SEGURANÇA

Hacker alega ter acessado Autoridade Certificadora Raiz da ICP-Brasil

Luiz Queiroz ... 09/01/2019 ... Convergência Digital

Após 18 anos de existência, ainda que de forma questionável, o Instituto Nacional de Tecnologia da Informação (ITI), acaba de sofrer a primeira tentativa concreta de abalo na credibilidade da instituição como guardiã da Chave-Raiz da ICP-Brasil - a Infraestrutura de Chaves Públicas Brasileira. O ITI regula e fiscaliza o mercado de certificação digital brasileiro.

Isso seria razão suficiente para o hacker "sup3rm4n", integrante do grupo Hacker "Fatal Error Crew", anunciar como um feito inédito, que teria invadido a Autoridade Certificadora (AC) Certsingn e, por consequência, ganhou o acesso a informações sobre a Autoridade Certificadora-Raiz da ICP Brasil, no caso, o Instituto Nacional de Tecnologia da Informação -ITI.

Não foi bem assim, segundo a versão da Certisign. Depois de uma criteriosa investigação interna - pois não é todo dia que o mundo hacker anuncia com festa ter "furado" suas defesas, ao ponto de abalar a credibilidade do gestor do mercado de certificação digital brasileiro - a empresa confirmou o ataque, mas não na escala em que foi anunciado.

“A Certisign informa que o conteúdo (códigos) publicado não contêm e não compromete as informações e os dados de clientes, parceiros e fornecedores. O incidente foi restrito a dois servidores inativos que não fazem parte da infraestrutura tecnológica da empresa desde 2017", declarou em nota oficial.

O hacker  "sup3rm4n" chegou a ridicularizar as defesas da ICP-Brasil. ”A infraestrutura de chaves públicas brasileira é uma vergonha, aonde já se viu alguém conseguir acesso root na rede de uma autoridade certificadora? Quem sou eu pra dizer algo neh, mas ICP-BRASIL o objetivo das ACs não é garantir a autenticidade assegurar a identidade e confiabilidade?", declarou.

A Certisign rebateu. "Os dados divulgados referem-se a arquivos internos de configuração de servidor. A empresa esclarece, também, que o conteúdo divulgado, claramente, foi manipulado e adulterado, porque contém dados de eventos de 2018, quando os servidores já tinham sido desativados", afirmou.

A empresa assegurou que "não foram expostas outras aplicações. O "incidente", segundo ela, não afetou a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil. Nem tampouco os certificados digitais ou chaves privadas em operação no país, porque estariam "em ambientes isolados submetidos a robustos controles de segurança".

Credibilidade provisória

Independentemente do episódio, a credibilidade da ICP-Brasil, após 18 anos de existência, continua sendo questionada pela sua transitoriedade regulatória.

Pasmem, desde o ano de 2001 o mercado de certificação digital brasileiro é regulado por um instituto criado via Medida Provisória (2.200-2 de 24 de agosto de 2001). O modelo e a estrutura de certificação digital brasileiros nunca foram votados e efetivamente aprovados pelo Congresso Nacional.

O organismo permanece vinculado à Casa Civil da Presidência da República, no novo governo que se inicia. E sua missão permanece em "manter e executar as políticas da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil". O ITI, a quem compete ser a primeira autoridade da cadeia de certificação digital – AC Raiz; deverá sofrer mudanças na sua atual estrutura. Mas os novos nomes que virão para o órgão ainda não foram anunciados pelo novo governo.


NEC - Conteúdo Patrocinado - Convergência Digital
Multibiometria: saiba como ela pode cuidar da sua segurança digital

Plataforma Super Resolution, que integra espaços físicos e digitais, será apresentada pela primeira vez no Brasil no Futurecom 2018. Um dos usuários da solução é o OCBC Bank, de Cingapura. A plataforma permite o reconhecimento instantâneo das pessoas à medida que se aproximem da agência.

Mais de 120 milhões de CPF de brasileiros vazaram de servidor mal configurado

O fato aconteceu em março deste ano e foi detectado pela empresa InfoArmor. O dono do servidor mal configurado não foi identificado. Os vazamentos se multiplicam no País. Só essa semana foram três: TIVIT, Sicredi e SKY.

BT Brasil defende clientes de mais de 125 mil ataques cibernéticos/mês

De acordo com o diretor geral da operadora no Brasil, Alex Inglês, em 12 meses, a companhia ‘defendeu’ cerca de 18 mil ataques DDoS de larga escala, alguns chegando a 650 gibabits. Complexidade tributária afasta investimentos em rede no Brasil, afirma ainda o executivo.

EUA voltam a acusar China de espionagem cibernética

Agência de Segurança Nacional alega que os chineses violam acordo para restringir esse tipo de ‘ataque’ firmado em 2015.

No Brasil, 20% das PMEs quebram após ataque hackers

Levantamento feito com 285 empresas mostra que boa parte pagou resgate para ter dados recuperados após ataque hacker. O pagamento é feito, em média, de 0,3 a 0,4 do valor de um bitcoin (R$ 9,6 mil). Entre as PMEs pesquisadas, seis de cada 10 admitiram ter sido contaminadas por malware.



  • Copyright © 2005-2019 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G