Sabemos que com o destaque da internet e o avanço do e-commerce, os ataques aos seus usuários e as lojas online cresceram consideravelmente e resultaram em grandes prejuízos.
Segundo o “Relatório de ameaças 2014“, produzido pela Websense Security Labs, grande parte dos ataques utilizaram a web ou e-mails enviados de sites legítimos e que foram previamente comprometidos para chegar até as vítimas.
Além desse ponto, 3,3% de todos os spam enviados continham links direcionando os usuários a sites que reproduziam lojas virtuais com o objetivo de roubar as informações desses usuários.
Outra pesquisa realizada pela empresa Trend Micro concluiu que o Brasil só perde para os Estados Unidos em ataques de phishing, que utilizam sites falsos, porém muito semelhantes aos originais e que possuem como objetivo convencer os usuários a digitarem seus dados pessoais.
Assim, tentar garantir ou elevar a segurança da internet tem se tornado uma necessidade atual e enxergando essa necessidade, em 2013 diversas Autoridades Certificadoras, responsáveis por quase a totalidade dos certificados digitais SSL emitidos, criaram o Certificate Authority Security Council (CASC).
O CASC é um conselho destinado a criar e promover boas práticas de segurança com o objetivo de elevar a segurança dos sites e das transações eletrônicas fazendo isso através da capacitação, colaboração e comunicação clara com as entidades envolvidas.
Desta maneira, o CASC se esforça para melhorar a compreensão das políticas e práticas de segurança e seu impacto sobre a infraestrutura de internet. Seus membros atuais são Comodo, DigiCert, Entrust, GlobalSign, Go Daddy, Symantec e Trend Micro.
Os primeiros esforços educacionais e de defesa já foram iniciados e estão relacionados com as melhores práticas de implantação do protocolo SSL, a importância da disponibilização e utilização do protocolo Online Certificate Status Protocol (OCSP) e a distribuição de softwares assinados através dos certificados digitais Code Signing.
Através deste link é possível ter acesso a essas e outras iniciativas do grupo.
Também, é possível verificar a agenda de eventos do grupo neste link e acredito que um dos mais importantes nesse início de 2015 será a presença no RSA Conference que acontece em São Francisco/EUA no mês de Abril.
Eu tenho a convicção de que, iniciativas como a criação do CASC resultarão em uma internet muito mais segura para os seus usuários, que será alcançada através da educação dos profissionais que atuam diretamente na manutenção dos serviços oferecidos.
Fico por aqui e até a próxima!
Eder Alvares P. Souza
- Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO.
- Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital.
- Atua há quinze anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria.
- Vivência no desenvolvimento de produtos e implantação de soluções de Segurança e Certificação Digital em empresas de grande porte.
- Eder é colunista e membro do conselho editorial do Instituto CryptoID.