Últimas notícias

Fique informado
SSL: Uma Crise de Identidade

SSL: Uma Crise de Identidade

30 de março de 2017

By Laila Robak • 29 Mar, 2017

 

Há tanto ocorrendo ao mesmo tempo com relação à PKI que é difícil definir um único tópico: Certificados Symantec, altamente usados no mercado na eminência de sofrerem mudanças que terão enorme impacto nas empresas que os utilizam; iniciativas de SSL grátis sendo responsáveis pela emissão de milhares de certificados usados para phishing; SHA1 ainda sendo utilizado por empresas e colocando em risco seus dados; e entre tudo isso parece que esquecemos que os cyber criminosos não pararam suas operações para esperar que nos protejamos, que asseguremos nossos dados e sistemas.

Veja bem, esse não é um daqueles filmes que temos 10 contra 1, mas os vilões só atacam o mocinho um de cada vez, essa é a vida real, e aqui os criminosos não esperam que estejamos preparados para nos atacar.

 


Criptografar dados é com certeza um ato nobre e necessário, e com isso houve o surgimento de iniciativas bem intencionadas, distribuindo o chamado certificado DV (Validação de Domínio) gratuitamente para proteger a informação de todos! Agora todos podem estar seguros, todos os dados estão protegidos…NÃO!

Infelizmente, o movimento HTTPS, de criptografia dos dados, acidentalmente ensinou às pessoas a confiarem na criptografia ao invés de confiarem na identidade! “Olha o cadeado de segurança!”, “Busque o HTTPS”, “Isso signfica seguro”!

Ao mesmo tempo, a falta de verificação relacionada à emissão de certificados de Validação de Domínio, e a ausência de filtros de Phishing nessas iniciativas gratuitas, permitiu, e permite, que milhares de certificados fossem emitidos para cyber criminosos, assim sendo usados em websites com o intuito de phishing, atraindo mais e mais pessoas a entregarem seus dados para criminosos sem que ao menos percebam. Em páginas onde não há a troca de informações importantes, informações não identificáveis, um DV serviria, sem problemas.

No entanto, quando trata-se da entrada de informação crítica como dados de login, cartão de crédito, informações privadas que podem ser usadas para forjar identidade ou levar a cabo outros crimes, saber a IDENTIDADE da empresa para a qual você está enviando suas informações é crucial!

E Empresas deveriam preocupar-se mais com este risco, pois esses cyber criminosos estão emitindo certificados contendo os nomes de suas entidades, atraindo usuários, causando um impacto financeiro e de reputação. Para exemplificar, apenas em 2016, a iniciativa de SSL grátis Let’s Encrypt emitiu mais de 15.000 certificados SSL contendo a palavra “PayPal” em seus nomes.



Agora, se o seu fornecedor não pode ser confiado quanto a estes padrões de verificação, então temos um grande problema! E isso é o que está acontecendo com a Symantec no momento. Uma investigação da Google mostrou que a Symantec não estava utilizando as melhores práticas de segurança, incluindo o seu processo de validação, o que levou a emissão inapropriada de mais de 30.000 certificados. O que isso significa? Que há dúvida com relação à identidade por trás desses certificados emitidos. Por isso, a Google sugeriu uma diminuição no tempo de validade dos certificados Symantec, e que o Google Chrome pare de confiar nos certificados EV da empresa, deixando de ativar a barra verde. Pois os certificados EVs, a barra verde, são o maior nível de segurança para o usuário quanto à identidade tratando-se de SSL, e assim deve permanecer.

Verde Significa CONFIANÇA!


Um certificado EV pode ajudar muito mais a evitar ataques do que a maioria das empresas pensam, por exemplo, para setores críticos como finanças, governo, saúde, energia, telecom, entre outros, isso pode ser a distinção entre uma página autêntica, e uma página forjada para seu usuário, seja ele indivíduo ou corporativo. Cyber criminosos estão cada vez mais sofisticados em seus ataques, atraindo usuários a websites falsos através de emails de phishing, pop ups, spams, redirecionamento, falsa propaganda, etc. Agora, adicione a isso a facilidade de obter um certificado DV e temos uma perigosa combinação de “nome similar ao domínio”+ HTTPS & Cadeado de Segurança. A maioria dos usuários não pára para verificar letra a letra o nome do domínio na página onde ele se encontra, adquirir um domínio parecido com um autêntico, mudando poucas letras é fácil, e conseguir um certificado DV para o mesmo mais fácil ainda, deixando difícil discernir entre o bom e o mau.

 


Instruir seus usuários para que SOMENTE confiem nas páginas que contêm a barra verde com o nome da empresa exibido, pode ser o discernimento que você está buscando. Cyber criminosos podem forjar um DV, mas um certificado EV possui um processo estrito assim como requerimentos de base definidos e protegidos por diferentes entidades internacionais, como vemos a Google por exemplo defendendo agora! Implementar certificados EV em suas páginas públicas, onde informações críticas serão entradas/trocadas, poderá lhe ajudar a economizar tempo, dinheiro, reputação e muita dos de cabeça.

O fornecedor correto poderá lhe guiar na melhor solução para os seus negócios, e te explicar o porquê dessas mudanças, porquê elas estão ocorrendo, assim você entenderá a importância e poderá trabalhar em conjunto por um ambiente mais seguro, mais oportunidades de negócios, e acima de tudo: CONFIANÇA!

Um boa consultoria pode lhe ajudar a identificar os seus certificados, as vulnerabilidades dos mesmos, assim como dos pontos nos quais eles estão instalados. Possibilitando a troca à uma plataforma centralizada e segura com apenas 3 cliques, sem perder o tempo de validade no seu certificado antigo, e sem adicionar carga ao departamento de TI, além de provermos APIs de automação da instalação para facilitar ainda mais o processo de segurança. Solicite uma demo hoje mesmo.