À prova do PRISM

A grande exposição das denúncias sobre o monitoramento global de dados de cidadãos, desempenhado pela Agência de Segurança Nacional americana (NSA), fez com que a IETF (Internet Engineering Task Force), comunidade internacional responsável por identificar e propor soluções para problemas relacionados com a utilização da internet, publicasse um Internet-Draft* intitulado PRISM-Proof Security Considerations (expira em 15 de março de 2014).

Conheça o programa de monitoramento americano PRISM e outros casos de espionagem governamental pelo mundo.

No Draft, o autor Phillip Hallam-Baker descreve as técnicas utilizadas pela NSA para obtenção de dados confidencias, como análise de tráfego, cripto-análise, subversão, coerção, entre outras. E, além de tratar dos aspectos técnicos das operações da NSA, o documento descreve tecnologias, procedimentos e controles capazes de mitigar os riscos de interceptação de dados confidenciais.

A seguir, algumas recomendações importantes de Hallam-Baker:

  • Criptografia simétrica usando chaves públicas fortes como forma de prover a confidencialidade dos dados contra ataques passivos.
  • Uso do Perfect Forward Secrecy, que possibilita a criação de uma session key durante uma comunicação HTTPS conhecida somente pelo servidor e pelo navegador. Sem essa chave secreta, é impossível que a NSA ou qualquer outra entidade compreenda os dados trafegados entre o usuário e o servidor.
  • Desenvolvimento e implantação de uma política de segurança que padronize e normatize os processos da organização.
  • Auditoria para identificar falhas tanto nos processos quanto nos sistemas e serviços de tecnologia utilizados pela organização.

Os serviços da iBLISS atendem às recomendações do IETF: Diagnóstico inicial, Configuração segura (Baseline) e Gerenciamento de vulnerabilidades e ameaças tecnológicas (GAT) são alguns dos serviços indicados para a proteção do ambiente tecnológico e, consequentemente, de dados confidenciais contra o acesso não autorizado.

 

*Internet-Drafts são um tipo de publicação criada pelo IETF que permite a disponibilização de textos em forma de esboço ou rascunho, por determinado período de tempo, para revisão informal e comentários. Os Internet-Drafts estão sujeitos a alterações ou remoção, a qualquer momento. Saiba mais no link: http://www.ietf.org/id-info/.

Como está a Segurança Digital da sua empresa?

Converse com nossos especialistas.