Há esforços para preservar a PKI e certificados digitais como o coração da segurança cibernética
Por décadas, a base da segurança em TI tem sido a Infraestrutura de Chaves Públicas (PKI, do inglês Public Key Infrastructure), um sistema que permite criptografar e assinar dados, emitindo certificados digitais que autenticam a identidade dos usuários.
Se isso parece muito complicado, observe o endereço do Blog da Avast: https://blog.avast.com/pt-br. Percebeu que ele tem a sigla HTTPS no início? O “S” significa “seguro”. Seu navegador conferiu o certificado de segurança do endereço https://blog.avast.com/pt-br e verificou se ele foi emitido por uma autoridade certificadora legítima. Essa é uma ação PKI.
Na medida em que a privacidade vai ganhando mais importância e se tornando mais desafiadora para a segurança cibernética, é importante entender todas as suas implicações.
Como ela funciona no nível da infraestrutura, a PKI não é tão conhecida como deveria ser por gerentes corporativos sêniors, muito menos pelo público. Mesmo assim, você pode ter certeza absoluta de que cibercriminosos entendem as nuances sobre a PKI, já que têm explorado continuamente essas infraestruturas para invasão de privacidade e roubo de dados.
“A conclusão é esta: PKI é o que temos de melhor. Na medida em que a transformação digital se acelera, líderes empresariais e até mesmo consumidores individuais precisam se familiarizar com a PKI e participar proativamente da sua preservação. A boa notícia é que a comunidade global de cibersegurança entende o quão crucial ela se tornou para não apenas preservar, mas também reforçar a PKI. O Google vem liderando esse caminho.
Aqui estão as coisas fundamentais que toda empresa e consumidores informados deveriam saber sobre os esforços sendo feitos para reforçar a PKI a longo prazo.
O básico da PKI
A PKI gira em torno da criação, distribuição e gerenciamento de certificados digitais. Para sites, ela faz isso com a distribuição de certificados digitais - documentos eletrônicos - que são emitidos por empresas conhecidas como autoridades de certificação (CA, do inglês certificate authorities). O papel das CAs é verificar cuidadosamente a autenticidade de sites e, depois, ajudar seus proprietários a criptografarem a informação que seus consumidores digitam nos formulários desses sites.
Depois, duas chaves diferentes de criptografia - uma pública e outra privada - são emitidas. A chave pública está disponível para qualquer usuário que se conecte a um site certificado. A chave privada é uma chave única gerada quando uma conexão e feita, e ela é secreta. O usuário usa a chave pública para criptografar e decodificar a troca de informações com o site, enquanto o servidor web usa uma chave privada. Isso impede que os dados sejam roubados ou violados.
Assim, a PKI serve a duas funções cruciais: Ela é uma forma de autenticar identidades durante um processo de transferência de dados e também manter dados criptografados enquanto eles se movem entre terminais.
A PKI começou a ser usada como uma ferramenta de validação da autenticidade de sites e proteção de dados, especialmente durante transações financeiras online. Na medida em que for avançando, há um consenso de que a PKI claramente precisa ser aplicada em todo tipo de identidade digital que seja para humanos se conectarem a sites, uma máquina com outra máquina ou um aplicativo com outro aplicativo. Esse é um objetivo ambicioso, mas também acredita-se ser essa a forma de reduzir atividades maliciosas na web.
“Certificados e chaves garantem a validade de qualquer identidade digital. Pense nela como uma tranca na porta de entrada da sua casa, além de ser uma forma de saber quem está à porta e por que eles estão lá”, explica Chris Kickman, diretor de Segurança da Keyfactor*, empresa fornecedora de sistemas de segurança de identidade. “A PKI é um dos poucos mecanismos de segurança da indústria que passaram no teste de resistência e de tempo”, completa.
Certificados de vulnerabilidades
A PKI precisa de cuidados e alimentação proativos, mais até do que outros sistemas de segurança. É um grande avanço para qualquer organização. O número de certificados em uso continua crescendo na medida em que as organizações aumentam sua dependência de serviços em nuvem e fornecedores terceirizados. Não só isso, certificados expiram. Alguns, anualmente.
Ainda assim, a renovação continua sendo uma prática generalizada e inconsistente. Uma pesquisa patrocinada pela Keyfactor* e conduzida pelo Instituto Ponemon com 596 profissionais de TI descobriu, por exemplo, que 74% dos participantes enfrentaram problemas com certificado digital, causando tempo de inatividade e interrupções imprevistas em suas operações. E 73% deles dizem estar cientes de que falhas em chaves e certificados de segurança prejudicam a confiança em suas organizações.
Não surpreendentemente, cibercriminosos atacaram. Há um crescente aumento no número de ataques* nos últimos anos envolvendo certificados digitais falsificados ou roubados, afirma Anand Kashyap, cofundador e diretor de tecnologia da Fortanix*, empresa de sistemas de criptografia avançada no Vale do Silício, nos EUA.
Alguns bandidos nem precisam de certificados roubados ou falsificados para enganar o sistema, conta Kashyap. Eles só precisam aguardar pacientemente que as empresas prossigam com a implantação de novos aplicativos compostos por microsserviços* de software. Uma prática comum é executar esses aplicativos em servidores de balanceamento de carga*, quando proteções PKI são temporariamente desativadas. E é nesse momento que os cibercriminosos atacam.
“Como as empresas se acostumaram com isso, ficou mais fácil para os bandidos se aproveitarem da situação para roubar chaves privadas e promoverem um ataque “man-in-the-middle”* (homem no meio, em tradução livre), explica Kashyap. “Ataques ‘man-in-the-middle estão em alta, já que são relativamente fáceis de aplicar”, completa.
Cibercriminosos também estão à procura de certificados expirados, algo que as empresas geralmente ignoram. Foi com um simples certificado expirado, por exemplo, que cibercriminosos conseguiram passar pelas proteções da agência de monitoramento de crédito Equifax e seguir sem ser detectados por meses, enquanto roubavam os registros de 143 milhões de clientes*. “Dois anos depois, a Equifax ainda paga milhões de dólares em compensações por danos e outros bilhões são investidos em ferramentas de segurança”, revela Hickman.
Seguindo o Google
Então, como uma organização pode começar a se familiarizar com os problemas de PKI? Uma boa forma é estudar o que o Google tem feito nos últimos anos na área de PKI. A gigante do ramo de busca na internet está à frente do desenvolvimento de consenso relacionado às melhores práticas de PKI. A empresa também tem sido uma participante de peso na onda de inovação para reforçar a PKI.
Por exemplo, nos últimos anos, o Google tem consistentemente intensificado as penalizações* aos sites que não usam o protocolo HTTPS*, marcando-os como não confiáveis. A Cloudfare, a DigiCert e diversas empresas de tecnologia coordenaram a entrega de serviços de suporte para facilitar e baratear a adoção do HTTPS pelos sites. Como resultado, o percentual de sites usando a PKI decolou para mais de 55%*, sendo 42% só no último ano.
Mês passado, o Google anunciou algo chamado Serviço de Gerenciamento de Chaves Externas*, uma nova forma para as empresas controlarem mais diretamente as chaves criptográficas geradas como parte da expansão dos serviços em nuvem dos quais dependem para operar. A Fortanix está fornecendo a tecnologia de criptografia avançada*, que sustenta o novo serviço do Google.
E empresas como a Keyfactor, a Venafi, a Cyberreason, a CyberArk e a Duo, uma subsidiária da Cisco, entre muitas outras, estão desenvolvendo novas tecnologias para equipar as companhias para uma implementação e gerenciamento de PKI mais eficiente e sistemas amarrados a essa infraestrutura.
“A quantidade de certificados digitais e chaves privadas correspondentes que empresas precisam gerenciar explodiu há pouco tempo”, conta Kashyap. “Há uma pressão dirigida a microsserviços e a necessidade de criptografar tudo que esteja parado ou em movimento. Todo serviço, usuário ou dispositivo que se comunica em uma rede empresarial precisa de um certificado digital. O gerenciamento dessas chaves e certificados em escala, de forma segura, tornou-se algo de grande importância no cenário atual”, completa.
Reforçando a PKI
Resolver o problema de exposições da PKI é apenas um dos muitos desafios materiais que as empresas enfrentam, mas essa pode ser a prioridade número um. A PKI está tão profundamente entrelaçada nas redes emergentes híbridas, que começar com uma lista limpa será crucial para muitas empresas.
A PKI também afeta diretamente cada um de nós. Os consumidores precisam ficar atentos aos riscos de PKI que enfrentam hoje na internet e tomar medidas para evitá-los. Certificados comprometidos representam um risco muito alto de fraude e roubo de dados.
A engenharia social como apoio a atividades maliciosas tende a ficar cada vez mais sofisticada. Assim, a diminuição da pegada digital e a resistência ao impulso de clicar em algo perigoso continuam mais importantes do que nunca.
Um fardo compartilhado
Em um mundo perfeito, o desenvolvedor de software, o fabricante dos dispositivos e o provedor de serviços digitais compartilhariam o fardo de manter os usuários seguros. Mas a verdade é que muitas empresas focam, em primeiro lugar, no aumento dos lucros de suas operações; em segundo, em evitar armadilhas legais e regulatórias; e só depois vem a confiança do consumidor. Isso explica por que mesmo as empresas bem protegidas, como a Capital One, o Marriot e a Equifax continuam com falhas catastróficas em seus sistemas.
Isso significa que uma boa parte do fardo da segurança permanecerá com o indivíduo no futuro próximo. "Os consumidores podem procurar pistas visuais e evitar a visita a sites que não possuem um certificado adequado ou que estejam vencidos", explica Kashyap. “Eles precisam ser extremamente cuidadosos na checagem da autenticidade de um site ao providenciar informações pessoais, senhas e informação de pagamento”, continua. A pista mais obvia e visível seria a verificação de que o endereço de um site comece com a sigla HTTPS.
Mesmo que imperfeita, a PKI é destinada a continuar como a parte principal da infraestrutura de privacidade e segurança que permite o comércio digital. Será fundamental para as empresas do setor avançarem fortemente no reforço da PKI para acabar com as exposições de privacidade e segurança que estão por vir. Ficarei de olho.
