Últimas notícias

Fique informado
Canais Seguros SSL e TLS foi tema do VI Congresso Fecomercio de Crimes Eletrônicos

Canais Seguros SSL e TLS foi tema do VI Congresso Fecomercio de Crimes Eletrônicos

21/08/2015

Spotlight

Lei Geral de Proteção de Dados Brasileira – LGPD começa a valer

Começa a valer nesta sexta 18 de setembro de 2020 conforme o texto aprovado pelo Senado .

18/09/2020

Como gerenciar Identidades Digitais em empresas públicas e privadas? Ouça

Sobre como gerenciar eIDs, conversamos com Luís Correia – Business Development da AET EUROPE, empresa global na área de soluções de segurança digital.

02/09/2020

PLV 32/2020 passa pelo Senado!

Senado Federal aprovou nesta 3ª feira 1º de setembro o Projeto de Lei de Conversão (PLV) 32/2020, oriundo da Medida Provisória (MP) 983/2020

01/09/2020

Entidades encaminham Carta Conjunta ao Senado Federal em prol da aprovação do PLV nº 32/2020

Oriunda da MP 983/2020, normativa. que está no senado, amplia a cidadania digital ao normatizar as assinaturas eletrônicas.

18/08/2020

O que é Criptografia?

Criptografia é uma ciência secular que utiliza a cifragem dos dados para embaralhar as informações de forma que apenas os que detém a chave para decriptografar os dados tenham acesso à informação original.

17/08/2020

Laila Robak fala dos maiores ciberataques e como controlar as vulnerabilidades

IT Security Day – GlobalSign e CryptoID realizam evento de

23/08/2015

Gerenciamento de Certificados SSL/TLS: Uma Tarefa Simples

Os Certificados SSL/TLS, embora não sejam os únicos no mercado,

27/05/2015
Fala-se muito sobre canais seguros, “cadeado de segurança”,  “https” no navegador,  SSL e TLS, mas o que isso significa?

Por Laila Robak*

Um dos pontos discutidos no VI Congresso Fecomercio de Crimes Eletrônicos realizado esta semana em São Paulo, foi a divulgação de informações sensíveis na web através de canais não seguros, gerando interceptação de informações e o uso criminoso ou malicioso das mesmas.

Isso ocorre devido à ausência da educação digital em relação ao uso da web, por isso, eu resolvi escrever este artigo, com um teor mais educacional para os usuários web de maneira geral. A minha intenção é de ajudar os usuários comuns a identificarem seus canais de comunicação e a segurança dos mesmos antes de enviarem informações sensíveis (dados de cartões de crédito, CPF, ID, etc).

laila-global

Laila Robak – Director Latin America & Caribbean at GlobalSign

No Brasil, o comércio eletrônico está em crescimento constante. De acordo com o relatório Webshoppers 2015 da E-bit[1], o comércio eletrônico brasileiro faturou R$35.8 Bilhões em 2014, um crescimento de 24% em relação a 2013, com uma estimativa de 20% de crescimento em 2015. Infelizmente, os riscos de fraudes eletrônicas são proporcionais ao aumento do e-commerce, e a quantidade de ataques vem se intensificando, e tomando diferentes formatos: pop-ups que levam à páginas forjadas; páginas clonadas; manipulação de boletos bancários; entre muitos outros.

Então, como se proteger visto que transações eletrônicas estão se tornando cada vez mais comuns, além de serem bem mais convenientes? Nós temos escutado muito a respeito do “cadeado de segurança” e o “https” no navegador, mas o que isso significa?

Isso significa que o website está sendo protegido por um certificado chamado SSL e TLS, e que as informações enviadas através daquela página estão sendo criptografadas, ou seja, codificadas, assim as mesmas estarão transitando na rede de maneira protegida, e não estarão expostas, até chegarem ao seu destino final.

No entanto, ensinar aos usuários a confiarem apenas na presença do certificado SSL e TLS significa ensiná-los a confiar na criptografia, ao invés de na identidade.

Tendo isso vista, muitos sites forjados e tentativas de ataques ocorrem através de websites contendo certificados SSL e TLS que chamamos de domínio, onde não há a verificação da identidade da empresa.

Empresas que têm páginas onde há a entrada de informações sensíveis deveriam assegurar seus usuários de sua identidade, assim, os mesmos saberão não somente que suas informações estão transitando de maneira segura, mas também para quem eles estão enviando essas informações. Para saber se a identidade da empresa foi verificada na emissão do certificado, existem algumas opções rápidas e que podem ajudá-lo a salvar suas informações.

Se ao acessar um website a barra de endereços do navegador torna-se verde e exibe a Razão Social da empresa, isso significa que a empresa passou por um processo restrito de verificação de identidade, conhecido como validação estendida (EV), permitindo assim que o navegador exiba seu nome de maneira transparente para os usuários na barra de endereços, passando o maior nível de confiança, conforme o exemplo abaixo (note que estamos usando o Google Chrome nas imagens, as imagens variam de acordo com o servidor utilizado

Em websites onde não há a presença da barra de navegação verde, o usuário poderá inspecionar o Selo de Segurança.

O Selo de segurança é um pequeno ícone que as empresas podem instalar em suas páginas, e que apenas funciona na presença do certificado SSL e TLS, ele contém todas as informações da empresa que foram verificadas, e têm um teor informacional para os usuários finais. Recomendamos fortemente às empresas que sempre instalem o Selo de Segurança em suas páginas públicas.

Tenha cuidado, alguns hackers utilizam imagens do Selo para fingir proteção, lembre-se que o Selo é dinâmico e ao clicar no mesmo uma página abrirá com as informações do certificado (conforme a imagem abaixo).

O Selo varia de acordo com a empresa provedora, mas geralmente possui a palavra SSL ou a imagem de um cadeado. Abaixo um exemplo de Selo e da tela de informações. Caso você queira visualizar a barra verde e um Selo em ação, você pode acessar a nossa página: www.globalsign.com , o Selo encontra-se na parte inferior direita da página.

Selo

secure-globalsign

Tela de informações

informacoes-sobre-o-certificado-ssl

Se o Selo de Segurança não estiver instalado na página, mas o certificado SSL/TLS estiver presente, você pode inspecionar o certificado seguindo os passos a seguir. Se a empresa passou por um processo de verificação de identidade, o campo “O” terá atribuído como valor o nome de sua Razão Social.

As opções variam um pouco de acordo com o navegador.

– Clique no cadeado de segurança ativado no navegador

– Clique em Informações do certificado

– Clique na Aba “Details” e opção “Subject”

details

Isso não significa que páginas contendo certificados de domínio, que não tenham passado pela verificação da identidade, pertençam a empresas que não são de confiança. Muitas empresas pequenas e empresas onde não há o trafego de informações sensíveis, utilizam o certificado de domínio, como é o caso da nossa submarca AlphaSSL, por exemplo, a qual o certificado está demonstrado abaixo (Note que não há o campo “O”).

Infelizmente, devido à facilidade de emissão desses certificados, os hackers se aproveitam da falta de educação digital quanto à ataques e prevenções e usam os mesmos como ferramentas para seus ataques. Use cautela ao enviar informações sensíveis através de páginas cuja identidade da empresa não foi verificada.

details2

Note que no website AlphaSSL (www.alphassl.com), ao clicar no botão de comprar ou no botão de login, o usuário é direcionado à páginas contendo o certificado de Validação Estendida (barra verde), pois assim o mesmo terá maior confiança e estará mais confortável em enviar dados sensíveis, sabendo para quem os dados estão sendo enviados.

Para agregar uma camada extra de segurança, a GlobalSign tem em seus certificados o monitoramento de Phishing, realizado pela Netcraft, que envia alertas caso quaisquer de nossos certificados, incluindo os de domínio, sejam flagrados com comportamento de phishing (roubo de informações), levando à revogação dos mesmos.

Infelizmente, existem empresas de baixo custo no mercado que não oferecem camadas extras de proteção, o que facilita a emissão de certificados por hackers, por isso, caso você não conheça a empresa ou o website, ou note algo suspeito, vale a pena levar 5 minutos e verificar a identidade da mesma.

Além do certificado SSL e TLS, os navegadores possuem alertas de segurança que auxiliam no combate contra ataques cibernéticos.

Preste atenção nesses alertas, pois ao clicar no botão de ignorar e prosseguir, você pode estar permitindo que um hacker tenha acesso a suas informações, é como se um criminoso batesse à sua porta e você a abrisse para ele entrar em sua casa. A segurança eletrônica hoje em dia é tão importante quanto à segurança física. Como diz o ditado popular “É melhor prevenir, do que remediar”.

Fique atento ao próximo artigo sobre segurança de comunicações e e-mails.

 * Laila Robak – Director Latin America & Caribbean at GlobalSign

contato@globalsign.com

SSL (Secured Sockets Layer)  e  TLS (Transport Layer Security)

e-mail laila

 

Nenhum comentário até agora

Ir para a discussão

Nenhum comentário ainda!

Você pose ser o primeiro a iniciar a discussão.

<