Segurança Cripto em 2016: um conto de duas fraquezas

Bill Shihara é CEO e cofundador da corretora de Criptomoeda Bittrex e ex-engenheiro de segurança na Amazon, Blackberry e Microsoft.

Nesta edição especial do CoinDesk 2016 in Review, Shihara analisa os principais Eventos de segurança cibernética no setor neste ano, traçando tendências claras que podem informar empresas e indivíduos que buscam proteger melhor seus fundos em 2017.

Bitfinex, The DAO, Gatecoin...

A segurança sempre foi uma preocupação na comunidade do Bitcoin e de Criptomoeda em geral e, sem surpresa, não faltaram ataques maliciosos a empresas do setor em 2016.

Este ano, vimos vários ataques a grandes empresas, o que sugere que invasores mal-intencionados provavelmente continuarão sendo uma ameaça para startups de Criptomoeda , colocando usuários e investidores no setor de blockchain em risco.

Enquanto startups e investidores se preparam para 2017, vamos analisar alguns dos principais incidentes na esperança de que os hackers tenham menos sorte no próximo ano.

Primeiro semestre de 2016: serviços centralizados atacados

Serviços centralizados (ou grandes pools de criptomoedas) sempre foram alvos atraentes para hackers.

Mas o que é notável é que as três exchanges de Criptomoeda que foram hackeadas durante esse período foram comprometidas usando métodos muito diferentes. Eu diria que o desenvolvimento levanta problemas para clientes que tentam gerenciar o risco de colocar seus ativos digitais em serviços centralizados.

A ShapeShift, por exemplo, perdeu os seus próprios fundos através devários hackspor um insider, enquanto ambosGatecoine a Bitfinex perdeu fundos de usuários por meio de hacks externos (e tem trabalhado para reembolsar seus clientes).

T podemos esquecer do maior hack do ano: o DAO.

O DAO, um fundo de capital de risco descentralizado, levantou aproximadamente US$ 150 milhões em março de investidores em moedas digitais do mundo todo.

Infelizmente, a promessa de contratos inteligentes e "código como lei" foi posta à prova quando um hacker conseguiu usar o código DAO para sacar US$ 50 milhões em Ethereum. Lembre-se, contratos inteligentes são softwares e não são imunes a bugs lógicos que podem levar a falhas de segurança.

Assim como ao colocar seu dinheiro em bolsas, você deve pensar cuidadosamente sobre contratos inteligentes e soluções descentralizadas, e como eles funcionam, para entender como seus fundos são protegidos.

Segundo semestre de 2016: Indivíduos visados

À medida que os serviços criados no setor de Criptomoeda elevaram o nível de segurança, os hackers passaram a atacar alvos mais fáceis, atacando usuários individuais.

Até mesmo veteranos sofisticados da indústria de Bitcoin , como Bo Shene Jered Kenna,conforme relatado porForbes, não ficaram imunes a essa onda de ataques.

No segundo semestre de 2016, várias pessoas no espaço de Criptomoeda tiveram seus números de telefone roubados. Hackers conseguiram fazer "engenharia social" em suas operadoras de telefonia e convencer engenheiros de suporte a trocar seus números de telefone para um que o hacker controla.

Isso é particularmente insidioso porque mensagens de texto SMS e números de telefone são usados ​​como mecanismo de autenticação por muitos serviços nos quais você confia diariamente, como Google, Facebook e alguns serviços de Criptomoeda .

Em alguns casos, seu telefone pode ser usado como um único fator para redefinir uma senha ou entrar em uma conta. Sua empresa telefônica protege sua vida digital com a mão de obra mais barata que eles podem encontrar, e esses engenheiros de suporte T sempre Siga seus processos de segurança.

A melhor coisa a fazer é remover seu número de telefone de quaisquer serviços aos quais ele possa estar vinculado no momento. Outra prática recomendada — embora nem sempre infalível porque sua operadora de telefonia pode não Siga seus próprios processos de segurança — é colocar uma senha em sua conta e exigir que qualquer troca de SIM ou troca de operadora aconteça somente se uma identificação válida for mostrada em uma loja.

Sobre o tópico de engenharia social, tenha cuidado com onde você coloca suas credenciais e qualquer informação sobre você – no LinkedIn, Facebook e Twitter, por exemplo.

Hackers podem coletar essas informações e usá-las para fazer engenharia social para entrar em suas contas. Pense nas respostas para suas perguntas de segurança e se alguém poderia determiná-las olhando seu perfil do Facebook.

E, obviamente, se você estiver reutilizando o mesmo nome de usuário e senhas em vários sites, você deve considerar alternativas. Use autenticação de dois fatores baseada em hardware ou dispositivo em todos os sites que a suportam.

KEEP em mente que há sites falsos projetados para enganá-lo e fazê-lo fornecer suas credenciais. Hackers rotineiramente compram Adwords para que seus sites maliciosos estejam no topo das pesquisas na web.

Olhando para o ano que se avizinha: 2017

2016 foi um grande ano para os hackers, mas 2017 T precisa ser assim.

Ao prestar atenção às tendências e proteger suas contas comerciais e pessoais com medidas de proteção avançadas, todos nós podemos nos beneficiar de um ecossistema de Criptomoeda mais seguro.

No entanto, ainda não chegamos lá. Em 2017, espero que a indústria invista pesadamente em Tecnologia de Política de Privacidade e soluções de identidade em blockchains.

Imagem de arrombamento de cofrevia Shutterstock