Certificado Digital para assinatura de códigos
Mais uma vez, a falha nos procedimentos de uma Autoridade Certificadora ao emitir um Certificado Digital ganha exposição na imprensa.
A reportagem que apresento a seguir expõe mais um incidente envolvendo um Certificado Digital de uma empresa brasileira, que foi utilizado em uma ação criminosa.
Segundo a reportagem, a Autoridade Certificadora se justifica informando que a empresa em questão está devidamente registrada na Receita Federal e que segue o padrão de mercado.
Na verdade o procedimento em questão não é o padrão adotado por Autoridades Certificadoras tradicionais.
Isso porque o padrão de validação das informações de uma empresa que solicita um Certificado Digital, seja ele para assinatura de código, como foi o caso, ou para a identificação de um site, varia de acordo com os procedimentos adotados e registrados na DPC - Declaração de Prática de Certificação Digital, de cada Autoridade Certificadora. Cada Autoridade tem a sua e deve publica-la na Internet emrepositório de fácil acesso ao público.
Basear a validação apenas na informação de que a empresa está ou não cadastrada na Receita Federal não garante que quem está solicitando o Certificado Digital tem direito para utilizá-lo em nome da empresa.
As validações rápidas, que levam o mesmo tempo de preparo de um macarrão instantâneo - cerca de três minutos -, é claro que são fictícias. É obvio que não está incluso neste procedimento a conferência da veracidade das informações. Ou seja: é vulnerável. É essa é a mágica dos Certificados Digitais “baratinhos”. Essas validações, simplesmente, não são feitas. E o componente de custo mais significativo de um certificado digital é a validação.
A validação realizada por uma Autoridade Certificadora com credibilidade no mercado é feita em ambiente de segurança (Data Center), com procedimentos de segurança que utilizam segurança lógica, humana e processual, realizados por profissionais treinados e especializados, com segregações de funções etc. Isto leva tempo e gera despesas. Sendo assim, não precisa ser especialista, basta ter bom senso para concluir que Autoridades que entregam Certificados em minutos e têm preços muito inferiores as demais, na verdade, não conferem nada.
Fica claro: a rapidez é totalmente proporcional a falta de processo.
E no que consiste o serviço de uma Autoridade Certificadora?
Consiste em fazer o papel do “terceiro de boa fé” que atestar publicamente as credenciais dos titulares dos Certificados Digitais.
Então quer dizer que as Autoridades que cobram baratinho e emitem rapidinho entregam vento? Sim, mas para não ser exagerada posso dizer que entregam um selinho e criptografia no caso dos SSLs.
O problema que ocorreu, mais uma vez, não foi consequência de falhas na tecnologia da Certificação Digital e nem nos procedimentos utilizados por Autoridades Certificadoras sérias. Mas, sim, na má prática que vem sido exercida por oportunistas que se privilegiam da falta de conhecimento dos usuários finais e empresas, para comercializarem, temporariamente, Certificados Digitais.
Sim, temporariamente. Porque Autoridades Certificadoras com procedimentos incorretos, fracos e vulneráveis não se sustentam durante muito tempo neste mercado.
Leia a matéria:
A digicert é a segunda autoridade certificadora a homologar vírus
Por: Altieres Rohr Especial para o G1
Especialistas em códigos maliciosos detectaram mais um vírus brasileiro "homologado" por uma autoridade certificadora (AC). Dois certificados foram identificados em uso pela praga, programada para roubar senhas bancárias: um para a empresa "Buster Paper Comercial Ltda" e outro para "Buster Assistência Técnica Eletrônica Ltda - ME". Os certificados foram revogados.
A Digicert é a segunda empresa certificadora a dar seu aval para um certificado usado em um vírus brasileiro. A primeira foi a também norte-americana Comodo, que assinou um certificado para uma empresa registrada com endereço falso em julho de 2012.
As autoridades certificadoras (ACs) são empresas encarregadas de homologar certificados digitais, garantindo sua autenticidade. Essas empresas funcionam como "cartórios" do mundo virtual. Um certificado como o usado pelas pragas brasileiras custa cerca de US$ 200 (R$ 400) por ano - custo que deveria cobrir despesas com o trabalho de verificação da legitimidade da empresa que solicita um certificado.
O Windows vem configurado de fábrica pela Microsoft para confiar automaticamente em uma série de empresas certificadoras. A Digicert e a Comodo são duas delas.
O G1 procurou a Digicert para questionar qual foi o processo de verificação dos dados fornecidos para a emissão das assinaturas e se a companhia possui outras informações sobre as empresas.
A Digicert não informou como foi feita a verificação do cadastro da empresa brasileira ou os dados cadastrais, como o CNPJ, solicitados pelo G1. A autoridade certificadora disse apenas que procedeu de acordo com o "padrão da indústria" * e que a empresa estava cadastrada na Receita Federal no momento da emissão da assinatura para o certificado. O motivo do cancelamento do certificado foi unicamente o uso em um código malware, o que fere os termos da Digicert.
Programas legítimos comumente usam certificados digitais para facilitar sua identificação, de modo que um software falso não possa se passar por ele. Outro benefício do certificado é que ele protege o arquivo contra alterações. Se o arquivo for alterado por um vírus, por exemplo, a mudança invalida o certificado.
As assinaturas em softwares também permitem o uso de drivers em sistemas Windows com 64-bit. Essas versões do Windows não carregam drivers se eles não possuem uma assinatura. Drivers são normalmente usados por vírus brasileiros para apagar softwares de segurança do sistema.
Fonte: Portal G1
Nenhum comentário:
Postar um comentário
Agradecemos sua participação.