AUDITABILIDADE PLENA COMO FATOR DE SEGURANA DE TI Autor 1 NILMAR DE CARVALHO SAISSE Capito-de-Mar-e-Guerra (RM1-IM) Mestre em Sistemas e Computao Instituto

o Militar de Engenharia E-mail: nilmar.saisse@uol.com.br Autor 2 JLIO LUIZ NUNES CARVALHO Capito-de-Mar-e-Guerra (RM1-CA) Doutorando em Segurana de Sistemas Computacionais COPPE/UFRJ Master in Information Security (with Distiction) London University Mestre em Sistemas e Computao Instituto Militar de Engenharia E-mail: juliolncarvalho@netbotanic.com.br

Resumo Este artigo tem como objetivo discutir os principais aspectos e contribuies relacionadas ao uso de software aberto em Tecnologia da Informao (TI) no que tange ao programa Joo-de-Barro do Instituto nacional de Tecnologia da Informao (ITI). Dois aspectos principais so ressaltados neste trabalho: O primeiro contribuir com reflexes, quanto necessidade da sociedade brasileira, por meio de instituies de pesquisa, universidades, empresas, dentre outras organizaes, em continuamente desenvolver e aperfeioar mecanismos regulamentares, polticas, normas, metodologias, artefatos, ferramentas, produtos e, principalmente, competncias crticas do campo da TI, de modo a fazer frente ao cenrio crescente de ameaas cibernticas e de condutas criminosas no ciber-espao nacional. O segundo ressaltar a importncia estratgica para o Brasil em obter competncias em TI, em especial de segurana e certificao digital, como s buscadas no Projeto de desenvolvimento, com tecnologia brasileira e plenamente auditvel, de um Mdulo de Segurana Criptogrfica (MSC), mais conhecido, em ingls, por Hardware Security Module (HSM). Palavras-Chaves: Segurana, Software livre, HSM, ICP-Brasil.

1 de 9

AUDITABILIDADE PLENA COMO FATOR DE SEGURANA DA TI

1.

INTRODUO Quem conhece os outros inteligente. Quem conhece a si mesmo iluminado. (Tao Te King - Lao Tzu)

Em exposies e debates em Congressos de Segurana da Informao muitos so os temas recorrentes, entre eles destacam-se: a) Existe Garantia de Segurana Digital? b) Quais os Principais desafios para Sociedade Mundial e Brasileira? c) Como a Sociedade Brasileira tem reagido? d) O que o Programa Joo-de-Barro do ITI? e) Qual a Importncia do Desenvolvimento do Mdulo de Segurana Criptogrfica em cdigo aberto para a Sociedade Brasileira? Para tentar esclarecer estas questes foi elaborado este artigo, apresenta reflexes pessoais, de dois dos pesquisadores que participaram da especificao dos componentes de hardware e software do Programa Joo-de-Barro do ITI. Em sua seo 2, so apresentadas as preocupaes relacionadas segurana da informao, como a Sociedade Brasileira e o Governo Federal tm se posicionado e como podem melhor se preparar para os desafios e para a crescente influncia dos riscos cibernticos. Na seo 3, so, em linhas gerais, abordadas uma viso global e as principais justificativas para o desenvolvimento, em cdigo aberto, de um Mdulo de Segurana Criptogrfica (MSC) e de um Sistema de Gerncia de Certificados (SGC). Na seo 4, so descritos, de forma sucinta, os aspectos relacionados aos componentes envolvidos (hardware e software) no MSC, a ser construdo, e as suas principais caractersticas. Na seo 5 so apresentados outros possveis usos para o Mdulo de Segurana Criptogrfica. Na seo 6 apresentada uma concluso, que sintetiza os aspectos principais discutidos nas sees anteriores. 2. RISCOS AO USO DA TECNOLOGIA DA INFORMAO

As sociedades modernas esto diante de grandes desafios a serem enfrentados no campo da segurana ciberntica, pois a economia mundial est cada vez mais dependente da TI. E, de maneira semelhante aos fenmenos ocorridos nos pases desenvolvidos, o Espao Ciberntico Brasileiro tem se transformado em um palco diversificado, onde o uso intenso desta tecnologia, nas reas comercial e governamental, exige que seja massificada a Incluso Digital do povo brasileiro. A crescente necessidade, de melhor preparar os diversos segmentos da Sociedade Brasileira, diante de possveis ataques cibernticos, podem ser evidenciadas em pesquisas realizadas por empresas de consultoria de risco e de segurana da informao. Por exemplo, a 9 Pesquisa Nacional de Segurana da Informao, realizada em 2003 pela empresa Mdulo Security [Mdulo (2003, p. 09)], considerou que 50% das 1000 maiores empresas brasileiras destacaram, em ordem decrescente, as 2 de 9

seguintes ameaas: vrus, funcionrios insatisfeitos, divulgao de senhas, acessos indevidos, vazamento de informaes, fraudes, hackers, dentre outros. Tais preocupaes, que cada vez mais se tornam freqentes na mdia brasileira (televiso, jornais, Sites de notcias, dentre outros), exigem a crescente necessidade da especializao dos gestores de segurana da informao das organizaes privadas e governamentais, bem como de agentes de segurana pblica responsveis pela represso a fraudes e crimes digitais realizados no Brasil [Ministrio Justia (2002, p.1)]. Tudo isto tem feito com que o Governo Federal busque regulamentar as questes que contribuam para a reduo de riscos. Sobre este aspecto podemos destacar quatro medidas principais: a) Decreto n 3.505/2000 que institui a Poltica de Segurana da Informao na Administrao Pblica Federal, onde destacado neste painel o pressuposto: Uso soberano de mecanismos de segurana da Informao, com domnio de tecnologia sensveis e duais [Presidncia da Repblica (2000a, p.1)]; b) Lei n 9.983/2000 que alterou e acrescentou o Cdigo Penal Brasileiro, incluindo como crimes aes de intruso e mau-uso em Sistemas do Governo Federal, onde se destacam trs dispositivos principais, a saber: Art 153 (divulgao de informao sigilosa); Art 313-A (insero de dados falsos e alterao ou excluso indevida); e Art 313-B (modificao e alterao indevida de sistema e programa) [Presidncia da Repblica (2000b, p.1-2)]; c) Medida Provisria n 2.200-2 (2001) que institui a Infraestrutura de Chaves Pblicas Brasileiras (ICP-Brasil), que permitiu o respaldo legal para o uso de tecnologia de segurana da informao baseada em certificados digitais [Presidncia da Repblica (2001, p.1)]; e d) Resoluo n 20 do Comit Gestor da Infra-estrutura de chaves Pblica - que ressalta a necessidade da Autoridade Certificadora Raiz (AC-Raiz) da ICP-Brasil utilize equipamentos de segurana da informao plenamente auditveis [CG ICP-Brasil (2003, p.1)]. Por tudo acima citado, se torna imperioso o desenvolvimento, no pas e a nvel de Estado, de um conjunto coordenado de trabalhos. Este conjunto deve atuar como fator ativo e contribuir para o fortalecimento dos nveis de segurana que se relacionem ao uso da TI a fim de mitigar riscos cibernticos,principalmente, por empresas e organizaes que atuem em reas consideradas estratgicas ou sensveis para o pas. O Programa Joo-de-Barro pretende fazer parte deste conjunto. 3. O PROGRAMA JOO-DE-BARRO: UMA VISO GERAL

Atualmente, a plataforma que produz e viabiliza toda a cadeia de certificao brasileira pertence a uma empresa multinacional, com software proprietrio, o que impossibilita sua manuteno por tcnicos locais e a sua plena auditoria. A idia do Programa Joo-de-Barro nacionalizar a plataforma, desenvolvendo tecnologia prpria utilizando-se de software livre e permitido agregar mecanismos, que permita uma melhor gesto do ambiente operacional da AC-Raiz da ICP-Brasil [ITI (2004, p.1)]. Este programa visa projetar, desenvolver e implantar: a) um MSC, software e hardware, para a emisso das chaves 3 de 9

pblicas e privadas para a AC-Raiz da Infra-estrutura de Chaves Pblicas Brasileira - ICP-Brasil b) um SGC para compor o ambiente de operao da AC-Raiz. O MSC visa dar maior segurana e auditabilidade criao e guarda das chaves criptogrficas utilizadas pela AC-Raiz da ICP-Brasil, com o uso de cdigos fonte abertos, sistemas operacionais embarcados e componentes de hardware de prateleira,. S a sua especificao, a inclusos seus casos de uso e sistema de gerenciamento de chaves criptogrficas, foi um grande desafio que se fez necessrio enfrentar, para que possamos alcanar a soberania nacional, no territrio digital, e sair da dependncia tecnolgica de produtos estrangeiros. J, o SGC composto por vrios subsistemas que, uma vez montados, formam o ambiente de execuo das operaes da AC-Raiz da ICP-Brasil devendo, portanto, ser compatvel com os requisitos de segurana da ICP-Brasil. Para integrar e montar um sistema capaz de atender s necessidades de uma AC-Raiz preciso instalar todos os componentes do SGC em um mesmo equipamento servidor. Este equipamento deve operar desconectado de qualquer rede de dados. Ele deve ter, como acessrios externos, uma leitora de smartcard e um MSC. A fim de realizar o transporte, backup, restore de dados e a exportao de arquivos (como, por exemplo, arquivos de certificados, Lista de Certificados Revogados (LCR), arquivos de registro (log) e de relatrios de auditoria), o ambiente possui unidades de leitura e escrita de disquetes, CD-RW, DVD-RW e fitas de armazenamento de dados. Os componentes do SGC e o Mdulo de Segurana Criptogrfica (MSC) foram especificados para operar em conjunto. Todos os mdulos sero desenvolvidos em software livre (cdigo aberto), para atenderem aos requisitos da Declarao de Prticas de Certificao (DPC) da AC-Raiz da ICP-Brasil, tendo por base vrios projetos de software livre, como OpenSSL, OpenCA, etc. A Autoridade Certificadora (AC), uma vez montada com os componentes do SGC, deve possuir funcionalidades as quais permitam que: a) Toda a gerao e armazenamento da chave de AC, bem como as operaes de assinatura de certificados, sejam realizadas por meio do Mdulo de Segurana Criptogrfica (MSC), devendo este, para tanto, ter sofrido rigorosos testes de ajuste e aceitao, executados e aprovados por rgos homologados pelo ITI e pelo CG ICP-Brasil; b) O par de chaves criptogrficas da AC seja gerado por ela prpria, dentro do MSC. A gerao feita conforme as normas estabelecidas pelo Cryptographic Module Validation Program (CMVP), do National Institute of Standards and Technology (NIST), usando o padro FIPS 140-2 nvel 3, o algoritmo RSA-2048 bits e um arquivo Certificate Signing Request (CSR), padro PKCS#10, de maneira que a chave privada: Seja nica e seu sigilo esteja suficientemente assegurado; Quando utilizada na gerao de uma assinatura no possa, com razovel segurana, ser deduzida; Esteja protegida contra falsificaes realizadas por meio das tecnologias atualmente conhecidas; Esteja eficazmente protegida, pelo legtimo titular, contra a utilizao por terceiros; e Ao ser gerada, seja gravada cifrada, por meio de algoritmo simtrico de acordo com as normas aprovadas para a ICP-

4 de 9

Brasil; c) O SGC implemente o controle mltiplo (N de M) para a ativao e desativao da sua chave privada, por meio de controles de acesso fsico que exijam a presena de, pelo menos, 2 (dois) funcionrios com perfis qualificados; d) A AC mantenha cpia de segurana de sua chave privada. A cpia de segurana da chave privada deve ser armazenada cifrada por algoritmo simtrico (como o TDEA, IDEA, SAFER+, ou outros aprovados pelo Comit Gestor da ICP-Brasil [CG ICP-Brasil]), protegida com um nvel de segurana no inferior quele definido para a chave original e mantida pelo prazo de validade do correspondente certificado; e) Os dados utilizados para gerao da chave privada da AC sejam nicos e aleatrios; f) A chave privada da AC seja ativada pelos operadores da prpria AC, mediante a aplicao de uma senha, conforme poltica de senhas estabelecida pela AC, em conjunto com o uso de smartcard ou token; g) A ativao da chave privada seja feita por "N" Representantes da AC devidamente autorizados, conforme a DPC, e a confirmao da identidade desses agentes seja realizada por meio de senhas e smartcards; e h) A chave privada da AC e os certificados das AC de nvel imediatamente subseqente ao dela sejam utilizadas apenas durante o perodo de validade dos certificados correspondentes. O MSC ou HSM, como mais conhecido, que est sendo construdo com tecnologia brasileira, j est permitindo que o Brasil desenvolva conhecimento estratgico para o pas que restrito a poucas organizaes multinacionais e a nmero mnimo de pases. Este programa tornar mais segura rotina de emisso de chaves pblicas e privadas, base de todo processo de certificao digital, a partir do momento em que os componentes envolvidos (software e hardware) no processo de emisso de chaves sejam plenamente auditveis. Este MSC traz novidades em relao aos existentes tais como os Relatrios de Desempenho Operacional que permitiro, alm dos auto-testes, um bom acompanhamento do estado operacional do equipamento. O MSC conter, entre muitos outros componentes de software, um sistema de gerncia de chaves criptogrficas composto por 15 camadas de segurana e sensores lgicos de proteo. Se, por um lado h plena conscincia do enorme desafio, dos riscos envolvidos e dos interesses contrariados por tal iniciativa; por outro, h o regozijo e o orgulho em superar tais obstculos. No resta dvida que ter a AC-Raiz da ICP-Brasil operando com equipamentos e sistemas desenvolvidos dentro deste paradigma, projeta nosso pas e nossos tcnicos no seleto e restrito clube dos produtores de tecnologias crticas. O Programa Joo-de-Barro traz mais autonomia ao pas e benefcios ao Governo Federal no desenvolvimento de competncias em Tecnologias Sensveis. Tudo isso contribui para a Soberania Nacional e para a Economia de Recursos Pblicos, trazendo para a sociedade os seguintes benefcios: A abertura de novos campos de pesquisa aplicada em Universidades e Institutos de Ensino, podendo ser acompanhados com as respectivas bolsas de estudo; e A disseminao e aplicao de conhecimentos nas reas de Segurana da Informao, Criptografia, Certificao Digital, Software Livre, Modelagem de Sistemas, Engenharia de Software e de Hardware de acordo com padres internacionais

5 de 9

e Simulao. No se pode esquecer de citar os principais parceiros deste programa, que so: a) Instituto Nacional de Tecnologia da Informao (ITI); b) Centro de Anlises de Sistemas Navais (CASNAV); c) Instituto Tecnolgico da Aeronutica (ITA); d) Universidade Federal de Santa Catarina (UFSC); e) Centro de Pesquisa para a Segurana das Comunicaes (CEPESC); e f) Financiadora de Estudos e Projetos (FINEP). 4. O PROGRAMA JOO-DE-BARRO: HARDWARE EMPREGADO

A plataforma completa software do MSC ser baseada no Kernel do LINUX, e o hardware ser composto por trs mdulos: controle e monitorao do MSC, criptogrfico e Interfaces, sendo estas partes estanques e independentes, trabalhando no mesmo equipamento. O primeiro ser responsvel pelo controle dos sensores e da segurana do MSC, funcionando como um sistema embarcado. A funo do mesmo a de monitoramento da segurana contra violao, executando rotinas de apagamento do mdulo criptogrfico e de suas chaves, protegendo o sistema. O mdulo criptogrfico ser responsvel pela gerao de um par de chaves inicial, pelo armazenamento desse par de chaves, pela assinatura de certificados, diviso e distribuio do backup do par de chaves privadas aos oficiais de segurana e pelo armazenamento e execuo das tarefas da certificadora raiz. O software a ser executado neste mdulo criptogrfico baseado no OpenSSL. O terceiro, Interfaces, implementar as comunicaes entre o mdulo criptogrfico, o SGC (Sistema de Gerncia de Certificados), os oficiais de segurana, tokens e smartcards. O hardware a ser empregado ser composto por, pelo menos, dois processadores de prateleira, de baixo consumo, alm de relgio de tempo real, hardware apagador, gerador de nmeros aleatrios, memrias esttica e dinmica, sensores de proteo e baterias de longa durao. 5. USOS DIVERSIFICADOS PARA O MDULO DE SEGURANA CRIPTOGRFICA

Olivares afirma que: o homem est sempre em constante mutao. Hoje no somos a mesma pessoa que fomos ontem. Absorvemos mais informaes, trabalhamos, conversamos uns com os outros, aprendemos de diversas formas e nos modificamos. [Olivares (2005, p.1)]. Portanto o homem ao qual foi dado, ontem, um cargo de confiana no o mesmo hoje. Ser que ele ainda confivel? Como resolver isso? Uma resposta seria a aplicao de controles no domnio de gerenciamento das operaes e comunicaes com o uso do controle de segregao de funes [ABNT, (2005, p.41)]. O objetivo de segregar responsabilidades para reduzir a ocorrncia de desvios de conduta (fraudes), dentre outros tipos de ameaa aos ativos de informao das organizaes. Cabe ressaltar que o uso da metodologia de segredo compartilhado se torna recomendvel, pois exige a presena ou participao de mais de uma pessoa tanto, para se ter acesso a determinado dado sensvel, quanto para executar uma tarefa crtica. O sistema operacional embarcado no MSC ser baseado no kernel do LINUX e totalmente configurado para uso em Autoridades Certificadoras, sejam elas do tipo 6 de 9

OFF-Line com o caso da AC Raiz Brasileira ou ON-Line quase todas as outras. Alm disso, em sua especificao existe um Sistema de Gerncia de Chaves Criptogrficas composto de 15 nveis, fazendo uso de chaves de uma s vez, simtricas, assimtricas alm de segredo compartilhado. Se a esses 15 nveis forem acrescentados mais dois, o equipamento poder trabalhar de forme extremamente segura, se conectando a vrios equipamentos ao mesmo tempo via rede ethernet ou at mesmo sem fio (ex: WI-FI ou BLUETOOTH). Com algumas reconfiguraes e inseres de novas funcionalidades no sistema operacional, o mesmo hardware poder exercer, simultaneamente, papis de: roteador; firewall; Intrusion Detection System (IDS); Datador e HSM. Portanto, o mesmo hardware desenvolvido, por pesquisadores brasileiros, poder ter muitos outros usos, como por exemplo, acessos a sistemas crticos e ultra-sensveis sejam eles: aplicaes financeiras; de proteo de dados de pesquisas avanadas; de grandes manobras em hidroeltricas e usinas atmicas; ou qualquer outra aplicao crtica, que exija a autorizao de mais de uma pessoa para que, com o uso de segredo compartilhado, seja executada. 6. CONCLUSO

A Segurana Ciberntica um fator prioritrio para as sociedades contemporneas, onde variveis relacionadas, ao campo de atuao das Organizaes, da TI e das pessoas, devem ser consideradas na gesto e na educao de segurana da informao no Brasil principalmente com a crescente dependncia da TI nas organizaes nacionais. O Governo e o Comrcio Eletrnicos formam o lado bom da TI alavancando a demanda desenvolvimentista por infra-estrutura de comunicao e de segurana da informao. Como no existe plena garantia de segurana ciberntica, se torna imperiosa a conscientizao dos mais diversos setores da sociedade, principalmente no que tange a existncia de rgos capacitados e atuantes na pesquisa, atualizao, ensino e implementao de tecnologias que auxiliem no combate e represso a fraudes e a crimes digitais realizados no Brasil. A Sociedade Brasileira e o Governo Federal tm reagido a estes desafios, como diversas medidas regulamentares e normativas, as quais destacam-se: a) Uso de TI de modo soberano em relao aos mecanismos de segurana da Informao, com domnio de tecnologia sensveis e duais, previsto no Decreto n. 3.505/2000; b) Na tipificao de ilcitos penais, previstos na Lei n. 9.983/2000 e uma plena discusso de condutas que no sero aceitas na sociedade digital brasileira; c) No respaldo legal ao uso de tecnologia de certificao digital, prevista na Medida Provisria n. 2.200-2 (2001); e d) Principalmente, pela imperiosa necessidade da Autoridade Certificadora Raiz (AC-Raiz) da ICP-Brasil em utilizar equipamentos de segurana da informao plenamente auditveis, conforme previsto na Resoluo n. 20 do Comit Gestor da Infra-estrutura de Chaves Pblica. O Programa Joo-de-Barro que coordenado pelo ITI um programa que, dentre outros projetos, contempla o desenvolvimento do MSC em cdigo aberto. O desenvolvimento do MSC com tecnologia brasileira faz parte de uma estratgia para a capacitao em uma rea tecnolgica, que atualmente fica limitada a poucos a pases.

7 de 9

Executar a plena auditabilidade das informaes sensveis, das chaves criptogrficas, dos parmetros crticos de segurana, de identificao e de autenticao e gerar os envelopes de respostas para padres de intruso e de mau-uso do equipamento, entre outros, so aes que o MSC realizar para mitigar riscos segurana dos processos de certificao digital da Autoridade Certificadores Raiz Brasileira. A construo de um MSC, por pesquisadores brasileiros, contribui para gerar competncias em tecnologias crticas de segurana nos setores governamentais, acadmicos, corporativos e financeiros nacionais. Isto permitir, em nossa opinio, que as reas que laarem mo dessa tecnologia, soberana, plenamente auditvel e diferenciada do mercado, tornem-se mais preparadas, independentes e menos vulnerveis aos vrios tipos de ataques conhecidos, contribuindo como um fator de fora de segurana de Tecnologia da Informao no Brasil. 7. REFERNCIAS BIBLIOGRFICAS

[ABNT, (2005, p.41)]. Brasil. Associao Brasileira de Normas Tcnicas (ABNT). Norma ABNT NBR ISO/IEC 17799:2005 Tecnologia da informao Tcnicas de segurana Cdigo de prticas para a gesto da segurana da informao, 2005, p.1-120. [CG ICP-Brasil (2003, p.1)]. Brasil. Comit Gestor da Infra-Estrutura de Chaves Pblicas Brasileira (CG ICP-Brasil) Resoluo n 20 - Determina o Desenvolvimento de uma Plataforma Criptogrfica Aberta, voltada operao da AC-Raiz , 2003, p.1-1. Disponvel em: http://www.iti.gov.br/resolucoes/RESOLU_O_20_DE_08_05_2003.PDF [ITI (2004, p.1)]. Brasil. Instituto Nacional de Tecnologia da Informao (ITI). Diretor de Infra-Estrutura e Chaves Pblicas do ITI. ITI e CASNAV avaliam projeto Joo-de-Barro, 2004, p.1-1. Disponvel em: http://www.iti.br/twiki/bin/view/Main/PressRelease2004May28B [Ministrio Justia (2002, p.1)]. Brasil. Ministrio da Justia. Polcia Federal amplia conhecimento na rea de informtica , 2002, p.1-1. Disponvel em: http://www.justica.gov.br/noticias/2002/novembro/RLS291102-dpf.htm [Mdulo (2003, p. 09)]. Mdulo Security Solution S.A 9 Pesquisa Nacional de Segurana da Informao), 2003, p.1-26. Disponvel em: http://www.modulo.com.br/pdf/nona_pesquisa_modulo.pdf [Olivares (2005, p.1)]. OLIVARES, Maria de Ftima Hiss Conhece a ti mesmo maio/2005, 2005, p.1; Disponvel em: http://www.jperegrino.com.br/Psicologia/conhece_a_ti_mesmo.htm

8 de 9

[Presidncia da Repblica (2000a, p.1)]. Brasil. Presidncia da Repblica. Decreto n 3.505. Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal, 2000a, p.1-4. Disponvel em: http://www.iti.gov.br/decretos/DECRETO_3_505_DE_13_06_2000.PDF [Presidncia da Repblica (2000b, p.1-2)]. Brasil. Presidncia da Repblica. Lei N 9.983. Altera o Decreto N 2.848, de 7 de dezembro de 1940 Cdigo Penal e d outras providncias, 2000b, p.1-4. Disponvel em: http://www.iti.gov.br/leis/LEI_9_983_DE-14_07_2000.PDF [Presidncia da Repblica (2001, p.1)]. Brasil. Presidncia da Repblica. Medida Provisria N 2.200-2. Institui a Infra-estrutura de Chaves Pblica Brasileira ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informao em autarquia e da outras providncias, 2001, p 1-3. Disponvel em: http://www.iti.gov.br/medidaprovisoria/MEDIDA_PROVIS_RIA_2_200_D.PDF

9 de 9