Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Recupere o controle de seus dados pessoais graças à identidade descentralizada no BlockchainGonzalo Álvarez Marañón 3 junio, 2021 Aposto que, quando você tinha 18 anos, em alguma ocasião eles lhe pediram sua carteira de identidade em uma boate ou na compra de bebidas alcoólicas para verificar se você era maior de idade. Você parou para pensar na quantidade excessiva de informações que revelou apenas ao mostrar sua identidade? A sua data de nascimento, não apenas se for maior de idade.Seu local de nascimento.Seu local de residência.Seu nome e sobrenome.O nome de seus pais.Seu número de RG e CPF. Nada mal para responder a uma pergunta binária simples: você é maior de idade ou não? O problema é que no século XXI arrastamos um sistema de identidade do século XIX. A apresentação das credenciais e sua verificação é feita no mesmo documento: o DNI, o diploma universitário, a folha de pagamento … E quando você apresentar este documento a um terceiro para verificar alguma de suas afirmações («Sou maior de idade «,» Eu tenho o diploma de engenheiro «,» Ganho o suficiente para pagar o aluguel «), pode obter todas as informações do documento e mantê-lo para sempre. Você perde o controle de suas informações pessoais! Hoje nossa vida é digital. Em nossas interações no mundo físico e online, deixamos um rastro de dados pessoais. Cada vez que nos registramos para todos os tipos de serviços, inserimos os mesmos dados repetidamente. E uma vez cedido, não há como voltar atrás. Os sistemas de identidade atuais são centralizados, não são portáteis ou confiáveis e assumem o controle de seus próprios dados. Como consequência, nossa identidade digital na Internet parece fragmentada em uma infinidade de aplicativos e serviços e totalmente fora do nosso controle. E se houver uma violação de dados após um ataque cibernético bem-sucedido em um dos inúmeros servidores que os armazenam? Seus dados pessoais acabarão nas garras de qualquer cibercriminoso, que os venderá pelo lance mais alto. Nos últimos anos, credenciais verificáveis e identificadores descentralizados têm ganhado força para compartilhar seus dados pessoais sem abrir mão, de sua privacidade. Graças às soluções de «Identidade Descentralizada! (ou “Identidade Auto Soberana”), nenhuma empresa ou instituição controla ou armazena suas informações centralmente: você pode revogar suas credenciais verificáveis a qualquer momento, mantendo seus dados sempre sob seu controle. Você decide quem e como usa seus dados. Neste artigo, explicarei como eles funcionam e quais passos estão sendo dados para acelerar a adoção da identidade descentralizada no mundo. O que é identidade digital? Sem ser muito filosófico, a verdade é que devemos primeiro abordar esta questão espinhosa: o que é identidade digital? Em 2005, em um trabalho pioneiro de validade absoluta, o engenheiro da Microsoft Kim Cameron o definiu da seguinte maneira: Um conjunto de declarações feitas por um sujeito digital sobre si mesmo ou sobre outro sujeito digital. E o que é um sujeito digital? Segundo Cameron, é “uma pessoa ou coisa representada ou existente no meio digital que é descrita ou tratada”. Portanto, além de nós humanos, esta definição inclui todos os tipos de máquinas e dispositivos, recursos digitais e até políticas e relações entre todos eles. É uma afirmação? Se trata de «uma afirmação sobre a verdade de algo, normalmente contestado ou em dúvida.» Por exemplo, que uma pessoa seja maior de idade, que tenha o diploma de engenheiro, que insira mais de uma determinada quantia em dinheiro ou que saiba a senha para se autenticar perante um serviço remoto. Essa definição de identidade digital separa claramente o envio de reivindicações da verificação de seu link para um objeto do mundo real. E quais características um sistema de identidade digital deve possuir para se tornar universalmente aceitável e durável? De acordo com o próprio Kim Cameron, você deve cumprir as seguintes Sete Leis de Identidade Digital : Consentimento e controle do usuário: os sistemas técnicos de identidade só devem revelar informações que identifiquem um usuário com o consentimento do usuário.Divulgação mínima para uso restrito: a solução que revela a menor quantidade de informações identificáveis, e que melhor limita seu uso, é a mais estável a longo prazo.Partes justificadas: a divulgação de informações identificáveis deve ser limitada às partes que ocupam um lugar necessário e justificável em uma determinada relação de identidade.Identidade direcionada: um sistema de identidade universal deve suportar identificadores «omnidirecionais» para uso por entidades públicas (por exemplo, um servidor da web) e identificadores «unilaterais» para uso por entidades privadas (por exemplo, um token de sessão entre um visitante e esse site), facilitando assim a descoberta e evitando a liberação desnecessária de informações correlacionáveis.Pluralismo de operadoras e tecnologias: um sistema de identidade universal deve canalizar e permitir a interoperação de várias tecnologias de identidade gerenciadas por vários provedores de identidade.Integração humana: o meta-sistema de identidade universal deve definir o usuário humano como um componente do sistema distribuído integrado por meio de mecanismos de comunicação homem-máquina inequívocos que oferecem proteção contra ataques de identidade.Experiência coerente em todos os contextos: O meta-sistema de identidade unificador, deve garantir uma experiência contínua e consistente para seus usuários, permitindo a separação de contextos em vários operadores e tecnologias. Os sistemas de identidade atuais não estão em conformidade com essas leis. Mas o trabalho está sendo feito em novas propostas de identidade digital, com base em credenciais verificáveis, no Blockchain e em algumas outras tecnologias. Vamos revisá-los. Credenciais verificáveis Em primeiro lugar, para operar uma identidade digital de acordo com as leis de Cameron, é necessário um sistema de armazenamento e troca de credenciais padronizado, que permite que as credenciais tradicionalmente usadas no mundo off-line sejam portadas para o mundo on-line : identidade, passaporte, diplomas, licenças, títulos de propriedade, informações médicas, informações fiscais, etc. O W3C trabalha desde 2017 no modelo de dados de credenciais verificáveis . Esta especificação fornece «um mecanismo para expressar este tipo de credenciais na web de forma criptograficamente segura, respeitando a privacidade e a verificação por máquinas». No mundo físico, uma credencial contém, no mínimo: Informações que identificam o assunto da credencial: foto, nome, número de identificação etc.Informações que identificam seu emissor: estado, universidade, banco etc.Informações sobre o tipo de credencial: passaporte, carteira de habilitação, cartão de saúde, diploma etc.Os atributos ou propriedades específicas indicadas: local de nascimento, tipo de veículo que pode ser dirigido, título emitido etc.Evidência de como a credencial foi obtida.Informações sobre restrições de identidade: data de validade, termos de uso etc. Uma credencial verificável pode não só representar a mesma informação que uma credencial física, mas também, graças ao acréscimo de tecnologias como assinaturas digitais, as tentativas de adulteração tornam-se mais evidentes, tornando-as mais confiáveis do que suas contrapartes físicas. Se precisar compartilhar informações com outra identidade digital, você pode gerar uma apresentação verificável apenas dos dados pessoais que você escolher. Em seguida, você mostra esse envio verificável ao verificador, para mostrar que possui credenciais verificáveis com as características que afirma possuir. Tanto as credenciais, quanto os envios verificáveis podem ser transmitidos rapidamente, tornando-os mais convenientes do que suas contrapartes físicas, quando se trata de estabelecer confiança na Internet. Um elemento chave desse sistema são os Identificadores Descentralizados (DID): um novo tipo de identificador único global, projetado para que pessoas e organizações possam gerar seus próprios identificadores usando sistemas em que confiam. Esses novos identificadores permitem que as entidades demonstrem controle sobre eles por meio da autenticação com evidências criptográficas, como assinaturas digitais. Seus objetivos de design são: descentralizado, controlado pelo usuário, privado, seguro, baseado em evidências criptográficas, detectável, interoperável, portátil, simples e extensível. A pergunta que surge a seguir é: como são armazenadas de forma segura? Identidade descentralizada no Blockchain Atualmente, suas informações pessoais estão espalhadas por milhares de servidores, fora do seu controle: podem desaparecer e levar suas informações; podem ser atacados e suas informações, divulgadas; podem negociar seus dados sem o seu consentimento; podem negar a você acesso futuro ou alterar os termos de uso. Seus dados não pertencem mais a você. O objetivo fundamental da Identidade Auto Soberana é que você possua e controle de todas as informações sobre você, garantindo sua privacidade. Ou seja, buscamos um sistema descentralizado (não é controlado por nenhuma organização ou oligopólio), transparente (todas as informações são visíveis para todos) e imutável (ninguém pode alterar as informações armazenadas). Esses requisitos farão você pensar imediatamente no Blockchain: ele atua como um livro de contabilidade distribuído e aberto a qualquer pessoa para ler e escrever com a propriedade de que, uma vez que um bloqueio tenha sido adicionado ao blockchain, é muito difícil (idealmente impossível) alterá-lo. A identidade descentralizada funciona de maneira semelhante a uma criptomoeda: você cria um par de chaves pública e privada em uma carteira de identidade. Sua carteira calcula o hash de sua chave pública (seu identificador) e o armazena imutável em um blockchain. Você cria, possui e controla esses identificadores descentralizados, independentemente de qualquer organização ou governo. Além disso, seu portfólio atua como uma interface, com o blockchain e com outros atores, de modo que seja tão fácil para você trabalhar com suas identidades quanto usar o Instagram. Contanto que você controle as chaves criptográficas vinculadas à sua identidade descentralizada, você mantém o controle. E quanto aos seus dados? Eles são armazenados no blockchain, para que todos possam ver? Não! Suas credenciais com suas afirmações são armazenadas em um Hub de identidade: uma rede de data warehouses distribuídos e replicados, pela nuvem (Cloud) e pela borda (Edge), em smartphones, laptops, alto-falantes inteligentes, … onde você escolher. Por exemplo, se você concluir seus estudos em uma Universidade, ela lhe emitirá um diploma associado à sua identidade, com todas as suas informações de acordo com o padrão de credenciais verificáveis. Você pode armazenar essas informações em seu hub de identidade. Se, posteriormente, você precisar provar a um empregador que possui o cargo, será suficiente para você criar uma apresentação verificável de suas credenciais, que pode ser verificada de forma independente pelo empregador. Ilustração 1. Operação esquemática de um sistema de identidade descentralizado. Quem está trabalhando em Identidade Descentralizada? O grupo de trabalho mais ativo sobre identidade auto soberana é a Decentralized Identity Foundation (DIF) . Reúne os principais atores do cenário atual e suas iniciativas mais destacadas. Se quiser saber mais sobre este assunto, é sem dúvida o seu primeiro destino. Um desses atores é a Microsoft, que surpreendeu a si próprio e aos de fora quando, em 2017, anunciou a ION (Identity Overlay Network : uma rede de identificadores descentralizados que funciona na blockchain Bitcoin. Está trabalhando muito para entrar no mercado de identidade descentralizada, conforme relatado em seu site sobre identidade, Outra empresa muito relevante que optou pela identidade descentralizada é a IBM, com sua iniciativa chamada Verify Credentials . Na Europa, a obra de referência é o European Self-Sovereign Identity Framework (ESSIF) , um dos casos de uso mais proeminentes da European Blockchain Services Infrastructure (EBSI) . Claro, muitas outras iniciativas públicas e privadas estão se juntando a este movimento ao redor do mundo: Hyperledger Indy / Aries, ID2020, Sovrin, Civic, Serto ou Bloom, para citar alguns. O futuro da identidade descentralizada Nossas identidades não devem ser gerenciadas por um intermediário. Elas devem ser gerenciadas por cada um de nós, sob nosso controle total, preservando nossa privacidade e segurança por padrão. Graças à identidade digital descentralizada, os usuários poderão controlar a identidade digital online, pela primeira vez desde o nascimento da Internet. Além disso, milhões de pessoas, hoje sem identidade digital devido às limitações das nossas infraestruturas de autenticação, poderão aceder a serviços financeiros, educacionais e sociais através de uma identidade auto soberana e usufruir de direitos que até agora lhes eram inacessíveis. A história da Identidade Descentralizada ainda está sendo escrita. Eu apresentei vários protagonistas e as primeiras cenas do drama, mas o desfecho ainda está longe. Num mundo cada vez mais descentralizado, rumo à confiança zero , a identidade é o último desafio a vencer. E o presidente disse «tudo bem agora.» As novas propostas em cibersegurança da Casa BrancaBoletim semanal de cibersegurança 2 maio-4 junho
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...