Últimas notícias

Fique informado
Certificados Digitais Codesign – Será que não estamos fornecendo munição aos inimigos?

Certificados Digitais Codesign – Será que não estamos fornecendo munição aos inimigos?

10/07/2015 0 comentários
Encontramos grandes empresas que não protegem seus certificados digitais para assinatura de códigos de forma adequada

Por Eder Alvares P. Souza

Eder Souza

Eder Alvares P. Souza – Co-fundador da eSafer e Colunista do CryptoId

Há poucas semanas a Kaspersky, uma empresa de origem russa, considerada uma das mais importantes empresas de Segurança Eletrônica do mundo, revelou ter sido vitima de um ataque cibernético destinado a espionar seus trabalhos de pesquisa e ate roubar códigos fonte de seus pedidos.

Considerado pela Kaspersky um ataque extremamente sofisticado, e que também teve outros alvos importantes como os participantes das negociações internacionais sobre o programa nuclear do Irã, o mesmo foi chamado de Duqu 2.0 devido a semelhança com o Duqu, já descoberto em 2011.

Um ponto relevante da descoberta foi sobre o modo como parte do código utilizado no ataque conseguiu se camuflar no sistema operacional do alvo e até executar tarefas consideradas restritas e permitidas somente à códigos autorizados.

Isso só foi possível devido ao Duqu 2.0 possuir um driver assinado digitalmente com um certificado digital Authenticode de propriedade da Foxconn e possivelmente furtado.

A Foxconn é uma empresa fabricante de equipamentos eletrônicos para diversas empresas como Apple, Sony, LG, Microsoft, entre outras, e provavelmente utilizava seus certificados digitais para efetuar a assinatura dos drivers desenvolvidos para os produtos fabricados.

A questão principal é que, diversos sistemas operacionais estão confiando nos certificados digitais para autenticar bibliotecas, drivers e até softwares e assim, autorizar a sua execução com privilégios mais elevados.

O uso dos certificados digitais com esse propósito, o de autenticar aplicativos e parte de códigos, já é uma realidade para diversas empresas como para a Apple e o Google, que só permitem a instalação e execução de aplicativos móveis em seus aparelhos se estiverem corretamente assinados.

A Microsoft também adota a mesma técnica para garantir autenticidade de drivers e softwares que precisam de privilégios elevados para executar determinadas tarefas no Windows, e até no mundo Linux, para instalar um software o instalador verifica se o pacote foi assinado corretamente antes de iniciar a instalação, descartando qualquer pacote que apresente problema com a assinatura ou com as chaves utilizadas.

Manter esses certificados digitais e chaves criptográficas protegidas de forma adequada é fundamental para garantir a segurança de todos os participantes dessa cadeia e quando um certificado digital com esse poder é furtado e utilizado de forma inadequada, todos os usuários dessas plataformas correm o risco de pagar e muito caro por isso.

Entretanto, é fácil encontrar empresas que não protegem seus certificados digitais para assinatura de códigos de forma adequada, fornecendo munição a esses atacantes que, com acesso a um desses certificados, poderá assinar e instalar códigos maliciosos que serão reconhecidos como confiáveis pelos sistemas dos usuários.

Proteger e dar acesso somente às pessoas autorizadas para a utilização desses certificados digitais é uma obrigação da empresa proprietária, que pode ter seu certificado digital imediatamente revogado se for comprovado o uso indevido deste, e assim, sofrer impactos na indisponibilidade de seus softwares e até dados a sua imagem.

Com isso, escolher formas apropriadas de proteção, como o uso de estações de trabalho desconectadas da rede corporativa e até o armazenamento das chaves em HSMs para a sua proteção, são fundamentais para garantir que esses certificados digitais não fiquem expostos a riscos como uso ou cópia não autorizada.

A elaboração de uma politica de acesso e uso desses certificados também contribui muito para garantir que somente o time responsável pela atividade de assinatura de códigos utilizem e da forma adequada.

Assim, não deixaremos que uma tecnologia tão importante e que vem para nos proteger no mundo digital, seja utilizada contra nós.

É isso e até a próxima!

Eder Alvares P. Souza

  • Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO.
  • Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital.
  • Atua há quinze anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria.
  • Vivência no desenvolvimento de produtos e implantação de soluções de Segurança e Certificação Digital em empresas de grande porte.
  • Eder é colunista e membro do conselho editorial do Instituto CryptoID.

Leia outros artigos do Colunista Eder Souza. aqui!

Nenhum comentário até agora

Ir para a discussão

Nenhum comentário ainda!

Você pose ser o primeiro a iniciar a discussão.

Apenas usuários registrados podem comentar.