Caso QuadrigaCX se torna mais intrigante

Criptomoedas

Fonte da imagem: https://en.wikipedia.org/wiki/Cryptocurrency

O mundo das criptomoedas tem tido seus altos e baixos, com supervalorizações em certos períodos, desvalorizações recorde em outros, bem como notícias a respeito de violações de segurança em carteiras virtuais, entre outras, porém uma das histórias mais sinistras acaba de ficar mais intrigante, onde a notoriedade da QuadrigaCX atingiu escala mundial após a suposta morte de seu CEO, Gerald Cotten, no final do ano passado.

As informações iniciais, publicadas pela empresa canadense de negociação de moedas digitais, afirmavam que apenas Cotten possuia acesso às contas dos investidores, e que após a sua morte este acesso estava comprometido, já que o CEO era o único que sabia as credenciais de acesso às carteiras de clientes, que mantinham cerca de cento e noventa milhões em criptomoedas.

“Como assim somente o CEO tinha acesso?”, vocês perguntam, bem o que a empresa afirma é que estes valores eram mantidos em “cold wallets”, ou seja, carteiras digitais não acessíveis via Internet, aumentando a segurança contra tentativas de acesso indevidas, sendo transferidos para “hot wallets” no momento em que os clientes decidiam movimentá-los, o que pode até ser uma boa prática de segurança, porém o mesmo não pode ser dito sobre apenas uma pessoa ter acesso aos fundos depositados para a realização destas movimentações.

“Então lascou né? Tudo preso depois da morte do cara?”, isso também era como os clientes da empresa achavam que ficaria, depois da correria infrutífera para a retirada de fundos, e de ficarem sem resposta do suporte sobre o problema, até que o site ficasse offline por conta do pânico.

Agora as investigações devem assumir pelo menos mais uma linha de raciocínio devido às descobertas realizadas pela Ernst & Young, empresa que presta serviços de consultoria e auditoria também no Brasil.

Os auditores descobriram, através do acesso ao laptop pessoal do CEO, que as carteiras digitais começaram a ser esvaziadas em meados de 2017 e, por volta de abril de 2018, quase todas elas já estavam limpas, restando apenas uma, que se presume que assim era mantida para atender a necessidades de clientes que precisassem de transferências em um curto espaço de tempo.

Porém, mesmo esta foi esvaziada em 3 de dezembro de 2018, apenas alguns dias antes da alegada morte de Cotten ocorrer devido a complicações da doença de Crohn em um hospital na Índia, onde também alegadamente este estava realizando trabalho filantrôpico.

Parece suspeito para vocês? Também o é para grande parte dos clientes da QuadrigaCX, e até um deles ofereceu uma recompensa de cem mil dólares para quem oferecer informações a respeito do montante desaparecido.

Tudo isso nos faz lembrar da importância das políticas de segurança da informação, e de que estas contemplem boas práticas de segurança, como, neste caso, a separação de tarefas e a rotação de trabalho, onde seriam necessárias autorizações de pelo menos duas pessoas para a movimentação desses valores, após a validação da autenticidade da solicitação, bem como a possibilidade de se auditar o trabalho realizado, através da rotação de funcionários nestas funções.

Enquanto isso, os auditores da Ernst & Young continuam tentando rastrear o destino dos valores transferidos, porém isso é extremamente difícil de ser atingido, justamente pela natureza das moedas digitais.

Como não há legislação específica para amparar os investidores em moedas digitais, e nem mesmo a cobertura de seguro, teremos de aguardar os novos capítulos deste caso para saciar a curiosidade sobre como essa história terminará, porém as lições aprendidas já podem ser absorvidas, para que os avanços tecnológicos e legislativos possibilitem a proteção de investidores, bem como o amadurecimento do mundo das moedas digitais.

Para mais informações, acessem o artigo original em inglês na ExtremeTech.

Anúncios

K2 divulga solução para impedir a exploração de vulnerabilidades zero-day

zero-day-attack-1024x413

A K2 Cyber Security, empresa baseada nos Estados Unidos e que lida com segurança da informação, afirma ter desenvolvido uma tecnologia, capaz de impedir a exploração de falhas de segurança não divulgadas e ainda não corrigidas em aplicações, mais conhecidas como vulnerabilidades zero-day.

A solução utilizada pela empresa envolve o mapeamento do funcionamento da aplicação, através de uma única análise e, em seguida, realizar o monitoramento desta baseado no comportamento mapeado, o que alegadamente impediria a ocorrência de eventos falso positivos.

“Isso nunca foi feito antes”, afirmou Pravin Madhani, CEO e co-fundador da K2. “Por ser muito difícil de realizar. Somos capazes de criar um mapa de execução para cada aplicação em minutos, e depois monitorá-lo em tempo real. Não há falso positivos.”

A tecnologia empregada nesse tipo de situação é conhecida como Control Flow Integrity (CFI), cujo significado, em uma tradução livre, seria Controle de Integridade de Fluxo, o que atualmente é realizado através de abordagens tradicionais, identificando ações potencialmente maliciosas, que podem demandar a verificação de infinitas combinações de atividades, acarretando em erros nessa detecção gerados por falso positivos ou falso negativos. Esse tipo de abordagem também gera sobrecarga na performance dos sistemas, bem como podem demandar hardware adicional.

Com a melhoria promovida pela K2 no CFI, um mapa de execução da aplicação é criado, como se fosse um baseline de seu funcionamento, permitindo a partir daí que a mesma seja monitorada e interromper a sua operação caso sejam detectadas tentativas de alteração nesse fluxo. A otimização também é aplicável a microserviços utilizados em nuvens privadas e públicas.

A empresa submeteu sete patentes para a proteção da propriedade intelectual envolvida na melhoria promovida junto ao CFI, que é oferecida através de dois módulos distintos: um nomeado como Prevent, algo como Prevenção em uma tradução livre, que detecção em tempo real de ataques zero-day, e outro chamado Segment, que tem o sentido de segmentação, e que isola as cargas de trabalho na nuvem, atribuindo identidades criptográficas exclusivas para cada uma delas antes que estas possam se comunicar. Isso impede o movimento lateral de malwares em ambientes de TI.

Para acessar o artigo original, dirijam-se ao site ZDNet.

Mais credenciais comprometidas. O que fazer?

lost-businessman_23-2147618186

Fonte da imagem: https://www.freepik.com/

Mais uma vez, milhões de credenciais foram divulgadas durante essa semana, em uma das maiores publicações deste tipo na história.

Afirma-se que mais de 770 milhões de endereços de e-mail, e senhas, foram adicionadas a outras bases de credenciais comprometidas anteriormente, virando notícia em sites como o Olhar Digital, bem como o blog da companhia de segurança Kaspersky Labs, entre outras tantas mídias digitais.

O montante de dados foi divulgado por Troy Hunt, pesquisador de segurança e criador do site Have I Been Pwned, que provê um serviço de consultas a estas mesmas bases, permitindo aos usuários que verifiquem se o e-mail informado está entre os listados como comprometidos.

Como estes vazamentos se tornam cada vez mais frequentes, o cuidado na manutenção de dados pessoais faz-se essencial e, portanto, vou passar a publicar dicas de segurança básicas para a proteção destas informações. As primeiras dicas são relacionadas a senhas.

Sempre mantenha senhas diferentes para serviços diferentes. Se você tem cadastro em diversos serviços na Internet, como redes sociais, serviços de correio eletrônico, bancos digitais, entre outros, procure cadastrar senhas diferentes para cada um deles. Assim você minimiza a chance de que o comprometimento de um serviço leve ao acesso indevido de outros, devido a utilizarem as mesmas credenciais de acesso.

Crie senhas com alta complexidade na combinação de caracteres. Outro artigo publicado no site Olhar Digital traz uma lista que aponta as 25 senhas mais utilizadas no mundo durante o ano passado. Isso mostra o quão fácil se torna comprometer uma conta pessoal, a partir da utilização de senhas fracas e comuns.

Por isso é necessário criar senhas complexas, envolvendo letras maiúsculas, minúsculas, números, caracteres especiais, de preferência utilizando frases longas, porém de fácil memorização, evitando assim o uso de senhas mais fáceis de serem descobertas como datas de nascimento, nomes de parentes, entre outras. Daí vem a pergunta, mas como lembrar de tantas senhas complexas e diferentes para manterem-se seguros utilizando diversos serviços?

Isso leva a outra dica: Utilize gerenciadores de senhas. Eles permitem o registro, organização, e manutenção de senhas, guardando-as em bases relativamente seguras, podendo gerar as senhas automaticamente para você, e com complexidades diferentes, mantendo inclusive um histórico das alterações, facilitando a troca destas quando necessário.

Esse recurso possibilita que você armazene centenas de credenciais para o acesso a diversos serviços, sendo necessário apenas se preocupar com a senha configurada para o acesso à aplicação, bem como em sempre manter a sua base de senhas atualizada, quando da troca das credenciais junto aos serviços utilizados.

Uma das várias opções de gerenciadores de senhas, disponíveis no mercado, é o software livre Keepass, disponível em versões para diversos sistemas operacionais, como Windows, GNU/Linux, Mac OS, Android, iPhone, Chromebook, entre outras, tanto em versões de 32 bits quanto de 64 bits. A nomenclatura do app pode variar de acordo com o sistema operacional utilizado, porém são fáceis de localizar na página de downloads da aplicação.

O Keepass é um dos aplicativos coberto pelos investimentos realizados pela União Européia, e que oferece o pagamento de recompensas pela descoberta e reporte de falhas de segurança na aplicação, assim como divulgado recentemente aqui mesmo neste blog.

Esses investimentos permitem que a aplicação seja testada por pesquisadores, bem como possibilita que falhas de segurança existentes sejam descobertas e corrigidas mais rapidamente.

Mesmo empregando complexidade, e a utilização de recursos como os gerenciadores para a geração destas credenciais, também é preciso seguir uma última recomendação, que é trocar as senhas com regularidade.

A facilidade na geração de senhas complexas, oferecida por tais ferramentas, simplifica o processo de troca das credenciais com regularidade, proporcionando um maior grau de segurança através da rotatividade constante das informações de acesso.

Utilizando senhas complexas e diferentes para serviços diferentes, além de armazená-las de forma segura em gerenciadores de senhas, trocando-as regularmente, permite a minimização dos riscos de comprometimento das credenciais utilizadas para os serviços do dia a dia, ajudando a manter uma navegação mais segura.