RenatoMartini.Net

Category: segurança da informação (page 1 of 4)

IV Seminário Nacional de Certificação Digital será realizado em junho

O IV Seminário Nacional de Certificação Digital, evento que apresentará os usos e benefícios da certificação digital no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, será realizado nos dias 15 e 16 de junho, em São Paulo, paralelamente a 21ª Cards Payment & Identificantion, maior feira de tecnologia para o setor de cartões, meios eletrônicos de pagamento, identificação e certificação digital da América Latina.

Como nos anos anteriores, o evento, realizado pelo Instituto Nacional de Tecnologia da Informação – ITI e pela Associação Brasileira das Empresas de Tecnologia em Identificação Digital – Abrid, contará com a participação de palestrantes dos mais variados setores que vão apresentar soluções que fazem uso do certificado ICP-Brasil e os benefícios alcançados com o uso desta ferramenta.

Para o diretor-presidente do ITI, Renato Martini, o evento já está consolidado e faz parte da agenda de todos que têm interesse no setor de certificação digital. “O Seminário Nacional de Certificação Digital já é um evento aguardado por todo o mercado de certificação digital, indústria, usuários e desenvolvedores, quando todos participam do evento para conhecer mais sobre as melhores práticas no setor de certificação digital, além dos usos e benefícios da tecnologia”, afirmou Martini.
Em breve, estarão disponíveis no sítio do ITI mais informações sobre o IV Seminário Nacional de Certificação Digital, como a programação completa, data de início das inscrições, que serão gratuitas, e horários do evento.

IV Seminário Nacional de Certificação Digital
Local: Expo Center Norte – Pavilhão Azul. Rua José Bernardo Pinto, 333 – Vila Guilherme
São Paulo – SP
Contato: Assessoria de Comunicação – ASCOM/ITI
E-mail: comunicacao@iti.gov.br
Telefone: 55 (61) 3424-3892

--Fonte: www.iti.gov.br

ICAO implementa o certificado ICP-Brasil em seu diretório

No último dia 8 de junho, membros da Subsecretaria-Geral das Comunidades Brasileiras no Exterior do Ministério das Relações Exteriores – MRE, estiveram em Montreal, no Canadá, para a cerimônia de importação do certificado digital da Autoridade Certificadora do MRE para o diretório de chaves públicas – PKD da Organização de Aviação Civil Internacional – ICAO, entidade responsável por promover segurança e padronizar os aeroportos e passaportes no mundo. Representaram a pasta Cassiano Buhler e Lucas dos Santos Furquim Ribeiro. A ICAO, por sua vez, foi representada por Christiane DerMarkar.

O presidente do Instituto Nacional de Tecnologia da Informação – ITI, Renato Martini, ressaltou a participação dos entes governamentais que resultou na implementação da tecnologia ICP-Brasil ao PKD.

"A efetiva colocação do certificado digital da AC MRE no diretório da ICAO, criada dentro de nossos padrões técnicos e normativos, foi bastante importante por diversas razões, mas deve-se ressaltar sobretudo o envolvimento de vários órgãos públicos com Serpro, o próprio Itamaraty, a Polícia Federal, entre outros. Os desafios deste empreendimento se somam agora a tantos outros de nosso sistema nacional de certificação digital", disse Martini.

Com o feito, já é possível emitir os novos passaportes brasileiros garantindo ao cidadão brasileiro não apenas um documento internacional perante autoridades locais e consulados, mas a identificação inequívoca nos e-gates, portões eletrônicos que automatizam o processo de conferência de passaportes.

Segundo Lucas dos Santos, restam pequenos detalhes, como a adequação do Sistema de Controle e Emissão de Documentos de Viagem – SCEDV do MRE, para o início das atividades de emissão de passaportes eletrônicos assinados com certificados digitais ICP-Brasil.

Como funciona o PKD

Cada país possui uma regulamentação e uma estrutura diferentes de Infraestrutura de Chaves Públicas. Para facilitar e agilizar a troca de informações entre as diversas nações a ICAO idealizou o PKD, um diretório seguro onde, seguindo regulamentações, os países aderentes depositam as informações dos certificados que compõem a cadeia de segurança com a qual eles assinam seus passaportes. Esse diretório centraliza a troca de informações entre todos os países.

Para o passaporte brasileiro tornar-se aderente ao PKD, foram necessárias novas regulamentações no âmbito da ICP-Brasil. Essas alterações foram debatidas e aprovadas em reunião do Comitê Gestor da ICP-Brasil em 2013. Uma das definições do Comitê foi a criação da Autoridade Certificadora – AC de primeiro nível do Ministério das Relações Exteriores – MRE.

Em abril deste ano, o Instituto Nacional de Tecnologia da Informação – ITI, emitiu o certificado de Autoridade Certificadora do Ministério de Relações Exteriores – AC MRE, a partir da cadeia v4, modelo europeu que adota a tecnologia de curvas elípiticas – brainpool.

FONTE: ITI

 
Revisão v. 1.3
 

2014: a Falha Heartbleed

A conhecida falha Heartbleed, detectada em abril na suite OpenSSL, uma suite « open source » utilizada por um grande número de sites no mundo, assim como plataformas e hardware criptográficos, seis novas vulnerabilidades foram atualizadas em abril e maio por um especialista do Japão, e publicadas 5 junho pela Fundação OpenSSL.

Segundo a Fundação, o bug é um tipo de « man in the middle », ou seja, que abre uma conexão entre dois pontos encriptados graças a uma ferramenta OpenSSL e pode assim permitir a uma pessoa interceptar uma troca de dados entre os pontos da conexão. Um cenário arriscado mais comum é o uso de uma rede pública onde uma das pontas se mostra vulnerável, e basta apenas que uma delas seja desvelada. Tal falha era ainda menos perigosa que o bug Heartbleed tornado público em abril, até então presente na biblioteca OpenSSL, ainda que nenhum código para explorar esta falha tenha sido apresentado imediatamente1. O bug consiste em toda sua singeleza no mecanismo TLS Heartbeat que é construído para preservar conexões vivas ainda que nenhum dado seja efetivamente trocado. As Heartbeat messages enviadas numa rede contém dados aleatórios e um tamanho de payload. A outra ponta da rede deve responder espelhando exatamente com os mesmos dados.

Em pseudo-código a estrutura de dados assim se apresenta (note-se ainda o tamanho de 2-byte do payload):

  1. struct {
  2. HeartbeatMessageType type;
  3. uint16 payload_length;
  4. opaque payload[HeartbeatMessage.payload_length];
  5. opaque padding[padding_length];
  6. } HeartbeatMessage;

A expressão heartbeat, « batida de coração », representa este desejo manter viva a conexão na rede, por assim dizer, como na sequência de várias « batidas » que nos mantém vivos. A batida transforma-se, desgraçadamente, em hemorragia, heartbleed, porque a falta de verificação do correto perímetro (o atacante) pode desvelar uma determinada quantidade de memória (64K) armazenada entre cliente & servidor. Ali podem estar, cookies, senhas e tantas outras informações sensíveis. Resumidamente, NSFOCUS Secutity Labs: « the OpenSSL TLS Heartbeat Extension protocol implements blind trust from the length of payload in the communicating field. Lacking correct perimeter checks, this protocol may allow disclosure of data amounts up to 64K memory to any connected clients or server and with this, sensitive information contained in that memory data can also be exposed. This Heatbeat defect can be exploited to access sensitive user data stored in millions of servers or by clients—data such as licenses, cookies, and user passwords. An attacker may even eavesdrop on communications using acquired secret keys, and thereby steal data from service providers by impersonating the service providers and users ». O bug foi introduzido originalmente nesta inserção na plataforma GIT do projeto OpenSSL.

Em especial, podemos ver aqui:

2427                 /* Allocate memory for the response, size is 1 bytes

2428                  * message type, plus 2 bytes payload length, plus

2429                  * payload, plus padding

2430                  */

2431                 buffer = OPENSSL_malloc(1 + 2 + payload + padding);

2432                 bp = buffer;

2433                 

2434                 /* Enter response type, length and copy payload */

2435                 *bp++ = TLS1_HB_RESPONSE;

2436                 s2n(payload, bp);

2437                 memcpy(bp, pl, payload);

2438                 

2439                 r = ssl3_write_bytes(s, TLS1_RT_HEARTBEAT, buffer, 3 + payload + padding); 

O dados gerados maliciosamente contém um payload, que incorretamente o software confia cegamente sem as devidas verificações. O OpenSSL assim procede a resposta com o buffer, copiando os dados presentes no ponteiro « pl »:


memcpy(bp, pl, payload);

Apesar do tom quase sempre bombástico da mídia não-especializada (por exemplo: Falha 'Heartbleed' é uma catástrofe2, , e mesmo naquela que trata do tema tecnologia, tais vulnerabilidade e falhas são sempre passíveis de serem encontradas, não há engenharia e implementação perfeita -, seja no mundo open source seja no de softwares não abertos. Encontrado o bug, seja qual for, tão logo possa, deve o o responsável pela infraestrutura aplicar as devidas correções e atualizações.

Enfim, não foi o armagedom, todos continuamos usando a Rede, aproveitando seus recursos, fazendo negócios, política, interação em redes sociais, até que uma próxima falha seja encontrada.


Referências:
1. http://www.lemonde.fr/economie/article/2014/06/06/apres-heartbleed-une-nouvelle-faille-de-securite-dans-openssl_4433841_3234.html
2. http://www.heartbleed.com.br/
3. http://www.nsfocus.com/2014/SecurityView_0417/169.html

 
Revisão v. 1.9a
 
  1. Alguns scripts logo apareceram para que se testassem a vulnerabilidade Heartbleed, o mais conhecido foi o ssltest.py, que pode ser visto aqui []
  2. http://g1.globo.com/tecnologia/blog/seguranca-digital/post/falha-heartbleed-e-uma-catastrofe.html []

PGP foi um fracasso, Vida longa ao pEp…

p≡p – pretty Easy privacy

Volker Birk é anarquista. Militante do Chaos Computer Club, organização que defende as liberdades digitais e o direito de todos de « bidouiller », diz o Le Monde, que é a palavra que os franceses usam para to hack, já tão badalada e repetida. Não gosta da ingerência estatal na vida das pessoas, como é próprio ao ideário anarquista, nem das transnacionais. Leon Schumacher dirige um grupo que foi responsável pela informatização de vários grupos internacionais, como Novartis ou ArcelorMittal.

Nada ou muito pouco levaria os dois a juntos trabalharem – e menos ainda a elaborarem conjuntamente um projeto que deseja impedir à espionagem de comunicações. Trata-se do « Pretty Easy Privacy » (pEp). O nome não é por acaso, é uma alfinetada no velho PGP, o « Pretty Good Privacy », reconhecido padrão de cifragem de chaves assimétricas. Sistema de chaves públicas poderoso, mas com certa complexidade, e limitado pelo sua falta de escalabilidade.

« PGP é um fracasso »
« PGP é um fracasso, diz Voler Birk, porque as pessoas não sabem dele se servir ». Para os desenvolvedores do pEp os sistemas OpenPGP são demasiadamente complexos, dependende de inúmeras configurações, e chegando mesmo Birk a falar em tédio. O alvo principal de crítica é, por conseguinte, o uso irritante da senha. Por isso mesmo, conclui o desenvolvedor: « Abandonamos completamente a senha ... é uma das razões pelas quais as pessoas não usam o PGP. » O pEp parte de um outro principio, é a segurança da ferramenta usada pata a comunicação – código PIN num tefefone, senha de sessão num post compartilhado, acesso ao micro pessoal – que fornece a segurança.

Ler no Le Monde - França Info suplementar: http://www.pep-project.org Vídeo YT: p≡p ­– reclaim your privacy

 
Revisão v. 1.0
 
Olderposts

Copyright © 2017 RenatoMartini.Net

Theme by Anders NorenUp ↑