regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sábado, 12 de julho de 2014

Certificados falsos do Google e Yahoo


Atualização da Microsoft revoga certificados falsos do Google e Yahoo
Certificados poderiam ser usados para criar sites falsos.
Chaves foram emitidas por autoridade certificadora na Índia.

Altieres Rohr
Especial para o G1


A Microsoft lançou nesta quinta-feira (10) uma atualização para diversas versões do Windows que revoga certificados de segurança falsos do Google e do Yahoo.

Uma autoridade certificadora da Índia emitiu certificados ilegítimos para endereços do Google e do Yahoo que poderiam ser usados para a criação de sites clonados. Eles permitem o redirecionamento do endereço com a inclusão do "cadeado" de segurança, o que dificulta a identificação do site falso.

A atualização será distribuída automaticamente para o Windows 8 e o Server 2012. Versões anteriores do Windows, como Vista e 7, precisam ter instalado o atualizador automático de certificados (ele pode ser baixado aqui).

Não se sabe quem usou esses certificados ou com qual finalidade. O Google soube da existência dos certificados no dia 2 de julho, mas o primeiro certificado falso foi emitido no dia 25 de junho. A autoridade certificadora na Índia revogou os certificados no dia 3 de julho.

A autoridade certificadora responsável pelas emissões é subordinada ao governo indiano. Normalmente, o procedimento de validação de domínios e de identidade deve impedir que certificados sejam emitidos para terceiros. O "processo de emissão" dos certificados, porém, teria sido comprometido, apontou uma investigação da autoridade certificadora.

Certificados emitidos por autoridades certificadoras valem no mundo todo. Dessa maneira, não há problema caso um internauta visite uma página falsa que apresenta um certificado da Índia, mesmo que o site ou a empresa em questão sejam de outro país. Qualquer autoridade certificadora, quando comprometida, pode ser usada para atacar qualquer site seguro.

Para atacar o site, porém, é preciso primeiro que o acesso a ele seja redirecionado. Para isso, é necessário atacar o provedor da vítima, o roteador da conexão com a internet ou a própria rede, como no caso de uma rede sem fio pública.

Em resposta ao incidente, o Google informou em seu blog de segurança que fará uma alteração no navegador Chrome para limitar os certificados do governo indiano aos domínios do país.

Celulares estão mais protegidos
Aplicativos para celulares aplicam um conceito chamado de "certificate pinning". Com isso, o próprio app pode verificar se o certificado usado pela conexão é ou não o certificado do provedor de serviço.

De acordo com a companhia de segurança Lacoon Security, o aplicativo do serviço de e-mail Gmail, do Google, para o sistema iOS, da Apple, não faz uso dessa proteção. O app para Android, no entanto, faz uso do "certificate pinning". O site "Threatpost" diz que entrou em contato com o Google para perguntar se o recurso, que supostamente já existia no aplicativo, seria incluído. Não houve resposta da empresa.

Fonte:http://g1.globo.com

CNJ cria campanha para conscientizar sobre benefícios do uso do PJe


pje 680x130
A Comissão Permanente de Tecnologia da Informação e Gestores do Processo Judicial Eletrônico (PJe) elabora campanha de comunicação institucional para esclarecer a comunidade da Justiça sobre os benefícios da utilização do PJe, sistema de informática desenvolvido pelo CNJ em parceria com os tribunais para automatizar a tramitação dos processos judiciais. Seis peças publicitárias estão disponíveis na página do PJe a todos os assessores de comunicação dos Tribunais das Justiças Estadual, Federal e do Trabalho.
O material aborda de maneira concisa e direta as vantagens proporcionadas pelo uso do sistema, como a celeridade processual, a praticidade e a economicidade. A ideia é que os tribunais disseminem as peças nos seus canais próprios de comunicação interna. Uma das peças aborda a necessidade de advogados, magistrados e servidores adquirirem certificação digital para acessar e movimentar os processos no PJe, em função da proteção a dados confidenciais que a tecnologia da informação fornece a ações judiciais.
Além das peças para internet, um boletim mensal está sendo produzido pela Coordenadoria de Imprensa do CNJ para manter os servidores da Justiça informados sobre os avanços do projeto e eventos de capacitação das equipes que operarão o novo sistema. Notícias dos sítios de tribunais de todo o país e do Portal do CNJ começaram a ser distribuídas por meio desse novo produto da Secretaria de Comunicação Social do Conselho. Aprimeira edição está no ar desde o último dia 25. 
Cronograma - Outro objetivo da ação é incentivar a adoção do PJe pelos tribunais. Instituído em dezembro de 2013 pela Resolução 185/CNJ, o PJe já havia sido adotado por 34 cortes até o início de junho, além da Turma de Uniformização (TNU) dos Juizados Especiais Federais e do próprio CNJ. Os tribunais que não aderiram ao sistema têm até 15 de julho para propor ao CNJ um plano para implantar o PJe. O cronograma deverá listar as unidades judiciárias em que o PJe será instalado. O prazo para conclusão do projeto poderá variar entre três e cinco anos, de acordo com o porte do tribunal, conforme previsto no anuário estatístico do Judiciário "Justiça em Números".
 Manuel Carlos Montenegro
FONTE: Agência CNJ de Notícias

CNJ utilizará o PJe a partir de 3 de fevereiro


A partir do dia 3 de fevereiro, o Conselho Nacional de Justiça (CNJ) utilizará exclusivamente o Processo Judicial Eletrônico (PJe) para o trâmite de novos processos. Será o primeiro passo para a migração dos processos em andamento do sistema e-CNJ para o PJe, sistema desenvolvido pelo CNJ em parceria com os tribunais e a participação da Ordem dos Advogados do Brasil (OAB) para a automação do Judiciário.

Com isso, será exigida a certificação digital de advogados, magistrados, servidores ou partes que precisarem atuar nos novos processos. Pelo período de 30 dias, ainda não será requerida certificação digital para a inclusão de petições e outros documentos em processos protocolados até o dia 2 de fevereiro e que hoje tramitam no sistema e-CNJ, utilizado pelo Conselho desde 2007. 
 Leia o guia rápido do PJE para:

Outros documentos:
Clique aqui para saber mais sobre o treinamento judicial para advogados;
Confira aqui a cartilha para acesso ao sistema PJe.

sexta-feira, 11 de julho de 2014

IBAMA estende uso de Certificados Digitais

Ibama altera regras de acesso dos usuários ao sistema 
Documento de Origem Florestal - DOF


O Ibama editou a Instrução Normativa nº 10, de 25 de junho de 2014, alterando as regras de acesso dos usuários pessoa física ou jurídica ao sistema DOF.

A partir do novo prazo estabelecido, 4 de agosto, o uso da certificação digital será obrigatório para acesso e realização de todas as transações no sistema DOF.

A instrução normativa, além de prorrogar o prazo da obrigatoriedade da certificação digital, estende a obrigatoriedade para os empresários individuais ou de sociedade em comum que não possuam inscrição no CNPJ, nos termos da legislação civil e tributária.

O uso do certificado digital atesta a identidade do usuário e tem por objetivo garantir que as transações eletrônicas dos produtos e subprodutos florestais sejam efetuadas com segurança, mantendo a integridade e a confidencialidade dos documentos e dados da transação, reduzindo os riscos de furtos de senha e movimentações fraudulentas de créditos florestais.

Até que se inicie a obrigatoriedade, os usuários que quiserem usufruir da segurança conferida pela certificação digital já podem aderir a essa modalidade de acesso ao DOF de forma facultativa. Para obter o certificado digital, o usuário deverá escolher uma Autoridade Certificadora (AC), da qual poderá adquirir o dispositivo criptográfico (token), e proceder à habilitação de seu certificado.

Informações adicionais de como obter o certificado digital podem ser obtidas no site do Instituto Nacional de Tecnologia da Informação (ITI).

Para mais informações de como realizar a adesão à certificação digital e o acesso ao DOF, o Ibama também disponibilizará um manual para a orientação dos usuários.

Fonte: Por Ascom/Ibama
04/07/2014 - 12:06:19

Uma ameaça à liberdade da Internet - Vídeo - NYTimes.com

Uma ameaça à liberdade da Internet - Vídeo - NYTimes.com



Por Brian Knappenberger, 9 de julho de 2014

Novas regras propostas pela FCC poderia dividir a Internet em pistas rápidas e pistas lentas, violando o conceito central da "neutralidade da rede".

quinta-feira, 10 de julho de 2014

Advogados serão obrigados a usar certificação digital em processos no TJ-DF



ASSINATURA ELETRÔNICA

A partir do dia 25 de julho, advogados com atuação no Trinunal de Justiça do Distrito Federal terão que usar uma certificação digital para todos os atos seus processos em tramitação. Será preciso usar o eToken, um tipo de pen-drive que certifica documentos através de senhas, para fazer a assinatura eletrônica. É o chamado Certificado Digital ICP-Brasil. 28 de junho de 2014, 10:28h

Essa novidade é decorrente da implantação do Processo Judicial eletrônico, e será implementada a partir do Centro de Soluções de Conflitos dos Juizados Especiais Cíveis de Brasília (CEJUSC) e do 1º ao 7º Juizados Especiais Cíveis de Brasília, com cronograma já programado para até o final do ano.

A introdução do PJe no TJ-DF está prevista no plano de administração do biênio 2014-2016 e atende à resolução 185/2013 do Conselho Nacional de Justiça, que institui o processo eletrônico conforme a Lei 11.419/2006, que dispõe sobre a informatização do processo judicial. 

No dia 13 de maio deste ano, foi instituído, pela portaria GPR 664/2014, comitê gestor para coordenar as ações de implantação do processo eletrônico e, no mesmo dia, a portaria GPR 662/2014 criou a secretaria especial do PJe com a atribuição de promover as ações de implantação do processo eletrônico no tribunal. Com informações da Assessoria de Imprensa do TJ-DF.

Fonte: http://www.conjur.com.br

A chave do Castelo: Criptografia em Nuvem




Keys to the castle: Encryption in the cloud

Security concerns are driving IT to bolster cloud data with complex DIY encryption processes, but a lack of key management could undo all the hard work. Thankfully, new techniques and standards mean companies might finally have their data under lock and key


''We need to be cautious that, similar to the promises of PKI several years ago, the market is ready and the technology robust enough to service client demands'

In a bid to reassure customers following revelations of government intelligence agency snooping in 2013, cloud service providers including Google and Amazon have rushed out free automatic server-side encryption on their cloud services - and not before time.

The move has been seen by many as a positive one for companies that are mandated to protect customer data when running a business application on Google, but it could equally be argued that encouraging them to leave encryption in the hands of the cloud provider is a step in the wrong direction.

While it's obvious that Google and others are covering their own backs and jumping on the marketing opportunity of NSA-related paranoia by having these security processes in place, it's not exactly clear just how adequate their server-side measures are.

After announcing in August last year that it would be automatically encrypting all data on its cloud storage platform before it is written to disk, Google added that it would still advise data to be encrypted at the user end for those who prefer to manage their own encryption keys, emphasising that the responsibility for risk management still legally lies with the customer.

Jamal Elmellas, technical director at data security specialist Auriga, strongly advises that organisations should be wary from the outset of cloud providers with proprietary encryption software and mechanisms, especially those that retro-fit encryption to their already established solutions.

‘Encryption should be intrinsic to the solution,’ says Elmellas. ‘It should be considered from the outset by the provider, and this enables them to offer a solution which applies the most appropriate type of encryption to the right parts of the infrastructure.’

Processes, logging, auditing and total involvement by the customer are a few of the ways that risks can be minimised when outsourcing encryption, but for companies handling sensitive data, encrypting everything themselves may seem like the safest bet.

However, as Elmallas explains, this option opens up a whole new complex set of considerations.

'It's far easier to get cloud encryption wrong than it is to get it right,' says Elmellas. 'There are a number of areas which pose substantial risk to an organisation's data and the cloud encryption approach. The more complex the cloud infrastructure the more thought needs to be applied to the encryption approach. It’s very easy to get things wrong and impact system integration requirements, speed and search-ability as well as data confidentiality and integrity.'


Going holistic

As for the ‘one size fits all’ approach to encryption offered by most cloud service providers, this just won’t do in an enterprise situation - a holistic method that factors into account the business lifeycle, processes and risks is essential to ensuring the right type of encryption is applied to the right data.

In the simplest generic storage scenario, this means protecting the data at rest, preferably with a key that’s only accessible to the consumer. But when you throw complexity and diversity into the cloud blender, as Elmellas puts it, ‘applying encryption to the soup of data and functionality that now exists in a public facing domain becomes somewhat more of a challenge.’

The issues that must be taken into consideration before encryption is put into place include auditing requirements, monitoring, privileged user control, data flow and work flow. Many factors should be considered so as not to impede access, breach governance or disrupt other vital business functions. 

For instance, a business may apply encryption to sensitive HR data not realising that the finance department interfaces with the data set for payroll purposes on a monthly basis. This could have serious consequences if the encryption mechanisms have not been applied intelligently.

As Trish Reilly, senior product manager for cloud at Voltage Security advises, a cloud security checklist - just like the kind required for uptime or data availability - is a necessary blueprint for the cloud:

‘Think about the ability to control data assets to meet regulations, mitigate data threats and breaches in a way that is agreed upon between all parties, and grant data access to maintain business agility and data availability. The method you choose should allow you to validate and prove to auditors and the QSAs that you have protected the data.’

There are some drawbacks to using encryption in terms of performance: if an organisation’s CPU platform does not have the latest encryption support built into the chip, processes can be slowed down considerably, with an overhead exceeding 40% instead of the standard 2-6%.

‘If you have backup processes that also use encryption, you may be encrypting a file twice and have inefficient de-duplication processes and the resulting higher storage and transfer costs,’ warns Reilly. ‘If you do not have good separation of duties and key management processes in place, the encryption processes may hold risks. And as always; if you lose the key, you will lose access to the data.’


Bearer of the keys

The fundamental issue is whoever has access to the keys, has access to the data, which is why it is industry-recognised best practise to separate key management from the cloud provider to meet enterprise requirements, data residency and many compliance requirements.

But a surprising number of organisations struggle to get to grips with the key management process themselves and should tread carefully. This is why bringing in a third party to share keys with that does not have access to the data itself is often a good option.

Traditional key management concepts such as key renewal, key recovery and escrow will still come into play, however. It may seem obvious, but any form of encryption, cloud or not, is limited by the strength of the encryption key and how well the key is protected.

‘If keys are inherently weak, transmitted insecurely or not rotated properly, the encryption used is flawed, providing a false sense of security,’ warns Elmellas. ‘The key management and access mechanisms must also be easily available to the systems using it, which means it must secure, accessible and fast.'

The limitations around key management are made far worse when encryption is employed in a quick or default manner, says Orlando Scott-Cowley, director of technology marketing at cloud-based information management firm Mimecast.

‘This often occurs when admin try to rush out solutions to solve problems—very often services and software are just configured with default settings and passwords are weak,’ he says ‘Encryption keys are no different, they need to be safely stored and protected in order for the data to remain secure.’

In examples such as static PKI-based approaches, the process imposed around key generation, compromise and destruction is very manual. In many cases, points out Reilly at Voltage, authentication of the key and user is based on endpoint possession of highly secret key material over its long lifecycle - possibly years.

'However trust and authentication is a dynamic problem,' she stresses. 'The risk level in accessing data, and authentication of the person or system is very dynamic in nature.'

Recently an innovative approach to key management known as stateless key management has emerged as a means to simplify data encryption at scale, and to deliver data-centric security more transparently while reducing key management risks.

This method of key management enables keys to be derived as needed, reducing traditional management cost and risks and potentially enabling far simpler key management for the cloud.

'Techniques such as Identity-Based Encryption (IBE) provide stateless key management as a powerful public/private key method for protecting and managing keys in securing unstructured data such as files, emails and large bulk data sets,' explains Reilly.


Killer cloud

Through this method, enterprises are able to retain residency of live information, eliminate the need to store keys in the cloud, locate key management in different geographies, and integrate with authentication and authorisation systems easily.

As well as positive advances such as this, Pete Nicoletti, chief information security officer at cloud platform provider Virustream, sees it likely that organisations will soon benefit from tools that will further simplify the key management process.

'Currently encryption and key management are functions that are managed separately from the Hypervisor Manager, and the management of encryption agents and associated keys requires advanced support, trained personnel and following extensive and strict processes.' says Nicoletti. 'Over the next few years, more robust APIs will be written and used to orchestrate the encryption function programmatically from one, usually simple, interface.'

As far as key management and encryption security as a service in the cloud are concerned, they may become one of those 'killer' cloud services for a select few. But, Ryan Rubin, UK managing director of business consultancy Protiviti, explains, 'We need to be cautious that similar to the promises of PKI several years ago, the market is ready and the technology robust enough to service client demands.'

Compliance standards such as VISA PIN standards, ANSI Key Management Standards, NIST standards, ISO standards and PCI DSS, which are already relatively mature in key management practices, might soon become established benchmarks for regulators to adopt and measure organisations against them.

But whilst the foundations of tools and technology are there to support this market, Rubin believes there is a way to go before key management can mature, and businesses can finally be absolutely certain they have the best key management and encryption system possible:

'Getting key management right is a challenge for many companies and unless appropriate measures are followed – both business operations and technology, establishing a trust in this space will take time and be hard to maintain longer term.'

- See more at: http://www.information-age.com/technology/security/123457820/keys-castle-encryption-cloud#sthash.otOHULsj.dpuf

Autor: 
Posted by Chloe Green
on 18 March 2014

POS - Novo alvo dos Cyber Criminosos #BrutPOS


BrutPOS Botnet Compromises insecure RDP Servers at Point-of-Sale Systems


Thursday, July 10, 2014 Swati Khandelwal

Cyber criminals are infecting thousands of computers around the world with malware and are utilizing those compromised machines to break into Point-of-Sale (PoS) terminals using brute-force techniques, and the attackers have already compromised 60 PoS terminals by brute-force attacks against poorly-secured connections to guess remote administration credentials, says researchers from FireEye.

The new botnet campaign, dubbed as BrutPOS, aims to steal payment card information from the POS systems and and other places where payment data is stored, by targeting Microsoft Remote Desktop Protocol (RDP) servers that were disgracefully using poorly secured and simple passwords.

Due to the better track inventory and accuracy of records, the Point-of-sale (POS) machine is used worldwide and it can be easily set-up, depending on the nature of the business. But, Point-of-sale (POS) systems are critical components in any retail environment and the users are not aware of the emerging threats it poses in near future.

A group of three researchers from FireEye, named Nart Villeneuve, Joshua Homan and Kyle Wilhoit, found 51 out of 60 Remote Desktop Protocol (RDP) servers located in the United States. It is really shamefull that the most common username used by the breached servers was “administrator” and the most common passwords were “pos” and “Password1”.

Researchers at FireEye has uncovered five BrutPOS command-and-control (CnC) servers, three of which are now offline and two are active, both based in Russia, which were set up in late May and early June. Only a small fraction of the bots are active at any given time.

The campaign has been active since at least February this year. According to the latest count, cyber criminals are running 5,622 bots in 119 countries, majority of them appeared to be located in Eastern Europe given the language used in interfaces and logs, most likely Ukraine or Russia.
"The infected system begins to make connections to port 3389; if the port is open it adds the IP to a list of servers to be brute forced with the supplied credentials," FireEye researchers Nart Villeneuve, Josh Homan and Kyle Wilhoit wrote in a blog post. "If the infected system is able to successfully brute force an RDP server, it reports back with credentials."
Once the BrutPOS malware successfully guesses the remote access credentials of an RDP-enabled system, the attacker uses that information to install a malware program on the infected system and then extracts payment card information from the memory of applications running on it.
The malware also attempted to obtain debug permissions likely to identify POS configurations and if it succeeds in getting those permissions, it runs an executable. But if it failed, it copies itself to%WINDIR%\lsass.exe and installed itself as a service.

The FireEye researchers built a honeypot in an effort to understand the attacker’s intentions. They set-up a fake POS software and left some fake credit card details on the desktop, and allow hackers to compromise it. They issued signals mimicking infection and watched as attackers popped its RDP login and crawled around the box attempting to open its installed PoS software before formatting the drive to erase evidence trails.

In past, we have seen many massive data breaches targeting POS machines such as TARGET data breach, the third-largest U.S. Retailer in which over 40 million Credit & Debit cards were stolen, and multiple retailers including Neiman Marcus, Michaels Store involving the heist of possibly 110 million Credit-Debit cards, and personal information.

Fonte: http://thehackernews.com