regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sexta-feira, 28 de janeiro de 2011

CEF adota solução livre para certificação digital

 Ontem (27/01), a Caixa Econômica Federal (CEF) apresentou seu novo módulo criptográfico que inova a emissão e o uso de certificados digitais a partir de um software livre. 


A AC Caixa Livre, única instituição financeira a ser Autoridade Certificadora de 1º nível, passa a emitir com tecnologia própria certificados digitais.

Estiveram presentes a vice-presidente de Tecnologia da Informação da CEF, Clarice Copetti, o presidente do Instituto Nacional de Tecnologia da Informação (ITI), Renato Martini, acompanhado do diretor de Infraestrutura de Chaves Públicas, Maurício Coelho, além de funcionários da CEF e convidados de outros órgãos.

Clarice Copetti
Copetti afirma que a AC Caixa Livre foi motivada por inúmeros itens. “Era importante apoiar o programa governamental do uso da certificação digital. Além disso, a grande demanda por certificados, a validade jurídica nos relacionamentos eletrônicos e a solução de emissão de certificados digitais oriundos da Caixa também impulsionaram o desenvolvimento dessa nova aplicação”.

Outra novidade é a utilização de software livre desenvolvido pela própria AC Caixa Livre. Para a vice-presidente, é um dos recursos que aperfeiçoam todo o processo. “Utilizar soluções em software livre nos dá plena autonomia em uma gestão em que somos Autoridade Certificadora de 1º nível. Dominamos o conhecimento, tornamos a aplicação flexível e damos celeridade em qualquer tipo de manutenção”, enfatizou Copetti.

Maurício Coelho
Para Maurício Coelho, do ITI, a principal vantagem na solução AC Caixa Livre é a conquista da autonomia por parte da CEF. “A Caixa Econômica passa a ter total liberdade para gerir esta tecnologia que é fundamental para o mundo da certificação digital além da plena auditabilidade sobre a aplicação, otimizando o desempenho e a performance do processo”.


Renato Martini
Já o presidente do ITI, Renato Martini, destacou a tecnologia empregada na AC Caixa Livre. Para Martini, a CEF vai influenciar o mercado com sua postura tecnológica. “A Caixa Econômica é um grande player da certificação digital que passa a ter o controle pleno da tecnologia. Se em 2010 alcançamos a maturidade em termos de certificação digital, a CEF é um expoente dessa maturidade e dará visibilidade a tecnologia da certificação digital.

Martini disse que o controle, a independência e autonomia da AC Caixa Livre são os grandes destaques da nova solução. “Eles dominam e têm plena propriedade sobre a nova aplicação. Qualquer nova funcionalidade será melhor implantada pela CEF e indubitavelmente não há vantagem mais evidente do que essa”.


Fonte: ITI

Novo presidente do TJMS, Luiz Carlos Santini traça objetivos


Luiz Carlos Santini
 "É extremamente importante que os advogados, operários do direito que são e, portanto, auxiliares do Poder Judiciário, obtenham a sua certificação digital, pois é intenção da nova Administração aumentar o número de varas com processos virtuais e, se possível, estender tal benefício tecnológico a todas as varas."


Com a experiência de quem atua na magistratura desde o ano de 1977, quando ingressou como Juiz de Direito da 1ª Vara Cível da Comarca de Aparecida do Taboado, o desembargador destaca em entrevista as expectativas e objetivos para o TJMS no próximo biênio.

Acompanhe abaixo a íntegra da entrevista concedida pelo próximo presidente do TJMS, Des. Luiz Carlos Santini, que estará à frente do Poder Judiciário de Mato Grosso do Sul a partir do dia 1º de fevereiro.

O Senhor será o 18º Presidente que assume a presidência do Tribunal de Justiça de Mato Grosso do Sul. Qual a expectativa para o cargo?

Como décimo oitavo presidente do Tribunal de Justiça do Mato Grosso do Sul, a minha expectativa para o cargo é poder continuar o trabalho realizado pelas administrações anteriores, tudo no sentido de manter o nome do Poder Judiciário de Mato Grosso do Sul com o mesmo prestígio que teve desde a sua instalação em 1979. A estrutura administrativa é aquela que responde adequadamente às finalidades da existência do Poder Judiciário, ou seja, o atendimento ao jurisdicionado com eficácia e, para tanto, utilizando-me dessa estrutura tentarei tornar mais céleres as ações do próprio Poder.

Em dezembro o Poder Judiciário de Mato Grosso do Sul passou por uma inspeção do CNJ e o relatório será divulgado em breve. O que o senhor espera do resultado dessa inspeção?


O CNJ deverá efetuar o relatório da inspeção realizada neste Tribunal, aliás, inspeção realizada em todo o Poder Judiciário de Mato Grosso do Sul e eu espero, como é a realidade fática deste Poder, o resultado da inspeção com tranquilidade, pois ela demonstrará a existência de boas práticas neste Poder.

Como o Senhor vê a atuação do Conselho Nacional de Justiça?

O Conselho Nacional de Justiça, criado pelo Poder Constituinte Derivado, possui competência constitucional para organizar melhor o funcionamento do Poder Judiciário da Nação brasileira, atuando na parte administrativa e, nessa atuação, é que eu vejo com bons olhos o Conselho Nacional de Justiça.

2010 foi um ano difícil para o Judiciário sul-mato-grossense com queda na arrecadação e consequentemente redução no repasse. Apesar do aumento do duodécimo para 6,85%, como o Senhor espera solucionar o problema orçamentário?

Realmente a crise internacional repercutiu na atividade econômica do Estado, ocasionando uma queda brusca na arrecadação dos tributos estaduais e, consequentemente, uma redução do repasse aos Poderes, principalmente ao Poder Judiciário. A diminuição do repasse foi administrada com competência pelas administrações anteriores à minha, de sorte que, apesar do aumento do duodécimo para 6,8% espero aproveitar as lições das administrações passadas referente à crise para, sem prejuízo às atividades fins do Poder Judiciário, conseguir continuar equacionando o problema financeiro e, ao mesmo tempo, aumentar a eficácia e a presteza dos serviços judiciários, com os olhos voltados também para melhor qualidade do local de trabalho e remuneração mais justa para os servidores, tudo dentro do possível apresentado pelo orçamento.

Em 2010 a atual administração concentrou o expediente forense das 12 às 19 horas para tentar solucionar o problema financeiro. O senhor pretende manter a redução do horário?

Consoante elementos que me foram fornecidos, o trabalho da atual Administração concentrando o expediente forense deu como resultado um aumento na produtividade, de sorte que a manutenção ou não da redução do horário é algo a ser examinado com cautela, mas desde já pretendendo estabelecer um plantão no período matutino para atendimento dos advogados.

Uma das maiores reclamações da OAB/MS é a falta de juízes em algumas comarcas. Existe um concurso em andamento. O senhor pretende abrir novos concursos para a magistratura?

A OAB tem razão em reclamar quanto à falta de juízes em algumas comarcas, mas posso esclarecer que há um concurso em andamento, o qual pretendo levar ao seu final e, se necessário e houver disponibilidade financeira, determinar a abertura de novo concurso.

Está em andamento um concurso para servidores do Poder Judiciário que foi prorrogado por mais um ano. Um dos motivos para a não contratação foi a falta de recursos financeiros. Existe uma possibilidade de os candidatos serem chamados?

Há nas comarcas falta de funcionários, ou seja, há cargos vagos e há a necessidade de novos cargos, de modo que tentaremos preenchê-los conforme as prioridades para manter o trabalho de forma ágil e eficaz.

A certificação digital continua em curso, após quase 10 anos da MP 2.200-2, e contará com um “aliado” de peso para sua massificação: o Registro de Identidade Civil (RIC), regulamentado pelo o Decreto 7.166, publicado em maio. O passaporte com chip também começou a ser testado este ano. Em MS, o Poder Judiciário vem tentando desde 2009 tornar o uso do certificado digital obrigatório em todos os processos digitais, mas está enfrentando dificuldades com os advogados que ainda não possuem o certificado. O prazo para essa obrigatoriedade começa agora em março. Esse prazo será mantido?

É extremamente importante que os advogados, operários do direito que são e, portanto, auxiliares do Poder Judiciário, obtenham a sua certificação digital, pois é intenção da nova Administração aumentar o número de varas com processos virtuais e, se possível, estender tal benefício tecnológico a todas as varas. Por tal razão, conclamo os advogados a obterem a certificação digital para poderem representar nessas novas varas, pois o processo virtual, além de ser mais ágil, é bem mais econômico ao Estado do que o processo físico. Com relação à manutenção do prazo para a obrigatoriedade da certificação, devo tomar ciência da realidade do nosso Estado para, então, manifestar-me sobre o prazo em que todos os profissionais deverão tê-la.

Em razão do incontestável excesso de demandas e da consequente morosidade do Poder Judiciário em suas respectivas soluções, o Conselho Nacional de Justiça (CNJ), vem, ultimamente, trabalhando arduamente em diversas campanhas de conciliação. Como o senhor vê a cultura da conciliação no judiciário?

No dia 13 de dezembro do ano passado, o CNJ promoveu uma reunião em Brasília na qual ficamos conhecendo as pesquisas realizadas sobre a morosidade da Justiça, bem como possíveis soluções. Uma das ações do CNJ para a solução desse problema é a campanha de conciliação, mas entendo que essa conciliação deve iniciar pelo próprio advogado que, procurado por um cidadão, tente com o advogado da outra parte resolver a questão particularmente.

Aliás, da leitura do Estatuto da Advocacia, Lei 8.906/94, principalmente o seu artigo 34, verifica-se que o advogado tem obrigação de efetuar aquele encontro conciliatório antes de propor ou contestar a ação, principalmente antes de contestar uma ação judicial. Manterei entendimento com a Ordem dos Advogados exatamente para tornar mais eficaz essa ação do profissional.

É importante frisar, por outro lado, que um dos maiores clientes do Poder Judiciário é o Poder Executivo, de forma que é necessário aqui uma conscientização no sentido de o Poder Executivo cumprir as leis e, em caso de contestação de algumas de suas decisões, resolver prontamente no âmbito administrativo, deixando ao Judiciário as questões que requeiram interpretação sobre a teleologia da Constituição e das leis.

A expectativa para o próximo ano é a primeira versão de um sistema nacional (Processo Judicial Eletrônico — PJe) capaz de rodar em qualquer tribunal, rumo à tramitação única em todo o Judiciário. O senhor acredita que este sistema pode dar certo?

Com relação ao Sistema Nacional de Processo Judicial Eletrônico sou meio cético em razão da própria peculiaridade da República brasileira que é uma Federação e, assim sendo, os Estados possuem autonomia e competência concorrente com a União para legislar sobre procedimento e matéria processual, artigo 24, inciso XI, da Constituição Federal, mas, de uma forma ou de outra, será importante discutirmos a ideia.

O que o jurisdicionado de Mato Grosso do Sul pode esperar do Poder Judiciário Estadual em 2011?

Os jurisdicionados de Mato Grosso do Sul podem esperar que a Administração do biênio 2011/2013 do Poder Judiciário do Estado tudo fará para agilizar a prestação jurisdicional, dar melhor conforto e trabalho aos servidores, sem aumentar os encargos que a população paga para a manutenção deste Poder Estatal, pois entendo que muitas vezes não há falta de recursos financeiros, mas uma aplicação inadequada deles. Assim agindo, a Administração deverá procurar os gargalos do andamento da sua ação jurisdicional e buscar a essência do problema, que não se resume tão somente na nomeação de novos juízes e contratação de novos funcionários ou criações ou elevações de comarca.



Na próxima terça-feira (1º/2), o Des. Luiz Carlos Santini assumirá o cargo de presidente do Tribunal de Justiça de Mato Grosso do Sul. A solenidade de posse será realizada às 17 horas, no Plenário do Tribunal Pleno do TJMS, quando também serão empossados os desembargadores Hildebrando Coelho Neto, na Vice-Presidência, e Atapoã da Costa Feliz, na Corregedoria-Geral de Justiça.

Vazamento da chave privada de proteção do Sony Playstation 3


                                                                       
Por: Professor Rafael Sarres

Nas aulas de certificação digital eu sempre falo do desastre que seria o vazamento da chave privada de um sistema de certificação digital. Já vimos o caso de se perder a chave, o que já é sério o suficiente. Pois bem, isso ocorreu com a Sony, a chave privada que garante a autenticidade dos programas e jogos do Playstation 3 e PSP foi descoberta.

O pior para a imagem da Sony é a forma que essa chave vazou: Um erro de implementação do protocolo de assinatura digital de curva elíptica. O protocolo exige que seja utilizado um número randômico em cada assinatura, mas infelizmente a Sony utilizou uma constante. 

Quando o grupo fail0verflow descobriu essa falha, foi possível decifrar a chave privada, e a técnica foi apresentada na 27 ª Chaos Communication Congress ( 27C3 )

Os detalhes da falha estão na apresentação bem humorada disponível aqui. Tenho a impressão que a Sony não achou muita graça. Eu fico pensando no que ocorreu nos escritórios da Sony com os técnicos envolvidos com esse chamado “Epic Fail”.

Pois bem, essa falha ilustra bem a catástrofe que pode se abater em um sistema de segurança caso haja o vazamento da chave privada. Agora a Sony luta para tentar conter os danos, mas é praticamente impossível de reverter o estrago. Afinal, não é possível trocar a chave, pois existem milhares de jogos e programas legítimos já assinados com essa chave, caso houvesse a troca, como os jogos antigos seriam reconhecidos? 

Além disso, qualquer mudança por software teoricamente poderia ser contornada, uma vez que um crack poderia ser desenvolvido e assinado com a chave privada, ludibriando novamente o PS3/PSP. Existem rumores que a Sony estaria trabalhando em um sistema de blacklist, listando os programas antigos, e assinando os novos com outra chave. Outra abordagem seria acrescentar números seriais em todos os jogos, como já ocorre em PCs. 

Sinceramente, essa tentativa seria desastrosa, causando a piora da experiência do usuário que compra o programa/jogo e acabando com o mercado de usados e aluguel.

A Sony insiste que pode solucionar o problema com uma atualização de software. Sinceramente, eles podem dificultar as coisas, mas a segurança do PS3/PSP está comprometida para sempre. A empresa abriu um processo contra todos os envolvidos, mas não acredito que terão sucesso, afinal, os hackers quebraram a segurança de um console que era deles, e não utilizaram a rede da Sony para quebrar a segurança. 

Então um usuário não pode utilizar seu computador/console, legitimamente adquirido, da forma que bem desejar? Será que a Sony acha que tem direitos sobre o equipamento que desenvolve após sua venda? A justiça americana está com esse embrólio.

Acho que é hora de começar a trabalhar no Playstation 4, e de todas as demais empresas revisarem seus códigos de assinatura digital. 


Fonte: Blog do Professor Rafael Sarres  

Mestre em Ciência da Computação, professor e entusiasta em informática e tecnologia em especial: Certificação Digital e Segurança de TI.

Você está no LinkedIn?

Então conheça e participe do grupo Certificação Digital

Certificado Digital para Conectividade Social 2011

Certificado Digital para envio da GFIP 2011

Por Zenaide Carvalho



A Caixa Econômica Federal – gestora do FGTS (Fundo de Garantia por Tempo de Serviço) – iniciou em final de 2010 um ciclo de palestras no Estado de Santa Catarina com o intuito de sensibilizar os empregadores e profissionais da área contábil para o uso do novo Conectividade Social, que será realizado através de Certificação Digital.

A Caixa é a responsável pelo aplicativo Conectividade Social – que também funciona via internet – e traz algumas novidades para 2011 com relação ao envio das informações e consultas ao cadastro do FGTS que, com a certificação digital, passará a se chamar Conectividade Social ICP.

e-CNPJ especial para MEs e EPPs :: CertDicas



Como é hoje

Atualmente, o aplicativo Conectividade Social é utilizado mediante um certificado próprio da Caixa – obtido através de registro na própria Caixa e ainda importado via disquete para o computador do usuário/empresa.

Esse certificado e o aplicativo Conectividade Social são de uso obrigatório para recolher o FGTS e para o envio da GFIP – Guia de Informações do FGTS e à Previdência Social.

Serve ainda para receber comunicados genéricos da Caixa com relação ao FGTS e também para envio de informações do Aplicativo GRRF – Guia de Recolhimento Rescisório do FGTS.

Via internet, usando o mesmo certificado próprio da Caixa, o Conectividade Social Empregador – CSE, permite consulta de saldos do FGTS, informar desligamento de trabalhadores, retificar informações, emitir procuração eletrônica, entre outras funções. Este sistema está válido até 30/06/2011.

O que muda

Com a Certificação Digital ICP – substituindo a certificação própria – a Caixa pretende dar mais segurança no envio das informações e também permitir novas funcionalidades – tudo 100% via internet.

O que deve ficar de fora é o uso do Aplicativo GRRF, que ainda continuará utilizando o programa Conectividade Social, mas que terá seu envio de dados feito também com a Certificação Digital via internet.

E todos os empregadores – tanto os que têm empregados com FGTS (como é o caso dos empregadores domésticos) ou mesmo somente aqueles que precisam transmitir a GFIP – como é o caso de alguns órgãos públicos – terão que ter utilizar a Certificação Digital.

Procuração Eletrônica

No novo sistema, o empregador poderá passar procuração eletrônica, com validade de um ano, somente para quem tenha também Certificação Digital, seja pessoa física ou jurídica.

A Caixa recomenda que o empregador jamais entregue seu certificado e sua respectiva senha para seu colaborador ou escritório contábil que utiliza o Conectividade Social.

O acesso de terceiros deve ser por procuração eletrônica. Neste caso – repetimos, tanto a pessoa física outorgada ou a pessoa jurídica terão que ter também a Certificação Digital.

Alguns dos poderes outorgados poderão ser repassados a terceiros, desde que todos os substabelecidos também tenham certificação digital. Por exemplo, uma empresa cliente de um escritório contábil passa uma procuração para este uma procuração, que por sua vez, pode substabelecer para o colaborador do escritório contábil que seja o responsável pelo uso do Conectividade Social.

As atuais procurações do Conectividade Social Empregador – CSE, serão migradas automaticamente para o novo sistema – desde que realizadas até 30/06/2011. Mas como há novos recursos, terão que haver novas autorizações que deverão ocorrer após o cadastro da empresa no novo sistema.

Vigência

Os certificados atuais têm validade até 30 de junho de 2011. Até lá, o projeto-piloto do Conectividade Social ICP – que está em fase de testes em algumas empresas de Santa Catarina – deverá ser expandido para todo o Brasil, culminando então com a utilização obrigatória do novo Certificado Digital a partir de 1º de julho de 2011.

Entretanto, esse cronograma ainda pode sofrer alterações, prorrogando-se a obrigatoriedade para 1º de janeiro de 2012, se não forem concluídas todas as funcionalidades e corrigidos os problemas até a data prevista.

Mesmo com a possibilidade de prorrogação, inclua em suas rotinas de início de ano fazer a Certificação Digital, pois ela pode ser exigida para envio da GFIP já a partir de 1º de julho de 2011.

Novas Funcionalidades

Com o Conectividade Social ICP, a Caixa acena com a inclusão de novas funcionalidades, como consultar divergências no cadastro das empresas e até emitir guias para pagamento dessas diferenças. Serão também enviadas mensagens personalizadas ao empregador.

Certificação Digital Modelo ICP-Brasil

A certificação digital a ser utilizada pela Caixa será no modelo ICP-Brasil, que já é o utilizado pelas empresas para envio de informações à Receita Federal do Brasil, por exemplo. O padrão será o Certificado Tipo A3, aquele que é gravado em cartão inteligente ou token como mídias armazenadoras, e não simplesmente gravado no computador do usuário, como o padrão A1.

Para as pessoas físicas que utilizarem o sistema, será necessário que seja incluído o número do PIS no ato da sua certificação digital. A Caixa vinculou o uso do Conectividade Social ICP àss pessoas físicas somente para aquelas que tenham vínculo empregatício com a Pessoa Jurídica e, mais ainda, que tenham recolhimentos ao FGTS, já que essa vinculação será verificada no ato da procuração ou substabelecimento.

Envio da GFIP – Problema para os Órgãos Públicos

A GFIP é uma declaração mensal que fornece tanto à Caixa quanto à Previdência Social as informações das remunerações dos trabalhadores, desligamentos e afastamentos e outros dados importantes para o gerenciamento do FGTS e dos recolhimentos à Previdência Social. Ela é gerada pelo programa SEFIP, que também é fornecido pela Caixa.

Alguns órgãos públicos fazem o envio mensal da GFIP para informar os recolhimentos à Previdência Social mas, em sua maioria, não têm trabalhadores com recolhimentos ao FGTS.

O envio da GFIP, com o Conectividade Social ICP, só seria viável se esse servidor possuísse o Certificado Digital e a senha da Pessoa Jurídica – já que ele não tem FGTS e, portanto, não está nos cadastros da Caixa. Essa opção é muitas vezes é inviável e nem recomendada pela Caixa.

Para a certificação digital da pessoa física "servidor público" que envia a GFIP e não tem FGTS ainda não há uma solução sobre como será o envio, pelos critérios que a Caixa vem divulgando. É um problema a ser resolvido que esperamos tenha uma solução até junho de 2011.

Links para acesso e Informações

O link para acesso ao Conectividade Social ICP é https://conectividade.caixa.gov.br/, mas só funcionará se a empresa já houver instalado os certificados necessários. As informações fornecidas pela Caixa estão no link http://icp.caixa.gov.br/.

A providência a ser tomada no primeiro semestre de 2011 é que todos os empregadores procurem as autoridades certificadoras – a própria Caixa atua como certificadora – para fazer a Certificação Digital e ir se familiarizando com a nova obrigatoriedade. Para maiores informações, procure um profissional da área contábil.




Zenaide Carvalho
Administradora e Contadora
Instrutora de Treinamentos Empresariais

Um abraço, fique com Deus e até breve!


Leia também

Conectividade Social: Cronograma de uso de Certificados Digitais


CIRCULAR Nº 547, DE 20 DE ABRIL DE 2011
A Portaria nº 116, de 09 de fevereiro de 2004, dos Ministérios da Previdência Social e do Trabalho e Emprego, estabeleceu a obrigatoriedad...

Se você gostou dessa matéria clique do quadradinho abaixo +1.

quarta-feira, 26 de janeiro de 2011

Entendendo segurança no Android


Ao tirar proveito do kernel Linux, o Android obtém uma série de serviços do sistema operacional, incluindo o gerenciamento de processos e de memória, uma pilha de rede, drivers, uma camada de abstração de hardware e, relacionados ao tópico deste artigo, serviços de segurança.

 

Pré-requisitos

Para acompanhar este artigo, é preciso ter as seguintes qualificações e ferramentas:
  • Conhecimento básico da tecnologia Java e como usar o Eclipse (ou seu IDE favorito)
  • Java Development Kit (é requerida a versão 5 ou 6)
  • Eclipse (versão 3.4 ou 3.5)
  • Android SDK e plug-in ADT
Para fazer o download e obter informações de configuração, consulte a seção Recursos no final deste artigo. 


Acrônimos usados frequentemente
  • ADT: Android Development Tools
  • API: Interface de programação de aplicativos
  • DE: Ambiente de Desenvolvimento Integrado
  • JDK: Java Development Kit
  • URL: Identificador Uniforme de Recursos
  • XML: Linguagem de Marcação Extensível

 

Ambientes de simulação, processos e permissões

O Android usa o conceito de um ambiente de simulação para executar a
separação e as permissões entre aplicativos a fim de permitir ou negar o
acesso de um aplicativo aos recursos do dispositivo, como arquivos e
diretórios, a rede, os sensores e as APIs em geral.

Para isto, o Android usa facilidades do Linux, como segurança em nível de processo, IDs de
usuário e de grupo associados com o aplicativo e permissões para impor
quais operações um aplicativo tem permissão de realizar.

Conceitualmente, um ambiente de simulação pode ser representado como na Figura 1. 


Figura 1. Dois aplicativos Android, cada um em seu próprio ambiente de simulação ou processo básico
93b22bc7c66dfb0175b8875acf7a6bf9 Entendendo  segurança no Android

O aplicativo Android é executado em seu próprio processo do Linux e lhe é atribuído um ID de usuário exclusivo. Por padrão, os aplicativos são executados dentro de um processo básico de ambiente de simulação sem permissões atribuídas, evitando, desta forma, que tais aplicativos acessem o sistema ou os recursos. 

Aplicativos Android podem solicitar permissões, no entanto, por meio do arquivo de manifesto do aplicativo.
Aplicativos Android podem permitir o acesso a seus recursos por outros aplicativos ao:
  • Declarar as permissões de manifesto apropriadas
  • Executar no mesmo processo com outros aplicativos confiáveis e, portanto, compartilhar o acesso a seus dados e código
O último caso é ilustrado na Figura 2. 


Figura 2. Dois aplicativos Android executando no mesmo processo
a49113cba94481594cecc9fbb9da50d5 Entendendo  segurança no Android

Diferentes aplicativos podem ser executados no mesmo processo. Para esta abordagem, é preciso primeiro assinar esses aplicativos usando a mesma chave privada e, a seguir, atribuir a eles o mesmo ID de usuário do Linux usando o arquivo de manifesto, definindo o atributo do manifesto android:sharedUserId com o mesmo valor/nome. 


ID do usuário: Linux versus Android
Enquanto que um ID de usuário no Linux identifica um dado usuário, no Android, um ID de usuário identifica um aplicativo. IDs de usuário são atribuídos quando o aplicativo é instalado e permanecem pela vida útil do aplicativo no dispositivo. Permissões dizem respeito a permitir ou
restringir o acesso do aplicativo (em vez de usuários) aos recursos do dispositivo.


Clique aqui e continue lendo. Ainda tem muita informação

Leia também...

Fonte: Linguagens para Software 

Certificação Digital e Cloud Computing

Bruno de Paula  Ribeiro

 

Por: Bruno de Paula Ribeiro, M.Sc., CSSLP

Secure Software Developer  








Gostaria de aproveitar o fórum e colocar uma discussão, a meu ver, interessante. Nestes tempos de cloud computing, onde tudo está se tornando serviço e as estações de trabalho (termo de gente velha num mundo de smart phones e tablets) voltam a ser burras, como já o foram num passado remoto, problemas inconvenientes surgem.

Li em algum lugar (fico devendo a referência) que 2010 foi o ano da cloud computing. E que 2011 será o ano de erradicar da face da Terra tudo aquilo que não é cloud computing.

É claramente um exagero, mas se for verdade nos próximos anos, nós, que trabalhamos com PKI de forma abrangente (na certificação digital) e não apenas como uma tecnologia embarcada, precisamos pensar em soluções para tornar nossos sistemas de informação, em sua maioria Web, viáveis.

Pensemos nos dois seguintes cenários:


• O certificado digital e-CPF ou e-CNPJ, na sua forma mais segura, ou seja, A3, precisa de um par de chaves gerado em um dispositivo criptográfico. Um smartcard, por exemplo.

• A utilização deste certificado, seja para assinar um documento ou se autenticar num sistema como o e-CAC, precisa que o hash de uma seqüência arbitrária de bits seja criptografado, usando-se para tal a chave privada associada. Essa operação, como sabemos, é realizada pelo dispositivo criptográfico.

São apenas dois cenários que resumem a forma como os titulares de certificados digitais usam os mesmos.

O mundo mágico da cloud computing prega que todo processamento um pouquinho mais inteligente do que coletar dados de um formulário e postar os mesmos seja realizado “na nuvem”.

Entretanto, os dois cenários descritos acima, que não são a coisa mais simples do mundo, precisam necessariamente ser executados na companhia do usuário e de seu smartcard, por assim dizer.

Em outras palavras, a chave privada do portador do certificado não pode sair para passear na nuvem e depois voltar ao smartcard.

Isso já seria preocupante o suficiente. Mas não pára por aí. No último Appsec-BR, evento da OWASP sobre segurança de aplicações Web, realizado em Campinas em Novembro de 2010, pude ouvir, em conversas com vários brasileiros e estrangeiros, que tecnologias como ActiveX e Java Applets devem ser evitadas a todo custo.

Cheguei a questionar o Jason Lee, americano que ministrou um curso de segurança em aplicações Web, qual seria o futuro da PKI frente à obsolescência dos componentes “inteligentes” que rodam nos browsers.

Ele me disse para não me preocupar, já que o uso da PKI não é muito difundido, estando voltado apenas para software embarcado, TV digital, etc. Após o curso , contei a ele sobre a ICP-Brasil, mas não sei ainda se ficou convencido.

O que vocês acham a respeito? E o que nós, desenvolvedores de software, podemos fazer para encontrar um lugar para a PKI nesse mundo em nuvens?

 Clique e participe  agora dessa discussão no Grupo CERTIFICAÇÃO DIGITAL  do LinkedIn

 

Bruno de Paula Ribeiro, M.Sc., CSSLP  

Secure Software Developer
São Paulo e redondezas, Brasil
Expert in secure software engineering and programming, with 11+ years of experience in analysis, development and requirement specification of secure software. Master's Degree in Software Engineering and Computer Science from one of the Top 5 Brazilian Universities. A team player with passion for programming and solving challenging problems.
- C/C++, Microsoft.NET, JAVA, ActiveX/COM, Javascript.
- Visual Studio, Eclipse, ClearCase, Subversion.
- Common Criteria (ISO 15408), Rational RUP.
- Cryptography and PKI, Smart cards, tokens, digital certificates and network communication protocols; security libraries; MS Crypto API; .NET Security Library; JAVA JCA/JCE; Bouncy Castle; OpenSSL; ASN.1.
- Technical writing of standards, requirements, books, articles and training material.
- Workshop Speaker and University Professor.

terça-feira, 25 de janeiro de 2011

Fraudes Corporativas no Mundo Digital - impactos do SPED

Check out this SlideShare Presentation:

Espanha :: Serviços online para obter certidões mais rapidas

"Serviços online para ter certidões mais rapidamente"
Por Antónia Marques/ Lisboa/ Portugal
Data: 2011-01-25

O ministério da Justiça espanhol tem vindo a apostar na desmaterialização de procedimentos para tornar mais céleres e mais cómodos os serviços prestados aos cidadãos. Uma das vertentes desta iniciativa é a disponibilização de serviços online, que permitem efectuar o pedido de vários tipos de certidões.

Os mais recentes serviços disponibilizados online pelo ministério dizem respeito aos pedidos de registo criminal, de certidões de última vontade e de seguros de cobertura em caso de falecimento. O objectivo destes novos serviços é tornar mais rápida a entrega destes documentos, que, de acordo com o ministério, passará a ser feita em três dias, contra os oito a dez dias anteriores.

Em comunicado o ministério explica que esta medida terá um alcance significativo e um grande impacto no dia-a-dia das pessoas, uma vez que «nos últimos três anos o ministério da Justiça expediu mais de quatro milhões deste tipo de certificados».

«Estes novos serviços tornaram-se possíveis devido à interligação dos registos de vários departamentos governamentais (Ministério da Justiça, Ministério do Interior, Direcção-Geral da Polícia, Agência Tributária e Registo Civil Central)», refere o ministério, acrescentado que «graças a esta comunicação em tempo real, o sistema está preparado para validar em poucos segundos a identidade do solicitante que, assim que seja a paga a taxa devida, poderá remeter o seu pedido com um simples clique, sem sair de casa».

Autenticação electrónica


No que se refere às certidões de última vontade «não será necessário apresentar os dados referentes ao óbito quando o mesmo tiver ocorrido depois de 2 de Abril de 2009, uma vez que a partir dessa data os Registos Civis já estão informatizados».

Contudo, para o cidadão poder recorrer a estes serviços online, e por questões de segurança e de autenticação de identidade, terá que usar o Cartão Electrónico de Identificação (DNI) e os respectivos certificados digitais. Pode também ser usado outro sistema de assinatura electrónica, desde que reconhecido pela administração pública espanhola.

Assim que os certificados estiverem disponíveis os cidadãos são avisados por correio electrónico, podendo ir à página do ministério descarregar o mesmo e imprimi-lo, uma vez que estes documentos têm valor legal, possuindo um código de validação para o efeito.

Fonte: iGOV Central:

Texto original

domingo, 23 de janeiro de 2011

Campus Party: nova ID brasileira usa impressão digital como identificador principal

Campus Party 2011


Campus Party: nova identidade brasileira usa impressão digital como identificador principal



Postado por Aylons Hazzud - em  


RIC – registro de identidade civil – terá certificado digital, mas demorará até 10 anos para alcançar a todos.

Aylons Hazzud, direto da Campus Party

O novo documento de identidade brasileiro poderá ser solicitado direto pela internet, com os dados sendo verificados somente na hora da retirada. Estes e outros detalhes do RIC (Registro de Identidade Civil) foram explicados por Jorilson Rodrigues, coordenador do Comitê Gestor de Segurança da Informação do Ministério da Justiça em uma apresentação na Campus Party.

Um fator importante na nova identidade é a biometria, pois a impressão digital será o principal identificador do cidadão no documento. Para isso, um algoritmo analisará as impressões digitais, formando uma tabela que pode ser usada em comparações e registro futuros. Estes dados são então guardados no chip da carteira de identidade, junto com outros dados como nome e até a fotografia do portador.

Mas o recurso mais importante talvez seja a inserção de certificados digitais no documento digital. Este sistema oficial de chaves públicas permite a identificação do usuário com altíssimo grau de segurança, garantindo a procedência de documentos do cidadão, mesmo que os documentos sejam enviados de uma pessoa para outra e não para o governo.

Isto, porém, não significa o fim das fraudes: “algoritmo não basta para garantir segurança”, diz Jorilson, explicando que bons procedimentos, práticas e até investigações são necessários para que um sistema se torne seguro. Mas tudo isso ainda é um futuro um pouco distante: a expectativa é emitir documentos novos para todos os cidadão em, no mínimo, 10 anos.

Fonte: Blog: Nunca dantes navegados

A década da informatização no Judiciário

Por: Antonio Pessoa Cardoso

Desembargador do TJ/BA


Leia artigo com acesso ao texto integral de extensa legislação compilada sobre o processo eletrônico

A lei 7.232, de 29/10/84, que dispõe sobre a Política Nacional de Informática, iniciou o ciclo legislativo da informatização no Brasil; criou o Conselho Nacional de Informática e Automação (Conin), a Secretaria Especial de Informática (SEI), o Distrito de Exportação de Informática, o Plano Nacional de Informática e Automação e o Fundo Especial de Informática e Automação.

A Medida Provisória 2.200, de 28/6/01, institui a Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil – e garantiu "a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica...".

No campo real e prático, o Brasil entrou na rede mundial no ano de 1992, mas somente em 1995, por meio da Portaria 148 do Ministério da Ciência de Tecnologia, foi liberada a comercialização da informática.
No Judiciário, a lei 7.244, de 7/11/84, depois a lei 9.099/95, que criou os Juizados de Pequenas Causas, hoje Juizados Especiais Cíveis e Criminais, foi pioneira, quando permite o uso de "qualquer meio idôneo de comunicação", na prática de atos processuais em outras comarcas. A lei 10.259, de 12/7/01, que dispõe sobre os Juizados na área Federal, prosseguiu na modernização, quando permite a intimação por meio eletrônico.

No campo do processo civil, a lei 9.800, de 26/05/99 trouxe inovação para permitir o uso de nova tecnologia de comunicação, ao autorizar o envio de petições por fax ou e-mail, apesar da exigência da apresentação do original.

Depois de mais de doze anos, tramitando no Congresso Nacional, a EC 45, de 08/12/04, alterou vinte e cinco artigos da Constituição e acrescentou quatro novos, abrindo, desta forma, espaço para a modernização do Judiciário. Daí nasceram o CNJ, destinado a controlar a área administrativa e financeira do sistema, a Súmula Vinculante, que contribui para acelerar as decisões e diminuir o número de processos, a repercussão geral das questões constitucionais como requisito para recebimento do Recurso Extraordinário no STF.

Dando continuidade, a lei 11.280/06 inseriu um parágrafo ao art. 154 do CPC para autorizar os tribunais a "disciplinar a prática e a comunicação oficial dos seus atos processuais por meios eletrônicos...". Aí realmente, em termos de lei, na Justiça Comum, é marco fundamental para a substituição do papel pelo sistema on-line no Judiciário. Seguindo a mesma trilha, a lei 11.341, de 7/8/06, modificou o parágrafo único do art. 541 CPC, aceitando a mídia eletrônica ou a internet como repositório de jurisprudência para comprovar divergência em recursos extraordinários e especiais.

A lei 11.382, de 6/12/06, acrescentou o artigo 655-A ao CPC para autorizar o juiz a requisitar "à autoridade supervisora do sistema bancário, preferencialmente por meio eletrônico, informações sobre existência de ativos em nome do executado...". A penhora on-line, ou sistema Bacen Jud permite aos juízes obter informações sobre movimentação bancária dos clientes das instituições financeiras e determinar o bloqueio de contas-correntes ou qualquer conta de investimento.

Finalmente, o processo eletrônico foi definido pela lei 11.419, de 19/12/06, que dispõe sobre a informatização do processo judicial e altera a lei 5.869, CPC. Sua origem situa-se no PL 5.828/01 e destaca-se, porque foi a primeira vez que se facultou claramente ao Judiciário promover a informatização de todo o processo judicial.

As comunicações dos atos judiciais, como intimações, citações, apresentação de peças processuais e a transmissão do processo por meio virtual foram possíveis mercê dessa lei; também o Diário da Justiça on-line, a Carta de Ordem, Precatória e Rogatória. A Carta Judicial, na forma da lei, deverá conter a assinatura digital do juiz requisitante, emitida pela Autoridade Certificadora credenciada, assegurada pela MP 2.200-2, de 24/08/01.

O art. 8º dessa lei elege, de preferência, a rede mundial de computadores como ambiente para tramitação dos processos.

O disposto no art. 12 torna possível aos próprios advogados distribuir a inicial, a juntada da contestação, de recursos e petições em geral, sem interferência alguma dos serventuários. O registro dos votos, acórdãos, decisões, enfim os autos do processo poderão ser registrados nos arquivos eletrônicos ao invés do uso do papel.

Em comentários que fizemos por ocasião da edição da lei dissemos que:

A lei foi um tanto evasiva quando não impõe um sistema eletrônico único em todo o território nacional, e para todas as Justiças, Federal, Estaduais, Trabalhista e Militar. Deixa a opção para cada Tribunal, possibilitando desta forma eventual manutenção dos autos originais, art. 8º, ou incompatibilidades de sistemas. E mais: a permissão ou não de uso da rede mundial de computadores não se mostra adequada para enfrentar as resistências que certamente aparecerão no seio do Judiciário. O termo "preferencialmente", possibilitará, no mínimo, atraso na implantação do novo sistema.

Assim, a informatização já é realidade no Judiciário, apesar dos obstáculos e das resistências que nos fazem lembrar ocorrência como aquela que se deu na Câmara Criminal do Tribunal da Relação de Minas Gerais, quando foi anulada uma sentença porque datilografada e não do próprio punho do juiz como teria que ser. Isto se deu há mais de oitenta anos, em 1929.

Aliás, o Código de Processo Civil de São Paulo de 1931 dizia:"os actos judiciaes devem ser escriptos em vernáculo, com tinta escura e indelével, datados por extenso e assingnados pelas pessoas que nelles intervierem. Quando estas não possam ou não queiram fazel-o, assignarão duas testemunhas".

A informatização progrediu mais na Justiça Eleitoral, pois, mais de um milhão de eleitores, em 2010, já foram identificados para votarem por meio digital. É a identificação biométrica.

A previsão de máquina para votar já constava no Código Eleitoral de 1932, mas, em dezembro de 1981, o ministro Moreira Alves, encaminhou à Presidência da República o anteprojeto sobre a utilização da eletrônica nos serviços eleitorais.

Em 1989, deu-se a totalização eletrônica dos resultados em alguns estados, fundamentalmente em função do trabalho do Desembargador Carlos Prudêncio, responsável pela implantação do primeiro terminal de votação por computador, em Brusque/SC.

A primeira eleição totalmente informatizada aconteceu em 12/02/95, no município de Xaxim, oeste catarinense.

O STJ e Tribunais dos Estados dão um grande passo para proteger o ambiente e acabar com o papel, através do Diário de Justiça Eletrônico, previsto pela lei 11.419/06; logo em seguida, maio/2007, o STJ recebeu o primeiro pedido de habeas corpus por meio da e-pet, petição eletrônica com certificação digital, impetrado por um advogado do Rio de Janeiro.

O sistema continua em fase de implantação e as petições eletrônicas são recebidas nos requerimentos e recursos de HC, nos processos de competência originária do presidente do STJ, tais como cartas rogatórias, sentenças estrangeiras e suspensão de liminar, de sentença e de mandado de segurança.

O peticionamento eletrônico, forma pela qual os advogados remetem, pela internet, as petições iniciais, recursos, documentos e requerimentos intermediários para o fórum e Tribunais já constitui prática de vários Tribunais.

No STF, o processo eletrônico (s-STF) iniciou-se em 30/05/06, com publicação da Resolução 344. Na prática, a primeira movimentação ocorreu em 2007, com o peticionamento eletrônico dos Recursos Extraordinários, instituído pela Resolução 350/07; adequado se mostrou o posicionamento da Corte, porquanto no ano anterior, 2006, registrou-se o maior número de processos distribuídos para o STF, no total de 116.216, enquanto em 2007 não passou de 112.938, em 2008, 66.873 e 2009, 41.107.

Outras Resoluções foram baixadas aumentando o número de processos por peticionamento eletrônico, a exemplo da Reclamação, Ação Direta de Inconstitucionalidade, Ação Cautelar, Rescisória, Habeas Corpus, Mandado de Segurança. Estas ações representam em torno de 10% do movimento total da Corte, mas importa em grande economia de papel, além de outras vantagens.

Já o STJ recebe dos Tribunais estaduais em torno de 40% de todo o trabalho movimentado, provocando sua digitalização. Agora todos os processos dos Tribunais dos estados são remetidos depois de digitalizados. Grande avanço!

Assim, tem-se como marco inicial da implantação do sistema eletrônico no Judiciário, o final do século passado. Resta muito para o avanço tecnológico importar em facilidades para o jurisdicionado, mas os Tribunais não têm mais retorno e reclama-se o processo digital com uniformidade de procedimentos para facilitar a integração de todo o sistema.

Desde início do ano de 2010, é possível no CNJ o requerimento inicial eletrônico. Neste órgão superior da Justiça são possíveis as consultas públicas somente por meio eletrônico.

O CNJ tenta adotar sistema único em todos os tribunais do país para uniformizar os procedimentos judiciais, numeração, distribuição, audiências.
Os Tribunais superiores estreitaram seus relacionamentos com as redes sociais, a exemplo do Youtube, para vídeos, e o Twiter, para notícias e informações sobre os serviços.

No ano de 2009 foram julgados aproximadamente 307 mil processos, dos quais 54 mil por meios eletrônicos; nesse mesmo ano, os 29 Tribunais de Justiça e os Tribunais Regionais Federais encaminharam para o STJ 223.900 processos, dos quais oito mil por meios eletrônicos. Ainda é pouco, mas calcula-se em torno de 5% o percentual de autos digitalizados no Brasil.

Na área criminal, além do uso da videoconferência, a lei 12.258/09 autoriza o monitoramento eletrônico de condenados nos casos de saída temporária no regime semiaberto e de prisão domiciliar. As tornozeleiras eletrônicas permitem a liberação de presos com segurança e já está sendo usada em vários estados.

Na área estadual, poucos Tribunais enquadraram-se no sistema eletrônico, como, por exemplo, através do peticionamento eletrônico. Em alguns estados há experiências desta ou daquela vara ou câmara, mas a adesão dos juízes, dos desembargadores e dos advogados se processa muita lentamente.

Não se quer nem se pode afirmar que o processo virtual acabará com todos os males, principalmente a desigualdade de acesso à Justiça, mas está contribuindo para desburocratizá-lo, para diminuir os custos e para abrir caminho para o efetivo funcionamento da Justiça.

Para destoar de tudo o que está anotado acima, as faculdades de Direito no Brasil ainda não perceberam o avanço tecnológico no Judiciário e continuam ministrando aulas sem considerar o meio eletrônico, servindo-se somente do papel e dos ensinamentos tradicionais. Esta situação cria fortes obstáculos à transformação do Judiciário, porque a cultura jurídica forma-se no ensino jurídico.

Fonte: Migalhas
21/01/2011