[WATCH] Cybersegurança “É uma batalha constante entre quem constrói as coisas e quem as quebra”
Dustin Plantholt, foi acompanhado no palco por palestrantes que trabalham no campo da segurança cibernética “que ajudaram a manter os vírus longe de destruir tudo ao seu redor”
Nesta conversa durante o SiGMA/AGS Dubai, os palestrantes: Dr. Jason Gamage, CISO da Goldilock; Robert Grant, presidente e fundador da Crown Sterling e Simas Simanauskas, diretor de parceria da ConnectPay, juntam-se ao nosso moderador Dustin Plantholt, fundador e CEO da Crypterns para discutir segurança cibernética e hackers. Por que algumas das maiores corporações do mundo tiveram seus sistemas violados?
Grant abriu essa discussão dizendo que isso pode ser multifatorial. Ele acha que uma das coisas é que se tornou algo com o qual o mundo se acostumou. Vemos isso todos os dias, outra história de outra grande violação, e há muitos aspectos disso. O aspecto que ele tende a focar é criptografia e criptografia. Ele continua explicando ainda que, mesmo que seus sistemas sejam violados, você deve pensar em obter um sistema excelente que não dependa de uma cifra de bloco, pois neste caso, uma vez quebrado, todos os arquivos são perdidos.
Grant explica que precisamos de um novo tipo de protocolo criptográfico que não esteja vinculado a todos esses arquivos. Um exemplo visível a ser observado é a violação de dados da Equifax, onde 400 milhões de registros de pessoas foram perdidos. O moderador, Dustin Plantholt, salta para outra questão importante para discussão, que é se os dados são importantes. Ele continua perguntando: Se eu não tenho nada a esconder ou não tenho nada de valor, eu deveria estar realmente preocupado com isso?
Simas Simanauskas, Diretor de Parceria da ConnectPay acredita que isso é primordial, pois a segurança dos dados é tão crítica para as instituições financeiras quanto um aspecto de reputação, você simplesmente não pode comprometer isso.
É como a conformidade, se você perder a segurança dos dados, é o mesmo que a perda de conformidade, é muito importante e muito crítico. É por isso que na connect pay, Simanauskas diz que eles levam isso muito a sério. O ConnectPay é certificado pela ISO 27001 e possui muitos processos em vigor, como também a certificação PSI DSS.
As instituições financeiras ou instituições da indústria FinTech são um dos setores mais visados no mundo. Ele continua explicando que esta é uma batalha real, os hackers precisam ser bem-sucedidos apenas uma vez e você precisa ser bem-sucedido cem por cento das vezes.
Assista a discussão completa aqui:
Quebrando o termo Blockchain:
Plantholt então pede a Robert Grant para quebrar o termo Blockchain.
Grant continua dizendo que é engraçado porque se você conversar com a maioria das pessoas no mundo exterior e perguntar a elas o que é blockchain, elas pensam que ela própria tem criptografia. Se você apenas fizer uma pesquisa e perguntar aos consumidores, eles podem conhecer a palavra descentralização, mas eles realmente não sabem o que isso significa.
As pessoas aqui sabem que se trata de um livro-razão distribuído e há todo um processo de governança em torno dele, que é único e diferente. Há tantos outros aspectos de ter um registro histórico que não pode ser alterado, como o fato de ser imutável.
Todas essas coisas são aspectos centrais do que é emocionante na indústria de blockchain. Quando você chega ao lado do consumidor, as pessoas ainda não entendem.
Acho que é uma das coisas que realmente temos que superar. Neste tópico de segurança, como uma indústria inteira, todos nós nos acostumamos a acreditar em todos os órgãos de padrões que já existem.
Mas o problema é que os órgãos de padronização não conseguem acompanhar o ritmo de inovação daquele hacker que só precisa ter sucesso uma vez.
Levando em consideração o NIST (o Instituto Nacional de Padrões de Tecnologia), eles passaram os últimos cinco anos trabalhando em uma abordagem para corrigir o problema quântico para computadores quânticos. Nesse meio tempo, houve muitos novos avanços.
A IBM, ainda este ano e na primeira parte do próximo ano, está lançando um computador quântico de mais de 1000 qubits, no qual poderemos quebrar pelo menos 99% dos atuais protocolos de perfis criptográficos que já estão disponíveis no blockchain e através os sistemas bancários.
Antes de assumir essa função, Robert era presidente de uma organização muito grande, e o que via ali eram ameaças sempre ao seu redor. Por que você acredita agora que está em condições de fazer essa mudança? pergunta Dustin.
“Minha perspectiva histórica sobre isso vem, eu era CEO de grandes corporações. Fui CEO da Bausch + Lomb Surgical, empresa de oftalmologia da área farmacêutica. Também fui presidente da Allegan medical e lancei grandes produtos como Botox e Juvederm, que mais tarde se tornaram nomes conhecidos.
“Então esse foi o meu tipo de impulso de marketing. Sempre fui super interessada e sempre gostei de matemática. Quando descobri um padrão de números primos em 2018 e o publiquei, isso me fez começar a aprofundar a questão da computação quântica, bem como soluções geométricas e fiquei bastante interessado em ver que, na semana passada, havia um artigo que saiu na Ars Technica sobre como uma abordagem geométrica foi usada para quebrar criptografias na natureza, o que foi meio satisfatório porque é uma das coisas que venho dizendo nos últimos anos.
Eu sou muito apaixonado por isso.”
O blockchain pode ser hackeado?
Simas continua dizendo que, embora não seja um especialista técnico em tecnologia blockchain, ele acha que tudo pode ser hackeado, então é uma batalha constante entre quem constrói as coisas e quem as quebra.
Dr. Jason Gamage, CISO da Goldilock mais tarde se junta à conversa. A Gamage está no campo da segurança há 32 anos. Ele continua explicando que a criptografia pode ser quebrada. Vulnerabilidades podem ser introduzidas no código ou ser encontradas no código e causar uma interrupção.
Há erros típicos cometidos e o foco em treinar pessoas que são codificadores para codificar com segurança é apenas uma novidade. Durante a maior parte de sua carreira, Gamage passou muito tempo com as equipes de segurança de aplicativos, desenvolvendo um especialista em segurança dentro dessa equipe para poder ser o herói.
“Tenho tentado mudar o paradigma de como encaramos a segurança do set. Temos informações confidenciais, semelhantes ao blockchain. Você realmente precisa mantê-lo online o tempo todo? Precisa estar na internet?” ele pergunta.
A segunda pergunta que você precisa fazer é: precisa estar sempre na internet? Se a resposta for não, por que você está colocando na nuvem? O que as pessoas fazem é se concentrar no controle de acesso e em poder criptografar e colocá-lo lá. Essas coisas podem ser quebradas. Eles podem ser contornados. A SolarWinds é um ótimo exemplo de um estado-nação capaz de contornar o controle portuário, o que permite entrar em espaços aéreos. Essas lacunas de ar são normalmente encontradas onde há uma desconexão manual da Internet.
Isso é algo que foi e ainda está sendo usado em muitos sistemas de controle industrial, mas não normalmente com informações confidenciais. Hoje em dia é tudo sobre controle de acesso e isso significa controle pobre. Ter um controle ruim significa que ele pode ser ignorado como no SolarWinds.
Uma das ideias da empresa de Ganage é criar uma solução que desconecte as informações da internet e tenha uma forma diferente de conectá-las.
Colocando o Blockchain em perspectiva, Ganage explica que, se você tem uma carteira, provavelmente deseja armazenar seus fragmentos em alguns lugares diferentes para protegê-los. Um desses lugares deve ser algo como Goldilock.
Sendo o CISO da Goldilock, ele explica que eles têm uma solução onde você pode colocar um deles nele podendo desconectá-lo completamente da internet. Fazendo de você a única pessoa que volta lá para desbloqueá-lo, pois você precisa fazer uma chamada telefônica ou um SMS para poder reconectá-lo.
Para acessar sua carteira você precisa fazer aquela outra comunicação fora de banda, que não está conectada à internet de forma alguma, caso contrário, ela permaneceria desconectada.
Esta é uma ideia que não pode ser hackeada pela computação quântica. Ele não pode ser violado porque não está conectado à Internet, pois quando você terminar de usá-lo, basta desconectar.
Voltando à pergunta de Plantholt sobre se o blockchain pode ser violado, Robert Grant, que pesquisou bastante sobre o assunto, ele explica que a função de transição de estado tem criptografia e tem dois aspectos dessa criptografia. Mesmo as pessoas que trabalham em blockchain nem sempre entendem completamente como a criptografia funciona.
Os dois aspectos da criptografia na segurança cibernética:
Os dois aspectos da criptografia são chaves simétricas e assimétricas. A chave simétrica também pode ser chamada de padrão de criptografia avançada AES ou SHA-256. Isso usa uma cifra de bloco e a trunca para um caractere de 256 bits.
Por outro lado, existem chaves assimétricas que usam criptografia de chave pública para enviar informações para outra parte. Essa chave assimétrica é onde está o verdadeiro risco quântico, porque não é trivial para um computador padrão, mesmo um supercomputador, fatorar um número muito grande.
Se um computador quântico ou um invasor interceptar a chave pública e eles forem capazes de encontrar rapidamente os dois fatores ou a exponenciação da curva elíptica, eles poderão decifrá-lo e redirecionar os fundos para eles.
Os computadores quânticos devem ser capazes de quebrar criptografias em tempo polinomial, que é muitas vezes mais rápido que o tempo exponencial. Escrevendo um artigo sobre esse tópico, Grant continua dizendo que sim, você pode interceptar mensagens ou entrar em uma carteira que não seja criptografada quântica apenas com criptografia de chave pública padrão.
É um endereço de chave pública muito simples de usar, explica. Não é resistente a um ataque quântico. Gamage disse que isso é bastante caro, mas uma das razões pelas quais você deseja implementar a criptografia é o retorno do investimento para o seu hacker típico. Se o investimento for muito alto, o ROI também será muito alto.
Fechando o painel de discussão, Gamage continua dizendo que o futuro é o futuro, mas amanhã também é o futuro. Vamos começar a nos preparar para o futuro imediato, em vez de esperar pelo futuro de longo prazo para recuperar o atraso. A segurança é fundamental.
Junte-se a nós para o SiGMA Americas – Toronto:
Toronto é o centro perfeito para o crescimento da SiGMA na América do Norte, tornando-se um nexo de networking e desenvolvimento de negócios na região em relação a terrestres, iGaming, apostas esportivas e muito mais. Sediando uma enorme indústria de iGaming, Toronto será o lar da iniciativa do SiGMA Group de unir os pioneiros da indústria do continente por 3 dias de networking, workshops e prêmios. Para saber mais sobre oportunidades de patrocínio e palestras ou para saber como participar do evento, entre em contato com Sophie no [email protected].
