mag Newsletter Multicert novembro 2014 Entidade Eletrónica de Validação Cronológica Multicert avaliada com o Nível 3 de CMMI

Transcrição

1 mag Newsletter Multicert #1 novembro 2014 Entidade Eletrónica de Validação Cronológica Multicert avaliada com o Nível 3 de CMMI eid Conference organizada pela Multicert msecurity, nova solução de segurança SHA1, Shell Shock e Poodle Multicert é a primeira Entidade Certificadora Raiz portuguesa Tecnologia Multicert moderniza o sistema de saúde da Grécia

2 #1 MAG /NEWSLETTER MULTICERT /NOVEMBRO Entidade Eletrónica de Validação Cronológica A Multicert encontra-se credenciada pelo Gabinete Nacional de Segurança como Entidade de Validação Cronológica 07 Multicert avaliada com o Nível 3 de CMMI A Multicert foi avaliada com o nível 3 de Capability Maturity Model Integration (CMMI), pelas boas práticas para desenvolvimento e manutenção de produtos 08 Multicert pelo Mundo eid Conference reuniu na Hungria especialistas de todo o mundo em segurança e identificação eletrónica Todos os direitos reservados MULTICERT detém toda a propriedade intelectual e direitos sobre este documento ou foi devidamente autorizada a utilizá-los. As marcas registadas incluídas neste documento são usadas somente para identificar produtos e serviços e estão sujeitas à respetiva regulamentação legal. Este documento ou partes não podem ser copiadas, reproduzidas, armazenadas, traduzidas ou transmitidas a terceiros por qualquer meio sem o consentimento prévio da Multicert. O Cliente deve também garantir que não irá usar o conhecimento e métodos de trabalho da Multicert em terceiros.. O uso de fotografias está sobre a licensa Creative Commons Zero.

3 09 Multicert é a primeira Entidade Certificadora Raiz portuguesa A Multicert foi credenciada pelo Gabinete Nacional de Segurança (GNS) como Entidade Certificadora Raiz. A especialista em segurança e certificação digital torna-se, assim, a primeira empresa privada portuguesa a assinar as entidades que emitem certificados digitais msecurity a nossa Tecnologia Multicert 10 nova solução de 11 moderniza o sistema segurança de saúde da Grécia Conheça o msecurity, o nosso mais recente produto de Auditorias e Análises de Segurança Prescrição de medicamentos passa a ser totalmente digital 12 SHA1, Shell Shock e Poodle Estes dois últimos meses trouxeram muitas novidades sobre segurança digital. A Google quer que se deixe já de usar o SHA-1, o problema de segurança de 1989 chamado ShellShock tornou-se conhecido e o cãozinho do SSL V3 (Poodle) ameaça a segurança das comunicações Multicert S.A. Lagoas Park, Edifício 3, Piso Porto Salvo Oeiras Tel.: Fax: newsletter@multicert.com

4 EDITORIAL e-residência, saúde digitalizada, voto eletrónico e uma vulnerabilidade com nome de cão Na sexta eid Conference, organizada pela Multicert no Hotel Intercontinental em Budapeste, tivemos a oportunidade de receber, entre outros 30 oradores, Liina Areng da EISA (Estonian Information Systems Authority). A Estónia é um case-study no que ao eid diz respeito, por ser um país pioneiro em várias iniciativas (como a experiência realizada em Talin, onde o Cartão de Cidadão eletrónico foi testado como passe social para os transportes públicos). Ora, um dos grandes desafios da Estónia, explicou-nos Liina Areng, é aumentar a sua população, que se situa em perto 1.2 milhões de habitantes. E como fazê-lo? Convidando cidadãos e empresas estrangeiros a comprar uma identificação digital estónia tornando-se e-residentes. Na plateia, com mais de 200 pessoas a assistir, ouvia-se um burburinho e as perguntas não tardaram a surgir. Dia 21 de outubro, o The Wall Street Journal detalhava este projeto estónio, com um subtítulo muito interessante: $64 Electronic ID Would Allow a Digital Life in Estonia Without a Physical Presence. Ou seja, por perto de 50, é possível sermos e-residentes da Estónia, sem que isso implique uma presença física até poderemos nunca ter que nos deslocar à Estónia. Ficção científica? Não, uma forma contemporânea e digital de aumentar a população. Será preciso fornecer dados biométricos, o que este ano apenas será possível com uma deslocação ao território estónio mas que, a partir do próximo ano, poderá ser feito a partir das embaixadas. Os e-residentes poderão usar serviços estatais online, registar e gerir uma empresa, usar os serviços bancários e assinar documentos, mas não terão os mesmos direitos de um cidadão estónio. Por exemplo, não vão poder usar a sua identidade eletrónica como documento de viagem. A vantagem? Para naturais de países onde a identidade digital ainda está pouco implementada, poderão usar as diversas mais-valias deste sistema, enquanto e-residentes da Estónia. 4 info@multicert.com

5 A Estónia é um país de tal forma desenvolvido no universo do digital, que foi o primeiro país a implementar o voto eletrónico nas eleições. Este sistema é, também, utilizado no Brasil, país onde o voto é obrigatório. Uma das principais vantagens, e que pôde ser comprovada nas recentes presidenciais brasileiras, é a celeridade com que os votos são contados e, por consequência, com que os resultados são apurados. Trata-se de um sistema fiável, que já foi testado pela Multicert nas Eleições Legislativas portuguesas de 2005 e nas Europeias de Pode ser aplicado por governos, em empresas com assembleias gerais, em clubes desportivos ou instituições bancárias, por exemplo. Estamos a trabalhar para que este sistema possa ser utilizado nos dispositivos móveis como tablets e smartphones o sufrágio universal pode tornar-se ainda mais universal, no sentido em que o direito de voto poderá passar a ser exercido em qualquer ponto do globo. A Multicert, com um historial e experiência em soluções de voto eletrónico, apostou fortemente na usabilidade e portabilidade desta solução e tem uma equipa de especialistas empenhados em que o processo do voto se adeque às tendências da era digital que nos acompanha diariamente. Esta aproximação à era digital aconteceu recentemente na Grécia, com o trabalho da Multicert. O sistema de saúde grego está a ser modernizado e, com tecnologia Multicert (PKI - Public Key Infrastructure), a prescrição de medicamentos vai passar a ser digital. O médico emite a receita digitalmente, assina-a, também digitalmente (com o seu certificado) e o farmacêutico, no ato da venda, contra-assina a receita digital com o seu certificado. Este projeto envolve perto de 40 mil médicos, 10 mil farmacêuticos e 300 mil prescrições diárias, número equivalente a cerca do dobro das receitas prescritas diariamente no nosso país. Torna-se, assim, possível, por um lado desmaterializar todo o processo, que deixa de necessitar de papel e, por outro, o cruzamento de dados entre as receitas prescritas e os medicamentos vendidos pelas farmácias. Em Portugal, a Multicert também já emite certificados qualificados para todos os médicos, através de uma parceria com a Ordem dos Médicos e o banco Santander Totta. No chip da cédula profissional dos médicos, que é similar a um cartão multibanco, estão alojados os dados do médico, da sua cédula profissional e certificados digitais que poderão ser usados para a emissão de receitas. É possível ainda gerir o ciclo de vida dos certificados através do pagamento das quotas de membro. A segurança de todo o processo é assegurada graças ao know-how da Multicert, especialista em segurança digital. E, enquanto especialista em segurança digital, a Multicert acompanha as várias questões relacionadas com vulnerabilidades. Dia 14 de outubro a Google apresentou uma nova vulnerabilidade do protocolo SSLv3 chamada de Poodle (Padding Oracle On Downgraded Legacy Encryption). Esta vulnerabilidade é particularmente sensível porque afeta um protocolo de encriptação que costuma ser usado em vários serviços disponibilizados pela Web, incluindo os serviços bancários online. Vários bancos portugueses e o Portal das Finanças ainda usam este protocolo, bastante antigo (com quase 18 anos) e que, como tal, não é o mais seguro. De acordo com as notícias, os bancos portugueses resolveram rapidamente esta lacuna. O Poodle attack é um problema de man-in-the-middle que acontece quando, num sistema inseguro, um atacante intercepta os dados trocados entre duas partes, por exemplo uma pessoa e o seu banco. Essa comunicação é de alguma forma intercetada, registada e possivelmente alterada pelo atacante sem que as vítimas se apercebam. Para mais informações contacte-nos através do endereço info@multicert.com ou do número

6 Entidade Eletrónica de Validação Cronológica A Multicert encontra-se credenciada pelo Gabinete Nacional de Segurança como Entidade de Validação Cronológica Na sequência da evolução que a Multicert tem vindo a efetuar no desenvolvimento dos seus produtos - visando ir ao encontro das necessidades do mercado e dos seus clientes - vimos confirmar que a Multicert já se encontra credenciada pelo GNS (Gabinete Nacional de Segurança) consultar (página 30) como Entidade Eletrónica de Validação Cronológica (conforme comunicações do GNS e do CEGER). Assim, as plataformas de compras públicas têm a obrigatoriedade de aceitar desde já os selos temporais da Multicert estando a Multicert disponível para implementar com as plataformas o modelo de negócio que mais se adeque. Relembramos que a Multicert foi a primeira entidade de certificação portuguesa a ser acreditada pelo GNS e é a entidade número um em segurança digital e informação em Portugal (emitindo mais de 4 milhões de certificados digitais por ano). 6 info@multicert.com

7 Multicert avaliada com o Nível 3 de CMMI A Multicert foi avaliada com o nível 3 de Capability Maturity Model Integration (CMMI), pelas boas práticas para desenvolvimento e manutenção de produtos. O CCMI é um modelo de referência de práticas necessárias à maturidade em disciplinas específicas ligadas a projetos de desenvolvimento de software. É utilizado por milhares de tecnológicas em todo mundo para atingir resultados diferenciadores, o que é determinante num mercado global. Por definição, uma avaliação de maturidade de nível 3 indica que a Multicert está a operar num nível "definido. Com este nível, os processos estão bem caracterizados, compreendidos e estão descritos segundo padrões, procedimentos, ferramentas e métodos. Os padrões da empresa estão estabelecidos e após esta avaliação comprovou-se que melhoraram com o tempo. Jorge Alcobia, diretor geral da Multicert considera que "esta avaliação é particularmente importante porque estamos num processo de crescente internacionalização. Vem, também, reconhecer a nossa aposta em apresentar os padrões mais elevados, sendo a Multicert uma empresa especialista em certificação e segurança digital, que desenvolve projetos de raiz. A certificação CMMI - Capability Maturity Model Integration (Modelo de Maturidade em Capacitação Integração) foi desenvolvida pelo Software Engineering Institute da Carnegie Mellon University, EUA. Na sua origem, o CMMI está associado a um modelo para avaliação de risco na contratação de empresas de software e foi originalmente pensada pelo Departamento de Defesa dos Estados Unidos. O nível máximo de avaliação do CMMI é

8 Multicert pelo Mundo Multicert organizou a 6ª eid Conference e reuniu na Hungria especialistas de todo o mundo em segurança e identificação eletrónica A Multicert organizou a sexta eid Conference, onde especialistas de todo o mundo debateram questões de segurança e identificação digital. A conferência contou com 30 oradores, 200 especialistas e representantes de governos de mais de 40 países e decorreu nos dias 13 e 14 de outubro em Budapeste, Hungria, organizada em parceria com a sueca PrimeKey e com a Microsec, um parceiro local. Será que o nosso cartão do cidadão eletrónico também deveria dar para fazer pagamentos, como já foi testado na Estónia? Como se falsifica um passaporte eletrónico e como se identificam estas falsificações? O que está a ser feito nos outros países no domínio da segurança e identificação eletrónica? Que novos modelos de negócio estão a ser desenvolvidos neste sector? Estas foram algumas das questões debatidas na conferência que a Multicert organizou pelo sexto ano consecutivo. Além das conferências, houve também lugar a seis workshops onde especialistas apresentaram a quarta geração do Passaporte Eletrónico, aprofundando as suas qualidades e desafios que enfrenta; mostraram casos de sucesso de implementação de PKIs ou debateram questões como se a eid está, de facto, a resultar para os cidadãos. O feedback obtido junto dos participantes foi de que a sexta edição da conferência que não passou despercebida junto da imprensa local foi um sucesso e extremamente útil, tanto em termos de negócio como de aprofundamento de conhecimentos. Foi consensual a opinião de que a eid Conference se está a tornar uma referência mundial no sector e que a Multicert, uma vez mais, elevou a fasquia, com a organização desta sexta edição. As edições anteriores aconteceram, respetivamente em Lisboa, Atenas, Istambul, Kuala Lumpur e Berlim. Enquanto empresa participante na criação do Cartão de Cidadão e do Passaporte Eletrónico em Portugal, a Multicert ocupa um prestigiado lugar entre as poucas empresas do mundo com know- -how para desenvolver soluções tanto para a identificação eletrónica de cidadãos, como para outros sistemas de segurança digital. Esta foi a sexta edição que organizámos e o feedback que recebemos é de que esta conferência já se está a tornar uma referência a nível mundial. Reunimos especialistas de vários governos que explicaram como é feita a identificação eletrónica nos seus países e contámos também com a presença de 200 especialistas, que deram casos práticos da aplicação destes sistemas nas empresas, por exemplo. Jorge Alcobia, diretor geral da Multicert e chairman da Conferência 8 info@multicert.com

9 Multicert é a primeira Entidade Certificadora Raiz portuguesa A Multicert foi credenciada pelo Gabinete Nacional de Segurança (GNS) como Entidade Certificadora Raiz. A especialista em segurança e certificação digital torna-se, assim, a primeira empresa privada portuguesa a assinar as entidades que emitem certificados digitais. A certificação digital baseia-se no conceito de hierarquia de confiança com recurso a algoritmos criptograficos, mais conhecido por Infraestrutura de Chaves Públicas. Inserida até o momento numa infraestrutura de chaves públicas internacional como entidade de certificação intermédia emissora de certificados para assinatura digital qualificada, certificados para webserver, entre outros, a Multicert oferece agora serviços de segurança inseridos numa Infraestrutura de Chaves Publicas própria e totalmente nacional. Segundo Jorge Alcobia, diretor geral da Multicert, "o facto de sermos a primeira empresa portuguesa creditada pelo GNS, entidade que se encontra na dependência do Primeiro-Ministro, comprova o nosso pioneirismo no sector em Portugal. A Multicert desenvolve programas de raiz para responder às necessidades dos clientes e está na vanguarda da certificação digital. A CA Root que agora passamos a comercializar posiciona-nos como um dos principais players a nível mundial e acredito que este momento pode vir a ser um game changer para a Multicert. 9

10 msecurity, a nova solução de segurança da Multicert A Multicert prima, desde sempre, pela segurança dos seus produtos e serviços. Nos muitos projetos que já desenvolvemos para os nossos clientes, preocupámo-nos sempre em apresentar a melhor solução dentro dos mais conceituados standards de segurança. As Auditorias e as Análises de Segurança são uma constante no nosso dia-a-dia, mas queremos ir mais longe e, como já fazemos há vários anos, queremos dar garantias aos nossos clientes dos seus sistemas e plataformas. A segurança da informação tem muito valor para as organizações, que têm de estar seguras desde o processo de criação e gestão às plataformas que a mantêm. Certificada com a norma ISO/IEC 27001:2005, a Multicert desenvolve competências na área da segurança de informação, não só por necessidades internas (para a sua própria atividade), mas também na ligação do trabalho que desenvolve junto dos seus clientes e parceiros. Para a garantia da eficácia da Auditoria, são necessários especialistas nas diversas áreas onde a Multicert atua, pelo que a Empresa desenvolveu e formou um conjunto de Auditores com valências diferentes, destacando-se a Segurança de Informação, Qualidade e Gestão de Projetos. Para as Análises de Segurança, a que chamamos de msecurity, criámos a Cyber Security Task Force, uma equipa versátil, dinâmica e multifacetada composta por consultores seniores com vasta experiência nas diversas áreas de intervenção que, além da Multicert, inclui elementos da Fortconsult (empresa escandinava líder de mercado). O core business da FortConsult passa pelos testes de penetração e avaliações de segurança. A FortConsult testou milhares de sistemas e aplicativos em ambas as configurações simples e muito complexas - incluindo bancos online, sistemas de pagamento, single sign-on, sistemas de back-end e sistemas externos de terceiros. Como complemento a estes dois serviços, disponibilizamos também serviços com PCI-DSS (quer validação genérica de todos os requisitos, quer certificação dos sistemas); Auditoria a Código Fonte, ao nível da qualidade e segurança; Análise Forense para investigação após um incidente de segurança, quer seja roubo externo ou interno e Consultoria em todas as áreas apresentadas. 10 info@multicert.com

11 Tecnologia Multicert moderniza o sistema de saúde da Grécia Prescrição de medicamentos passa a ser totalmente digital» Projeto vai envolver 40 mil médicos, 10 mil farmacêuticos e 300 mil prescrições diárias» Permite desmaterializar as receitas e o cruzamento de dados A Multicert desenvolveu um sistema que vai modernizar o sistema de saúde grego. Com a tecnologia da Multicert, o processo de prescrição de receitas torna-se totalmente digital, permitindo também um cruzamento de dados entre as receitas prescritas pelos médicos e os medicamentos vendidos pelas farmácias. De acordo com Jorge Alcobia, diretor geral da Multicert, "a Multicert está a expandir o negócio e a levar o seu know- -how além-fronteiras. A modernização do processo de prescrição de receitas que está a acontecer na Grécia é um importante passo no desenvolvimento tecnológico do país e do seu sistema de saúde e a Multicert ficará associada a esse novo rumo. O projeto, encomendado pela empresa grega Byte Computer, vai envolver perto de 40 mil médicos, 10 mil farmacêuticos e 300 mil prescrições diárias. Isto equivale a um número de médicos e de farmacêuticos quase idêntico à totalidade verificada em Portugal e a cerca do dobro das receitas prescritas diariamente no nosso país. As receitas médicas passam a ser desmaterializadas através de um sistema digital prático e seguro. Os médicos prescrevem a receita em formato digital e assinam através de um certificado digital, também fornecido pela Multicert. No ato da venda, o farmacêutico contra-assina a receita digital com o seu certificado. Deixa, assim, de haver recurso ao papel em todo o processo e garante-se um eficaz cruzamento de dados entre as receitas prescritas pelos médicos e os medicamentos vendidos pelas farmacêuticas. Este sistema que passa a ser utilizado por médicos e farmácias gregas, denominado PKI Public Key Infrastructure é totalmente criado e concebido pela Multicert. "O objetivo é que a PKI venha a ser utilizada também para outros fins, tanto na Grécia como em outros países onde estamos a desenvolver contactos, conclui Jorge Alcobia. Em Portugal, a Multicert emite certificados qualificados para todos os médicos, através de uma parceria com a Ordem dos Médicos e o banco Santander Totta. No chip da cédula profissional dos médicos, que é similar a um cartão multibanco, estão alojados os dados do médico, da sua cédula profissional e os certificados digitais, emitidos pela Multicert, que poderão ser usados para a emissão de receitas. 11

12 SHA1, Shell Shock e Poodle Ao longo destes dois últimos meses, surgiram muitas novidades sobre segurança digital. Em concreto, há três grandes ameaças que merecem atenção: a Google quer que se deixe já de usar o SHA-1; o problema de segurança de 1989 chamado ShellShock e o cãozinho do SSL V3 (Poodle). por Pedro Tarrinho, Information Security Consultant/Auditor e ISO Lead Auditor da Multicert SHA-1 O ano de 2021 é considerado como o limite temporal, em que será computacionalmente possível forçar dois ficheiros a ter a mesma Hash SHA-1. Por esta razão, e para dar algum tempo para nos prepararmos para um upgrade ao nível do algoritmo de Hash, a Microsoft, publicou a política de obsolescência para , que foi considerada aceitável pela comunidade. No entanto, foi publicado a 5 de Setembro pela Google 2 um intervalo de tempo muito mais escasso, que se inicia em Novembro deste ano. Quando sair a versão 40 do Chrome, sites com certificados que expiram após 2015 e que utilizem algoritmo SHA-1, irão obter um aviso como o da Imagem 1. E, quando sair a versão seguinte, no início de 2015, esses mesmos sites irão obter um aviso de falta de segurança, como demonstrado na Imagem 2. Imagem 1 Imagem 2 ShellShock Para falarmos sobre o ShellShock, primeiro há-que explicar o que é uma Shell. Os sistemas operativos baseados em Unix são compostos por um conjunto de aplicações que foram sendo criadas ao longo do tempo. No início, estes Sistemas Operativos tinham poucas funcionalidades e foram sendo criados como Legos, em que as peças encaixam umas nas outras. A informação é concatenada entre aplicações através de pipes. Foram criadas Shells com várias características e a mais usada é a Bash, que é a afetada por este problema. Quando a Bash foi criada, foram desenvolvidas funcionalidades que na altura faziam sentido, porque tinham um objetivo simples e limitado, visto que a Internet que existia era limitada (alguns servidores) e não como a de hoje, acessível nos nossos relógios de pulso ou até nas lâmpadas lá de casa. Estes Legos foram sendo usados, por serem simples e porque já eram usados desde sempre. No entanto, a possibilidade de passar variáveis de ambiente de 1989, passou a ser, nos dias de hoje, um problema de segurança, cuja descoberta desencadeou vários incidentes que levaram à criação de BotNets por todo o mundo. 12 info@multicert.com

13 SSL V3 Para terminar, importa falar sobre o SSL V3 (Poodle), o protocolo mais antigo em uso, e que é, também, considerado o mais inseguro. Foi recentemente apresentada 3, a 14 de Outubro, por funcionários 4 de segurança da Google, uma vulnerabilidade do protocolo SSLv3 chamada de Poodle (Padding Oracle On Downgraded Legacy Encryption). Para explicar esta vulnerabilidade, primeiro é importante esclarecer o que é o ataque man-in-the-middle. O Poodle attack, um problema de man-in-the-middle, permite que um atacante que explore esta vulnerabilidade consiga obter um byte da comunicação através da realização de 256 pedidos. Isto deve-se a um problema no protocolo que define que no final do processo da criação do pacote, primeiro se gera o MAC (Message Authentication Code) e só depois se cifra a mensagem. Está definido que, por questões de segurança, a primeira análise de uma mensagem (pacote) deve ser ao MAC, para validar se houve alterações do género do man-in-the-middle. No entanto, neste caso, será necessário decifrar primeiro e só depois validar o MAC, o que permite exatamente uma trinca deste poodle, paddding oracle attack 5. À medida que o atacante vai obtendo mais informação (vários ataques/vários bytes) pode conseguir, por exemplo, obter a totalidade de uma cookie de sessão, que por sua vez irá permitir fazer-se passar pelo cliente. Já existem várias soluções para este problema, no entanto a mais simples, será desligar esta versão do sistema (SSL V3), quer no lado do cliente (Browser) quer no lado do servidor (sites, servidores de , ftp, etc); Este problema no SSL V3 vem, muito provavelmente, colocar um ponto final na sua utilização. De resto, a Mozilla Foundation indicou que irá desativar esta funcionalidade na próxima versão do Firefox 34 6, que sairá dia 25 de Novembro. Imagem 3 (1) ; (2) ; (3) (4) Bodo Möller - ; (5) ; (6)

14 Multicert pelos Media content_id= &page=-1 in Negócios, 28/08/ reuniu-na-hungria-especialistas-seguranca-todo-mundo 14

15 in Dinheiro Vivo, 25/10/ contrato_de_1m_para_levar_rec_ html in Dinheiro Vivo, 18/10/2014 Imagem 3 in Record, 05/09/

16 heidi all components several applications one solution Enrolment Registration Authority Automatic Workflow for Request Handling MAESTRO CAs KGS Personalization Token Personalizer Packaging Templates Mailing Travel Documents eid Qualified Digital Certificates Storage Backup Monitoring Training Documentation* Contact us! Practical Use OCSP TSA msign LDAP Notification & Delivery Notification Services Secure Distribution Engineering for digital security * in accordance with the best security practices in the market