regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sexta-feira, 29 de agosto de 2014

Heartbleed a maior vulnerabilidade de 2014

Até agora, a divulgação da vulnerabilidade Heartbleed na biblioteca OpenSSL tem sido o fator de maior atenção no setor de segurança em 2014.

Uma das lições aprendidas, segundo Horacek da MSS na publicação da IBM X-Force Threat Intelligence Quarterly, é que o fenômeno vem em forma de mitigação das ameaças.

Logo após a divulgação da brecha de segurança seguida das orientações para gerenciamento e correções dos possíveis danos causados pelo Heartbleed, foi quando ocorreram os maiores incidentes se utilizando dessa vulnerabilidade.

Nesse momento ocorreu uma corrida de ambos os lados. As empresas, de um lado, para entender e neutralizar o problema e de outro os hackers para se aproveitarem dessa janela de vulnerabilidade. Uma corrida contra o tempo.

Os vetores de ataque se concentraram em um dia para os hackers, que se aproveitam da janela de exposição entre quando as brechas foram anunciadas até a reparação dos sistemas vulneráveis. Esta foi a saga do Heartbleed. Apenas um dia após a divulgação, uma ferramenta capaz de explorar o bug Heartbleed possibilitando a prova-de-conceito começou a circular, expondo sistemas desatualizados para os atacantes qualificados e não qualificados também.

Segundo Horacek, responsável pela unidade da IBM em sua divisão de Managed Security Services (MSS), em particular os hackers foram muito rápidos e imediatamente após o anúncio da vulnerabilidade exploraram o bug em uma escala global. “Em 15 de abril, a MSS testemunhou o maior pico de atividade em toda a base de clientes, com mais de 300.000 ataques no período de 24 horas. Isso corresponde a uma média de 3,47 ataques por segundo para centenas de clientes.”

Fora o Heartbleed, no primeiro semestre de 2014, a IBM informou que detectou cerca de 3.900 novas vulnerabilidades de segurança que afetam aproximadamente 1.000 fornecedores distintos. Dito isto, uma boa notícia no relatório é o fato de que menos vulnerabilidades estão por vir até o final do ano.

A IBM estabeleceu seis estratégias para que as empresas reduzam os ataques de um dia:

1. mantenha-se com inteligência de ameaças

2. tenha uma solução de patch que contemple toda sua infraestrutura

3. implemente sistemas de detecção up-to-date

4. manteha um inventário de ativos atualizados e precisos

5. implemente controles de mitigação, como firewalls, sistemas de prevenção de intrusão e proteção de endpoint.

"Quando uma vulnerabilidade crítica é divulgada, você não tem tempo para tentar descobrir onde seus ativos expostos, vulneráveis ​​estão localizados", disse Horacek. "

Os atacantes estão envolvidos na mesma busca, e uma defesa eficaz não deve ser uma corrida para a descoberta. Como defensor, esta é uma área onde você deve ter a posição superior.

As empresas também devem criar e praticar um plano de resposta a incidentes amplo. "Todas as atividades relacionadas com divulgações de vulnerabilidades e ataques de ativos deve ser guiada por processos que envolvem todos os níveis da sua organização e guiada por procedimentos claros para uma variedade de situações," Horacek aconselhou. "

Teste continuamente seus os procedimentos de segurança para se certificar de que você terá agilidade numa emergência real.

Artigo escrito com base na publicação BM X-Force Threat Intelligence Quarterly.

quinta-feira, 28 de agosto de 2014

Nova regulamentação da assinatura digital na Europa



28 DE AGOSTO DE 2014 / Por RENATO MARTINI

Publicada hoje a nova regulamentação para assinatura digital e temas conexos para a Comunidade européia. Ele irá revogar a antiga Diretiva de 1999.

REGULAMENTO (UE) N.o 910/2014 DO PARLAMENTO EUROPEU E DO CONSELHO

de 23 de julho de 2014

relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 114.o,
Tendo em conta a proposta da Comissão Europeia,
Após transmissão do projeto de ato legislativo aos parlamentos nacionais,
Tendo em conta o parecer do Comité Económico e Social Europeu (1),
Deliberando nos termos do processo legislativo ordinário (2),
Considerando o seguinte:
(1)
Criar confiança no ambiente em linha é fundamental para o desenvolvimento económico e social. A falta de confiança, nomeadamente devido à perceção de incerteza jurídica, leva os consumidores, as empresas e as autoridades públicas a hesitarem em realizar transações por via eletrónica e em adotar novos serviços.
(2)
O presente regulamento pretende reforçar a confiança nas transações eletrónicas no mercado interno criando uma base comum para a realização de interações eletrónicas em condições seguras entre os cidadãos, as empresas e as autoridades públicas, aumentando assim a eficácia dos serviços públicos e privados em linha, os negócios eletrónicos e o comércio eletrónico na União.
(3)
A Diretiva 1999/93/CE do Parlamento Europeu e do Conselho (3) trata das assinaturas eletrónicas sem oferecer um quadro transfronteiriço e transetorial geral que garantisse a segurança, a fiabilidade e a facilidade de realizações das transações eletrónicas. O presente regulamento melhora e desenvolve as disposições daquela diretiva.
(4)
A comunicação da Comissão, de 26 de agosto de 2010, intitulada «Agenda Digital para a Europa», apontou a fragmentação do mercado digital, a falta de interoperabilidade e o aumento da cibercriminalidade como os principais obstáculos ao ciclo virtuoso da economia digital. No seu Relatório de 2010 sobre a Cidadania da União, com o título «Eliminar os obstáculos ao exercício dos direitos dos cidadãos da UE», a Comissão sublinhou ainda a necessidade de resolver os principais problemas que impedem os cidadãos da União de colher os benefícios do mercado único digital e dos serviços digitais transfronteiriços.
(5)
Nas suas conclusões de 4 de fevereiro de 2011 e de 23 de outubro de 2011, o Conselho Europeu convidou a Comissão a criar um mercado único digital até 2015, a avançar rapidamente em áreas fundamentais da economia digital e a promover um mercado único digital completamente integrado, facilitando para isso a utilização transfronteiriça dos serviços em linha e, em particular, a identificação e a autenticação eletrónicas em condições seguras.
(6)
Nas suas conclusões de 27 de maio de 2011, o Conselho convidou a Comissão a contribuir para o mercado único digital criando as condições necessárias para o reconhecimento mútuo transfronteiriço de tecnologias facilitadoras fundamentais, como a identificação eletrónica, os documentos eletrónicos, as assinaturas eletrónicas e os serviços de entrega eletrónica, e para a implantação de serviços de administração pública em linha interoperáveis em toda a União Europeia.
(7)
O Parlamento Europeu, na sua resolução de 21 de setembro de 2010 sobre a realização do mercado interno do comércio eletrónico (4), realçou a importância da segurança dos serviços eletrónicos — em especial, os de assinaturas eletrónicas — e a necessidade de criar uma infraestrutura de chave pública a nível pan-europeu e instou a Comissão a criar um portal europeu para as autoridades de validação, a fim de assegurar a interoperabilidade transfronteiriça das assinaturas eletrónicas e aumentar a segurança das transações efetuadas através da Internet.
(8)
A Diretiva 2006/123/CE do Parlamento Europeu e do Conselho (5) exige que os Estados-Membros criem «balcões únicos» para garantir que todas as formalidades e procedimentos relativos ao acesso às atividades de prestação de serviços e ao seu exercício possam ser facilmente cumpridos, à distância e por meios eletrónicos, por intermédio do balcão único e com as autoridades competentes. Muitos dos serviços em linha acessíveis através dos balcões únicos exigem a identificação, autenticação e assinatura eletrónica.
(9)
Na maioria dos casos, os cidadãos não podem utilizar a sua identificação eletrónica para procederem à autenticação noutro Estado-Membro porque os sistemas nacionais de identificação eletrónica do seu país não são reconhecidos noutros Estados-Membros. Este obstáculo de cariz eletrónico impede os prestadores de serviços de tirarem pleno partido das vantagens do mercado interno. A existência de meios de identificação eletrónica mutuamente reconhecidos facilitará a prestação de numerosos serviços no mercado interno a nível transfronteiriço e permitirá que as empresas desenvolvam as suas atividades numa base transfronteiriça sem encontrarem muitos obstáculos nas suas interações com as autoridades públicas.
(10)
A Diretiva 2011/24/UE do Parlamento Europeu e do Conselho (6) institui uma rede de autoridades nacionais responsáveis pela saúde em linha. Para reforçar a segurança e a continuidade dos cuidados de saúde transfronteiriços, esta rede deve estabelecer orientações sobre o acesso aos dados e serviços eletrónicos de saúde além-fronteiras, nomeadamente apoiando «medidas comuns de identificação e autenticação destinadas a facilitar a transferência dos dados no âmbito de cuidados de saúde transfronteiriços». O reconhecimento mútuo da identificação e autenticação eletrónicas é fundamental para tornar a prestação de cuidados de saúde aos cidadãos europeus a nível transnacional uma realidade. Quando as pessoas se deslocam a outro país para receberem tratamento, é necessário que os seus dados médicos estejam acessíveis nesse país. Para isso, é indispensável que exista um quadro sólido, seguro e de confiança para a identificação eletrónica.
(11)
O presente regulamento deverá ser aplicado no pleno cumprimento dos princípios relativos à proteção de dados pessoais, nos termos da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (7). Nesta matéria, tendo em conta o princípio de reconhecimento mútuo estabelecido pelo presente regulamento, a autenticação para acesso a um serviço em linha deverá dizer respeito ao tratamento apenas dos dados de identificação que sejam adequados, pertinentes e não excessivos para conceder acesso ao serviço em linha em causa. Além disso, os requisitos previstos na Diretiva 95/46/CE em matéria de confidencialidade e segurança do tratamento dos dados deverão ser respeitados pelos prestadores de serviços de confiança e pelas entidades supervisoras.

Continue lendo direto no blog do Dr. Renato Martini

segunda-feira, 25 de agosto de 2014

Brasil exporta módulos de criptografia para Arábia Saudit



O Brasil continua exportando equipamentos de segurança da informação de altíssima tecnologia, enquanto especialistas de todos os níveis afirmam com certa frequência que o país não tem as soluções de ponta e por isso as importa.

Uma das exportações mais recentes é da Kryptus, de Campinas (SP): ela comercializou módulos de segurança criptográficos (hardware security modles ou HSMs) para a Arábia Saudita, depois de já ter ganho mercados na Finlândia e na Venezuela.


Roberto Gallo, o diretor-executivo e cientista chefe da Kryptus, disse ao Cibersecurity: “Isso é uma demonstração clara das capacidades tecnológicas que estão no Brasil — e mostra também um cenário inusitado: uma empresa nacional exportando equipamento de TI para mercados mais competitivos.

Do nosso ponto de vista, isso só é possível porque temos um mote interno que é o seguinte: tecnologia nacional com qualidade internacional”. Vários motivos, segundo Gallo, foram listados pelos clientes para a escolha da Kryptus como fornecedor da solução de segurança: “Esses motivos são desde o desempenho e funcionalidade até o fato de o Brasil não ser membro da OTAN, o que torna nossas soluções mais confiáveis ponto de vista de vários mercados”.

Como a OTAN é liderada pelos Estados Unidos, os equipamentos de segurança fabricados nos países-membros estão sujeitos a um certo grau de desconfiança, desde que Edward Snowden denunciou as operações internacionais de espionagem da NSA.
O HSM permite a criação e o armazenamento de chaves criptográficas em um ambiente seguro, protegendo-as contra ataques lógicos e físicos. A versão SE (Secure Execution) também permite o armazenamento e execução segura de aplicativos do usuário dentro do equipamento, segundo informações da Kryptus.

A empresa é uma das poucas brasileiras classificadas pelo governo como “Empresa Estratégica de Defesa” e eleita [nomeada] pelo Gartner como “Cool Vendor Brazil 2014″; já em 2007 foi a pioneira na área de semicondutores para aplicações criptográficas no país com o primeiro processador-acelerador AES (Advanced Encryption Standard) do mercado brasileiro.


Fonte: Paulo Brito em 23/08/2014 em Ciberdefesa