Пресс-релиз

Меры безопасности Blackmoon Crypto

Компания Blackmoon Crypto относится ко всем аспектам разработки платформы со всей серьезностью. Недавно от сообщества компании поступил ряд запросов, касающихся политики в области безопасности.

Известно, что ряд блокчейн-краудсейлов подвергся хакерским атакам. Эти атаки привели к временным сбоям в привлечении финансирования, а в некоторых случаях – к краже денежных средств. Целью этих атак было изменить адреса кошельков проекта на адреса хакеров. Это можно сделать следующими способами:

  • Фишинг или подмена DNS. Операция, при которой хакер перенаправляет пользователей на веб-сайт, находящийся под его контролем.
  • Фишинг-контент. Взлом сервера проекта для замены контента веб-сайта.
  • DDoS-атака (распределенная атака типа «отказ в обслуживании»). Невозможность получения доступа к целевому веб-сайту.

В Blackmoon Crypto работают с этими рисками, инвестируя время и деньги в надлежащую инфраструктуру. Ведь в этой области не стоит экономить и считать копейки.

Инфраструктура Amazon высшего класса

В проекте используются высокопроизводительные DNS-серверы Amazon промышленного класса. Крайне маловероятно, что хакерам удастся провести успешную DDoS-атаку на инфраструктуру Amazon, так как стоимость такой атаки была бы запредельно высокой.

На всех доменах всегда отключена опция передачи домена, а значит, злоумышленники не могут получить к ним доступ.

Доступ к инструментам администрирования хорошо защищен. Во-первых, к администрированию допущено очень ограниченное число пользователей. Для доступа необходимо ввести уникальный URL-адрес и знать автоматически генерируемое имя пользователя. Помимо этого, мы используем двухфакторную аутентификацию.

В целом, двухфакторная аутентификация обязательна для всех членов команды Blackmoon Crypto для всех операций, включая e-mail и Slack-клиенты.

На платформе Blackmoon Crypto этот функционал встроен и в аккаунт пользователя, поэтому настоятельно рекомендуется включить двухфакторную аутентификацию (2FA).

Безопасность серверов

Серверы размещены на специализированных изолированных VPC (виртуальных частных облаках) и не доступны напрямую через интернет. Они работают исключительно с доверенными узлами и распределителями нагрузки. Прямой SSH-доступ к серверам отсутствует. Для обнаружения сервисов VPC используется частная DNS-зона. Таким образом возможность имитации внутренней конечной точки к внешним сетям отсутствует.

В случае атаки с проникновением, например, при увеличении числа неудачных попыток входа в личный кабинет на сервере, автоматическая система мониторинга блокирует таких клиентов и информирует об этом разработчиков. При подтверждении атаки точка доступа к инфраструктуре временно отключается и перемещается. При этом нет отрицательного воздействия на функционирование работающих сервисов.

В обычном же режиме работы регулярно применяется автоматическое масштабирование для повышения производительности при повышении нагрузки, а при снижении нагрузки масштабирование помогает экономить ресурсы.

Все сервисы защищены анти-DDoS-фильтром Amazon Shield™ и WAF (защитный экран уровня приложений).

Ни у одного из разработчиков компании Blackmoon Crypto нет прямого доступа к рабочим серверам, для чего используются автоматизированные решения системы развертывания и механизма управления инфраструктурой: CI и IaaC (непрерывная интеграция и управление инфраструктурой с помощью формальной модели).

Восстановление после отказа

На маловероятный случай атаки, которая может обрушить систему безопасности Amazon, имеется план экстренных мероприятий. Требуется всего несколько минут, чтобы развернуть новую инфраструктуру AWS и перейти на нее. Потеря данных при наихудшем сценарии составит менее минуты.

Благодаря распределенному реестру блокчейна, будет загружена историю всех транзакций.

Все необходимые резервные копии, созданные с применением gpg-шифрования, хранятся офлайн в трех копиях.

Безопасность финансов

Ни на одном сервере не хранятся секретные ключи к кошелькам в текстовом, графическом или каком-либо ином формате. Для работы мульти-сигнатурных кошельков используется аппаратное обеспечение Trezor. Резервные копии надежно хранятся в банковских ячейках. Иногда стоит поработать и традиционно.

Таким образом, в случае получения доступа к кошелькам преступникам не удастся перевести средства.

Практические советы по безопасности

Держите приватные ключи от своего кошелька в безопасности, проверяйте наличие значка замка в адресной строке браузера, означающего проверенное SSL-соединение и корректность SSL-сертификата для веб-сайта. Проверяйте обратный адрес в электронной почте (поля «От кого» и «Ответить»). Проверяйте личность в чатах Telegram и Slack. Никому не отправляйте свои пароли. Включите двухфакторную аутентификацию в личном кабинете.

Этот список можно продолжить, ведь всегда хорошо иметь в рукаве козырь. Ответы на вопросы по существующим мерам безопасности можно задать в Telegram.

Новости публикуются тут:

Продажа токенов Blackmoon Crypto начнется 12 сентября 2017. Предпродажа уже открыта – https://account.blackmooncrypto.com

Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (Пока оценок нет)
Загрузка...

Редактор. Директор по маркетингу. Криптоинвестор с 2015 года.