Uma pesquisa desenvolvida por especialistas em segurança alemães apontou uma vulnerabilidade em dispositivos USB que permite a instalação de programas maliciosos em uma camada invisível, não detectada por antivírus.
Uma pesquisa desenvolvida por especialistas em segurança alemães apontou uma vulnerabilidade em dispositivos USB que permite a instalação de programas maliciosos em uma camada invisível, não detectada por antivírus. A falha foi apresentada durante o evento Black Hat, na última semana, e permite que pen-drives, HDs externos, teclados e outros equipamentos que utilizam padrão USB atuem como verdadeiros vírus plugáveis, que uma vez conectados podem alterar configurações da máquina, capturar senhas ou interceptar informações sigilosas.
A principal descoberta está na dificuldade na detecção da ameaça. Atualmente, não são conhecidas formas de identificar as infecções, isso porque elas ocorrem em uma camada não acessível pelo anti-vírus do computador, o firmware do dispositivo USB. Um pen-drive infectado, mesmo formatado, é capaz de acabar com a infecção. Essa vulnerabilidade deixa o campo aberto para códigos maliciosos agirem nas máquinas, resgatarem senhas, informações pessoais e modificar arquivos.
De acordo com os cientistas, a solução mais eficaz para o problema seria evitar que tais dispositivos suportassem atualização de firmware. Entretanto, essa restrição não resolveria o problema dos milhões de dispositivos já existentes no mercado, suscetíveis à ameaça. Segundo o diretor da BRy Tecnologia, Jeandré Monteiro Sutil, é difícil dizer se os dispositivos USB utilizados para armazenar certificados e chaves de assinaturas são afetados pela vulnerabilidade, o que poderia permitir, por exemplo, que uma chave de assinatura fosse extraída de forma imperceptível.
Tokens e cartões criptográficos passam por criteriosos processos de homologação que visam atestar sua segurança frente a padrões reconhecidos nacional e internacionalmente. Entretanto, os métodos utilizados para atualização de firmware, em geral, não são divulgados pelos fabricantes e, dependendo do nível de conformidade pretendido, podem não ser verificados durante a avaliação do dispositivo.
Como se proteger das ameaças
Dessa forma, a melhor alternativa para se proteger contra ameaças é nunca confiar a segurança de uma informação importante em um único ponto, fazendo com que um atacante precise corromper mais de um ambiente para obter acesso a ela. No caso do BRy KMS, solução para armazenamento de chaves privadas para certificação digital em nuvem, essa confiança encontra-se distribuída entre diferentes componentes, sendo eles dois servidores seguros (HSM), de fabricantes distintos.
Além disso, a autorização de acesso ao certificado do usuário depende de múltiplos fatores de autenticação, desde a convencional senha até sofisticados mecanismos baseados em dispositivo móvel e reconhecimento de padrões. Com o BRy KMS, para comprometer a segurança da plataforma, um atacante precisará violar a segurança dos dois HSM, além de obter acesso simultâneo ao dispositivo móvel e senha de proteção de um usuário, o que torna o ataque extremamente complexo e praticamente inviável.
Armazenamento em nuvem
A tecnologia do KMS permite o uso de dispositivos móveis, como celulares e tablets, para a assinatura digital de documentos eletrônicos, eliminando a necessidade de dispositivos físicos para o armazenamento e proteção de certificados digitais e chaves de assinatura. Com a solução, essas credenciais são mantidas de forma segura em um ambiente de rede, com acesso a partir de qualquer ponto da internet ou de uma intranet.
A tecnologia já é aplicada em diversas empresas e órgãos, como na Prefeitura de Vitória, capital do Espírito Santo. No local, o armazenamento das chaves privadas para assinatura de prontuários eletrônicos utiliza o ambiente cloud computing, o que resultou em mais velocidade e segurança no processo. O BRy KMS permite a assinatura digital de milhares de documentos em segundos com características ímpares, como a rastreabilidade das operações realizadas, com o armazenamento de recibos de assinatura protegidos contra adulteração. Cerca de 540 servidores efetivos já dispõem de certificação digital própria, armazenada em um compartimento privativo na plataforma de segurança da prefeitura.