Компания Blackmoon Crypto относится ко всем аспектам разработки платформы со всей серьезностью. Недавно от сообщества компании поступил ряд запросов, касающихся политики в области безопасности.
Известно, что ряд блокчейн-краудсейлов подвергся хакерским атакам. Эти атаки привели к временным сбоям в привлечении финансирования, а в некоторых случаях – к краже денежных средств. Целью этих атак было изменить адреса кошельков проекта на адреса хакеров. Это можно сделать следующими способами:
- Фишинг или подмена DNS. Операция, при которой хакер перенаправляет пользователей на веб-сайт, находящийся под его контролем.
- Фишинг-контент. Взлом сервера проекта для замены контента веб-сайта.
- DDoS-атака (распределенная атака типа «отказ в обслуживании»). Невозможность получения доступа к целевому веб-сайту.
В Blackmoon Crypto работают с этими рисками, инвестируя время и деньги в надлежащую инфраструктуру. Ведь в этой области не стоит экономить и считать копейки.
Инфраструктура Amazon высшего класса
В проекте используются высокопроизводительные DNS-серверы Amazon промышленного класса. Крайне маловероятно, что хакерам удастся провести успешную DDoS-атаку на инфраструктуру Amazon, так как стоимость такой атаки была бы запредельно высокой.
На всех доменах всегда отключена опция передачи домена, а значит, злоумышленники не могут получить к ним доступ.
Доступ к инструментам администрирования хорошо защищен. Во-первых, к администрированию допущено очень ограниченное число пользователей. Для доступа необходимо ввести уникальный URL-адрес и знать автоматически генерируемое имя пользователя. Помимо этого, мы используем двухфакторную аутентификацию.
В целом, двухфакторная аутентификация обязательна для всех членов команды Blackmoon Crypto для всех операций, включая e-mail и Slack-клиенты.
На платформе Blackmoon Crypto этот функционал встроен и в аккаунт пользователя, поэтому настоятельно рекомендуется включить двухфакторную аутентификацию (2FA).
Безопасность серверов
Серверы размещены на специализированных изолированных VPC (виртуальных частных облаках) и не доступны напрямую через интернет. Они работают исключительно с доверенными узлами и распределителями нагрузки. Прямой SSH-доступ к серверам отсутствует. Для обнаружения сервисов VPC используется частная DNS-зона. Таким образом возможность имитации внутренней конечной точки к внешним сетям отсутствует.
В случае атаки с проникновением, например, при увеличении числа неудачных попыток входа в личный кабинет на сервере, автоматическая система мониторинга блокирует таких клиентов и информирует об этом разработчиков. При подтверждении атаки точка доступа к инфраструктуре временно отключается и перемещается. При этом нет отрицательного воздействия на функционирование работающих сервисов.
В обычном же режиме работы регулярно применяется автоматическое масштабирование для повышения производительности при повышении нагрузки, а при снижении нагрузки масштабирование помогает экономить ресурсы.
Все сервисы защищены анти-DDoS-фильтром Amazon Shield™ и WAF (защитный экран уровня приложений).
Ни у одного из разработчиков компании Blackmoon Crypto нет прямого доступа к рабочим серверам, для чего используются автоматизированные решения системы развертывания и механизма управления инфраструктурой: CI и IaaC (непрерывная интеграция и управление инфраструктурой с помощью формальной модели).
Восстановление после отказа
На маловероятный случай атаки, которая может обрушить систему безопасности Amazon, имеется план экстренных мероприятий. Требуется всего несколько минут, чтобы развернуть новую инфраструктуру AWS и перейти на нее. Потеря данных при наихудшем сценарии составит менее минуты.
Благодаря распределенному реестру блокчейна, будет загружена историю всех транзакций.
Все необходимые резервные копии, созданные с применением gpg-шифрования, хранятся офлайн в трех копиях.
Безопасность финансов
Ни на одном сервере не хранятся секретные ключи к кошелькам в текстовом, графическом или каком-либо ином формате. Для работы мульти-сигнатурных кошельков используется аппаратное обеспечение Trezor. Резервные копии надежно хранятся в банковских ячейках. Иногда стоит поработать и традиционно.
Таким образом, в случае получения доступа к кошелькам преступникам не удастся перевести средства.
Практические советы по безопасности
Держите приватные ключи от своего кошелька в безопасности, проверяйте наличие значка замка в адресной строке браузера, означающего проверенное SSL-соединение и корректность SSL-сертификата для веб-сайта. Проверяйте обратный адрес в электронной почте (поля «От кого» и «Ответить»). Проверяйте личность в чатах Telegram и Slack. Никому не отправляйте свои пароли. Включите двухфакторную аутентификацию в личном кабинете.
Этот список можно продолжить, ведь всегда хорошо иметь в рукаве козырь. Ответы на вопросы по существующим мерам безопасности можно задать в Telegram.
Новости публикуются тут:
- Веб-сайт: https://blackmooncrypto.com
- Whitepaper: https://blackmooncrypto.com/bmc_whitepaper
- Видео: https://goo.gl/iGWQ5N
- Telegram: https://t.me/blackmooncrypto
Продажа токенов Blackmoon Crypto начнется 12 сентября 2017. Предпродажа уже открыта – https://account.blackmooncrypto.com
(Пока оценок нет)
Загрузка...
Редактор. Маркетолог. Криптоинвестор с 2014 года.
