Artigos

BitCoin – Acima de tudo, é uma questão de confiança

Ultimamente a BitCoin (moeda digital – http://en.wikipedia.org/wiki/Bitcoin) tem andando nas bocas do mundo, não só pelo elevado valor que esta tem atingido nos mercados de câmbio (1 BitCoin ~= $1200 USD em Dezembro), mas também pelos mais recentes “assaltos digitais” que já fazem história na Internet e no mundo.

Estes têm sido tema de aceso debate não só pelos montantes envolvidos, que rivalizam com os relativos aos grandes assaltos a bancos na história (http://www.billshrink.com/blog/4486/bank-heists/), mas também pela criatividade técnica envolvida e as suas peculiaridades. Todos estes aspectos têm  contribuido para que a BitCoin seja, de facto, um fenómeno e um caso de estudo bastante interessante.

 

Um dos mais recentes assaltos lesou um BitCoin Exchanger (entidade que fornece serviços de carteira virtual/”conta à ordem”, transferência e câmbio de BitCoins) em 96.000 BitCoins, avaliadas em cerca de 60-100 milhões de Dólares à data de escrita deste artigo. O peculiar neste assalto é que este está neste momento a decorrer e pode ser acompanhado em tempo real, por qualquer pessoa na Internet, algo que até então era “uma coisa só dos filmes!” – http://www.newrepublic.com/article/115807/bitcoin-thief-steals-100-million-sheepshead-marketplace

Blog bitcoin graf

Imagem 1: Valor da BitCoin para USD no mercado de câmbio (referência – www.bitcoincharts.com)

Com o advento da BitCoin (sendo esta a moeda digital que tem criado mais impacto e gerado mais expetativa) pode-se dizer que as regras do jogo têm vindo a mudar gradualmente, com potencial impacto na forma como podemos vir a lidar futuramente com o dinheiro e fazer negócio. Sendo esta uma moeda que não é detida/tutelada por um Estado ou instituição privada (reconhecida e devidamente credenciada), nem regulada por uma entidade central (banco central), poder-se-á arriscar dizer que estamos perante um cenário de “no man’s land”, onde as leis são escassas e inaptas, a regulação e as fronteiras inexistentes, e um potencial virtualmente ilimitado.

As leis da oferta e da procura, assim como o valor que é conferido (mais ou menos especulativo) à BitCoin, estão disponíveis – e tendencialmente dependentes dela – a uma geração digital, permanentemente ligada/interligada, globalmente social e socialmente global.


O facto da BitCoin ser uma moeda que nasce de uma iniciativa espontânea da comunidade (Internet) e que nela se tem desenvolvido com pouca ou nenhuma interferência externa, aproxima-a de uma moeda com características verdadeiramente livres e independentes. Também o facto desta ser uma moeda que pode ser criada (fabricada e emitida) por qualquer pessoa, anulando-se por completo o papel de uma qualquer entidade central emissora (normalmente detida pelo estado ou por uma instituição privada), contribui fortemente para a sua independência.

 

A total independência de uma entidade central reguladora e emissora (seja ela estatal ou privada), a liberdade de criação e emissão, bem como a capacidade de realizar transações fora dos canais normais, são algumas das razões que estão certamente por detrás da crescente adoção e sucesso súbito da BitCoin.

 

No entanto, embora a BitCoin seja neste momento um tema muitíssimo mediatizado e esteja a experimentar um crescente sucesso, nada garante que não possa “desaparecer” tão rápido como surgiu, vítima do seu próprio sucesso.

 

A verdade é que existe um pilar fundamental para o sucesso a longo prazo de uma moeda, seja ela qual for, podendo este não estar de todo assegurado para o caso da BitCoin. Este é o pilar da CONFIANÇA.

 

Mas o que é realmente a confiança quando se fala de uma moeda?

A confiança é algo que em rigor não é de muito fácil descrição, já que esta está intrinsecamente associada às questões culturais e aos fenómenos sociológicos dos povos. No entanto, impera a noção intuitiva de que uma moeda que inspira confiança é aquela que garante que compradores, vendedores, aforradores e investidores continuarão a aceitá-la como meio de pagamento ao longo do tempo.

 

Mesmo considerando tal, é possível apresentar algumas das propriedades (existirão mais certamente) que contribuem para a confiança numa moeda:

 

1.         Aceitação pela comunidade e reconhecimento do seu valor

Esta propriedade assegura ao indivíduo que este poderá confiar na validade da moeda, ou seja, que poderá usá-la como veículo de transmissão de valor, já que esta será aceite pela comunidade como “meio legítimo de troca” ou pagamento. Complementarmente, o valor que um outro indivíduo ou instituição lhe dará será aproximadamente o mesmo.

 

Nas sociedades modernas o uso da moeda tem curso forçado, ou seja, legalmente ninguém pode recusar a moeda como forma de pagamento pelo seu valor nominal. É assim igualmente importante a confiança na capacidade das autoridades em aplicar a lei.

 

2.         Retenção de valor

Esta propriedade assegura ao indivíduo que o valor da moeda se irá manter relativamente estável no futuro. Esta é uma propriedade determinante quando abordamos a moeda não só como meio de troca, mas também como meio de poupança e investimento.

 

Existem inúmeros casos na história de quebra de confiança na moeda de tal forma agudas que deram origem a uma crise social e financeira profunda, com cenários de inflação e deflação insuportáveis), levando à falência ou pré-falência da moeda, e consequentemente do estado (ex.: Marco, Alemanha – 1920; Cruzeiro, Brasil – 1994; Escudo, Portugal – 1983; Bolivar, Venezuela – Presente; Euro – ?)

 

3.         Segurança

Esta propriedade assegura ao indivíduo que a moeda está salvaguardada por meios e mecanismos de segurança que mitigam os riscos de perda parcial/total. Alguns exemplos:


·         A moeda é de difícil falsificação: A falsificação de moeda implica normalmente perdas totais, face ao valor nominal, para o indivíduo ou entidade que a recebe em troca de bens ou serviços. Esta, quando colocada em circulação em grandes quantidades, pode ainda prejudicar a economia de forma significativa, já que a confiança na validade da moeda na comunidade pode ficar comprometida. Por este motivo hoje em dia são investidos biliões no combate à contrafação de moeda e em tecnologia de impressão de moeda resistente aos métodos de contrafação;


·         O nosso dinheiro está seguro nos bancos: Os bancos têm um papel fundamental na economia e na sedimentação do valor e confiança da moeda. Por este motivo, existe um esforço para passar a imagem de que os bancos são entidades “de bem”, a quem podemos confiar o nosso dinheiro, seja ele para fins de poupança ou investimento. 


Até há muito pouco tempo este era um princípio bem enraizado na comunidade. No entanto, e a título de exemplo, a crise que tem afetado a zona Euro com falências de bancos, assim como decisões mais radicais da UE (ex: solução Chipre) veio certamente abalar esta premissa e, consequentemente abalar a confiança no Euro como moeda.

 

Identificadas algumas das propriedades importantes para a confiança numa moeda, será estão interessante avaliá-las em relação à BitCoin, tentando assim avaliar o seu estado atual como moeda:

 

1.         Aceitação pela comunidade e reconhecimento do seu valor

Esta é uma propriedade que tem vindo a ser adquirida e sedimentada desde o seu aparecimento inicial, embora ainda muito circunscrita ao seio das comunidades na Internet.

O número de entidades online que já aceitam a BitCoin como forma de pagamento são cada vez em maior número, atribuindo à moeda um valor tangível, já que esta pode efetivamente ser usada como veículo de transmissão de valor para a aquisição de bens e serviços.

 

Também o crescente número de Exchangers (entidades que permitem/facilitam a compra, venda, transação, gestão de carteira virtual e câmbio de BitCoins) tem contribuído para a promoção da BitCoin como moeda digital de referência na Internet. A possibilidade de efetuar o câmbio com outras moedas, como o Dólar ou o Euro, é por si só uma importante mais-valia para qualquer moeda.

 

No entanto, a especulação mais recente nos mercados de BitCoin tem vindo a inflacionar o seu valor (Imagem 1) de tal maneira que tem catapultado a ocorrência de fenómenos negativos, que em nada abonam para a confiança da moeda, como por exemplo os “assaltos em massa” aos Exchangers para roubo de BitCoins.

 

2.         Retenção de valor

Esta é uma propriedade que não está de todo assegurada no caso da BitCoin. Esta é ainda uma moeda relativamente recente que carece do suporte e estrutura que a regulação e supervisão por parte de uma entidade central (estado/banco central) lhe poderia atribuir à partida.

 

O facto da BitCoin estar exclusivamente inserida num contexto de mercado livre (ausente de regulação) e de nicho, onde as únicas entidades que intervêm no valor são os próprios compradores e vendedores, e sem quaisquer garantias, implica que esta se encontre muito exposta à inflação e deflação, devido à oferta e procura, bem como movimentos especulativos.

 

É difícil prever se a BitCoin alguma vez conseguirá atingir o estatuto de moeda capaz de atrair poupança ou pequenos investidores aforradores que, por natureza, são avessos ao risco. Pode muito bem ser possível que sem o suporte de uma entidade reguladora central e sem a credibilidade de um Estado por detrás, esta nunca estabilize o suficiente.

 

Neste momento a BitCoin apenas permite a compra de bens e serviços, e a tomada de posições de investimento de altíssimo risco.   

 

3.         Segurança

Esta é uma propriedade que, no geral, ainda não está assegurada satisfatoriamente pela BitCoin. Embora as capacidades de segurança intrínsecas/endógenas que a moeda oferece sejam de longe superiores às da moeda tradicional, muitos do problemas de segurança devem-se na verdade às más práticas de utilização, armazenamento e segurança usadas pelos utilizadores e entidades de Exchange (extrínsecas/exógenas).

 

Vejamos dois aspetos relevantes para esta análise da BitCoin:

 

·         A moeda é de difícil falsificação:

A Bitcoin é uma moeda que não é falsificável devido à forma como esta está desenhada. No entanto há que ter alguns cuidados para garantir que são seguidas as melhores práticas, e assim evitarem-se situações de fraude.

 

A BitCoin é uma “Crypto Currency”, sendo esta denominação derivada dos métodos criptográficos em que está baseada a sua criação (como funciona a emissão de BitCoin –  https://en.bitcoin.it/wiki/Mining).

 

A submissão de novas moedas no sistema, bem como a validação e registo de transações, está suportada num sistema distribuído que comunica através de uma rede peer-to-peer, e que assegura a validade das operações. Este sistema é composto por nós, pertencentes a utilizadores de BitCoin (qualquer um pode criar um destes nós), assumindo o primeiro a responsabilidade de manter e distribuir uma cópia do registo de transações (registo de parte ou totalidade das transações efetuadas com BitCoin desde que esta surgiu).

 

Como existe um único registo de transações válido a qualquer instante, apesar da sua distribuição pelos vários nós da rede, uma transação deve ser verificada pelos intervenientes em mais do que um nó da rede para assim garantir a sua integridade e validade.

 

Para mais detalhes de como a BitCoin funciona – http://bitcoin.org/en/how-it-works

Blog bitcoin flux

Imagem 2 – exemplo de transação com BitCoins

Portanto, se os registos de transações estiverem atualizados e forem validados entre múltiplos nós redundantes, a replicação/falsificação da moeda é impossível. A todo o momento não podem existir no sistema duas BitCoins iguais. Não quer dizer que tal seja impossível, mas se os mecanismos de segurança de validação de transações estiverem implementados existe a garantia de que uma BitCoin duplicada jamais se propagará pelo sistema, sendo esta eliminada na fonte, mesmo antes da transação ter ocorrido.

 

·         O nosso dinheiro está seguro nos bancos:

Quando considerando a moeda BitCoin, a entidade que mais se assemelha a um banco são os Exchangers.

 

Analogamente à moeda tradicional, apesar da utilização e armazenamento de BitCoins ser um processo autónomo e descentralizado (i.e., qualquer detentor de BitCoins não depende de uma 3ª entidade para realizar operações), o recurso a Exchangers ocorre habitualmente por conveniência:

 

  • Os Exchangers são entidades que vendem e compram BitCoins;
  • Os Exchangers fornecem o serviço de “carteira virtual” de utilização simples e gratuita;
  • Os Exchangers facilitam as operações com BitCoins;
  • Os Exchangers fazem o câmbio de BitCoins com outras moedas.

 

O crescente valor da BitCoin, provocado pela mais recente bolha especulativa (Imagem 1), tornam os Exchangers num alvo bastante apetecível e lucrativo para os hackers, já que estes acabam por ter em sua posse grandes quantidades de BitCoin.

 

O perfil de segurança destas entidades é normalmente bastante medíocre, sendo estas muitas das vezes geridas apenas por uma pessoa, com recursos muito limitados. É por isso expectável que um ataque à sua infraestrutura não exija um elevado know-how ou skills técnicos por parte de um atacante. Este, com alguma dedicação e tempo, conseguirá eventualmente comprometer a segurança do Exchanger, conduzindo ao roubo das BitCoins que estão em sua posse.

 

Outro fator determinante prende-se com o facto de não haver qualquer tipo de legislação ou entidade que regule e certifique a operação dos Exchangers. Normalmente um ataque conduz à perda total dos recursos dos clientes, sem demais prejuízo para o prestador do serviço a não ser na sua reputação (este pode sempre abrir um novo serviço com outro nome). Não existem quaisquer seguros que cubram os clientes deste tipo de perdas.

 

A efemeridade destas entidades também é por si só um problema, já que muitas delas desaparecem de um dia para outro, ou estão associadas a atividades ilegais que levam à apreensão da atividade por parte das autoridades, acabando por lesar os clientes que nestes casos perdem todo o seu dinheiro. 

 

 

Assim, pelos motivos mencionados, entre outros, podemos assumir que no que diz respeito à BitCoin o dinheiro não está de todo seguro nos bancos (Exchangers). Desempenhando estes um papel tão importante para a confiança numa moeda, é compreensível que a confiança na BitCoin seja severamente prejudicada pela falta de segurança e garantias que estes dão aos seus clientes.   

 

A BitCoin está neste momento a dar os primeiros passos para se tornar uma verdadeira moeda alternativa. Naturalmente, existem vários desafios que entretanto terá de ultrapassar e que poderão ditar o seu fim prematuro, sendo que alguns deles foram abordados no início deste artigo (estabilidade e segurança).

 

Pode ainda suceder o caso em que a continuidade da BitCoin possa ser artificialmente extinta através da introdução de leis e regulamentação que a torne ilegal ou limite o seu uso de tal forma que esta não tenha possibilidade de se massificar e introduzir no mercado de forma mais abrangente e significativa para causar o impacto necessário (http://economico.sapo.pt/noticias/regulador-europeu-alerta-para-os-perigos-da-bitcoin_183640.html).

 

No entanto, se esta conseguir superar todos estes desafios, a confiança será sempre um aspeto fulcral e permanente para o sucesso e preservação da BitCoin como moeda.

 

Considerando o atrás exposto, no que diz respeito à confiança, existem dois aspetos que não estão atualmente satisfeitos pela BitCoin e suscitam alguma análise e medidas de futuro:

 

  • ·         Presentemente, a BitCoin é uma moeda que não oferece o nível de capacidade de retenção de valor que se procura numa moeda para fins de poupança. Este é talvez um problema que só o futuro demonstrará se tem ou não solução, sendo esta uma moeda que introduz e põe em prática conceitos novos e que não encontram paralelo histórico;
  • ·         Outro aspeto igualmente crucial é o da segurança da BitCoin, nomeadamente as más práticas de segurança implementadas pelos Exchangers, a falta de leis e regulação que certifique a qualidade e segurança da operação, bem como os níveis de garantia dos clientes em caso de perda.

 

No futuro, a expectativa dos clientes de um “Banco Digital” é que este seja tão ou mais seguro que um banco tradicional. No entanto, este pode ser representado por uma entidade que não tem sede, não tem um balcão, pode até não ter fronteira, o que torna a noção de segurança e de responsabilidade ainda mais difícil de percecionar por parte dos clientes.

 

Devido aos seus elevados níveis de exposição, natureza descentralizada e sem fronteira, e total independência de uma entidade central do Estado (ou outra entidade de supervisão com suporte legal), é expectável que, à medida que a BitCoin se for massificando, as entidades de Exchange sejam alvo crescente de ataques, com maior frequência e muito maior impacto do que os registados pela banca tradicional. Também poderemos vir a assistir a novos tipos de ataques que exploram vulnerabilidades dos sistemas que suportam a BitCoin, bem como dos processos que estão envolvidos.

 

É assim expectável – para que as entidades de Exchange forneçam a confiança necessária ao sistema e aos seus utilizadores – a inevitabilidade do investimento com tantos ou mais recursos em infraestruturas de segurança do que aquele que é atualmente despendido pela banca tradicional 

 

Autor: Artur D’Assumpção @ SysValue

Do Phishing à Engenharia Social

Até recentemente o Phishing (ataque informático em que é apresentada uma mensagem falsa, de aspecto similar a comunicações institucionais, que encaminha o utilizador-vítima para um site igualmente falso também ele similar ao verdadeiro) tinha como objectivo principal capturar credenciais de sistemas de negócio, tipicamente de sites de homebanking. Adicionalmente, e aproveitando a credulidade dos utilizadores menos informados, tal site falso é usado para induzi-los a fornecer informações complementares à credencial de acesso, tais como a totalidade do conteúdo de cartões-matriz, números e modelos de telemóveis ou dados pessoais, essenciais aos processos de verificação de identidade.

Na posse deste conjunto de elementos os atacantes conseguem efetivamente “roubar” a identidade das vítimas, tornando-se capazes de realizar no site real e em nome da vítima todas as operações disponíveis no sistema online.

 

Por razões que vão da eficiência financeira à melhoria dos níveis de segurança, muitas entidades financeiras têm substituido os cartões-matriz por mecanismos do tipo one-time-password síncrono como, por exemplo, os códigos enviados por SMS.

Tal minimiza de sobremaneira a possibilidade das vítimas serem efetivamente lesadas, dado que praticamente todas as operações financeiras que implicam o movimento de capital (transferências, e.g.) ou a tomada de risco (compra de acções, e.g.) exigem a apresentação deste código complementarmente à ordem de operação colocada no site. Como o código torna-se apenas disponível a quem estiver na posse do telemóvel, um ataque para ser bem sucedido implica não apenas o sucesso do phishing inicial como também a intrusão ou roubo de um telemóvel pessoal cuja ausência é certamente notada pela vítima.

Este estado de coisas tem obrigado os criminosos informáticos a repensarem o seu modus operandis dado que, por razões óbvias, a manutenção de uma distância higiénica entre o criminoso, a sua vítima e a entidade financeira é uma condição de que não abdicam.

De forma crescente e tranversal, tem-se observado uma migração de ataques de phishing (ao site de homebanking) para ataques de engenharia social por via do comprometimento da conta de correio-electrónico (webmail) da potencial vítima.

 

Os atacantes, ao conseguirem aceder a sistemas como os Gmail, Microsoft Live e inclusivamente sistemas corporativos, em nome de terceiros, conseguem também aceder ao histórico das mensagens enviadas onde poderão estar as mensagens anteriormente dirigidas a gestores de contas bancárias.

A análise destas mensagens torna fácil o profiling da vítima e da sua relação com a entidade bancária (perceber se a vítima tem por hábito transmitir ordens bancárias por esta via; caso tenha tal hábito, que tipo de linguagem e familiaridade tem com o gestor de conta; o tipo de movimentos e intervalos de valores que seriam percepcionados como normais, etc.). Com tal informação apurada, o passo lógico seguinte é o envio de uma simples mensagem de correio-electrónico para o contacto na entidade bancária com uma ordem de transferência.

O gestor de conta e/ou balcão torna-se ele uma vítima de “engenharia social”, passando assim a existirem duas vítimas em vez de apenas uma. Este funcionário torna-se um ponto de falha na segurança de um sistema que anteriormente dependia, de forma praticamente exclusiva, de controlos técnicos.

 

Torna-se assim imprescindível o aumento da sensibilização à segurança da informação de todos estes quadros bancários bem como os exercícios de avaliação dessa sensibilização.

Por outro lado, as entidades financeiras, numa tentativa de redução do seu risco, vão tentar passar para o cliente a responsabilidade de todas as ordens enviadas por correio-electrónico, legítimas ou ilegítimas.

Paralelamente num espírito de responsabilidade social e due care relacional, vão promover acções de sensibilização dos próprios clientes para os vários cuidados a ter na utilização de sistemas extra-bancários como os sistemas de correio-electrónico.

 

Finalmente, assistir-se-á à revisão de procedimentos de interacção com os clientes em todos os canais electrónicos e a harmonização do rigor colocado nestas.

 

 

Autor: João Barreto @ SysValue