Entrevista com Marcio D’Avila, especialista da Certisign, sobre a viabilização das transações online. Ouça
13 de maio de 2020Nunca precisamos tanto dos recursos de tecnologia para nos comunicar e transacionar de forma eletrônica como nos últimos dois meses em função das crise do Coronavírus
Isso seguramente está impulsionando o mercado de segurança da informação porque a identificação digital e o sigilo das informações são absolutamente necessários para que as transações ocorram a distância e são oxigênio para manter vivas a maioria das empresas.
Marcio D’Avila – Consultor técnico e especialista em Segurança Digital da Certisign
Entrevistamos Marcio D’Avila, consultor técnico e especialista em Segurança Digital que atua há 19 anos na Certisign, maior Autoridade Certificadora do País, para entender quais são os principais recursos de tecnologia que viabilizam as transações online.
Marcio D’Avila, falamos muito de algumas coisas há muitos anos, mas devido a preservação dos negócios, só agora e, de uma hora para a outra, foi que muitos empresários se “interessaram” por se aprofundar no mundo das transações online e assinatura de documentos eletrônicos com valor legal.
Se interessaram porque sem a tecnologia não conseguem dar continuidade aos seus negócios.
Crypto ID: Marcio, você pode nos relacionar os principais recursos de tecnologia para garantir a sobrevivência das empresas e seus negócios? Quais seriam as tecnologias sob o prisma da segurança da informação? Como garantir a identificação digital e o sigilo das transações online?
Marcio D’Avila: Com a pandemia do Covid-19 as empresas tiveram que fazer mudanças rápidas e abruptas na maneira de como se relacionam com seus clientes e fornecedores para garantir a sua sobrevivência e continuar produzindo mesmo com as restrições impostas. Sendo assim, a transformação digital nas empresas tronou-se essencial para garantir a continuidade dos negócios.
Estamos diante de um novo cenário, no qual a revolução digital está ocorrendo em todos os nichos da sociedade – como o trabalhista, educacional, jurídico, relacional, de consumo e da saúde. Estamos no caminhando de nos tornarmos cada vez mais digitalizados e superconectados. A tecnologia, então, desempenha um papel fundamental para sustentar este novo cenário.
Durante esta transformação digital, algumas tecnologias conhecidas, mas pouco difundidas pelas empresas, se destacam, como: videoconferências, conexões remotas seguras (VPN e SSH), criptografia de dados e sistemas de mensagens instantâneas e assinaturas de documentos on-line. Mas elas não devem ser implementadas de forma desenfreada pelas empresas.
É preciso fazer uma análise com o víeis da segurança da informação, para garantir segurança na continuidade dos negócios.
No caso, esses sistemas devem garantir a autenticidade da pessoa com quem estamos nos relacionando, que as informações que estão trafegando são íntegras e confiáveis e que os dados só podem ser visualizados por pessoas autorizadas.
Sendo assim, a recomendação é que as empresas implementem soluções de monitoramento dos dados que estão trafegando, bem como sistemas de proteção a pragas virtuais e a ataques externos e internos contra a infraestrutura. Além disso, é importante que tenham gerenciadores dos ativos da empresa e das identidades dos colaboradores, sistemas de controles de acesso e mecanismos para proteção dos dados dos clientes externos e internos.
Uma das formas de garantir esta segurança fazer o uso da Certificação Digital ICP-Brasil, única tecnologia que garante total autenticidade nos processos realizados no meio digital. O Certificado funciona como uma identidade digital de pessoas e empresas no meio eletrônico e, por conta da criptografia, garante um canal de comunicação seguro com os sistemas nos quais ele se faz necessário.
Crypto ID: Falamos muito atualmente dos certificados digitais para os protocolos TLS – Transport Layer Security que garantem a identificação das empresas e promovem a criptografia entre os servidores das empresas e os navegadores dos usuários na outra ponta. Márcio, quando nos conhecemos, em 1999, o protocolo mais forte era o SSL 128 bits – Secure Sockets Layer. De lá pra cá quais foram as maiores evoluções desses protocolos de segurança? E por que são importantes essas evoluções na tecnologia?
Marcio D’Avila: Realmente muita coisa mudou de 1999 para os dias de hoje. Atualmente, por exemplo, temos celulares com a capacidade de processamento e armazenamento muito superior aos computadores e servidores daquela época.
Devido a esta constante evolução tecnológica, tornou-se necessário atualizarmos constantemente os protocolos de comunicação para que os mesmos continuem seguros mesmo com todas estas inovações.
O protocolo SSL teve três atualizações (SSL 2 e SSL 3) e foi descontinuado com o surgimento de seu sucessor, o protocolo TLS (Transport Layer Security). A cada nova versão do protocolo, são corrigidas várias vulnerabilidades que foram identificadas e os algoritmos criptográficos antigos são descontinuados para que novos sejam implementados.
A primeira versão do protocolo TLS foi a 1.0 e ele já sofreu três atualizações desde o seu surgimento (TLS 1.1, TLS 1.2 e TLS 1.3). A atualização deste protocolo que mais impactou os servidores e navegadores de internet foi o TLS 1.1, pois a maioria das empresas e usuários não havia atualizado os seus sistemas operacionais e continuavam a utilizar versões antigas e desatualizadas, as quais não suportavam o novo protocolo.
Este cenário proporcionou que hackers invadissem os sites desatualizados e explorassem as vulnerabilidades conhecidas dos protocolos SSL 3.0 e do TLS 1.0.
É altamente recomendado que provedores de sites e serviços online atualizem os seus sistemas operacionais para utilizar a versão mais recente do protocolo TLS (TLS 1.3) e desabilite os protocolos antigos e as cifras mais fracas e descontinuadas para garantir a segurança na comunicação de seus produtos e serviços proporcionando mais confiança a seus clientes.
Crypto ID: Se falava muito que esses protocolos deixavam os sites lentos. Isso é verdade?
Marcio D’Avila: Em 1999, isso poderia acontecer se o protocolo fosse implementado de forma errada em serviços que eram acessados por milhares de pessoas ao mesmo tempo. Nesse caso, os processadores não conseguiam atender a esta enorme demanda de criptografia ao mesmo tempo.
Hoje em dia, com todas as evoluções tecnológicas que tivemos, isso não acontece mais. Os processadores estão mais modernos e já possuem recursos exclusivos para efetuar criptografia. Com isso, os servidores possuem uma capacidade enorme de processar toda a comunicação de seus serviços ao mesmo tempo.
Crypto ID: Porém o TLS não é o único protocolo que precisa ser implementado para garantir o sigilo da comunicação. Você pode falar um pouco sobre o SSH- Secure Socket Shell? O que é e para que serve?
Marcio D’Avila: O SSH (Secure Socket Shell) é um protocolo de rede que permite acessar remotamente um servidor, como se estivesse no terminal da máquina (prompt de comando), por meio da internet e de forma segura. Todos os dados que trafegam desta forma são criptografados, garantindo, assim, que a transferência de dados ocorra de forma segura e sem nenhuma perda das informações.
Este protocolo é muito utilizado por administradores de rede para gerenciar sistemas e aplicativos de forma remota e, também, por desenvolvedores, que realizam a transferência de pacotes de aplicações (deploy).
Ele também é amplamente usado para processos automatizados de máquina a máquina, como backups, atualizações de banco de dados, aplicativos de monitoramento de integridade do sistema e gerenciamento automatizado de sistemas.
É importante salientar que o SSH é um protocolo poderoso. Uma vez dentro do servidor, o usuário poderá executar na máquina qualquer comando que ele tenha permissão – como, por exemplo, criar, copiar, mover, apagar e editar arquivos e diretórios. Recomendamos fortemente que este protocolo seja utilizado de forma controlada para evitar interrupções nos serviços do servidor e vazamento de dados confidenciais da empresa.
Crypto ID: Na semana passada ocorreu o vazamento de dados de 19 milhões de clientes da empresa de GoDaddy. A empresa confirmou publicamente a vulnerabilidade e foi apontado como uma provável causa a falha no SSH de seus servidores. O que deve ter ocorrido nesse caso? Você poderia comentar rapidamente os cuidados para se evitar esse tipo de falha? GoDaddy confirma violação de dados de 19 milhões de clientes
Marcio D’Avila: Não conhecemos detalhadamente o que ocorreu nessa empresa, por isso, não temos como mencionar possíveis motivos. O que podemos dizer é que as empresas que comercializam o serviço de hospedagem de site oferecem aos seus clientes o acesso aos servidores utilizando o protocolo SSH. Destas, a maioria usa o método de autenticação do protocolo mais básico, utilizando o mesmo login e senha da conta do usuário ou de outros serviços ofertados como, por exemplo, FTP.
O protocolo SSH possui recursos mais seguros para o processo de autenticação, como, por exemplo, a utilização de um par de chaves (pública e privada). O usuário pode gerar um par de chaves no seu computador e, em seguida, registrar a chave pública no servidor que vai acessar via SSH. Com esta configuração, o usuário não precisará mais utilizar o login e senha, mas, sim, apenas seu par de chaves que, o qual será identificado pelo servidor, que permitirá o acesso.
Como mencionei, a maioria dos usuários acaba optando por métodos de autenticação mais simples, como o mesmo login e senha de outros serviços. Apesar de facilitar a memorização, não é uma boa prática de segurança, pois ao descobrir esses dados o invasor terá acesso a todos os serviços que tiverem esta mesma credencial.
Sendo assim, a utilização de pares de chaves no processo de autenticação do protocolo SSH minimizará os riscos de exposição das credenciais, uma vez que a chave privativa sempre estará em posse do usuário e não do provedor de hospedagem.
Crypto ID: Você poderia explicar o que é certificado S/MIME e como ele pode ajudar nesse tempo de trabalho remoto?
Marcio D’Avila: O S/MIME (Secure/Multipurpose Internet Mail Extensions) é um padrão internacional de comunicação segura de e-mail, definido pelo IETF (Internet Engineering Task Force), grupo internacional que promove o desenvolvimento de documentos técnicos e padrões abertos para a internet.
Com o S/MIME é possível dar mais segurança as suas mensagens, pois garante a identificação, integridade, autenticidade e não repúdio aos seus e-mails. Em outras palavras, ele assina seus e-mails digitalmente (não repúdio) para que os seus destinatários possam identificar que a mensagem foi realmente enviada por você (identificação e autenticação) e que o seu conteúdo não foi adulterado (integridade). A Certisign fornece um certificado específico para esta finalidade, conhecido como Certificado de e-Mail Seguro.
Por conta da pandemia, é comum que as pessoas, na ânsia de se informar sobre a Covid-19 ou fazer as suas compras on-line, por exemplo, cliquem em links duvidosos. O phishing, no caso, é um golpe comum esta época é um prato cheio para os cibercriminosos.
Ele que consiste em enviar e-mails ou publicar banners chamativos, muitas vezes usando o nome de grandes empresas, para instigar o internauta a clicar e, assim, ser redirecionado para um site falso. Ao inserir suas informações pessoais para comprar um item ou baixar algo nessa página, o visitante tem seus dados roubados.
Para explicar melhor a gravidade deste golpe: em abril deste ano, o FBI enviou um comunicado a todos os órgãos do governo dos Estados Unidos informando que golpistas estão enviando e-mails falsos em nome de outras instituições com a promessa de vendas de equipamentos médicos e EPIs (Equipamento de Proteção Individual).
Nesse caso, os cibercriminosos já miraram nas agências do governo estadual – que, por conta da escassez de equipamentos médicos por conta do Coronavírus, acabam caindo no golpe transferindo os valores para os golpistas antes do recebimento das mercadorias.
De acordo com a empresa Barracuda Networks, os esquemas de BEC (Bussines e-Mail Compromise) representam menos de 10% dos ataques de phishing, mas são três vezes mais bem-sucedidos do que as tentativas tradicionais de phishing.
Por fim, outra boa prática no uso de Certificados S/MIME é a utilização no processo de identificação/autenticação em serviços e sistemas on-line. Utilizá-lo na autenticação garante um acesso forte e seguro de seus colaboradores e elimina a necessidade do uso do login e senha.
Crypto ID: Para finalizar, você pode falar mais sobre o uso do Certificado Digital ICP-Brasil e como ele pode ajudar as empresas em relação ao trabalho remoto e transações on-line?
Marcio D’Avila: O uso da Certificação Digital ICP-Brasil tem crescido muito com a pandemia, pois este cenário está permitindo a transformação digital das empresas e implementando novos produtos e serviços com mais segurança e validade jurídica, garantida por lei (Art. 10 da MP 2200/02).
Vários órgãos governamentais e privados estão expandindo os seus serviços on-line com o uso do Certificado Digital ICP-Brasil, garantindo mais celeridade, segurança e economia em seus processos e proporcionando a seus colaboradores, clientes e parceiros uma experiência muito melhor.
Por meio do Certificado Digital, por exemplo, é possível assinar contratos, prontuários médicos, receitas e exames pela internet, relacionar-se com o fisco, emitir Notas Fiscais Eletrônicas e muito mais.
Inclusive, no contexto do trabalho remoto, várias empresas já estão utilizando o Portal de Assinaturas para celebrar os contratos de trabalho com seus colaboradores; ou mesmo ajustar os contratos existentes, com adendos para esta nova forma de jornada.
A ICP-Brasil recentemente regulamentou a validação (etapa na qual é feita apresentação de documentos e conferência de dados) de Certificados Digitais a distancia de Certificados Digitais a distância, por meio da videoconferência – procedimento já adotado pela Certisign.
Esta normativa leva em consideração o momento atual de especial atenção à saúde em virtude do isolamento social imposto pela Covid-19, o qual impede que muitos cidadãos consigam ir presencialmente a uma Autoridade de Registro para adquirir o Certificado Digital.
4 vezes em que o Certificado Digital transformou a rotina das empresas. Ouça
Como a assinatura digital pode ajudar no trabalho à distância. Ouça
Certisign lança plataforma para assinatura digital de receitas médicas à distância. Ouça
Malwares estão sendo distribuídos sob o disfarce de alerta de Certificado SSL expirado – Ouça
Sobre a Certisign
A Certisign é pioneira e a maior Autoridade Certificadora do Brasil. Há mais de duas décadas, viabiliza que serviços possam ser realizados on-line proporcionando às empresas agilidade, redução de custos e sustentabilidade e, por consequência, às pessoas mais tempo e dinheiro para que possam fazer o que realmente importa. É referência no mercado por seu tamanho e números: presente em mais de 2200 locais de atendimento em todo o Brasil e em 22 no exterior, já ultrapassou a marca de 12 milhões de clientes atendidos.
Com vasto portfólio de produtos e serviços atende empreendedores e empresas de todos os segmentos e portes por meio da tecnologia da Certificação Digital.
Como o Certificado Digital pode ajudar no trabalho à distância. Ouça
O que é uma Autoridade Certificadora? Ouça
Certisign amplia serviço de renovação totalmente on-line do Certificado Digital. Ouça
Leia mais do maior portal sobre identificação digital!
Explore outros artigos!
