Caso QuadrigaCX se torna mais intrigante

Criptomoedas

Fonte da imagem: https://en.wikipedia.org/wiki/Cryptocurrency

O mundo das criptomoedas tem tido seus altos e baixos, com supervalorizações em certos períodos, desvalorizações recorde em outros, bem como notícias a respeito de violações de segurança em carteiras virtuais, entre outras, porém uma das histórias mais sinistras acaba de ficar mais intrigante, onde a notoriedade da QuadrigaCX atingiu escala mundial após a suposta morte de seu CEO, Gerald Cotten, no final do ano passado.

As informações iniciais, publicadas pela empresa canadense de negociação de moedas digitais, afirmavam que apenas Cotten possuia acesso às contas dos investidores, e que após a sua morte este acesso estava comprometido, já que o CEO era o único que sabia as credenciais de acesso às carteiras de clientes, que mantinham cerca de cento e noventa milhões em criptomoedas.

“Como assim somente o CEO tinha acesso?”, vocês perguntam, bem o que a empresa afirma é que estes valores eram mantidos em “cold wallets”, ou seja, carteiras digitais não acessíveis via Internet, aumentando a segurança contra tentativas de acesso indevidas, sendo transferidos para “hot wallets” no momento em que os clientes decidiam movimentá-los, o que pode até ser uma boa prática de segurança, porém o mesmo não pode ser dito sobre apenas uma pessoa ter acesso aos fundos depositados para a realização destas movimentações.

“Então lascou né? Tudo preso depois da morte do cara?”, isso também era como os clientes da empresa achavam que ficaria, depois da correria infrutífera para a retirada de fundos, e de ficarem sem resposta do suporte sobre o problema, até que o site ficasse offline por conta do pânico.

Agora as investigações devem assumir pelo menos mais uma linha de raciocínio devido às descobertas realizadas pela Ernst & Young, empresa que presta serviços de consultoria e auditoria também no Brasil.

Os auditores descobriram, através do acesso ao laptop pessoal do CEO, que as carteiras digitais começaram a ser esvaziadas em meados de 2017 e, por volta de abril de 2018, quase todas elas já estavam limpas, restando apenas uma, que se presume que assim era mantida para atender a necessidades de clientes que precisassem de transferências em um curto espaço de tempo.

Porém, mesmo esta foi esvaziada em 3 de dezembro de 2018, apenas alguns dias antes da alegada morte de Cotten ocorrer devido a complicações da doença de Crohn em um hospital na Índia, onde também alegadamente este estava realizando trabalho filantrôpico.

Parece suspeito para vocês? Também o é para grande parte dos clientes da QuadrigaCX, e até um deles ofereceu uma recompensa de cem mil dólares para quem oferecer informações a respeito do montante desaparecido.

Tudo isso nos faz lembrar da importância das políticas de segurança da informação, e de que estas contemplem boas práticas de segurança, como, neste caso, a separação de tarefas e a rotação de trabalho, onde seriam necessárias autorizações de pelo menos duas pessoas para a movimentação desses valores, após a validação da autenticidade da solicitação, bem como a possibilidade de se auditar o trabalho realizado, através da rotação de funcionários nestas funções.

Enquanto isso, os auditores da Ernst & Young continuam tentando rastrear o destino dos valores transferidos, porém isso é extremamente difícil de ser atingido, justamente pela natureza das moedas digitais.

Como não há legislação específica para amparar os investidores em moedas digitais, e nem mesmo a cobertura de seguro, teremos de aguardar os novos capítulos deste caso para saciar a curiosidade sobre como essa história terminará, porém as lições aprendidas já podem ser absorvidas, para que os avanços tecnológicos e legislativos possibilitem a proteção de investidores, bem como o amadurecimento do mundo das moedas digitais.

Para mais informações, acessem o artigo original em inglês na ExtremeTech.

Anúncios

K2 divulga solução para impedir a exploração de vulnerabilidades zero-day

zero-day-attack-1024x413

A K2 Cyber Security, empresa baseada nos Estados Unidos e que lida com segurança da informação, afirma ter desenvolvido uma tecnologia, capaz de impedir a exploração de falhas de segurança não divulgadas e ainda não corrigidas em aplicações, mais conhecidas como vulnerabilidades zero-day.

A solução utilizada pela empresa envolve o mapeamento do funcionamento da aplicação, através de uma única análise e, em seguida, realizar o monitoramento desta baseado no comportamento mapeado, o que alegadamente impediria a ocorrência de eventos falso positivos.

“Isso nunca foi feito antes”, afirmou Pravin Madhani, CEO e co-fundador da K2. “Por ser muito difícil de realizar. Somos capazes de criar um mapa de execução para cada aplicação em minutos, e depois monitorá-lo em tempo real. Não há falso positivos.”

A tecnologia empregada nesse tipo de situação é conhecida como Control Flow Integrity (CFI), cujo significado, em uma tradução livre, seria Controle de Integridade de Fluxo, o que atualmente é realizado através de abordagens tradicionais, identificando ações potencialmente maliciosas, que podem demandar a verificação de infinitas combinações de atividades, acarretando em erros nessa detecção gerados por falso positivos ou falso negativos. Esse tipo de abordagem também gera sobrecarga na performance dos sistemas, bem como podem demandar hardware adicional.

Com a melhoria promovida pela K2 no CFI, um mapa de execução da aplicação é criado, como se fosse um baseline de seu funcionamento, permitindo a partir daí que a mesma seja monitorada e interromper a sua operação caso sejam detectadas tentativas de alteração nesse fluxo. A otimização também é aplicável a microserviços utilizados em nuvens privadas e públicas.

A empresa submeteu sete patentes para a proteção da propriedade intelectual envolvida na melhoria promovida junto ao CFI, que é oferecida através de dois módulos distintos: um nomeado como Prevent, algo como Prevenção em uma tradução livre, que detecção em tempo real de ataques zero-day, e outro chamado Segment, que tem o sentido de segmentação, e que isola as cargas de trabalho na nuvem, atribuindo identidades criptográficas exclusivas para cada uma delas antes que estas possam se comunicar. Isso impede o movimento lateral de malwares em ambientes de TI.

Para acessar o artigo original, dirijam-se ao site ZDNet.

Coleções 2 a 5 expõem bilhões de credenciais online

cybercrime

Conforme já divulgado anteriormente, aqui mesmo no blog, milhões de credenciais de acesso haviam sido divulgadas, comprometendo informações como senhas e e-mails de usuários ao redor do mundo, no que ficou convencionado chamar de Collection #1, ou Coleção nº 1 em uma tradução livre.

Agora, foram divulgadas as Coleções nº 2 a 5, expondo online o que se acredita chegar a um montante de 3.5 bilhões de credenciais. Profissionais de segurança acreditam que estas bases se originam de um pacote de sete coleções diferentes, compostas por gigabytes de informações cada, somando quase 1 terabyte de dados no total. Algumas destas bases já haviam sido divulgadas bem antes, sendo compartilhadas online desde 2017, enquanto outras não estavam disponíveis até recentemente.

Um time que atua com ameaça a inteligência, junto a uma empresa de segurança nos Estados Unidos chamada Recorded Future, afirma que um cibercriminoso que atende pelo pseudônimo de C0rpz é o responsável pelos vazamentos, e que este coletava estes dados durante os últimos 3 anos, vendendo as coleções divulgadas recentemente a outros criminosos, que passaram a disseminar esses dados via torrent, fóruns de discussão, ou disponibilizando-as em sites de armazenamento como o Mega.

Embora afirmem que estes agentes maliciosos sejam os responsáveis pela coleta e divulgação, os pesquisadores da Recorded Future não veem relação destes com a violação na segurança de empresas recentemente, não encontrando evidências de que estes sejam os responsáveis por invasões que levassem à coleta destes dados, o que leva a crer que tenham apenas coletado estas credenciais ao longo do tempo, esperando pela oportunidade de lucrar com os dados acumulados.

O que pode ser feito para evitar que estas divulgações comprometam toda a sua experiência online, é tomar os cuidados listados no post anterior, além da habilitação da autenticação em dois fatores sempre que possível, prevenindo que a violação de segurança em um determinado serviço permita o acesso a outros que utilizem online.

Mais detalhes a respeito da nova divulgação podem ser lidos, em inglês, na postagem original junto ao site ZDNet.