Bezpečný krypto počítač

Paranoidní krypto bezpečnost aneb když Trezor nestačí

Už máte perfektně zvládnutý Trezor či Ledger a bezpečnost rozhodně neberete na lehkou váhu.

Co ale dělat, když vlastníte i kryptoměny, které ani jedna hardwarová peněženka zatím nepodporuje? Nebo co si počít, když chcete provozovat masternody, kde prostě musíte jít cestou mimo hardwarové peněženky? Máte v takových případech v podstatě jen dvě možnosti...

  1. Nainstalovat si peněženku na svůj běžný počítač a riskovat, že v ní budou bezpečnostní díry a hackeři vám ji vyberou… v horším případě se dostanou i dál. Riziko není nijak obrovské, ale pokud na stejném počítači, kde máte i krypto, brouzdáte po internetu, otevíráte maily atd. - riziko tam je vždy. Většina lidí to neřeší až do okamžiku, kdy se stane něco jako že přijdete o XY. 
  2. Vytvořit si separátní “krypto počítač”, který nebudete používat na NIC jiného a který od základů zabezpečíte na maximum.

V dnešním návodu si ukážeme, jak udělat co nejjednodušeji za B. Provedeme vás krůček po krůčku...

Co budete potřebovat:

  1. Separátní počítač
    - Čím výkonější, tím lepší, ale i starší počítač postačí.
    - Poměrně velký disk - počítejte cca 50GB na jednu kryptoměnu
    ​- Pokud použijěte starší, tak ho nejprve zformátujte
  2. USB flashku (ideálně 4GB nebo více)
  3. Drátovou klávesnici a myš (nikoliv bezdrátové
  4. Lastpass placenou verzi Pro. Nainstalujte si ho na mobil, kde bude krytý otiskem prstu. Za přibližně 50 Kč měsíčně tak budete mít generátor a zároveň “trezor” velmi silných hesel, chráněný vaším otiskem. Šifrovací experti by jistě našli lepší řešení, ale my volíme nejlepší poměr mezi bezpečností a uživatelským pohodlím pro běžného člověka.  bezdrátové)
  5. VPN (přibližně 150 Kč měsíčně)
  6. Trpělivost 🙂

Nejdříve si řekneme, o co nám tu vlastně jde. Už jen to, že oddělíme krypto počítač od běžného každodenního počítače je velký posun v bezpečnosti. My navíc použijeme velmi bezpečný open-source operační systém Linux, zašifrujeme celý harddisk, nastavíme bezpečnost na pohodlné maximum a jako paranoidní třešničku na dortu vytvoříme pro každou kryptoměnu separátní “virtuální počítač”. To v lidštině znamená, že i v katastrofálním a velmi nepravděpodobném případě, že někdo i přes všechny kroky v tomto návodu napadne jednu vaši peněženku, nikdy se nedostane k dalším.

Počáteční instalace zabere nějaký čas, ale jakmile společně vše dobře nastavíme, přidat další coin je už pak hračka na pár kliknutí. A hlavně můžete zase klidně spát 🙂 Tak jdeme na to…

1) Nainstalovat Ubuntu jako hlavní operační systém 

  1. Na svém běžném každodenním počítači si z oficiálních stránek stáhněte nejnovější verzi Ubuntu (stažený soubor má koncovku .iso)
  2. Nyní z tohoto souboru musíme vytvořit tzv. “Bootovatelné USB” (USB, ze kterého pak na krypto počítači nainstalujeme Ubuntu). Návody níže, případně použijte Google překladač:
  3. USB máme připraveno. Teď je potřeba USB zasunout do vypnutého krypto počítače (který je buď nový a nepolíbený, nebo starší ale kompletně zformátovaný a čistý). Zapněte krypto počítač. Při nabíhání úvodní obrazovky na vás nejspíš vyskočí “textová” výzva. V tento okamžik stiskněte klávesu F12 (nebo jinou, u které se píše Boot Menu). Nyní ve výběru šipkami klávesnice zvolte variantu USB.
  4. Nyní se postupně rozběhne testovací rozhraní Ubuntu. Dostanete na výběr, jestli chcete testovat (try), nebo instalovat (install). Zvolte install. Tím zahájíte instalaci Ubuntu na váš kryptopočítač.Jako jazyk vyberte angličtinu (protože návody pro konkrétní peněženky atd. jsou v angličtině, tak aby vás pak nemátly)

  • Jako jazyk vyberte angličtinu (protože návody pro konkrétní peněženky atd. jsou v angličtině, tak aby vás pak nemátly)
  • Rozložení klávesnice klidně nechte jak je
  • Updates nechte defaultně
  • Installation type - zde chcete zaškrnout “Encrypt the new…” a “Use LVM”
  • Security key je důležité heslo, protože s ním budete dešifrovat celý disk při spouštění Ubuntu. Heslo si někam fyzicky zapište na papír, a/nebo vložte do lastpassu
  • Zaklikněte “Overwrite empty disk” space jako dodatečný bezpečnostní prvek
  • Vyberte časovou zónu - na výběru nezáleží
  • Vytvořte si účet - uživatelské jméno a heslo - i toto si důkladně zapište a/nebo uložte do Lastpass, budete také potřebovat pro každé přihlášení
  • Čekejte na dokončení instalace
  • Po skončení instalace vyberte, že chcete restartovat počítač.
  • Jakmile uvidíte černou obrazovku, vyndejte USB. Počítač by se měl automaticky nabootovat do nového Ubuntu. Kdyby se to nepovedlo, proveďte tvrdý restart tlačítkem na počítači a při nabíhání zmáčkněte F12 (či jinou odpovídající klávesu s Boot menu, jak už to umíme ze třetího kroku). Tentokrát vyberte Ubuntu a stiskněte Enter
  • Nejprve musíte dešifrovat disk, pak se přihlásit jako uživatel. K obojímu máte hesla z kroku 4)
  • Při prvním spuštění Ubuntu nás čeká prvotní nastavení:
    - za zmínku stojí jen zvolit, že nechcete posílat data developerům (kvůli bezpečnosti)
    - v pravém horním rohu vypněte bluetooth
  • Pokud s Ubuntu máte nějaké zkušenosti , můžete využít tyto pokročilejší tipy pro bezpečnost. okud s Ubuntu zkušenost nemáte, řešit to zatím nemusíte. (nebo se časem naučte pracovat s terminálem a k návodu se vraťte)

První důležitý krok máme za sebou! Dobrá práce 🙂

2) Nastavit počítač do "neprůstřelného režimu"

Pokud s Linuxem (Ubuntu) nemáte předchozí zkušenosti, tak zjistíte, že programy se zde instalují trochu jinak, než ve Windows či na MACu - nejčastěji přes tzv. Terminál, nebo speciální nativní aplikací Ubuntu software.

My budeme potřebovat jen pár programů, nebojte… a sice:

  1. Firefox (bezpečný prohlížeč)
  2. Antivirus (proti hrozbám)
  3. Firewall (ochranná zeď)
  4. VPN (měnič IP adresy)
  5. VirtualBox (oddělené virtuální počítače)

Firefox

  1. Otevřete Firefox (v levé liště v Ubuntu hledejte ikonu s “liškou”)
  2. Nejdříve do Firefoxu nainstalujeme následující rozšíření… Jděte na addons.mozilla.org a jeden po druhém najděte a pak Add to firefox:
    - Web of Trust (plugin a ne motiv!)
    - HTTPS Everywhere
    - Adblock Plus
    - Noscript
  3. Pro ještě větší ochranu můžete aplikovat některé prvky z tohoto článku (případně použijte Google překladač). Doporučujeme udělat vše až po Disable WebRTC včetně.

Antivirus

  1. Otevřete v Ubuntu v levé liště Software app (ikonka “kufřík s Áčkem”)
  2. Do vyhledávání napište ClamTK a klikněte na Install

Firewall

  1. Opět v Software app dejte vyhledat gufw a klikněte na Install
  2. Spusťte firewall a ve statusu překlikněte na ON

VPN

  1. Doporučujeme privateinternetaccess.com (pokud už nějakou placenou VPN máte a používáte, klidně u ní zůstaňte)

Virtualbox

  1. Stáhněte zde (zvolte tu nejnovější verzi Ubuntu, nejvíc nahoře) a nainstalujte

Tak základní bezpečnostní programy a add-ony máme nainstalovány, teď už jen některé z nich donutíme spustit se při každém startu:

  1. Vlevo v liště Ubuntu úplně dole klikněte na ikonku (několik puntíků u sebe) a napište do vyhledávácího pole “Startup applications preferences
  2. Klikněte na Add, jako name napište mullvad, jako command také mullvad
  3. Znovu klikněte na Add, jako name napište clamtk, jako command také clamtk

Ubuntu máme perfektně nastavené a můžeme se vrhnout na vytvoření šablony virtuálního počítače...

3) Vytvořit a nastavit šablonu virtuálního počítače

Pokud už máte zkušenost s Ubuntu, umíte instalovat knihovny a programy přes terminál, můžete tuto sekci o Windows přeskočit a zastavit se až u sekce Dodatek pro linuxáky níže. Nicméně ne všechny peněženky podporují Linux, takže možná budete časem také potřebovat Windows. Pokud s linuxem zkušenosti nemáte, budeme pro vaše peněženky vždy instalovat virtuální počítače s Windows.

Příprava šablony

Nejdříve si pečlivě vytvoříme šablonu, vše na ní do puntíku nastavíme a připravíme. Pak už ji budeme jen klonovat a vytvoření nového virtuálního počítače pro další kryptoměnu tak bude úplná hračka na pár kliknutí…

  1. Nejprve si v Ubuntu přes Firefox stáhněte tento soubor pro instalaci Windows 7 (soubor s koncovkou .ISO). Raději jej zkontrolujte antivirem
  2. Otevřete si v Ubuntu program VirtualBox. Nahoře klikněte na New.
  • Název dejte například SABLONA Windows, ať ji pak vždy lehce poznáte. Jako type vyberte Microsoft Windows. Jako version vyberte Windows 7 (64-bit). Klikněte na Next.
  • Memory size můžete nechat přednastavenou, nebo zvýšit v rámci zeleného pole. Pokud neplánujete stakovat (tzn. že by virtuální počítač jel nonstop), doporučujeme dát co nejvíc. Pokud chcete stakovat, tak musíte počítat, že se všechny virtuální počítače běžící zároveň musí dělit o celkovou kapacitu vaší RAM. Máte-li tedy RAM 16GB a víte, že 3 virtuální počítače poběží zároveň, dejte každému 3GB (a zbytek sežere hlavní operační systém, kterému vždy nechte alespoň 4GB RAM). Klikněte Next.
  • Nechte na Create a virtual hard disk now a klikněte Create. Ponechte VDI a klikněte Next. Dynamically allocated je správně a klikněte next.
  • Nyní volíte velikost virtuálního počítače. Doporučujeme 50GB. Ano, některým mladým kryptoměnám a méně objemným blockchainům by stačilo méně, ale vytváříme obecnou šablonu a 50GB se nám osvědčilo. Klikněte Create
  1. Virtuální počítač je vytvořen, teď mu musíme přiřadit operační systém Windows 7, který jsme stáhli v předešlém kroku.
  • Klikněte na nově vytvořený počítač s názvem SABLONA Windows pravým tlačítkem a vyberte Settings. V levé nabídce klikněte na Storage, klikněte na Empty a pak na ikonku CDčka (viz obrázek). Klikněte na Choose a virtual optical disk file a najděte soubor končící .iso, který jsme předtím stáhli. Klikněte na Open a pak na OK

Instalace a nastavení Windows

  1. Nainstalujte Windows 7: Klikněte vlevo na SABLONA Windows a nahoře klikněte na zelenou šipku Start. Spustí se instalace Windows 7. Postupujte pomocí Windows průvodce. Install Now. Přijměte podmínky a Next. Vyberte Custom (advanced) a pak Next. Proběhne instalace… Pak je potřeba si vymyslet username, doporučujeme něco jako Admin. Computer name se doplní samo. Pak vytvořte heslo a opět dobře uložte. Product key nechte prázdné. Activate when I'm online nechat defaultně tak, jak je. Dále vyberte Use recommended settings. Nastavte datum a čas. Home network. A jsme ve Windows 🙂

  2. Nainstalujte VM Guest Addition (návod)
    - Po instalaci jděte ve virtuálním počítači nahoře v menu do Devices => Shared clipboard => zvolte Bidirectional. To samé zvolte u Drag and Drop. Díky tomu budete moci kopírovat soubory mezi hlavním počítačem Ubuntu a virtuálním počítačem s Windows.
    - Máte-li hotovo, restartujte počítač a přihlašte se zpět jako UZIVATEL

  3. Aktualizujte Windows: Klikněte na Start - do vyhledávání napište Windows Update a klikněte na něj, pak Check for updates (trvá klidně i 20 minut než se něco stane), poté Install updates. Nainstalujte a restartujte počítač. (trvá to hodiny)

  4. Nastavte pravidelné aktualizace. Jděte opět přes Start, vyhledejte Windows Update, dále Change settings a jen zkontrolujte, že je nastaveno “Install updates automatically"

  5. Vytvořte nového (běžného) uživatele. Je důležité, aby uživatelský účet, přes který se budete běžně přihlašovat do Windows, nebyl administrátorský. Jděte do Start, dále Control panel, vyberte Add or remove user accounts. Klikněte dole na Create a new account. Název doporučujeme něco jako UZIVATEL. Ponechte vybrané Standard user a dejte Create Account. Nyní vidíte nový účet, klikněte na něj. Vlevo dejte Create password a vytvořte si heslo. Účet máme hotový. V budoucnu se do Windows pro práci s kryptem vždy přihlašujte přes tento nový účet UZIVATEL.

Zabezpečení Windows

  1. Stáhněte a nainstalujte antivir - https://www.avast.com/ (zdarma). Odškrtněte Chrome jako výchozí prohlížeč a to druhé taky
  2. Stáhněte a nainstalujte Malwarebytes - https://www.malwarebytes.com/ (zdarma)
  3. Stáhněte a nainstalujte KeyScrambler (zdarma)
  4. Stáhněte a nainstalujte prohlížeč Firefox - https://www.mozilla.org/en-US/firefox/new/
    - Nastavte veškeré bezpečnostní prvky jako jsme dělali dříve v odstavci FIREFOX
  5. Kompletně odinstalujte Internet Explorer.
  6. Spusťte kontrolní test antiviru a antimalware software

Tadá. Skvělá práce 🙂 Jednou jsme vše pořádně nastavili a teď už bude vše malina...

Dodatek pro zkušené Linuxáky

Tak jako jsme instalovali virtuální počítače s Windows, můžete si nainstalovat i Ubuntu. Dobře popsaný návod je zde. Po instalaci udělejte následující:

  1. Nainstalujte antivir clamtk

  2. Nainstalujte a spusťte firewall gufw

  3. Udělejte veškerá bezpečnostní nastavení Firefoxu (viz návod výše)

  4. Naistalujte VM Guest Addition. Po instalaci jděte ve virtuálním počítači nahoře v menu do Devices => Shared clipboard => zvolte Bidirectional. To samé zvolte u Drag and Drop

  5. Pokud máte problémy s právy, tak zkuste v terminálu:
    sudo adduser yourusername vboxsf
    kde yourusername je vaše uživatelské jméno. Pak virtuální počítač restartujte.

4) Klonování virtuálního počítače

Chcete si bezpečně nainstalovat novou peněženku, abyste například mohli rozjet masternode. Tak jdeme na to:

  1. Otevřete si na Ubuntu program VirtualBox
  2. Klikněte pravým tlačítkem na SABLONA Windows a vyberte Clone
  3. Nějak si nový virtuální počítač pojmenujte podle dané kryptoměny, např. XMR Monero
  4. Ponechte Full clone a dejte Clone
  5. Bude to trvat asi 10 minut, záleží na vašem stroji 🙂
  6. A máme hotovo! Klikněte na nový virtuální počítač, dejte start a jak si můžete všimnout, už je tam přednastavený ADMIN a UZIVATEL (jak už víte, budete se přihlašovat jen přes UZIVATEL) a všechna další bezpečnostní nastavení jsou už taky naklonována. Takže už jen stačí nainstalovat konkrétní peněženku a máte vyhráno.

Při vytváření nového virtuálního počítače VŽDY nejprve naklonujte SABLONU pomocí návodu výše. Přímo na šablonu nikdy žádnou peněženku neinstalujte. Pak by se vám klonovala všude. SABLONU nechte nepolíbenou, jen ji klonujte.

Tak a je to 🙂

Chtělo to trpělivost, ale díky ní se řadíte mezi 0,1% lidí, kteří mají krypto bezpečnost zvládnutou na maximum, mohou v pohodě spát a nechat svoje masternody nerušeně vydělávat.

Gratulace!