INSTRUÇÃO NORMATIVA Nº 04 de 12 de novembro de 2010

INSTRUÇÃO NORMATIVA Nº 04 de 12 de novembro de 2010.

Dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Informação e Informática (SISP) do Poder Executivo Federal.

A SECRETÁRIA DE LOGÍSTICA E TECNOLOGIA DA INFORMAÇÃO, 

no uso de

suas atribuições que lhe confere o Decreto nº 7.063, de 13 de janeiro de 2010, e tendo em vista o disposto na Lei nº 8.666, de 21 de junho de 1993, na Lei nº 10.520, de 17 de junho de 2002, no Decreto nº 1.048, de 21 de janeiro de 1994, no Decreto nº 2.271, de 7 de julho de 1997, no Decreto nº 3.555, de 8 de agosto de 2000, no Decreto nº 3.931, de 19 de setembro de 2001, no Decreto nº 5.450, de 31 de maio de 2005, e no Decreto nº 7.174, de 12 de maio de 2010, resolve:

                        Art. 1º As contratações de Soluções de Tecnologia da Informação pelos órgãos e entida-  des integrantes do Sistema de Administração dos Recursos de Informação e Informática - SISP serão dis-  ciplinadas por esta Instrução Normativa.

Art. 1º As contratações de Soluções de Tecnologia da Informação pelos órgãos e entida- des integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP serão dis- ciplinadas por esta Instrução Normativa. (Redação dada pela Instrução Normativa Nº 2, de 14 de fevereiro de 2012)

Parágrafo único. O disposto nesta Instrução Normativa não se aplica:

I  - às contratações em que a contratada for órgão ou entidade, nos termos do art. 24, inciso VIII da Lei nº 8.666, de 1993, ou Empresa Pública, nos termos do art. 2º da Lei nº 5.615, de 13 de outubro de 1970, modificado pela Lei nº 12.249, de 11 de junho de 2010; e

II - às contratações cuja estimativa de preços seja inferior ao disposto no art. 23, inciso II, alínea "a" da Lei nº 8.666, de 1993.

Substituindo certificados com Algoritmo SHA-1 por SHA-2

A Microsoft e o Google anunciaram seus planos para a desativação de certificados digitais SSL que utilizam o algoritmo SHA-1

Essa iniciativa gera mais segurança aos usuários da rede, visa reduzir o suporte aos chamados em função dos certificados SSL, acompanha a determinação dos líderes das indústrias de Autoridades Certificadoras e  Browser - Certification Authority / Browser (CA / B) Fórum e é o que recomenda o NIST (National Institute of Standards and Technology)

Após 31 de dezembro de 2015 os sites protegidos com certificados SHA-1 deixam de ter a proteção do SSL, pois os navegadores do Google não reconhecerão esses certificados como válidos.

Mas atenção: a partir de novembro de 2014, os navegadores Chrome versão 39 passarão a sinalizar alertas aos seus usuários:

SEGURO - com pequenos erros (imagem com triângulo amarelo)

SEM SEGURANÇA - (ícone de página em branco)

INSEGURO - (fechamento com um X vermelho)

Essas imagens serão exibidas aos usuários que acessarem os sites com certificados SSL SHA-1 com validade para além de 1 de janeiro de 2016 com navegadores Chrome 39.

A versão de produção do Chrome 39 está prevista para ser lançada em novembro de 2014.

No auge das compras de Black Friday e Natal.

Já a Microsoft informou que o Windows vai deixar de aceitar certificados SSL SHA-1 em 1 de janeiro de 2017.

Os planos de descontinuação do algoritmo SHA-1 também impactam os certificados digitais das Autoridades Certificadoras que terão que utilizar certificados intermediários SHA-2 para não quebrarem a cadeia de confiança que vai da AC Raiz aos usuários finais passando por seus navegadores.

Como a tecnologia evolui, é fundamental estar à frente daqueles que desejam derrotar tecnologias de criptografia em seu benefício malicioso.

A Symantec saiu na frente e está ajudando a tornar a Internet mais segura, permitindo de forma proativa, promover e elevar fortes padrões de criptografia dentro de SSL / TLS e certificados de assinatura de código.

Como parte desse esforço, a Symantec já está operando  e emitindo certificados digitais SHA-2 que estão disponíveis para a substituição sem custo adicional para seus clientes.

A iniciativa de migrar de SHA-1 para SHA-256 (SHA-2) sem custo é a contribuição da Symantec e de suas revendas espalhadas no mundo todo que aderirem ao programa de remissão gratuita para elevar o nível de segurança em sites seguros, comunicações de intranet e aplicativos.

Os certificados SHA-1 ainda podem ser emitidos, mas eles não devem exceder a validade além 31 de dezembro de 2015.

"Recomendamos fortemente aos clientes que  façam rapidamente um inventário de seus certificados SSL para efetuar a migração dos certificados com algoritmos SHA-1." Diz William Bergamo, presidente da  e-Safer - revenda Symantec no Brasil.

Hoje, dia 12 de setembro, falei pela manhã com William e ele me disse que a e-Safer foi uma das primeiras revendas da Symantec que aderiu a reemissão dos certificados SSL sem nenhum custo, mesmo que o cliente tenha adquirido os certificados em outra revenda Symantec.

"Como consultores em projetos de segurança da informação temos muita experiência para orientar o mercado nesse procedimentos me disse Willian Bergamo que me garantiu que o processo para reemissão será simples, mas os técnicos precisam estar muito atentos aos detalhes, por exemplo, se seus atuais servidores suportarão o algoritmo SHA-2.

Aqui estão alguns recursos para ajudar com a sua migração que a Symantec divulgou hoje nos USA:

- Teste para SHA-2 compatibilidade em aplicações exclusivas

- Identificar os certificados que têm um algoritmo SHA-1 utilizando o Toolbox SSL

- Saiba como gerar um novo certificado de assinatura Request (CSR)

- Obter instruções de instalação para certificados SSL

- Saiba como: instalar facilmente uma CSR em Microsoft IIS 6.0 ou 7.0 ou Red Hat usando servidores Assistente SSL

A e-Safer respondeu a alguma perguntas que fiz a eles.

O que acontecerá com os sites que possuem certificados SSL  SHA-1?
Resposta: Os usuários que utilizarem o navegador Chrome 39 a partir de novembro de 2014 receberão alertas que o site não é totalmente seguro.

A partir de 1 de janeiro de 2017, os navegadores Chrome e Microsoft não fecharão mais a conexão SSL com os certificados com algoritmo SHA-1.

O que devem fazer os administradores dos sites?
Resposta: Faça um inventário de seus certificados e planeje a migração dos certificados SSL SHA-1 antes de novembro de 2014.

Existe um custo para substituir um certificado afetada?
Resposta: A e-Safer com apoio da Symantec substituirá os certificados sem custo adicional.

O Algoritimo SHA-1 ainda é seguro? Por que os clientes precisam migrar? 

Resposta: Esses procedimentos fazem parte de um movimento mundial orquestrado pelas organizações líderes da indústria vinculados ao Certification Authority / Browser (CA / B) Fórum e estão proativamente buscando formas de ajudar os clientes a proteger seus ambientes e infra-estrutura. O Algoritmo SHA-1 tem sido um padrão da indústria amplamente aceito, no entanto, o algoritmo SHA-2 contém uma série de melhorias para reforçar a segurança. Além disso, o Instituto Nacional de Padrões (NIST) recomendou seu uso em vez de SHA-1.

A migração do algoritmo SHA-1 se aplica aos certificados de assinatura de código?
Resposta: Sim. Embora os certificados de assinatura de código não serão afetados pelos navegadores do Google, eles serão afetados pelos planos da Microsoft.

Quando os clientes devem migrar?
Resposta: Os clientes devem substituir os certificados que expiram depois de 31 dezembro de 2015, imediatamente ou até Novembro de 2014.

Todos os servidores suportam o certificado de SHA-2?
Resposta: Não. Cheque agora a documentação do seu servidor para garantir que ele suporta um certificado de SHA-2. Por isso, é importante não deixar tudo para cima da hora, pois se você tiver que providenciar novos servidores isso não ocorrerá da noite para o dia.

O que fazer se ainda tenho dúvidas?

Resposta:  Deixe um comentário logo abaixo, envie um e-mail para mim  rtupinamba@gmail.com ou ligue diretamente para a  e-Safer  Tel.: +55 11 3576-4539 / comercial@e-safer.com.br/ www.e-safer.com.br 

Fonte:  Blog Certificação Digital baseado nas informações da e-Safer e Symantec.

Gostou? Compartilhe. Muita gente  pode ser pega de surpresa na época de Black Friday e Natal!

Leia também

• Google dá mais relevância aos sites que usam criptografia
• Brasil é o segundo país mais afetado por sites de phishing HTTPS
• List of Operating Systems, Browsers, and Servers Which Support SHA-256 Hashes in SSL Certificates
• ALERTA PARA OS CIOS DE GRANDES ORGANIZAÇÕES – SSL/...
• Google está preparando uma extensão do Chrome para criptografar e-mails

List of Operating Systems, Browsers, and Servers Which Support SHA-256 Hashes in SSL Certificates

List of Operating Systems, Browsers, and Servers Which Support SHA-256 Hashes in SSL Certificates

Revised as of: September 8, 2014

The CA Security Council (CASC) has compiled the following lists of operating systems (OS), browsers, and servers which we believe support SHA-256 hashing in SSL certificates, as well as a partial list of servers which apparently do not.  We are providing these lists as a starting point to help enterprises check their systems for SHA-256 compliance.

These lists were compiled from various sources as listed below.  CASC has not independently tested the reported data and cannot guarantee that all entries on the lists are accurate. In preparing your systems to be SHA-256 compliant, CASC recommends you independently research your own operating systems, browsers, and servers and obtain confirmation from your vendors before proceeding.

OS, Browsers, and Servers which reportedly support SHA-256 in their entirety

Operating Systems/Other – support SHA-256

Android 2.3+

Apple iOS 3.0+ Apple OS X 10.5+ Blackberry 5.0+ ChromeOS Windows 7

Windows Outlook 2003+ running on Service Pack 3 (partial), complete on Windows Vista

Windows Phone 7+

Windows Server 2003 SP2 +Hotfixes (Partial) Windows Server 2003 with MS13-095 installed Windows Server 2008

Windows Server 2008 R2 Windows Vista

Windows XP SP3+

Browsers – support SHA-256

Adobe Acrobat/Reader 7

Blackberry 5+

Chrome 26+ Chrome under Linux

Chrome under Mac from Mac OS X 10.5

Chrome under Windows Vista and higher Firefox 1.5+

Internet Explorer 7+ and higher Internet Explorer 7+ under Vista

Internet Explorer 7+ under Windows XP SP3 Java 1.4.2+ based products

Konqueror 3.5.6+

Mozilla 1.4+

Mozilla products based on NSS 3.8+ (since April 2003) Netscape 7.1+

Opera 9.0+

Products based on OpenSSL 0.9.8o+ Safari from Mac OS X 10.5+ Windows Phone 7+

Servers – support SHA-256

Adobe Acrobat/Reader 7

Blackberry 5+

Chrome 26+ Chrome under Linux

Chrome under Mac from Mac OS X 10.5 Chrome under Windows Vista and higher Firefox 1.5+

Citrix Receiver models – see URL* Internet Explorer 7+ and higher Internet Explorer 7+ under Vista

Internet Explorer 7+ under Windows XP SP3 Java 1.4.2+ based products

Konqueror 3.5.6+

Mozilla 1.4+

Mozilla products based on NSS 3.8+ (since April 2003) Netscape 7.1+

Opera 9.0+

Products based on OpenSSL 0.9.8o+ Safari from Mac OS X 10.5+ Windows Phone 7+

Servers which reportedly DO NOT support SHA-256 in their entirety

Servers Juniper SBR IBM Domino

Citrix Receiver models – see URL* Linux 13.0

IOS 5.8.3

Android 3.4.13

HTML 5 1.2

Playbook 1.0

Blackberry 2.2 / BlackBerry 1.0 Tech Preview Cisco ACE module software versions A2 and A3

*Citrix Receiver models URL (see table):  http://www.citrix.com/content/dam/citrix/en_us/documents/products-solutions/citrix- receiver-feature-matrix.pdf?accessmode=direct

Sources:

https://www.tbs-certificates.co.uk/FAQ/en/477.html https://www.tbs-certificates.co.uk/FAQ/en/476.html https://support.servertastic.com/sha2-sha256-compatibility/   http://kb.juniper.net/InfoCenter/index?page=content&id=KB23075

https://support.globalsign.com/customer/portal/articles/1499561-sha-256-compatibility http://www.entrust.com/should-you-use-sha-2/

http://www.p2vme.com/2014/02/sha2-certificates-and-citrix-receiver.html  http://h10025.www1.hp.com/ewfrf/wc/document?cc=us&lc=en&dlc=en&docname=c02671280  http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx  http://www.entrust.net/knowledge-base/technote.cfm?tn=8526

Fonte: CASC'S

The HTTPS Phishing Websites will double by the end of 2014

According to the investigation conducted by experts at TrendMicro the number of HTTPS phishing sites is increasing and it will double by the end of 2014.

Google considers security a top priority for this reason the company is starting to use HTTPS as a ranking signal. The scope is to encourage the adoption of HTTPS, but the effort was understood by the cyber criminal ecosystem which is improving its techniques. Recently, experts at TrendMicro have discovered a phishing site using HTTPS and the case isn’t isolated, the number of phishing websites is increasing and researchers believe it can double for the end of the 2014.

The experts are also observing the adoption of HTTPS for mobile phishing. As explained by Paul Pajares, Fraud Analyst at TrendMicro, use HTTPS for phishingactivities doesn’t need a supplementary effort for cyber criminals, they can either compromise sites that already use HTTPS, or use legitimate websites that already use HTTPS.


“One of the reasons for this spike is that it is easy for cybercriminals to create websites that use HTTPS: they can either compromise sites that already use HTTPS, or use legitimate hosting sites or other services that already use HTTPS. There is no need for the cybercriminals to acquire their own SSL certificate, since they have just abused or compromised servers that do have valid certificates.” reports the blog post published by TrendMicro.

The post mention the case of a PayPal phishing page recently discovered, the threat actor used HTTPS and valid certificates and deployed the malicious page on a legitimate site that has been compromised. Looking for the “HTTPS” and lock icon in the address is not enough to trust a website, the only way to avoid to be victimized by this type of attacks is to carefully check the digital certificate presented by the website, it must be still valid and its common name is usually the same of the domain name.

The experts recommended not to use mobile devices for transactions outside authorizes apps from legitimate sources, but let me also add that many mobile applications lack in a correct management of SSL certificates advantaging the work of the attackers.


“We recommend that users need to check (via a search engine) that they actually are at the same URL of the company’s site. For example, users search PayPal in any trusted search engines if the URL received or accessed by the user is different from the site they’ve found through search engines, despite that it’s “https” and has “padlock” icon, then it’s probably a malicious site. If it is popular banks or financial institutions, the legitimate site will always appear as a top result. The next step is to check for certificate validity. Compromised HTTPS sites may have valid certificates, but users can still check the Certificate Common Name and organization before giving out login credentials. Note that certificate authorities have not issued certificates for malicious sites. The same thing could be said for desktops PCs.” recommended the post.

According to data provided by TrendMicro, US is the top affected country that visit HTTPS phishing sites (38,38), Brazil and Japan follow it at a distance in the ranking.



With the increasing use of SSL it is important to be aware that threat actors are anyway able to operate.

Pierluigi Paganini

Brasil é o segundo país mais afetado por sites de phishing HTTPS

O Google recentemente anunciou que melhoraria o ranking de busca de sites HTTPS em seu motor de busca. Isso pode incentivar os proprietários de sites a mudar de HTTP para HTTPS, e também os cibercriminosos.

Os países mais afetados onde há mais visitas a sites de phishing HTTPS são Estados Unidos, Brasil e Japão.

Recentemente, a Trend Micro – líder em segurança na era da nuvem – descobriu um caso em que usuários buscavam a versão segura de um site de jogos, mas eram direcionados a um site de phishing. A empresa pesquisou os sites de phishing que usavam HTTPS e foram bloqueados pela tecnologia de reputação web da Trend Micro entre 2010 e 2014. Com base nessa investigação, é possível perceber que o número de sites de phishing está aumentando e a expectativa é que dobre nesta última parte do ano, devido à temporada de feriados.

Uma das razões para esse aumento é que é fácil para os cibercriminosos criarem sites que usam HTTPS: eles podem comprometer sites que já usam HTTPS, ou usar sites legítimos de hospedagem ou outros serviços que já utilizam HTTPS. Não há a necessidade de adquirir seu próprio certificado SSL, uma vez que eles abusam e ou comprometem servidores que têm certificados válidos.

Esta técnica de aproveitamento relacionado também pode ser vista em phishing para dispositivos móveis. Recentemente, a Trend Micro encontrou uma página de phishing relacionada ao Paypal, que empregava HTTPS e certificados válidos. Aparentemente, a página falsa estava hospedada em um site legítimo, o que sugere que o mesmo foi comprometido.

Para detectar se um determinado site é um site de phishing, os usuários precisam verificar a validade do certificado e procurar pelo nome para o qual ele é emitido, normalmente o mesmo nome do domínio. Na imagem, mobile.paypal.com é o nome para o qual o certificado foi emitido e a organização é a Paypal, Inc. O certificado do site de phishing não tem essas características.

Neste ataque de phishing em dispositivos móveis, buscar o "HTTPS" e o ícone do cadeado na barra de endereços antes de fornecer qualquer tipo de credenciais não é o suficiente. Alguns dos navegadores em dispositivos móveis não necessariamente mostram o cadeado que representa o SSL facilmente. Por exemplo, o navegador do Windows para dispositivos móveis (Internet Explorer), mostra o ícone do cadeado, mas os usuários não podem clicar sobre ele para ver os detalhes do certificado.

Conforme mais e mais sites usam SSL devido ao aumento que ele proporciona nos rankings de busca do Google, os usuários terão que tomar consciência de que o cadeado do HTTPS não é mais um sinal de que estão visitando um site seguro. Eles devem, primeiramente, verificar a validade do certificado, antes de prosseguir para a inserção de credenciais e informações de identificação pessoal. Além disso, também é recomendável que não sejam realizadas transações, a não ser em aplicativos autorizados e de fontes legítimas em dispositivos móveis.

Sobre a Trend Micro

A Trend Micro Incorporated, líder global em segurança em nuvem, proporciona a empresas e consumidores um mundo seguro para a troca de informações digitais, por meio da segurança para conteúdo na internet e gerenciamento de ameaças.

Com mais de 20 anos de experiência, a empresa é pioneira em segurança para servidor. Nós oferecemos segurança altamente conceituada, baseada em cliente, servidor e em nuvem, que atende às necessidades de nossos consumidores e parceiros, impede ameaças mais rápido e protege dados em ambientes físicos, virtualizados e em nuvem.

Potencializados pela infraestrutura Trend Micro™ SmartProtection Network™, nossos produtos, serviços e segurança, líderes na indústria de cloud-computing, impedem a ação de ameaças de onde quer que elas surjam, na internet, com o apoio de mais de 1.200 especialistas em inteligência de ameaças em todo o mundo. Para informações adicionais, visite www.trendmicro.com.

Fonte: Brasil é o segundo país mais afetado por sites de phishing HTTPS

Leia Também

The HTTPS Phishing Websites will double by the end of 2014