Últimas notícias

Fique informado

Destaques

Certificados Digitais Codesign – Será que não estamos fornecendo munição aos inimigos?

10 de julho de 2015

Encontramos grandes empresas que não protegem seus certificados digitais para assinatura de códigos de forma adequada

Por Eder Alvares P. Souza

Eder Alvares P. Souza – Co-fundador da eSafer e Colunista do CryptoId

Há poucas semanas a Kaspersky, uma empresa de origem russa, considerada uma das mais importantes empresas de Segurança Eletrônica do mundo, revelou ter sido vitima de um ataque cibernético destinado a espionar seus trabalhos de pesquisa e ate roubar códigos fonte de seus pedidos.

Considerado pela Kaspersky um ataque extremamente sofisticado, e que também teve outros alvos importantes como os participantes das negociações internacionais sobre o programa nuclear do Irã, o mesmo foi chamado de Duqu 2.0 devido a semelhança com o Duqu, já descoberto em 2011.

Um ponto relevante da descoberta foi sobre o modo como parte do código utilizado no ataque conseguiu se camuflar no sistema operacional do alvo e até executar tarefas consideradas restritas e permitidas somente à códigos autorizados.

Isso só foi possível devido ao Duqu 2.0 possuir um driver assinado digitalmente com um certificado digital Authenticode de propriedade da Foxconn e possivelmente furtado.

A Foxconn é uma empresa fabricante de equipamentos eletrônicos para diversas empresas como Apple, Sony, LG, Microsoft, entre outras, e provavelmente utilizava seus certificados digitais para efetuar a assinatura dos drivers desenvolvidos para os produtos fabricados.

A questão principal é que, diversos sistemas operacionais estão confiando nos certificados digitais para autenticar bibliotecas, drivers e até softwares e assim, autorizar a sua execução com privilégios mais elevados.

O uso dos certificados digitais com esse propósito, o de autenticar aplicativos e parte de códigos, já é uma realidade para diversas empresas como para a Apple e o Google, que só permitem a instalação e execução de aplicativos móveis em seus aparelhos se estiverem corretamente assinados.

A Microsoft também adota a mesma técnica para garantir autenticidade de drivers e softwares que precisam de privilégios elevados para executar determinadas tarefas no Windows, e até no mundo Linux, para instalar um software o instalador verifica se o pacote foi assinado corretamente antes de iniciar a instalação, descartando qualquer pacote que apresente problema com a assinatura ou com as chaves utilizadas.

Manter esses certificados digitais e chaves criptográficas protegidas de forma adequada é fundamental para garantir a segurança de todos os participantes dessa cadeia e quando um certificado digital com esse poder é furtado e utilizado de forma inadequada, todos os usuários dessas plataformas correm o risco de pagar e muito caro por isso.

Entretanto, é fácil encontrar empresas que não protegem seus certificados digitais para assinatura de códigos de forma adequada, fornecendo munição a esses atacantes que, com acesso a um desses certificados, poderá assinar e instalar códigos maliciosos que serão reconhecidos como confiáveis pelos sistemas dos usuários.

Proteger e dar acesso somente às pessoas autorizadas para a utilização desses certificados digitais é uma obrigação da empresa proprietária, que pode ter seu certificado digital imediatamente revogado se for comprovado o uso indevido deste, e assim, sofrer impactos na indisponibilidade de seus softwares e até dados a sua imagem.

Com isso, escolher formas apropriadas de proteção, como o uso de estações de trabalho desconectadas da rede corporativa e até o armazenamento das chaves em HSMs para a sua proteção, são fundamentais para garantir que esses certificados digitais não fiquem expostos a riscos como uso ou cópia não autorizada.

A elaboração de uma politica de acesso e uso desses certificados também contribui muito para garantir que somente o time responsável pela atividade de assinatura de códigos utilizem e da forma adequada.

Assim, não deixaremos que uma tecnologia tão importante e que vem para nos proteger no mundo digital, seja utilizada contra nós.

É isso e até a próxima!

Eder Alvares P. Souza

Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO.

Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital.

Atua há quinze anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria.

Vivência no desenvolvimento de produtos e implantação de soluções de Segurança e Certificação Digital em empresas de grande porte.

Eder é colunista e membro do conselho editorial do Instituto CryptoID.

Leia outros artigos do Colunista Eder Souza. aqui!

Últimas notícias

Cloud Destaques IA Notícias

Postado

Tipo de evento:

Todos

Local do evento:

Todos

Organizador do evento:

Todos

28out(out 28)09:0029nov(nov 29)19:00Cyber Security Summit 2024A conferência de cibersegurança mais importante da américa latina(outubro 28) 09:00 - (novembro 29) 19:00 Grand Hyatt Hotel

Mais

Detalhes do evento

O Cyber Security Summit é o pioneiro encontro internacional em cibersegurança no país, unindo anualmente líderes seniores (CEOs, CIOs, CISOs, CTOs, CROs), profissionais governamentais, diretores, gerentes e analistas de TI, além de especialistas em segurança e tecnologia organizado pelo Grupo 4CyberSec.

Seu objetivo é enfrentar os desafios urgentes da cibersegurança, fortalecer a confiança pública e ampliar nosso conhecimento coletivo. Como a principal conferência no Brasil, o Cyber Security Summit Brasil mergulha nas ameaças enfrentadas por empresas de todos os portes, destacando os perigos que tanto grandes corporações quanto negócios emergentes enfrentam no ciberespaço.

Cyber Security Summit Brasil 2024 em São Paulo

O evento exclusivo, marcado para os dias 28 e 29 de outubro no Grand Hyatt, reúne os principais especialistas em cibersegurança para discutir e enfrentar as ameaças cibernéticas em constante evolução. Ao longo de dois dias intensivos, os participantes terão acesso a insights valiosos e soluções inovadoras para os desafios da cibersegurança.

Durante o evento, mergulha-se em uma variedade de tópicos essenciais, desde a ameaça global contínua do ransomware até a dinâmica em evolução entre CISOs e CIOs nas empresas.

Explora-se o impacto da inteligência artificial na cibersegurança, a ascensão do malware ‘Info Stealer’ e as implicações das regulamentações em constante mudança. Este é um ambiente rico em conhecimento e oportunidades de networking, destinado a equipar os participantes com as ferramentas e os insights necessários para proteger suas organizações contra as ameaças do ciberespaço.

Não se perde esta oportunidade única de se manter à frente das ameaças cibernéticas em constante evolução. Junta-se a nós no Cyber Security Summit 2024 e fortalece suas defesas no mundo digital em constante mudança. Reserva-se a participação hoje mesmo!

Ingressos: https://lnkd.in/ecVsdkvz

Sobre o Grupo 4CyberSec

Estamos focados em criar uma rede de comunicação capaz de fortalecer todas as partes nessa luta diária. Nossos encontros se adaptam às necessidades de nossos clientes e os capacitam através de informações exclusivas com as soluções que as maiores potências do mundo estão utilizando para se proteger das ameaças digitais.

Hora

Outubro 28 (Segunda) 09:00 - Novembro 29 (Sexta) 19:00

Localização

Grand Hyatt Hotel

Organizador

4CYBERSEC

Grand Hyatt HotelAv. das Nações Unidas, 13301 - Itaim Bibi, São Paulo - SP, 04578-000

Calendário GoogleCal

Cadastre-se em nossa newsletter

Últimas notícias