Tokens e Bitcoins

Uma das responsabilidades do meu time dentro da TI da ONU era cuidar dos sistemas que permitiam acesso remoto, como VPN. Utilizávamos equipamentos da Citrix que ofereciam uma espécie de VPN via web. O sistema não era dos melhores, mas atendia às necessidades.

Para garantir uma autenticação mais segura, utilizávamos um segundo fator baseado em tokens da RSA. Eram pequenos dispositivos, semelhantes a chaveiros, com um display que mostrava números que mudavam a cada minuto. Para acessar o sistema, o usuário precisava informar nome de usuário, senha e o código exibido no token. O funcionamento era baseado em sincronização com o servidor, que validava se o número informado era o esperado naquele momento. Era um modelo muito parecido com o que hoje é feito por aplicativos como o Google Authenticator, mas exigia o uso de um dispositivo físico, o que trazia desafios logísticos consideráveis. Com milhares de usuários, era necessário distribuir os tokens, lidar com perdas e defeitos e manter um processo contínuo de substituição.

Embora meu time não fosse diretamente responsável pela distribuição dos tokens, acabávamos envolvidos sempre que havia problemas: sincronização, configuração ou falhas nos dispositivos. Quando cheguei, o sistema já existia, mas estava desatualizado. Comecei então a trabalhar na migração para uma versão mais recente. Consegui convencer meu chefe de que seria melhor contratar a própria RSA para realizar a instalação e a migração, já que se tratava de um sistema complexo e pouco conhecido internamente. Contratamos o serviço e um consultor veio nos ajudar. Optamos por rodar o sistema em Linux, o que não era a escolha mais comum na época, tanto que o próprio consultor não tinha tanta familiaridade com esse ambiente.

O time de servidores preparou a máquina e iniciou a instalação com apoio do consultor. Depois disso, faríamos a migração e a configuração. Quem ficou responsável por acompanhar o servidor foi o meu amigo Gabriel, que era do time de infraestrutura Linux da ONU. Ao analisar as instruções de instalação, ele ficou surpreso: o procedimento sugeria desabilitar várias funcionalidades de segurança do sistema operacional. A reação dele foi imediata: não fazia sentido uma solução de segurança exigir esse tipo de configuração.

O consultor tentou ajudar e chegou a nos colocar em contato com a equipe de engenharia da RSA, mas isso não resolveu o problema. No final, foi o Gabriel quem encontrou uma solução adequada: instalou o sistema, ajustou as configurações e conseguiu manter os mecanismos de segurança do sistema operacional ativos. Foi um trabalho cuidadoso e muito bem executado. O resultado foi tão bom que o próprio consultor chegou a convidá-lo para trabalhar com eles. Felizmente para a ONU, ele não aceitou.

Uma das grandes novidades da nova versão era a possibilidade de usar soft tokens, que funcionavam como aplicativos no celular ou no computador. O conceito era o mesmo dos tokens físicos, mas sem a necessidade de distribuição de hardware. Pra mim foi interessante porque, quando o consultor falou sobre essa nova possibilidade, ele mencionou que o soft token fazia a sincronização inicial com o servidor via um protocolo de zero knowledge, que era algo que eu tinha estudado bastante no meu período na Unicamp.

Quando apresentei essa funcionalidade ao CISO, destacando o ganho logístico, ele gostou da ideia. Para testar, decidimos inicialmente liberar os tokens virtuais apenas para usuários fora de Nova Iorque, que eram justamente os mais difíceis de atender com dispositivos físicos. Nesses casos, os tokens precisavam ser enviados por correio e ativados por telefone, o que gerava custo e também algumas limitações de segurança. O piloto funcionou bem e, posteriormente, ampliamos o uso dos tokens virtuais para todos os usuários.

Foi mais ou menos nessa época que comecei a ouvir falar de algo ainda pouco conhecido: bitcoins. Conversava com alguns colegas que também tinham ouvido falar, mas ninguém tinha experiência prática. Depois de ler bastante sobre o assunto, decidi experimentar. Naquele tempo, comprar bitcoins era bem mais complicado do que hoje. Não existiam plataformas como Coinbase. Era preciso encontrar alguém disposto a vender e negociar diretamente. No meu caso, fiz a negociação por e-mail e enviei o pagamento via Western Union. Depois disso, fiquei alguns dias esperando para ver se os bitcoins realmente apareceriam na minha carteira. Comprei dois, a cerca de 100 dólares cada. Era uma quantidade suficiente para aprender como tudo funcionava.

Em conversas com meu irmão, ele também se interessou pelo tema e acabou se envolvendo ainda mais do que eu. Com o tempo, ele passou a acompanhar de perto as comunidades de criptomoedas. Em uma dessas conversas, ele mencionou um dispositivo do tamanho de um pen drive usado para mineração de bitcoins. Comprei dois: um para mim e outro para ele. Eu tinha um computador antigo no escritório que ficava praticamente sem uso. Conectei o dispositivo e deixei rodando para minerar. O resultado foi mínimo — algo como uma fração ínfima de um bitcoin —, mas serviu para entender melhor o processo.

Com o tempo, o bitcoin começou a ganhar popularidade e o preço subiu. Chegou a cerca de 1000 dólares, dez vezes mais do que eu havia pago. Como em outros ciclos, o preço depois começou a cair. Foi nesse momento que decidi vender e acabei recebendo cerca de 900 dólares por cada bitcoin. Foi um bom lucro, embora muito menor do que teria sido se eu tivesse mantido os ativos até chegarem a valores muito mais altos nos anos seguintes.

Next: 2012 a 2015 › Capítulo 60.
A rede caiu!
Previous: 2012 a 2015 › Capítulo 58.
Furacão Sandy - Depois da chuva passar