Vazamento de chaves criptográficas: o que eu tenho a ver com isso?

Por Marco Zanini

As corporações estão cada vez mais conscientes dos prejuízos causados pelo vazamento ou furto de informações e se preocupam muito com sua proteção. Dois fatores principais contribuíram para esta crescente atenção ao tema: a explosão de dados armazenados em sistemas digitais e o aumento das opções disponíveis para utilizar estes dados em transações eletrônicas.

Bancos de dados são os repositórios mais significativos de informações relevantes para uma empresa como, dados de cartões de crédito, informações competitivas/confidenciais e propriedade intelectual. Dentro deste cenário, a criptografia é sabidamente a estratégia mais eficiente de proteção de dados armazenados. No entanto, de nada vale a criptografia se as chaves de segurança utilizadas nesses processos forem geradas, utilizadas ou mesmo armazenadas de forma insegura.  E essa é a grande falha cometida pelos gestores corporativos atualmente, por falta de conhecimento ou mesmo por negligenciar os riscos envolvidos.

Este mês, um número superior a 40 aplicativos com mais de 100 milhões de instalações foram encontrados com vazamento de informações, que continham chaves privadas codificadas de um importante player de mercado. Com isso, milhares de dados de suas redes internas e de seus usuários ficaram em risco, suscetíveis a ataques cibernéticos. As chaves codificadas em um código-fonte de aplicativo móvel, por exemplo, podem ter sido um grande problema, especialmente se a função (gerenciamento de identidade e acesso) tiver tido amplo escopo e permissões. As possibilidades de uso indevido são infinitas, uma vez que os ataques podem ser encadeados e o invasor tem a possibilidade de obter mais acesso à toda a infraestrutura, até mesmo à base de código e configurações. Muitas instâncias são configuradas incorretamente e ficam acessíveis a partir da Internet, o que torna possível ocasionar muitas violações de dados no mundo inteiro.

Desta forma, operações envolvendo chaves de segurança devem ocorrer em ambiente altamente seguro, ou seja, em Hardware Security Module (HSM). Equipamentos servidores são projetados para uso geral e não oferecem a proteção necessária. Além disso, operações criptográficas demandam um grande poder de processamento e podem consumir preciosos recursos computacionais concorrendo com regras de negócio, caso sejam realizadas em servidores de aplicação.

O uso do HSM garante a segurança, através da separação entre dados criptografados e chaves de segurança. Provê dupla custódia de chaves, segregação de papéis, trilhas de auditoria, desempenho e conformidade com as normativas de segurança em todos os segmentos da indústria. Suas características de gerenciamento, disponibilidade e desempenho proporcionam o menor custo de propriedade do mercado. Além disso, as APIs de criptografia em HSM, cada vez mais são utilizadas pelo mercado. Por serem simples e de fácil utilização irão se conectar a outras aplicações da empresa, integrando-se facilmente ao Microsoft SQL Server.

Essas API´s de criptografia disponibilizam cada vez mais funções de alto nível aos desenvolvedores, trazendo economia de tempo e de recursos, e já faz parte do dia a dia das organizações. Se sua empresa deseja evitar vazamento de dados e roubo de informações, estas são dicas importantes, que podem evitar muitos prejuízos financeiros e de imagem para os negócios. A proteção de chaves deve ser feita em HSM.

Marco Zanini é engenheiro especialista em segurança de identidade digital e CEO da DINAMO Networks. 

Comentários estão fechados.

BLANK style is purely built for customization. This style supports text, images, shortcodes, HTML etc. Use Source button from Rich Text Editor toolbar & customize your Modal effectively.
Close