regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sábado, 13 de setembro de 2014

INSTRUÇÃO NORMATIVA Nº 04 de 12 de novembro de 2010

INSTRUÇÃO NORMATIVA Nº 04 de 12 de novembro de 2010.


Dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Informação e Informática (SISP) do Poder Executivo Federal.



A SECRETÁRIA DE LOGÍSTICA E TECNOLOGIA DA INFORMAÇÃO, 



no uso de

suas atribuições que lhe confere o Decreto 7.063, de 13 de janeiro de 2010, e tendo em vista o disposto na Lei 8.666, de 21 de junho de 1993, na Lei 10.520, de 17 de junho de 2002, no Decreto 1.048, de 21 de janeiro de 1994, no Decreto 2.271, de 7 de julho de 1997, no Decreto 3.555, de 8 de agosto de 2000, no Decreto 3.931, de 19 de setembro de 2001, no Decreto 5.450, de 31 de maio de 2005, e no Decreto nº 7.174, de 12 de maio de 2010, resolve:

                        Art. As contratações de Soluções de Tecnologia da Informação pelos órgãos e entida-  des integrantes do Sistema de Administração dos Recursos de Informação e Informática - SISP serão dis-  ciplinadas por esta Instrução Normativa.
Art. As contratações de Soluções de Tecnologia da Informação pelos órgãos e entida- des integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP serão dis- ciplinadas por esta Instrução Normativa. (Redação dada pela Instrução Normativa 2, de 14 de fevereiro de 2012)

Parágrafo único. O disposto nesta Instrução Normativa não se aplica:

I  - às contratações em que a contratada for órgão ou entidade, nos termos do art. 24, inciso VIII da Lei 8.666, de 1993, ou Empresa Pública, nos termos do art. da Lei 5.615, de 13 de outubro de 1970, modificado pela Lei 12.249, de 11 de junho de 2010; e

II - às contratações cuja estimativa de preços seja inferior ao disposto no art. 23, inciso II, alínea "a" da Lei 8.666, de 1993.

sexta-feira, 12 de setembro de 2014

Substituindo certificados com Algoritmo SHA-1 por SHA-2


A Microsoft e o Google anunciaram seus planos para a desativação de certificados digitais SSL que utilizam o algoritmo SHA-1

Essa iniciativa gera mais segurança aos usuários da rede, visa reduzir o suporte aos chamados em função dos certificados SSL, acompanha a determinação dos líderes das indústrias de Autoridades Certificadoras e  Browser - Certification Authority / Browser (CA / B) Fórum e é o que recomenda o NIST (National Institute of Standards and Technology)

Após 31 de dezembro de 2015 os sites protegidos com certificados SHA-1 deixam de ter a proteção do SSL, pois os navegadores do Google não reconhecerão esses certificados como válidos.

Mas atenção: a partir de novembro de 2014, os navegadores Chrome versão 39 passarão a sinalizar alertas aos seus usuários:

SEGURO - com pequenos erros (imagem com triângulo amarelo)

SEM SEGURANÇA - (ícone de página em branco)

INSEGURO - (fechamento com um X vermelho)

Essas imagens serão exibidas aos usuários que acessarem os sites com certificados SSL SHA-1 com validade para além de 1 de janeiro de 2016 com navegadores Chrome 39.

A versão de produção do Chrome 39 está prevista para ser lançada em novembro de 2014.

No auge das compras de Black Friday e Natal.

Já a Microsoft informou que o Windows vai deixar de aceitar certificados SSL SHA-1 em 1 de janeiro de 2017.

Os planos de descontinuação do algoritmo SHA-1 também impactam os certificados digitais das Autoridades Certificadoras que terão que utilizar certificados intermediários SHA-2 para não quebrarem a cadeia de confiança que vai da AC Raiz aos usuários finais passando por seus navegadores.

Como a tecnologia evolui, é fundamental estar à frente daqueles que desejam derrotar tecnologias de criptografia em seu benefício malicioso.

A Symantec saiu na frente e está ajudando a tornar a Internet mais segura, permitindo de forma proativa, promover e elevar fortes padrões de criptografia dentro de SSL / TLS e certificados de assinatura de código.

Como parte desse esforço, a Symantec já está operando  e emitindo certificados digitais SHA-2 que estão disponíveis para a substituição sem custo adicional para seus clientes.

A iniciativa de migrar de SHA-1 para SHA-256 (SHA-2) sem custo é a contribuição da Symantec e de suas revendas espalhadas no mundo todo que aderirem ao programa de remissão gratuita para elevar o nível de segurança em sites seguros, comunicações de intranet e aplicativos.

Os certificados SHA-1 ainda podem ser emitidos, mas eles não devem exceder a validade além 31 de dezembro de 2015.

"Recomendamos fortemente aos clientes que  façam rapidamente um inventário de seus certificados SSL para efetuar a migração dos certificados com algoritmos SHA-1." Diz William Bergamo, presidente da  e-Safer - revenda Symantec no Brasil.

Hoje, dia 12 de setembro, falei pela manhã com William e ele me disse que a e-Safer foi uma das primeiras revendas da Symantec que aderiu a reemissão dos certificados SSL sem nenhum custo, mesmo que o cliente tenha adquirido os certificados em outra revenda Symantec.

"Como consultores em projetos de segurança da informação temos muita experiência para orientar o mercado nesse procedimentos me disse Willian Bergamo que me garantiu que o processo para reemissão será simples, mas os técnicos precisam estar muito atentos aos detalhes, por exemplo, se seus atuais servidores suportarão o algoritmo SHA-2.

Aqui estão alguns recursos para ajudar com a sua migração que a Symantec divulgou hoje nos USA:

- Teste para SHA-2 compatibilidade em aplicações exclusivas

- Identificar os certificados que têm um algoritmo SHA-1 utilizando o Toolbox SSL

- Saiba como gerar um novo certificado de assinatura Request (CSR)

- Obter instruções de instalação para certificados SSL

- Saiba como: instalar facilmente uma CSR em Microsoft IIS 6.0 ou 7.0 ou Red Hat usando servidores Assistente SSL

A e-Safer respondeu a alguma perguntas que fiz a eles.

O que acontecerá com os sites que possuem certificados SSL  SHA-1?
Resposta: Os usuários que utilizarem o navegador Chrome 39 a partir de novembro de 2014 receberão alertas que o site não é totalmente seguro.

A partir de 1 de janeiro de 2017, os navegadores Chrome e Microsoft não fecharão mais a conexão SSL com os certificados com algoritmo SHA-1.

O que devem fazer os administradores dos sites?
Resposta: Faça um inventário de seus certificados e planeje a migração dos certificados SSL SHA-1 antes de novembro de 2014.

Existe um custo para substituir um certificado afetada?
Resposta: A e-Safer com apoio da Symantec substituirá os certificados sem custo adicional.

O Algoritimo SHA-1 ainda é seguro? Por que os clientes precisam migrar? 

Resposta: Esses procedimentos fazem parte de um movimento mundial orquestrado pelas organizações líderes da indústria vinculados ao Certification Authority / Browser (CA / B) Fórum e estão proativamente buscando formas de ajudar os clientes a proteger seus ambientes e infra-estrutura. O Algoritmo SHA-1 tem sido um padrão da indústria amplamente aceito, no entanto, o algoritmo SHA-2 contém uma série de melhorias para reforçar a segurança. Além disso, o Instituto Nacional de Padrões (NIST) recomendou seu uso em vez de SHA-1.

A migração do algoritmo SHA-1 se aplica aos certificados de assinatura de código?
Resposta: Sim. Embora os certificados de assinatura de código não serão afetados pelos navegadores do Google, eles serão afetados pelos planos da Microsoft.

Quando os clientes devem migrar?
Resposta: Os clientes devem substituir os certificados que expiram depois de 31 dezembro de 2015, imediatamente ou até Novembro de 2014.

Todos os servidores suportam o certificado de SHA-2?
Resposta: Não. Cheque agora a documentação do seu servidor para garantir que ele suporta um certificado de SHA-2. Por isso, é importante não deixar tudo para cima da hora, pois se você tiver que providenciar novos servidores isso não ocorrerá da noite para o dia.

O que fazer se ainda tenho dúvidas?

Resposta:  Deixe um comentário logo abaixo, envie um e-mail para mim  rtupinamba@gmail.com ou ligue diretamente para a  e-Safer  Tel.: +55 11 3576-4539 / comercial@e-safer.com.br/ www.e-safer.com.br 

List of Operating Systems, Browsers, and Servers Which Support SHA-256 Hashes in SSL Certificates

List of Operating Systems, Browsers, and Servers Which Support SHA-256 Hashes in SSL Certificates


Revised as of: September 8, 2014

The CA Security Council (CASC) has compiled the following lists of operating systems (OS), browsers, and servers which we believe support SHA-256 hashing in SSL certificates, as well as a partial list of servers which apparently do not.  We are providing these lists as a starting point to help enterprises check their systems for SHA-256 compliance.
These lists were compiled from various sources as listed below.  CASC has not independently tested the reported data and cannot guarantee that all entries on the lists are accurate. In preparing your systems to be SHA-256 compliant, CASC recommends you independently research your own operating systems, browsers, and servers and obtain confirmation from your vendors before proceeding.

OS, Browsers, and Servers which reportedly support SHA-256 in their entirety


Operating Systems/Other – support SHA-256

Android 2.3+
Apple iOS 3.0+ Apple OS X 10.5+ Blackberry 5.0+ ChromeOS Windows 7
Windows Outlook 2003+ running on Service Pack 3 (partial), complete on Windows Vista
Windows Phone 7+
Windows Server 2003 SP2 +Hotfixes (Partial) Windows Server 2003 with MS13-095 installed Windows Server 2008
Windows Server 2008 R2 Windows Vista
Windows XP SP3+

Browserssupport SHA-256


Adobe Acrobat/Reader 7
Blackberry 5+
Chrome 26+ Chrome under Linux
Chrome under Mac from Mac OS X 10.5


Chrome under Windows Vista and higher Firefox 1.5+
Internet Explorer 7+ and higher Internet Explorer 7+ under Vista
Internet Explorer 7+ under Windows XP SP3 Java 1.4.2+ based products
Konqueror 3.5.6+
Mozilla 1.4+
Mozilla products based on NSS 3.8+ (since April 2003) Netscape 7.1+
Opera 9.0+
Products based on OpenSSL 0.9.8o+ Safari from Mac OS X 10.5+ Windows Phone 7+

Serverssupport SHA-256


Adobe Acrobat/Reader 7
Blackberry 5+
Chrome 26+ Chrome under Linux
Chrome under Mac from Mac OS X 10.5 Chrome under Windows Vista and higher Firefox 1.5+
Citrix Receiver modelssee URL* Internet Explorer 7+ and higher Internet Explorer 7+ under Vista
Internet Explorer 7+ under Windows XP SP3 Java 1.4.2+ based products
Konqueror 3.5.6+
Mozilla 1.4+
Mozilla products based on NSS 3.8+ (since April 2003) Netscape 7.1+
Opera 9.0+
Products based on OpenSSL 0.9.8o+ Safari from Mac OS X 10.5+ Windows Phone 7+


Servers which reportedly DO NOT support SHA-256 in their entirety


Servers Juniper SBR IBM Domino
Citrix Receiver modelssee URL* Linux 13.0
IOS 5.8.3
Android 3.4.13


HTML 5 1.2
Playbook 1.0
Blackberry 2.2 / BlackBerry 1.0 Tech Preview Cisco ACE module software versions A2 and A3

*Citrix Receiver models URL (see table):  http://www.citrix.com/content/dam/citrix/en_us/documents/products-solutions/citrix- receiver-feature-matrix.pdf?accessmode=direct


Sources:
https://support.globalsign.com/customer/portal/articles/1499561-sha-256-compatibility http://www.entrust.com/should-you-use-sha-2/


Fonte: CASC'S

quinta-feira, 11 de setembro de 2014

The HTTPS Phishing Websites will double by the end of 2014


According to the investigation conducted by experts at TrendMicro the number of HTTPS phishing sites is increasing and it will double by the end of 2014.

HTTPS

Google considers security a top priority for this reason the company is starting to use HTTPS as a ranking signal. The scope is to encourage the adoption of HTTPS, but the effort was understood by the cyber criminal ecosystem which is improving its techniques. Recently, experts at TrendMicro have discovered a phishing site using HTTPS and the case isn’t isolated, the number of phishing websites is increasing and researchers believe it can double for the end of the 2014.

The experts are also observing the adoption of HTTPS for mobile phishing. As explained by Paul Pajares, Fraud Analyst at TrendMicro, use HTTPS for phishingactivities doesn’t need a supplementary effort for cyber criminals, they can either compromise sites that already use HTTPS, or use legitimate websites that already use HTTPS.


“One of the reasons for this spike is that it is easy for cybercriminals to create websites that use HTTPS: they can either compromise sites that already use HTTPS, or use legitimate hosting sites or other services that already use HTTPS. There is no need for the cybercriminals to acquire their own SSL certificate, since they have just abused or compromised servers that do have valid certificates.” reports the blog post published by TrendMicro.






The post mention the case of a PayPal phishing page recently discovered, the threat actor used HTTPS and valid certificates and deployed the malicious page on a legitimate site that has been compromised. Looking for the “HTTPS” and lock icon in the address is not enough to trust a website, the only way to avoid to be victimized by this type of attacks is to carefully check the digital certificate presented by the website, it must be still valid and its common name is usually the same of the domain name.

The experts recommended not to use mobile devices for transactions outside authorizes apps from legitimate sources, but let me also add that many mobile applications lack in a correct management of SSL certificates advantaging the work of the attackers.


“We recommend that users need to check (via a search engine) that they actually are at the same URL of the company’s site. For example, users search PayPal in any trusted search engines if the URL received or accessed by the user is different from the site they’ve found through search engines, despite that it’s “https” and has “padlock” icon, then it’s probably a malicious site. If it is popular banks or financial institutions, the legitimate site will always appear as a top result. The next step is to check for certificate validity. Compromised HTTPS sites may have valid certificates, but users can still check the Certificate Common Name and organization before giving out login credentials. Note that certificate authorities have not issued certificates for malicious sites. The same thing could be said for desktops PCs.” recommended the post.

According to data provided by TrendMicro, US is the top affected country that visit HTTPS phishing sites (38,38), Brazil and Japan follow it at a distance in the ranking.



With the increasing use of SSL it is important to be aware that threat actors are anyway able to operate.

Pierluigi Paganini

Brasil é o segundo país mais afetado por sites de phishing HTTPS

O Google recentemente anunciou que melhoraria o ranking de busca de sites HTTPS em seu motor de busca. Isso pode incentivar os proprietários de sites a mudar de HTTP para HTTPS, e também os cibercriminosos.


Os países mais afetados onde há mais visitas a sites de phishing HTTPS são Estados Unidos, Brasil e Japão.

Recentemente, a Trend Micro – líder em segurança na era da nuvem – descobriu um caso em que usuários buscavam a versão segura de um site de jogos, mas eram direcionados a um site de phishing. A empresa pesquisou os sites de phishing que usavam HTTPS e foram bloqueados pela tecnologia de reputação web da Trend Micro entre 2010 e 2014. Com base nessa investigação, é possível perceber que o número de sites de phishing está aumentando e a expectativa é que dobre nesta última parte do ano, devido à temporada de feriados.

Uma das razões para esse aumento é que é fácil para os cibercriminosos criarem sites que usam HTTPS: eles podem comprometer sites que já usam HTTPS, ou usar sites legítimos de hospedagem ou outros serviços que já utilizam HTTPS. Não há a necessidade de adquirir seu próprio certificado SSL, uma vez que eles abusam e ou comprometem servidores que têm certificados válidos.

Esta técnica de aproveitamento relacionado também pode ser vista em phishing para dispositivos móveis. Recentemente, a Trend Micro encontrou uma página de phishing relacionada ao Paypal, que empregava HTTPS e certificados válidos. Aparentemente, a página falsa estava hospedada em um site legítimo, o que sugere que o mesmo foi comprometido.

Para detectar se um determinado site é um site de phishing, os usuários precisam verificar a validade do certificado e procurar pelo nome para o qual ele é emitido, normalmente o mesmo nome do domínio. Na imagem, mobile.paypal.com é o nome para o qual o certificado foi emitido e a organização é a Paypal, Inc. O certificado do site de phishing não tem essas características.

Neste ataque de phishing em dispositivos móveis, buscar o "HTTPS" e o ícone do cadeado na barra de endereços antes de fornecer qualquer tipo de credenciais não é o suficiente. Alguns dos navegadores em dispositivos móveis não necessariamente mostram o cadeado que representa o SSL facilmente. Por exemplo, o navegador do Windows para dispositivos móveis (Internet Explorer), mostra o ícone do cadeado, mas os usuários não podem clicar sobre ele para ver os detalhes do certificado.

Conforme mais e mais sites usam SSL devido ao aumento que ele proporciona nos rankings de busca do Google, os usuários terão que tomar consciência de que o cadeado do HTTPS não é mais um sinal de que estão visitando um site seguro. Eles devem, primeiramente, verificar a validade do certificado, antes de prosseguir para a inserção de credenciais e informações de identificação pessoal. Além disso, também é recomendável que não sejam realizadas transações, a não ser em aplicativos autorizados e de fontes legítimas em dispositivos móveis.

Sobre a Trend Micro

A Trend Micro Incorporated, líder global em segurança em nuvem, proporciona a empresas e consumidores um mundo seguro para a troca de informações digitais, por meio da segurança para conteúdo na internet e gerenciamento de ameaças.
Com mais de 20 anos de experiência, a empresa é pioneira em segurança para servidor. Nós oferecemos segurança altamente conceituada, baseada em cliente, servidor e em nuvem, que atende às necessidades de nossos consumidores e parceiros, impede ameaças mais rápido e protege dados em ambientes físicos, virtualizados e em nuvem.

Potencializados pela infraestrutura Trend Micro™ SmartProtection Network™, nossos produtos, serviços e segurança, líderes na indústria de cloud-computing, impedem a ação de ameaças de onde quer que elas surjam, na internet, com o apoio de mais de 1.200 especialistas em inteligência de ameaças em todo o mundo. Para informações adicionais, visite www.trendmicro.com.

Fonte: Brasil é o segundo país mais afetado por sites de phishing HTTPS

Leia Também

The HTTPS Phishing Websites will double by the end of 2014


NFC-e - Receita divulga lista de empresas do varejo que passarão emitir NFC-e


A Secretaria de Estado da Receita (SER) divulgou a lista inicial de empresas varejistas que vão passar a emitir a Nota Fiscal de Consumidor Eletrônica (NFC-e), a partir de janeiro de 2015. 

Ao todo, 117 estabelecimentos do varejo no Estado passarão a emitir a nota do comprovante por meio eletrônico. 
 
O critério utilizado pela Receita Estadual para a lista é a do faturamento anual superior a R$ 25 milhões das empresas do varejo no ano de 2013, como já estava estabelecida pela portaria 117, publicada no Diário Oficial do Estado em 27 de maio deste ano. Além delas, a partir de janeiro passarão também emitir NFC-e os novos estabelecimentos com inscrição estadual no setor do varejo, com faturamento superior a R$ 120 mil por ano. 

A lista completa das 117 empresas do varejo e as orientações aos contribuintes sobre a chegada da NFC-e poderão ser consultadas na página da Receita Estadual no endereço: 

http://www.receita.pb.gov.br/portalnfce


DISPENSA DA IMPRESSORA ECF - implantação do novo serviço do da Nota Fiscal de Consumidor Eletrônica (NFC-e), que será uma alternativa eletrônica para os atuais documentos fiscais utilizados pelo varejo, tem como objetivo reduzir os custos aos contribuintes com a dispensa do uso de impressora fiscal ECF (Emissor do Cupom Fiscal), criando a possibilidade de abrir novos caixas de pagamento com impressoras não fiscais. 

Já o consumidor, além da compra ficar mais simplificada, terá a facilidade de acesso aos documentos fiscais, que ficarão arquivados de forma eletrônica, no portal da SER, o que vai garantir autenticidade de sua transação comercial. Na prática, o consumidor passa a ter acesso ao documento fiscal na hora que precisar e não há necessidade do uso de papel, mas a empresa continua sendo obrigada a imprimir de impressoras convencionais, que têm menor custo.


Em julho deste ano, a Receita Estadual lançou o projeto piloto da Nota Fiscal de Consumidor Eletrônica (NFC-e). Três empresas varejistas do Estado participam da fase experimental do projeto, que acontece até o final deste mês de setembro: Armazém Paraíba, do Grupo N. Claudino, a Esposende, do Grupo Paquetá e a empresa de informática João Oliveira Alves do município de Guarabira.

De acordo com o cronograma da Receita Estadual para a implantação do sistema da Nota Fiscal de Consumidor Eletrônica (NFC-e), no período de outubro a dezembro deste ano será a fase da adesão facultativa, onde empresas poderão aderir facultativamente à emissão de notas eletrônicas destinadas aos consumidores a critério da Receita Estadual. Em um período de três anos, haverá uma migração de todos os estabelecimentos do varejo com inscrição estadual para a NFC-e.


LEITURA EM QR CODE - Com o serviço da NFC-e em produção, a tecnologia será um aliado dos contribuintes e consumidores. O consumidor poderá fazer a leitura pelo QR Code impresso no documento emitido na hora da compra, via smartphones ou tablets, para ter as informações eletronicamente armazenadas no portal da SER. O cliente também poderá consultar a nota no Portal ou receber tudo via e-mail. O código QR-Code será impresso no Documento Auxiliar da Nota Fiscal de Consumidor Eletrônica (DANFE NFC-e), que conterá mecanismo de autenticação digital, baseado em código de segurança fornecido pela SER ao contribuinte.

De acordo com as regras e o cronograma da Portaria da Receita Estadual já publicada no Diário Oficial do Estado, em um período de três anos haverá uma migração de todos os estabelecimentos do varejo com inscrição estadual, obrigados ao ECF, para o sistema da Nota Fiscal de Consumidor Eletrônica (NFC-e).


Fonte: SEFAZ-PB
Postado por Tadeu de Sousa Cardoso em 11 setembro 2014 às 8:00