regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

quinta-feira, 12 de setembro de 2013

Ex-hacker Kevin Mitnick abre em Londres a EXPO IP

Ex-hacker e renomado especialista em segurança Kevin Mitnick para abrir EXPO IP

Internacionalmente renomado especialista em segurança de Internet e condenado ex-hacker Kevin Mitnick, fará o kick-off deste ano na  EXPO IP em 16 de outubro no Earls Court 2, em Londres.

Mitnick tem mais de 30 anos de experiência em segurança na Internet, e no momento da sua prisão por crimes cibernéticos e fraudes, em 1995, foi o hacker mais procurado do mundo.


Desde sua libertação da prisão em 2000, Mitnick é autor de três livros, incluindo "The Art of Deception". Ele agora é um respeitado especialista em segurança de computador e dirige a Mitnick Security Consulting.


Abrindo o primeiro dia, Mitnick falará em uma sessão durante a qual ele vai mergulhar no mundo da pirataria por meio de engenharia social e vai explorar as vulnerabilidades em sistemas operacionais e dispositivos de telecomunicações.

Ele também vai discutir questões relacionadas com a recente revelações sobre a espionagem da  NSA.

Nos dois dias do evento a EXPO IP apresenta uma série de seminários e inovadoras, sessões práticas de laboratório que abrangem uma ampla gama de tecnologias, tendências e problemas, permitindo aos visitantes interagir com uma variedade de especialistas líderes da indústria.

O programa principal para o primeiro dia será encerrada com um painel de discussão sobre as novas abordagens para a tendência de evolução da rede definida por software.


Crédito da imagem: Flickr ( Campus Party México )

Read more: http://www.itproportal.com/2013/09/11/former-hacker-and-renowned-security-expert-kevin-mitnick-to-open-ip-expo/#ixzz2ejAetw1h


Fonte:ITProPortal.com

O que é o F-commerce?


O que é comércio eletrônico pra você? 

Pra mim é um site de venda, simples assim. Onde a fórmula de sucesso sempre foi: muitas visitantes = muitas vendas, pelo menos esse foi o modelo de negócio da Amazon, e-bay, Submarino e tantos outros.

No entanto, as circunstâncias estão mudando. Desta vez, os dispositivos móveis e as redes sociais serão os grandes agentes transformadores. 

O que confirma esse cenário foram as previsões que os gastos através de celulares devem chegar a U$ 500 milhões nos próximos anos, enquanto a venda através do Like do Facebook poderá atingir U$ 30 bilhões em 2015.

Embora ainda representem apenas uma fração do varejo mundial, esses fenômenos oferecem pistas de como podemos nos preparar para a próxima década e como irá moldar a relação entre consumidores e lojistas.

M-Commerce
Como o número de consumidores que possuem smartphones cresce, surge uma demanda por acesso aos serviços, como compras online por meio dos aparelhos. Em 2010, sites móveis tiveram um aumento médio no tráfego de 300% no fim de semana de Natal. Marcas que procuram explorar esta nova oportunidade devem estar cientes de que existem quatro fatores a considerar quando se trata de comércio móvel:

Aplicativos podem ser usados para impulsionar as vendas. Alguns varejistas desenvolveram oferta que permite o pagamento através do próprio aplicativo

Optimizar o seu site já existente para exibição em um dispositivo móvel

Como nem tudo são flores, o m-commerce procura viabilidade técnica por uma solução segura de transação nesses novos canais, recente pesquisa do Gartner aponta como questões ligadas a fraude como o maior entrave para os pagamentos via celular.

Por fim, o marketing baseados em localização podem ser usadas por algumas marcas, como a Starbucks, por meio de um app. Isto significa que as empresas possam localizar os usuários através de seu smartphone e oferecer descontos e também um meio de pagamento

Redes Sociais
Os sites de redes sociais são outro fenômeno já que oferecem um tipo diferente de oportunidade, a capacidade de construir relacionamentos com os clientes e desenvolver a partir dali relações lucrativas. O tempo médio gasto no Facebook está em torno de 55 minutos por dia, o que representa uma enorme oportunidade para as marcas. Além do tempo médio, o Facebook lançou seu próprio sistema de créditos para os consumidores, uma moeda virtual que permite às pessoas comprarem itens através da plataforma Facebook.

F-Commerce
Diante do crescimento do Facebook o F-Commerce (comércio eletrônico dentro do Facebook) parece ser o próximo passo lógico. Embora a maioria das lojas só existam no Facebook dos EUA, muitas f-commerce estão surgindo no Brasil, como a f-commerce integrada com Pagseguro que desenvolvemos para RedeTix.

Conforme diretor técnico da WVTODOZ Denis Akao, “O Pagseguro deu a segurança ideal para os clientes na hora da compra dentro desse novo canal”. Além do processo normal de compra a loja conta com recomende os amigos e publicação no mural do comprador após a compra, multiplicando sua marca e maximizando todo o potencial do Social Commerce.

O Social Commerce e em particular o f-commerce vieram pra ficar e nessa nova realidade as mídias sociais e o varejo estão cada vez mais alinhadas e os consumidores serão os maiores beneficiários desse novo cenário, porque com o social commerce a possibilidade de comprar gato por lebre será cada vez menor.

Fonte: Blog da WV Comunicação

Brasil emite 200 mil certificados digitais por mês

:: Convergência Digital :: 12/09/2013

O Brasil possui 3,5 milhões de certificados digitais ativos e vem emitindo cerca de 200 mil a cada mês conforme dados apresentados pelo Instituto Nacional de Tecnologia da Informação (ITI), no 11º Certforum, em Brasília, nesta quinta-feira, 12/9.

Nesse universo do sistema de identificação digital reconhecido pelo país, com base no modelo de chaves públicas ICP Brasil, menos de um terço são usadas por pessoas físicas – há 1,1 milhão de brasileiros com pelo menos um certificado digital.

Mas ainda que seja uma ferramenta ainda ‘corporativa’, a imensa maioria dos 3,5 milhões, 80% deles, é de certificados portáteis – chamados A3, são aqueles que podem ser inseridos em pen drives ou tokens. Os demais, cerca de 660 mil, são os tipo A1, que ficam instalados em discos rígidos. 

Como destacou o diretor de auditoria, fiscalização e normalização do ITI, Pedro Paulo Machado, a ferramenta vai gradativamente sendo utilizada. “Há 13 anos era o Sistema de Pagamentos Brasileiro. Agora, são cerca de 300 organizações que utilizam ICP Brasil”, pontuou.

Ainda assim, reconhece que “as aplicações hoje estão muito centradas em pessoa jurídica. Tem que ter aplicações que envolvam pessoa física”. Mas vê passos com a troca de senha por certificado digital no sistema online do Ministério do Trabalho, Homolognet, de registros trabalhistas.

“As transações previdenciárias e trabalhistas, como FGTS, serão pelo Homolognet e isso faz parte da massificação do uso da certificação digital”, defendeu Pedro Paulo. Portaria exige que a certificação digital seja usada a partir da próxima semana.

terça-feira, 10 de setembro de 2013

SSL: Trust the math. Choose your friends wisely


Just like you, over the past months, we have been watching the coverage on the Edward Snowden leaks.

Each leak has provided unprecedented insights into both the capabilities and practices used by the intelligence community today.

While I personally find some of the details in these leaks both surprising and disappointing, the fact that the intelligence community has continued to develop its abilities around cryptanalysis and cyber defense is not surprising at all.

This is a problem that is literally thousands of years old: as long as cryptography has been applied, there have been people developing techniques to break that cryptography or work around it.

I won’t go into the details of these leaks in this post as I believe they have been well covered by others like The Guardian, ProPublica, The New York Times, Mathew Green (a research professor in Cryptography at John Hopkins), and Bruce Schneier.

But I do want to talk about our commitment to you and the rest of the Internet, provide some insights to our perspective on this problem, and provide you guidance on what we feel you should be doing to protect your privacy and the privacy of your customers when on the Internet.

First, I want to assure you that we have never received a request from any government to forward any key material or to certify any keys with any identity, domain name or organization information that was not legitimate, and if we did we would fight that request to our fullest ability.

Furthermore, we are the only certificate authority that I am aware of who has committed to provide notice to customers when we receive any requests for their data and it is (and always has been) expressly against our policy to use the fact we are a publicly trusted CA to facilitate a MiTM (man-in-the-middle).

Simply put, we believe we have a responsibility to represent your interests to the best of our ability, and we believe that responsibility requires us to act honorably and transparently – even when that is not the easy path.

In the name of transparency we also will be adopting a proposal from Google called Certificate Transparency in our platform update next year. This will make it possible for the public at large to monitor all the certificates that we issue.

One part of how we believe this responsibility manifests itself is how we design, build and operate our services. When building our services we proactively consider state-sponsored attacks as part of our threat models. This means that sometimes we have to do things that are less efficient and more time consuming, but it also helps us protect against compromises from a well-funded and highly skilled adversary. This extends itself beyond our own engineering and operations practices to the service, hardware and software providers we choose to work with.

As history has proven, we cannot be perfectly immune from attack or suggest that there are not vulnerabilities in cryptographic algorithms, hardware or software we leverage in our operations.

However, it does mean that we do our best to design our systems so that no single failure can bring down our services or compromise them. In fact we are in the process of making what is likely one of the largest investments made by our industry in the last decade to better scale and secure our services.

This takes us to the math, like Bruce Schneier said after reviewing the leaked papers. I trust the math. Our understanding of cryptography is constantly evolving, as is the definition of what is “secure enough”. With that said, the cryptographic algorithms used in digital certificates have undergone and continue to undergo extensive cryptanalysis review the world over. However, due to improvements in cryptanalysis as well as faster hardware, they are considered weaker today than they were just a few years ago. With that said the consensus is that they are still fundamentally sound.

We are actively working with industry partners to accelerate the adoption of more modern cryptographic algorithms that have the potential to be strong enough for the future and will continue to push for the migration to these algorithms as quickly as possible.

It is important to understand the problem does not stop with the cryptography that is used within certificates; the cipher suites that are used with those certificates represent a large attack vector as well. Today, according to the Trustworthy Internet Movement’s data, nearly 33% of the top 200,000 sites are using weak cipher suites and very few have deployed suites that offer Perfect Forward Secrecy (PFS), a mechanism that protects sessions from later key compromise.

To help address these issues we have worked with Qualys to provide the internet a free tool to help server administrators address these issues in their configuration and are working with theopen source community to provide examples of proper server configurations.

For me, though, one of the larger issues where we see too little progress is that of key management. We now know definitively from these leaks that adversaries maintain databases of compromised keys. This too isn’t exactly a surprise as security researchers maintain similar public repositories.

The deficiencies in key management practices that exist today are valuable to attackers for a few reasons; one of the largest is that sites maintain the same keys for far too long making them a valuable asset. For this reason we explicitly allow unlimited re-issuances and do not allow the same key to be used request to request. We also provide APIs and plug-ins to help customers automate these changes.

There is still a lot of work for us to do as an industry, and you have my word this is an area that you will see us invest more.

As for my recommendations to you as you look at your own infrastructure relative to the news:

1. When you are buying a certificate you are picking a partner, understand their motivations and what their commitments are to you. 

2. Maintain a policy for what cryptographic algorithms can be used in your environment, how often keys must be changed, how strong they are, and how they should be generated and secured. 

3. Maintain an inventory of your cryptographic keys, their age, strength and ensure each one of them is managed in accordance to your policies. 

4. Be mindful of the fact that deploying SSL/TLS securely requires more than just a certificate with a sufficiently large key. Be sure to: 
  1. Run the most recent stable version of web server and SSL/TLS libraries available. 
  2. Deploy ciphers that offer Perfect Forward Secrecy when possible. 
  3. Ensure that all SSL configurations in your environment follow current industry best practices. 
5. Review the security of any and all machines that have access to key material used, ensure they are fully patched, hardened and only those necessary personnel have access to them.


Fonte: Globalsign