regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

quinta-feira, 25 de outubro de 2012

SSL: O que é e como garantir sua segurança em bancos e lojas virtuais


autor: risastoider





E chega aquele momento em que você precisa inserir seu nome completo, CPF e endereço em um site. 

E, não raro, o número do cartão de crédito, a data de validade e os três dígitos de segurança. Informações que, na posse de alguém mal intencionado, podem resultar um imenso prejuízo.

Esse dilema é comum principalmente em páginas de bancos (que podem ser falsificadas por cibercriminosos) e de comércio eletrônico. O faturamento nessa modalidade só aumenta: em 2011, foram R$18,7 bilhões, um crescimento de 26% em relação ao ano anterior. Nos primeiros seis meses de 2012, 5,6 milhões de pessoas fizeram sua primeira compra online até hoje. No total, são 37,6 milhões de e-consumidores



Quanto ao Internet Banking, a popularidade também é grande no país. As transações por meio eletrônico representaram, em 2011, 24% do total, conforme dados da Federação Brasileira de Bancos (FEBRABAN). No mesmo ano, os investimentos e despesas do setor bancário em tecnologia apresentaram um crescimento de 11%, atingindo R$ 18 bilhões, consolidando-o como o principal setor usuário de Tecnologia da Informação (TI) no Brasil.

Lojas online pipocam por aí: você já deve ter visto ao menos um anúncio no Facebook, por exemplo, que o encaminhou para uma lojinha até então desconhecida. Muitas vezes, os preços são bem convidativos, o que aumenta o impulso de clicar no “comprar” e inserir os seus dados. Mas será que você está mesmo seguro? Confira nas próximas páginas o que você pode fazer para se certificar de que os riscos serão os menores possíveis.


De olho nos certificados

Uma dica recorrente é: perceba se a página na qual você deve inserir seus dados exibe um cadeado no navegador. Esse cadeado indica que a página usa o protocolo SSL (Secure Sockets Layer). Simplificando, significa que a comunicação entre você e o site é protegida por criptografia e não pode ser interceptada por terceiros. Tudo fica codificado e ninguém vai conseguir se intrometer. Quando você está em uma página com SSL, note a barra de endereços. O HTTP:// vai virar “Https://” .

 
Para mostrar ao usuário que aquele site realmente usa o protocolo, muitas empresas recorrem  a autoridades certificadoras, que verificam se o registro do endereço está em conformidade com o nome de quem registrou e seus dados. Se tudo estiver OK, eles conseguem assegurar que o visitante está mesmo naquela página, criptografada e “fechada” para terceiros.


Alguns selos que você vai encontrar por aí


Existem várias firmas especializadas em emitir esses selos. Alguns são de graça. Outros chegam a custar mais de R$1 mil, tudo vai depender de como elas operacionalizam o processo. Seguem alguns exemplos de selos mais conhecidos vistos por aí, emitidos por entidades de renome:

  • SSL Site Seguro Certisign: faz a identificação do site e cria um canal criptografado entre o usuário e os servidores que hospedam o portal. O selo também identifica que a empresa concluiu satisfatoriamente todos os procedimentos para determinar que o domínio do website é de propriedade ou se encontra registrado por uma empresa ou organização autorizada a negociar ou exercer atividade lícita.
  • Selo Internet Segura: iniciativa que faz parte do Movimento Internet Segura com a Câmara e-net. Para conseguir o selo, as empresas têm que passar por uma avaliação. Se conquistado, os varejistas terão assessoramento para os padrões mínimos de segurança técnica, operacional e jurídica.
  • Selo VeriSign Secured Seal: O selo mostra, em tempo real, que a empresa foi aprovada pela VeriSign ao proteger informações confidenciais com criptografia. Tem funcionalidade parecida com o selo da Certisign.
Agora, existe um selo ainda mais sofisticado, que é o EV-SSL, também conhecido como certificado de validade avançada. É o tipo mais seguro que existe no momento, já que requer procedimentos mais rígidos por parte da autoridade certificadora antes de ser concedido. E, para o usuário, é ainda mais fácil de identificar: se estiver tudo OK com o site, a barra de endereços do navegador ficará verde.


Sozinho, o selo não garante muita coisa. Isso porque não é nem um pouco difícil colocar a imagem do selo, com o nome da autoridade certificadora, em um website qualquer, inclusive fraudulento. Como dito antes, é preciso atentar para o HTTPS:// e também para o cadeado. Mas existem outros detalhes.

Primeiro, não basta só olhar o selo. É preciso clicar nele e observar as informações oferecidas em tempo real: autoridade certificadora, data de emissão e data de validade do certificado, além das garantias que ele oferece. Se você não conseguir clicar na imagem, desconfie: o selo pode ser falsificado. Ou, ainda, a empresa até conseguiu um selo legítimo, mas colocou em sua página de maneira errada.

O reconhecimento ligado às marcas emissoras também é importante. Alguns certificados podem não ser reconhecidos por algum navegador específico, por exemplo, o que prejudica a confiabilidade da empresa em questão. Regina Tupinambá, diretora comercial e de marketing da Certisign, ainda aponta a importância de realizar um processo não-automatizado, feito cuidadosamente por pessoas. “Um dos procedimentos é a validação das informações de propriedade do uso do domínio que será atrelado ao certificado SSL. Essa validação é realizada por pessoas e não máquinas nas tradicionais autoridades certificadoras de grande porte”, explica. “Há ainda a segregação de função entre os profissionais nas várias etapas dessa atividade.”



Um exemplo do que vai aparecer quando você clicar no selo


O problema é que cibercriminosos também podem adquirir certificados. “A compra é feita normalmente, como fazem as empresas legítimas, geralmente através da Internet”, afirma Fábio Assolini, analista de malware da Kaspersky Brasil. “O problema é que os criminosos registram empresas falsas, e com esses dados compram o certificado digital, se passando por empresas legítimas.”

Outra possibilidade é a de simplesmente roubar certificados, como lembra Seam Sullivan, especialista em segurança da F-Secure. “Servidores podem ser hackeados para obter os certificados”, afirma.


Atente para os riscos
A certificação digital garante ao visitante de um site, basicamente, duas coisas: primeiro, que aquele domínio é mesmo pertencente à empresa que diz ser. Segundo, que a comunicação entre você e o site é criptografada e não pode ser interceptada por terceiros.

O cuidado do usuário com a sua máquina, porém, continua fundamental. Altieres Rohr, jornalista e criador do site Linha Defensiva, lembra que, em uma máquina infectada, não existem regras. Ele alerta para certos tipos de malware que instalam autoridades certificadoras no próprio sistema operacional do usuário. Com isso, ele pode entrar em um site falsificado e ser levado a acreditar que é legítimo por causa da exibição de um certificado. “No Brasil, os vírus não raramente instalam ACs novas no Windows. Aí,  eles redirecionam os sites verdadeiros dos bancos e usam certificados falsos que aparecem como válidos porque o sistema foi configurado pra confiar neles”, explica.

Exemplo de certificado falso. Felizmente, o navegador avisou!

Outra possibilidade é a de simplesmente um criminoso adquirir um certificado usando o nome de uma empresa. Fábio Assolini lembra de um golpe brasileiro, no qual “os criminosos copiaram o nome de uma companhia legítima, registrando um domínio com dados falsos, e mesmo assim foram capazes de comprar um certificado”.

Existe ainda um agravante: a navegação em dispositivos móveis, cada vez mais comum. “Navegadores móveis não avisam sobre certificados problemáticos da mesma forma que nos desktops”, alerta Sullivan, da F-Secure. O especialista ainda lembra que alguns cibercriminosos incluem o famoso ícone do cadeado na própria página e muitos usuários leigos “não percebem a diferença entre um ícone na página e na barra de endereços do navegador, onde o cadeado deveria estar.” Ou seja, fique de olho nisso! Não é qualquer cadeado que garante a criptografia da comunicação.

Regina Tupinambá ressalta algumas medidas de segurança aplicadas pela Certisign para emitir os certificados. Cada certificado, por exemplo, é válido por, no máximo, três anos, mas ela recomenda o uso por períodos menores. Cabe às empresas que usam as certificações fazerem pelo menos a renovação anual. Se um navegador exibe uma mensagem de certificado fora da validade, por exemplo, a especialista recomenda não completar a transação.

“Os problemas atribuídos ao Certificado SSL não estão relacionados à tecnologia, e sim, às más práticas”, avalia Tupinambá. “Autoridades Certificadoras criadas recentemente, espalhadas mundo afora, para baratear o preço dos certificados SSL e ganhar mercado, emitem os certificados sem verificação de propriedade do uso de domínio. Não é possível automatizar o passo crítico que é a de verificação do titular do certificado”, conclui.


Outro falso certificado. Repare o "emitido por", com um domínio brasileiro que não tem nada a ver com ACs de confiança. E o "emitido para que também não é o Banco do Brasil, como finge ser. / Imagem: Linha Defensiva

Essas companhias fazem o que a especialista chama de “certificados miojo”, ou seja “que estão prontos em três minutos”. A especialista garante que a Certisign demora pelo menos dois dias para juntar todos os dados e procurar por todas as informações referentes a quem registrou o domínio. Isso inclui, por exemplos, buscas em listas telefônicas e até ligações para o número fornecido por quem registrou, para ter certeza de que o endereço é legítimo. “Pagar profissionais para realizar essa tarefa seguindo rigorosos processos é caro. Mas não há outra maneira de fazer de forma segura e confiável.”

Na dúvida, a diretora comercial e de marketing da Certisign deixa a dica: se você entrar em um site desconhecido e quiser saber se pode confiar nele, além de clicar no selo e verificar as informações, compare-o com o de alguma instituição de confiança, como o seu banco. Se o selo for da mesma natureza, emitido pela mesma AC, é muito provável que você esteja seguro.

Por fim, não custa nada reforçar a dica mais básica de todas: mantenha sempre um bom antivírus instalado e atualizado em sua máquina. A confiabilidade dos certificados que você vê pode ficar totalmente abalada se seu computador estiver infectado com certos tipos de malware. As ACs, nestes casos, não têm nada a ver com isso: esses certificados são criados e controlados pelos próprios cibercriminosos. E não é preciso dizer que não têm validade nenhuma, certo?

Construindo a confiança
Além dos selos de SSL, que garantem a identidade da página e a criptografia dos dados, existem os selos de confiança. Esses são diferentes: não requerem que o site conte com a proteção SSL, mas sim servem para mostrar ao consumidor quem cumpre com os prazos e serviços prometidos. Por isso, a participação da comunidade é imprescindível. E, como nota o especialista Altieres Rohr, “selos que a loja pode ganhar de graça são melhores do que os que a loja tem que pagar pra conseguir. Porque os selos de graça são um serviço para o consumidor, enquanto selos pagos são um serviço pra loja, para convencer o internauta a comprar lá”.

Selos de confiança do Google, e-bit e Buscapé

Seguem exemplos de alguns selos de confiança:

  • Medalhas e-bit: selos de excelência dados às lojas que são avaliadas pelos usuários, após a experiência de compra, divididas em quatro categorias.
  • Selo Google "Loja de Confiança": o selo exige que os varejistas atendam aos requisitos pré-estabelecidos, como alta porcentagem de problemas resolvidos, baixo número de consumidores em espera, entrega de mercadorias nos prazos estabelecidos, período para entrega dos produtos relativamente baixo, entre outros.
  • Selo PayPal: o selo de segurança oferece proteção ao consumidor, já que o programa gratuito oferece proteção para o dinheiro durante as compras. Quando um item de um site se qualifica, o selo será inserido na listagem, junto a um texto explicativo.
  • SiteBlindado: esse selo oferece certificação SSL, mas não é ligado à ICP-Brasil. O selo mostra que o site está protegido de ataques e invasão de malware.
Em resumo, o selo SSL garante a autenticidade da empresa com a qual você está negociando – ou seja, que aquela página realmente pertence a ela. E que seus dados estão criptografados. O selo de confiança mostra experiências de outros usuários com os serviços oferecidos.

Adicionar legenda
É praticamente impossível ter 100% de certeza de que você não irá se incomodar. Para tudo existe um risco, principalmente na Internet. 

Você pode, porém, minimizar o máximo possível esses riscos com as dicas que demos neste artigo. Unir as referências dos selos de confiança com os de SSL, clicar no selo para verificar as informações e não realizar transações quando os certificados tiverem expirados.

“Vale ressaltar que a atividade da Certificação Digital é baseada numa cadeia de confiança até chegar ao seu usuário final”, lembra Regina Tupinambá, diretora comercial e de marketing da Certisign. “É muito importante verificar se a Autoridade Certificadora responsável pela comercialização do certificado SSL segue as boas práticas de segurança e se é auditada por ‘terceiros de boa fé’ como a Webtrust”.

Na dúvida, compare o selo que você vê com o de outro site que já seja de sua confiança há muito tempo. E jamais se esqueça de manter sua máquina sempre protegida contra malware. Um sistema infectado pode mudar tudo
!

Fonte:
Risa Stoider
@risastoider
Jornalista do portal Adrenaline

Um comentário:

  1. Recebi ontem um e-mail sobre uma frase que disse durante a entrevista. Esclarecendo: Nada contra o miojo. Pelo contrário, eu adoro. Chamamos de certificado miojo aquele que a "AC" emite em 3 minutos sem nenhuma validação (conferência) da propriedade do domínio. Pois é, o preparo de um miojo é bem diferente de como é cuidado o fettuccine no "L'Originale Alfredo di Roma".

    ResponderExcluir

Agradecemos sua participação.