SEGURANÇA

Hacker alega ter acessado Autoridade Certificadora Raiz da ICP-Brasil

Luiz Queiroz ... 09/01/2019 ... Convergência Digital

Após 18 anos de existência, ainda que de forma questionável, o Instituto Nacional de Tecnologia da Informação (ITI), acaba de sofrer a primeira tentativa concreta de abalo na credibilidade da instituição como guardiã da Chave-Raiz da ICP-Brasil - a Infraestrutura de Chaves Públicas Brasileira. O ITI regula e fiscaliza o mercado de certificação digital brasileiro.

Isso seria razão suficiente para o hacker "sup3rm4n", integrante do grupo Hacker "Fatal Error Crew", anunciar como um feito inédito, que teria invadido a Autoridade Certificadora (AC) Certsingn e, por consequência, ganhou o acesso a informações sobre a Autoridade Certificadora-Raiz da ICP Brasil, no caso, o Instituto Nacional de Tecnologia da Informação -ITI.

Não foi bem assim, segundo a versão da Certisign. Depois de uma criteriosa investigação interna - pois não é todo dia que o mundo hacker anuncia com festa ter "furado" suas defesas, ao ponto de abalar a credibilidade do gestor do mercado de certificação digital brasileiro - a empresa confirmou o ataque, mas não na escala em que foi anunciado.

“A Certisign informa que o conteúdo (códigos) publicado não contêm e não compromete as informações e os dados de clientes, parceiros e fornecedores. O incidente foi restrito a dois servidores inativos que não fazem parte da infraestrutura tecnológica da empresa desde 2017", declarou em nota oficial.

O hacker  "sup3rm4n" chegou a ridicularizar as defesas da ICP-Brasil. ”A infraestrutura de chaves públicas brasileira é uma vergonha, aonde já se viu alguém conseguir acesso root na rede de uma autoridade certificadora? Quem sou eu pra dizer algo neh, mas ICP-BRASIL o objetivo das ACs não é garantir a autenticidade assegurar a identidade e confiabilidade?", declarou.

A Certisign rebateu. "Os dados divulgados referem-se a arquivos internos de configuração de servidor. A empresa esclarece, também, que o conteúdo divulgado, claramente, foi manipulado e adulterado, porque contém dados de eventos de 2018, quando os servidores já tinham sido desativados", afirmou.

A empresa assegurou que "não foram expostas outras aplicações. O "incidente", segundo ela, não afetou a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil. Nem tampouco os certificados digitais ou chaves privadas em operação no país, porque estariam "em ambientes isolados submetidos a robustos controles de segurança".

Credibilidade provisória

Independentemente do episódio, a credibilidade da ICP-Brasil, após 18 anos de existência, continua sendo questionada pela sua transitoriedade regulatória.

Pasmem, desde o ano de 2001 o mercado de certificação digital brasileiro é regulado por um instituto criado via Medida Provisória (2.200-2 de 24 de agosto de 2001). O modelo e a estrutura de certificação digital brasileiros nunca foram votados e efetivamente aprovados pelo Congresso Nacional.

O organismo permanece vinculado à Casa Civil da Presidência da República, no novo governo que se inicia. E sua missão permanece em "manter e executar as políticas da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil". O ITI, a quem compete ser a primeira autoridade da cadeia de certificação digital – AC Raiz; deverá sofrer mudanças na sua atual estrutura. Mas os novos nomes que virão para o órgão ainda não foram anunciados pelo novo governo.


NEC - Conteúdo Patrocinado - Convergência Digital
Multibiometria: saiba como ela pode cuidar da sua segurança digital

Plataforma Super Resolution, que integra espaços físicos e digitais, será apresentada pela primeira vez no Brasil no Futurecom 2018. Um dos usuários da solução é o OCBC Bank, de Cingapura. A plataforma permite o reconhecimento instantâneo das pessoas à medida que se aproximem da agência.

Crimes na Web: Formjacking vira pesadelo para empresas e muito lucrativo para hackers

Levantamento da Symantec aponta ainda  que oito em cada dez infecções por ransomware acontecem em corporações.

Câmara derruba lei do governo Bolsonaro que aumentou sigilo de dados públicos

O Plenário da Câmara aprovou o Projeto de Decreto Legislativo (PDL) 3/19, que suspende os efeitos do Decreto 9.690/19. A matéria irá ao Senado.

Mais de 30% das empresas brasileiras admitem não proteger dados de clientes e funcionários

Levantamento DT Index II, da Dell e da Intel, mostra quase metade dos entrevistados temem pelo futuro de suas companhias nos próximos cinco anos.

Crimes cibernéticos: crimes de ódio aumentaram quase 30%, mas pornografia ainda lidera no Brasil

Eleições exarcebaram os crimes de ódio em todo o país, afirma o Grupo de Apoio sobre Criminalidade Cibernética, do Ministério Público Federal.



  • Copyright © 2005-2019 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G