regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sexta-feira, 24 de outubro de 2014

Cheque seu SSL e sua CSR






Cheque sua CSR


 Fonte: SSL TOOLBOX SYMANTEC

Instalação e Manutenção do seu certificado SSL

Aqui você encontra as instruções feitas pela Symantec para a manutenção de seu certificado SSL, bem como alguns erros comuns que ocorrem nas plataformas de software de servidor mais utilizadas no mercado.

Se seu software de servidor não está listado abaixo, consulte a base de conhecimento da Symantec. Outra opção é você procurar diretamente seu fornecedor de servidores web e com certeza ele terá mais conhecimento do seu próprio software.

Apple lança aviso de segurança para o iCloud para ajudar a proteger os usuários



Ao longo dos últimos dias tem havido relatos de uma série de ataques contra o iCloud, com os ataques supostamente vindo da China, e interceptando os usuários que estavam assinando o iCloud na web.

Agora, a Apple emitiu um aviso de segurança dizendo às pessoas para ter atenção, e confirmando que nenhum dos seus servidores do iCloud foram comprometidos durante os ataques.

“A Apple está profundamente empenhada em proteger a privacidade e segurança dos nossos clientes. Estamos cientes dos ataques organizados através de certificação digital insegura para obter informações do usuário, e levamos isso muito a sério. Estes ataques não comprometam servidores do iCloud, e eles não têm impacto no sinal do iCloud nos dispositivos com iOS ou Macs com OS X Yosemite usando o navegador Safari.

O site iCloud é protegido com um certificado digital. Se os usuários recebem um aviso de certificado inválido no seu navegador ao visitar www.icloud.com, eles devem prestar atenção ao aviso e não prosseguir. Os usuários nunca devem digitar seu Apple ID e senha em um site que apresenta um aviso. Para verificar se eles estão conectados ao site autêntico do iCloud, os usuários podem verificar o conteúdo do certificado digital, conforme mostrado abaixo para o Safari, Chrome e Firefox, cada um dos quais fornece tanto informações e advertências.”

Safari


Quando você está conectado ao site autêntico do iCloud no Safari, você verá um ícone de um cadeado verde na barra de ferramentas ao lado de Apple Inc. Escolha o ícone de bloqueio para ver uma mensagem que diz “Safari está usando uma conexão criptografada para www.icloud .com.” Isso indica que a conexão é segura e você pode se inscrever normalmente.


Se você está se conectando a um site que não é seguro, você verá uma mensagem que diz “O Safari não pode verificar a identidade do site.” Se você ver esta mensagem, não prossiga ou tentar entrar.


Chrome

Quando você está conectado ao site autêntico do iCloud no Chrome, você verá um ícone de um cadeado verde na barra de ferramentas ao lado de Apple Inc. Escolha o ícone de bloqueio para ver uma mensagem confirmando que a identidade do site foi verificada.

Se você estiver se conectando a um site que não é seguro, você verá uma mensagem que diz “A sua ligação não é privada.” Se você ver esta mensagem, não prossiga ou tente entrar.


Firefox

Quando você está conectado ao site autêntico do iCloud no Firefox, você verá um ícone de um cadeado verde na barra de ferramentas ao lado de Apple Inc. Escolha o ícone de bloqueio para ver uma mensagem confirmando que a conexão com este site é segura.


Se você está se conectando a um site que não é seguro, você verá uma mensagem que diz “Esta conexão não é confiável.” Se você ver esta mensagem, não prossiga ou tente entrar.


Você pode encontrar mais detalhes sobre o aviso de segurança do iCloud da Apple em seu site de suporte no link abaixo.

Fonte: Apple 
via www.teciber.com

quinta-feira, 23 de outubro de 2014

Como foi o SSL's Day? Confira e não perca o próximo!



O evento foi ótimo! Precisamos repetir!

A SYMANTEC PROMOVEU DIA 22 DE OUTUBRO 
O EVENTO SSL’S DAY

O Evento teve origem em um debate entre Eder Souza e eu no grupo do Linkedin sobre Certificação Digital que gerencio. Eder participa bastante dos debates do grupo. É consultor de segurança da informação e co-fundador da e-Safer, uma empresa de consultoria de segurança que também fornece certificados digitais SSL’s Symantec.

Como atuei por 15 anos em uma Autoridade Certificadora e pelas questões que chegam para mim por meio desse blog, acabo tendo uma visão privilegiada sobre o que acontece nos bastidores das empresas em relação a aquisição dos certificados digitais SSL e resolvi compartilhar essa experiência com o grupo. Eder e eu trabalhamos juntos por muitos anos na Autoridade Certificadora e tomei a liberdade para provoca-lo a montar uma apresentação técnica sobre SSL direcionada aos profissionais de TI.

Nossa intenção era fazer com que os Cios percebessem a importância de voltarem novamente suas atenções para a aquisição e administração dos SSLs, uma vez que surgem a cada semana novas vulnerabilidades. Por desconhecimento em torno dessa tecnologia, por parte dos técnicos que estão à frente da administração dos certificados, as grandes empresas estão expostas e vulneráveis aos ataques.

Quando comecei a trabalhar com SSL da Verisign em 1999 os CIOs dos bancos e das grandes empresas, pessoalmente, tratavam da aquisição dos certificados digitais SSLs e quem conduzia o ciclo de vida e a administração dos certificados dentro das organizações era a área de segurança da informação. Com do tempo, passamos a ter como interlocutores profissionais de outras áreas e com menos conhecimento sobre a tecnologia. E assisti do outro lado do balcão as dificuldades que atualmente estão passando as grandes empresas que utilizam SSLs.

Então montamos o evento e tivemos o apoio da Symantec.

“Nós da Symantec apoiamos o evento porque é importante proporcionar ao mercado um momento de reflexão. Não exploramos apenas o espectro das vulnerabilidades a que a empresas estão expostas. O programa abordou a evolução das funcionalidades incorporadas aos Certificados SSLs ao logo dos anos e os tipos de certificados, seja pelo procedimento de validação ou funcionalidades. Apontamos ainda durante o evento SSL's Day como a prática de procedimentos e atualizações simples, sem nenhum gasto adicional, podem evitar algumas vulnerabilidades. Também como adquirir o certificado SSL correto, significa muitas vezes reduzir investimento sem comprometer a segurança das empresas.” Afirma o anfitrião do evento, Leandro Vicente que fez uma breve apresentação sobre o mercado de SSL brasileiro e mundial com informações de pesquisas realizadas. Leandro Vicente é Senior System Engineer da Symantec.

O evento foi gratuito e teve suas inscrições esgotadas em poucas horas após o convite,. Foi aberto pelo Leandro, por mim e pelo Willian Bergamo, presidente da e-Safer. Em seguida a apresentação foi conduzida por Eder Souza que seguiu a seguinte agenda:

Desvendando os certificados SSL
- A evolução técnica dos certificados SSL/TLS
- Tipos de certificados SSL/TLS por tipo de validação e funcionalidades
- A diferença entre os Certificados Digitais SSL, WildCard, SAN, EV, EV-MDC e MDC.
- Como CSR sem complicações?
- Quais as Instituições internacionais que regulam as regras das boas práticas de segurança dos servidores web.

Vulnerabilidades: HEARTBLEED e POODLE

O que tá rolando e você precisa entender
- Google dará mais relevância para busca orgânica aos sites com criptografia
- Recall de certificados SSL de SHA1 / SHA-2. Quais as ações que você precisa executar?

Eder se aprofundou na questão da geração das CSRs (Certificate Signing Request) e anunciou um aplicativoe que a e-Safer  desenvolveu  e vai disponibilizar para o mercado para a geração da CSR. Falou ainda da diferença do que eles desenvolveram para o que existe atualmente no mercado. O Aplicativo da e-Safer roda na máquina do cliente sem conexão com a internet e os aplicativos que estão disponíveis a CSR é gerada on line, uma super brecha de segurança.

Segundo Willian Bergamo, presidente a e-Safer, “o evento do dia 22 foi uma excelente oportunidade para apresentar ao mercado  problemas reais e soluções simples para que as empresas se preparem para eventualidades de forma correta. Não só apoiamos esta iniciativa como estamos dispostos a criar encontros regulares para trocar experiências entres profissionais de TI, Também faremos a convite da Regina, um treinamento em cima desse tema e já temos a Symantec como apoiadora desses treinamentos. Acertamos isso durante o evento de ontem”.

Aproveitamos, Susana Taboas, Ivan Marasco e eu para laçarmos oficialmente nosso portal CRYPTO ID ( www.cryptoid.com.br) que será a evolução natural do blog Certificação Digital. Não poderíamos ter escolhido melhor oportunidade para esse lançamento uma vez que a pauta foi sem dúvida uma das minhas matérias prediletas – Certificados Digitais SSL!

São descobertas a cada semana novas brechas de segurança que são entendidas por hackers e rapidamente divulgadas na rede. Essas vulnerabilidades permitem que servidores web sejam invadidos por hackers numa velocidade muito maior que as empresas levam para atualizarem seus sistemas de segurança e para blindarem seus servidores.

Precisamos mudar esse quadro rapidamente. E só com a disseminação do conhecimento poderemos vencer essa guerra.

Em breve faremos outra edição do SSL's Day por que o número de inscrições superou, e muito, nossas expectativas.

Meus agradecimentos especiais a todos que compareceram ao evento, ao Marcelo Dossi que nos prestigiou e ao Dyego Vale e Pedro Amaro que organizaram o primeiro SSL's Day!!

SSL Day é um evento gratuito organizado pelo Blog Certificação Digital/ Portal Crypto Id e apoiado pela e-Safer e Symantec.

Se quiser receber informações sobre o próximo eventos, escreva para mim. regina@cryptoid.com.br 

segunda-feira, 20 de outubro de 2014

Primeiro cartão biométrico de impressão digital

Mastercard anuncia primeiro cartão 
biométrico de impressão digital


A Mastercard, uma das maiores bandeiras de cartões de débito e de crédito do mundo, anunciou o lançamento do primeiro cartão de banco biométrico que permite aos usuários fazer pagamentos em lojas usando sua impressão digital.

Após testes bem-sucedidos na Noruega, a companhia disse que está pronta para começar a oferecer os cartões biométricos para bancos do Reino Unido — e diz que o cartão poderá estar na carteira dos correntistas no ano que vem.

Atualmente, os clientes dos bancos britânicos podem pagar compras de até 20 pounds com cartões de pagamento sem contato (contactless), mas são obrigados a inserir o Pin (número de identificação pessoal) de bens que custam mais. Isso, muitas vezes, faz o consumidor desistir da compra por não conseguir lembrar o seu pin.

Os novos cartões, que foram desenvolvidos em conjunto com uma empresa norueguesa chamada Zwipe, permitirá aos usuários colocarem o polegar no leitor especial contido no cartão e movê-lo sobre o terminal contactless. O leitor de impressão digital do polegar estabelece que o titular do cartão quer fazer a compra — sem a necessidade de inserir o Pin — e pagar por itens de qualquer valor.

Os cartões devem atrair principalmente os consumidores jovens adeptos da tecnologia, mas pode ser um benefício real também para os clientes mais velhos que têm dificuldade de lembrar o Pin de segurança. Muitos ainda anotam o número de identificação em papel, ao contrário de todas as recomendações dos bancos, aumentando, assim, o risco de roubo.

"Nossa crença é que devemos ser capazes de nos identificar, sem ter que usar senhas ou Pins. A autenticação biométrica pode nos ajudar a alcançar esse objetivo — o nosso desafio é garantir que a tecnologia ofereça segurança robusta, simplicidade de uso e conveniência para o cliente", disse Ajay Bhalla, presidente de soluções de segurança da Mastercard, ao jornal The Guardian.

O custo extra dos cartões, que não contêm uma bateria, será suportado pelo banco emissor. Mas a promessa de redução dos níveis de fraude provavelmente vai ajudar a compensar o custo.

No início do ano, a Polônia foi o primeiro país da Europa a introduzir uma rede de caixas eletrônicos (ATMs) com ID por impressão digital. Dois mil dos novos ATMs serão abertos em agências bancárias e supermercados em todo o país neste ano, que prometem trazer o "dinheiro para o seu dedo".

Fonte: TIINSIDE