्ता लंबी अवधि की बचत के लिए अपने एक्सचेंज के पर्स का इस्तेमाल करेंगे। इसके अलावा, गैर-व्यापारिक घंटों और सर्वर रखरखाव अवधि के दौरान कोल्ड स्टोरेज का उपयोग किया जाना चाहिए।

क्रिप्टोक्यूरेंसी एक्सचेंज की सुरक्षा करना एक चुनौतीपूर्ण कार्य है जिसे लगातार समीक्षा और मूल्यांकन किया जाना चाहिए। नियमित प्रवेश परीक्षण क्रिप्टोकुरेंसी को शामिल करते हुए किसी भी ऑनलाइन व्यवसाय की सुरक्षा के निरंतर मूल्यांकन प्रक्रिया का हिस्सा होना चाहिए। नैटिक हैकर्स की भर्ती, जो बिटकॉइन के बारे में उत्साहित हैं, एक सुरक्षित बिटकॉइन एक्सचेंज की सूची में एक बहुमूल्य उपकरण के रूप में सेवा कर सकते हैं।

निष्कर्ष: < पिछले 500 वर्षों में अवरोध प्रौद्योगिकी अब तक का सबसे नवीन वित्तीय सृजन है यह एक आनुवंशिक उत्परिवर्तन की तरह है जो दुनिया के बड़े "केंद्रीय बैंकों" को नष्ट करने की कोशिश करने के बावजूद जीवित रहेगा। हालांकि, सुरक्षा उल्लंघनों और हैकिंग हमले एक विख्यात खतरे का प्रतिनिधित्व करते हैं जो "बिटकॉइन अर्थव्यवस्था" के भविष्य को खतरा दे सकते हैं। इंटरनेट सुरक्षा प्रोटोकॉल, शीर्ष पायदान एन्क्रिप्शन एल्गोरिदम, नियमित प्रवेश परीक्षण और बिटकोइन उत्साही, नैतिक हैकर्स को अपनाने से दुनिया की पसंदीदा गैर-विकेन्द्रीकृत डिजिटल मुद्रा को सुरक्षित करने में मदद मिल सकती है।

संदर्भ:

1- व्यापारियों के लिए पीसीआई सुरक्षा मानक परिषद के संसाधन // www। pcisecuritystandards। org / व्यापारियों / सूचकांक। php

2- मास्टरकार्ड, वीज़ा अन्य लोगों ने डीडीओएस हमले से विकीलीक्स पर हमला किया कंप्यूटर की दुनिया। जयकुमार विजया द्वारा // www। कंप्यूटर की दुनिया। com / लेख / 2514804 / साइबर-अपराध-हैकिंग / अद्यतन-मास्टरकार्ड-वीजा दूसरों प्रभावित-DDoS हमलों-ओवर-विकीलीक्स द्वारा। html

3 - श्वेत पत्र: डीडीओएस हमलों को हराने। सिस्को गार्ड डीडीओएस शिविर उपकरण // www। सिस्को। कॉम / सी / en / हमें / उत्पादों / जमानत / सुरक्षा / यातायात विसंगति-डिटेक्टर-xt-5600A / prod_white_paper0900aecd8011e927। एचटीएमएल

4- क्रिप्टोकुरेंसी सुरक्षा मानक // www। स्क्रिप्ड। com / doc / 256083263 / CCSS-ड्राफ्ट-प्रस्ताव