Últimas notícias

Fique informado
Certificados Digitais na visão dos 500 principais CIO’s dos EUA e Europa

Certificados Digitais na visão dos 500 principais CIO’s dos EUA e Europa

12 de junho de 2016

O que pensam os  500 CIO’s das principais empresas do Reino Unido, EUA, França e Alemanha sobre Certificados Digitais?

Por David B. Svaiter*

David B.Svaiter Big Blue | Segurança da Informação & Criptografia 

David B. Svaiter
Big Blue | Segurança da Informação & Criptografia

Em janeiro deste ano uma empresa especializada no gerenciamento de Certificados Digitais decidiu fazer uma pesquisa junto a 500 CIO’s das principais empresas do Reino Unido, EUA, França e Alemanha.

 

Quais as principais conclusões?

87entendem que as medidas de ciber-segurança estão falhando e concordam que estão gastando dinheiro em medidas inadequadas de proteção. Mesmo com a proteção “em camadas” (diversos métodos diferentes e agregados), o fato do tráfego obrigatoriamente ser criptografado em TLS/SSL impede a devida monitoração/deteção na saída/acesso de informações relevantes.

 

 

90já sofreram ataques oriundos de certificados e chaves desprotegidas. Entende-se como tais, os certificados e/ou chaves criptográficas ainda ativos e que deveriam estar revogadas ou ainda, certificados e chaves realmente falsificados e/ou autorizados por Certificadoras não-confiáveis.

 

 

 

85têm certeza que os ataques vão aumentar. A explicação é óbvia: a vasta maioria dos controles hoje disponíveis são configurados para confiar cegamente em Certificados Digitais e a vasta maioria das empresas não possui expertise ou capacidade no gerenciamento de seus Certificados e Chaves criptográficas. Resultado? Os atacantes estão incrementando o uso de Certificados e Chaves Digitais nos ataques, obtendo acesso confiável às estruturas e sob tráfego indetectável (criptografado).

Para especialistas em segurança da informação com vivência nesta área, as conclusões acima não oferecem surpresa.

Mas para a ampla maioria dos Gestores não acostumados à sofisticação do ambiente digital, tais considerações despertam um misto de curiosidade e surpresa; afinal, não são os Certificados Digitais criados justamente para impedir tais ataques?
Tendo em mente o acima, teço alguns comentários dignos de reflexão:

O uso de Certificados Digitais é complexo, caro e dependente de uma estrutura que necessita estar 100% ativa e responsiva. Gerenciar certificados digitais com indolência resulta em assumir vulnerabilidades.

E como o universo médio de uma grande empresa oscila na faixa de 23.000 certificados, é simples de entender que vários deles podem estar abandonados, esquecidos, não-revogados, pertencendo a pessoas demitidas, falecidas, transferidas e/ou às estruturas no momento inexistentes – mas todos genuínos e que serão devidamente autenticados por ocasião do mau uso: um ataque de penetração utilizado qualquer um deles como acesso.
Expanda agora este universo aos certificados externos: fornecedores de software, de insumos, de serviços diversos. Novamente: o mau uso de um Certificado autenticado ou uma falsa autenticação são as portas de entrada em mais da metade dos ataques.

E utilizando redes seguras (TLS/SSL) para esta penetração e evasão de informações, o fazem de forma invisível ou indetectável por agentes monitoradores. Isso porquê toda uma interconexão de hardware e software trabalha num esquema denominado Blind Trust (confiança cega), que hoje é o “calcanhar de Aquiles” da metodologia PKI.

Uma vez que um acesso é “certificado e autenticado”, uma extensa “onda-verde” de portas e bloqueios de acesso se abre ao invasor. Os sistemas passam a confiar, em efeito cascata, neste acesso.

Aliás, sempre vi nesta “centralização de confiança” algo bem estúpido!

opened-doorsImagine entrar num prédio com 20 portas de bloqueio, onde basta abrir a primeira para que todas as outras se abram… faz sentido?

Portanto, o que vemos evidenciado neste relatório é digno de muita atenção: são os próprios usuários-compradores destes sistemas que afirmam que além de não estarem protegidos, esta estrutura facilita ataques de penetração!

O relatório finaliza sugerindo que a empresa pode “contratar os serviços profissionais de gerenciamento” de certificados e chaves, funcionando em processos automáticos e manuais, mitigando estes riscos.

 

Inteligente

 

Mas cabe a pergunta: não seria mais econômico e racional abandonar este tipo de metodologia usada nos “Certificados Digitais” e migrar para técnicas mais inteligentes e amplamente validadas por militares e agências de inteligência em todo o mundo?

Elas existem e estão à disposição no mercado nacional.

Para acesso completo ao relatório, siga este link!

Leia outros artigos de David B.S vaiter no portal Cifra Extrema!

 

*David B. Svaiter – Big Blue | Segurança da Informação & Criptografia

TAGS

Cios