É frequente ouvir-se falar em certificados de segurança quando o assunto são páginas onde o sigilo dos dados trocados é da mais extrema importância. Sites de eBanking ou Lojas Online têm frequentemente este sistema de forma a proteger os dados dos clientes.

Para além de protegerem realmente informação trocada, estes certificados dão confiança aos utilizadores no momento de colocarem os seus dados sensíveis na Internet, como informação do seu cartão de crédito.

Neste artigo, explicarei como funciona este sistema de segurança com duas abordagens: uma mais simples, acessível a todos, e uma mais complexa, para os mais curiosos.

Keeping it Simple

Um certificado SSL é utilizado para estabelecer um “túnel” seguro entre 2 pontos: o utilizador e o site. Quando colocamos informação importante num website, é necessário tornar essa troca de dados segura e privada.

As mensagens são codificadas de forma a que quem esteja à escuta não consiga ter acesso aos dados, sendo estes descodificados ao chegar ao destino. Esta codificação é feita utilizando processos matemáticos de tal modo complicados quer seriam necessários milhares de anos para descodificá-los.

A atribuição de certificados válidos é realizada por Entidades de Certificação, como a Verisign (existem cerca de 36 em todo o mundo), mas é normalmente revendida por terceiros de confiança. Assim, vai sendo criada uma árvore de confiança, liderada pelas Entidades de Certificação.

Depois de se fazer a instalação do certificado no site, todas as comunicações passam a ser seguras. Normalmente os browsers identificam estes websites através de um ícone na barra de endereço, ou alterando a cor da mesma.

URL de um site que usa um Certificado SSL

Como funciona

O sistema de certificados SSL utiliza uma codificação baseada em 2 pares de chaves públicas e privadas. Os websites com certificados têm uma chave privada que apenas eles conhecem e uma chave pública, conhecida por todos. O mesmo acontece para o browser de quem acede através de https a estes sites.

Uma mensagem ao ser codificada com uma das chaves públicas só poderá ser descodificada com a chave privada correspondente. O inverso também acontece: uma mensagem codificada com uma chave privada só pode ser descodificada com a chave pública correspondente.

Isto permite uma coisa muito interessante: ao codificarmos uma mensagem com a chave pública do destinatário, apenas o destinatário a poderá descodificar com a sua chave privada. Asseguramos o sigilo, desde que a chave privada não seja comprometida.

Imaginando que um cliente se chama Alice e o website é do Bob, uma interacção utilizando SSL seria assim:

-Alice obtém a chave pública de Bob, e Bob obtém a chave pública de Alice
-Alice codifica uma mensagem com a chave pública de Bob
-Bob recebe a mensagem codificada e descodifica-a utilizando a sua chave privada
-Bob lê o pedido de Alice e responde, codificando a sua resposta com a chave pública de Alice
-Alice recebe a resposta e descodifica-a utilizando a sua chave privada

Supondo que havia alguém a tentar escutar a comunicação, seria impossível descodificar qualquer uma das mensagens, pois só podem ser descodificadas com as chaves privadas de cada interveniente.

O algoritmo descrito é o RSA e é utilizado para iniciar a comunicação (handshake). Visto que a codificação/descodificação utilizando o RSA é um processo mais lento que outros algoritmos, a partir dessa primeira comunicação é escolhido um protocolo menos pesado de chave simétrica. Utilizando a técnica dos 2 pares de chaves (chaves assimétricas) é partilhada uma nova chave que será utilizada doravante para codificar e descodificar as mensagens utilizando um algoritmo de codificação mais rápido (DES, DSA, etc).

Complicando um pouco: Mecanismo de Encriptação

Mas se a mensagem que é codificada pela chave pública consegue ser descodificada pela sua chave privada, e vice-versa, significa que há uma ligação entre elas. E conhecendo o algoritmo que gera uma chave, em teoria seria possível descobrir as chaves privadas sabendo as públicas, certo? Actualmente não.

Tal como mencionado anteriormente, são utilizados processos matemáticos complexos que impedem a descoberta de uma chave a partir do seu par:

1. São escolhidos 2 números primos p e q com, pelo menos, 100 algarismos
2. É calculado n = p * q
3. É calculado z = (p-1) * (q-1)
4. Encontra-se um valor para e, primo relativo de z e menor que o próprio z
5. Calcular d tal que d.e = 1 mod n

Após descobertos todos estes números, obtém-se a chave pública e privada:

-Chave pública: (e,n)
-Chave privada: (d,n)

Cada chave consiste num par de números e podem agora ser usadas para cifrar e decifrar as mensagens, da seguinte maneira (exemplo para cifra com chave privada e decifra com chave pública):

-Cifra = Mensagem^d mod n
-Mensagem =  Cifra^e mod n

A complexidade aqui está no uso de números extremamente grandes e no ser necessário factorizar os mesmos para conseguir inverter o algoritmo, chegando à chave privada através da pública. Este é um processo computacionalmente intensivo, que demoraria milhares de anos a efectuar com a tecnologia actual.

Protecção para o Futuro?

De acordo com a Lei de Moore, o poder computacional duplica a cada dois anos. Esta “lei” tem-se vindo a comprovar com o passar do tempo, o que significa que cada vez se vai tornando mais realista a quebra deste tipo de algoritmos em tempo útil. Para ajudar, especialistas dizem que a chegada da Computação Quântica tornará estes processos triviais.

Todos estes factores implicam uma alteração nos algoritmos existentes (por exemplo o uso de chaves maiores) ou a criação de novos, que tornem as comunicações seguras por mais algum tempo.

Apesar destes futuros desafios, nos tempos que correm esta é, sem dúvida, uma maneira totalmente segura de garantir o sigilo e a autenticidade na troca de dados, pelo que deverá ser ponderado o uso desta tecnologia na protecção de sites abordem questões onde a segurança da informação é importante.

Segurança na Internet

Com o evoluir da tecnologia e a sua consequente banalização, o número de internautas disparou nos últimos anos. Este aumento exponencial de utilizadores (390 milhões no ano 2000 contra 1700 milhões no ano 2009) é um chamariz para os chamados “predadores da net“. O facto é que a grande maioria dos utilizadores não tem conhecimentos suficientes, o que os torna potenciais alvos de fraude ou roubo.

Apesar das campanhas informativas serem actualmente bastante divulgadas, apenas uma minoria dos internautas conhece verdadeiramente os perigos a que estamos sujeitos ao navegar por estas águas. Mas se alguns têm conhecimento dos piratas, outros têm medo de sequer molhar os pés.

A realidade é que há certas precauções que podemos tomar de maneira a tornar a nossa vida informática mais segura, não tendo medo de usufruir de tudo o que a tecnologia tem para nos oferecer. Mesmo não sendo “experts” na matéria, todos os internautas deveriam ter alguns conhecimentos sobre aquilo que pode estar à espreita por trás de cada clique.

Quantos conseguiriam agora passar sem compras online, e-banking, redes sociais ou mensagens instantâneas? A internet trouxe-nos grandes vantagens, mas como não há bela sem senão, apareceram também certos perigos.

Analisando algumas das temáticas mais comuns:

Phishing

Phishing

O que é?

Este tipo de ataque surgiu em força aquando da expansão do e-banking (operações bancárias online). Os atacantes aliciam as vítimas, através de e-mail ou mensagens instantâneas, a visitar sites fraudulentos, cuja função é capturar os dados pessoais (passwords, números de cartões de crédito, etc). Os sites são idênticos aos verdadeiros, levando muitos utilizadores a pensar que estão perante um site legítimo.

Como me proteger?

NUNCA clicar em links nos e-mails, principalmente quando são, aparentemente, provenientes de bancos. Escrever o URL (endereço) na barra de endereços do browser é a maneira mais segura, pois os links podem levar-nos a sites diferentes daquele que esperamos.
Também não se deve fornecer os nossos dados pessoais a quem os peça, mesmo que pareça que do outro lado está um representante de uma entidade que damos como fiável. Ninguém lhe pedirá a sua password, é um dado pessoal e intransmissivel.

Por último NUNCA fornecer a nossa password em resposta a e-mails deste tipo. Nenhum banco lhe pede a password fora da página de login do mesmo.

Virus, Trojans, Spyware e Worms

O que são?

Já todos nós sofremos na pele com alguma destas “pestes“. Esta categoria de ataques, referida geralmente por malware,  baseia-se em infectar os computadores dos utilizadores, roubando informação ou estragando propositadamente dados, havendo muitas vezes a tentativa de infecção de outras máquinas. Os métodos de infecção mais frequentes são os scripts maliciosos em páginas web, transferência de ficheiros nos anexos dos e-mails ou através de uma pen USB, por exemplo.

Como me proteger?

A partir do momento que somos infectados torna-se uma tarefa quase impossível a remoção por completo destas ameaças. A prevenção é, por isso, a melhor arma. Um bom antivirus (sempre actualizado!) em combinação com uma boa firewall é o primeiro passo, mas não é infalível. Deve ter-se cuidado com os sites frequentados, pois há sempre um período após o aparecimento de novos virus em que nenhum software tem solução.

Malware - Software criado com o intuito de atacar computadores alheios

Criar Bons Hábitos

Entre 50 a 60% dos internautas utiliza o Internet Explorer, o que o torna num alvo apetecivel para os atacantes. Hoje em dia já há excelentes alternativas a este browser. Firefox, Chrome ou Opera são apenas 3 dos mais populares. Ao mudar de browser está a diminuir a probabilidade de ser afectado por exploits (para não falar de outras desvantagens do Internet Explorer que não estão relacionadas com a segurança).

Um hábito a adquirir é manter o software de segurança sempre actualizado. São descobertas centenas de falhas de segurança e criados milhares de virus (e outras formas de ataque) diariamente. Ter um antivirus desactualizado é o mesmo que não o ter.

Outro aspecto muito importante são as passwords. Utilizar a mesma password para todos os nossos logins é muito perigoso, pois basta que uma delas seja interceptada para ser possível aceder a todas as nossas contas, nos mais diversos sites. Umas das mais importantes é a password de e-mail: com acesso ao e-mail de alguém é possível fazer-se passar por essa pessoa sem desconfiança da outra parte.
É também essencial que a password não seja algo demasiado simples de descobrir (datas e/ou nomes) e que tenha uma mistura de caracteres maiúsculos e minúsculos, números e símbolos.

Software de Segurança

Deixo aqui algumas soluções gratuítas em termos de software de segurança:

Keepass
Esta aplicação é um gerenciador de passwords. Todos os usernames e passwords ficam guardados numa base de dados encriptada, sendo preciso uma palavra-chave mestre para a desbloquear. Para os utilizadores do Firefox há um plugin que automatiza os logins.

MalwareBytes
Para quem quer uma solução anti-Malware, esta aplicação é das melhores (senão a melhor) do mercado.

Spywareblaster e Spybot
Um estudo em 2005 concluiu que cerca de 60% dos computadores estavam infectados com algum tipo de Spyware. Estes dois programas têm como objectivo evitar que o nosso PC seja infectado e, no caso de acontecer, proceder à sua limpeza.

AVG Free
O AVG Free já é um clássico no que toca a antivirus gratuitos. É uma solução competente, apesar de geralmente ser melhor optar por um antivírus pago (recomendo o ESET NOD32 ou a versão paga do AVG).

Finalizando: apesar desta informação ser básica e do conhecimento geral de muitos utilizadores mais experientes, a verdade é que apenas uma pequena percentagem das pessoas sabe proteger-se na internet. Temos, por isso, o dever de transmitir estas dicas a quem não o sabe fazer. Informação é poder, e quanto mais informados forem os utilizadores, menos serão os alvos. Num mundo perfeito, todos saberiam como se refugiar de ataques maliciosos na rede, acabando por ser cada vez mais raras estas situações. Ao dotarmos outras pessoas deste conhecimento, estamos a caminhar no sentido certo: uma internet mais segura.