Segurança Cibernética no Brasil - Um manifesto por mudanças »

Segurança Cibernética no Brasil - Um manifesto por mudanças »

Crypto-Trade prepares for 2.0 release

Bitcoin exchanges are tricky things. In an industry designed around avoiding the need for trust in any form, there’s something vaguely backwards about putting your money into the hands of an unknown party that may not give it back. The high-profile, probably-fraudulent loss of the money in Mt. Gox only drives the point home. However, as of now, there isn’t a good, provably trustable, decentralized exchange in existence yet. For now, a decent half-measure is community-owned exchanges, with known operators, where the community itself can buy ownership in the exchange, profit on its operations, and exercise a measure of control over it.

That’s what Crypto-Trade originally set out to be. Founded by a small group of friends in late May of 2013, the exchange allows users to trade a variety of cryptocurrencies, charging a small fee for each transaction. Shortly after its launch, the exchange issued an IPO via btct.co and litecoinglobal.com. By purchasing shares, users were able to earn dividends on the operation of the exchange. Unfortunately, this came to a halt when both of those services shut down their operations. Crypto-Trade responded by implementing their own Bitcoin-based stock exchange, and listed themselves on it.

During its lifespan, the exchange has had several periods of limited functionality, due to technical failures of the backend, and a hack in which several thousand dollars were stolen (the owners of the site ate the loss out of their own pocket). However, the site has always returned, and has earned something of a trial-by-fire reputability. That said, its total transaction volume is still much smaller than it needs to be to survive in the long run, and the site has been plagued by delays on various fronts. The operators of the site told CoinReport that these issues were largely due to the labor-intensive way many actions within the site are handled, presumably for security reasons.

In order to address all this, Crypto-Trade plans to launch an updated, revised version of the site (called, simply, “V2″), which provides a number of new features intended to address some of the shortcomings of the current exchange. Planned features include an improved UI, more backend automation, better mobile support for iOS and Android, and the ability to vote on new Altcoin support, in an effort to attract users of other currencies to the platform. On top of that, the exchange plans to implement tiered membership in an effort to make the exchange more profitable and friendlier to power users.

Look for the updated version of the exchange to launch in the next two weeks.

Fonte: https://coinreport.net/

BRy desenvolve certificação digital /autoridade de atributo

Tecnologia tem aplicação em entidades públicas e privadas que emitem documentos como certidões negativas, declarações e credenciais de acesso

Desde 2001, o marco regulatório da internet estabeleceu a certificação digital como a forma mais indicada para identificar um usuário em meio eletrônico. Recentemente, identificou-se a necessidade de permitir, também, a qualificação de um usuário. Ou seja, atestar a identidade não basta, é preciso também agregar outros atributos, como profissão, ligação com entidades de classe, vínculo com empresas, clubes, tanto para pessoas físicas como jurídicas. Em parceria com o Laboratório de Segurança da Informação (LabSEC) da Universidade Federal de Santa Catarina (UFSC), a BRy Tecnologia, de Florianópolis (SC), é pioneira na região Sul do país a desenvolver tecnologia para as chamadas Entidades Emissoras de Certificados de Atributos.

O Certificado de Atributos consiste em um documento eletrônico com informações que qualificam uma pessoa física ou jurídica identificada por seu certificado digital. Um exemplo é a emissão de um atestado de matrícula eletrônico com validade jurídica, em que uma instituição de ensino atesta o vínculo com um de seus alunos. Para acesso aos serviços da instituição ou mesmo de terceiros, como o pagamento de meia-entrada, o aluno conta com uma prova segura, inviolável e reconhecida pela legislação brasileira desse direito. Pode-se citar ainda a emissão de atestados médicos eletrônicos, carteiras profissionais, entre outros.

O Certificado de Atributos eliminou a necessidade de incluir informações excessivas, relacionadas à qualificação de usuários, no próprio certificado digital. “Isso trazia uma série de complicações, pois alguém pode deixar de ser sócio de um clube, por exemplo, ou ter a licença profissional cassada, mas jamais vai deixar de ser quem é. Para remover uma informação referente à profissão de um titular de certificado era preciso revogar o certificado e emitir outro, gerando um transtorno desnecessário”, explica Jeandré Monteiro Sutil, diretor técnico da BRy.

Segundo o diretor, certificados digitais devem conter apenas atributos relacionados à identidade do indivíduo, estáticos, enquanto Certificados de Atributos permitem atributos dinâmicos e de contexto mais específico. O primeiro certificado é emitido por Autoridades Certificadoras mediante um rígido processo de identificação presencial. Já o segundo pode ser emitido por qualquer entidade detentora de um certificado digital, as chamadas Entidades Emissoras de Atributos ou EEAs.

Prevenção de fraudes em benefícios

A autoridade de atributo pode ser aplicada na prevenção de fraudes nos mais variados cenários. Antes de garantir acesso a um medicamento pelo Sistema Único de Saúde, por exemplo, o sistema de dispensação de medicamentos de um hospital conveniado poderá conferir, de forma automatizada e inviolável, que o beneficiário tem direito a ele. Para tanto, bastará que seja verificada a prescrição eletrônica emitida por um médico, devidamente qualificado por um certificado de atributos emitido pelo Conselho Federal de Medicina. A própria prescrição também pode ser um certificado de atributos assinado pelo médico ou instituição a que este representa.

Caso haja uma mudança na condição do paciente, o certificado de atributo pode ser revogado e o benefício é automaticamente cancelado. O objetivo é prevenir atos ilícitos, pois é possível uma pessoa adulterar facilmente uma prescrição médica para obter vantagens. No cenário apresentado, um sistema emissor de certificados de atributos estaria vinculado ao sistema de registro eletrônico utilizado em unidades de saúde. Quando um médico emitir a prescrição, estará declarando que aquele paciente tem direito ao medicamento por determinado período.

Outra aplicação prática é a utilização da tecnologia em Juntas Comerciais e outros órgão da administração pública. Uma vez adotada, a certificação de atributos permitirá qualificar detentores de certificados digitais como representantes legais das empresas. Como o certificado de atributos pode ser incorporado a uma assinatura, dispensará o envio do estatuto social como forma de comprovar a representação legal de uma pessoa jurídica.

Na Receita Federal, a autorização de atributo pode desburocratizar processos, como o de emissão de Certidões Negativas de Débito (CNDs). Ao invés de imprimir um papel com a CND e apresentar junto a uma terceira entidade, o próprio sistema da entidade interessada pode buscá-lo diretamente nos repositórios da Receita Federal, pela internet. Com isso, elimina-se as impressões e agrega-se maior segurança ao processo, pois o certificado de atributos é protegido contra adulteração e possui valor legal como prova.

Regulação ocorreu a partir de 2012

Somente em 2012, o Certificado de Atributos foi regulamentado pela ICP-Brasil, órgão responsável pelo sistema nacional de certificação digital. A BRy oferecerá a tecnologia a entidades de classes, órgãos públicos e privados que emitem documentos oficiais, como declarações, atestados, ou credenciais de acesso. Com a tecnologia aplicada ao Conselho Federal de Medicina ou aos Conselhos Regionais de Engenharia e Arquitetura, por exemplo, será possível identificar o profissional como filiado sem modificar sua certificação digital original. As próprias instituições serão capazes de emitir a credencial, sem precisarem constituir um Autoridade Certificadora.

Fonte:http://www.bry.com.br/

Os benefícios da criptografia para os negócios

Ao contrário do que pode parecer à primeira vista, a criptografia é um campo de conhecimento que está presente regularmente na vida da maioria dos cidadãos.

Por exemplo, na hora de realizar uma compra online, consultar um extrato bancário e até mesmo enviar conversas e imagens através de aplicativos de smartphones ou nas comunicações internas em empresas. Apesar de ser muito utilizada em atividades cotidianas, essa tecnologia ainda é cercada de mistério. Então o que é exatamente a criptografia e por que deve ser usada?

A palavra criptografia, que vem do grego "grafia escondida", é um ramo da matemática cuja função é permitir que mensagens sejam trocadas de modo que apenas o destinatário veja o conteúdo. Isto é, ninguém pode saber qual o saldo da sua conta ou ler seus e-mails sem sua autorização. A criptografia é feita através de cálculos matemáticos complexos, o que torna o conteúdo da mensagem indecifrável para alguém que não deveria ter acesso àquela mensagem. Desde o desenvolvimento das primeiras formas de criptografia, a técnica tem sido usada extensivamente no campo militar para transmissão de ordens e troca de informações sensíveis. Com a criação da Internet e do aumento do tráfego de informações pessoais, como conversas, fotos e informações bancárias, tornou-se indispensável desenvolver uma forma de proteger esses dados, e o uso da Criptografia chegou para fazer isso.

Quando não há preocupação com a proteção dos dados dos clientes, as empresas podem acabar sendo alvo de ataques e sofrer um grande baque na confiança de seus serviços. Dentre casos recentes, podemos destacar o da Sony, que em abril de 2011 teve vazados dados de aproximadamente 77 milhões de usuários da PSN (PlayStation Network), serviço que disponibiliza jogos e outros conteúdos de entretenimento, incluindo dados pessoais como nome, endereço, senha, números de cartão de crédito, dentre outros. Isso aconteceu porque hackers conseguiram acesso a máquinas da rede interna da Sony e os dados dos clientes estavam armazenados sem nenhum tipo de criptografia. O resultado foi que a Sony ficou mais de 20 dias com seu serviço fora do ar, estimando suas perdas em U$171 milhões no período, entre atualizações de segurança e suspensão do serviço.

Em junho de 2013, surgiram as primeiras publicações de documentos vazados da NSA (National Security Agency) por Edward Snowden, ex-funcionário da CIA, que mostravam que os serviços de inteligência norte-americanos obtinham acesso a informações secretas através de uma rede de grampos e parcerias com grandes empresas. Essa vigilância se dava na forma de gravações de ligações, acesso a contas de e-mail, monitoramento do tráfego de informações na rede, além de outras fontes de informações armazenadas por empresas. A revelação levantou a discussão sobre a validade da violação da privacidade de informações pessoais em favor de assuntos de segurança nacional, como a NSA categorizou seus esforços. Essas informações foram obtidas, principalmente, por meio de dados não criptografados na Internet.

Com o aumento na veiculação de notícias sobre perdas financeiras e de dados por conta de falhas de segurança, as empresas têm tido um cuidado maior com a segurança das suas informações e de seus clientes. A criação de equipes responsáveis pela segurança dos dados armazenados é uma prática que tem se tornado cada vez mais comum. Para evitar o uso de métodos criptográficos inseguros, existem órgãos como o NIST (National Institute of Standards and Technology, dos EUA) que mantêm listas atualizadas de modelos considerados seguros.

Por Gabriel Silva - Arquiteto de Software da Stone Age

Criptografia, você deveria conhecer

A Criptografia é a ciência que oculta o significado de uma mensagem e tem como ferramenta os recursos matemáticos para cifrar e decifrar mensagens. O ato de cifrar consiste em transformar um texto normal em texto secreto, e o ato de decodificar é a operação inversa, consiste em transformar um texto cifrado em texto normal.

Antigamente, a cifragem era utilizada na troca de mensagens, sobretudo em assuntos ligados à guerra no intuito de o inimigo não descobrir a estratégia do emissor da mensagem, caso se apoderasse dela. O primeiro uso documentado da criptografia foi em torno de 1900 a.C, no Egito, quando um escriba usou hieróglifos fora do padrão numa inscrição.

Entre 600 a.C e 500 a.C, os hebreus utilizavam a cifra de substituição simples (de fácil reversão e fazendo uso de cifragem dupla para obter o texto original), sendo monoalfabético e monogrâmica (os caracteres são trocados um a um por outros), e com ela escreveram o Livro de Jeremias.

O chamado "Codificador de Júlio César" ou "Cifra de César" que apresentava uma das técnicas mais clássicas de criptografia, é um exemplo de substituição que, simplesmente, substitui as letras do alfabeto avançando três casas. O autor da cifragem trocava cada letra por outra situada a três posições à frente no alfabeto. Segundo o autor, esse algoritmo foi responsável por enganar muitos inimigos do Império Romano; no entanto, após ter sido descoberta a chave, como todas, perdeu sua funcionalidade

Se formos analisar a história da criptografia, vemos que ela era muito utilizada na antiguidade, por reis que se preocupavam, principalmente, com suas táticas de guerra, que não deveriam ser conhecidas por seus adversários, visto que essa falha na segurança poderia até culminar na perda de uma guerra. E por motivos de privacidade ou ocultação de informação que a criptografia é utilizada.

Cada vez mais, são enviadas informações via web. Quem nunca realizou uma compra on-line? Ou então um cadastro onde informações pessoais, como CPF e RG fossem necessários? Ou até mesmo uma transação bancária via Internet Banking? Quem é responsável por garantir que nenhum terceiro ficou sabendo dessas informações? A criptografia é responsável por isso.

Com a evolução da criptografia ao longo dos anos, hoje há mecanismos seguros e eficientes, como o 3DES (Triple Data Encryption Standard) e o AES (Advanced Encryption Standard), que são os algoritmos base para os protocolos usados.

Atualmente, os dois protocolos mais usados para proteção de dados na Internet, o SSL (Secure Sockets Layer) e o TLS (Transport Layer Security) utilizam a criptografia simétrica para proteger os dados transmitidos e armazenados. No entanto, a criptografia simétrica possui um desafio importante e impossível de ser resolvido. Como combinar uma chave secreta entre duas pessoas que querem se comunicar através da Internet? Essa pergunta não teve solução até a década de 1970 e não foi na criptografia simétrica que a solução foi encontrada.

A solução foi dada pela criptografia assimétrica, na qual se utiliza duas chaves distintas, mas que se complementam. Por essa propriedade, dá-se o nome de par de chaves, que é composto pela chave pública e pela chave privada. A chave pública é liberada para todos que desejam se comunicar com o emissor da chave enquanto a chave privada fica em poder de quem a emitiu.

Por exemplo, se Maria deseja enviar um e-mail para João, ela deve obter a chave pública de João e encriptar o e-mail com essa chave. Quando João receber o e-mail, ele deve decriptar com a sua chave privada e obter a mensagem de Maria. Com essa técnica, apenas João poderá obter a mensagem, pois só ele possui a chave privada.

O algoritmo de criptografia mais usado atualmente é o RSA, denominado pelas iniciais dos seus criadores, Ronald Rivest, Adi Shamir e Leonard Adleman.

Nele, números primos (número primo é aquele que só pode ser dividido por 01 e por ele mesmo) são utilizados da seguinte forma: dois números primos são multiplicados para se obter um terceiro valor. Porém, descobrir os dois primeiros números a partir do terceiro (ou seja, fazer uma fatoração) é muito trabalhoso. Se dois números primos grandes (realmente grandes) forem usados na multiplicação, será necessário usar muito processamento para descobri-los, tornando essa tarefa praticamente inviável. Basicamente, a chave privada no RSA são os números multiplicados e a chave pública é o valor obtido.

As redes hoje em dia sofrem cada vez mais ataques que podem comprometer a segurança da informação. Se proteger contra isso é extremamente importante.

Falamos sobre criptografia na transmissão das informações, porém não podemos somente pensar na segurança da informação em trânsito, temos que ter em mente também a confidencialidade quando armazenada, tanto na origem como no destino. De nada adianta você ter seus dados de cartão de crédito enviados de forma criptografada, se ao ser armazenado, esse dado fica disponível para qualquer um, sem nenhum tipo de criptografia.

Devido à sua importância, a criptografia é uma técnica de segurança usada em todos os sistemas computacionais que requerem proteção das informações transmitidas e armazenadas.

Você, usuário doméstico, também deve utilizar criptografia para proteger seus dados. A criptografia não é somente para o ambiente corporativo, qualquer usuário que tenha informações que não deseja que sejam expostas, deve criptografá-las. Hoje, temos diversas ferramentas que ajudam um usuário leigo a utilizar dessas técnicas sem muito conhecimento. Você já utiliza a criptografia para se proteger contra vazamento das suas informações?

(Erick Pedretti Nobre, gerente de Desenvolvimento de Negócios da CYLK)

Fonte:http://www.dm.com.br

OCSP Must-Staple

With the announcement of the Heartbleed bug and the resulting need to revoke large numbers of SSL certificates, the topic of certificate revocation has, once again, come to the fore.

There have been many issues with how revocation information is provided to the browsers. First let’s review how SSL certificate status may currently be obtained:

How	Definition	Pros	Cons
Certificate Revocation List (CRL)	A signed list of the serial numbers of all revoked certificates that were signed by the CA’s certificate.	A single point of reference for the status of all certificates issued by the CA’s certificate.	Over time, CRLs might become very large, resulting in unacceptable latency. An attacker may be in a position to block the CRL delivery.
Online Certificate Status Protocol (OCSP)	A signed response containing the status of one certificate.	An OCSP response is small and does not grow. As such, there is no latency due to size.	Browsers have to obtain an OCSP response for each certificate in the Web server’s certificate chain, requiring it to open additional connections, thereby impacting page load time. Privacy issues may be a concern as the CA can determine which websites a user is visiting. An attacker may be in a position to block the OCSP delivery.
OCSP Stapling	A signed response, fetched by the Web server, with the status of its certificate. The OCSP response is then provided by the Web server to the browser.	No privacy issues, as the CA does not know which user has asked for the OCSP response.	Need Web servers and browsers that support OCSP Stapling. An attacker may be in a position to block the OCSP delivery.
Blacklist (for example,CTLs or CRLSets)	A list of certificates that should not be trusted (whether or not they were revoked), distributed by the browser supplier.	The blacklist is distributed by the browser supplier as part of the browser executable. Any certificate on the blacklist can be rejected without any additional checks.	For practical reasons, the list is incomplete.

Soft-fail Versus Hard-fail

The major concern for browser users is the policy of soft-fail versus hard-fail. The issue is that the certification authority (CA) CRL/OCSP response may not get delivered to the browser. This could occur as a result of a non-malicious failure somewhere in the infrastructure. But, it could also occur as a result of an attack.

Browser designers have determined that the former explanation is overwhelmingly more probable, so they have chosen a soft-fail policy. This means if that there if the browser receives no response, then the certificate will be considered good and the browser will allow access to the associated content.

A hard-fail policy, on the other hand, would mean that if the browser received no response, then the certificate would be assumed to be revoked, and the browser would block access to the content. As of this writing, no major browser implements hard-fail.

OCSP stapling almost resolves the problem, as the OCSP response is bundled into the SSL handshake and is thus easily delivered. However, since websites do not yet universally support stapling, the browser cannot distinguish between an uncompromised site that doesn’t support stapling, and a compromised site where the OCSP response is blocked.

OCSP Must-Staple

To resolve these matters, the solution of OCSP Must-Staple has been suggested. If the Web server could securely tell the browser that it supported OCSP Stapling, then the browser would know to expect an OCSP-stapled response. And if no response was received, the browser could hard-fail.

The website administrator has to determine if their site will support OCSP Must-Staple. First, they will have to have their website support OCSP stapling, then they must add the OCSP Must-Staple flag. The design is not finalized, but the OCSP Must-Staple flag can be implemented in two ways:

1. Must-Staple Assertion in the SSL Certificate
   In this case, the website administrator has to advise its CA that it wants OCSP Must-Staple. The CA will put an object identifier (OID) extension in the SSL certificate indicating Must-Staple. When a user goes to the website, the browser will review the certificate and see the OCSP Must-Staple indicator. It will then require an OCSP-stapled response from the Web server. If no response is received, then the browser will hard-fail.
   There is a draft proposal for an IETF RFC on OCSP Must-Staple.
2. Must-Staple Assertion in the SSL Header
   A more immediate solution to OCSP Must-Staple would be to include the flag in an HTTPresponse header. Mozilla developers are currently working on this solution.
   In this case, the Web administrator will add a Must-Staple response header to their Web server responses. The header will include a max-age specification, which will tell the browser that the Must-Staple flag is valid for a certain period of time. The browser will then cache the Must-Staple information.

The next time the browser goes to the website, it will know that this is a Must-Staple site. If no OCSP staple is received, then the browser will hard-fail.

This solution does have a “first visit” problem (i.e., Trust On First Use or TOFU). This means that until a browser has visited a site, it will not have the Must-Staple information. This would allow an attacker to interfere with the browser’s first visit to a website. This makes the solution good, but not perfect. There is also the possibility that the attack can be mitigated using a preloaded list of Must-Staple sites.

Here is a summary of OCSP Must-Staple:

How	Definition	Pros	Cons
OCSP Must-Staple (assertion in certificate)	The flag is implemented as a specific object identifier (OID) extension in the SSL certificate	No “first visit” problem – all connections to the Web Server carry the Must-Staple flag.	Web server needs a certificate issued with the OCSP Must-Staple flag.
OCSP Must-Staple (assertion in HTTP Response)	The flag is implemented as an HTTP Response Header	Works with existing SSL certificate.	“First visit” problem

OCSP Must-Staple removes most of the issues with traditional revocation checking, and allows the browsers to implement a hard-fail policy. Although there are some cons listed, these are basically items that will be resolved as the deployed browsers and Web servers support OCSP Stapling and Must-Staple.

Currently, all of the new desktop browsers support OCSP stapling. Regarding Web servers, Microsoft IIS by default supports OCSP Stapling and versions of Apache and Nginx can be configured to support OCSP Stapling. Other servers such as F5 will soon support OCSP Stapling as well.

Fonte: https://casecurity.org