Come avere un appropriato livello di sicurezza, per negare, al potenziale avversario, ogni conoscenza circa le disposizioni, le capacità, gli intenti e le vulnerabilità di noi stessi.
___
GIULIO
Benvenuti a tutti al quindicesimo episodio di Bitcoin Detox. Vogliamo ricordarvi che siamo live su Youtube, Facebook, linkedin, Twitch, Twitter e in forma di podcast su Spotify. Se volete altre piattaforme entrate nella Chat Telegram, scriveteci e vi soddisferemo il link della chat è questo qui (https://t.me/bitcoindetox).
Oggi parleremo di un tema molto delicato, perché Bitcoin con sé porta un nuovo cambio di paradigma, ovvero quello del reale possedimento dei propri soldi. Quindi oggi non lo farò con il nome di Giulio Delta, ma lo farò con il nome di Mario Rossi. Vediamo che sono in incognito. Perfetto, allora iniziamo con con la puntata di oggi. Cosa andremo a fare, andremo a vedere un po’ cos’è l’OpSec e come avere un appropriato livello di sicurezza per gestire i nostri fondi e in generale per non mettere in pericolo i nostri cari e noi stessi.
Quindi iniziamo con la lezione. Prima domanda, che cos’è l’OpSec? Quindi quali sono le origini del termine OpSec? OpSec significa in inglese operations security, quindi sicurezza delle operazioni, è un termine militare che è stato coniato per la prima volta dagli Stati Uniti durante la guerra del Vietnam e insieme a ciò hanno fatto anche una campagna propagandistica, di poster molto vintage e belli, che incitano la popolazione a mantenere delle buone norme di comportamento per non compromettere le operazioni di sicurezza militari. Silence means security, silenzio significa sicurezza. Allora l’obiettivo dell’OpSec è proteggere le informazioni dalle operazioni amichevoli e ridurre la capacità dell’avversario di raccogliere e sfruttare informazioni critiche, soprattutto quello che noi pensiamo che sono informazioni, diciamo innocue, però, se raggruppate con altre informazioni, possono andare a comunicare molto di più al nostro avversario. Scenderemo più avanti nel dettaglio.
Allora l’OpSec si occupa di sicurezza delle operazioni, quindi diciamo questo è il termine un po’ più generico, che comprende sicurezza delle comunicazioni, sicurezza nel prevenire accesso a dati non autorizzati e anche sicurezza personale. Principalmente, tutto è basato sul Security by Obscurance, quindi mettere in sicurezza non rivelando informazioni importanti. Il processo che andremo a vedere oggi, che è un processo di auto miglioramento personale, si identifica in cinque fasi. Uno, andiamo a capire quali possano essere le informazioni critiche. Due, andiamo a capire chi può essere la nostra minaccia. Tre, valutiamo le vulnerabilità nostre. Quattro, analizziamo il rischio, quindi quanto danno ci possono fare e con che frequenza questo può accadere. Cinque, sviluppiamo e applichiamo delle contromisure che vanno a migliorare la nostra OpSec.
Loose Lips Might Sink Ships, le labbra sciolte affondano le navi. Allora possiamo generalizzare e dire che ogni informazione può essere usata contro di noi. A primo impatto ci verrebbe da pensare nel settore, chiavi private, password e mail, documenti, altre informazioni personali che consentono il furto di identità. Quindi anche divulgare carta d’identità, passaporto, dove abiti è un problema. Collegamenti con le persone care e quindi quando su Facebook o sui social si mettono le parentele, mamma, zia, moglie, figli. Quanti soldi si possiede, dove si possiedono. Quindi dire che hai 1000 Bitcoin e le possiedi sul Ledger Nano S che hanno dentro casa; le tue routine, che vai spesso a lavoro, a caccia, in palestra, vai a calcio, insomma, le tue routine quindi che non ci sei spesso la domenica a casa o cose di questo tipo. La cosa più importante: quali sono le vostre contromisure di sicurezza? Quindi direi, ho messo il ledger in sicurezza con una multisig, dove una l’ho data a mio fratello e una a mia madre no? quindi questo qui espone le persone coinvolte a un tentativo di frode. Quindi come possono essere usate quelle informazioni contro di me?
Qui vediamo un esempio delle informazioni che noi consideriamo, diciamo superficiali, che non possono in realtà affliggerci nessun danno. In realtà combinate insieme possono andare a comunicare molto di più. Ad esempio se abbiamo un adesivo sulla nostra auto con un cagnolino con scritto Max, quello che stiamo comunicando è che abbiamo un cane piccolo che risponde al nome di Max. Se ad esempio mettiamo l’indirizzo del nostro residence dove viviamo, il nostro appartamento, stiamo appunto dicendo dove stiamo vivendo. Oppure se mettiamo il logo della scuola dei nostri figli, stiamo dicendo, i miei figli vanno a scuola qui ogni giorno. Se metto qualsiasi adesivo sulla mia auto, quindi la personalizzo, è molto più facile da riconoscere rispetto a tante auto, quindi è più facile che qualcuno che conosca la mia automobile riesca a tracciarmi e a capire che sono in determinati luoghi. Ad esempio, se sono una donna e ho un marito petroliere, e metto il bel logo dell’azienda petrolifera dove lavora mio marito, sto comunicando che mio marito spesso è fuori, magari per lavoro.
Oppure se ho una passione per la caccia metto un adesivo di caccia sull’auto, quello che comunico è che abbiamo un arsenale costoso a casa, quindi fucili, pistole e potremmo non essere a casa nel fine settimana. Se abbiamo un bambino e mettiamo un adesivo tipo baby on board, quindi abbiamo un bambino a bordo, quello che stiamo comunicando è che non solo abbiamo un bambino, ma che potremmo essere distratti molto spesso e quindi potremmo essere anche un bersaglio facile. Se mettiamo le passioni dei nostri figli, quindi magari baseball o danza, quello che stiamo comunicando è che molto spesso magari saremo fuori dei pomeriggi a vedere le partite, gli allenamenti quindi non ci siamo magari a casa in quei determinati orari. Se mettiamo la passione della moto, quindi magari comunichiamo che abbiamo una moto in garage o più di una, collezioniamo biciclette d’epoca, così, quello che stiamo dicendo è che abbiamo delle cose preziose all’interno del nostro garage.
Quindi la singola informazione può essere più o meno diciamo importante, però comunque l’insieme di informazioni può andare a recarci un danno molto più grande di quello che pensiamo. Qui vediamo un video che ci esprime un grande criterio di massima “Però, come criterio di massima come sistema di riferimento, come atteggiamento preferenziale, tu fatti i cazzi tuoi.” Perfetto. Quindi questo qui è un grande sistema per capire un po’ quello che dobbiamo dire, quello che non dobbiamo dire, in linea generale, come sistema di massima, facciamoci i cazzi nostri e non pubblichiamo informazioni diciamo gratuitamente in maniera indiscriminata. Questo perché anche nel comunicare un’informazione sbagliata in realtà possiamo comunicare l’esatto opposto, cioè molto spesso anche nella Community Bitcoin, molti massimalisti o molte persone, scherzando dicono, ho perso il mio ledger in acqua con un incidente nautico o cose simili, no? Non ho Bitcoin. Però in realtà quando senti una persona che comunica queste queste informazioni, in realtà quello che viene comunicato è proprio l’opposto, quindi, ho tanti Bitcoin, voglio dire al mondo intero che non li ho, perché devo proteggere me stesso dal un’eventuale attacco di estorsione o dallo Stato per le tasse.
Quindi, come sistema di riferimento, facciamoci i fatti nostri e magari anche non andiamo a scherzare su temi sensibili, perché non sappiamo mai, magari in una conferenza o quando a tavola con altre persone al pub chi abbiamo a fianco, chi abbiamo vicino, con chi parlerà il nostro amico. Quindi fondamentalmente cerchiamo di mantenere un profilo basso su alcuni dati riservati. Quindi identifichiamo un po’ la minaccia. Allora la minaccia è di fatto ogni attore che ci può recare un danno, no? Quindi qui il poster dice, un nemico può essere vicino, quindi smetti di parlare agli sconosciuti. Allora diciamo come prima grande minaccia, possiamo avere lo Stato. Lo Stato è un detentore del monopolio della violenza contro gli individui, spesso difeso dagli individui stessi, quindi sindrome di Stoccolma. Questo perché? Perché è successo già in passato in paesi occidentali, quindi non solo in paesi un po’ più esotici, per così dire, dove cambia il governo, cambiano le regole, l’oro è diventato illegale, è stato confiscato e alcuni individui hanno subito anche delle perquisizioni dentro casa.
Quindi oggi i Bitcoin sono legali, ma non sappiamo se un domani lo saranno col cambio di governo o il cambio di sentiment politico a livello europeo o mondiale, quindi manteniamo anche lì un senso di scetticismo, non fidiamoci ciecamente dello Stato. Inoltre, i criminali comuni, quindi individuo, gruppi di persone, estorsori meno strutturati e meno voluti dell’organizzazione Stato. Amici, gli amici stessi possono essere veicolo involontario di informazioni critiche. Perché? Perché magari sono pettegoli perché tendono a vantarsi, oppure quello che tu oggi magari reputi essere un amico a cui puoi dire una determinata cosa, domani non si sa cosa succede, si litiga e quindi quella persona per vendetta o per ricatto, può andare anche a sputtanarti in giro e dire tue determinate informazioni. Quindi in linea generale, anche qui è meglio, insomma non andare a fidarsi troppo della propria cerchia di amici. Infine, la più grande minaccia, non possiamo mettere che noi stessi perché siamo alla fine solo noi che possiamo perdere o divulgare informazioni critiche.
Quindi prima di andare a puntare il dito al di fuori del mondo esterno, dobbiamo un po’ lavorare sui nostri aspetti. Se siamo esibizionisti, se ci piace parlare, se quando siamo ubriachi magari andiamo a essere un po’ più con la lingua sciolta o cose di questo tipo. Ok, allora adesso passiamo allo step successivo. Dobbiamo un attimo valutare le vulnerabilità. Alla fine, per rompere una catena basta rompere l’anello più debole, quindi noi magari abbiamo la migliore sicurezza informatica, abbiamo fatto la miglior struttura di sicurezza, multisig e quant’altro, però poi magari alla fine quello che è anche più facile cadere è un po’ l’aspetto umano. Quindi adesso andiamo un po’ a soffermarci su alcuni cose un po’ psicologiche, diciamo. Allora, innanzitutto il perbenismo. Il perbenismo è un modo di comportarsi di chi vuole apparire persona per bene, seguendo ostentazione le norme della morale comune e uniformandosi a quella classe sociale dominante. Perché ho messo questo? Perché a volte ci vengono fatte delle domande dove noi, magari per gentilezza e cordialità, rispondiamo dando una informazione all’altra parte. Però non sempre una risposta è dovuta, oppure a volte va bene anche rispondere prendendo in giro l’avversario per tutelare la propria sicurezza.
Quindi questo spesso quando si parla, quanti Bitcoin hai e quant’altro, bisogna sempre un po’ valutare se vale la pena apparire per forza di cose una persona per bene, quindi dare risposte, educate, oppure se in alcune circostanze conviene non rispondere o, comportarsi in altro modo. Un’altra delle vulnerabilità, diciamo sicuramente, è l’ingegneria sociale. L’ingegneria sociale è lo studio del comportamento di una persona al fine di carpire informazioni utili. E queste, diciamo, sfrutta tutte le tecniche psicologiche che fanno leva su autorevolezza, senso di colpa, panico, ignoranza, desiderio, abilità, compassione e gratitudine. Ad esempio riceviamo una chiamata, diciamo salve lei e il signor Mario Rossi abita in via tal dei tali, sono il direttore della banca che la chiamo, le volevo dire, ma è lei quanti soldi ha, eccetera eccetera, mi carpisce delle informazioni, oppure magari mi propone un finto investimento e io perdo soldi. Quindi fa leva sull’ autorevolezza dell’altra parte che si mette in contatto con me per carpire i miei soldi. Un’altra leva potrebbe essere il senso di colpa, una persona che cammina per strada fa finta di inciampare su di noi, cade e fa finta di farsi male e dopodiché noi col fatto che ci sentiamo in debito per scusarci col senso di colpa, magari abbassiamo un po’ le difese e quindi diamo via delle informazioni che magari non avremmo dato in circostanze diverse. Panico, ignoranza. Ovvero riceviamo un’email dove dice che i tuoi Bitcoin sono stati rubati, accedi qui per controllare oppure per impedire il trasferimento. Facciamo l’accesso, in realtà è in quel momento che divulghiamo informazioni bancarie, chiavi private o tutto ciò che permette all’attacco di andare a buon fine. Desiderio, avidità. Quindi se vogliamo fare ancora più soldi, quindi ci sono 10.000 € bloccati qui, mandami 1.000 € per sbloccare questi fondi, quindi diciamo, il desiderio di avidità, ci fa un po’ agire in maniera incosciente. Compassione e gratitudine. Quindi magari una persona che ci ha fatto un favore siamo più propensi ad accettare delle cose che non avremmo accettato, quindi questo usa anche un po’ di tecniche di psicologia per carpire informazioni, quindi diciamo che l’anello più debole della catena spesso è l’individuo, l’essere umano.
Quindi andiamo un po’ ad analizzare queste situazioni. Allora, innanzitutto come cosa sui difetti personali, quindi esibizionismo, superficialità, senso di solitudine che magari ci spingono a parlare con altre persone, andare a divulgare informazioni sensibili. Ok, poi abbiamo qui due massime dell’ambiente cripto, quindi bisogna valutare che comunque “not your keys not your coin”, quindi in generale se noi non siamo i reali possessori delle chiavi private, non possediamo realmente i Coin, quindi anche qui hai una vulnerabilità, ci stiamo fidando di terze parti, quindi come se fossimo su un Exchange o su una banca terza, e in linea generale, “don’t trust, verify” quindi non essere creduloni, avere sempre un po’ di scetticismo e fare le proprie dovute ricerche.
Quindi come primo passo, calando tutto ciò che abbiamo detto nel settore Bitcoin e criptovalute, dobbiamo renderci noi stessi i primi responsabili dei nostri fondi, prima di affidarli a terzi. Ok, adesso qui valutiamo alcuni scenari, facciamoci delle domande. Ognuno se le faccia a sé stesso e poi si dia una risposta. Cosa succede se subisco un’intrusione dentro casa? Se vengo minacciato con una pistola alla testa? Cioè abbiamo una procedura di sicurezza che ci tutela da questo, oppure pensiamo che questa ipotesi non possa avvenire? Quindi Babbo Natale può rilassarsi ma tu non puoi, perché la sicurezza non va mai in vacanza. Inoltre, sono immune a un mandato di perquisizione? La storia che racconto si contraddice? Cioè nel senso, domani per non si sa quale motivo c’ho un controllo, dai carabinieri, cambiato il governo, abbiamo i Bitcoin che sono illegali, risulta che io nel lontano 2020, magari ho comprato dei Bitcoin, non li ho mai venduti, quindi li ho comprati, ce l’avevo su un exchange, li ho spostati in un indirizzo e quindi stanno ancora lì, no? Che storia posso raccontare per dire che quei Bitcoin non sono più miei, non ci sono stati dei passaggi intermezzo, quindi la storia che racconto è plausibile, oppure si contraddice?
Cioè quello che sto andando a raccontare per l’attaccante, che può essere un ladro, un controllo di polizia o quel che sia, è plausibile? Cioè se la beve, quello che gli dico? Perché se non se la beve questo mi pone in una condizione che di fatto tutto il mio storytelling, tutta la mia difesa non funziona, crolla come un castello di carta. Quindi nella foto, possiamo vedere che il 1 maggio 1933 c’è l’ordine esecutivo del presidente dove tutto l’oro viene considerato di proprietà del governo degli Stati Uniti, quindi parte una confisca a livello nazionale.
Altra vulnerabilità, se muoio gli eredi hanno una procedura di recupero resiliente dal furto? Ok, quindi qui siamo un po’ come funamboli, siamo su una corda, se cadiamo a destra abbiamo qualcuno che ci può rubare i nostri Bitcoin, se cadiamo a sinistra li perdiamo per sempre. Quindi siamo un po’ come dei funamboli, dobbiamo essere bravi a non fare delle procedure troppo sofisticate da non essere più attuabili e anche non fare delle cose un po’ troppo all’acqua di rose che di fatto poi ci portano via i nostri Bitcoin. Quindi queste erano un po’ le vulnerabilità, quindi esserne consapevoli, dopodiché analizzare il rischio, cioè noi con che probabilità rischiamo di essere attaccati in queste circostanze, quanto è probabile che ci sia una perquisizione? Quanto è probabile che io muoia? Quanto è grave la perdita subita in caso nell’attacco? Cioè, nel senso, se succede quella cosa, quanti soldi perdo? Ovviamente se perdo 100 o 1000 € è un conto, posso avere adottato delle misure sicurezza, se ne perdo dai 10.000 ai 100.000 è un altro, se ne perdo da un milione in su ovviamente la perdita è più grande. Quindi ognuno c’ha una propria situazione personale, non esiste qui un vestito su misura, cioè un vestito che va bene per tutti, ognuno di noi si deve domandare con che probabilità è rischio di essere attaccato e quanto è grave la perdita in caso subisco un determinato tipo di attacco nei vari scenari che abbiamo accennato.
Allora, qui passiamo allo step successivo, che era un po’ quello che ci interessa di più, ovvero sviluppare e applicare contromisure. Quindi, innanzitutto la cosa più importante è la narrativa. Le parole plasmano la realtà. Quindi quando una persona ci dice, quanti Bitcoin hai? Noi abbiamo varie possibilità, A) Non ho nessun Bitcoin, però magari non è probabile perché lavori nell’ambiente Bitcoin, quindi com’è possibile? Ci credi talmente tanto, non ne hai neanche pochi? Quindi tu dici no, non ne ho nessuno, ho perso il ledger in fondo al mare.. è una narrativa poco credibile, no? Quindi magari dire, ne ho pochi, per questo questo e questo motivo. Quindi magari dire sì, io ce ne ho un paio, però purtroppo non tanto, sennò oggi non stavo qui, magari ero alle Bahamas, quindi dare una narrativa plausibile che, ad esempio, fornisca alla controparte, una cosa di realtà. O ad esempio, sto facendo uno scambio in contanti di Bitcoin, uno dice, ah sì guarda, sto vendendo 1.000 € di Bitcoin ce ne ho altri 100.000, questo qui era solamente una prova per vedere se sei una persona affidabile.
Ecco questa non è informazione intelligente da dare, magari ha più senso dire, guarda, in questo mese mi hanno pagato quindi facciamo uno scambio da 1.000 € in contanti. Quindi la narrativa, le parole, plasmano la realtà. Ma la narrativa deve avere una negazione plausibile, cioè nel senso, se io ho comprato dei Bitcoin su un exchange, quelli exchange li ho trasferiti a un indirizzo e sono rimasti lì, poi non posso andare a dire guarda, io ho comprato i Bitcoin e poi l’ho usati per comprare il servizio di pinco pallo? No, perché c’ho ancora su quell’indirizzo, che è di mia proprietà e quindi non ci sono stati i passaggi intermedi per dire si guarda ho usato quei Bitcoin, in realtà li ho comprati, però poi ho fatto un pagamento all’estero. Quindi se abbiamo questa narrativa dobbiamo fare dei passaggi in Bitcoin a far sì che la negazione sia plausibile, no? Come il discorso, ad esempio ho un po’ di Bitcoin, subisco un’intrusione dentro casa, magari ho un wallet esca, con un paio di mila euro di Bitcoin sopra per far felice l’attaccante e quindi per avvalorare la mia narrativa che ho pochi Bitcoin e poi magari ho un wallet da un’altra parte con più Bitcoin.
Quindi fare delle negazioni plausibili, cioè le negazioni, non sia palesemente stupida per la controparte, quindi diciamo prenderla un po’ seriamente. Una negazione plausibile è una negazione in cui sia possibile dichiararsi formalmente estranei a una fattispecie. Questo nasce nella crittografia, dove ad esempio abbiamo il computer crittografato, andiamo in aeroporto, ci obbligano a mettere la password per sbloccare il computer e magari il nostro sistema di crittografia ha un sistema tale per cui se metto una password sblocca una determinata porzione dei dati crittografici, se ne metto un’altra ne sblocca un’altra. Così io magari posso avere un sistema operativo pulito dove ho determinate cose, quindi è una negazione plausibile. Metto la password, non c’è nessun dato dentro di interessante. Quando invece avrei potuto mettere la password, diciamo più sensibile che magari dava accesso ai miei wallet di criptovalute o altre informazioni che non volevo dichiarare, quindi a volte anche semplicemente crittografare il computer non è sufficiente perché in determinati tipi di attacchi come estorsione o comunque coercizione al dover mettere la password si è soggetti a cedere, perché di fronte alle torture è difficile mantenere una integrità di sicurezza tale.
Allora la paura è tua amica, la paranoia tua arma, quindi diciamo, questo è un talk per invitare ad alzare il livello di sicurezza un po’ nella community in generale, perché comunque poca è la consapevolezza a volte delle proprie informazioni. Solamente poche persone di nicchia fanno un po’ attenzione ad avere una buona una buona OpSec. Adesso qui facciamo alcuni esempi un po’ pratici. Innanzitutto vediamo cos’è il Wrench Attack.
Quindi abbiamo un computer super crittografato, abbiamo il Wallet con un Ledger Nano S dentro casa, quindi noi pensiamo che dall’esterno nessuno può rubarci i nostri soldi. Alla fine un attaccante invece che contattare un hacker e dirgli “rompi la crittografia avanzata RSA”, prende un malvivente comune, gli dà una chiave inglese e quindi dice spaccagli la testa fin quando non ti dice la password del Ledger e rubargli i Bitcoin. Quindi semplicemente è un attacco a bassissimo livello che però è efficace e questo, diciamo, sposa un po’ il concetto che alla fine, per rompere una catena a basta rompere l’anello più debole.
Quindi, sicuramente per prevenire questo tipo di attacco è utile mantenere una buona privacy, quindi non far sapere che che si hanno determinati fondi, primo step, secondo step, è sicuramente una separazione geografica delle chiavi. Perché, cosa comporta? Che il tempo di accesso ai propri fondi aumenta. Quindi c’è un maggiore rischio per l’attaccante che dovrebbe sequestrarvi e portarvi in diverse zone, quindi magari tra Roma, Milano e un ufficio a Catania. Quindi l’utente dovrebbe sequestrarvi e fare un tour dell’Italia per andare a prendere le varie chiavi che sono dislocate in punti fisici diversi, dovrebbe andare in vari luoghi e questo aumenta l’esposizione per l’attaccante e fa sì che l’attacco non sia tanto più allettante perché aumentano i rischi per l’attaccante.
Un’altra cosa buona è avere luoghi con orari di accesso limitati, quindi magari se andiamo in ufficio che apre dalle 8 alle 4 mettere lì una chiave del ledger magari potrebbe essere una buona idea, perché un attaccante dovrebbe recarsi in un luogo pubblico che magari per esempio di notte è chiuso. Anche se poi nella peggiore delle ipotesi comunichiamo esattamente dove stanno tutti i nostri vari ledger. Quello che si andrebbe a verificare è comunque una corsa ai fondi. Quindi l’attaccante non ha immediatamente accesso a quei Wallet e quindi noi abbiamo per contro nostro magari un amico che abita a Milano che puo’ arrivare prima dell’attaccante o così via, quindi questo qua innescherebbe una corsa ai fondi.
Quello che abbiamo già accennato è sicuramente avere un Wallet esca, se ne può avere uno o più di uno, in base a quanto si è paranoici, quindi, sicuramente in caso in cui un ladruncolo si intrometta dentro casa e vede il nostro bel quadro di Bitcoin dentro casa, perché non abbiamo prestato abbastanza attenzione alla OpSec, abbiamo voluto dire al mondo che siamo grandi fan di Bitcoin, questo Wallet esca ci può proteggere da tentativi di estorsione. E magari ci può anche far salvare la pelle, perché senno un attaccante non trova nulla, insoddisfatto potrebbe continuare torturarci a riempirci di botte fino a quando non gli diamo i fondi.
Altri consigli utili sono usare un password manager e non usare sempre la stessa password su più siti. Perché la problematica non è solamente inerente a Bitcoin ovviamente, ma anche si può avere un furto di identità e da lì accedere ad alcune informazioni che poi magari sono utili per altri fini. Sicuramente non comprate hardware Wallet su siti non affidabili, quindi comprateli su siti affidabili. Ad esempio, se dovete trasportare il Ledger Nano oltre confine, quindi magari dovete passare il la dogana con il ledger, staccategli la banda metallica, cosicché sembra solo una normale pennetta USB quindi, che andate un po’ a anonimanizzarlo, a non rendere esattamente chiaro che cos’è.
Magari evitate merchandise di cryptocurrency, quindi se fate un viaggio, magari in posti dove c’è molta criminalità o dove dal governo non sono ben viste le criptovalute e andate in giro con la la maglietta Bitcoin ovunque, ovviamente questo attirerà a lungo periodo oppure la macchina, la Lamborghini piena di Bitcoin sicuramente quella non è una buona OpSec.
Evita se puoi di farti recapitare cose crypto al tuo indirizzo, quindi magliette, ledger nano S, e tutto ciò che ne consegue, quindi merchandise, una tazza di Bitcoin e qualsiasi cosa diciamo.
Utilizzate il two-factor authentication. Che cos’è il two factor-authentication? E’ un’informazione che sai, quindi la password, quella che già utilizziamo su quasi tutti i siti e una informazione che possiedi, quindi abbiamo il telefono con Google Authenticator, un’altra applicazione di autenticazione che genera un numero solitamente che scade in 60 secondi. Quindi questo ci tutela, se viene rubata la nostra password, l’attaccante dovrebbe anche rubare il dispositivo – quindi in questo caso il telefono – che ha il secondo fattore di accesso.
Impostare un secondo fattore di accesso è importante per proteggersi dal furto di password. Non usare un numero di telefono come two-factor authentication perché questo è soggetto all’attacco dei SIM swap, cioè qualcuno che si finge la tua persona e vuole fare la migrazione del numero a un’altra SIM, quindi la tua SIM viene disattivata e ti ruba il numero di telefono quindi questo gli consente di accedere al conto bancario, ad altre piattaforme delicate, exchange e cosi via. Fare sempre backup del seed del two-factor authentication. Anche il two-factor authentication ha un seed, se perdiamo il telefono ovviamente questo comporta di perdere il two-factor authentication, quindi in alcuni provider di servizi questo ci rende inaccessibile l’accesso, quindi fare sempre il backup del seed che genera il two-factor authentication, quindi non scannerizzare solo il QR Code. A volte fare vedere la scritta in testo a salvarla in qualche posto sicuro.
Altri consigli pratici e utili, sono ad esempio usare Wallet dietro Tor. Questo perché? Perché se noi utilizziamo un Wallet normale, il nostro Internet provider può raccogliere informazioni che noi stiamo utilizzando un Wallet Bitcoin e quindi che abbiamo Bitcoin, quindi le linee sono tutte intestate a nome e cognome e quindi questo qui identifica che è quella persona, magari sta facendo delle transazioni Bitcoin. Utilizzare Wallet dietro dietro Tor è una buona norma che rende scollegabile chi sta utilizzando il Wallet dal network. Utilizziamo preferibilmente protocolli UTXO, quindi Lighting Network per i pagamenti. Questo perché hanno un design che è più privacy oriented, ad esempio Ethereum ha un design pessimo perché è un design di tipo accountant, come un bonifico, dove un indirizzo invia ad un’altro indirizzo. Quindi si vede proprio chiaramente chi è il mittente e il destinatario, perché il resto rimane sul conto del mittente, mentre in Bitcoin vengono generati due nuovi indirizzi, quindi non si sa chi è stato pagato e chi ha il resto. E quindi quando ci sono buoni scambi di Bitcoin aumenta la difficoltà al tracciamento di dove vengono quei Bitcoin e dove vanno.
Assicuriamoci che non ci siano telecamere dietro allo schermo del computer, non pronunciamo la nostra seed phrase ad alta voce. Vedo tante persone, soprattutto inesperti, comprano il Ledger nano S, si mettono la, siccome devono ricopiare le parole, mentre le scrivono, le leggono ad alta voce. Però dentro casa ormai abbiamo dispositivi come Alexa, come Google Home, anche il nostro telefono ha il microfono sempre attivo per capire quando diciamo Ok Google, infatti, a me si è attivato il telefono. Il microfono è sempre attivo e quindi non diciamo il seed phrase ad alta voce. Non facciamo screenshot della frase oppure foto, salviamo offline su pezzi di carta, su metallo, su pietra, su oggetti che non si rovinano e comunque rimanere offline, un computer spento è un computer sicuro, mettere l’informazione offline è sicuramente un buon modo per proteggerla.
Ma soprattutto generiamo il nostro seed phrase – le 12 parole o le 24 parole che danno la possibilità di recuperare il nostro portafoglio – con un’ entropia verificabile. Quindi in base al vostro grado di conoscenza, se volete farlo con dei dati, delle carte da poker ci sono dei programmi su keytab, oppure se proprio vogliamo fidarci dell’entropia che viene generata dai hardware wallet, come ledger, come trezor, come coldcard e così via, andiamo a creare una passphrase aggiuntiva. Questo perché? Perché la seed phrase – se il dispositivo è malevolo – potrebbe essere pre-generata, quindi non essere generata casualmente, quindi già pre condivisa con un attaccante che nel momento in cui viene caricata di fondi, poi vengono portati via. Quindi c’è questo pericolo, ancora non si sono visti questi tipi di attacchi, però, in un futuro sicuramente se ne vedranno quando aumenterà la mass-adoption, quindi quello che possiamo andare a fare è di non usare solamente una seed phrase che ha generato il nostro Ledger Nano S ma andare ad aggiungere una venticinquesima parola custom che aggiunge una nostra entropia al sistema delle 24 parole e che quindi è più difficile che quell’attaccante riesca anche a carpire queste informazione.
Verifichiamo sempre che la master pubkey corrisponda al dispositivo, quindi in linea generale cerchiamo di essere un po’ paranoici, di verificare sempre e di non fidarci. Questo anche è un ottimo consiglio.
Poi questa è una buona norma, spostiamo sempre piccole cifre test prima di muovere i grossi capitali, soprattutto su un nuovo hardware wallet, soprattutto su una nuova piattaforma su qualsiasi cosa in generale. Su un nuovo protocollo che non conosciamo. Siamo nuovi su Bitcoin, non andiamo subito a fare un grosso acquisto e a metterlo su un indirizzo di chiave privata se non l’abbiamo fatto prima. Facciamolo con piccole cifre, verifichiamo che abbiamo la possibilità di rispendere quindi di farli ritornare indietro come prova, dopo che abbiamo acquistato un po’ di confidenza e capito un po’ come funziona per la prima volta, magari poi possiamo iniziare a muovere grossi capitali, quindi la buona regola è prudenza.
Usiamo VPN quando possibile, i VPN sono servizi che ci permettono di filtrare il nostro traffico e farlo passare in un tunnel segreto e farlo uscire dall’altra parte del globo cosicché il nostro internet provider anche non sa delle informazioni della nostra navigazione, dei software che facciamo girare. Immaganizziamo la seed phrase su tavolette d’acciaio, l’avevo detto anche prima, questo perché se lo facciamo solo su sulla carta, magari la carta col tempo ingiallisce prende fuoco, si bagna, se la mangia il cane, non è un supporto duraturo nel tempo, quindi cosa succede se avviene un incendio dentro casa mia? Oltre che la casa perdo anche tutti i miei Bitcoin? Quindi lo facciamolo su supporti duraturi, quindi pietra o acciaio o acciaio inox, magari gettiamoli del cemento sotto terra, muriamolo non so, in dei pozzetti, dentro al muro. Insomma, mettiamolo in un posto dove noi pensiamo che sia al sicuro.
E quindi dobbiamo nascondere un oggetto e potenzialmente possiamo anche dividere le parole – ci sono vari modi – se facciamo un multisig due di tre, possiamo fare tre chiavi private, divise in diversi luoghi e quindi magari anche se una persona poi va li e trova il singolo oggetto con le 12 parole non è un problema perché non conosce dove stanno gli altri per avere accesso ai fondi. Verifichiamo sempre le firme del Wallet quando utilizziamo un software verifichiamo che sia firmato dagli sviluppatori, cosicché non può essere alterato, perché magari noi abbiamo tutto perfetto, il ledger fatto bene, tutto ok, poi il Wallet ci da un indirizzo che in realtà non è derivato dalla master public key del ledger e quindi quando siamo convinti che stiamo inviando i fondi a noi stessi, li stiamo inviando un’altra parte.
Quindi questo sposa l’affermazione di prima, facciamo sempre trasferimenti a piccole cifre, non fidiamoci mai, non facciamo le cose di fretta.
Soprattutto compriamo Bitcoin senza KYC, quindi preferibilmente in contanti. Relai, Bitcoin voucher Bot e così via. Soprattutto non facciamo operazioni delicate in un momento di confusione. Ok, quindi prendiamoci il nostro tempo, non ci deve stare l’amico che ti parla sotto, chiamate di lavoro, bambini che urlano o la mamma dice che gli si è rotto l’affiatamento. Scegliamoci il nostro momento, mettiamo il silenzioso, facciamo l’operazione dedicate al massimo della sicurezza, non facciamolo mentre beviamo la birra, abbiamo un attimo un po’ di buon senso. Sicuramente verifichiamo l’indirizzo prima di inviare, le transazioni sono irreversibili, quindi facciamo sempre un double check dell’intero indirizzo sia alla parte iniziale che finale, ma anche lettere del mezzo, se è possibile. Ok, se è possibile non fare KYC, quindi comprare anche anche su Bisq che non ho detto prima. Soprattutto costruire una storia coerente se viene fatta la KYC. Quindi se in passato abbiamo comprato dei Bitcoin e questo ormai non possiamo cancellarlo come evento, sta in una base dati che magari è accessibile e che un domani verranno divulgati per furto di dati, come spesso accade che c’è stato un attacco informatico, quindi questo magari potrebbe essere un’informazione che sarà di pubblico dominio. Quindi ormai un errore l’abbiamo fatto, costruiamo una storia coerente, quindi facciamo degli spostamenti tali per cui per inventarci una narrativa che sia con una negazione plausibile.
Questo è tutto. L’obiettivo di questa puntata era quella di farvi avere il focus su un tema molto delicato e che in pochi parlano ma che sarà sempre di più presente nelle nel prossimo futuro.
Come ho detto all’inizio della della puntata, Bitcoin è un nuovo paradigma dove i soldi sono posseduti realmente dall’individuo e quindi questo comporta, oltre a una serie di vantaggi come libertà, sicuramente anche responsabilità e quindi vi auguro a tutti una buona OpSec,
Ciao a tutti!