Descarregue aqui a edição completa em pdf
Transcrição
Descarregue aqui a edição completa em pdf
COMPUTERWORLD Setembro 2011 VPN SSL Os certificados baseados em SSL têm sofrido fortes ataques à sua fiabilidade. Depois do incidente de segurança com a autoridade de certificação Comodo, mais recentemente a DigiNotar teve os seus certificados totalmente descredibilizados e faliu. O denominador comum é alegadamente um hacker iraniano movido por convicções políticas. Contudo, além de ocorrerem estes ataques, a arquitectura do sistema baseado em tecnologia SSL tem merecido vários reparos por parte de investigadores. Em Agosto, um estudo da Electronic Frontier Foundation chegou a conclusões inadmissíveis, considerando a negligência detectada nas práticas das autoridades de certificação. Em resumo, como se não bastassem os esforços dos hackers para tentarem falsificar certificados, estes são emitidos muitas vezes sem processos rigorosos de verificação. Mas o contexto de insegurança já deu visibilidade a dois projectos apostados em revitalizar a confiança nos certificados baseados em SSL, através de novas arquitecturas e figuras de garantia. Por cá há quem defenda mesmo a extinção das autoridades de certificação, classificando-as como desnecessárias. Entretanto, novos desenvolvimentos procuram resolver dois problemas da tecnologia SSL: o custo e a complexidade. São as duas principais barreiras de adopção em Portugal. Setembro 2011 - COMPUTERWORLD 2| Comunicações VPN SSL Unificadas Certificados SSL com credibilidade em risco Os sistemas de certificados baseados em SSL já mereceram maior confiança. E há quem recomende o abandono do funcionamento baseado em autoridades certificadoras. O Secure Socket Layer (SSL), o sistema de encriptação usado para proteger praticamente todas as transações online seguras, exige que os utilizadores dependam e confiem em terceiras entidades. Mas e se essas entidades não merecerem confiança? O problema que antes era longínquo tornouse bem presente. No início do ano, uma série de acontecimentos demonstrou isso mesmo: os certificados de várias entidades fornecedoras, especialmente os da Comodo e, mais recentemente, os da DigiNotar (que levaram a empresa à falência), foram violados (ver texto “Os ataques e as dúvidas sobre o ComodoHacker”). A quebra de confiança no sistema acaba por afectar não só a credibilidade dos sites de e-commerce (por exemplo). A confiança nas ligações de Virtual Private Networks (VPN) também pode ser abalada. Mas há outros problemas. A Electronic Frontier Foundation (EFF) publicou em Agosto um estudo onde se demonstra como o sistema de certificados baseado em SSL está longe de ser fiável. Os ataques mais recentes colocaram em causa todo o sistema e fizeram muitos perceberem a necessidade de uma actualização drástica, para poder responder aos requisitos do século XXI. Como parte do seu projecto SSL Observatory, a EFF descobriu que dezenas de milhares de certificados SSL foram emitidos para domínios absurdos, numa situação inadmissível. Os certificados estão a ser emitidos sem as verificações necessárias. A maioria dos utilizadores está ciente da sinaléctica do “cadeado” (junto à barra de endereços), pelo qual se sabe se uma ligação a um banco online, a uma loja electrónica ou a um fornecedor de Webmail é segura. O endereço do site também é antecedido por https://, um outro indicador de segurança. O sistema baseia-se no envio de um certificado SSL, por um servidor de Internet remoto, aos browsers dos utilizadores. Através de operações de cifra, o browser é capaz de usar essa informação para verificar a autenticidade desse servidor remoto – confirmando assim que o site não é falso. E torna-se também capaz de encriptar transmissões de dados. Portanto, a autenticidade do certificado SSL é de primordial importância. Também por isso o número de empresas existentes, conhecidas como Certification Authorities (CA) ou entidades de certificação, são em número limitado. Existe no mercado uma variedade de certificados SSL. No caso dos certificados SSL mais básicos, a autoridade de certificação verifica se a entidade é a mesma que registou o domínio. Com certificados mais rigorosos, como o de Exten- COMPUTERWORLD - Setembro 2011 ded Validation, a CA tem de verificar a localização física da empresa no mundo real. Por estas razões, a aquisição de um certificado SSL pode ser dispendiosa. Se uma CA emitir certificados para palavras simples como "mail" ou "Web", revela como os seus processos de verificação não estão à altura – as referidas palavras não são, no fundo, verdadeiros endereços de Internet. No entanto, esse é o tipo de situações detectadas pela EFF. Esta encontrou 37.244 exemplos de certificados emitidos para nomes de domínio "não qualificados" para tal. São palavras ou termos sem sentido na Internet, as quais nunca os deveriam ter recebido. O problema é em grande parte causado pelos administradores de redes empresariais. Compram certificados SSL para palavras como os referidos "mail" e "Web" para criarem ligações seguras entre computadores nas suas redes internas (ou Intranets). Para não obrigar os trabalhadores a teclar mail.empresa.com nos browsers, quando estes querem ace- der ao servidor de e-mail corporativo, por exemplo, o gestor de rede pode configurar a rede para os utilizadores precisarem apenas de digitar “email”. Mas para tornar as ligações mais seguras e protegêlas de intrusões, o administrador procura comprar um certificado SSL para a máquina à qual a palavra "email" se dirige. Comprar um certificado desse tipo seria impossível se a CA realizasse o exame mais rudimentar possível dos pedidos e percebesse que não se trata de um domínio real. Certificados para palavras “sem sentido” O mais preocupante do estudo da EFF é o facto de mostrar como as CA estão também a emitir certificados para as palavras que envolvem domínios de topo (Top Level Domain). Os TLD são representados pelas terminações de endereços como “.com” ou “.org” ou “.pt”. A EFF constatou ainda que os certificados estavam a ser emitidos para palavras sem sentido, as quais juntas simulam TLD, como “.nyc” ou “.public”. VPN SSL |3 Hugo Gamboa certificado seu, emitido por si, e quem quiser aceMais uma vez, estas são provavelmente usadas dender aos seus recursos sóciclo terá vicioso, de fazerseconfiança na tro de ambientes empresariais para indicar umdomino atria Internet nem Amazon e a Fnac não que felizmente, pois é um a minha perempresa”. o responsável, situação é igual buto ou a olocalização um Receber servidor. facturava que facturadehoje. muito bem, não são Para cepção é esta nãoa vou à procura. Porà do mundo decidimos traPor o "mail.nyc" pode servidor umaexemplo, carta das Selecções eraindicar um um que é a assim tão menos outrovirtual: lado, as“quando vendas em banca tambalhar com qualquer empresa, obter na de correio baseado Nova (New York City). evento e tinha umaem taxa de Iorque resposta venda por diferentes. bém têm vindo aprocuramos cair. A esmagadora comunidade circundante, O endereço pode indicar servidor brutal. Hoje "web.private" não estamos nessa reali- um corresponDiferradimaioria das provas vendas,da 94honerabilidade a 95 mil, são Web não é público. dade.que A concorrência é duríssima, os dência. Esc dessa i o n aempresa”. is por assinatura e.< Prosseguindo o raciocínio, “usar o certificado dessa O perigo é que, umuma TLD como “.nyc” a nossos livros têmqualquer dscondo dia, que foi tamos compram. empresa pode realmente passar a existir. De facto,tentar podemos das razões que me facilitou a decisão, alarEles têmou de uma entidade certificadora” será indiferente. prever para breve de novosgar TLDodesentrei depois de nouma ano explosão anterior terem lote vindo e gos- A opinião de Raúl Oliveira não podia deixar dedos ser consentânea com a oferta da empresa tinados a satisfazer qualquer exigência. de produtos saído muitas tam Supondo que o TLD “.nyc” é criado e alguém reque podep rque o d udirige. t o s . A oferta da iPortalmais tem máquinas de gerar certificados baseados em SSL. gista vaijáter um problema M&P:"mail.nyc", As 'gorduras' tinham sido cor- porque mos quem vender, Eucapazes tenho firmada a violação de umtenho certifijá possua certificados para "mail.nyc" serájácapaz de tadas. hoje vendo vitaminas, como se da fos-autenticidade bons produtos, é um Também problemaa Portugal Telecom (PT) procurou promover a oferta “sequestrar” ou desviar os visitantes umcum sitetestecado. FL: Já, já. Houve três razões pelas desem e vendemos vitaminas. de percepção, as pessoas pensam RD de serviços de segurança da PT Prime. O operador sustenta que as vulnerabilidades dos “Não deverãojóias. confiar no sistema de revocação como aparenquais “com.nyc”, conseguimosfornecendo atingir esteuma ano ligação o Nos catálogos já vendemos e imaginam logo teiasaude aranha. sistemas de certificados podem ser “mitigados com tomático de certificados, por ser lento e nem semtemente fiável. break-even, depois de dois ou três anos de processos e mecanismos de sepre eficaz”, sustenta. E,M&P: alémOlhando dos browsers, Aproveitando-se das autoridades de certificação de perdas muito duras em Portugal. A M&P: Diversificar não é necessariapara o perfil adaimplantação Selecgurança apropriados” – razão suficiente para a emnecessário “instalar ‘patches’ de se- indica… descuidadas, os hackers podem adquirirmente certificafundamental foi, claramente, o corte na áreadefende editorial,ser portanto. ções os o Bareme Imprensa presaidade considerar a área como sendo de gurança dos diversosOu sistemas permidos para qualquer combinação provável FL: de domína estrutura de custos, aconteceu tamNão é uma inevitabilidade. FL: operativos”. Esses números dão uma investimento estratégico. De resto, considera que tindo-lhes assim identificar os de roubados como nios topo.países, E se alguém bém de noutros mas em obtiver Portugalum certificado seja, sim tenho de analisar oportunimédia 44 anos do meu leitor - o Baapesar dos ataques abalarem a confiança dos utili“certificados não editoválidos”. reme Imprensa da maneira como para "web.apple", outrodeexemplo, foi drástico. Saíramnum dezenas pesal e antecipando dades de investimento na área é calzadores da Internet, a comodidade proporcionada O executivo considera expectável as entiaEspanha, altura em Apple possa ra faque do aque prostão não ter é a o seu rialpróprio e revistas em concreto, não depois não culado valeque o que vale, mas é o que pelosmais serviços impedirá abandonos definitivos de controlo do tráfegotemos de entrada e saída TLD? Criminosos poderiam sequestrar qualestrutura de custos, que não édepois elevada, sei que posso dades cdes éde que vou investir, – números até de um pouco certos serviços, por parte das pessoas. Portugal redireccionamentos quer sessão utilizador que não digitasse o problema é que de a receita não é sufiposso apostar tudo façam aí. Posso cresjovens dopara queservidores a idade média do meu Na mesma de forma maliciosa. E, por isso, “o perigo é tenho https://web.apple no seu browser. E não cer pareceria ciente para, em condições normais, o negócio locais com venda de mais procliente em base de dados, de ad- linha, o operador considera importante “o investimento em processos e regras de auditoria menor”nos do ps quepaíses nos países onde faz isso - comoda América nada de mais, rentabilizar essase não legítimo. dumail, de anúncios da mitir.se Tirando os países Laum ponto de vista preventivo” como solução é suposto ser o caso do Irão.tina e da Ásia, a minha de Além de recomendar que as autoridades Europa. de certifirevista é para reduzir Raúl Oliveira, da iPortalmais, tem uma visão mais cação façam omercados seu trabalho correctamente, a EFF M&P: Noutros a RD tem laninvulgarmente jovem, por estranho que o impacto das quebras de segurança. A opção Dedeve ser complementada com a aposta em radical. Defende que “uma empresa gerar um países. sugere que os e outro software Internet çado títulos embrowsers segmentos nos quais o de M&P: E isso está a ajudar a rejuvenespareça empode relação a outros “equipas só possam aceitar certificados SSL nomes de grupo tem know-how. Esse tipo de es-para cer o perfil pois tam-CERT”, na perspectiva da PT. No caso domínio totalmente qualificados e genuínos. tratégia está a ser pensada para o merde audiênbém não édas organizações com certificados emiticertificadoras comprometidas, é Assim, deveria ser impossível uma ligaçãocia a um cado ibérico? daenSep dos r o ppor r i aentidades óbvia aum necessidade de verificar se os seus certifidereço como https://mail. Mastermos os browsers não veFL: O mercado português em lecções? mente rificam essasétransgressões - como qualquer publicitários um décimo, mais coisa FL:pessoa Estap rcados o b l e estão m a em risco. Caso estejam, a solução é solicitar a arevogação do mesmo e a emissão de um que tenha digitado um endereço incorrectamente menos coisa, do Espanhol. É um mermos a ter porque novo certificado. sabe. cado relativamente pequeno e muito resultados população Masestá como Existem mais de 600 autoridades ocupado por grandes grupos de media,de certificação de vendas não a lembra Sérgio Martins, da Unisys, “as aplicações deverão sempre validar as listas de cernas quaisnão se baseiam os principais portanto, é caro lançar revistas embrowsers. melhores rejuvenestificados Cada CA emite certificados com base nasdo variações Portugal o difícil é rentabilizá-las. que há cer, antesrevogados aquando da autenticação por certificados”. Ao mesmo tempo, é fundamental imdas leis locais, além das suas próprias peculiaridaAgora o meu dever é analisar oportuniuns tempelo contráplantar os controlos de segurança envolvendo pesdes. Como com qualquer conjunto ordades, ver oacontece que faz sentido lançar ou, pos,de melhorio. No lisoas, processos e tecnologia . Trata-se de procurar ganizações, algumas são melhores que outras. eventualmente, adquirir. Do lado de res do que mite até garantir Isso é visível tanto nos seus grande, critérios parae semissão Espanha, o mercado é muito p e r á v atenho uma manutenção da seguranças das chaves de certificados como nos seus procedimentos semos,deprecimprivadas. ercado gurança interna – colocados para M&P: Mas há planos concretosem deprática aus a mevitar ente maior. Abertura para revelar incidentes é maior amentar infiltração dos seus sistemas de de emissão de cero portfólio da RD ao nível porque esÉ necessário tificados imprensa?de forma fraudulenta. tamos a M&P: A investir na credibilidade dos certificados e na épromoção da confiança das pessoas e orEm análise, isto significa que a tornarFL: última Se as oportunidades surgirem e estáconseguir percepção ganizações se difícil confiar nas ligações HTTPS. a forem boas, sim. Eplenamente ter como accionista chegar que a re- nos mesmos, salienta Rui Reis, da Mainroad. No sistemas como o DNSSEC estarem um entanto, fundo deaté investimento até facilita mais pesvista é um Em caso aasfuncionar em pleno, não há simplesmente outras coisas. Mais facilmente vêem um soas. A inpouco enve-de incidente, começa a haver maior aberescolhas tãoinvestiir consensuais. plano para uns quantos miternet, as l htura e c ipara d a . informar. Na visão de Pedro Galvão, da IBM,éas empresas começam a revelar “uma grande Manter o bom vai quantos ajudar. Se a uma lhões num novo senso prodr uns mi- aceder novas forComo que em estar preparadas para lidar com página de banca online, do porque exemplo, repente lhões num novo produto meio e de mas de cosepreocupação muda? estas situações” de quebra de confiança e seguomilhão sistema parecede incapaz construir frases adede dólares desvio de budget. municação, FL: A maior rança. das quadas, então pode haver algum problema sério. a estão-nos parte E umanão das soluções capaz de atenuar as conseM&P: Dado que têm de diversificar as permitir pessoas quências É preferível a actualização manual fontes de receita, parece quase uma chegar a pega na re- dos incidentes é “informar prontamente todos osháseus clientes e utilizadores afectados”, seEntão o que devem fazer as empresas portuguesas inevitabilidade. novos clienvista gundo o responsável da IBM. “Esta atitude afecta face às quebras de segurança detectaFL: Não necessariamente. Tenhoentrentanto várias tes, clientes mais de dez muito a percepção do público e ajuda a mitigar o das? maisuma radicais outros. formasHádeconselhos poder crescer, delas do é que diferentes, anos. A perimpacto Pedro da Há Cisco, amas “actualisair da Fernandes, minha concha. um recomenda mercado que, cepção de-na credibilidade da organização e do serviço que presta”, explica.< zação manual dos browsers”, no caso de estar con- Setembro 2011 - COMPUTERWORLD 4| VPN SSL Novos modelos de confiança em preparação Perspectives e Convergence são duas novas propostas de investigação e desenvolvimento apostadas em refundar a confiança nos certificados SSL. Face aos incidentes de segurança envolvendo os certificados SSL, ganham visibilidade propostas apostadas em reforçar a segurança dos sistemas baseados naquele protocolo. Vários investigadores estão a procurar desenvolver novos modelos fiáveis, muito menos susceptíveis de serem comprometidos – segundo dizem os próprios autores da investigação. Perspectives e Convergence são dois dos mais importantes projectos conhecidos. Baseiam-se em esquemas semelhantes e defendem a mudança da base de autenticação de servidores Web, dos browsers e das autoridades de certificação, para uma nova entidade: chamam-lhe notário. A primeira proposta está a ser desenvolvida por uma equipa de investigadores da Carnegie Mellon University. Tradicionalmente, quando um browser pretende criar uma sessão SSL com um servidor, pede o certificado SSL do servidor. O browser verifica a autenticidade do certificado, confirmando se ele foi assinado por uma autoridade de certificação “raíz”, ou base, na qual o browser confia. Na prática, o browser pode confiar directamente noutras autoridades emissoras de certificados, em última análise atestadas pela autoridade “raíz”. No fundo, é criada uma cadeia de confiança ramificada, a partir de uma autoridade base, para as entidades emissoras na qual confia, e destas para outras também consideradas fiáveis. Se qualquer elemento desta cadeia de confiança estiver comprometido, entidades mal intencionadas podem adquirir certificados falsos de sites ou de endereços. Estes certificados falsos podem ser usados para enganar os browsers e levá-los a assumir páginas falsas como verdadeiras. E assim é possível a ocorrência de intercepção de comunicações por intrusos. Foi isso que aconteceu no caso da Comodo, em que um dos seus parceiros de confiança emitiu nove certificados falsos. Com o projecto Perspectives, em vez de depender de autoridades de certificação e de certificados de raíz incorporados nos browsers, a confiança é conferida pela tal entidade denominada notário. Os notários são servidores cuja função é verificar e registar os certificados apresentados pelos servidores Web, ao longo do tempo. Quando um browser recebe um certificado de um servidor, não procura confirmar se o certificado está vinculado a uma autoridade base. Em vez disso, procura confirmar com o notário se o certificado apresentado pelo servidor tem correspondência com os registos ao longo do tempo. Confirmando-se a correspondência, a ligação será de confiança e o certificado do site é legítimo. A vantagem deste sistema é basear-se num modelo de confiança sem dependências face a conjuntos COMPUTERWORLD - Setembro 2011 estáticos de autoridades de certificação, diz David Andersen, professor assistente de ciência computacional da Carnegie Mellon University e responsável pelo projecto Perspectives. "Não se colocam todos os ovos na mesma cesta", exclama. "Nós gerimos todos os notários Perspectives, e por isso as pessoas acabam por confiar em nós. Mas nós não gostamos disso". Ele espera por uma arquitectura plenamente implantada em que tanto as grandes corporações – Google, Microsoft, Yahoo, Verisign – como as pequenas empresas e indivíduos configurem notários. Estes poderiam então partilhar os dados por eles reunidos. "Enquanto todos concordarem, então esse site será credível. Pode-se confiar nos resultados acumulados", defende. Os utilizadores acabam por obter uma verificação estatística, probabilística, da autenticidade de um certificado. Maior liberdade de mudar Também Moxie Marlinspike considera que a referida arquitectura proporciona agilidade e confiança aos utilizadores finais – dá-lhes a capacidade de mudar em quem confiam inicialmente, a qualquer momento. Marlinspike é membro do Institute for Disruptive Studies, centro dedicado a questões de privacidade, anonimato e segurança informática. Lidera também o projecto Convergence. Com o sistema actual, a confiança é determinada por aquilo que os certificados base suportam. Essa confiança é pré-determinada e de forma irrevogavelmente bloqueada entre browsers e autoridades certificadoras. A arquitectura Convergence proposta por Marlinspike cria uma etapa de reencaminhamento. A par- tir desse passo, qualquer notário deixa de saber quem está a solicitar a autenticação e para que site se destina. A funcionalidade introduz um nível de privacidade apreciado por Andersen. "O notário B vê apenas o notário A e não consegue saber que cliente está a procurar obter informações sobre determinado site", explica. Da mesma forma, o notário A só consegue ver o cliente a fazer o pedido, mas não o site ao qual se destina. Actualmente, o Perspectives serve apenas 30 mil utilizadores, um conjunto insignificante de utilizadores que fiscalizam certificados SSL na Internet, diz Andersen. Substituir o actual sistema de autenticação SSL exigiria uma rede mundial de talvez centenas de servidores notariais, semelhante à rede de servidores DNS. Mas mesmo assim, as tarefas necessárias seriam mais simples. Por isso, não seriam precisos tantos servidores. Necessidade de reforma parece consensual no mercado Taher Elgamal, CTO da Axway e um dos criadores do SSL, reconhece que a autenticação é uma fraqueza nas implantações de SSL. Quando foi criado, a autenticação não era o foco principal. O CTO considera interessante a melhoria trazida pelo sistema notarial, em relação às autoridades de certificação, com a função de agirem como terceiras entidades de confiança. "Algo precisa de mudar para a confiança ser maior. Precisamos de desenvolver uma comunidade capaz de confirmar que as autoridades são fiáveis", propõe. O facto de o modelo com notários exigir a implantação de infra-estruturas por todo o mundo não elimina a hipótese de se tornar real. Contudo, seria de Aceda remotamente à sua organização de forma simples e com elevada segurança Mário Gomes Gestão de Produto PT Prime Mobilidade e Segurança no acesso à informação – duas prioridades incontornáveis! A internet e as redes móveis mudaram a forma como as organizações fazem negócios e abordam os mercados. As decisões cada vez mais descentralizadas e a necessidade de gerir a atividade em interligação permanente com clientes, fornecedores e parceiros de negócio, requerem o acesso permanente à informação interna da organização, a partir de qualquer lugar. De forma a assegurar o acesso remoto aos seus sistemas de informação, as organizações necessitam ter as instalações centrais ligadas às suas unidades externas de menor dimensão, como escritórios, armazéns, call centers, etc. O imperativo de mobilidade implica ainda aceder às aplicações e sistemas internos da organização com rapidez e facilidade, usufruindo das mesmas permissões e funcionalidades disponíveis dentro das instalações da organização. Por outro lado, é imprescindível simplificar e facilitar este acesso por parte dos utilizadores remotos, reduzindo desta forma os custos de suporte na operação dos sistemas. Assegurar a presença na web através de portais que permitam aos clientes e parceiros efetuar remotamente consultas, colocar encomendas ou fazer pagamentos é outra condição essencial ao desenvolvimento de qualquer atividade. Vulnerabilidades do acesso remoto A cobertura global e o custo reduzido da internet tornam-na o suporte preferencial para o acesso remoto à informação, possível através de inúmeros dispositivos como PCs, PDAs e smartphones. No entanto, o incremento de produtividade e de oportunidades de negócio potenciados pela internet têm como contrapartida o aumento das ameaças à segurança da informação. O acesso via web às aplicações e bases de dados internos da empresa pode implicar diversas ameaças: expor a rede interna a vírus, spyware ou outro software malicioso, facilitar o roubo de dados através de download de ficheiros ou servir de entrada a um atacante exterior que se infiltre como utilizador legítimo. Estas ameaças, cada vez mais complexas e sofisticadas, tornam a questão da segurança um aspeto crítico para as organizações, uma vez que as operações de negócio estão cada vez mais dependentes dos sistemas de informação, podendo qualquer ataque ter consequências negativas imediatas. Como aceder remotamente com elevada facilidade e segurança à rede interna da organização O firewall e as VPNs IPSec são soluções correntemente utilizadas pelas organizações para responder à necessidade de estabelecer ligações seguras sobre a internet para utilizadores ou locais remotos. No entanto, como forma de garantir maior eficácia e simplicidade no acesso remoto seguro, as organizações podem recorrer a VPNs SSL utilizando um web browser e a encriptação SSL (Secure Sockets Layer Protocol) nele integrada. A simplicidade do protocolo SSL traduz-se na maior facilidade de instalação e na redução de custos no longo prazo devido a fatores de escalabilidade e a um suporte de gestão mais simples, por oposição ao protocolo IPSec VPN que requer um acesso dedicado em cada equipamento remoto. A versão mais básica do SSL permite aceder facilmente a aplicações internas web-enabled sem necessidade de instalar software no terminal do utilizador. Este abre o browser, seleciona a URL pretendida e fornece as credenciais exigidas. Depois de identificado poderá aceder aos servidores e aplicações autorizadas. Qualquer software adicional que seja necessário implementar é fácil e automaticamente descarregado e executado. De forma a garantir a elevada segurança no acesso, a certificação do utilizador pode recorrer a dois critérios de autenticação (por exemplo, username/password mais um token físico ou lógico), ou até três critérios (por exemplo, os dois anteriores mais a leitura da retina ou da impressão digital). Na versão SSL de acesso total à rede interna é instalado um VPN Client no terminal do utilizador que permite, entre diversas vantagens, certificar e validar a legitimidade do acesso. Esta instalação, realizada automaticamente pelo browser, requer normalmente pouca ou nenhuma intervenção do utilizador ou dos serviços de suporte. O software VPN Client pode ser atualizado centralmente sempre que necessário, permitindo uma resposta rápida e eficaz da organização a novas necessidades ou ameaças. Nesta versão, o terminal móvel do utilizador pode aceder às mesmas aplicações, recursos de rede, funcionalidades e privilégios que lhe são atribuídos na rede interna, à semelhança das VPNs baseadas em IPSec. PT Prime disponibiliza soluções globais para acesso remoto que potenciam às organizações a otimização da sua atividade A PT Prime oferece às organizações soluções best of breed, completas e integradas que recorrem às tecnologias de VPN IP/MPLS, Firewall, VPN de acesso remoto IPSec e SSL mais avançadas do mercado. s / lREWALL CENTRALIZADO AS 60.S SSL e IPSec são implementados numa plataforma redundante, carrier-grade, supervisionada e gerida 24 h / 24 h, assegurando ao utilizador um canal de acesso total a partir de um ponto centralizado na infraestrutura. s /S ACESSOS SOBRE A REDE MØVEL TMN podem ser configurados para ligação à APN (Access Point Name) internet ou a uma APN privada da organização. As VPNs SSL e IPSec podem ser também utilizadas tanto sobre a internet como sobre a APN privada da organização. s ² POSSÓVEL RESTRINGIR O ACESSO DE cada utilizador remoto a servidores e aplicações específicas, assim como forçar a adoção de medidas de segurança no PC, impedindo o acesso à VPN dos dispositivos não-conformes, o que permite maximizar os níveis de segurança. s !TRAVÏS DO DATA CENTER DA 04 O gateway VPN SSL que garante elevados níveis de segurança e fiabilidade, permite ao utilizador remoto aceder de forma totalmente segura, a qualquer hora e em qualquer lugar, às aplicações aí alojadas, bastando para isso possuir um terminal, as credenciais exigidas e conetividade à internet. s/ACESSO60.33,PODESERIGUALMENTE usado pelos administradores dos servidores e das aplicações alojadas, permitindo uma gestão remota, eficaz e segura a qualquer hora e a partir de qualquer lugar. s %M CASO DE CATÈSTROFE COM AS soluções de Disaster Recovery ou de Business Continuity, o serviço VPN SSL permite o acesso remoto rápido e seguro ao data center, fundamental para o restabelecimento da atividade em cada organização. O serviço VPN SSL da PT Prime possibilita às organizações adquirem funcionalidades avançadas de gestão que permitem a otimização na operação da sua atividade num contexto de complexidade e mobilidade, sem nunca comprometer a segurança dos seus sistemas. Este texto está escrito ao abrigo do novo Acordo Ortográfico. 6| VPN SSL facto um projecto de grande dimensão. "É maior do que deveria ser, por estar 16 anos atrasado", diz Elgamal. Rui Reis, da Mainroad, é mais contundente e considera que os mais recentes acontecimentos “levam a crer que o modelo actual, com hierarquia de autoridades de certificação, é fraco e necessita de ser repensado”. Na visão da iPortalMais sobre os métodos SSL usados em sites, “o futuro passará por dar menos importância aos certificados”. O CEO da empresa, Raúl Oliveira, pergunta mesmo ”que segurança pode acrescentar um certificado emitido por uma entidade externa qualquer, sem conhecer a empresa que o vai usar, nem a tecnologia de um dado fabricante”? Segundo este mesmo responsável, o certificado não muda “os métodos de encriptação, nem a segurança da encriptação”. Além disso, lembra que o dispositivo não “torna credível a empresa por detrás do site”. À primeira vista, Sérgio Martins (da Unisys) parece concordar com Raúl Oliveira. “A evolução da tecnologia SSL e da infra-estrutura de chaves públicas que a suporta passa pela contínua evolução dos protocolos, designadamente, a adopção de algoritmos de cifra e assinatura cada vez mais fortes”, afirma. Esse desenvolvimento, acrescenta, deve assegurar a mitigação dos “riscos de comprometimento, perante possíveis vulnerabilidades descobertas e face à crescente capacidade de processamento computacional disponível”. Contudo, não rejeita o papel das autoridades de certificação porque “é necessário garantir que as entidades certificadoras sejam fiáveis”. E, para isso, define como solução “a implantação de controlos de segurança rígidos e de auditorias regulares às infra-estruturas de chaves públicas”. Para Raúl Oliveira, os certificados SSL são apenas “um negócio”, inventado para um “punhado de empresas encherem os bolsos de dinheiro”. Assim a necessidade de os certificados serem emitidos por “meia dúzia de entidades” é, segundo ele, “um passo perfeitamente dispensável”. Até porque, diz, existem ferramentas de open source capazes de permitir aos prestadores de serviços a emissão de certificados com o mesmo nível de segurança. Muito menos radical, a PT admite a necessidade de se corrigirem as fragilidades na autenticação dos métodos SSL – sobretudo devido ao roubos de certificados. Face às alternativas perfiladas – Convergence e Perspectives – o operador considera como factor decisivo “a facilidade de como se vai integrar a nova entidade “notarial” (apresentada pelas duas entidades) com as grandes empresas e as entidades certificadoras existentes”. Rui Reis, da Mainroad, mostra preferência pela proposta Convergence – “parece um projecto com muita capacidade de desenvolvimento” – mas levanta a mesma questão: “resta saber qual será a aceitação do mesmo entre os grandes players do mercado”. A PT alinha na mesma preocupação do criador do SSL, dado que “qualquer uma das soluções vai exi- COMPUTERWORLD - Setembro 2011 gir uma solução à escala planetária, envolvendo sempre prazos longos consoante a complexidade da implantação do mesmo”. Segundo Pedro Fernandes (Cisco), o aparecimento de uma série de técnicas inovadoras acontece no contexto do comércio electrónico – especialmente preocupado com os custos das falhas de segurança e com o desempenho dos servidores. Mas ressalva que os métodos são ainda “algo” embrionários. O modelo preconizado pelo projecto Perspectives terá já alguma aceitação no mercado, de acordo com Pedro Fernandes. Na sua análise, “substitui aquilo que é considerada a verdade absoluta das CA por uma verdade estatística proveniente do histórico de comportamento dos sites Web e respectivos certificados auto-assinados”. Sobre o projecto Convergence considera que ainda “não convenceu a comunidade científica”. A principal razão é que tem “falhas no campo da identidade, isto é, não é claro como poderá evitar a utilização de certificados auto-assinados falsos, como se usa no phishing”. Mesmo assim, Pedro Galvão, da IBM, aceita “a utilização de técnicas de crowdsourcing (como a da Convergence), pois existem provas dadas do valor das redes sociais para estabelecer (e afectar) reputação”. Mas a generalização do seu uso “carece de adopção” por parte dos principais fabricantes de browsers. Já Sérgio Martins (Unisys) considera interessante os modelos baseados em “cadeias de confiança distribuídas pela Internet e notários a monitorizarem a autenticidade dos certificados”. Diz haver assim maior liberdade para as organizações poderem escolher “a qualquer altura” em que notários electrónicos confiar. “Em vez de ficarem dependentes das entidades de certificação hoje utilizadas pelos browsers”, explica. “Acreditamos que a filosofia de funcionamento de propostas como a Convergence acabarão por ser adoptadas dentro de formas de funcionamento das normas”, diz o responsável da IBM. Na sua visão, os mecanismos de confidencialidade do protocolo SSL/TLS “oferecem boas garantias de segurança”. Mas, de facto, o processo de validação da autenticidade dos sites precisa de ser melhorado, admite. Para Sérgio Martins, há “uma excessiva dependência” face às entidades de emissão de certificados. E os novos mecanismos propostos abordam "algumas das limitações actuais das entidades de certificação, podendo ser uma alternativa válida no futuro”. Evoluções mais recentes no modelo dominante O modelo tradicional baseado em SSL não estagnou, pelo menos na sua evolução tecnológica. De acordo com Pedro Fernandes (Cisco), na área das VPN, as mais recentes funcionalidades apresentadas pelos principais fabricantes abordam sobretudo os aspectos da facilidade de utilização. Os fabricantes procuram por exemplo que o colaborador fora dos escritórios “tenha uma experiência de trabalho semelhante dentro e fora da empresa sem lançar manualmente a VPN”. E parecem dar maior atenção quanto à granularidade no controlo sobre os privilégios de cada utilizador em relação às aplicações a que pode aceder. Na mesma linha, segundo o mesmo responsável, “os aspectos de controlo de acessos à empresa têm critérios cada vez mais sofisticados, como o estado da máquina remota, dia da semana, hora do dia, etc.” Importantes evoluções também têm ocorrido no campo das técnicas de aceleração SSL. “O principal desenvolvimento tem sido em co-processadores capazes de fazer o offload da negociação das chaves publica e privada, assim como de outros parâmetros necessários à cifra SSL”, explica o responsável da Cisco. O processo de cifragem e decifragem dos dados é feita com “chaves simétricas e portanto menos exigentes em computação”. Dependendo dos servidores, esta poderá ficar a cargo da CPU principal ou dos co-processadores, segundo Pedro Fernandes. Há também muitos fabricantes a comercializarem aplicações de aceleração SSL por software. Pedro Fernandes faz questão de sublinhar que são técnicas de aceleração de SSL, independentes dos certificados serem auto-assinados ou não.< VPN SSL Dispositivos móveis acrescentam complexidade |7 A proliferação cada vez maior de dispositivos móveis nas empresas dificulta a gestão da redes com protocolo SSL. Embora nem todos concordem, a complexidade acaba por ser um preço a pagar pela sua flexibilidade. A complexidade inerente às soluções de segurança baseadas em SSL, incluindo as VPN, será a maior barreira sentida pelas empresas na sua adopção. A mais recente tendência para a proliferação, por vezes descontrolada, de dispositivos móveis, só vem acrescentar desafios mais complexos. Para Pedro Fernandes (Cisco), a tecnologia SSL pode ter dois grandes tipos de utilização: o acesso remoto a aplicações corporativas, onde se enquadram mais as VPN; ou a transmissão de informações, em serviços online, como no comércio electrónico. No primeiro caso, faz sentido que a Portugal Telecom (PT) a aponte como uma das principais dificuldades na adopção de sistemas SSL, o alargamento ou a abertura das redes locais aos equipamentos de mobilidade. Não será uma barreira como as outras, mas envolve complexidade de gestão acrescida. “A volatilidade e ausência de controlo sobre computadores de casa, smartphones e tablets exige que a tecnologia SSL, consiga analisar cada vez mais tipos de acessos, controlá-los e garantir a integridade dos equipamentos que se ligam aos recursos internos”, refere. A profusão de acessos acaba por ser facilitada com o incremento do desempenho dos dispositivos, e aumento da largura de banda e inclusão de “encryption offloading” nas placas de redes e CPU dos equipamentos móveis. Segundo a PT, a possibilidade de se manter uma ligação quase permanente aos sistemas internos de uma empresa é um factor muito forte de adopção do acesso em mobilidade. Neste contexto, Raúl Oliveira, da iPortalmais, considera que a principal barreira ao uso de SSL e “sobretudo na implantação” de VPN é a falta de formação dos utilizadores no uso da tecnologia. “As pessoas têm dificuldade em perceber que os procedimentos para aceder aos recursos informáticos da empresa têm de ser diferentes, conforme o acesso seja de fora ou do interior da organização”, explica. Segundo ele, os colaboradores não têm a preocupação de activar a VPN SSL para só depois acederem aos recursos internos da empresa. Nem o custo, nem o desempenho dos sistemas serão justificação plausível, na visão de Oliveira. Há oferta de servidores de comunicação com tecnologia VPN SSL já incluída sem taxas adicionais. E os processadores usados nas máquinas (tanto no dispositivo cliente como no servidor) são suficientemetne bons para evitarem quedas de desempenho capazes de importunar os utilizadores. O peso do factor IPsec Embora os custos para Raúl Oliveira não sejam um problema, pelo menos algumas empresas sentem o peso financeiro da migração desde o Internet Protocol Security (IPsec) – plataforma de protocolos para garantir a segurança de comunicações IP, também usada para VPN. Pelo menos, a necessidade de “renovação dos agregadores de VPN” pode ter um efeito dissuasor, sugere Pedro Fernandes. E, ainda segundo este executivo, mesmo que não envolva maiores custos, o modelo de financiamento pode ser diferente face ao protocolo mais antigo. Voltando à questão da complexidade, o mesmo responsável lembra que “o SSL apresenta uma quantidade elevada de opções de implementação (com e sem cliente instalado no PC remoto, várias formas de transportar os dados das aplicações sobre SSL, etc.)”. Não deixando de ser uma vantagem, pelo incremento da flexibilidade face ao IPSec, é também potenciador de complexidade. Mas, para Sérgio Martins (Unisys), esta será fruto de uma percepção errada, quanto à gestão dos certificados. Na utilização para redes VPN, “os certificados são muitas vezes auto-assinados pela empresa e instalados manualmente nas máquinas dos colaborado- res, e os agregadores de VPN têm hardware específico para criar e manter o túnel SSL”, argumenta Pedro Fernandes. Outras operações necessárias pressupõem um contrato anual com uma autoridade de certificação. Entre elas, incluem-se “a assinatura dos certificados, a validação da identidade da empresa e a geração de chaves de cifra pública e privada”. O efeito IPsec, quando a tecnologia é instalada, fazse sentir também pelo factor custo. Uma das barreiras à adopção da tecnologia SSL e VPN SSL, é “a dificuldade em justificar o investimento numa solução de VPN SSL quando já existe outra solução instalada que satisfaz, parcialmente, os requisitos das organizações”, revela Sérgio Martins. No comércio electrónico, a disponibilização de um servidor Web ao público envolve dois tipos de custos, segundo Pedro Fernandes: os relacionados com a assinatura dos certificados digitais por parte de uma entidade de certificação e os relacionados com a aquisição de servidores com poder computacional adicional para fazer face às constantes negociações de chaves de cifra e à própria cifragem/decifragem dos dados. O modelo de licenciamento, quando diferente daquele praticado para o IPsec, acaba por ser também uma barreira. A visão de Rui Reis, (Mainroad), sobre as dificuldades de adopção da tecnologia SSL acaba por fazer uma síntese do que já foi dito. Resume a três, as principais barreiras – custo, complexidade e desconhecimento – e coloca algum ênfase na complexidade quando considera o sistema como sendo complicado de aprender.< Setembro 2011 - COMPUTERWORLD 8| VPN SSL Os ataques e as dúvidas sobre o ComodoHacker A quebra de confiança nos certificados SSL tem como marco o nome da autoridade de certificação. O alegado autor solitário da violação de autenticidade dos seus certificados usurpou uma marca e autodenomina-se de “ComodoHacker”. Mas será mesmo um único hacker? Um alegado hacker iraniano assumiu em Março a responsabilidade pelo roubo de vários certificados SSL pertencentes a alguns dos maiores sítios Web, incluindo a Google, Microsoft, Skype e Yahoo. A reacção inicial de especialistas em segurança informática foi mista, com alguns a acreditarem no hacker, enquanto outros expressaram dúvidas. A conjectura focou-se num ataque assegurado por um Estado, talvez financiado ou realizado pelo governo iraniano, que acedeu ilegalmente a um revendedor de certificados parceiro da norte-americana Comodo. A 23 de Março, a autoridade de certificação reconheceu o ataque, dizendo que oito dias antes os hackers obtiveram nove certificados falsos para o registo nos sites Hotmail, da Microsoft, GMail, da Google, no serviço de telefone por Internet e chat da Skype e no Yahoo Mail. Foi também obtido um certificado para um “add-on” do Firefox, da Mozilla. O CEO da Comodo, Melih Abdulhayoglu, disse depois haver indícios de um ataque apoiado por um Estado, e afirmou que o governo do Irão era, provavelmente, responsável pelo mesmo. A sua opinião baseou-se no facto de apenas o governo do Irão – que podia contornar o DNS (“domain name system”) do país para direccionar tráfego através de sites falsos garantidos pelos certificados roubados – ser o potencial beneficiado. Segundo Abdulhayoglu, as autoridades iranianas poderiam usar os certificados para enganar os activistas anti-governo e levá-los a acreditar que estavam numa conta legítima do Yahoo Mail, por exemplo. Na realidade, porém, os sites falsos teriam recolhido nomes de utilizadores e passwords e, assim, dado acesso ao governo às suas contas de email ou de Skype. Ao assumir a responsabilidade pelo ataque à Comodo, o suposto hacker sustentou a sua alegação com código não compilado. “Eu não sou um grupo de hacker [sic], sou um hacker único com experiência de 1.000 hackers”, escreveu o atacante num “post” no Pastebin.com. O Pastebin é um site público onde programadores – incluindo hackers – geralmente publicam amostras de códigos-fonte. O autodenominado “ComodoHacker” alegou ter acedido ao InstantSSL.it, o braço italiano do serviço de venda de certificados InstantSLL da Comodo. Aí descobriu um ficheiro DLL não compilado no servidor e acedeu ao nome e password da conta de utilizador do revendedor. Com esta informação, diz o ComodoHacker, foi capaz de gerar nove certificados “em cerca de 10-15 minutos”. A sua mensagem estava assinada como COMPUTERWORLD - Setembro 2011 “Janam Fadaye Rahbar”, o que supostamente significa “irei sacrificar a minha alma para o meu líder”. Autêntico ou ficção? Robert Graham, CEO da Errata Security, acredita que o ComodoHacker está a contar uma história verdadeira. “Como ‘pentester’ [de testes de penetração] que faz ataques semelhantes ao que o ComodoHacker fez, acho que é credível”, disse Graham, no blogue da Errata. “Acho provável que (1) seja ele, (2) que agiu sozinho, (3) que é iraniano, (4) que é patriota mas não político”. Mas Mikko Hypponen, responsável de investigação da F-Secure, em Helsínquia, parece céptico. “Acreditamos realmente que um hacker solitário entra numa [autoridade de certificação], pode gera qualquer certificado… e vai atrás de login.live.com em vez do paypal.com?”, questionou Hypponen no Twitter. Graham tinha uma resposta para a questão de Hypponen. “O [ComodoHacker] começou com um objectivo, as chaves de “factoring” RSA, e acabou numa meta relacionada, a forjar certificados”, disse Graham. “Ele não pensou no PayPal porque não estava a tentar fazer algo com os certificados falsos”. O ComodoHacker também apontou baterias ao Ocidente – os meios de comunicação ocidentais, em particular – por rapidamente concluírem que o go- verno iraniano estava envolvido, quando minimizou as possíveis ligações dos EUA e de Israel ao Stuxnet, o “worm” que a maioria dos especialistas acreditam ter visado o programa nuclear iraniano. E ameaçou também usar as suas capacidades contra aqueles que disse serem inimigos do Irão. “Qualquer pessoa com problemas no Irão, de falsos Movimento Verde a todos os membros do MKO e terroristas duplos, devem [ter] medo de mim, pessoalmente”, disse o ComodoHacker. “Não vou deixar ninguém dentro do Irão prejudicar pessoas do Irão, prejudicar os Cientistas Nucleares do meu país, prejudicar o meu Líder (o que ninguém consegue), prejudicar o meu presidente”. Os MKO, ou “Mujahedin do Povo do Irão”, são um grupo islâmico que defende o derrube do actual governo iraniano. “Enquanto eu viver, não haverá privacidade na Internet, nem segurança no mundo digital, é só esperar e ver”, disse ComodoHacker. Nova investida atinge a DigiNotar Em Maio, um outro grupo de hackers também terá obtido acesso a um certificado digital SSL capaz de autenticar sites falsos como sendo da Google. O dispositivo tecnológico de certificação terá sido conseguido a partir de um fornecedor holandês de certificados, DigiNotar, de acordo com Roel Schouwenberg, investigador de malware na Kasperky Labs. A DigiNotar foi adquirida no início deste ano pela VPN SSL Mais político O “ComodoHacker” acabou por assumir-se responsável pelo ataque à empresa holandesa e, como já o tinha feito no início do ano, promete voltar a atacar. O hacker publicou o aviso no Pastebin com o pseudónimo “ComodoHacker”. A mesma conta usada para descrever o ataque à Comodo. O “ComodoHacker” deu entrevistas à imprensa e descreveu-se como um estudante iraniano de 21 anos, mas esta informação não foi confirmada. Há a suspeita de ser turco e de trabalhar em parceria com outros hackers. Ele diz ter querido punir o governo holandês pela acção dos soldados holandeses em Srebrenica – cidade na qual foram mortos oito mil muçulmanos pelas forças sérvias, durante a Guerra da Bósnia, em 1995. Mais de 500 certificados fraudulentos foram emitidos pela DigiNotar e 300 mil endereços tiveram a sua segurança comprometida. “Esse é o grande mistério”, disse Mikko Hypponen, chefe de investigação da empresa de segurança F-Secure. “Como podemos ligar o roubo dos certificados à interceptação em larga escala de comunicações de cidadãos iranianos?” Hypponen admite a possibilidade de a mesma pessoa estar por detrás dos dois ataques. O estilo e o nível de inglês é o mesmo e, para criar os certificados, foram usadas frases persas, em ambos os casos, disse Hypponen. No Pastebin, o “ComodoHacker” revela ter ganho acesso a mais quatro entidades ou empresas de certificados como a Comodo e a DigiNotar. Uma delas foi a GlobalSign. O director de desenvolvimento de negócios da empresa, Steve Roylance, revelou que a GlobalSign parou a emissão de certificados durante uma semana para fazer uma auditoria. O alegado hacker revelou ter atacado também a Startcom, outra autoridade de certificados, mas explicou que o ataque não funcionou. O chefe de operações e director de tecnologia desta empresa, Eddy Nigg, revelou ter detectado o ataque em Junho e ter sido capaz de bloquear a acção antes da emissão de certificados fraudulentos. Mais recentemente o suposto iraniano, revelou ter partilhado os certificados roubados com outras pessoas no seu país. E ameaçou alargar a abrangência dos ataques à Europa, Estados Unidos e Israel.< Û Vasco, de Chicago, organização que se assume como “líder mundial em autenticação forte”. Os criminosos podiam usar o certificado para conduzir ataques denominados “man-in-the-middle”, nos quais há intrusão e monitorização da interacção dos utilizadores – atingindo em particular utilizadores do Gmail. Seria uma carta branca para qualquer domínio Google, considera Schouwenberg. Mais uma vez, vários detalhes sobre o certificado foram publicados no site Pastebin.com. O investigador em segurança e programador da Tor, Jacob Applebaum, confirmou que o certificado era válido. Esse facto impede um browser a negar-se a abrir uma mensagem de alerta se o seu utilizador visitar um site falsificado com o referido dispositivo. Schouwenberg afirmou que o envolvimento de um país era a explicação mais plausível para o desvio do certificado emitido pela DigiNotar, que entretanto declarou falência. “Em primeiro lugar, pelo tipo de informação procurada – dados de utilizadores do Google”, disse. “Isso aponta para uma operação de serviços secretos em vez de qualquer outra coisa. Depois, esse tipo de ataque só funciona quando o intruso tem algum controlo sobre a rede, mas não sobre as máquinas”. |9 Processadores gráficos aceleram SSL a baixo custo O desempenho pode ser tão bom como algum hardware de alta gama, a uma fracção do custo. O SSL Shader é um hardware de aceleração de comunicações protegidas por SSL, desenvolvido por investigadores do Korea Advanced Institute of Science and Technology (KAIST) e da Universidade de Washington. Assenta em processadores gráficos normais e consegue desempenhos tão altos como equipamentos de alta gama. Mas a uma fracção dos custos. O referido hardware processa terminações de sessões SSL de e para servidores, obtendo um número de transacções por segundo e transferências de grandes arquivos, considerados impressionantes – de acordo com um artigo apresentado no Simpósio USENIX sobre desenho e implantação de sistemas de redes. Muitas vezes, a utilização do SSL não é adoptada devido a problemas de desempenho, além dos custos acrescidos. O SSLShader resolve melhor as duas questões, dizem os investigadores. Os processadores gráficos suplantam em larga medida o desempenho do equipamento suportado por CPU. Têm altos rendimentos e latências baixas, argumentam. Agrupando as operações de encriptação do mesmo tipo e enca- minhando-as todas para o mesmo núcleo de GPU, o SSLShader aproveita a grande capacidade de computação paralela das GPU. Mas estas só começam a funcionar quando há um lote suficientemente grande de ordens semelhantes. A menos que os pedidos atinjam um determinado volume, as CPU têm melhor desempenho, admitem os investigadores. Por isso desenvolveram um algoritmo de descarga ou “offloading” dentro do SSLShader para determinar quando o GPU devem entrar em acção. A equipa correu OpenSSL em hardware de servidor equipado com dois processadores Intel Xeon X5650, 24GB de memória e duas placas NVIDIA GTX580. A caixa tinha um sistema operativo Ubuntu Linux e software de servidor web lightpd. Os investigadores compararam o desempenho do lightpd com OpenSSL , face ao SSLShader, com uma variedade de tráfego. Para o processamento de chaves RSA de 1024 bits, o lightpd alcançou as 11.200 transações por segundo (TPS), face às 29 mil transações por segundo no SSLShader. Para as chaves RSA mais seguras, de 2048 bits, o lightpd com OpenSSL alcançou 3600 TPS, enquanto o SSLShader atingiu as 21800 TPS, mostraram os investigadores. Usar os processadores gráficos para operações de encriptação quando o volume é baixo pode levar a latências altas, descobriram os pesquisadores. Daí a necessidade de usar o algoritmo de descarga, o qual minimiza a latência quando o volume é pequeno e maximiza o desempenho havendo uma carga alta. Os investigadores compararam o preço por operação considerando o preço dos componentes utilizados na sua experiência – o processador Intel Xeon X5650 de 727 euros, placa Nvidia GTX580 de 364 euros – face a uma placa aceleradora de SSL, Nitrox acelerador SSL board, de 1554 euros. Para as chaves RSA, o sistema com CPU alcançou 19,9 operações por segundo por um dólar ou 73 cêntimos, enquanto o SSLShader chegou às 185,3 operações por segundo, pela mesma quantia. A placa Nitrox chegou às 30,5 operações por segundo, pelo mesmo valor.< COMPUTERWORLD PROPRIEDADE RUA GENERAL FIRMINO MIGUEL, Nº 3 TORRE 2 - 3º PISO 1600-100 LISBOA DIRECTOR EDITORIAL: PEDRO FONSECA [email protected] EDITOR: JOÃO PAULO NÓBREGA [email protected] DIRECTOR COMERCIAL E DE PUBLICIDADE: PAULO FERNANDES [email protected] TELEF. 210 410 329 – FAX 210 410 303 PAGINAÇÃO: PAULO COELHO [email protected] TODOS OS DIREITOS SÃO RESERVADOS. A IDG (International Data Group) é o líder mundial em media, estudos de mercado e eventos na área das tecnologias de informação (TI). Fundada em 1964, a IDG possui mais de 12.000 funcionários em todo o mundo. As marcas IDG – CIO, Computerworld, CFO World, CSO, Channel World, GamePro, InforWorld, Macworld, PC World e TechWorld – atingem uma audiência de 270 milhões de consumidores de tecnologia em mais de 90 países, os quais representam 95% dos gastos mundiais em TI. A rede global de media da IDG inclui mais de 460 websites e 200 publicações impressas, nos segmentos das tecnologias de negócio, de consumo, entretenimento digital e videojogos. Anualmente, a IDG produz mais de 700 eventos e conferências sobre as mais diversas áreas tecnológicas. Pode encontrar mais informações do grupo IDG em www.idg.com Setembro 2011 - COMPUTERWORLD www.ptprime.pt IMAGINE PODER FOCAR TODA A SUA ENERGIA NO SEU NEGÓCIO, EM TODAS AS SITUAÇÕES, MESMO NAS MAIS CRÍTICAS. IMAGINE PORQUE É POSSÍVEL. A PT Prime investe continuamente na tecnologia mais avançada, reunindo um conjunto de Serviços Geridos de TI, remotos ou com intervenção local, que garantem, com segurança, total controlo da performance e continuidade das infra-estruturas e sistemas. Dimensionadas à medida das necessidades a cada momento, as Soluções TI e Segurança da PT Prime libertam-no para que aplique toda a sua energia a fazer aquilo que faz melhor – o desenvolvimento do seu negócio. DATA CENTER E INFRA-ESTRUTURAS TI . SERVIÇOS GERIDOS TI DISASTER RECOVERY E BUSINESS CONTINUITY . SERVIÇOS GERIDOS SEGURANÇA UM MUNDO DE POSSIBILIDADES