Uma carteira de bitcoin e muitas lições de segurança

Depois de quase 20 anos trabalhando com segurança cibernética e em especial em criptografia, a gente percebe algumas coisas. A primeira é que empresas novas, processos novos, tecnologias novas sempre são divertidas (ao menos do ponto de vista de quem trabalha com segurança), pois é garantia de problemas novos.

Vamos tomar como exemplo um caso recente de uma empresa Exchange de Bitcoin canadense que está envolvida em um escândalo em que alegam estar com mais de USD$100 milhões indisponíveis após o CEO, único portador da senha da Cold Wallet da empresa, morrer por complicações de doença de Crohn em uma viagem à Índia!

Neste caso específico, muito indícios apontam para uma fraude, mas vamos admitir por hipótese que a história divulgada pela empresa é verdadeira – “O CEO morreu e só ele tinha a(s) senha(s) do(s) Cold Wallet(s) que estavam em seu computador pessoal, tendo o indivíduo morrido em viagem para a Índia”.

Se este for o caso, trata-se de uma mistura de amadorismo com desleixo criminoso. Comento abaixo dois pontos que são absolutamente impensáveis para qualquer Exchange de Bitcoin (e que você que usa este tipo de serviço precisa saber):

– O controle de Cold Wallets, em que a indisponibilidade (permanente) de uma pessoa impede a sua movimentação é, no mínimo, gestão temerária (que é crime). Todo gestor ou dono de negócio precisa ser diligente, isto é, se antecipar a riscos existenciais para o próprio negócio e para os seus clientes;

– Usar um laptop pessoal para carregar as Cold Wallets é outra sandice. Você carregaria uma maleta com USD$ 100 milhões trancada apenas por senha que o próprio portador conhece? É obvio que não, afinal, por muito menos, criminosos matam e torturam. Bom, com o laptop pessoal o problema é ainda maior, pois pode ser hackeado, estando online ou não (vide ataques de side-channel e caso Stuxnet/Iran).

Este caso específico possui uma série de outros absurdos, mas os dois acima já são suficientes para ilustrar a outra percepção que comentei no começo deste texto: as causas dos “novos” problemas são geralmente clássicas. Na maior parte do tempo é gente nova cometendo erro antigo.

Por exemplo, a questão da indisponibilidade da carteira da empresa canadense, poderia ser facilmente prevenida com uma análise de risco clássica (moldes de ISO 31.000, que como norma já tem 10 anos).

Tecnicamente, a implementação de um esquema de “secret sharing” matemático poderia facilmente ter evitado este problema e ao mesmo tempo aumentado o nível de segurança e de disponibilidade da companhia. É coisa que empresas tradicionais de payment já conhecem há décadas.

Já a questão de ter um “cofre” para guardar a carteira fria de Bitcoins precisa estar em sistemas “tamper-proof” (e jamais em um laptop ou servidor x86). Para isso, existem salas-cofre e HSMs (hardware security modules), usados com sucesso estrondoso nas áreas de certificação digital e, mais uma vez, pagamentos.

Hipóteses à parte (já que o caso canadense, ao que tudo indica parece cada vez mais ser um grande caso de fraude), vai ser interessante e nada surpreendente se os bancos centrais aproveitarem a deixa para regular mais fortemente o setor.

E essa é a lição final: em segurança, raramente o mercado se autorregula. Cabe à sociedade fazer com que esta regulamentação seja bem-feita e cumprida.

(*) Roberto Gallo é coordenador do Comitê de Segurança e Riscos Cibernéticos da ABES