30/05/2011 08h50 - Atualizado em 30/05/2011 08h50 Saiba o que está por trás do 'cadeado de segurança' dos sites da web

Grupo seleto de organizações verifica 'identidade' dos sites.
Falhas e busca pelo lucro afetam a qualidade do serviço.

Altieres Rohr Especial para o G1*

imprimir

Você já deve ter visto essa dica, aqui na coluna ou em outro lugar: em sites de banco ou qualquer página em que você está digitando informações pessoais como cartões de crédito, é uma boa ideia verificar a presença do “cadeado de segurança” em algum lugar da janela do navegador. Mas o que faz ele aparecer é um conjunto de parcerias entre empresas privadas e desenvolvedores de navegadores web. Apesar das falhas técnicas e outras incoerências criadas pela busca do lucro, ainda não se sabe exatamente quais são os critérios para que tudo funcione em favor de um “cadeado”.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

O cadeado de segurança nas páginas de internet,
como ele normalmente se apresenta
(Foto: Reprodução)

Embora exista todo um aparato técnico para o “cadeado”, ele é simplesmente um atestado de identidade – da mesma forma que cidadãos brasileiros têm um CPF e um RG, sites de internet também podem apresentar um documento comprovando sua identidade. Ou seja, o site do banco apresenta um documento comprovando que se trata mesmo do site do banco e não um site falso – daí aparece o cadeado.
Esse “documento de identidade” digital tem o nome de certificado. Mas, diferente do RG que é emitido pelos estados e do CPF emitido pelo governo federal, a identidade na internet precisa valer para o mundo todo e não existe um governo “global” para gerenciar essa infraestrutura. Quem aproveitou a oportunidade foram em sua maioria empresas particulares. Em outras palavras, o “cadeado” é um documento de identidade digital emitido por uma organização confiada dentro do sistema de “identidade” global.
Qualquer pessoa pode criar um certificado digital, mas isso não iria funcionar: criminosos poderiam atestar a identidade de seus próprios sites. É por isso que os navegadores de internet (Firefox, Chrome, Internet Explorer) possuem meios para verificar se o certificado apresentado por um site é válido, ou seja, se ele foi mesmo emitido por uma das empresas de confiança e não por “qualquer um”. Embora isso seja positivo por um lado – por impedir abusos -, criou-se um grupo fechado de organizações habilitadas a emitir esses certificados.
Há alguns anos, o governo brasileiro entrou nesse mercado com a criação da ICP-Brasil. Até hoje, os certificados emitidos pela ICP-Brasil não são reconhecidos pelo Firefox, por exemplo. Entrar nesse “grupo” fechado pode ser complicado, porque é preciso ser reconhecido por todos os navegadores de internet. Até mesmo o governo brasileiro está tendo dificuldades. Quem se dá bem com isso são as empresas estabelecidas no ramo.
O mercado de certificação digital é interessante porque o custo para se emitir um certificado é insignificante, praticamente zero - o governo poderia emitir certificados para todos os cidadãos sem problema. No entanto, o preço cobrado pela emissão de um certificado pode ser de centenas de reais por ano. O único trabalho da emissora do certificado é validar se a pessoa é quem ela diz ser, da mesma forma que o governo deve tomar cuidado para não emitir o seu número de RG ou CPF para outra pessoa que está tentando se passar por você.

Conexão segura com a Receita Federal é considerada 'não confiável' pelo Firefox porque o navegador não reconhece a ICP-Brasil (Foto: Reprodução)

Falhas, lucro e validação estendida
Embora essas organizações emissoras de certificados tenham a responsabilidade de manter em segurança suas bases de dados, as informações de seus clientes e seus sistemas capazes de emitir certificados, há casos bem documentados sobre falhas de segurança. Na semana passada, a revendedora de certificados Comodo Brasil sofreu uma invasão que expôs sua lista de clientes. Hackers colocaram tudo na internet. Segundo a empresa, o sistema de certificação não foi comprometido.

Lista de certificadoras reconhecidas pelo Firefox.
Certificados emitidos por empresas que não estão
na lista são apresentados como falsos
(Foto: Reprodução)

Em março, porém, outra revendedora da Comodo sofreu uma invasão ainda pior, porque o hacker conseguiu emitir certificados falsos. Seria o equivalente a alguém invadir o sistema do governo para criar CPFs à vontade, com números iguais em nomes de outras pessoas. Em 2008, ainda outra revendedora da Comodo não estava realizando qualquer verificação na identidade dos solicitantes de certificados, e um especialista conseguiu um certificado para o site “mozilla.com” sem ter qualquer ligação com os criadores do Firefox.
Em 2009, um grupo de pesquisadores mostrou que o descaso da Verisign, outra emissora de certificados, criou a possibilidade de geração de identidades falsas. Na ocasião, a empresa reclamou que os pesquisadores não entraram em contato antes de divulgar o resultado do experimento. No entanto, o ataque demonstrado era teoricamente possível há anos e a empresa, que deveria zelar pela qualidade dos certificados emitidos, estava adiando a adoção de uma tecnologia mais moderna e segura.
A intolerância com “novas organizações” para a entrada no mercado de certificações não aparece quando se trata de falhas nas instituições já credenciadas. A Comodo, apesar das repetidas falhas, continua na lista de “certificadoras confiáveis” do Firefox – a mesma que, há anos, tem o governo brasileiro como “pendente” na lista de instituições candidatas à adição.
Mais recentemente, na tentativa de conseguir mais dinheiro, as emissoras de certificados inventaram o “EV-SSL”. Trata-se de um “novo” cadeado de segurança. Ou seja, o “antigo” (hoje em uso por quase todos os sites) aparentemente não é bom o suficiente, embora ainda seja vendido. O “novo”, mais caro, passa por uma “validação estendida” da empresa ou indivíduo que o solicita.
Em outras palavras, em vez de consertar os problemas conhecidos do modelo antigo e de realmente melhorar a internet, eles criaram um certificado novo, mais rigoroso, e mais caro. É como se pessoas ricas tivessem direito a um RG mais bonito e diferente, e também mais difícil de fraudar.

: Propaganda do EV-SSL, destinado a lojas on-line:
veja o que a barra verde pode fazer por você. De
graça por 30 dias (Foto: Reprodução)

Os desenvolvedores de navegadores web aceitaram essa ideia e exibem esses certificados estendidos de outra forma, mais visível e colorida. Se eles fossem exibidos da mesma forma que os anteriores, o usuário nem notaria diferença, porque a tecnologia é idêntica. Há duas explicações: ou quem compra o certificado estendido está sendo enganado (exceto pelos benefícios gerados pela visualização diferente no navegador), ou o sistema anterior é inadequado.
Nada disso quer dizer que os cadeados são inseguros ou que não são importantes. Se o seu computador está com vírus, os cadeados são sim irrelevantes, porque várias pragas digitais adicionam entidades falsas à lista de organizações confiadas dos navegadores. O resultado é que certificados falsos aparecem como verdadeiros. Fora disso, no entanto, a segurança proporcionada pelo “cadeado” é sim relevante. Apenas é interessante saber o que está por trás dele – e que o acesso a esse recurso de segurança poderia estar mais difundido e, provavelmente, deverá estar no futuro da internet.
Ausência de identidade global
A falta de uma organização (ou sistema padronizado descentralizado) capaz de gerenciar o problema das identidades mundialmente tem tido consequências práticas para a internet. Por exemplo, apenas pessoas que possuem um certificado podem provar que são elas mesmas quando enviam um e-mail; enquanto criadores de vírus podem mandar mensagens como se fossem qualquer outra pessoa. O tráfego da internet poderia ser todo mais seguro se a certificação estivesse disponível para sites pessoais. O spam poderia acabar.
É também por isso que hoje precisamos de senhas para entrar nos serviços. Se os sites pudessem saber quem nós somos, não seria preciso de senhas.
Claro que o “caos” de identidade também trouxe benefícios. O anonimato – proibido no Brasil, mas uma proibição irrelevante na internet – deu o direito de expressão para minorias e visões políticas dissidentes em países opressores.
No entanto, ainda há quem veja a necessidade de se criar uma forma global de identificação. Os Estados Unidos estão trabalhando nisso, por exemplo. Na coluna Segurança Digital da próxima segunda-feira você poderá conferir a segunda parte deste texto, explicando o plano de identidade do governo americano. Até lá.



*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.