SSP Editorial Team

Kripto Kullanıcıları İçin Tarayıcı Eklentisi Hijyeni

·6 dk okuma·Yazar: SSP Editorial Team
Tarayıcı eklentisi hijyeni için cüzdan, anahtar, kalkan ve çip simgeleri olan SSP güvenlik kapağı

Tarayıcı eklentisi cüzdanı kullanışlıdır: tek tık ötede durur, işlemleri yerinde imzalar ve enjekte edilen bir sağlayıcı veya WalletConnect aracılığıyla dapp'lere bağlanır. Bu kullanışlılığın bir bedeli var. Bir eklenti, tarayıcınızın içinde çalışan ve ziyaret ettiğiniz sayfaları görme ile değiştirme iznine sahip koddur — ve saldırganlar bunu bilir. Kendi varlıklarınızı kendiniz saklıyorsanız tarayıcı, tehdit modelinizin bir parçasıdır ve eklenti hijyeni edinebileceğiniz en ucuz, en yüksek getirili alışkanlıklardan biridir.

Bu rehber; eklentilerin neden bu kadar cazip bir hedef olduğunu, saldırı yüzeyinizi küçülten bir avuç kuralı, LavaMoat'ın ne yaptığını ve SSP'nin eklentisinin neden onunla geliştirildiğini, ayrıca SSP'nin 2/2 multisig yapısının tamamen ele geçirilmiş bir eklentiye karşı bile nasıl bir güvenlik ağı oluşturduğunu ele alıyor. Bu kategoride yeni misiniz? Önce Tarayıcı Eklentisi Cüzdanları Açıklandı yazısıyla başlayın, sonra geri dönün.

Bir tarayıcı eklentisi neden cazip bir hedeftir

Eklentiler geniş izinlerle çalışır. Tipik bir cüzdan eklentisi, yüklediğiniz sayfaların içeriğini okuyup değiştirebilir, yazdıklarınızı izleyebilir ve panoya erişebilir. Bu yetenekler, bir cüzdanın sağlayıcı enjekte etmek ve imzalama istemini göstermek için tam olarak ihtiyaç duyduğu şeydir — ve bir saldırganın tam olarak istediği şey.

Kötü niyetli veya ele geçirilmiş bir eklentinin, tohum ifadenize hiç dokunmadan neler yapabileceğini düşünün:

  • Kopyalanan bir adresi değiştirir. Bir alıcı adresini kopyalarsınız; eklenti panoyu yeniden yazar, böylece yapıştırdığınız adres saldırgana aittir. Bu pano ele geçirme yöntemi eski, güvenilir ve görünmezdir.
  • Bir dapp'e komut dosyaları enjekte eder. Gördüğünüz sayfayı değiştirebilir; beklediğiniz değerleri gösterirken bir işlemin tutarını veya hedefini değiştirir.
  • Ekranınızdakileri okur. Bakiyeler, adresler ve sayfadaki diğer her şey okunabilir. Bir kimlik avı sayfasıyla birleştiğinde, bu bilgi tuzağı çok daha inandırıcı hale getirir — bkz. Kripto Kullanıcılarını Hedefleyen Kimlik Avı Saldırıları.

Ekonomisi acımasız: popüler bir eklenti aynı anda milyonlarca kullanıcıya ulaşabilir, bu yüzden tek bir yayıncıyı ele geçirmek muazzam bir çabaya değer. En tehlikeli versiyon, yanlışlıkla kurduğunuz sahte bir eklenti değildir — halihazırda güvendiğiniz, ancak bir güncellemeden sonra düşmanlaşan meşru bir eklentidir.

Hijyen kuralları

Bir tarayıcıyı tamamen güvenli hale getiremezsiniz, ancak onu kötü bir hedef haline getirebilirsiniz. İlke en az ayrıcalıktır: daha az eklenti, daha dar izinler ve kripto tarayıcınız ile diğer her şey arasında net bir ayrım.

Kurduğunuz şeyleri en aza indirin

Her eklenti bir saldırı yüzeyi ve sizin yazmadığınız bir tedarik zinciri bağımlılığıdır. İdare edebileceğiniz kadar az kurun, uzun bir geçmişe sahip tanınmış projeleri tercih edin ve kullanmayı bıraktığınız her şeyi kaldırın. Bir cüzdan ile bir donanım cüzdanı köprüsü fazlasıyla yeterlidir; fonlarınızla aynı tarayıcıyı paylaşan bir düzine üretkenlik eklentisi ise değil.

Özel bir tarayıcı profili kullanın

Yalnızca kripto için kullanılan, yalnızca cüzdan eklentinizin kurulu olduğu ayrı bir tarayıcı profili — veya ayrı bir tarayıcı — oluşturun. Kupon bulucu, ekran görüntüsü aracı ve rastgele "AI" kenar çubuğu, bir işlemi imzalarken sayfayı okuyamayacakları günlük profilinizde kalsın. Bu tek değişiklik, neredeyse hiç çaba harcamadan günlük riskin çoğunu ortadan kaldırır.

İzinleri ve güncellemeleri gözden geçirin

Bir eklenti kurarken veya güncellerken, izin istemini tıklayıp geçmek yerine okuyun. "Tüm web sitelerindeki tüm verilerinizi okuyun ve değiştirin" ifadesi bir cüzdan için normal, bir hesap makinesi için endişe vericidir. Otomatik güncelleme gerçek bir tedarik zinciri riskidir: Pazartesi günü incelediğiniz derleme, Perşembe günü yayınlanan derleme değildir ve ele geçirilmiş bir geliştirici veya bağımlılık, kötü amaçlı kodu doğrudan tarayıcınıza gönderebilir. Her güncellemeyi elle inceleyemezsiniz, bu yüzden güvenlik modeli kendi bağımlılıklarının bozulabileceğini varsayan eklentileri tercih edin — ki LavaMoat tam olarak bunu sağlar. Daha geniş örüntü için Tedarik Zinciri Saldırıları ve Deterministik Derlemeler yazısını okuyun.

Sahte cüzdan eklentilerini fark edin

Mağazalar benzerleriyle dolu: doğru ad, kopyalanmış bir logo, uydurma yorumlar ve daha önce hiç duymadığınız bir yayıncı. Sahte bir cüzdan eklentisinin tek işi, tohum ifadenizi ele geçirmek veya bir işlemi değiştirmektir. Kurmadan önce yayıncının projenin resmi sitesiyle eşleştiğini doğrulayın, kurulum sayısını ve geçmişini kontrol edin ve indirme bağlantısını mağaza aramasından değil, projenin kendisinden takip edin. Chrome Web Store program politikaları taklitçiliği yasaklar, ancak uygulama yayınlamanın gerisinde kalır — mağazayı bir garanti değil, bir başlangıç noktası olarak görün. Ve tohum ifadenizi asla bir eklenti açılır penceresine yazmayın.

LavaMoat ne yapar (ve SSP neden kullanır)

Modern web uygulamaları, herhangi biri ele geçirilebilecek yüzlerce üçüncü taraf paketten oluşur. LavaMoat, JavaScript'i tam da buna karşı güçlendiren açık kaynaklı bir araç setidir: her üçüncü taraf bağımlılığını kendi kısıtlı ortamında izole eder ve her paketin neye erişebileceğine dair açık bir politika uygular. Zehirlenmiş tek bir paket, artık uygulamanın geneline uzanıp anahtarlarınızı okuyamaz, bir işlemi kurcalayamaz veya veri sızdıramaz — politikasının izin verdiği dar yüzeyle sınırlıdır.

Bu önemli, çünkü tedarik zinciri saldırıları öne çıkan projeyi değil, bağımlılığı hedef alır. SSP'nin tarayıcı eklentisi LavaMoat ile geliştirilmiştir, bu nedenle bir geçişli bağımlılık yukarı akışta ele geçirilse bile, etki alanı cüzdanınızın anahtarlarını teslim etmek yerine sınırlandırılır. Bu, kişisel olarak denetleyemeyeceğiniz tek riske uygulanan derinlemesine savunmadır: başkalarının yazdığı kod. Bu tür saldırının neden kendi başvuru kılavuzunu hak ettiğini görmek için, OWASP tedarik zinciri ve enjeksiyon risklerini owasp.org adresindeki kılavuzunda kataloglar.

SSP'nin 2/2 yapısı kötü bir eklentiyi nerede engeller

İşte dürüst ve belkemiği niteliğindeki nokta. Diyelim ki en kötü senaryo yine de gerçekleşti ve tarayıcı eklentiniz tamamen ele geçirildi. Yine de işin yalnızca yarısını yapabilir.

SSP bir 2/2 multisig'tir. Her işlem iki bağımsız imza gerektirir — biri tarayıcı eklentisinden, diğeri telefonunuzdaki, kendi ekranına sahip ayrı bir cihaz olan SSP Key'den. Ele geçirilmiş bir eklenti kötü amaçlı bir işlem oluşturabilir, ancak ikinci imzayı üretemez. İstek telefonunuza ulaştığında, gerçek hedefi ve tutarı eklentinin kontrol etmediği bir yüzeyde görür ve reddedersiniz. Saldırgan, asla yayınlanmayacak bir işlem üzerinde tek bir imzayla baş başa kalır.

Bu, bir pazarlama cümlesi değil, gerçek ve yapısal bir güvenlik ağıdır — ve iki bağımsız onay yüzeyinin tek bir yüzeyi tam da bu yüzden geride bıraktığının kanıtıdır. Aynı zamanda kirli bir tarayıcı çalıştırmak için bir ruhsat da değildir. İkinci anahtar imzalama anını korur; elle onayladığınız bir pano değişimini durdurmaz ve başka yerlerdeki kötü alışkanlıkları geri almaz. Onu tek savunma hattınız olarak değil, son savunma hattınız olarak görün. Multisig'in bile nerede sınırlarının olduğunu görmek için Multisig Hata Modları ve SSP Bunları Nasıl Azaltır ve Anahtarlarınızdan Biri Ele Geçirilirse Ne Olur yazılarını okuyun.

Hızlı bir eklenti denetimi

Bunu bugün beş dakikada, ardından üç ayda bir yapın:

  1. Tarayıcınızın eklentiler sayfasını açın ve kurulu olan her şeyi listeleyin.
  2. Son bir ayda kullanmadığınız her eklentiyi kaldırın.
  3. Kalan her biri için yayıncının projenin resmi sitesiyle eşleştiğini doğrulayın.
  4. Her birinin sahip olduğu izinleri kontrol edin ve yaptığı işe göre aşırı ayrıcalıklı olan her şeyi kaldırın.
  5. Cüzdanınız henüz orada değilse, onu özel, yalnızca kripto için bir profile taşıyın.
  6. Cüzdan eklentinizin resmi kaynaktan geldiğini ve mümkün olan yerlerde LavaMoat ile güçlendirildiğini doğrulayın.

Devam edin

Tarayıcı hijyeni tek bir katmandır. Bunu kimlik avı farkındalığı, sağduyulu tohum ifadesi saklama ve cüzdanınızın anahtarlarının nasıl bölündüğüne dair net bir anlayışla birleştirin. Güçlü alışkanlıklar ile SSP'nin 2/2 mimarisi, kötü bir eklentinin bir felaket değil, bir zahmet olduğu anlamına gelir — ancak bu alışkanlıkların yine de sizin olması gerekir.

Bu makaleyi paylaş

İlgili makaleler

Korumalı alan ve 2/2 imza kilidiyle korunan bir tarayıcı eklentisi cüzdanının çizimi

Tarayıcı eklentisi cüzdanları açıklandı

Tarayıcı eklentisi cüzdanları nasıl çalışır, taşıdıkları güvenlik riskleri ve SSP'nin bunları LavaMoat ve 2/2 tasarımıyla nasıl sınırladığı.

6 min read
SSP güvenlik kapağı; cüzdan, anahtar, kalkan ve çip simgeleri ile kripto phishing saldırılarına yönelik bir kılavuzu göstermektedir.

Kripto Kullanıcılarını Hedef Alan Phishing Saldırıları (ve Nasıl Fark Edilir)

Kripto phishing sizi hedef alır, kriptografiyi değil. Cüzdan boşaltıcıları, onay phishing'i ve adres zehirlemeyi öğrenin; SSP nasıl yardımcı olur görün.

7 min read
Cüzdan, anahtar, kalkan ve çip simgeleri ile Tedarik zinciri saldırıları ve deterministik derlemeler başlığını taşıyan kapak görseli

Tedarik zinciri saldırıları ve deterministik derlemeler

Yazılım tedarik zinciri saldırısı nedir, kripto cüzdanları neden öncelikli hedeftir ve çalıştırdığınızı nasıl doğrularsınız.

7 min read