SlideShare uma empresa Scribd logo

Como invadir uma exchange - Um relatório geral de segurança de corretoras de criptomoedas brasileiras por aCCESS Security Labs 2019

L
LeandroTrindade19

O documento discute estratégias de segurança cibernética, incluindo: 1) Realizar testes de penetração em corretoras de criptomoedas brasileiras para descobrir vulnerabilidades e melhorar a segurança; 2) Divulgar os resultados dos testes para educar o público e incentivar as corretoras a melhorarem suas defesas; 3) Defender que a segurança deve ser a principal prioridade das corretoras e do setor de criptomoedas no Brasil.

Internet
1 de 57
Baixar para ler offline
Como invadir uma exchange Leandro Trindade < ccess.co > < x15tech.com > < thinkhacker.blogspot.com > Contato: < leandro@ccess.co > < leandro@x15tech.com >
O experimento do marshmallow
Quem sou • Leandro Trindade • Bacharel em Ciência da Computação pela UnB. • Empresário, CTO da X15 Tecnologia, COO da aCCESS Security Labs. • Programador multi-linguagem. • Pesquiso falhas de segurança em sistemas, tanto físicos como remotos, desde os 14 anos de idade.
Cenário • 2017 - Explosão nos preços, exchanges não conseguiam lidar com o tráfego. • Aumento exponencial de incidentes de segurança envolvendo Criptomoedas. • Sistemas ainda não estavam robustos e seguros para lidar com o que estava por vir. • Modernização dos ataques, melhor risco x recompensa para cibercriminosos
Hackativismo • Perícia nas vítimas para descobrir vetores de ataque e fechá-los. • Descoberta de falhas de segurança em plataformas. • Notificar sobre as falhas de forma responsável. • Cronometrar a velocidade de resposta das exchanges e avaliar seu modo de resposta. • Divulgar detalhes das falhas e avaliação das exchanges para a comunidade. (Ranking de Exchanges)
Mas por quê??
O Brasil e a segurança • O Brasil está em 7° Lugar do mundo em crimes cibernéticos. • É um dos países que menos investem em segurança. • Fontes: • https://www.cbsi.net.br/2018/05/brasil-e-lider-em-cibercrime-mas-pouco.html • https://webinsider.com.br/seguranca-da-ti-no-brasil-muito-falatorio-pouca-evolucao/
O Brasil e a segurança • O desenvolvimento apressado de sistemas é exaltado. • Deu algo errado? A culpa é do hacker • Isso pode mudar com a LGPD (Lei Geral de Proteção de Dados) que entrará em vigor a partir de fevereiro de 2020 • Quando existe segurança no currículo universitário, é tratada como uma disciplina secundária. • Impunidade. • Desestímulo e perseguição à White/Gray Hats.
ACCESS - Objetivos • Descobrir riscos antes que atacantes o façam. • Proteger o lado mais fraco, os leigos, o mercado de criptos precisa desse capital para continuar crescendo. • Desestimular o amadorismo no desenvolvimento de plataformas financeiras. • Libertarianismo: o mercado deve se auto-regular. • Ser seguro tem que ser o foco principal da sua marca.
ACCESS - Objetivos • Educar o público para a importância de se optar por plataformas mais seguras. • Fornecer informações antes mantidas ocultas a respeito dos riscos reais de cada exchange. • Existe um abismo entre a linguagem técnica e o público geral, para incentivar a auto-defesa é preciso estabelecer pontes de comunicação. • Saber atacar para saber se defender.
Relatório de Segurança em Corretoras Brasileiras ● 35 Vulnerabilidades e contando...
Ranking de exchanges por segurança (critérios) • Crítica - CVSS >= 8 • Grave - CVSS entre 6 e 8 • Média - CVSS entre 4 e 6 • Leve - CVSS < 4 Fonte: https://www.first.org/cvss/specification-document • Ponto Fraco - Implementações contra os padões de segurança, que associadas a mais vulnerabilidades podem se tornar riscos • Ponto Forte- Implementações acima dos padrões de segurança do mercado
Ranking de exchanges por segurança (critérios) • Falha Crítica - 15pts • Falha Grave - 9pts • Falha Média - 6pts • Falha Leve - 3pts • Ponto Fraco - 1pt • Ponto Forte + 1pt • Incidente - 6pts • Ignorar clientes atingidos - 12pts • Demora para corrigir - pontuação da falha x 2 Atenção: a sua colocação no ranking de exchanges NÃO ESTÁ A VENDA!
Ranking de exchanges por segurança
Ranking de exchanges por segurança 1. Walltime (+2 pts) 2. Profitfy (+1 pt) 3. PagCripto (-1 pt) 4. BitcoinTrade (-2 pts) 5. BTCBolsa (-7 pts) 6. 3xBit (-9 pts) 7. Mercado Bitcoin (-22 pts) 8. Negocie Coins (-24 pts) 9. Atlas (-38 pts) 10. Foxbit (-61 pts) 11. Braziliex (-63 pts)
Mercado Bitcoin ● Vazamento de Secrets de APIs CWE-200Sistema de Homologação
Negocie Coins ● Vazamento de cookies pelo blog CWE-922Trace.axd ativado
Atlas ● Vazamento do token de reset de senha CWE-200, CWE-640
Braziliex ● Vazamento do suporte CWE-200
Braziliex ● Saque remoto de bitcoins de outros clientes CWE-200, CWE-79via XSS
Braziliex ● Token de saque não aleatório CWE-341id do MongoDB
Foxbit ● Vazamento dos documentos dos clientes CWE-92215.000 arquivos
Foxbit ● Vazamento de código e chaves privadas CWE-540, CWE-552Corretoras Alphapoint
NewCash ● Vazamento dos documentos dos clientes CWE-922via Apache index By: Bruno Silva
A segurança vai muito além do código • Implementar políticas seguras para a sua empresa. • Controlar acessos a nível microscópico, cada funcionário só pode ter acesso ao imprescindível para seu trabalho. • Realizar frequentemente testes de penetração e engenharia social. • Reforçar políticas de rede, usar camada IPSec. • Grupo de monitoramento e resposta a incidentes.
A importância do Bug Bounty • Deem preferência a empresas que oferecem Bug Bounty para pesquisadores independentes. • Existem 2 tipos de plataforma: 1. As que fogem e perseguem os pesquisadores. 2. As que dão a cara a tapa. • Se possuir código open-source melhor ainda. • Todos irão dizer que estão seguros mas poucos irão querer provar, e é assim que podemos saber quem é quem.
Conclusão • Como invadir uma exchange? No Brasil basta saber onde clicar... • Estamos entrando em uma nova era. • O dinheiro é cada vez menos palpável. • A privacidade é o seu bem mais precioso. • A segurança não pode mais ser ignorada ou deixada para trás.
Conclusão • Qualquer um hoje pode fazer tecnologia, mas poucos serão bem sucedidos. • O sucesso na era do dinheiro digital está diretamente ligado a seu planejamento e respeito a seus clientes. • Está hora de começarmos a olhar para aquele segundo marshmallow...
Obrigado!
Sou empresa Como proteger meus clientes? Por: Thiago Leite < tfmleite@gmail.com >
O que fazer com as aplicações inseguras? • Cenário perfeito: desenvolver com foco em segurança! • Mas falhas são descobertas todos os dias em softwares seguros • CVE 2018-10933 afetando a libssh, permitindo acesso SSH sem autenticação • Se a aplicação falhar, como podemos prover segurança?
E como compenso as falhas e vulnerabilidades das aplicações? • Não é apenas desenvolver de modo seguro, é possuir mecanismos que compensem em caso de falha • Vale a pena investir em segurança? • ~ R$ 2,9 bilhões* de reais em 2017 apenas por bancos • Como compensar aplicações inseguras? • muitas, mas muitas formas… Fontes: http://www.ciab.com.br/publicacoes/edicao/70/a-revolucao-dos-bancos e https://www.itforum365.com.br/mercado/bancos-investem-mais-19-bilhoes-tecnologia-2017/
Segurança Tradicional • API Gateway • Controle de acesso a rede e conformidade • Firewalls de aplicações • Firewalls de rede • Gestão de eventos e informações de segurança (SIEM) • Política de Bug Bounty
Segurança Tradicional • Gestão de identidade • Proteção de “endpoints” • Sistemas de detecção e prevenção de intrusos • Testes de vulnerabilidades de aplicações • Web Gateways • Mais em: https://www.gartner.com/en/research /magic-quadrant
Comprei tudo! Estou seguro?
NÃO!
E então o que eu faço? • Segurança nunca é plena • Mudança cultural nas organizações • A mudança deve envolver ferramentas e processos! • Segurança é conceito que permeia todas as áreas • Não é função da TI, mas de toda a organização • Cooperação entre todos
Então tem mais além das ferramentas? • Estrutura organizacional • NOC (Network Operations Center) • SOC (Security Operations Center) • CSIRT (Computer Security Incident Response Team) • Blue/Red Team
Segurança em Camadas • Operacional • Comunicações • Armazenamento • Identidade do usuário • Entrega de serviço • Hardware
Sou usuário Como me proteger?
Vazamentos de senhas 517 Milhões já vazaram
Vazamentos de senhas Proteção: Gerenciadores de Senhas
Grandes roubos de exchanges Ás vezes nem todo cuidado resolve
Grandes roubos de exchanges Proteção: Use Carteiras (Hardwallets)
Man-in-the-Middle Como se proteger: HTTPS
Man-in-the-Middle Como se proteger: HTTPS
Phishing Na internet tudo se copia
Phishing Homógrafos
Phishing Como se proteger: Favoritos
Phishing por e-mail e sms Nem sempre é quem diz ser
Phishing por e-mail Proteção: endereço com +
Clonagem de telefone Em pleno século XXI ela voltou
Clonagem de Telefone Proteção: Remova o número do cadastro
Malwares Andou clicando onde não devia
Malwares Proteção: um bom anti-vírus

Recomendados

Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Leandro Magnabosco
 
[SCTI 2011] - Fundamentos da Segurança da Informação
[SCTI 2011] - Fundamentos da Segurança da Informação[SCTI 2011] - Fundamentos da Segurança da Informação
[SCTI 2011] - Fundamentos da Segurança da InformaçãoSCTI UENF
 
Pentest cool
Pentest coolPentest cool
Pentest coolAdilson Da Rocha
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?iBLISS Segurança & Inteligência
 
Segurança de código
Segurança de códigoSegurança de código
Segurança de códigoWanderlei Silva do Carmo
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Paulo Renato Lopes Seixas
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internetelliando dias
 

Recomendados

Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Leandro Magnabosco
 
[SCTI 2011] - Fundamentos da Segurança da Informação
[SCTI 2011] - Fundamentos da Segurança da Informação[SCTI 2011] - Fundamentos da Segurança da Informação
[SCTI 2011] - Fundamentos da Segurança da InformaçãoSCTI UENF
 
Pentest cool
Pentest coolPentest cool
Pentest coolAdilson Da Rocha
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?iBLISS Segurança & Inteligência
 
Segurança de código
Segurança de códigoSegurança de código
Segurança de códigoWanderlei Silva do Carmo
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Paulo Renato Lopes Seixas
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internetelliando dias
 
Como ser um Hacker Ético Profissional
Como ser um Hacker Ético ProfissionalComo ser um Hacker Ético Profissional
Como ser um Hacker Ético ProfissionalStrong Security Brasil
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Thiago Dieb
 
Relatório semestral sobre segurança
Relatório semestral sobre segurançaRelatório semestral sobre segurança
Relatório semestral sobre segurançaCisco do Brasil
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
Como começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecComo começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecJoas Antonio dos Santos
 
Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Cisco do Brasil
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Spark Security
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestCyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestJoas Antonio dos Santos
 
FirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade CiscoFirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade CiscoMaurício Harley
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de IntrusãoSistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusãoelliando dias
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSignClavis Segurança da Informação
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
 

Mais conteúdo relacionado

Mais procurados

Como ser um Hacker Ético Profissional
Como ser um Hacker Ético ProfissionalComo ser um Hacker Ético Profissional
Como ser um Hacker Ético ProfissionalStrong Security Brasil
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Thiago Dieb
 
Relatório semestral sobre segurança
Relatório semestral sobre segurançaRelatório semestral sobre segurança
Relatório semestral sobre segurançaCisco do Brasil
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
Como começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecComo começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecJoas Antonio dos Santos
 
Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Cisco do Brasil
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Spark Security
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestCyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestJoas Antonio dos Santos
 
FirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade CiscoFirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade CiscoMaurício Harley
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de IntrusãoSistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusãoelliando dias
 

Mais procurados (20)

Como ser um Hacker Ético Profissional
Como ser um Hacker Ético ProfissionalComo ser um Hacker Ético Profissional
Como ser um Hacker Ético Profissional
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
 
Relatório semestral sobre segurança
Relatório semestral sobre segurançaRelatório semestral sobre segurança
Relatório semestral sobre segurança
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
 
Como começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecComo começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day Fatec
 
Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
 
Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece?
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
 
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestCyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
 
FirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade CiscoFirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade Cisco
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de IntrusãoSistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSign
 

Semelhante a Como invadir uma exchange - Um relatório geral de segurança de corretoras de criptomoedas brasileiras por aCCESS Security Labs 2019

Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
Apostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerceApostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerceE-Commerce Brasil
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Treinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaTreinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaLeivan Carvalho
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Por quê o software continua inseguro (versão extendida)?
Por quê o software continua inseguro (versão extendida)?Por quê o software continua inseguro (versão extendida)?
Por quê o software continua inseguro (versão extendida)?Vinicius Oliveira Ferreira
 
Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Tiago Tavares
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
Singularity University 2020 Cybersecurity e trabalho remoto
Singularity University 2020 Cybersecurity e trabalho remotoSingularity University 2020 Cybersecurity e trabalho remoto
Singularity University 2020 Cybersecurity e trabalho remotoCLEBER VISCONTI
 
Explorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemExplorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemAlcyon Ferreira de Souza Junior, MSc
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Alcyon Ferreira de Souza Junior, MSc
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesQualister
 
Webinar Be Aware - Pensando e se colocando no lugar do invasor
Webinar Be Aware - Pensando e se colocando no lugar do invasorWebinar Be Aware - Pensando e se colocando no lugar do invasor
Webinar Be Aware - Pensando e se colocando no lugar do invasorSymantec Brasil
 

Semelhante a Como invadir uma exchange - Um relatório geral de segurança de corretoras de criptomoedas brasileiras por aCCESS Security Labs 2019 (20)

Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
 
Apostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerceApostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerce
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Treinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaTreinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurança
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Por quê o software continua inseguro (versão extendida)?
Por quê o software continua inseguro (versão extendida)?Por quê o software continua inseguro (versão extendida)?
Por quê o software continua inseguro (versão extendida)?
 
Auditoria em Mainframe. (Eugênio Fernandes)
Auditoria em Mainframe. (Eugênio Fernandes)Auditoria em Mainframe. (Eugênio Fernandes)
Auditoria em Mainframe. (Eugênio Fernandes)
 
Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOps
 
Singularity University 2020 Cybersecurity e trabalho remoto
Singularity University 2020 Cybersecurity e trabalho remotoSingularity University 2020 Cybersecurity e trabalho remoto
Singularity University 2020 Cybersecurity e trabalho remoto
 
Explorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemExplorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometem
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
 
Por quê o software continua inseguro?
Por quê o software continua inseguro?Por quê o software continua inseguro?
Por quê o software continua inseguro?
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidades
 
Webinar Be Aware - Pensando e se colocando no lugar do invasor
Webinar Be Aware - Pensando e se colocando no lugar do invasorWebinar Be Aware - Pensando e se colocando no lugar do invasor
Webinar Be Aware - Pensando e se colocando no lugar do invasor
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 

Como invadir uma exchange - Um relatório geral de segurança de corretoras de criptomoedas brasileiras por aCCESS Security Labs 2019

  • 1. Como invadir uma exchange Leandro Trindade < ccess.co > < x15tech.com > < thinkhacker.blogspot.com > Contato: < leandro@ccess.co > < leandro@x15tech.com >
  • 2. O experimento do marshmallow
  • 3. Quem sou • Leandro Trindade • Bacharel em Ciência da Computação pela UnB. • Empresário, CTO da X15 Tecnologia, COO da aCCESS Security Labs. • Programador multi-linguagem. • Pesquiso falhas de segurança em sistemas, tanto físicos como remotos, desde os 14 anos de idade.
  • 4. Cenário • 2017 - Explosão nos preços, exchanges não conseguiam lidar com o tráfego. • Aumento exponencial de incidentes de segurança envolvendo Criptomoedas. • Sistemas ainda não estavam robustos e seguros para lidar com o que estava por vir. • Modernização dos ataques, melhor risco x recompensa para cibercriminosos
  • 5. Hackativismo • Perícia nas vítimas para descobrir vetores de ataque e fechá-los. • Descoberta de falhas de segurança em plataformas. • Notificar sobre as falhas de forma responsável. • Cronometrar a velocidade de resposta das exchanges e avaliar seu modo de resposta. • Divulgar detalhes das falhas e avaliação das exchanges para a comunidade. (Ranking de Exchanges)
  • 7. O Brasil e a segurança • O Brasil está em 7° Lugar do mundo em crimes cibernéticos. • É um dos países que menos investem em segurança. • Fontes: • https://www.cbsi.net.br/2018/05/brasil-e-lider-em-cibercrime-mas-pouco.html • https://webinsider.com.br/seguranca-da-ti-no-brasil-muito-falatorio-pouca-evolucao/
  • 8. O Brasil e a segurança • O desenvolvimento apressado de sistemas é exaltado. • Deu algo errado? A culpa é do hacker • Isso pode mudar com a LGPD (Lei Geral de Proteção de Dados) que entrará em vigor a partir de fevereiro de 2020 • Quando existe segurança no currículo universitário, é tratada como uma disciplina secundária. • Impunidade. • Desestímulo e perseguição à White/Gray Hats.
  • 9. ACCESS - Objetivos • Descobrir riscos antes que atacantes o façam. • Proteger o lado mais fraco, os leigos, o mercado de criptos precisa desse capital para continuar crescendo. • Desestimular o amadorismo no desenvolvimento de plataformas financeiras. • Libertarianismo: o mercado deve se auto-regular. • Ser seguro tem que ser o foco principal da sua marca.
  • 10. ACCESS - Objetivos • Educar o público para a importância de se optar por plataformas mais seguras. • Fornecer informações antes mantidas ocultas a respeito dos riscos reais de cada exchange. • Existe um abismo entre a linguagem técnica e o público geral, para incentivar a auto-defesa é preciso estabelecer pontes de comunicação. • Saber atacar para saber se defender.
  • 12. Ranking de exchanges por segurança (critérios) • Crítica - CVSS >= 8 • Grave - CVSS entre 6 e 8 • Média - CVSS entre 4 e 6 • Leve - CVSS < 4 Fonte: https://www.first.org/cvss/specification-document • Ponto Fraco - Implementações contra os padões de segurança, que associadas a mais vulnerabilidades podem se tornar riscos • Ponto Forte- Implementações acima dos padrões de segurança do mercado
  • 13. Ranking de exchanges por segurança (critérios) • Falha Crítica - 15pts • Falha Grave - 9pts • Falha Média - 6pts • Falha Leve - 3pts • Ponto Fraco - 1pt • Ponto Forte + 1pt • Incidente - 6pts • Ignorar clientes atingidos - 12pts • Demora para corrigir - pontuação da falha x 2 Atenção: a sua colocação no ranking de exchanges NÃO ESTÁ A VENDA!
  • 14. Ranking de exchanges por segurança
  • 15. Ranking de exchanges por segurança 1. Walltime (+2 pts) 2. Profitfy (+1 pt) 3. PagCripto (-1 pt) 4. BitcoinTrade (-2 pts) 5. BTCBolsa (-7 pts) 6. 3xBit (-9 pts) 7. Mercado Bitcoin (-22 pts) 8. Negocie Coins (-24 pts) 9. Atlas (-38 pts) 10. Foxbit (-61 pts) 11. Braziliex (-63 pts)
  • 16. Mercado Bitcoin ● Vazamento de Secrets de APIs CWE-200Sistema de Homologação
  • 17. Negocie Coins ● Vazamento de cookies pelo blog CWE-922Trace.axd ativado
  • 18. Atlas ● Vazamento do token de reset de senha CWE-200, CWE-640
  • 19. Braziliex ● Vazamento do suporte CWE-200
  • 20. Braziliex ● Saque remoto de bitcoins de outros clientes CWE-200, CWE-79via XSS
  • 21. Braziliex ● Token de saque não aleatório CWE-341id do MongoDB
  • 22. Foxbit ● Vazamento dos documentos dos clientes CWE-92215.000 arquivos
  • 23. Foxbit ● Vazamento de código e chaves privadas CWE-540, CWE-552Corretoras Alphapoint
  • 24. NewCash ● Vazamento dos documentos dos clientes CWE-922via Apache index By: Bruno Silva
  • 25. A segurança vai muito além do código • Implementar políticas seguras para a sua empresa. • Controlar acessos a nível microscópico, cada funcionário só pode ter acesso ao imprescindível para seu trabalho. • Realizar frequentemente testes de penetração e engenharia social. • Reforçar políticas de rede, usar camada IPSec. • Grupo de monitoramento e resposta a incidentes.
  • 26. A importância do Bug Bounty • Deem preferência a empresas que oferecem Bug Bounty para pesquisadores independentes. • Existem 2 tipos de plataforma: 1. As que fogem e perseguem os pesquisadores. 2. As que dão a cara a tapa. • Se possuir código open-source melhor ainda. • Todos irão dizer que estão seguros mas poucos irão querer provar, e é assim que podemos saber quem é quem.
  • 27. Conclusão • Como invadir uma exchange? No Brasil basta saber onde clicar... • Estamos entrando em uma nova era. • O dinheiro é cada vez menos palpável. • A privacidade é o seu bem mais precioso. • A segurança não pode mais ser ignorada ou deixada para trás.
  • 28. Conclusão • Qualquer um hoje pode fazer tecnologia, mas poucos serão bem sucedidos. • O sucesso na era do dinheiro digital está diretamente ligado a seu planejamento e respeito a seus clientes. • Está hora de começarmos a olhar para aquele segundo marshmallow...
  • 30. Sou empresa Como proteger meus clientes? Por: Thiago Leite < tfmleite@gmail.com >
  • 31. O que fazer com as aplicações inseguras? • Cenário perfeito: desenvolver com foco em segurança! • Mas falhas são descobertas todos os dias em softwares seguros • CVE 2018-10933 afetando a libssh, permitindo acesso SSH sem autenticação • Se a aplicação falhar, como podemos prover segurança?
  • 32. E como compenso as falhas e vulnerabilidades das aplicações? • Não é apenas desenvolver de modo seguro, é possuir mecanismos que compensem em caso de falha • Vale a pena investir em segurança? • ~ R$ 2,9 bilhões* de reais em 2017 apenas por bancos • Como compensar aplicações inseguras? • muitas, mas muitas formas… Fontes: http://www.ciab.com.br/publicacoes/edicao/70/a-revolucao-dos-bancos e https://www.itforum365.com.br/mercado/bancos-investem-mais-19-bilhoes-tecnologia-2017/
  • 33. Segurança Tradicional • API Gateway • Controle de acesso a rede e conformidade • Firewalls de aplicações • Firewalls de rede • Gestão de eventos e informações de segurança (SIEM) • Política de Bug Bounty
  • 34. Segurança Tradicional • Gestão de identidade • Proteção de “endpoints” • Sistemas de detecção e prevenção de intrusos • Testes de vulnerabilidades de aplicações • Web Gateways • Mais em: https://www.gartner.com/en/research /magic-quadrant
  • 36. NÃO!
  • 37. E então o que eu faço? • Segurança nunca é plena • Mudança cultural nas organizações • A mudança deve envolver ferramentas e processos! • Segurança é conceito que permeia todas as áreas • Não é função da TI, mas de toda a organização • Cooperação entre todos
  • 38. Então tem mais além das ferramentas? • Estrutura organizacional • NOC (Network Operations Center) • SOC (Security Operations Center) • CSIRT (Computer Security Incident Response Team) • Blue/Red Team
  • 39.
  • 40. Segurança em Camadas • Operacional • Comunicações • Armazenamento • Identidade do usuário • Entrega de serviço • Hardware
  • 41. Sou usuário Como me proteger?
  • 42. Vazamentos de senhas 517 Milhões já vazaram
  • 43. Vazamentos de senhas Proteção: Gerenciadores de Senhas
  • 44. Grandes roubos de exchanges Ás vezes nem todo cuidado resolve
  • 45. Grandes roubos de exchanges Proteção: Use Carteiras (Hardwallets)
  • 46.
  • 52. Phishing por e-mail e sms Nem sempre é quem diz ser
  • 54. Clonagem de telefone Em pleno século XXI ela voltou
  • 55. Clonagem de Telefone Proteção: Remova o número do cadastro