Certificados Digitais na visão dos 500 principais CIO’s dos EUA e Europa
12 de junho de 2016O que pensam os 500 CIO’s das principais empresas do Reino Unido, EUA, França e Alemanha sobre Certificados Digitais?
Por David B. Svaiter*
Em janeiro deste ano uma empresa especializada no gerenciamento de Certificados Digitais decidiu fazer uma pesquisa junto a 500 CIO’s das principais empresas do Reino Unido, EUA, França e Alemanha.
Quais as principais conclusões?
entendem que as medidas de ciber-segurança estão falhando e concordam que estão gastando dinheiro em medidas inadequadas de proteção. Mesmo com a proteção “em camadas” (diversos métodos diferentes e agregados), o fato do tráfego obrigatoriamente ser criptografado em TLS/SSL impede a devida monitoração/deteção na saída/acesso de informações relevantes.
já sofreram ataques oriundos de certificados e chaves desprotegidas. Entende-se como tais, os certificados e/ou chaves criptográficas ainda ativos e que deveriam estar revogadas ou ainda, certificados e chaves realmente falsificados e/ou autorizados por Certificadoras não-confiáveis.
têm certeza que os ataques vão aumentar. A explicação é óbvia: a vasta maioria dos controles hoje disponíveis são configurados para confiar cegamente em Certificados Digitais e a vasta maioria das empresas não possui expertise ou capacidade no gerenciamento de seus Certificados e Chaves criptográficas. Resultado? Os atacantes estão incrementando o uso de Certificados e Chaves Digitais nos ataques, obtendo acesso confiável às estruturas e sob tráfego indetectável (criptografado).
Para especialistas em segurança da informação com vivência nesta área, as conclusões acima não oferecem surpresa.
Mas para a ampla maioria dos Gestores não acostumados à sofisticação do ambiente digital, tais considerações despertam um misto de curiosidade e surpresa; afinal, não são os Certificados Digitais criados justamente para impedir tais ataques?
Tendo em mente o acima, teço alguns comentários dignos de reflexão:
O uso de Certificados Digitais é complexo, caro e dependente de uma estrutura que necessita estar 100% ativa e responsiva. Gerenciar certificados digitais com indolência resulta em assumir vulnerabilidades.
E como o universo médio de uma grande empresa oscila na faixa de 23.000 certificados, é simples de entender que vários deles podem estar abandonados, esquecidos, não-revogados, pertencendo a pessoas demitidas, falecidas, transferidas e/ou às estruturas no momento inexistentes – mas todos genuínos e que serão devidamente autenticados por ocasião do mau uso: um ataque de penetração utilizado qualquer um deles como acesso.
Expanda agora este universo aos certificados externos: fornecedores de software, de insumos, de serviços diversos. Novamente: o mau uso de um Certificado autenticado ou uma falsa autenticação são as portas de entrada em mais da metade dos ataques.
E utilizando redes seguras (TLS/SSL) para esta penetração e evasão de informações, o fazem de forma invisível ou indetectável por agentes monitoradores. Isso porquê toda uma interconexão de hardware e software trabalha num esquema denominado Blind Trust (confiança cega), que hoje é o “calcanhar de Aquiles” da metodologia PKI.
Uma vez que um acesso é “certificado e autenticado”, uma extensa “onda-verde” de portas e bloqueios de acesso se abre ao invasor. Os sistemas passam a confiar, em efeito cascata, neste acesso.
Aliás, sempre vi nesta “centralização de confiança” algo bem estúpido!
Imagine entrar num prédio com 20 portas de bloqueio, onde basta abrir a primeira para que todas as outras se abram… faz sentido?
Portanto, o que vemos evidenciado neste relatório é digno de muita atenção: são os próprios usuários-compradores destes sistemas que afirmam que além de não estarem protegidos, esta estrutura facilita ataques de penetração!
O relatório finaliza sugerindo que a empresa pode “contratar os serviços profissionais de gerenciamento” de certificados e chaves, funcionando em processos automáticos e manuais, mitigando estes riscos.
Mas cabe a pergunta: não seria mais econômico e racional abandonar este tipo de metodologia usada nos “Certificados Digitais” e migrar para técnicas mais inteligentes e amplamente validadas por militares e agências de inteligência em todo o mundo?
Elas existem e estão à disposição no mercado nacional.
Para acesso completo ao relatório, siga este link!
Leia outros artigos de David B.S vaiter no portal Cifra Extrema!
*David B. Svaiter – Big Blue | Segurança da Informação & Criptografia