Caso QuadrigaCX se torna mais intrigante

Fonte da imagem: https://en.wikipedia.org/wiki/Cryptocurrency

O mundo das criptomoedas tem tido seus altos e baixos, com supervalorizações em certos períodos, desvalorizações recorde em outros, bem como notícias a respeito de violações de segurança em carteiras virtuais, entre outras, porém uma das histórias mais sinistras acaba de ficar mais intrigante, onde a notoriedade da QuadrigaCX atingiu escala mundial após a suposta morte de seu CEO, Gerald Cotten, no final do ano passado.

As informações iniciais, publicadas pela empresa canadense de negociação de moedas digitais, afirmavam que apenas Cotten possuia acesso às contas dos investidores, e que após a sua morte este acesso estava comprometido, já que o CEO era o único que sabia as credenciais de acesso às carteiras de clientes, que mantinham cerca de cento e noventa milhões em criptomoedas.

“Como assim somente o CEO tinha acesso?”, vocês perguntam, bem o que a empresa afirma é que estes valores eram mantidos em “cold wallets”, ou seja, carteiras digitais não acessíveis via Internet, aumentando a segurança contra tentativas de acesso indevidas, sendo transferidos para “hot wallets” no momento em que os clientes decidiam movimentá-los, o que pode até ser uma boa prática de segurança, porém o mesmo não pode ser dito sobre apenas uma pessoa ter acesso aos fundos depositados para a realização destas movimentações.

“Então lascou né? Tudo preso depois da morte do cara?”, isso também era como os clientes da empresa achavam que ficaria, depois da correria infrutífera para a retirada de fundos, e de ficarem sem resposta do suporte sobre o problema, até que o site ficasse offline por conta do pânico.

Agora as investigações devem assumir pelo menos mais uma linha de raciocínio devido às descobertas realizadas pela Ernst & Young, empresa que presta serviços de consultoria e auditoria também no Brasil.

Os auditores descobriram, através do acesso ao laptop pessoal do CEO, que as carteiras digitais começaram a ser esvaziadas em meados de 2017 e, por volta de abril de 2018, quase todas elas já estavam limpas, restando apenas uma, que se presume que assim era mantida para atender a necessidades de clientes que precisassem de transferências em um curto espaço de tempo.

Porém, mesmo esta foi esvaziada em 3 de dezembro de 2018, apenas alguns dias antes da alegada morte de Cotten ocorrer devido a complicações da doença de Crohn em um hospital na Índia, onde também alegadamente este estava realizando trabalho filantrôpico.

Parece suspeito para vocês? Também o é para grande parte dos clientes da QuadrigaCX, e até um deles ofereceu uma recompensa de cem mil dólares para quem oferecer informações a respeito do montante desaparecido.

Tudo isso nos faz lembrar da importância das políticas de segurança da informação, e de que estas contemplem boas práticas de segurança, como, neste caso, a separação de tarefas e a rotação de trabalho, onde seriam necessárias autorizações de pelo menos duas pessoas para a movimentação desses valores, após a validação da autenticidade da solicitação, bem como a possibilidade de se auditar o trabalho realizado, através da rotação de funcionários nestas funções.

Enquanto isso, os auditores da Ernst & Young continuam tentando rastrear o destino dos valores transferidos, porém isso é extremamente difícil de ser atingido, justamente pela natureza das moedas digitais.

Como não há legislação específica para amparar os investidores em moedas digitais, e nem mesmo a cobertura de seguro, teremos de aguardar os novos capítulos deste caso para saciar a curiosidade sobre como essa história terminará, porém as lições aprendidas já podem ser absorvidas, para que os avanços tecnológicos e legislativos possibilitem a proteção de investidores, bem como o amadurecimento do mundo das moedas digitais.

Para mais informações, acessem o artigo original em inglês na ExtremeTech.

É instituída a Política Nacional de Segurança da Informação no Brasil

No dia 26 de dezembro, foi publicado no Diário Oficial o decreto 9.637, que institui a Política Nacional de Segurança da Informação no âmbito da administração pública federal do Brasil, com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação a nível nacional.

O decreto, assinado pelo então Presidente da República Michel Temer, vem colaborar para uma melhor organização dos esforços na proteção de dados e melhoria da segurança da informação, tanto junto a administração pública quanto ligada ao público em geral, a partir de colaborações entre entidades acadêmicas, fomento à pesquisa, entre outras ações.

As frentes abordadas pelo decreto incluem a segurança cibernética, a defesa cibernética, a segurança física, a proteção de dados organizacionais, além de ações para assegurar a disponibilidade, integridade, confidencialidade e autenticidade das informações.

Entre os objetivos listados para a PNSI, encontram-se o de contribuir para a segurança do indivíduo, da sociedade e do Estado, por meio da orientação das ações de segurança da informação, observados os direitos e as garantias fundamentais, fomentar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança da informação, aprimorar continuamente o arcabouço legal e normativo relacionado à segurança da informação, fomentar a formação e a qualificação dos recursos humanos necessários à área de segurança da informação, fortalecer a cultura da segurança da informação na sociedade, entre outros.

Para atingir esses objetivos, a PNSI prevê a utilização de outros instrumentos, como a Estratégia Nacional de Segurança da Informação, bem como os planos nacionais.

A Estratégia Nacional de Segurança da Informação conterá as ações estratégicas e os objetivos relacionados à segurança da informação, em consonância com as políticas públicas e os programas do Governo federal, e será dividida nos seguintes módulos, entre outros, a serem definidos no momento de sua publicação:

I – segurança cibernética;

II – defesa cibernética;

III – segurança das infraestruturas críticas;

IV – segurança da informação sigilosa; e

V – proteção contra vazamento de dados.

Segundo o que foi publicado na PNSI, a Estratégia Nacional de Segurança da Informação deverá ter a ampla participação da sociedade e dos órgãos e das entidades do Poder Público.

Os planos nacionais, por sua vez, conterão:

I – o detalhamento da execução das ações estratégicas e dos objetivos da Estratégia Nacional de Segurança da Informação;

II – o planejamento, a organização, a coordenação das atividades e do uso de recursos para a execução das ações estratégicas e o alcance dos objetivos da Estratégia Nacional de Segurança da Informação; e

III – a atribuição de responsabilidades, a definição de cronogramas e a apresentação da análise de riscos e das ações de contingência que garantam o atingimento dos resultados esperados.

Estes serão divididos em temas e designados a um órgão responsável, conforme estabelecido na Estratégia Nacional de Segurança da Informação.

Para que estas atividades sejam realizadas, o decreto também institui o Comitê Gestor da Segurança da Informação, com atribuição de assessorar o Gabinete de Segurança Institucional da Presidência da República nas atividades relacionadas à segurança da informação.

Este comitê será composto por um representante titular e respectivo suplente indicados por alguns órgãos como o Gabinete de Segurança Institucional da Presidência da República, que o coordenará, a Casa Civil da Presidência da República, o Ministério da Justiça, o Ministério da Segurança Pública, o Ministério da Defesa, entre vários outros citados, porém, como estes terão um prazo de 10 dias a contar da data de publicação deste decreto para indicar seus representantes, para então serem designados a suas funções em um prazo de 20 dias, é bem possível que alterações venham a ser realizadas, visto que há grande possibilidade de que alguns dos ministérios relacionados deixem de existir após a transição para o novo governo.

Com a publicação do decreto, o Brasil demonstrou que está atento às mudanças necessárias para o devido trato da segurança da informação no país, e implementa mais mecanismos que possibilitarão um maior empenho nas tratativas para o avanço da conscientização da sociedade para o assunto, bem como o desenvolvimento de ferramentas e conhecimento imprescindíveis para que o assunto seja abordado de forma séria e organizada com a contribuição da sociedade e do Estado.

Vamos aguardar para ver como o decreto será tratado junto a próxima administração. Por enquanto, para ter acesso ao conteúdo do mesmo, sigam este link.

 

Dividir para proteger!

Um artigo interessante me foi indicado, e trata de um assunto que é pouco comentado fora das salas de aula, ou mesmo implementado nas empresas com a devida manutenção posterior, que é a segmentação de redes. Ele afirma que, em uma pesquisa recente realizada com a participação de administradores de redes, aos quais foi pedido que descrevessem a segmentação das redes sob a administração destes, apenas trinta por cento destes revelaram que utilizam a técnica para a proteção contra as ameaças mais recentes. Outra terça parte informou que “implementaram e esqueceram” a segmentação, e outra parcela equivalente afirmou que a revisam de tempos em tempos, particularmente quando em momentos de auditoria. Corajosos seis por cento responderam com outra pergunta: “Descrever a minha o quê?”

Em tempos como estes, onde os ataques realizados com sucesso a redes privadas estão causando grandes danos, como o caso recente em que a Sony foi vítima de chantagem e teve considerável prejuízo com a divulgação de várias de suas produções através da Internet, a importância de segmentar e proteger as redes internas com várias camadas de segurança fica mais evidente. Para tanto, o artigo oferece algumas dicas para que a implementação da segmentação seja bem planejada:

Entenda os fatores organizacionais e de negócios. Para saber o que proteger, você precisa entender como são auferidas as receitas da organização, além de quais são os componentes que suportam a base do negócio. Então deve identificar os ativos, dados e pessoal crítico para garantir a continuidade dos negócios.

Crie um plano. Você quer classificar, isolar e proteger os componentes mais importantes. Agrupe componentes relacionados, por exemplo, todos os seus servidores Windows, em uma única rede virtual (VLAN). Outros grupos de ativos podem incluir componentes de infraestrutura, como roteadores, switches, VPNs e VoIPs, em outra VLAN e componentes de segurança, como IDS, firewalls, filtros web e escaners em outra.

Servidores dos setores financeiro ou de recursos humanos necessitam de suas próprias VLANs, devido a natureza confidencial dos dados que processam e armazenam. Você também pode separar grupos de pessoas em suas próprias VLANs, assim possuindo uma para administradores de servidores Windows, outra para o pessoal que cuida da segurança destes e outra para os executivos. Dados que requeiram proteção especial, para atendimento a normas regulatórias também devem trafegar em uma VLAN separada, como informações de cartões de crédito ou prontuários médicos.

Determine quem pode acessar quais dados. Isso resume-se às necessidades do negócio: Quem precisa administrar os roteadores e switches? Quem precisa acessar os sistemas de recursos humanos ou financeiros? Quantas pessoas deveriam poder controlar remotamente as câmeras de segurança? Seja impiedoso. Se não há necessidade de negócio então não deve ter acesso.

Organizações que operem inteiramente em nível regional doméstico ou local podem inclusive querem implementar bloqueio total a regiões geográficas remotas na camada IP. em geral, adote a negação de acesso por padrão para cada uma das VLANs. Seu objetivo é limitar o acesso a informações sensíveis para aqueles que precisam na organização e criar bloqueios que possam impedir, ou atrasar, a continuidade de danos potenciais de intrusos que possam ter ultrapassado uma camada de segurança.

Implemente a segmentação. Em uma organização de grande porte, a segmentação é um projeto significante e de longo prazo, mas cada passo nesse sentido aumenta a segurança. Comece em algum ponto, talvez com os administradores de redes, ou os servidores Windows. Nesse momento você poderia configurar VLANs chamadas administradores-redes (para as estações de trabalho deles) e dispositivos-rede (para roteadores e switches).

Registre em logs todo o tráfego entre os segmentos para determinar o que é neormal e necessário para o funcionamento efetivo. Uma vez que conheça o que é necessário, comece a bloquear o acesso às VLANs para todos os outros, com o objetivo final de negação por padrão. Tenha certeza de ter implementados os controles necessários para reforçar a segmentação e monitorar quaisquer mudanças requeridas posteriormente que possam vir a comprometer a segmentação. Continue o processo para cada grupo de ativos pessoal e informação.

Mantenha o ambiente. A segmentação de rede não pode ser abordada de modo a “implementar e esquecer”. A política de acesso às redes, definida nos firewalls, roteadores e dispositivos relacionados, muda constantemente para atender a novos requisitos de negócios. Assegurar que novas mudanças não violem sua estratégia de segmentação requer um bom nível de visibilidade e automação (essa visibilidade também é útil para evitar as interrupções ou a ruptura de negócios devido a má configuração destes acessos). A potencial sobrecarga no gerenciamento, necessária para a manutenção de uma boa segmentação, é uma das razões pelas quais as organizações fogem dela. Mas, a apropriada segmentação é crítica. Uma solução de segurança de redes ciente de topologia que possa automatizar o processo de segmentação é vital.

A segmentação de redes é um componente efetivamente inquestionável em uma estratégia de defesa em profundidade. Organizações que a implementam devem estar preparadas para gerenciar pontuações de firewalls, roteadores, switches, cada um com centenas de regras, cada uma delas sendo afetada por um processo de segmentação de redes e potencialmente por atualizações e mudanças, mesmo depois de estar implantada. Uma abordagem rigorosa é essencial, e um investimento significante de tempo e pessoal também é necessário. Mas independente disso, é muito mais fácil equipar a sua organização com uma defesa segura através de uma segmentação de redes apropriada, do que explicar a acionistas e a imprensa como hackers foram capazes de acessar milhões de registros em seu sistema.

Para acessar e conferir o artigo original, clique neste link.