Futuros
Aceda a centenas de contratos perpétuos
TradFi
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Introdução à negociação de futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Lançamento
CandyDrop
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Launchpad
Chegue cedo ao próximo grande projeto de tokens
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Simple Earn
Ganhe juros com tokens inativos
Investimento automático
Invista automaticamente de forma regular.
Investimento Duplo
Aproveite a volatilidade do mercado
Soft Staking
Ganhe recompensas com staking flexível
Empréstimo de criptomoedas
0 Fees
Dê em garantia uma criptomoeda para pedir outra emprestada
Centro de empréstimos
Centro de empréstimos integrado
Mais
Entrevista da Fortune Magazine com o diretor de segurança da Kraken: Por que devemos contratar uma equipe de hackers para nos atacar?
Palavras: Marco Quiroz-Gutierrez
Entrevistado: Nick Percoco, Diretor de Segurança, Kraken
编译:Luffy,Notícias Prospetivas
! [Entrevista da Fortune Magazine com o Diretor de Segurança da Kraken: Por que devemos contratar uma equipe de hackers para nos atacar?] ](https://img-cdn.gateio.im/webp-social/ccb9d6d22de923ddc3727015b58fc508.webp)
Nick Percoco, Diretor de Segurança, Kraken
Numa carreira de mais de duas décadas, Nick Percoco ajudou empresas a estabelecer cibersegurança. Desde que Percoco assumiu o cargo de diretor de segurança da Kraken em 2018, ele tem sido fundamental para ajudar a formalizar sua estratégia de segurança. Agora, ele supervisiona segurança, TI e fraude em exchanges de criptomoedas.
A revista Fortune entrevistou recentemente Percoco para discutir em detalhes por que o Kraken melhora a segurança com hacking amigável e por que os americanos são particularmente vulneráveis a ataques maliciosos.
Como você começou na criptografia e como você entrou no Kraken?**
Eu tenho um laboratório forense (SpiderLabs, fundado por Percoco e agora parte da Trustwave) que tem um grande número de GPUs para quebra de senha. Então, estamos em forense, recebemos arquivos criptografados, estamos tentando descriptografar (tentando encontrar senhas fracas no ambiente), mas na maioria das vezes essas GPUs estão ociosas. Por volta de 2011, 2012, algumas pessoas em nosso laboratório começaram a falar sobre Bitcoin, como, “Ei, podemos minerar algum Bitcoin com essas GPUs.” Eles perguntaram se poderiam fazer isso, e na época o Bitcoin era quase inútil, e eu disse: “Sim, claro. Vamos nos divertir.” Então todo mundo cria carteiras, nós enviamos bitcoins uns aos outros, e nesse momento é como explorar o futuro do dinheiro.
Não se trata realmente de qualquer tipo de investimento ou estratégia de longo prazo, é apenas porque “é muito legal”. É essa tecnologia sem permissão que permite enviar dinheiro pela internet sem ter que passar por ninguém, como uma carteira para outra no blockchain." Hoje, entende-se que esta tecnologia é interessante, mas há dez anos, era mais como ficção científica. Então, estou muito interessado nisso, mas não me aprofundei o suficiente para ser um entusiasta do Bitcoin. Eu não disse: “Eu vou minerar centenas de bitcoins ou milhares de bitcoins, eu não fui por esse caminho.” 」
Eu trabalhei na comunidade de segurança e na comunidade de hackers, e há um pouco de sobreposição entre a comunidade cripto e a comunidade de segurança. Depois de fazer algum trabalho de segurança para startups, a Trustwave foi vendida para a Singtel, e depois trabalhei na Rapid7, ajudando-as a abrir o capital, que é outra empresa de cibersegurança. Mais tarde, entrei para uma empresa de IA e fui responsável pela sua segurança durante vários anos. Fomos contatados por um amigo meu e CEO da Kraken, Dave Ripley. A Kraken está contratando talentos para determinar o programa de segurança. Comecei a conversar com Dave (que era nosso COO na época) e fui apresentado a Jesse Powell, o ex-CEO e fundador da Kraken. Foi quando entrei na Kraken no outono de 2018 como Diretor de Segurança. Hoje, estou aqui responsável pela segurança, TI e fraude.
Como é um trabalho típico para um Diretor de Segurança? **
Eu organizei um pouco como uma pilha, com as coisas menos técnicas na parte superior e as coisas mais técnicas na parte inferior. No topo dessa pilha, as pessoas com quem trabalho estão basicamente no que chamamos de políticas de segurança. Continuamos pensando: “Para onde precisamos ir com nossos programas de segurança, o que vemos? Que tendências vemos? Com o que podemos aprender?”
A próxima camada é basicamente o nosso grupo de governança de segurança da informação – políticas e procedimentos, requisitos regulatórios de segurança, auditorias externas, due diligence e auditorias de segurança do fornecedor e diligência devida ao cliente.
O próximo nível é a função de operações de segurança dentro da empresa, que é a nossa equipe azul que monitora a resposta de deteção de incidentes de segurança, sejam eles internos ou externos à nossa empresa. Esta é uma equipe 24/7/365 dentro da empresa. Isso é muito crítico para nós. Quando algo acontece, precisamos saber em segundos, não três semanas depois. Quando algo acontece dentro ou fora da empresa que nos diz respeito, sabemos em questão de segundos.
Também temos uma equipe vermelha, que é essencialmente uma equipe de hackers que eu recrutei para nos hackear regularmente, de fora, de dentro, engenharia social e assim por diante, porque os criminosos não têm regras e tentarão todos os ângulos possíveis.
Também temos uma equipe de segurança de aplicativos que basicamente verifica cada linha de código, seja em nosso aplicativo móvel ou em nosso site. Cada alteração é examinada em cada linha de código - cada dependência que podemos introduzir nessa base de código é examinada. Estamos constantemente detetando vulnerabilidades potenciais, vulnerabilidades reais e enviando relatórios de bug bounty, que é um ciclo de constante identificação e correção.
**Como a Kraken apoia os clientes afetados pelo golpe? **
Muitas das maneiras pelas quais os clientes são enganados são através de phishing, sites falsos ou fraudulentos. Os clientes saem do nosso ecossistema e interagem com esses sites a qualquer momento, por isso temos pessoas dedicadas no comando – em média, derrubamos de três a quatro sites, contas de mídia social e outros sites fraudulentos todos os dias.
Quais são alguns exemplos de golpes comuns de criptomoedas? **
Muitas vezes, esses golpes são de baixa tecnologia. Eles são mais parecidos com engenharia social do que hacking, como as pessoas os chamam. Nesses casos, o que geralmente acontece é que alguém faz amizade com eles, faz com que eles se sintam confiáveis e começa a dizer-lhes para fazer coisas que eles não entendem bem, e então seus fundos são roubados. A coisa pode ser algo como, “Oh, haverá um airdrop e estamos registrando uma carteira para obter tokens, então você precisará entrar em sua carteira e nos dar a frase semente. Em seguida, vamos te inscrever e você receberá US$ 10.000 em tokens de airdrop.” Então as pessoas fizeram isso e, cerca de 10 minutos depois, as carteiras foram saqueadas e expulsas do Discord.
Existem outros golpes de baixa tecnologia que na verdade são apenas golpes de investimento onde as pessoas veem um site de investimento de aparência legítima e acabam enviando dinheiro para essa empresa, que rouba seu dinheiro.
**Você pode falar sobre sua experiência de rastrear uma vulnerabilidade e como foi o processo? **
Eis um exemplo: temos um cliente que tem um problema com a sua conta. Eles afirmam estar conversando com nossa equipe de suporte. Eles dizem que alguém entrou em sua conta e retirou fundos dela. Em conversas com nossa equipe de suporte, eles mencionaram o aplicativo móvel que estavam usando e a maneira como descreveram o aplicativo móvel não correspondia à nossa experiência móvel.
Então, a equipe de suporte pediu que eles enviassem algumas capturas de tela do aplicativo móvel. Com certeza, este não é o nosso aplicativo móvel. Tem o mesmo nome e tem o nosso logótipo, mas não é nosso. Este é apenas um aplicativo Kraken muito rudimentar. Então perguntamos de onde eles baixaram o aplicativo, e descobriu-se que eles estavam usando uma loja onde você poderia baixar o aplicativo do lado. Não é como o Google Play ou a App Store, onde há muitos aplicativos de criptografia.
Qual é a diferença entre a cibersegurança nos EUA e no estrangeiro? **
As gangues criminosas tendem a visar mais cidadãos dos EUA. A principal razão é que, nos Estados Unidos, é mais fácil para as gangues criminosas obterem as informações de identidade de suas vítimas. Existe o conceito de um agregador de dados nos Estados Unidos, onde você pode basicamente encontrar qualquer informação sobre qualquer indivíduo por uma taxa. Você pode encontrar todos os seus endereços anteriores, membros da família, endereços de e-mail, números de telefone e outras informações confidenciais. No exterior, é um pouco difícil por causa de algumas leis de privacidade.
Como criminoso, se eu quisesse atingir pessoas que estavam ativas no espaço das criptomoedas, provavelmente as encontraria nas redes sociais. Eles podem ser muito ativos no Twitter cripto. Posso fazer algumas pesquisas e determinar quem são, mas pode ser difícil se estiverem fora dos EUA. Na verdade, como criminoso, posso encontrar alguém, mas não tenho necessariamente de o visar – posso visar membros da família que vivem na mesma casa e que podem não ser tão experientes em segurança. Quando entro no computador desse membro da família, estou na mesma rede que a pessoa que quero rastrear.
Como a IA impactará a cibersegurança? **
A inteligência artificial permite que a equipa azul ganhe escala. Por exemplo, você pode treinar um modelo de IA para detetar atividades potencialmente maliciosas em conjuntos de dados maiores. Com as ferramentas tradicionais, muitas vezes você tem que aplicar regras mais estáticas. Com a IA, essas regras não precisam ser tão estáticas, e podem estar mais de acordo com a lógica humana – como se você pedir a uma pessoa para olhar para um arquivo de log e talvez ser capaz de determinar se algo parece suspeito, em vez de apenas um simples conjunto de regras. O conjunto de regras pode falhar, e um ser humano pode detetá-lo, mas apenas a uma certa velocidade. Você não pode entregar um bilhão de logs para um humano a cada hora, mas você pode entregar um bilhão de logs para uma IA a cada hora. Acho que ajuda a defesa.
Do lado dos atacantes, a inteligência artificial também está a ajudar. Por exemplo, chamadas de vídeo, deepfakes de mudança de voz. Do ponto de vista do golpista, permite que a vítima tire suas defesas. De facto, foi isso que a nossa equipa vermelha fez. Eles pegaram todos os vídeos que eu fiz ou partes deles e os alimentaram na IA. Eles criaram minha voz para ligar para diferentes funcionários e pedir-lhes para fazer algo e ver se o funcionário realmente faria isso porque soava exatamente como eu. Quando ouço esses sons simulados, soa um pouco incrível. Faz-me arrepiar um pouco porque é como a minha voz, mas não é bem assim.
O que isso significa para o futuro das finanças?
Eu acho que o futuro das finanças é um mundo onde você é livre para transacionar com qualquer pessoa, sem permissão, em seu mundo, não importa quem você é ou onde você vive, e essa é a promessa da criptomoeda. É para isso que estamos aqui, para permitir que as pessoas façam isso. Neste planeta, muitas pessoas estão em desvantagem e não podem fazer essas coisas usando o sistema financeiro tradicional, então a promessa das criptomoedas é permitir que as pessoas façam isso.