regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

terça-feira, 4 de setembro de 2012

Surge o primeiro trojan brasileiro com certificado


A Kaspersky, empresa de software de segurança, divulgou hoje a descoberta de um trojan bancário único. Segundo Fábio Assolini, especialista da Kaspersky que divulgou o trojan, esse é o primeiro vírus bancário assinado digitalmente e criado por crimonosos brasileiros. A técnica é usada bastante lá fora mas essa é a primeira vez que é vista dentro das fronteiras brasileiras e atacando especificamente bancos do país.



Como o nome já sugere, um trojan bancário é um tipo de vírus criado especificamente para se passar por uma ferramenta de banco, sendo distribuído através de emails falsos para, assim, capturar dados do usuário. Um certificado digital nesse tipo de trojan passa uma confiança maior e por isso há uma grande chance do usuário cair no golpe.



Certificado usado no trojan | Crédito: Kaspersky

Segundo Fábio, o certificado foi revogado em 13 de junho, 15 dias após sua emissão. Isso foi tempo o suficiente para os criminosos criarem um email falso de um banco e tentarem infectar usuários, algo que o especialista diz que infelizmente aconteceu. A primeira detecção desse trojan pela Kaspersky foi no dia 6 de julho, mas apenas agora sua existência foi divulgada. Ao conversar por telefone com Fábio, ele não quis revelar qual banco foi usado no golpe, já que não faz diferença para o usuário.
A responsável por emitir o certificado é uma CA, ou autoridade certificadora. Enquanto algumas CAs verificam a autenticidade da empresa para a qual está emitindo o certificado ligando para um telefone, nem todas fazem isso. Nesse caso, o certificado foi emitido pela COMODO, uma CA que não tem exatamente o melhor registro de confiança – no ano passado uma das suas subsidiárias teve seus servidores invadidos e usados para emitir nove certificados falsos.

Também existe a possibilidade da CA ter sido enganada pelo domínio falso registrado pelo autor do trojan, que é bem parecido com o de outra empresa de software conhecida. Ainda assim, é uma falha de segurança séria por parte da Comodo. A Kaspersky diz que os dados do domínio usado para a emissão do certificado são todos falsos – incluindo o endereço em Vitória e o telefone de Pernambuco.

Para evitar cair nesse tipo de golpe, Fábio aconselha o uso do desconfiômetro: não acredite em emails enviados por bancos. O segundo conselho é manter os plugins e navegadores atualizados, no caso do Java (que teve problemas de segurança recente), ele vai até além e aconselha desativá-lo quando não estiver em uso. E por fim, o uso de um anti-virus atualizado é extremamente recomendado.

 

segunda-feira, 3 de setembro de 2012

Certificação digital no Brasil e sua aplicação na saúde

Luis Gustavo Kiatake, diretor da E-VAL, participou do Fórum Saúde Digital 2012. Ele esclareceu dúvidas sobre o uso da certificação digital e falou da adoção dessa tecnologia na área de saúde no Brasil.

Você sabe o que é EEA? CertDicas





EEA significa Entidade Emissora de Certificado de Atributo.

Instituição  que é  responsável pela gestão do ciclo de vida de um certificado de atributos.





Certificado de Atributo
O que é CertDicas

Modernização do Fisco com o uso de certificados digitais


7
A Receita Federal do Brasil (RFB), a Secretaria de Fazenda do Estado de Goiás (Sefaz/GO) e as Lojas Leader encerraram as apresentações do 10ºCertForum - etapa Rio de Janeiro. 

Sob a moderação do coordenador-geral de Auditoria e Fiscalização do Instituto Nacional de Tecnologia da Informação, Pedro Pinheiro Cardoso, as três entidades fizeram considerações sobre como a modernização do Fisco foi um benefício para a própria RFB, que melhorou o controle sobre acesso a dados do contribuinte por parte de seus funcionários, para as secretarias de fazenda de cada estado do Brasil, que melhoram consideravelmente a qualidade dos atendimentos prestados, e para as empresas que, com o uso de certificados digitais no padrão da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), podem emitir notas fiscais eletrônicas, acessar o portal e-CAC da RFB e acompanhar seus históricos fiscais.


Segundo a chefe do Serviço Especial de Tecnologia da Informação – Cotec/RJ, Cláudia Márcia Vasconcelos e Mello Dias, todos os servidores da RFB e estagiários que acessam informações dos contribuintes só o fazem mediante o uso de certificados digitais. “O certificado ICP-Brasil é muito mais vantajoso por ser mais seguro do que o login e senha, por possui uma infraestrutura confiável, auditada pelo Estado e íntegra e também por possuir a característica da legalidade de qualquer manifestação eletrônica que se faça a partir de seu uso”. A RFB, segundo Vasconcelos, a tecnologia do certificado digital permite ainda maior comodidade de acesso, a eliminação de múltiplas senhas por uma única do próprio certificado, além de uma nova cultura por parte de quem presta o serviço e de quem o utiliza.


Já o gerente de Informações Econômico-Fiscais da Sefaz/GO, Marcelo de Mesquita Lima, apontou para fatores como a arrecadação espontânea, a velocidade em que se identificam erros ou tentativas de fraudes nos sistemas das Secretarias estaduais e transparência total da administração tributária. 


Por sua vez, o gerente de Contabilidade das Lojas Leader, Luis Cláudio de Oliveira, a eletronização de procedimentos traz economias diversas para o empresariado que utiliza certificados digitais ICP-Brasil. “Não é mais necessária a emissão de notas fiscais em papel nem a locação de espaço físico para acomodar arquivos, já que todos esses dados estão armazenados em computadores. A economia é enorme”, enfatizou.
Fonte: ITI

Certificação digital versus login e senha: como funcionam e quais os cuidados


Neste ano, sites populares confirmaram o vazamento das senhas de seus usuários provocando várias discussões sobre a segurança da informação na Internet. 

“É muito fácil deduzir o login de alguém porque geralmente é o e-mail ou CPF e para descobrir uma senha depende do grau de dificuldade de composição porque às vezes as pessoas usam combinações de fácil dedução como data de nascimento, placa de veículos, entre outros. 

Além disso, os crackers têm vários recursos para quebrar uma senha, ou seja, uma pessoa pode facilmente se passar pela outra. Há muitas fragilidades no sistema de login e senha”, destaca o assessor técnico da Diretoria de Infraestrutura de Chaves Públicas do Instituto Nacional de Tecnologia da Informação (ITI), Ruy Ramos

A analista em Tecnologia da Informação do ITI, Alessandra Lima explica que, tradicionalmente, os sistemas de computadores utilizam login e senha para acesso à Internet, onde um formulário é criado para o usuário preenchê-lo. “Os dados percorrem vários caminhos na Internet até chegar ao servidor de destino que o solicitou. Uma pessoa mal intencionada pode interceptar esses dados durante o tráfego para utilizá-los em benefício próprio, ou para alterá-los. O login e a senha são armazenados em arquivos ou em bancos de dados nem sempre de forma criptografada (informação em código, cifrada)”. 

De acordo com Ruy Ramos, a maneira que o governo brasileiro institucionalizou para garantir autenticidade, confidencialidade, integridade às informações do cidadão na rede mundial de computadores é o uso do certificado digital. Esta ferramenta pode ser um cartão com chip inserido em uma leitora conectada ao computador ou token diretamente conectado a uma porta USB, garantindo também validade jurídica aos atos praticados com seu uso, o que permite aplicações como comércio eletrônico, assinatura de contratos, operações bancárias, iniciativas de governo eletrônico, entre outras.

Alessandra Lima também explica que o processo operacional de uma autenticação feita com certificado digital é mais sofisticado. “Durante a troca de dados e a navegação na rede são utilizadas duas chaves: uma pública e outra privada, sendo esta conhecida pelo titular apenas. Emitido por uma Autoridade Certificadora, o certificado funciona como um passaporte digital associando a identidade física com uma chave pública criptográfica. Ao se aliar o certificado digital à criptografia, os dados navegam de forma mais segura na Internet”.

O assessor da presidência do ITI, Sérgio Cangiano reforça que o uso do cartão magnético ou token com certificação digital não transmite a senha na Internet, permanecendo no dispositivo, como chave privada. “Os dados do titular e a senha não ficam armazenados em servidores, pelo contrário, ficam apenas no token ou cartão com tecnologia para destruir a identidade e senha caso haja tentativa de invasão no dispositivo.  Em pesquisa recente da Trend Micro mostra que no Brasil 55% das 200 empresas entrevistadas relataram alguma falha, ou incidente de perda de dados com projetos de computação em nuvem nos 12 meses encerrados em junho. Isso porque todo e qualquer serviço em nuvem utiliza login e senha”.

Ruy Ramos ressalta ainda que há três fatores que viabilizam uma autenticação e uma identificação segura de determinado sistema: O que eu sou? O que eu tenho? O que eu sei? “Na certificação digital, o que diz quem eu sou é o certificado digital com os meus dados, o que eu tenho é um dispositivo que pode ser cartão ou token e o que eu sei é a senha que está no dispositivo, portanto, não trafega em qualquer lugar”. Ramos acrescenta as diferenças no sistema de login e senha. “O que eu sou é geralmente o login que se for o e-mail todos têm acesso, não há nenhum dispositivo para responder o que eu tenho e o que eu sei está em um banco de dados que pode não estar cifrado”.

Sérgio Cangiano completa que a certificação digital tem um nível de segurança muito maior que o login e senha. “O certificado digital exige menos do usuário que apenas tem que memorizar uma única chave, para qualquer serviço que contemple assinatura digital, com a vantagem de possuir as características de validade jurídica e não repúdio de autoria”.

Fonte: ITI


Excelente matéria!! 
Apenas uma observação: Na verdade o que você é, é a biometria, o que você tem é o certificado digital e o que você sabe é sua senha.

Legalidade das transações eletrônicas realizadas com certificados ICP-Brasil



O procurador federal chefe do Instituto Nacional de Tecnologia da Informação (ITI), André Garcia, iniciou os trabalhos da mesa.

 “O modelo jurídico da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil)” apresentando os princípios de autenticidade, integridade e validade jurídica da certificação ICP-Brasil previstos pela Medida Provisória 2.200-2, que a instituiu.

“O modelo de certificado digital ICP-Brasil, comparado a outros modelos internacionais, além de sua capilaridade e hierarquia de raiz única, é regido por Medida Provisória e detém um Comitê Gestor que, atento às leis já existentes em diversos códigos, o conduz com bastante autonomia”.

Garcia também destacou o Manual de Perguntas e respostas Jurídicas sobre a ICP-Brasil, trabalho editado pela própria Procuradoria Federal Especializada do ITI que contém mais de 100 páginas sobre a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), disponível no site do ITI para download.

Na mesma mesa, a Ordem dos Advogados do Brasil – seccional Rio de Janeiro (OAB/RJ) - comentou sobre as ações de disseminação da certificação digital ICP-Brasil entre os seus associados. Segundo a presidente da Comissão de Direito e Tecnologia da Informação da OAB/RJ, Ana Amélia Menna Barreto, parte da classe dos advogados cariocas ainda resiste à modernização proposta pela tecnologia da certificação ICP-Brasil. “A ausência da corporeidade processual, ou seja, do documento em papel, é a quebra de um paradigma cultural do direito proposta pela virtualização processual. Aqui no Rio de Janeiro, onde há 120 mil advogados registrados em sua seccional da OAB, foram realizados esforços no sentido de divulgar os conceitos do direito eletrônico, como a campanha “Fique Digital”, e do uso e benefícios do certificado digital ICP-Brasil”. 

Fonte: ITI