Vazamento de chaves criptográficas: o que eu tenho a ver com isso?
10 de maio de 2021Por Marco Zanini
De nada vale a criptografia se as chaves de segurança utilizadas nesses processos forem geradas, ou armazenadas de forma insegura
As corporações estão cada vez mais conscientes dos prejuízos causados pelo vazamento de chaves ou furto de informações e se preocupam muito com sua proteção.
Dois fatores principais contribuíram para esta crescente atenção ao tema: a explosão de dados armazenados em sistemas digitais e o aumento das opções disponíveis para utilizar estes dados em transações eletrônicas.
Bancos de dados são os repositórios mais significativos de informações relevantes para uma empresa como, dados de cartões de crédito, informações competitivas/confidenciais e propriedade intelectual.
Dentro deste cenário, a criptografia é sabidamente a estratégia mais eficiente de proteção de dados armazenados. No entanto, de nada vale a criptografia se as chaves de segurança utilizadas nesses processos forem geradas, utilizadas ou mesmo armazenadas de forma insegura.
E essa é a grande falha cometida pelos gestores corporativos atualmente, por falta de conhecimento ou mesmo por negligenciar os riscos envolvidos.
Este mês, um número superior a 40 aplicativos com mais de 100 milhões de instalações foram encontrados com vazamento de informações. Esses tinham chaves privadas de um importante player de mercado, codificadas neles. Com isso, milhares de dados de suas redes internas e de seus usuários em risco suscetíveis a ataques cibernéticos.
As chaves codificadas em um código-fonte de aplicativo móvel, por exemplo, podem ter sido um grande problema, especialmente se a função (gerenciamento de identidade e acesso) tiver tido amplo escopo e permissões. As possibilidades de uso indevido são infinitas, uma vez que os ataques podem ser encadeados e o invasor tem a possiblidade de obter mais acesso à toda a infraestrutura, até mesmo à base de código e configurações.
Muitas instâncias são configuradas incorretamente e acessíveis a partir da Internet, o que torna possível ocasionar muitas violações de dados no mundo inteiro.
Desta forma, operações envolvendo chaves de segurança devem ocorrer em ambiente altamente seguro, ou seja, em Hardware Security Module (HSM). Equipamentos servidores são projetados para uso geral e não oferecem a proteção necessária.
Além disso, operações criptográficas demandam um grande poder de processamento e podem consumir preciosos recursos computacionais concorrendo com regras de negócio, caso sejam realizadas em servidores de aplicação.
O uso do HSM garante a segurança, através da separação entre dados criptografados e chaves de segurança.
Provê dupla custódia de chaves, segregação de papeis, trilhas de auditoria, desempenho e conformidade com as normativas de segurança em todos os segmentos da indústria.
Suas características de gerenciamento, disponibilidade e desempenho proporcionam o menor custo de propriedade do mercado.
Além disso, as APIs de criptografia em HSM, cada vez mais são utilizadas pelo mercado. Por serem simples e de fácil utilização irão se conectar a outras aplicações da empresa, integrando-se facilmente ao Microsoft SQL Server.
Essas API´s de criptografia disponibilizam cada vez mais funções de alto nível aos desenvolvedores, trazendo economia de tempo e de recursos, e já faz parte do dia a dia das organizações.
Se sua empresa deseja evitar vazamento de dados e roubo de informações estas são dicas importantes, que podem evitar muitos prejuízos financeiros e de imagem para os negócios. A proteção de chaves deve ser feita em HSM.
Sobre a DINAMO NETWORKS
DINAMO NETWORKS é especialista em segurança digital e criptografia. Possui a maior biblioteca de APIs de alto nível e tem participado dos principais projetos de segurança do País como: Piloto do DREX (Real Digital), Anonimização de Dados para conformidade a Lei Geral de Proteção de Dados (LGPD), assinatura e processamento do PIX, Sistema de Pagamento Brasileiro (SPB), Processamento de Cartões, Assinatura do Prontuário Eletrônico do Paciente (PEP), IR pela Internet, Nota Fiscal Eletrônica, entre vários outros. Fábrica diferentes modelos de appliances de segurança, ou Hardware Security Module (HSMs), todos com certificação internacional FIPS 140-2, nível 3, utilizados pelos principais bancos brasileiros, incluindo o Banco Central do Brasil (em especial para a criptografia do PIX) e pelas empresas dos mais diversos segmentos de forma On-Premise ou em nuvem (Cloud). Recentemente, lançou a primeira plataforma de soluções de criptografia com pagamento por uso disponível no mercado mundial, a DINAMO SuperCloud.
Leia outros artigos sobre a Dinamo aqui!
Para saber mais sobre a Dinamo Networks acesse: https://www.dinamonetworks.com/