Estudo revela nível de segurança de exchanges de criptomoedas brasileiras

Pesquisa sobre segurança das exchanges brasileiras tem resultados interessantes

O estudo intitulado “Relatório Anual de Segurança das Corretoras Brasileiras de Criptomoedas” analisou onze exchanges de criptomoedas inseridas no Brasil, no que tange a segurança das mesmas, detalhando com primazia como tal estudo foi realizado.

De autoria de Deivison Franco, Leonardo Marciano e Vinicius Valerio, três renomados estudiosos e profissionais do ramo de segurança da computação, o documento de 28 páginas começa explicando a metodologia utilizada para selecionar as exchanges. No dia 7 de agosto de 2018, “foram selecionadas corretoras com volume diário acima de 10 (dez) Bitcoins seguindo a lista disponibilizada no site CoinTradeMonitor, de forma não sequencial, numa seleção aleatória após as cinco com maior volume, com exceção das corretoras Troca Ninja e Walltime”. As exchanges selecionadas foram:

Webitcoin: Estudo revela nível de segurança de exchanges de criptomoedas brasileiras

A metodologia dos testes se deu por meio de ataques. O relatório explica:

“Um atacante pode, potencialmente, usar vários caminhos diferentes através de um sistema para causar danos ao negócio ou organização. Cada um desses caminhos representa um risco que pode, ou não, ser grave o suficiente para justificar atenção. Sendo que, às vezes, esses caminhos são triviais para encontrar e explorar, e em outras, são extremamente difíceis. Da mesma forma, o dano causado pode ter nenhuma consequência, ou resultar em danos sérios.”

Os autores completam:

“Para determinar o risco para a organização, pode-se avaliar a probabilidade associada a cada agente de ameaça, vetor de ataque, vulnerabilidade de segurança e combiná-la com uma estimativa dos impactos técnicos e no negócio da empresa. Juntos, esses fatores determinam o risco total. Diante do exposto, os testes previstos neste documento estão relacionados aos sites e ambientes computacionais das Corretoras testadas e visa atender aos tipos de ataques inerentes à metodologia para realização de testes de intrusão do OWASP, por ordem de criticidade.”

Abaixo, uma imagem com os métodos utilizados pelos pesquisadores:

Webitcoin: Estudo revela nível de segurança de exchanges de criptomoedas brasileiras

 

O objetivo de tais ataques foi testar a resiliência dos sites das exchanges, visando aferir se as plataformas cobrem todas as possibilidades de intrusão acima elencadas. Tal processo foi feito com muito cuidado e minucia, analisando as tecnologias frontend/backend utilizadas e aplicando os ataques que mais se adequavam, a fim de que nenhuma brecha evidente passasse despercebida pelos autores do estudo.

Leia mais: Plataforma blockchain focada em música, Audius, dá novos detalhes sobre seus “tokens gêmeos”

Além das invasões, foi feita uma análise de risco, com o intuito de sopesar se as vulnerabilidades encontradas são relevantes para comprometer a integridade da plataforma de troca. O documento diz sobre este ponto:

“Sendo assim, os nomes dos riscos na metodologia para realização de testes de intrusão derivam-se do tipo de ataque, do tipo de vulnerabilidade, ou do tipo de impacto causado. […] A metodologia proposta inclui três fatores de probabilidade para cada vulnerabilidade (prevalência, detecção e facilidade de exploração) e um fator de impacto (impacto técnico). A prevalência de uma vulnerabilidade é um fator que normalmente não precisa ser calculado, pois são fornecidos pelo OWASP através de estatísticas a partir de diferentes organizações para se chegar a uma lista da probabilidade de existência por prevalência de uma determinada vulnerabilidade. Estes dados são então combinados com os dois outros fatores de probabilidade (detecção e facilidade de exploração) para se calcular uma classificação de probabilidade para cada vulnerabilidade encontrada.”

Abaixo, segue uma imagem para melhor ilustrar:

Webitcoin: Estudo revela nível de segurança de exchanges de criptomoedas brasileiras

Além disso, esta é a tabela para ilustrar a pontuação dos riscos:

Webitcoin: Estudo revela nível de segurança de exchanges de criptomoedas brasileiras

As exchanges foram submetidas a até três testes envolvendo APIs, infraestrutura, criptografia, encapsulamento e pentest. Em relação a estes testes, segue abaixo um índice de risco x vulnerabilidade:

Webitcoin: Estudo revela nível de segurança de exchanges de criptomoedas brasileiras

Principais vulnerabilidades encontradas

O relatório faz uma descrição das principais vulnerabilidades encontradas, contudo, por óbvio, não informa o nome das exchanges ou como reproduzir as brechas. Uma delas é:

Webitcoin: Estudo revela nível de segurança de exchanges de criptomoedas brasileiras

Nesta vulnerabilidade, os principais cenários envolveram falhas em aplicativos que não criptografam informações de cartões de crédito quando recuperadas, apenas quando recebidas; a não utilização de TLS pelo site, fazendo com que um invasor mal intencionado consiga interceptar conexões e roubar o cookie de sessão do usuário, replicando-o e modificando os dados deste mesmo usuário; e o fato de bancos de senhas utilizarem hashes simples ou sem SALT para armazená-las, fazendo com que uma falha de upload permitisse que o invasor recuperasse o banco de senhas, fazendo com que o receptor descobrisse facilmente as senhas com hashes simples – algo que pode ser feito utilizando GPUs.

Leia mais: Governo americano gastou quantia milionária na tentativa de rastrear usuários de criptomoedas

Vulnerabilidades de risco baixo

Nesta parte do estudo, ao revelar as vulnerabilidades de baixo risco encontradas durante a pesquisa, os autores recomendaram que o CloudFlare não fosse utilizado, pela facilidade de se descobrir o IP real da aplicação, sendo recomendadas as aplicações Sucuri ou Fastly. Foi recomendado também que os usuários não deixassem diretórios de acesso administrativo acessíveis a todos, utilizando ainda soluções captcha para impedir ataques bruteforce.

Além disso, foi indicado que a página de acesso do PhpMyAdmin e documentações sobre sua versão não ficassem expostas, uma vez que com essas informações é possível realizar ataques contra o gerenciador.

No que tange as vulnerabilidades de baixo risco, foram ainda encontrados em diversas exchanges endpoints que possibilitam uploads de arquivos, algo que poderia ser utilizado de maneira mal intencionada.

Vulnerabilidades de risco médio

Nesta categoria, vulnerabilidades como obtenção de credenciais de acesso a servidores com dados privilegiados de clientes, em arquivos publicamente acessíveis, além da obtenção de dados de administradores (logins de CMS em páginas institucionais).

Webitcoin: Estudo revela nível de segurança de exchanges de criptomoedas brasileiras

Vulnerabilidades de alto risco

Por fim, foram apresentadas pelos autores do estudo as vulnerabilidades de alto risco. Servidores com autenticação fraca e vulneráveis a ataques para obtenção de credenciais de acesso talvez sejam apenas a ponta do iceberg, uma vez que foi encontrado um Bucket da Amazon sem autenticação, que guardava selfies de clientes exibindo seus documentos pessoais e contas bancárias, conforme mostra a imagem abaixo:

Webitcoin: Estudo revela nível de segurança de exchanges de criptomoedas brasileiras

Além disso, vulnerabilidades igualmente graves envolvem repositórios GIT em pastas publicamente acessíveis, através das quais foi possível acessar o código-fonte das exchanges, o que consequentemente dava acesso às chaves de todas as suas cold hot wallets, conforme se nota abaixo:

Webitcoin: Estudo revela nível de segurança de exchanges de criptomoedas brasileiras

Concluindo, foram detectadas vulnerabilidades em tecnologias de terceiros utilizadas como base de software das exchanges, prática que deu acesso aos repositórios de todos os seus clientes – algumas ainda em versão beta.

Webitcoin: Estudo revela nível de segurança de exchanges de criptomoedas brasileiras

O relatório preocupa, principalmente pelo fato de vulnerabilidades tão graves terem sido encontradas em exchanges cujos serviços são utilizados por clientes brasileiros. É sempre bom ter atenção dobrada e aplicar as recomendações feitas pelos pesquisadores.

Contudo, nem todas as exchanges apresentaram falhas. BitcoinTrade, Profitfy, 3xbit, Troca Ninja e Walltime foram aprovadas nos testes executados.

Caso queira, você pode conferir o estudo na íntegra.