O documento discute estratégias de segurança cibernética, incluindo:
1) Realizar testes de penetração em corretoras de criptomoedas brasileiras para descobrir vulnerabilidades e melhorar a segurança;
2) Divulgar os resultados dos testes para educar o público e incentivar as corretoras a melhorarem suas defesas;
3) Defender que a segurança deve ser a principal prioridade das corretoras e do setor de criptomoedas no Brasil.
3. Quem sou
• Leandro Trindade
• Bacharel em Ciência da Computação pela UnB.
• Empresário, CTO da X15 Tecnologia, COO da
aCCESS Security Labs.
• Programador multi-linguagem.
• Pesquiso falhas de segurança em sistemas, tanto
físicos como remotos, desde os 14 anos de idade.
4. Cenário
• 2017 - Explosão nos preços, exchanges não
conseguiam lidar com o tráfego.
• Aumento exponencial de incidentes de segurança
envolvendo Criptomoedas.
• Sistemas ainda não estavam robustos e seguros para
lidar com o que estava por vir.
• Modernização dos ataques, melhor risco x
recompensa para cibercriminosos
5. Hackativismo
• Perícia nas vítimas para descobrir vetores de ataque e
fechá-los.
• Descoberta de falhas de segurança em plataformas.
• Notificar sobre as falhas de forma responsável.
• Cronometrar a velocidade de resposta das exchanges e
avaliar seu modo de resposta.
• Divulgar detalhes das falhas e avaliação das exchanges
para a comunidade. (Ranking de Exchanges)
7. O Brasil e a segurança
• O Brasil está em 7° Lugar do mundo em crimes
cibernéticos.
• É um dos países que menos investem em segurança.
• Fontes:
• https://www.cbsi.net.br/2018/05/brasil-e-lider-em-cibercrime-mas-pouco.html
• https://webinsider.com.br/seguranca-da-ti-no-brasil-muito-falatorio-pouca-evolucao/
8. O Brasil e a segurança
• O desenvolvimento apressado de sistemas é exaltado.
• Deu algo errado? A culpa é do hacker
• Isso pode mudar com a LGPD (Lei Geral de Proteção de
Dados) que entrará em vigor a partir de fevereiro de 2020
• Quando existe segurança no currículo universitário, é
tratada como uma disciplina secundária.
• Impunidade.
• Desestímulo e perseguição à White/Gray Hats.
9. ACCESS - Objetivos
• Descobrir riscos antes que atacantes o façam.
• Proteger o lado mais fraco, os leigos, o mercado de
criptos precisa desse capital para continuar
crescendo.
• Desestimular o amadorismo no desenvolvimento de
plataformas financeiras.
• Libertarianismo: o mercado deve se auto-regular.
• Ser seguro tem que ser o foco principal da sua
marca.
10. ACCESS - Objetivos
• Educar o público para a importância de se optar por
plataformas mais seguras.
• Fornecer informações antes mantidas ocultas a
respeito dos riscos reais de cada exchange.
• Existe um abismo entre a linguagem técnica e o
público geral, para incentivar a auto-defesa é preciso
estabelecer pontes de comunicação.
• Saber atacar para saber se defender.
12. Ranking de exchanges por
segurança (critérios)
• Crítica - CVSS >= 8
• Grave - CVSS entre 6 e 8
• Média - CVSS entre 4 e 6
• Leve - CVSS < 4
Fonte: https://www.first.org/cvss/specification-document
• Ponto Fraco - Implementações
contra os padões de segurança,
que associadas a mais
vulnerabilidades podem se
tornar riscos
• Ponto Forte- Implementações
acima dos padrões de
segurança do mercado
13. Ranking de exchanges por
segurança (critérios)
• Falha Crítica - 15pts
• Falha Grave - 9pts
• Falha Média - 6pts
• Falha Leve - 3pts
• Ponto Fraco - 1pt
• Ponto Forte + 1pt
• Incidente - 6pts
• Ignorar clientes
atingidos - 12pts
• Demora para corrigir -
pontuação da falha x 2
Atenção: a sua colocação no ranking de exchanges
NÃO ESTÁ A VENDA!
25. A segurança vai muito além
do código
• Implementar políticas seguras para a sua empresa.
• Controlar acessos a nível microscópico, cada
funcionário só pode ter acesso ao imprescindível
para seu trabalho.
• Realizar frequentemente testes de penetração e
engenharia social.
• Reforçar políticas de rede, usar camada IPSec.
• Grupo de monitoramento e resposta a incidentes.
26. A importância do Bug Bounty
• Deem preferência a empresas que oferecem Bug
Bounty para pesquisadores independentes.
• Existem 2 tipos de plataforma:
1. As que fogem e perseguem os pesquisadores.
2. As que dão a cara a tapa.
• Se possuir código open-source melhor ainda.
• Todos irão dizer que estão seguros mas poucos irão
querer provar, e é assim que podemos saber quem é
quem.
27. Conclusão
• Como invadir uma exchange? No Brasil basta saber
onde clicar...
• Estamos entrando em uma nova era.
• O dinheiro é cada vez menos palpável.
• A privacidade é o seu bem mais precioso.
• A segurança não pode mais ser ignorada ou deixada
para trás.
28. Conclusão
• Qualquer um hoje pode fazer tecnologia, mas poucos
serão bem sucedidos.
• O sucesso na era do dinheiro digital está diretamente
ligado a seu planejamento e respeito a seus clientes.
• Está hora de começarmos a olhar para aquele
segundo marshmallow...
31. O que fazer com as
aplicações inseguras?
• Cenário perfeito: desenvolver
com foco em segurança!
• Mas falhas são descobertas
todos os dias em softwares
seguros
• CVE 2018-10933 afetando
a libssh, permitindo acesso
SSH sem autenticação
• Se a aplicação falhar, como
podemos prover segurança?
32. E como compenso as falhas e
vulnerabilidades das aplicações?
• Não é apenas desenvolver de
modo seguro, é possuir
mecanismos que compensem em
caso de falha
• Vale a pena investir em segurança?
• ~ R$ 2,9 bilhões* de reais em
2017 apenas por bancos
• Como compensar aplicações
inseguras?
• muitas, mas muitas formas…
Fontes: http://www.ciab.com.br/publicacoes/edicao/70/a-revolucao-dos-bancos
e https://www.itforum365.com.br/mercado/bancos-investem-mais-19-bilhoes-tecnologia-2017/
33. Segurança Tradicional
• API Gateway
• Controle de acesso a rede
e conformidade
• Firewalls de aplicações
• Firewalls de rede
• Gestão de eventos e
informações de segurança
(SIEM)
• Política de Bug Bounty
34. Segurança Tradicional
• Gestão de identidade
• Proteção de “endpoints”
• Sistemas de detecção e prevenção
de intrusos
• Testes de vulnerabilidades de
aplicações
• Web Gateways
• Mais em:
https://www.gartner.com/en/research
/magic-quadrant
37. E então o que eu faço?
• Segurança nunca é plena
• Mudança cultural nas
organizações
• A mudança deve envolver
ferramentas e processos!
• Segurança é conceito que
permeia todas as áreas
• Não é função da TI, mas de
toda a organização
• Cooperação entre todos
38. Então tem mais além das
ferramentas?
• Estrutura organizacional
• NOC (Network Operations
Center)
• SOC (Security Operations
Center)
• CSIRT (Computer Security
Incident Response Team)
• Blue/Red Team
39.
40. Segurança em Camadas
• Operacional
• Comunicações
• Armazenamento
• Identidade do usuário
• Entrega de serviço
• Hardware