UNIDADE UNIVERSITRIA DE MORRINHOS BACHARELADO DE CINCIAS CONTBEIS CASSIA NEVES DA SILVA
CERTIFICAO DIGITAL PARA CONTABILISTAS
Morrinhos - GO 2010 2
CASSIA NEVES DA SILVA
CERTIFICAO DIGITAL PARA CONTABILISTAS
Monografia apresentada ao Curso de Bacharelado em Cincias Contbeis como Avaliao Final da Disciplina Trabalho de Concluso de Curso (TCC) para obteno do Titulo de Graduado, ministrado pela Professora Especialista Nabya Dayane Peixoto Mendanha. Professor Orientador: Murilo Morais Alexandre.
Morrinhos GO 2010 3
CASSIA NEVES DA SILVA
Certificao Digital Para Contabilistas
Monografia apresentada ao Curso de Bacharelado em Cincias Contbeis como avaliao final da Disciplina Trabalho de Concluso de Curso (TCC) para obteno do titulo de graduado da Universidade Estadual de Gois Unidade Universitria de Morrinhos (UNU) para a obteno do Ttulo de Graduado. rea de Concentrao: Certificao Digital.
Banca Examinadora: Morrinhos (GO), 16 de novembro de 2010
_________________________________________________________ Professor Orientador Murilo Morais Alexandre Presidente da Banca Universidade Estadual de Gois
__________________________________________________________ Professora da Disciplina de TCC Nabya Dayane Peixoto Mendanha Examinador da Banca Universidade Estadual de Gois
__________________________________________________________ Professor Sinair Dias Sobrinho Examinador da Banca Universidade Estadual de Gois 4
A minha famlia e aos amigos, que sempre estiveram comigo e nunca me deixaram desistir. Se vi mais longe foi por estar de p sobre ombros de gigantes. Isaac Newton 5
AGRADECIMENTOS
A Deus que sempre me guiou. Aos meus pais e minha irm pelo amor, zelo e ateno. Aos meus amigos Adriane, Bruno e Edirlei que sempre me motivaram a continuar. Ao meu professor e orientador Murilo pela compreenso e parceria. 6
O desenvolvimento tcnico s vai deixar um nico problema por resolver: a debilidade da natureza humana. Karl Kraus 7
RESUMO
A grande evoluo tecnolgica afetou diretamente o contabilista, modificando fortemente grandes aspectos de sua rotina e conseqentemente cria-se a necessidade de se manter sempre atualizado. Para qualquer transao feita na internet, presencia-se a dificuldade da comprovao de identidade e com isso, invalida-se diversas funes que seriam facilitadoras ao cotidiano. Para sanar essas necessidades, criou-se o Certificado Digital. Ele garante o sigilo de documentos e a privacidade nas comunicaes das empresas, pessoas e governos, alm de impedir a adulterao destes nos meios eletrnicos, dentre eles a Internet, garantindo o curso legal dos mesmos. Esta inovao afeta diretamente a atuao do contador, pois aps a regulamentao da certificao, tornou-se obrigatrio a emisso de vrios relatrios contbeis como o SPED (Sistema Pblico de Escriturao Digital), Nota Fiscal Eletrnica (NF-e) e outros utilizando o certificado digital, alm de promover grande viabilidade nas transaes online e inovar no uso e validao jurdica dos documentos eletrnicos. O objetivo geral deste trabalho criar uma fonte de informaes sobre a certificao digital para contadores leigos e suprir a escassez de matrias neste tema com enfoque contbil. Sendo assim, apresentado de maneira simplificada um conhecimento amplo para os contabilistas a cerca da certificao digital, alem de sua aplicao cotidiana. Abordando uso, lgica, funcionalidades e outros, proporcionando uma base de conhecimentos sobre o tema atravs de estudo descritivo do material disponvel. Obtendo assim um contedo inovador, com os benefcios da certificao digital, a segurana proporcionada e viabilidade da mesma.
Palavras-Chaves: Certificao Digital, Contabilidade, Segurana de Documentos Eletrnicos.
8
ABSTRACT
The technological evolution directly affected the accountants, changing important aspects of their routines and therefore creating the need to keep always updated. For any transaction made on the internet, is visible the difficulty to proof an identity and, thereby, its invalidates several functions that would be easy on the everyday routine. The Digital Certificate was created to adress these needs. It ensures the confidentiality of documents and the privacy in communications of companies, people and governments. Besides, the digital certification prevents the falsification of the electronic media. This innovation directly affects the work of all accountants. After the regulation of the certification, became mandatory the emission of various financial reports such as SPED, NF-e and others using the digital certificate. The objective of this work is to create a source of information on digital certification for laity accountants, and supply the lack of didactic materials on this theme. In this work, is presented in a simplified manner, a broad knowledge about digital certification for accountants, in addition to its daily application. Describing the use, the logic and other features; providing a base of knowledge on the subject through a descriptive study of the available material. This work provides an innovative content that describe the benefits, security, and the viability of digital certification.
Key-Words: Digital Certification, Accounting, Electronic Document Security.
9
LISTA DE FIGURAS
FIGURA1: O contexto da Criptografia Simtrica...................................................................36 FIGURA 2: Autenticao, no repudio e integridade atravs da utilizao de criptografias de chave pblica e resumo de mensagem......................................................................................41 FIGURA 3: Certificado Digital................................................................................................42 FIGURA 4: Hierarquia da Infra-Estrutura de Chaves Pblicas ICP Brasil...........................43 FIGURA 5: Estrutura ICP Brasil...........................................................................................46 FIGURA 6: Exemplo de Leitora de Smart Card...................................................................49 FIGURA 7: Exemplo de token..................................................................................................49 FIGURA 8: Smart Card Carto .............................................................................................49 FIGURA 9: Imagens dos e-CPF e e-CNPJ...............................................................................50 10
SUMRIO
1 INTRODUO ............................................................................................................... 12 2. ATAQUES MAIS COMUNS NA INFORMTICA ...............................................................17 2.1 Cavalo de Tria, Vrus, Backdoors, Worms e Spywares ...............................................................18 2.2 Quebra de Senha/ Brute Force (Fora Bruta)/ Password Crackers ................................................21 2.3 Denial of Service (DOS) e DDoS Distributed Denial of Service/Flood........................................22 2.4 Scanners de Portas/ Portscanners e Exploits .................................................................................23 2.5 Spoofing .....................................................................................................................................24 2.6 Scamming ...................................................................................................................................25 2.7 DNS Poisoning/ Pharming...........................................................................................................26 2.8 Clonagem de URLs .....................................................................................................................27 2.9 Engenharia Social .......................................................................................................................27 3 CERTIFICAO DIGITAL ............................................................................................ 29 3.1 Princpios ....................................................................................................................................31 3.2 Conceitos ....................................................................................................................................32 3.2.1 Criptografia ..............................................................................................................................33 3.2.1.1 Formas de Criptografia ..........................................................................................................34 3.2.1.2 Chaves Criptogrficas............................................................................................................37 3.2.2 Assinatura Digital.....................................................................................................................39 4 REGULAMENTAO .................................................................................................... 43 4.1 Estrutura no Brasil ......................................................................................................................44 4.2 Comit Gestor .............................................................................................................................45 4.3 AC Raiz ......................................................................................................................................45 4.4 Autoridades Certificadoras ..........................................................................................................46 4.5 Autoridade de Registro ................................................................................................................47 4.6 Tipos de Certificados Digitais .....................................................................................................47 4.7 Obteno, Renovao e Revogao .............................................................................................51 4.8 Legislao ...................................................................................................................................52 5 CONSIDERAES FINAIS ............................................................................................ 54 REFERNCIAS BIBLIOGRAFICAS......................................................................................59 ANEXO I............................................................................................................................. 65 ANEXO II ........................................................................................................................... 70 11
ANEXO III .......................................................................................................................... 83
12
1 INTRODUO
O presente trabalho, se d em funo da concluso do curso de Cincias Contbeis promovido pela UEG (Universidades do Estado de Gois) unidade de Morrinho GO, e visa atravs de estudos descritivos criar uma fonte de informaes sobre a certificao digital para contadores leigos. Trata-se de uma temtica pouco explorada em bibliografias acadmicas. Muitos dos conceitos de aplicabilidade e segurana da Certificao Digital sero apresentados no decorrer dessa obra. Para tanto, o objeto de estudo necessita nesse momento de uma breve apresentao do histrico sobre a existncia e implantao da informtica com suas atribuies e vinculaes na sociedade. O mundo esta em constante evoluo. Da revoluo industrial para os dias atuais, mudanas significativas ocorreram. Duas dentre elas, foram a criao do computador e posteriormente a internet. Estes tem-se popularizado continuamente, e juntamente com a sua expanso, acompanham as adaptaes sociais com processos gradativos e progressivos de transformaes que abrangem os vrios segmentos da sociedade. Nesse sentido, a informtica tem obtido importncia estratgica no mundo empresarial e no cotidiano de muitos profissionais. Sua implantao nas ultimas dcadas causou grandes repercusses nas praticas contbeis e conseqentemente nas formas de registros desse segmento. Thompson (1991, apud Deitos, 2010) menciona com mais clareza os efeitos significativos do emprego da informtica na rea contbil:
Compare estas duas cenas. Um atarefado empregado, com a gravata afrouxada, maneja uma pesada mquina. Faz lanamentos contbeis em uma ficha, atrs da qual h uma folha com carbono. Depois transcreve essas informaes no Dirio, por meio de gelatina. Ou, ento, um operador faz os mesmos lanamentos em um microcomputador, com velocidade cinco vezes maior, deixando para o programa a elaborao de relatrios, que depois sero emitidos pela impressora. a diferena entre usar ou no a informtica como ferramenta no dia-a-dia do profissional da contabilidade. (THOMPSON, 1991, apud DEITOS, 2010).
Depois da metade do sculo XX, uma nova viso de perspectivas e possibilidades proporcionada com a inveno da informtica, quando a tecnologia passou a servir como substituio/otimizao/automao de servios metdicos/mecnicos humanos. Um dos primeiros adventos informticos a serem utilizados pela contabilidade foi calculadora em 1820. Seqencialmente, a prxima ferramenta tecnolgica a ser utilizada fora o primeiro computador comercial. No entanto, a expanso da informtica no Brasil deu-se em meados da 13
dcada de 50 do sculo passado. E seu uso s fora propagado na contabilidade por volta das dcadas de 60 a 80, direcionado relativamente com preferncia a setores de recursos humanos, contabilidade, finanas e outros. Com a popularizao dos computadores comerciais, houve um processo de mecanizao e modificao das praticas contbeis, portanto softwares especficos foram criados e deu-se toda uma linha de aprimoramento informacional, que desenvolveu-se com maior intensidade apos a inveno da internet e liberao para fins transacionais a partir de 1995. Conseqentemente, ela tornou-se vital para a qualidade das informaes contbeis. A criao de softwares e as constantes inovaes tecnolgicas desde a criao do primeiro computador permitiram uma gama imensa de automatizao s praticas contbeis, mecanizando o que antes era manual, reduzindo significativamente a demanda de tempo para realizao do trabalho cotidiano contbil. Isso promoveu aos profissionais da rea uma nova perspectiva de atuao, de modo que passaram a utilizar seus conhecimentos visando interpretar as tarefas a serem mecanizadas, numa ptica de auxilio aos gestores e scios das empresas, transformando-se em analistas. A grande evoluo tecnolgica afetou diretamente o contabilista, modificando fortemente grandes aspectos do seu cotidiano. Com isso, nasceu a necessidade de tal profissional ampliar seus conhecimentos para adequar-se as novas exigncias mercadolgicas e legais. O manuseio correto dessas tecnologias pode contribuir significativamente para uma otimizao na rotina diria do contabilista. Atualmente, pode-se concluir que a contabilidade no coexiste eficazmente sem a informtica. Para Thompson (1991, p. 23). Hoje no existe contabilidade sem a informtica. Ambas fazem um casamento perfeito. So exatas. Tal analise perceptvel se observado o aumento permanente no crescimento das indstrias de softwares e hardwares da rea contbil e o continuo aumento da informtica como ferramenta de trabalho em todas as organizaes contbeis, almejando servios mais rpidos e com maior qualidade, considerando a reduo evidente de erros, que graas a ela tornaram-se inadmissveis. E, atualmente qualquer contabilista que ainda queira utilizar-se de escriturao manuscrita, esta fadado a falncia. A globalizao conseqncia da evoluo tecnolgica, pois pode-se enviar e receber informaes e tempo real, online, efetuar diversos negcios sem necessariamente deslocar-se. Com o uso constantemente crescente da internet, da popularizao da dinamicidade dos servios oferecidos, como e-commerce 1 , transaes
1 e-commerce: Segundo MacCulloch (03/09/2007), comrcio eletrnico ou, ainda, comrcio virtual um tipo de transao comercial feita por meio eletrnico, como o ato de vender, comprar ou mesmo pagar contas via internet. 14
bancarias/financeiras, comunicao mundial em tempo real, dentre dezenas de outras, surgiu a necessidade de mais confiabilidade entre as entidades presentes nessas transaes. Nesse cenrio, fez-se preciso uma reestruturao para adaptar s praticas contbeis de uma maneira que utilize em sua maior quantidade os recursos oferecidos pelas tecnologias criadas e obtenha qualidade, seguridade e confiabilidade, alm dos vrios softwares que foram desenvolvidos para segurana. Com a adeso crescente de pessoas, inovaes contnuas de servios, facilidades comerciais, e atraes dinmicas oferecidas a cada minuto atravs da internet, reafirmado a necessidade de maior confiabilidade de dados, pois a vulnerabilidade das informaes digitais acontecem porque estas transaes podem ser annimas e publicas. Deste modo, h a inviabilizao de muitas aes que facilitariam a vida dos contabilistas, como venda e aquisio de produtos, movimentaes bancrias significativas e outras. Com o intuito de suprir a carncia de identificao segura na internet, fora criado a certificao digital, atualmente utilizada em diversos documentos entregues a Receita Federal do Brasil, notas fiscais eletrnicas e como documento de identidade no mundo fsico e virtual. As certificaes digitais contm algumas informaes e uma assinatura digital, que permite dar garantia de integridade, privacidade e autenticidade a arquivos eletrnicos, na comunicao dos usurios, tanto jurdicas quanto fsicas. Ela rompe as barreiras do mundo fsico e digital, equiparando-os e nivelando-os. A Certificao Digital consiste um arquivo eletrnico que contm alguns dados pessoais, informaes que identicaro os emissores do certicado, verificando a identidade do emissor e a autenticidade do arquivo. Ou seja, ela permite a identificao do transmissor e do receptor de documentos eletrnicos, sites, pessoas, atuando similarmente como um passaporte online ou uma carteira de identidade. Criada com o intuito de promover relaes de confiabilidade entre entidades que no se interagem pessoalmente. Ela capaz de garantir a um documento eletrnico o mesmo valor jurdico de um documento em papel, dispensando os documentos impressos enquanto prova de valor jurdico-fiscal, como tambm agregar valor ao documento originalmente eletrnico, eliminando a necessidade de impresso. Alm de promover a opo de assinatura de documentos eletrnicos em qualquer formato: imagens, textos, planilhas, e- mail, apresentaes, vdeos, musicas. Contudo, comum profissionais desta rea no terem um conhecimento elevado de informtica, ficando a deriva sobre a real utilidade da certificao digital, de suas aplicaes e do porque de sua obrigatoriedade para alguns documentos contbeis. O material disponvel sobre este assunto escasso, compreendendo-se que um assunto relativamente novo. possvel verificar a quase inexistncia de materiais 15
neste tema com enfoque contbil. O pouco disponvel para esta classe composta de artigos e cartilhas simplificadas, contedos avulsos de outras reas do conhecimento, sem possuir o embasamento necessrio para um leigo ou semi, aprender de maneira simplificada o que a certifio digital, como ela atua e qual segurana proporciona. Comumente possvel verificar uma grande gama de profissionais que possuem baixo conhecimento em informtica, sendo mais notvel os que j exercem a profisso a algumas dcadas. Para tais, ainda mais complexo uma adaptao de qualidade. Segundo pesquisa apresentada na revista Voc S/A da editora abril em 2004, realizada com os 150 (Cento e cinqenta) contadores das melhores 150 (Cento e cinqenta) empresas para trabalhar:
[...] pode-se observar que o nvel de conhecimento em Informtica Bsica foram de 11 contadores, ficando com o percentual de 14,3. No intermedirio, ficaram 43 contadores com 55,8 do percentual, e o avanado foi composto por 23 pessoas e 29,9 do percentual. Com um total de 77 profissionais que responderam os questionrios. A habilidade em alavancar e utilizar os recursos de informtica est presente em todas as trs competncias que caracterizam o contador da atualidade. Nesse sentido, parcela significativa dos contadores entrevistados ainda evidenciam a necessidade de melhor desenvolver suas habilidades quanto a tal competncia. Os dados atestam que 70,1% dos pesquisados encontram-se entre os nveis bsico e intermedirio, com 29,9% em nvel avanado. Obviamente os nveis bsico e intermedirio no refletem as habilidades necessrias para o domnio dos recursos informacionais que a atualidade impe. (EDITORA ABRIL, 2004, p. 298).
Tambm notvel um despreparo para uso da Notas Fiscais eletrnicas(NF-e), que requer como fator fundamental a certificao digital, que ser abordado em capitulo futuro. Um levantamento da Unidade de Negcios de Identidade Digital da Serasa Experian 2010 em maio deste ano mostrou que 20% (vinte por cento) das 1,4 milhes (Um milho e quatrocentos mil) das empresas que deveriam solicitar o certificado ainda no o tinham feito a poucos dias para encerramento do prazo limite para emisso das declaraes, conseqentemente, a Receita Federal prorrogou o vencimento devido a reivindicao dos contabilistas. As vantagens proporcionadas em utilizar o certificado digital so varias: economia de tempo; agilidade; desburocratizao; receber mensagens enviadas pela receita federal atravs de ambiente seguro, inclusive e-mails com informaes dirias de mudanas na legislao tributria; consultar dados cadastrais; verificao fiscal da pessoa jurdica; efetuar parcelamentos; agendar atendimento presencial nas unidades da receita federal, dentre outros benefcios. 16
A documentao digital uma tendncia mundial irreversvel. Pases da Amrica Latina, como Mxico e Equador, j a utilizam desde o inicio deste sculo.
Hoje, no mundo, 90% (noventa por cento) dos documentos produzidos tm origem eletrnica e os autenticados (assinados eletronicamente utilizando a Certificao Digital) passam a ter total validade jurdica, sem nunca antes ter existido em papel [...] Esta medida atende a uma tendncia internacional da validao jurdica de documentos eletrnicos, norteada pela UNCITRAL, da ONU, at ento j estabelecida em diversos pases do mundo, com destaque para EEUU, Inglaterra, Itlia, Alemanha, Mercosul, Amrica Central e Oriente (LEMOS, 2007).
No Brasil, a certificao digital passou a ter valor legal a partir da Medida Provisria n 2.200-2, de 24 de Agosto de 2001 e onde o certificado digital se torna identificador das novas identidades chamadas de Registro de Identidade Civil (RIC). Este trabalho portanto, procura apresentar de modo usual esta tecnologia, sua aplicabilidade, legalidade, praticidade, suprir a escassez de materiais contbeis com conhecimento aprofundado deste assunto, favorecer a criao de um contabilista apto e lapidvel as novas mudanas e descrever detalhadamente o que muda nos documentos contbeis. Como expectativa de resultado, espera-se promover uma disseminao do contedo entre a classe contbil para ampliao do conhecimento e uso desta tecnologia, e conseqente um acrscimo ao saber contbil.
17
2. ATAQUES MAIS COMUNS NA INFORMTICA
O uso dos certificados digitais proporciona confiabilidade para o profissional contbil em paginas na internet, a identificao real de uma empresa, pessoas, arquivos e outros. Uma pagina pode ser clonada, pessoas, documentos e endereos podem facilmente serem falsificados. Porm, o certificado promove a identificao verdica destes no meio eletrnico. Segundo pesquisa divulgada pela Certsing e realizada pela Opinies de Valor desenvolvida para VeriSign, Inc. (NASDAQ: VRSN) revelou que 73% dos usurios da Web no Brasil correm o risco de sofrer fraudes on-line por no serem capazes de identificar as diferentes formas de phishing que acontecem atualmente on-line e por conseguinte, o contabilista, que lida diariamente com arquivos eletrnicos, paginas de internet e outros. O anexo III contem uma listagem dos principais ataques ocorridos no Brasil, reportados a Cert. Figueiredo (1999) esquematizou as ameaas, conseqncias e medidas que interferem na integridade, confidencialidade, negao de servio e autenticao dos servios via web. As ameaas que afetam a integridade so: modificao de usurio, alterao de informaes, acesso ao computador. Confidencialidade: intrusos podem obter informaes, como sites preferenciais. Negao de servios: atravs de paginas falsas possvel obter dados confidenciais e valorosos, supondo estar no site verdadeiro. Ameaa na autenticao: personificao/falsificao de usurios legtimos. So vrios os tipos e formas de ataques usados para invadir um computador, sistemas, redes, softwares, servidores e obter informaes pessoais e sigilosas dos usurios, do quais os contadores so passiveis de ataques. Aqui sero apresentados as principais modalidades na informtica e que a certificao promove algum tipo de segurana. Geralmente a figura do invasor, autor dos ataques denominada hacker, cracker ou lammer. Carvalho (2006) define os hackers como sendo apenas conhecidos pelos seus conhecimentos avanados em informtica e, especialmente, redes de comunicao. Para eles sua intitulao e atuao, so de bem feitores ao usarem seus conhecimentos avanados para praticas que definem como sendo o bem e no propriamente para crimes. Carvalho ainda afirma que so Usurios experientes que invadem sistemas de informao. Os indivduos denominados hackers no so necessariamente ameaas, pois, assim como as Medidas Provisrias, existem os "Hackers do bem". Eles invadem sites, sem danificarem o contedo, avisando para o administrador que existem falhas de segurana e precisam ser corrigidas, eliminam sites de 18
pedofilia e outros. Porm, mesmo que no causem maiores danos, no deixam de estarem quebrando a privacidade dos usurios.
So especialistas que j dominam diversas tcnicas de invaso e conhecem com profundidade pelo menos um sistema operacional. So excelentes programadores e administradores de sistemas. Mas, diferentemente do que popularmente se acredita, possuem um rgido cdigo de tica e nunca usam seus conhecimentos para o mal, mesmo que sua noo de bem seja contra a lei. A comunidade hacker tradicional execra completamente esta definio, preferindo se referir a hackers apenas como programadores e especialistas em informtica. Para os hackers tradicionais, os que praticam atividades ilegais (mesmo que motivadas por motivos nobres) so chamados de crackers. (ULBRICH E LAVALLE, 2004, p. 29)
Para os malfeitores, o termo utilizado crackers. Estes utilizam seus conhecimentos para pratica de crimes, roubo de senhas, dinheiro, invaso de servidores e muitos outros. Ulbrich e Lavalle (2004) afirmam que:
Cracker - Chamado de "hacker do mal" ou "hacker sem tica", normalmente especializado em quebrar as travas de softwares comerciais para poder pirate-Ios (chamados de warez-dOOdz), mas tambm usa seus conhecimentos para invadir sites e computadores com objetivos ilcitos, como vandalismo ou roubo. Muitas vezes os crackers so excelentes programadores e podem criar programas que infectem ou destruam completamente sistemas alheios sem deixar vestgios - os lamers normalmente usam programas criados pelos crackers. (ULBRICH E LAVALLE, 2004, p. 30)
Outra categoria existente so os lamers. Este por sua vez so usurios iniciantes de ferramentas criadas pelos hackers e crackers, porm, sem deterem o real conhecimento de suas aes, com eficcia baixa e repleto de amadorismo. Ulbrich e Lavalle (2004) apresentam o lamer como sendo um usurio comum que fatalmente aprende a usar alguns programas maliciosos e os utiliza para invadir computadores, apagar e-mails ou editar web sites. Esse usurio o que se chama de lamer, palavra derivada de lame que em portugus quer dizer manco ou aleijado. Um lamer caracterizado normalmente pelo trio de programas que ele sempre emprega: scan, exploit e trojan.
2.1 Cavalo de Tria, Vrus, Backdoors, Worms e Spywares
O nome cavalo-de-tria ou trojan remonta a famosa historia grega em que um cavalo foi dado aos troianos como um presente devido a impenetrabilidade das muralhas de Troia, 19
porm, seu interior estava repleto de inimigos que aps penetrarem na cidade, a dominou. Analogicamente, a atuao de um cavalo de troia na informtica faz jus ao nome da historia grega. Comumente, ele vem camuflado em outro programa, ao qual parece ter alguma finalidade til, e posteriormente, efetua suas funes de modo omisso ao usurio. Por exemplo, possvel que acompanhado do arquivo instalador de um jogo livre na internet, encontre-se nele um cavalo de troia, vrus, backdoors, worms ou spywares. Ocorre muito em softwares que foram crackeados, ou seja, foram adulterados para que seu uso tornar-se manipulvel sem efetuar o a compra da licena, e juntamente com o programa desejado, tem- se algum software invasor. Para Bueno (2006), Um cavalo de troia um programa que se camufla como um programa inofensivo, mas pode causar srios danos no computador onde executado, como alterar ou destruir arquivos, furtar senhas e outras informaes sensveis. As funes de um trojan so diversas, assim como as funes vo desde a alterao de dados, roubo de informaes, liberao de acesso remoto e diversos outros. Carvalho (2006) define como sendo:
(...)programas que criam "canais"de comunicao para que invasores entrem num sistema. Quando um programa desses "executado" em um computador, ele manda pacotes de informao por meio de uma porta de comunicao qualquer ao seu dono (pessoa que o enviou vitima). Depois de enviar tal pacote, estabelecida uma conexo naquela porta especifica, permitindo a transferncia de informaes entre o atacante e o atacado e permitindo at mesmo que o computador da vitima seja controlado pelo invasor. (CARVALHO, 2006, p. 473)
Em 2008, segundo uma pesquisa da Pandalabs, laboratrio anti-malware da Panda Security, apresentou um relatrio em que nos oito primeiros meses do ano mencionado, encontraram mais malware do que nos 17 anos anteriores combinados. O Cert define malware como Do Ingls Malicious software (software malicioso). Cdigo malicioso que se refere a todos os tipos de programa que executam aes maliciosas em um computador. Exemplos de cdigos maliciosos so os vrus, worms, bots, cavalos de tria, rootkits, etc. O relatrio da Pandalabs afirmou que A maior parte deste novo malware, 67,7% (Sessenta e sete e sete por cento) foi classificado como Trojan, o que significa que foi desenvolvido para roubar dados confidenciais como nmeros de contas bancrias, passwords e outros dados semelhantes. Tendo a media de surgimento de vrus em vinte e dois mil dia. Menciona ainda a existncia dos Banker Trojans. Estes foram uma das principais ameaas em 2008. O objetivo deste tipo de Trojans roubar informao bancria das vtimas de forma a acessar as suas contas bancrias. Como regra, estes Trojans trabalham de forma omissa na memria do computador e s se ativam quando a vtima acessa a determinados sites 20
bancrios. Por conseguinte, mantm-se ocultos dos antivrus at o momento de sua atuao. Para os ciber-criminosos, ou seja, criminosos do mundo virtual, consideravelmente fcil criar cdigos maliciosos pois existe todo um mercado com kits de criao de Trojans personalizados que permitem a criao de Trojans que podem conter mltiplas funcionalidades e ainda serem controlados remotamente. A famlia dos Banker Trojans composta por 3 tipos: Banker Trojans Brasileiros; Banker Trojans Russos 1.0 e Banker Trojans Russos 2.0 (Sinowal, Torpig, Bankolimb).
Os Banker Trojans Brasileiros (Banbra, Bancos): Estes so na sua maioria desenvolvidos para roubar passwords de bancos Brasileiros e Portugueses, apesar da famlia Bancos tambm ter como alvo bancos Espanhis, ocasionalmente. Normalmente transmitem a informao obtida atravs de FTP ou e-mail. (PANDA, 2010)
Os vrus so pragas virtuais e seu nome devido a similaridade com os vrus biolgicos, com capacidades de prejudicar o sistema, auto replicao, e ocorre primeiro o surgimento e depois os remdios/antivrus, porm necessita de um arquivo ou programa para se autoreplicar. A atuao de um vrus extremamente diversificada, sendo suas funes dependentes das especificaes de seu criador.
Vrus so programas que se comportam como seus homnimos biolgicos: so microscpicos, reproduzem-se sozinhos, consomem recursos computacionais que no lhes pertence e tm alta capacidade de infeco por contgio (...) Um vrus de computador possui objetivos muito claros: infectar o mximo possvel de sistemas, reproduzir-se rapidamente e opcionalmente consumir recursos e danificar os sistemas invadidos. (ULBRICH E LAVALLE, 2004, p. 319)
A traduo exata para backdoor porta dos fundos. So programas que aps instalados em um computador, tornam-no acessvel a remotamente sem que o usurio saiba. O invasor, aps conseguir invadir um sistema, geralmente deixa uma backdoor para que posteriormente possa voltar e acessar o computador ou rede. Ele deixa uma porta de acesso exclusiva. O Cert (2010) menciona a incluso das backdoors:
A forma usual de incluso de um backdoor consiste na disponibilizao de um novo servio ou substituio de um determinado servio por uma verso alterada, normalmente possuindo recursos que permitam acesso remoto (atravs da Internet). Pode ser includo por um invasor ou atravs de um cavalo de tria. (CERT, 2010)
21
A traduo de worms verme. So programas que se auto-replicam e podem ter diversas funes, assim como destruir o sistema. Ao contrario de um vrus, que infecta um programa ou arquivo j existente, o worm individualista, sem necessitar acoplar-se ou parasitar-se em outros softwares. Conseqentemente, podem consumir recursos do sistema e reduzir o desempenho do computador e de redes. Para Bueno (2006):
um programa que se propaga automaticamente atravs de redes, enviando copias de si mesmo de uma maquina pra outra. Ele no altera arquivos, mas instala-se na memria e se replica. Eles utilizam arquivos dos sistema operacional que normalmente so invisveis para o usurio. comum notar a existncia de dos worms apenas quando a sua replicao descontrolada consome muitos recursos, tornando outras tarefas vagarosas, ou mesmo cancelando-as. (BUENO, 2006, p. 169)
Os spywares so programas instalam-se no computador, geralmente acompanham os programas de instalao em barras de utilitrios usados nos browsers e outros softwares que tem banners. Couto (2005) menciona os sete principais propsitos dos spyware:
1 - Gravar os hbitos de navegao do usurio e os sites visitados; 2 - Gravar informaes sobre produtos adquiridos e gastos em compras; 3- Roubar informaes sobre cartes de credito; 4- Extrair endereo e e-mail gravados em listas; 5-Detectar senhas e outros tipos de informaes confidenciais; 6- Causar danos ao sistema operacional pela utilizao de recursos como memria e processador. 7 - deixar a maquina vulnervel a ataques de hackers. (COUTO, 2005, p. 109)
No anexo III contem alguns grficos e tabelas que mostram a proporo de ataques de trojans, worms e outras.
2.2 Quebra de Senha/ Brute Force (Fora Bruta)/ Password Crackers
So pequenos programas que tentam descobrir as senhas dos usurios. Para isso, usam uma combinao constante de caracteres ou de um dicionrio pr-moldado, at que a senha seja encontrada. Esse ataque consiste na tentativa e erro, so milhares de tentativas/combinaes por minuto, tornando-se lentos. Exemplo: azxcvb, qwedfr, aqeerh. Por no demandar inteligncia, mas trabalho braal, esse ataque conhecido como Brute force ou fora bruta. O uso de um dicionrio conhecido como brute force inteligente. Ulbrich e Lavalle (2004) mencionam que faz-lo manualmente impossvel, dadas as propores da tarefa, ento os crackers normalmente usam programas que automatizam o processo. 22
Utilizam-se listas de palavras comuns, substantivos cotidianos, nomes prprios no idioma de onde a maquina alvo se encontra, marcas conhecidas, verbetes populares, musicas, filmes, termos religiosos, livros com sugesto de nomes. Os softwares modernos de fora brota empregam ambos os processos, tentando primeiro a lista de palavras para depois aplicar as combinaes seqenciais do brute force "primitivo". O brute force considera uma tcnica rudimentar, lenta e de poucos resultados, visto que a cada caractere a mais em uma senha, as combinaes se multiplicam. A sua eficincia maior quando acompanhada de engenharia social, mencionada em outro subtopico. Informaes como estas so utilssimas, efetivas em mais de 50% dos ataques - principalmente quando se tem um nmero razovel de contas vlidas, bastando descobrir apenas a senha.
2.3 Denial of Service (DOS) e DDoS Distributed Denial of Service/Flood
Existem dois tipo de ataques de negao de servio: o DoS - Denial of Service e o DDos Distributed Denial of Service ou Ataque de negao de servio remoto distribudo, tambm conhecidos como flood . So tipos de ataque onde o atacante cria uma sobrecarga no servidor (local onde se esta uma pagina de web ou banco de dados) e ele fica inoperante. Consistem em tentativas de impedir usurios legtimos de utilizarem um determinado servio de um computador. Comumente, v se sites como o da Receita Federal lentos ou quase inoperantes nas datas de entrega de declaraes, ou mesmo de sites de universidades em que o acesso para visualizar o resultado de provas imenso. praticamente isso que ocorre, diversos acessos simultneos de modo que a quantidade de buscas ou envios de determinada informao tornam-se maiores do que o servidor pode suportar. Entretanto, o Dos intencional. Os praticamente o fazem com intuito de derrubar um servidor. O Ddos, Ataque de negao de servio remoto distribudo o Dos de maneira ampliada. Segundo Bueno (2006):
A traduo desta sigla Ataque Distribudo de Negao de servios. Trata-se de um ataque deflagrado por hackers, que disseminam pela internet vrus que programam milhes de computadores para, sem o consentimento de seus donos, acessarem um mesmo site, ao mesmo tempo. Quando um site recebe milhes de solicitaes de acesso simultneas, ele no consegue atender as solicitaes e nega servio, ficando inoperante ou "fora do ar". (BUENO, 2006, p. 171)
23
Empresas como a Uol, Yahoo, Amazon, eBay,ZDNet, Buy.com e CNN.com , Globo, IG, ZipNet, Microsoft e muitos outros j tiveram seus sites suspensos devido a esta modalidade de ataque entre 2000 e 2001. Em em 21 de outubro de 2002, um imenso ataque de Ddos conseguiu derrubar nove dos 13 servidores que gerenciam o trfego mundial da Internet. Em reportagem da Uol sobre segurana, cita um dos grandes casos desse ataque:
Um dos exemplos foi um ataque em 4 de julho de 2009, contra computadores do governo dos Estados Unidos. Cerca de 180 mil computadores afetados atingiram sites do governo e causaram dores de cabea para negcios baseados no Pas e tambm na Coria do Sul. O ataque comeou no sbado, derrubando os sites da Comisso Federal do Comrcio dos Estados Unidos (FTC) e o Departamento de Transporte dos Estados Unidos (DOT). O US Bankcorp, sexto maior banco comercial do pas, tambm foi atingido. Os ataques tambm foram direcionados para servios do Google, Yahoo e Amazon. Os ataques contra o Google no duraram muito, mas se levar em considerao que o contedo da empresa responde por 5% de todo o trfego de internet, tem-se uma idia melhor da gravidade da situao. (UOL, 2010)
importante frisar que quando um computador/site sofre ataque DoS, ele no invadido, mas sim sobrecarregado. Isso independe do sistema operacional utilizado.
A guerra utiliza ataques de negao de servio o tempo todo, entupindo sistemas de radar, interrompendo comunicaes, sensores eltricos so invadidos por bichos, os alarmes tocam, e toda vez ningum consegue ver nada, at que os guardas pensam que um defeito e o desliga, pronto o lugar est altamente vulnervel de novo. (AGUIAR, 2010)
Pode-se afirmar que este um dos poucos ataques no mundo que bem elaborada, pode paralisar a internet no mundo
2.4 Scanners de Portas/ Portscanners e Exploits
Na informtica, existe o conceito de portas. As portas podem ser fsicas/hardwares ou virtuais/software. Elas so o meio pelo qual h uma comunicao de informaes. No fsico, as portas USB so exemplos de transmisso de dados por hardwares. Nos softwares, existem varias portas virtuais, nas quais so atravs delas que ocorrem as difuses de dados, como por exemplo, um browser (Internet Explorer, Mozilla e outros) as usam para comunicarem com os dados na Internet, at mesmo para efetuar downloads. Os scanners so programas criados por hacker ou crackers, geralmente mais utilizados por iniciantes, que os 24
usam para procurar brechas de segurana em computadores atravs dessas portas de comunicao e assim ter acesso ao computador, rede ou servidor.
(...) programas que vasculham um computador procura de portas de comunicao abertas. Esses programas ficam analisando, seqencialmente, as diversas portas de um computador, enviando vrios pacotes seguidos para esse computador com nmeros de portas diferentes, apenas para receber a resposta de uma delas e, com isso constatar a presena de portas abertas. (CARVALHO, 2006, p. 474)
Os exploits so programas pequenos que aproveitam falhas de aplicativos e se manifestam atravs de erros ocorridos na programao. Segundo Ulbrich e Lavalle (2004),
Exploits so scripts e programas designados para explorao de vulnerabilidades em sistemas. Assim como os scanners, eles podem ser usados tanto por administradores para testar as falhas de segurana em seus servidores quanto pelos hackers que os utilizam para invaso e aquisio de informaes. (ULBRICH E LAVALLE, 2004, p.145)
Os hackers/crackers o usa em busca de posteriormente roubar informaes sigilosas dos usurios/contadores.
2.5 Spoofing
Este ataque consiste na camuflagem do invasor, passando-se por outro computador. Ele camufla o IP (Internet Protocol). O IP de uma maquina o cdigo que a identifica em uma rede. Guimaraes et al. (2006) comentam sobre o ataque:
No ataque de falsificao, o atacante tem como finalidade se passar por um usurio do sistema, a fim de obter informaes para transmitir dados na rede, ou seja, ataca- se a autenticidade das informaes. ... O tipo de ataque mais comum de fabricao o IP Spoofing, que consiste na substituio do endereo IP do computador do invasor, fazendo com que ele se passe por um computador confivel d rede, obtendo assim privilgios na comunicao. (GUIMARAES, 2006, p. 18)
Em redes internas, como as de empresas ou domiciliares, se um dos computadores possuirem o mesmo cdigo/endereo, uma das maquinas ficar fora da rede. Existe toda uma estrutura de IPs variando do tipo de rede, se privada, publica e outros. Desta forma, este 25
ataque troca o IP da maquina de modo a passar-se por outro e assim obter as informaes desejadas, at mesmo interceptando-as. Boff (2010) exemplifica da seguinte maneira:
Imagine uma rede local com trs estaes, A,B e C. Neste caso, a mquina que ser invadida ser a mquina A e o invasor ser a mquina C. O ataque ocorre com base na mquina B, j que o endereo IP dela ser roubado para fazer a invaso. Na prtica, o invasor da mquina C simplesmente tira a mquina B do ar, usando uma tcnica de ataque, que pode ser um DOS, e depois engana a mquina A, dizendo que a mquina B. Isso possvel porque, na grande maioria dos servios, no necessria uma senha no momento em que realizada a conexo. (BOFF, 2010)
2.6 Scamming
Scan e Scam so ataques diferentes. Scams (com "m") so quaisquer esquemas para enganar um usurio/contador, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo so fraudes. Tcnica que visa roubar senhas e nmeros de contas de clientes bancrios enviando um e-mail falso oferecendo um servio na pgina do banco, promoes, vantagens ou solicitando algum tipo de recadastramento. Geralmente, os e-mails falsos so de empresas conhecidas e de respeito social como bancos, editoras de jornais e revistas, loas de comercio eletrnico e outros. Esse ataque funciona mais eficazmente com profissionais despreparados, sem conhecimentos bsicos de segurana. Comumente, as mensagens so similares as verdadeiras e muitas contem links para o site real, porm, possvel encontrar erros como formatao desproporcional, informaes incoerentes, imagens desfiguradas ou inexistentes, erros de portugus. Erros que no existem nas mensagens originas devido a preocupao de marketing das empresas. Nestes casos, habitualmente solicitam o preenchimento de formulrios falsos, pedindo informaes pessoais, financeiras, nu mero de conta corrente, cartes de credito e senhas. Outro uso deste ataque so os anexos ou pedidos para baixar determinado arquivo, no qual roubara informaes pessoais e financeiros atravs da internet. Cabe ao profissional procurar a legitimidade dos arquivos recebidos, sites e outros. Sem um treinamento razovel, os contadores so exageradamente passiveis de carem nessas fraudes.
26
2.7 DNS Poisoning/ Pharming
Na Internet, o local onde fica hospedado um determinado site, chama-se servidor de web. Para acessar este servidor existem dois meios, um numero que representa o endereo do site, ou o endereo por nome do site.
O Domain Name Server traduz um nome de fcil memorizao em um nmero de IP.Por exemplo, vamos supor que o IP de um servidor na Internet seja 200.167.208.1, o DNS poder atribuir um nome a ele para que sua localizao seja mais fcil, como www.siteprocurado.com.br.Ao colocar esse endereo legvel no browser, esse vai entrar em contato com o servidor de DNS e fazer a converso para nmero IP. (ULBRICH E LAVALLE, 2004, p. 57)
O Pharming e o envenenamento DNS, referem-se ao ataque onde o servidor de um determinado site, como por exemplo, www.bancobrasil.com.br, com IP 200.145.258.1 (IP hipottico, no correspondente ao real), usurio/contador ao tentar entrar no site do banco (www.bancobrasil.com.br) redirecionado para outro IP 245.781.257.1, com uma pagina idntica a da original. Assim, uma copia bem elaborada pode enganar at mesmo profissionais do setor e desta forma, o usurio/contador ira inserir os dados para acessar sua conta, e este ter seus dados roubados. A Panda tambm informa que alguns cavalos-de-tria das famlias "Bancos", "Banker" e "Banbra", usados em golpes de phishing scam no Brasil, tm capacidade de modificar o arquivo "hosts" do Windows para redirecionar os usurios a pginas bancrias falsas. Symantec Pharming uma tentativa de enganar os usurios da Internet roubando o nome de domnio ou a URL 2 de um website e redirecionando seus visitantes para um website falso, pelo qual so feitas solicitaes fraudulentas de informaes. O Pharming edita informaes do computador do usurio/contabilista atravs de softwares maliciosos que alteram o funcionamento do browser da vitima, de modo que este ser redirecionado a um site falso. Nesse novo tipo de fraude, os agentes criminosos se valem da disseminao de softwares maliciosos que alteram o funcionamento do programa de navegao (browser) da vtima. No envenenamento de DNS, o atacante acha falhas no servidor, altera dos dados deste, de modo que os usurios/contabilistas que normalmente acessam esses dados sero redirecionados para outro. Por isso o nome de envenenamento. O Envenenamento de DNS
2 Cert URL - Ingls Universal Resource Locator. Seqncia de caracteres que indica a localizao de um recurso na Internet, como por exemplo, http://cartilha.cert.br/. 27
um ataque de larga escala, onde ao invs de atingir usurio por usurio, tm-se milhares e milhares de uma vez. A atuao do pharming similar ao do phishing, ou seja, induzem os usurios/contabilistas a acessarem determinado site achando que o verdadeiro. Entretanto, no phishing possvel evitar o ataque simplesmente no acessando as informaes do e-mail ou mesmo respondendo os dados quando solicitados. O Pharming, devido qualidade do ataque, extremante difcil diferenciar o verdadeiro do falso.
2.8 Clonagem de URLs
Todos os sites so localizados por meio de um endereo nico, como j mencionado anteriormente, conhecido como URL (Localizador Uniforme de Recursos). no URL que se digita o endereo do site, seja pelo IP ou nome. Contudo, quando se insere o endereo de um determinado site, pode-se ocorrer erros e conseqentemente ser redirecionado para uma pagina clonada do endereo real, ou seja, quando o profissional contbil digita um endereo errado ele pode ir parar em sites fraudulentos. Exemplo, o intuito ir a pagina do banco do Brasil, porm digitou-se wwwbancobrasil.com.br, www.bbrasil.com.br, www.bbrazil.com.br, www.bancodobrasil.com.br, www.bbrasill.com.br ou www.bancodobrasil.com e o site encontrado o clone exato do original. Ento o usurio/contador ira inserir seus dados como se estivesse acessando a pagina real.
2.9 Engenharia Social
um ataque sobre pessoas e no sobre maquinas ou sistemas. Processo esse que consiste em manipular e adquirir o mximo de informaes sobre a vitima ou o sistema que pretende invadir, como nome completo, datas de nascimento, nome dos familiares, hobbies, funcionamento do sistema, segurana e diversos outros, variando com o tipo de ataque. Comumente, os ladres de informaes apresentam-se como funcionrios de empresas, rgos governamentais, amigos de amigos e outras personalidades para obter as informaes almejadas. conhecida como a arte de mentir. Quanto mais pessoas podem acessar 28
determinado sistema e so portadoras de dados sigilos e no so devidamente qualificadas, mais passvel de inseguranas sero esses sistemas e informaes. Segundo Mitnick e Simon (2003) o fator humano o elo mais fraco da segurana. Muito filmes e seriados relataram atuaes assim, como o Supernatural, seriado americano em que os personagens principais utilizam-se constantemente de tcnicas de engenharia social para obter dados particulares, e o famoso Prenda-me Se For Capaz, filme baseado em uma historia real de um jovem de 17 anos que torna-se um dos maiores ladres da historia e ludibria o FBI como engenheiro social. Para identificar e evitar cair nessas situaes, cabe ao profissional contbil e funcionrios terem conhecimentos mnimos de segurana, serem treinados para que no comprometam elementos sigilosas. Phishing um ataque comumente utilizado por engenheiros sociais. Eles utilizam e-mails, sites, mensagens instantneas falsas e outros, passando-se por empresas legitimas com o intuito de obteno de informaes sigilosas, como nmeros de contas bancrias e de cartes de crdito. Norton Securyt (2010) menciona como agem:
Os criadores do phishing fazem-se passar por empresas legtimas e usam o e-mail para solicitar informaes pessoais e direcionar os destinatrios a fornec-las em websites maliciosos; Eles tendem a usar linguagem emocional, como tticas de intimidao ou solicitaes urgentes, para induzir o destinatrio a fornecer tais informaes; Os sites de phishing podem ter a mesma aparncia dos sites legtimos, pois costumam usar imagens com direitos autorais desses sites legtimos; As solicitaes por informaes confidenciais atravs de e-mail ou de mensagens instantneas no so normalmente legtimas; Em geral, as mensagens fraudulentas no so personalizadas e podem ter propriedades semelhantes, como detalhes no cabealho e no rodap. (NORTON, 2010)
Conforme mostra os grficos do anexo III, os ataques de paginas falsas so os de maior ndice e portanto que possuem maior grau de eficincia. Ou seja, por mais tecnologias de segurana que existam, os ataques mais eficientes so os que utilizam do desprovimento de conhecimentos bsicos de segurana digital dos profissionais contbeis. 29
3 CERTIFICAO DIGITAL
No mundo real a segurana para o profissional contbil pode ser reconhecida na existncia de uma casa que possui portas e janelas fortes, no podendo assim, um invasor roubar e adquirir os pertences do morador. A casa esta segura. Da mesma forma, se algum tenta passar-se por outro individuo e efetuar uma retirada de dinheiro de uma conta bancria e for solicitada uma identificao ou confirmao de identidade pelo caixa, a fraude ser evitada e o dinheiro continuar seguro. No mundo digital a segurana funciona de forma semelhante conforme comentam Burnett e Paine (2002). Ou seja, a segurana o fator fundamental almejado tanto no mundo fsico quanto no virtual. Para t-la em transaes entre duas entidades distintas, faz-se necessrio a existncia de privacidade, integridade, autenticidade e no repudio da mesma. A privacidade de dados pode ser conceituada como: ningum no autorizado pode invadir, ler, modificar dados confidenciais. Ter integridade nos dados significa um mecanismo que informa se uma informao ou dado foi alterado. A autenticao, por sua vez, verifica as identidades dos envolvidos em uma transao. E o ultimo quesito, o no repudio, uma imposio legal que registra, orienta e impele as pessoas a cumprirem suas palavras tano no mundo digital quando no fsico. No cotidiano no virtual, o que comprova a autenticidade de documentos e transaes comerciais, financeiras e legais firmadas pelas partes como aceite, so as assinaturas. Estas assim so por terem caractersticas peculiares, sendo exclusivas de cada individuo. Para as transaes eletrnicas, no possvel utilizar-se deste meio com a mesma eficcia. Os recursos tecnolgicos so aprimorados a cada dia, e com eles, h uma insero gigante do seu uso, tanto por pessoas, empresas e governos. Para tanto, faz-se necessrio que estes recursos promovam a autenticidade, confidencialidade e integridade no cerne das informaes e transaes baseadas neles. Por conseguinte, torna-se fundamental para o contabilista acompanhar esses aprimoramentos e entender o funcionamento e lgica da certificao. No seu cotidiano, o risco de ter informaes interceptadas por terceiros, identidades falsas de pessoas fsicas e jurdicas e muitas outras, trazem incertezas quanto ao uso pleno da comodidade proporcionada pela internet, o que fundamenta a necessidade de adquirir mais conhecimentos sobre segurana, principalmente por lidar constantemente com dados sigiloso. 30
Frente a tantas inseguranas e probabilidades futuristas provenientes do meio digital, a certificao digital, que tem por base o certificado digital, valida muitas destas possibilidades que antes eram inviabilizadas. Para o contador, o uso da certificao tornou-se obrigatrio aps a Medida Provisria de 22002, de 2001. Entretanto, mais que uma obrigao atualmente implantada, sua utilidade carregada de benefcios. Uma aplicao que complementou a quebra de fronteiras trazida pela internet, contendo em si a segurana imprescindvel para o rompimento de paradigmas e distancias. Um exemplo pratico para seu uso a possibilidade de autenticar documentos como procuraes e outros e envi-los para onde desejar, impresso ou no. Assim, poderia uma pessoa estar em uma cidade/estado e enviar uma procurao assinada com o certificado digital, para outra pessoa qualquer outra cidade/estado da confederao, tudo online, de modo rpido, seguro, sem maiores custos e com a mesma validade legal de uma procurao impressa, assinada manualmente e postada via correio. Com ela possvel reconhecer firmas eletronicamente, efetuar contratos sem a presena fsica das partes, emitir copias autenticadas, assinar balanos, convalidando assim documentos contbeis e jurdicos. O certificado digital pode ser apresentado como uma nova identidade, como uma Carteira de identidade, CPF (Cadastro de Pessoa Fsica), CNPJ (Cadastro Nacional de Pessoa Juridica) e outros, porm, no mundo digital e migrando para o fsico. Assim, ele propicia mais garantia entre as entidades presentes em transaes eletrnicas. A gama de tcnicas e procedimentos que o compe, garantem maior confiabilidade da veracidade das informaes certificadas, alem de saber exatamente a fonte emissora/autora, evitando assim que as comunicaes sejam interceptadas por invasores, ou mesmo restringindo a apenas pessoas autorizadas. Seu uso aplica-se tanto a pessoas fsicas como jurdicas, onde inclui-se os municpios, rgos federais, equipamentos ou aplicaes, intitulados titulares de certificados. Segundo a Faq do Iti, Frequently Asked Questions - Perguntas Frequentes do Instituto Nacional de Tecnologia da Informao - autarquia federal vinculada Casa Civil da Presidncia da Repblica, cujo objetivo manter a Infra-Estrutura de Chaves Pblicas Brasileira ICP-Brasil, sendo a primeira autoridade da cadeia de certificao AC Raiz, o certificado digital composto principalmente com um documento eletrnico que contem o nome, endereo de chave publica do titular, validade, nome da Autoridade Certificadora (AC) que emitiu o certificado, numero de serie do certificado digital, assinatura digital da AC e outras informaes, configurando assim um verdadeiro identificador. A criao do certificado 31
s fora possvel graas evoluo da criptografia nos ltimos 30 anos, que ser abordada a frente. Recentemente, a certificao digital esta presente em diversos segmentos afetam o dia-a-dia do contador, dentre eles o Sistema de pagamentos Brasileiros com movimento financeiro de milhes, diariamente usado justamente devido a sua segurana na comunicao de dados entre as entidades bancarias, o e-CAC (Centro de Atendimento ao Contribuinte online) da Receita Federal do Brasil, SPED, NF-e, Justia digital, acionistas podero votar a distancia e tem o RIC (Registro de Identidade Civil) que promovera a identificao digital e fsica simultaneamente. Os certificados so emitidos por uma autoridade certificadora, onde pode-se verificar a autenticidade e a integridade do certificado. Diversos rgos governamentais utilizam a certificao. A Receita Federal desenvolveu uma lista de servios on-line de grande valia para o contabilista, na qual oferece apenas para os usurios de certificados digitais. O servio disponibilizado atravs do e-CAC, um atendimento virtual em que so postados vrios recursos aos contribuintes, como situao fiscal, copia de declaraes de pessoa fsica e jurdica e diversos outros. Dentre as inovaes tecnologias promovidas nos documentos de identificao, a classe contbil foi uma das primeiras a ter a carteira com certificao digital. No anexo I e II encontra-se uma cartilha explicando detalhadamente todos os servios disponibilizados pelo atendimento virtual e suas principais telas de operao do sistema, atuais a data de elaborao deste trabalho do e-CAC expedida pela RFB, e um tutorial do e- DOC.
3.1 Princpios
Os princpios sempre definem o norteamento do que os utiliza. Desta forma, os princpios da certificao so base de orientao funcional dos certificados, aplicando no universo digital os conceitos de credibilidade e segurana presentes no mundo fsico. Segundo Burnett & Paine, so quatro os princpios fundamentais da certificao digital: privacidade, autenticao, integridade, assinatura digital e no - repudio. A privacidade um principio que visa manter segura as informaes, para que no sejam acessadas, adulteradas e eliminadas por outros sem correlao com a transao, mantendo oculto as informaes desejadas, de modo que apenas o destinatrio escolhido 32
tenha acesso a esses dados. A autenticao um principio que fornece a identificao do usurios ou autor. Ela promove o reconhecimento de que uma pessoa de fato esta. Um exemplo de aplicao so as transaes online, onde necessrio a comprovao verdica de que o cliente realmente quem afirma ser. No cotidiano fsico, essa comprovao feita pela apresentao do documento de identidade. Com a certificao, o software verifica a veracidade do certificado. Alguns outros sites tambm exigem a apresentao do certificado para que se possa acessar departamentos restritos. O principio da integridade garante a inalterao, a fidelidade da informao a sua originalidade. Principio este que garante que alteraes indesejadas no sejam feitas na informao sem que o receptor identifique se houve ou no modificao. Houaiss (2009) define como sendo: caracterstica ou estado daquilo que se apresenta ileso, intato, que no foi atingido ou agredido. O no repudio um principio que no permite ao autor/emissor negar um ato seu, assinatura ou criao por meio de falsificao, porque o certificado garante a autoria, a no alterao e assim promove a certeza de que aps concretizada uma negociao, a parte no poder recusar cumprir as obrigaes, direitos e responsabilidades firmadas. A sociedade est habituada aplicao destes princpios no cotidiano, de modo que juntos, criam a f indispensvel para quase todos os processos burocrticos dos quais o profissional contbil se relaciona frequentemente. Da mesma maneira, necessria essa incorporao/paralelizao desses conceitos no mundo digital para que os negcios efetuados nele sejam aplicveis e possuam validade legal e a certificao digital proporciona isto.
3.2 Conceitos
Sero apresentados os principais conceitos das terminologias utilizadas e correlacionadas a certificao digital, desde a ataques de informtica composio da certificao, com o intuito de favorecer a ampliao do conhecimento ao profissional contbil.
33
3.2.1 Criptografia
A base tecnologia da Certificao Digital a criptografia, a arte da escrita secreta; composta dos termos gregos kryptos, que significa secreto, oculto, ininteligvel, e grapho, ou seja, escrita, escrever conforme Carvalho (2001). A palavra criptograa signica a arte de escrever em cdigos, de forma a esconder a informao na forma de um texto incompreensvel. Atualmente a cifragem ou processo de codicao, executado por um software que realiza um conjunto de operaes matemticas e transformam um texto claro em um texto cifrado, alm de inserir uma chave secreta na mensagem. O emissor do documento envia o texto cifrado, que ser reprocessado pelo receptor, transformando-o, novamente, em texto legvel, igual ao emitido, desde que tenha a chave correta. Marcacini (2002, p.09) define a criptografia como a arte de escrever em cifra ou em cdigo, de modo a permitir que somente quem conhea o cdigo possa ler a mensagem. Correa (2002, p.77) descreve criptografia como: uma mscara colocada sob determinado arquivo, tornando-o irreconhecvel para aqueles que lhe olhassem na rua, ou seja, enquanto estivesse trafegando na Rede, e, conclui que essa mscara seria algo lgico, relacionado a frmulas matemticas, e s algum que possusse a frmula matemtica certa poderia desmascar-la e, assim, l-la. O uso da criptografia remonta o Egito Antigo no seu sistema de escrita hieroglfica egpcio, por volta de 1900 A.C, quando o escriba de Khnumhotep II teve a idia de substituir algumas palavras ou trechos de texto. Caso o documento fosse roubado, o ladro no encontraria o caminho que o levaria ao tesouro e morreria de fome perdido nas catacumbas da pirmide (Kahn, 1967). Posteriormente seu uso fora muito difundido nas estratgias militares. A criptografia consiste em um conjunto de mtodos e tcnicas destinado a proteger o contedo de uma informao, com o objetivo bsico de tornar uma mensagem ininteligvel para um adversrio afirmam Burnet e Paine (2002). A criptografia converte dados legveis em algo sem significado, porm, com a grande capacidade de recuperar os mesmos dados originais a partir dos dados sem sentido gerados anteriormente. A existncia de dois tipos de textos na criptografia. O texto claro ou puro, ou seja, o texto original, e o texto cifrado, que refere-se ao texto puro aps a encriptao. O texto cifrado torna-se ininteligvel a terceiros. O destinatrio, aps receber o texto cifrado, efetua o processo de desencriptao e o texto volta a sua forma original, como define Carvalho (2001). 34
Criptografar ou encriptar o ato de codificao de uma mensagem e descriptografar ou desencriptar o ato de descodificao de uma mensagem. O sistema criptogrfico composto por um conjunto de elementos, que so: Algoritmo de criptografia, que executa a cifragem e a decifragem das informaes; Chave criptogrfica; Texto Claro ou inteligvel e Texto Cifrado.
3.2.1.1 Formas de Criptografia
Um algoritmo pode ser conceituado como sendo um conjunto de instrues lgicas e finitas que conduzem as aes necessrias para execuo de uma determinada tarefa. Para melhor compreenso, pode-se sugerir analogicamente a atuao de um algoritmo como uma receita culinria, ou a descrio dos passos para um banho ou troca de um pneu.
Algoritmo um conjunto finito de etapas para solucionar um problema ou realizar uma ao. Um algoritmo um "programa" de computador, um roteiro a ser seguido pelo micro. Algoritmo Criptogrfico , portanto, o processo (ou programa, se preferir, ou ainda: seqncia de passos, etapas) matemtico que transforma a mensagem original em mensagem cifrada, embaralhada confusa e vice-versa. (CARVALHO, 2006, p. 478).
As instrues ecoam no imperativo, sendo objetivas, diretas, claras e precisas. Os algoritmos no so correlacionados a existncia das linguagens de programao 3 . Para um algoritmo existir, ele no depende previamente de qualquer linguagem. Ele mediador na linguagem comum e da linguagem de programao. Entretanto, as linguagens existem padres e formalidades para sua execuo, o que no ocorre com o algoritmo. A escrita de um algoritmo chamada de pseudocdigo, que aplica-se a este antes da implementao da linguagem de programao. Um algoritmo criptogrfico segue este raciocnio, porm, contendo as formalidades da linguagem em que fora construdo. O uso das chaves dificultam a invaso nas informaes, contudo, sem o uso das chaves, todo o segredo recai em apenas decifrar os algoritmos. Segundo Burnett e Paine (2002) algoritmos pblicos so mais seguros, pois podem ter suas fraquezas e vulnerabilidades analisadas pela comunidade. Por outro lado, se um algoritmo for mantido em segredo, suas fraquezas no podero ser analisadas de uma forma mais ampla, o que significa
3 Linguagens de programao a escrita utilizada para criar softwares. Dentre elas existem C+, Delphi, Java e diversas outras. 35
que esse algoritmo pode possuir vulnerabilidades ainda no exploradas. Se a comunidade criptogrfica no encontrar fragilidades em um algoritmo, existe uma boa chance de que o algoritmo seja seguro. Na tecnologia da certificao digital so utilizados dois tipos de criptografia. A criptografia simtrica e a assimtrica segundo a Certising (2002),. Na criptografia simtrica utiliza-se uma mesma chave para criptografar e descriptografar a informao e a criptografia assimtrica utiliza chaves diferentes para criptografar e descriptografar a informao. Marcacini (2002, p.21) esclarece que consiste num mtodo que se utiliza de uma mesma senha, seja para cifrar, seja para decifrar a mensagem. Segundo Volpi (2001, p.08), o mtodo de criptografia simtrica pode ser entendido como o uso de uma chave secreta, a qual o emissor usa para codificar a informao, e, posteriormente, o destinatrio utiliza para decifr- la. A criptograa simtrica baseada em algoritmos que dependem de uma mesma chave, denominada chave secreta, que usada tanto no processo de cifrar quanto no de decifrar o texto, ou seja, tanto o receptor quando o emissor usam o mesmo cdigo/chave criptogrfica para cifrar e decifrar a informao. Para a garantia da integridade da informao transmitida imprescindvel que apenas os dois usurios conheam a chave, se outros a tiverem, no haver como comprovar a autenticidade dos dados. Burnet e Paine (2002), chama o processo para manter as chaves seguras e disponveis de gerenciamento de chaves. Entretanto, apesar de ser mais rpida, possui o problema da necessidade de compartilhar a chave secreta com todos que precisam ler a mensagem, possibilitando a alterao do documento por qualquer das partes e o vazamento de informaes. Outro falha em relao a autenticidade do documento.
A autenticidade que a criptografia simtrica permite obter tem aplicao restrita segurana das comunicaes. O receptor, e somente ele, sabe ter recebido a mensagem do emissor, pois, em tese, estes dois seriam as nicas pessoas no mundo a conhecer a senha, e isto assegura que um terceiro no est se fazendo passar pelo remetente. Contudo, este sistema no permite demonstrar para outra pessoa que a mensagem efetivamente provm do suposto emissor, e isto por uma razo bastante simples: o prprio receptor tambm poderia ter encriptado a mensagem, vez que tambm conhece a senha. Disto se extrai que a criptografia convencional no permite a criao de assinaturas digitais, nem permite que o documento eletrnico cifrado, por si s, possa servir como prova da manifestao da vontade. (MARCACINI 2002, p.23)
A figura 1 ilustra o contexto da criptografia simtrica demonstrando o processo de encriptao e decriptao do texto puro atravs de um algoritmo utilizando uma chave simtrica.
36
FIGURA 1: O contexto da Criptografia Simtrica. (Fonte: Cenadem,2003)
O mtodo assimtrico ou criptografia de chave pblica teve o incio de sua utilizao em 1976.
Encriptando a mensagem com a chave pblica, geramos uma mensagem cifrada que no pode ser decifrada com a prpria chave pblica que a gerou. S com uma chave privada poderemos decifrar a mensagem que foi codificada com a sua correspondente chave pblica. E o contrrio tambm verdadeiro: o que for encriptado com o uso da chave privada, s poder ser decriptado com a chave pblica. (MARCACINI, 2002, p.24).
Ela utiliza um par de chaves diferentes entre si, que se relacionam matematicamente por meio de um algoritmo, de forma que o texto cifrado por uma chave, apenas seja decifrado pela outra do mesmo par. As duas chaves envolvidas na criptograa assimtrica so denominadas chave pblica e chave privada. A chave pblica pode ser conhecida pelo pblico em geral, enquanto que a chave privada somente deve ser de conhecimento de seu titular. Desta forma, a assimtrica proporciona mais segurana devido ao uso de duas chaves distintas.
Uma vantagem para o usurio de um mtodo de criptografia por chave pblica a possibilidade de um maior controle no envio de suas mensagens cifradas. Isto ocorre porque o emissor no precisa mais possuir uma chave secreta para cada destinatrio. Basta somente que ele tenha a chave privada em sua exclusiva posse e a chave pblica em posse de seu(s) receptor(es). Assim, ele poder ter certeza de que, mesmo que mais de uma pessoa possua a chave pblica, no ser possvel utiliz-la em nome do emissor. (VOLPI, 2001, p.15)
37
Qualquer uma delas pode cifrar um documento, porem, um documento cifrado com determinada chave s poder ser decifrada pelo seu par correspondente, ou seja, a chave publica decifra o que a chave privada cifrou e a privada decifra o que a publica cifrou. O entrave de um documento cifrado com uma chave privada, que a decifragem dar atravs da chave publica, que de conhecimento geral. Desse modo, promove-se a segurana da autenticidade do autor. Se for o inverso, e o documento for gerado por uma chave publica, obtem-se o sigilo, entretanto, a autenticidade fica sem comprovao, considerando que quem possuir a chave publica, teria cifrado o documento. Toda vez que se utiliza um certificado, a "Cadeia de Certificados" consultada para verificar a validade do mesmo, se o server da cadeia cair com um Denial of Service, torna-se impossvel comprovar a validade do certificado
3.2.1.2 Chaves Criptogrficas
A chave criptogrfica basicamente um cdigo secreto que tem como funo iniciar o processo de criptografia e descriptografia, ou seja, necessrio alimentar o algoritmo com o cdigo secreto para que seja iniciado o processo de criptografia do texto claro ou de decifragem. como uma senha, pode ser definida como conjunto de caracteres destinado a identificar o usurio ou a permitir acesso a dados, programas ou sistemas que no esto disponveis ao pblico (Houaiss, 2009). As chaves tem como desempenho proporcionar mais segurana, sendo mais fcil e vivel, pois mais fcil resguardar uma chave do que o algoritmo, considerando que se fosse apenas o algoritmo como protetor de uma determinada informao, este poderia ser descoberto e os dados estariam a deriva, menciona Burnett e Paine (2002). O termo chave origina-se de que o cdigo secreto funciona como uma chave convencional, como a senha que da acesso a um sistema, ou como a chave de uma fechadura de uma porta. Na criptografia, existe o algoritmo como mencionado anteriormente. Este atua como uma fechadura digital, e ativado/executado aps a insero da chave criptogrfica. Para operar a fechadura digital (encriptar os dados atravs do algoritmo), insere-se a chave (o nmero secreto) e a executa. O algoritmo realiza seus passos utilizando a chave para alterar o texto simples e convert-lo em texto cifrado. O mesmo ocorre para decifr-lo. Insere-se a chave correspondente, variando de 38
simtrica (mesma chave/nica) e assimtrica (chaves diferentes/publica e privada) e ento o algoritmo ativado, de modo a liberar/desencriptar o texto, trazendo a sua forma genuna. A chave um meio de segurana, que particulariza o algoritmo, de modo a restringi-lo aos portadores da chave, fazendo com que se um intruso no possui a chave, no poder ativar o algoritmo e consequentemente no ter acesso aos dados ensina Schneier (2001). Ele ter de tentar experimentar ou a quebrar o algoritmo ou a chave. Como dito anteriormente, algoritmos que passam pela analise da comunidade tornam-se mais seguros e as chave possuem uma grande possibilidades de combinaes. O intervalo de chaves refere-se ao tamanho das chaves. chaves. Chaves criptogrficas so medidas em bits 4 . Entretanto, as chave lidadas pelos usurios so em caracteres, que na informtica chega a 256 (duzentos e cinqenta e seis), incluindo letras maisculas, minsculas, nmeros e smbolos. De modo superficial, pode-se afirmar cada caractere de uma senha, formado por 7 (sete) em letras e em letras acentudadas 8 bits, ou seja, 0010010. Uma senha de 40 (Quarenta) bits, teria em media, 5 (cinco) caracteres, pois, e aproximadamente 1(um) trilho de valores para serem combinados at que a chave seja encontrada. Em uma chave de 56 (Cinquenta e seis) bits aproximadamente 72 (setenta e dois) quatrilhes de combinaes. Caso a chave seja encontrada, os dados ficaro disponveis. Por isso que um ataque de fora bruta completamente ineficiente. Cada bit que se adiciona ao tamanho da chave dobra o tempo requerido para um ataque de fora bruta. Se uma chave de bits levasse trs horas para ser quebrada, uma chave de 41 (Quarenta e um) bits levaria seis horas, uma chave de 42 (quarenta e dois) bits, doze horas e assim por diante. Pois cada bit adicional dobra o nmero de chaves possveis. Assim se a chave tiver 40 (quarenta) bits, haver cerca de um trilho de chaves possveis. Ou seja, seria necessrio o programa calcular os 256 (Duzentos e cinqenta e seis) caracteres existente, elevado a quinta potencia (256*256*256*256*256), totalizando 1.099.511.627.776 (Um trilho, noventa e nove bilhes, quinhentos e onze milhes, seiscentos e vinte sete mil e setecentos e setenta e seis) combinaes. Se a chave possuir 56 (Cinquenta e seis) bits, existiro aproximadamente 72 (Setenta e dois) quatrilhes de possibilidades. Comumente, um computador experimentaria em torno da metade das combinaes possveis antes de encontrar a exata.
4 Bits So impulsos eltricos que so representados por 1 ou 0, ligado ou desligado. Cada impulso, chamado de bit (BInary digiT). O conjunto de oito bits, tornam-se uma nica unidade denominada byte.
39
Os certificados digitais foram criados para haver a segurana e padronizao necessria, pois fornecem um mtodo constante, uniformizado e sistmico para a distribuio das chaves pblicas, proporcionando a existncia segura da autenticidade e integridade.
3.2.2 Assinatura Digital
A assinatura digital uma das modalidades de assinatura eletrnica, dentre outras como assinatura biomtrica que atravs de impresses digitais, leitura de iris, padres de geometria e comprimento como dedo ou palma da mo e ate padres de retina. Dados coletados atravs de meios eletrnicos especficos. Outra a Digitally captured signatures, traduzindo, Captura de assinatura digital. Esta modalidade se da atravs de equipamentos em que a assinatura manual feita nele, reconhecida pelo sistema e includa no documento. Em suma, a assinatura eletrnica refere-se a qualquer mecanismo, no necessariamente criptogrfico, para identificar o remetente de uma mensagem digital, no sendo apenas meios criptogrficos. A assinatura digital a mais confivel das possibilidades de assinatura eletrnica, ela o resultado de uma operao matemtica, utilizando algoritmos de criptografia assimtrica define Marcacini (2002, p. 32). Assinatura Digital um dos pilares da certificao digital, pois um mtodo de autenticao da informao digital, de fundamental existncia para a validao dos documentos eletrnicos. Ela baseia-se na assinatura escrita que funciona como aceite e adquire todas as implicaes legais no ato, promovendo esta equiparao de funo assinatura digital. Nesta funcionalidade, proporciona mais segurana do que a escrita, onde esta pode facilmente ser adulterada, clonada ou interceptada por terceiros, causando variaes na genuna.
Provm do latim assignare (que significa firmar com seu nome ou sinal). O qual formado com base no latim signum (sinal, marca, smbolo). Firmar, por sua vez provm do latim firmare e significa, originalmente, tornar-se seguro, estvel, definitivo, fixo, corroborado, confirmado, ratificado. Assinatura refere-se ao ato ou efeito de assinar ou ao prprio nome escrito, firma em si. Portanto, assinar alguma coisa tem o sentido genrico de apor-lhe um sinal, marca ou smbolo pessoal, com o fim de dar-lhe segurana, estabilidade, fixidez, corroborao, confirmao, ratificao. (ZOCCOLI, 2000, p.178).
40
A assinatura o meio pelo qual uma entidade, fsica ou jurdica, adquire para si a responsabilidade decorrente do contedo do documento assinado, garantindo a identificao e concordncia explcita com os termos descritos. Desta forma, a pessoa no poder alegar desconhecimento dos termos e repudiar o documento. O certificado digital, assina digitalmente documentos, transaes e outros arquivos, de modo que assim, ele equiparar as funcionalidades da assinatura digital com a assinatura de punho, e conseqentemente, obtm- se a legalidade pertinente. Zoccoli (2000, p.180) ao analisar a aplicao da assinatura digital em documentos eletrnicos, ensina que, o termo assinatura pode ser entendido como um lacramento personalizado de seu contedo. O lacre, no caso, visa garantir a integridade, enquanto o fato de apresentar atributo de personalizao permite garantir a integridade importante frisar que a assinatura digital e a digitalizada so completamente diferentes. A assinatura digitalizada a copia da assinatura manuscrita atravs de um scanner. Ela pode facilmente ser adulterada, clonada e aplicada em outros documentos, de modo a no garantir a integridade nem a autoria do documento. Em relao a privacidade e autenticidade de um arquivo, mesmo atravs da criptografia assimtrica utilizando as chave publicas e privadas, ainda existem falhas. Devido a chave pblica ser de conhecimento publico, qualquer um que a possua ter acesso aos dados criptografados, por conseguinte, no existe o conceito de privacidade dos dados. Outra falha que se a mensagem for adulterada durante sua tramitao, no haver como saber, pois no h mecanismo que possa validar a confiabilidade da informao recebida, ou seja, no existe o conceito de integridade dos dados, Cenadem (2003). Para obter um mecanismo que promovesse a integridade, criou-se mais um algoritmo. Este conhecido como hash, realiza o mapeamento, uma operao lgico matemtica de uma seqncia de bits (todo arquivo digital uma seqncia de bits) de tamanho arbitrrio para uma seqncia de bits de tamanho fixo, menor. O resultado gerado o resumo do arquivo, chamado de hash do arquivo. O hash o resultado do resumo do arquivo, geralmente apresentada em base hexadecimal, ou seja, inclui letras e nmeros de 0 a 9 e A a F. Desta forma, pode-se dizer que este pequeno arquivo gerado a transformao do maior no menor. Esses algoritmos foram criados visando impossibilitar que dois arquivos, duas mensanges, tenham o mesmo hash, tornando impossvel reproduzir a seqncia que o originou. Desta forma, qualquer alterao no texto alterar tambm o hash a ser gerado do arquivo. Ao utilizar a funo hash, o signatrio cria uma impresso digital ou um tipo de selo do contedo do documento, de modo que seja possvel verificar se o documento esta 41
integro. Pois uma vez alterado do original, o hash ser outro, mesmo que as alteraes seja desfeitas, dificilmente o novo hash encontrado ser igual ao do arquivo intacto. Conforme ilustra a figura 2, aplica-se a funo hash no documento, que calculara os bits do documento geral, gerando uma seqncia de tamanho fixo e menor. Posteriormente, esse resumo cifrado com a chave privada do signatrio do documento, gerando um arquivo eletrnico que significara a assinatura digital do emissor. Essa assinatura anexada ao documento eletrnico original, compondo a mensagem ou arquivo, que ser transmitido ao receptor. Caso um intruso tente vasculhas, interceptar e alterar a mensagem, dificilmente poder ter acesso a ela devido a criptografia. Quando o receptor recebe a informao, s ser possvel descriptografar a assinatura, se a chave publica for correspondente chave privada usada para a assinatura. Esta sendo, ento a assinatura decifrado, obtendo-se assim um resultado chamado de resumo1. A seguir aplicada a funo hash ao documento recebido obtendo um resultado aqui chamado de resumo2 para ver se houve alterao do hash/resumo1 e conseqentemente do arquivo original. Efetua-se a comparao do resumo 2 com o resumo1. Se os resumos de mensagem forem iguais, significa que o documento no foi alterado no percurso, e esta integro e que o documento foi realmente enviado pelo emissor porque a chave pblica do emissor foi capaz de decifr-lo. Mas se o arquivo foi alterado, o hash ser outro valor, e ira divergir do resumo1, desta forma tem-se a integridade do documento, sabendo se ele foi alterado ou no.
FIGURA 2: Autenticao, no repdio e integridade atravs da utilizao de criptografia de chave. pblica e resumo de mensagem. (Fonte: Cenadem, 2003) 42
Todo este processo embutido no certificado digital feito em fraes de segundo, assim o certificado permite a imediata verificao da assinatura digital, e este por usa vez, assinado por uma Autoridade Certificadora, que emitiu e identificou o proprietrio do certificado. Toda operao descrita feita automaticamente e de forma e transparente para o usurio, pelos software de assinatura digital (que tambm fazem a verificao), os quais emitem avisos caso ocorra falha na validao do documento ou do certificado. Volpi (2001, p.37) exemplifica a aplicao do certificado digital conforme figura 3:
FIGURA 3 - Certificado Digital. (Fonte: Volpi, Marlon Marcelo)
Um arquivo assinado digitalmente geralmente compe-se do arquivo original, a assinatura digital (hash criptografado) e o certificado do signatrio. Assim, a assinatura digital promove o cumprimento do principio de no - repudio e a validade legal do documento, pois prove a identidade do titular do certificado, que o signatrio gerou seu prprio par de chaves e que o proprietrio do certificado garantiu o no vazamento da sua chave privada.
43
4 REGULAMENTAO
A certificao de extrema importncia para o profissional contbil.No Brasil, a certificao digital foi estabelecida pela Medida Provisria 2.200-2, de 24 de agosto de 2001, a qual ser melhor abordada no decorrer do texto. Ela regulamenta a validade legal dos documentos eletrnicos assinados com o certificado. A partir de ento, fora criada a Infra- estrutura de Chaves Pblicas Brasileira, conhecida como ICP-Brasil. Esta uma cadeia hierrquica que viabiliza e fiscaliza a emisso de certificados digitais, dispe das normas e procedimentos dos certificados utilizando chaves publicas. O Brasil possui uma infra- estrutura de emissoras de chaves publicas de caracterstica pblica, mantida e auditada por um rgo pblico que o Instituto Nacional de Tecnologia da Informao, e este segue as regras de funcionamento estabelecidas pelo Comit Gestor da ICP-Brasil. O comit Gestor da ICP- Brasil composto por membros nomeados pelo Presidente da Repblica, entre representantes dos poderes da Repblica como os ministros e personalidades de segmentos acadmicos. O Instituto Nacional de Tecnologia da Informtica, ITI responsvel pela fiscalizao das AC - Autoridades Certificadoras e a AC Raiz Autoridade Certificadora Raiz, a primeira da cadeia de certificao sendo uma autarquia federal vinculada Casa Civil da Presidncia da Repblica, cujo objetivo manter a Infra-Estrutura de Chaves Pblicas Brasileira ICP- Brasil. A figura 4 a seguir ilustra essa hierarquia. Somente as transaes efetuadas com certificados emitidos pela ICP-Brasil possuem validade legal.
FIGURA 4: Hierarquia da Infra-estrutura de Chaves Pblicas ICP Brasil. (fonte: Gavilanes) 44
Com a recente legalizao e implantao dos certificados digitais, a legislao vem constantemente sendo ampliada para um melhor uso e esta ser superficialmente comentada.
4.1 Estrutura no Brasil
A Infra Estrutura de Chaves Pblicas Brasileira - ICP-Brasil a sigla no Brasil para PKI - Public Key Infrastructure. um conjunto de tcnicas, prticas, procedimentos e componentes elaborados para suportar um sistema criptogrfico de chaves pblicas com base em certificados digitais conforme Certisign, 2003. A Medida Provisria 2.200-2 que institui a Infraestrutura de Chaves Pblicas Brasileira ICP-Brasil designa no seu artigo 1:
Fica instituda a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurdica de documentos em forma eletrnica, das aplicaes de suporte e das aplicaes habilitadas que utilizem certificados digitais, bem como a realizao de transaes eletrnicas seguras.
Ela toda uma infra-estrutura emisso, uso e obteno de certificados digitais, uma cadeia hierrquica de autoridades certificadoras, formada no pice por uma Autoridade Certificadora Raiz - AC-Raiz, Autoridades Certificadoras - AC e Autoridades de Registro AR. A AC-Raiz da ICP-Brasil o Instituto Nacional de Tecnologia da Informao ITI, autarquia federal vinculada Casa Civil da Presidncia da Repblica. A ICP-Brasil est organizada em trs nveis hierrquicos. O Normativo composto pelo Comit Gestor responsvel pelas polticas, diretrizes, normas, regras operacionais e outros da ICP Brasil, em que esto submissos a AC- Raiz e ACs. Em nvel de Credenciamento encontra-se a AC- Raiz responsvel pelo cadastramento de AC, fiscalizao e outros. No nvel operacional encontram-se as AC e AR responsveis pela interao direta entre os titulares de certificados, liberao, emisso, revogao e outros.
45
4.2 Comit Gestor
O Comit Gestor - Autoridade Gestora de Polticas da ICP-Brasil foi criado em julho de 2001 atravs do decreto de 3872, vinculando-o Casa Civil da Presidncia da Repblica. O art. 3 da Medida Provisria 2002 estipula a composio do comit sendo cinco representantes da sociedade civil, integrantes de setores interessados, e um representante de cada um dos seguintes rgos: Ministrio da Justia; Ministrio da Fazenda; Ministrio do Desenvolvimento, Indstria e Comrcio Exterior; Ministrio do Planejamento, Oramento e Gesto; Ministrio da Cincia e Tecnologia; Casa Civil da Presidncia da Repblica e Gabinete de Segurana Institucional da Presidncia da Repblica. Sua principal competncia determinar as polticas a serem executadas pela Autoridade Certificadora-Raiz, estando hierarquicamente no pice da ICP-Brasil.
4.3 AC Raiz
A Medida Provisria 2200-2 institui o ITI Instituto Nacional de Tecnologia da Informao uma autarquia federal vinculado ao Ministrio da Cincia e Tecnologia no papel de Autoridade Certificadora Raiz da Infra-Estrutura de Chaves Pblicas Brasileira. As atribuies do ITI no papel de AC Raiz da ICP-Brasil, so descritas no artigo 5 da Medida Provisria 2.200-2 entre elas as de emitir, distribuir, revogar e gerenciar os certificados das ACs, fiscaliz-las, audit-las, emitir a lista de certificados revogados . Suas polticas, diretrizes e funes so determinadas pelo Comit Gestor. Em suma, possui as funes de credenciar e descredenciar Autoridades Certificadoras e Autoridades de Registro, supervisionar e fazer auditoria dos processos. vedado pela legislao a emisso de certificados da AC-Raiz diretamente para os usurios finais. Tanto entidades privadas ou publicas podem efetuar o credenciamento junto a AC-Raiz, desde que cumpram os requisitos mnimos estabelecidos.
46
4.4 Autoridades Certificadoras
A Autoridade Certificadora possui atuao comparativa aos diversos rgos emissores do Registro Geral - Documento de Identificao, um cartrio eletrnico ou como o DETRAN responsvel pela emisso e liberao da carteira de motorista conforme menciona Burnet e Paine. Desta forma, a Autoridade Certificadora responsvel pela autenticao dos usurios do certificado, e por promover a garantia da veracidade dos dados contidos no certificado digital. Atuando na fiscalizao e auditoria das emisses dos certificados digitais das autoridades certificadoras, busca a integridade, autenticidade e no - repudio dos arquivos assinados digitalmente. Elas so entidades publicas ou privadas credenciadas previamente na AC-Raiz. Nos termos do artigo 60 da MP 2.200/01, compete lhes emitir, expedir, distribuir, revogar e gerenciar os certificados,bem como colocar disposio dos usurios listas de certificados revogados e outras informaes pertinentes e manter registro de suas operaes. A Autoridade Certificadora uma terceira parte em uma transao neutra de total confiana, responsvel pela emisso e gesto de certificados digitais. Michael FROOMKIN (1996, p.83) define Autoridade Certificadora como um rgo, pblico ou privado, que procura preencher a necessidade de uma terceira parte de confiana no comrcio eletrnico que fornece certificados digitais,atestando algum fato acerca do sujeito do certificado". A figura 5 a seguir mostra a hierarquia e as Autoridades Certificadoras at hoje credenciadas.
FIGURA 5 Estrutra ICP Brasil. (Fonte: ITI)
47
Muitas Autoridades Certificadoras diferentes podem oferecer certificados digitais, porm as no pertencentes a ICP-Brasil no possuem validade jurdica.
4.5 Autoridade de Registro
A Autoridade de Registro interage diretamente com o usurio final do certificado. Conforme MP 20022, as ARs so vinculadas a uma determinadas Autoridades Certificadoras, que possuem como principal funo efetuar o cadastramento presencial dos solicitantes de certificados e passar essas solicitaes para a AC responsvel. Ela opera conforme as determinaes polticas e praticas estipulas pela AC, recebe ordens de emisso ou revogao de certificados digitais, recebe e guarda copias dos documentos solicitados dos proprietrios de certificados dentre outras e possui obrigao de armazenagem das suas operaes.
4.6 Tipos de Certificados Digitais
Conforme afirmam Burnet e Paine, 2002, os certificados digitais so emitidos por uma autoridade responsvel e confivel, que atesta a identidade do futuro signatrio no momento da criao do certificado. As entidades confiveis so chamadas de Autoridades Certificadoras. Marcacini e Antonio Dourado Rezende (2003) afirmam o seguinte sobre o certificado digital:
H grande confuso sobre o que seja um certificado digital. Um certificado digital uma declarao de seu emissor, realizada por meio eletrnico e formato digital padronizados, quanto titularidade de uma chave pblica, nele transportada. No se pode confundir, pois, entre o que est sendo declarado (a eficcia da declarao), o que est sendo transportado (a chave pblica), e o meio eletrnico pelo qual so produzidos tais declaraes e transportes (a ICP), do qual a entidade certificadora participa apenas como endossante ou avalista. (REZENDE, 2003).
Na ICP-Brasil uma Autoridade Certificadora no Brasil, homologadora dos certificados. Existem duas sries de certificados. A srie A que referencia a assinatura digital, sendo eles A1, A2, A3 e 4 utilizados na confirmao de identidade na Web, em e-mail, em redes privadas virtuais (VPN) e em documentos eletrnicos com verificao da integridade de 48
suas informaes. E a srie S referente ao sigilo, so eles S1, S2, S3 e S4. Esta serie rene os certificados de sigilo, que so utilizados na codificao de documentos, de bases de dados, de mensagens e de outras informaes eletrnicas sigilosas. O numero que acompanha as series referencia ao grau de segurana e conseqentemente uso, e pela validade. Nos certificados do tipo A1 e S1, as chaves privadas ficam armazenadas no prprio computador do usurio. Os dados so protegidos por uma senha de acesso. Somente com essa senha possvel acessar, mover e copiar a chave privada a ele associada e por conseguinte possuem menor nvel de segurana. Nos tipos A2, A3, A4, S2, S3 e S4, as chaves privadas e as informaes referentes ao seu certificado ficam armazenadas em um hardware criptogrfico - carto inteligente (smart card) ou carto de memria (token USB ou pen drive).
Quadro 1 Quadro de Certificados Tipo de certificado Chave criptogrfica Validade mxima (anos) Tamanho (bits) Processo de gerao Mdia armazenadora A1 e S2 1024 Software Arquivo 1 A2 e S2 1024 Sofware Smart card ou token, sem capacidade de gerao de chave 2 A3 e S3 1024 Hardware Smart card ou token, com capacidade de gerao de chave 3 A4 e S4 2048 Hardware Smart card ou token, com capacidade de gerao de chave 3 Fonte: Como Funciona o Certificado Digital
O smart card carto inteligente - e o token so mdias armazenadoras, hardwares criptogrficos que guardam em seu interior informaes, tornando-as portteis devido a mobilidade das mdias. Neles feito a gerao e a armazenagem das chaves, no podendo serem copiadas ou retiradas, de modo que as transaes online podem tambm serem feitas em outros locais, proporcionando comodidade. Para acessar a chave privada, necessrio a insero de uma senha predetermina pelo proprietrio, adquirida na compra. Segundo Duarte 2008, p.100-101, o smart card aparenta-se com um carto magntico. Entretanto, necessrio uma leitora especifica para que seja promovida a troca de informaes do carto com o computador. O token assemelha-se com um pendrive, e sua conexo com o computador feita atravs de uma porta USB. A memria de ambos dispositivos limitada, o suficiente para armazenar os dados do certificado, alem de conter um processador. Este conjunto de 49
memria e processador o que proporciona segurana ao processo. Osmart card possibilita a insero de dados biogrficos do signatrio, como nome, filiao, endereo, nmero de documentos de identidade e at uma foto do seu responsvel, entre outros.
FIGURA 6: Exemplo de Leitora de Smart Card
FIGURA 7: Exemplo de token
FIGURA 8: Smart Card Carto
Os leiautes de referncia abaixo foram aprovados pela Secretaria da Receita Federal, atravs da Instruo Normativa SRF n 462, de 19 de outubro de 2004, para a confeco dos Cartes Inteligentes (smart cards) para armazenamento de Certificados Digitais e-CPF e e-CNPJ, existe tambm o e-PJ. O e-PJ (ou e-NFe) um certificado emitido para uma pessoa jurdica mas com os dados de uma pessoa fsica. O e-CPF usado no SPED Contabil e Fiscal, o e-CNPJ e e-PJ para Nota Fiscal e SPED Fiscal. 50
FIGURA 09 - Imagens dos e-CPF e e-CNPJ. (Fonte: RFB)
Nos tipos A2 e S2 a gerao das chaves feita atravs de software, contendo chaves de no mnimo 1024 bits. Os A3 e S3 so comumente usados. Neles as chaves so geradas e armazenadas nas mdias portteis. Os A4 e S4, a gerao tambm feita no carto ou no token, porem a chave de segurana de no mnimo 2048 bits. A segurana desse modelo a maior, porm pouco utilizado. Em todos as series, a chave publica enviada 51
para Autoridade Certificadora juntamente com a solicitao do certificado. A chave privada ficara armazenada no computador no caso do A1-S1 e nos cartes para os demais modelos. Os certificados atuais so do padro X.509 - verso 3. Este por sua vez contm os seguintes dados: A verso - X.509, atualmente verso 3, pois quando se aprimora ou desenvolve algo novo, criam-se outras e novas verses e modelos; O nmero de srie que corresponde a um cdigo de fabricao que a AC cria de acordo com a produo de novos certificados; Um identificador do algoritmo criptografado usado pela AC e com o tipo de funo hash; O nome do titular; Nome do emissor do certificado, neste caso o nome da Autoridade Certificadora que emitiu o certificado; O perodo de validade do certificado de modo que mostra o perodo de validade no formato "No antes" e "No depois", ou seja, exemplificando "No antes de 10/07/2010 - 16:20:11" e "No depois de 10/08/2012 18:31:14". So os carimbos de tempo, tcnica que permite definir a data e hora da assinatura; Dados pessoais do Titular; A chave pblica do usurio designada pela AC e o algoritmo de chave publica; Assinatura digital do Emissor garantida da AC atestando a veracidade das informaes contidas no certificado; E outras informaes que a AC definir como necessrias. Para utilizao do certificado na internet, necessrio um navegador atualizado e preferencialmente habilitado para gravao de cookies. O Firefox define os cookies como sendo um pequeno texto que os sites podem enviar aos navegadores durante a navegao, de modo que no retorno a determinados sites onde dados pessoais foram armazenados, o servidor reconhece que o usurio esteve anteriormente ali e reenvia os dados salvos ao servidor, como senhas memorizadas, preferncias como cor de pagina do site e outras. Os sites geralmente usam os cookies para distinguir usurios e memorizar preferncias.
4.7 Obteno, Renovao e Revogao
Para adquirir um certificado, devera escolher uma das Autoridades Certificadoras Habilitadas, ir at uma delas, preencher e solicitar o certificado. Para renovao prefervel que seja dentro do perodo de validade, pode ser feito tambm posteriormente, o usurio dever solicitar na autoridade certificadora credenciada, a renovao do certificado. Todo certificado possui um perodo de validade, e s possvel assinar documentos durante esse perodo e aps o termino deste, as assinaturas tornam-se invlidas. possvel ao titular, durante a renovao manter os dados anteriores e ate mesmo a chave privado se esta estiver 52
segura. Entretanto, a conferencia de assinaturas realizadas durante o perodo de validade, pode ser feita em qualquer poca, ou seja, os documentos assinados durante a validade do certificado continuam com seu valor legal. Desta forma, a renovao promove a conferencia dos dados e do usurio de tempo em tempo, cumprindo seu papel de assegurar a existncia e as informaes do mesmo e quando for o caso, substituindo a chave por outra mais atualizada e segura. Para revogao, ou seja, torn-lo invlido, impossibilitando a partir da revogao, o seu uso, deve-se ir a Autoridade Certificadora Habilitada emissora do certificado, e solicitar a revogao. possvel solicitar a revogao antes do termino da validade do certificado. Os motivos podem ser desde comprometimento da chave privada, como alteraes de dados de certificados ou outros. Aps receber a solicitao de revogao, a AC adiciona o numero de serie do certificado a Lista de Certificados Revogados (LCR) e a publica. As LCRs so publicadas de acordo com a periodicidade que cada AC definir. Essas listas so pblicas e podem ser consultadas a qualquer momento para verificar se um certificado permanece vlido ou no.CAO DIGITAL6 O QUE CERTIFICAO DIGITAL?
4.8 Legislao
A legislao referente ao tema cresce cotidianamente conforme a demanda por abordagens de legalidades jurdicas se ampliam. Existe toda uma coletnea de leis, decretos, normas e resolues. O Iti disponibiliza em seu site todas as referentes a certificao, procedimentos para credenciamento de ACs e outros. A Receita Federal tem outro adicional de legislaes pertinentes aos documentos eletrnicos, declaraes com o uso do certificado e outros. O principal norteamento da certificao digital no Brasil deu-se atravs da Medida Provisria 2.200-2 de 24 de Agosto de 2001. Ela Institui a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, e d outras providncias de suas funes, objetivos, princpios. Proporciona a validade legal em documentos eletrnicos, transforma o ITI Instituto Nacional de Tecnologia da Informao em autarquia federal vinculado ao Ministrio da Cincia e Tecnologia, define suas atribuies, define o Comite Gestor, sua atuao e composio de membros. Estipula a cadeia hierrquica de Autoridades Certificadoras, as Autoridades de Registro, tendo uma AC Raiz definida como sendo o ITI, suas funes como rgo de 53
credenciamento, fiscalizador, auditor e veda a AC raiz emitir certificados para o usurio final. As funes da AC e AR tambm so especificadas. Da instrues para credenciamento de AC e AR entre outros. Existem uma gama de decretos que promovem o bom funcionamento de toda a ICP-Brasil. O Decreto n 3.505, de 13 de Junho de 2000 Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal, em que visa assegurar a garantia ao direito individual e coletivo das pessoas, inviolabilidade da sua intimidade e ao sigilo da correspondncia e das comunicaes, a conscientizao dos rgos e das entidades da Administrao Pblica Federal sobre a importncia das informaes processadas e sobre o risco da sua vulnerabilidade. Define termos como Segurana da Informao, estimula a promoo da proteo aos sistemas da Administrao Publica Federal, ao incentivo a pesquisa tecnolgica em segurana da informao e meios para criar e assegurar a confidencialidade dos dados das informaes dentre outros. O Decreto n 3.872, de 18 de Julho de 2001 dispe sobre o Comit Gestor da Infra-Estrutura de Chaves Pblicas Brasileira - CGICP- Brasil, sua Secretaria-Executiva, sua Comisso Tcnica Executiva e d outras providncias. Define-o como autoridade gestora de polticas da ICP-Brasil, vincula-o a Casa Civil da Presidncia da Repblica, define sua composio. Decreto n 3.996, de 31 de Outubro de 2001. Dispe sobre a prestao de servios de certificao digital no mbito da Administrao Pblica Federal. Decreto n 4.414, de 07 de Outubro de 2002. Altera o Decreto no 3.996, de 31 de Outubro de 2001, que dispe sobre a prestao de servios de certificao digital no mbito da Administrao Pblica Federal. Decreto n 4.689, de 07 de Maio de 2003. Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comisso do Instituto Nacional de Tecnologia da Informao - ITI, e d outras providncias. Decreto n 6.605, de 14 de Outubro de 2008. Dispe sobre o Comit Gestor da Infra-Estrutura de Chaves Pblicas Brasileira - CG ICP-Brasil, sua Secretaria-Executiva e sua Comisso Tcnica Executiva - COTEC. A lista de resolues extensa e encontra-se no anexo IV.
54
5 CONSIDERAES FINAIS
As mudanas em decorrncia dos benefcios proporcionados pela certificao originam uma evoluo extremamente significativa e revolucionaria na atuao dos contabilistas, e de todos os usurios desta tecnologia. O contador oficialmente aposentou vrios dos seus trabalhos manuscritos para dar lugar a total informatizao, o que trouxe uma melhora expressiva no seu trabalho. A cerificao digital uma revoluo na tecnologia da segurana. As ampliaes, e melhorias promovidas por ela so iminentes, tornando completamente evidente a migrao do mundo fsico para o digital. Como apresentado, a certificao fora criada para proporcionar um alto nvel de segurana, dando a viabilidade necessria para concretizao das transaes online, com plena validade jurdica, proporcionando credibilidade, segurana e confiabilidade imprescindveis para execut-las. Entretanto, existe uma grande escassez de materiais sobre o tema, principalmente com enfoque contbil e, no profissional que atua diretamente com a certificao. As poucas bibliografias encontradas compem-se de contedos pertinentes a outras reas do conhecimento, artigos e cartilhas geradas pelo governo, e empresas que atuam com a certificao, que no proporcionam as informaes de modo a propiciar uma compreenso plena e suficiente sobre o tema. A falta de fontes adequadas criam falhas no manuseio, aplicao, segurana do certificado, no instruindo um norteamento dos benefcios, da confiana, segurana e credibilidade proporcionada, alm de no proverem a compreenso de sua lgica e funcionamento, exceto em contedos muito aprofundados em informtica. Os mtodos de segurana da certificao invalidam muitos dos ataques mais propcios de serem executados contra o profissional contbil. Dentre os mencionados, a certificao promove a anulao total ou parcial, direta ou indiretamente de todos. Sua atuao diversificada frente a vrios tipos. No Scanners de Portas/Portscanners e exploits, se uma porta ou determinada falha de um software estiver sendo monitorada, e os dados contbeis forem interceptados, o interceptador/invasor no acessar as informaes devido a criptografia, e se o documento for adulterado, o receptor poder saber, garantindo assim a confiabilidade das informaes. Obviamente, ela no impede a monitorao das portas, nem a interceptao de arquivos, mas garante o sigilo e a credibilidade dos dados contbeis. O mesmo ocorre no Spoofing. No ataque de Quebra de Senha ou brute force a eficincia da certificao evidente. Caso o invasor intercepte uma comunicao contbil criptografada, dificilmente ter 55
acesso. Para tal, imprescindvel a chave par, e o nvel de segurana conforme j citado da chave inabilita esse ataque, tornando praticamente impossvel encontrar a chave atravs deste ataque. E possui como acrscimo o token armazenador da chave, ao qual sem ele no h acesso, e a tem-se um novo grau de segurana, inviabilizando por completo o ataque. No phishing e scamming, sua eficincia plena, podendo ela at mesmo extinguir este ataque e variantes. A certificao digital permite ao contador, ao acessar um determinado site, arquivo, e-mail, arquivos e outros, verificar o certificado e assim saber se aquele site, arquivo, e-mail pertence ao verdadeiro emissor. Entretanto, apesar da confiabilidade proporcionada pela certificao, cabe ao contador exigir, verificar a existncia e ate mesmo a validade do certificado. Consequentemente ele reduz a contaminao de malwares, como cavalo de troia, worms, vrus, backdoors e spawers. Ela no os inabilita, pois esta a funo de um antivrus qualificado. Entretanto, ela atua indiretamente, reduzindo seu efeito parcialmente, pois proporciona a verificao/conferencia da fonte emissora/autora, ou a autenticidade do site, e a integridade dos arquivos que usara. No ataque de DOS e DDoS, o alvo um servidor ou a conexo de uma rede e no diretamente arquivos. A sua interao com a certificao indireta e existente apenas se o ataque for dirigido ao sistema de certificao, de modo que o servidor responsvel no valide a transao por estar inoperante. Se o servidor da cadeia cair com um Denial of Service, torna-se impossvel comprovar a validade do certificado. A informao no exposta, mas a autenticidade (e origem) no podem ser confirmadas. Ou seja, ele no afeta a integridade dos dados e nem o processo criptogrfico em si proporcionado pela certificao. No pharming e na clonagem de URL ela extremamente til, pois possibilita a identificao segura do site que esta acessando, bastando verificar o certificado do site. Se houver um redirecionamento, o contador poder descobrir apena verificando o certificado. Uma interessante e importante ao que o certificado digital promove contra a engenharia social. Devido a armazenagem da chave em um token ou carto com senha de acesso, gera-se maior proteo contra este ataque, pois para obter os dados contidos no dispositivo, o engenheiro social somente ter sucesso caso adquiria o dispositivo e a senha para acessar a unidade, quase independendo das informaes que o proprietrio d. Desta forma, muitos sistemas, arquivos e outros adquirem um nvel significativamente maior de confiabilidade. Consequentemente, requer que o quesito humano tenha o treinamento mnimo de segurana e armazenagem do token ou carto para que o contador no entregue o carto e a senha a terceiros. E principalmente ser capaz de reconhecer quando estes estiverem passando por entidades confiveis, como AC e outras, solicitando identificao dos engenheiros e 56
outros dados. Em suma, a certificao digital eficaz frente a ataques que possam ter as informaes verificadas. Segurana perfeita no existe em nenhum sistema, mas pode-se aprimorar almejando a perfeio. Nesse sentido, a Certificaao digital comea a nortear um novo modelo de credibilidade documental permanente para execuo de trabalhos em amplos e variados segmentos sociais, conforme especificado acima. E, no mais somente na rea contbil como inicialmente acontecera. Sua abrangncia significativamente acarretar, dia a dia, a criao de uma nova postura no perfil do profissional contabilista, que lhe ser exigido a ampliao suas bases de conhecimentos, das quais o domnio e manuseio da informtica lhe ser atribudo com essencial no exerccio de suas atividades cotidianas e rotineiras. Com o aumento constante de documentos eletrnicos e a maleabilidade que eles provem no cotidiano, a segurana um fator fundamental. A tecnologia da certificao digital em carto pode ser baseada em trs fundamentos: o que contador tem, o que somente ele sabe e o quem ele . O que ele tem o dispositivo de armazenagem, um carto ou token emitido pela AC. O que somente o contador sabe s sabe a senha, ou seja, o cdigo secreto de segurana para acessar o carto, de exclusividade do proprietrio. O quem ele , ainda no esta acoplado a certificao atual, mas ser o prximo passo, que a verificao biomtrica como verificador de identidade do proprietrio do certificado. A tecnologia biomtrica tem se popularizado, principalmente a de impresso digital devido ao baixo custo e alto beneficio. Existem outras como a colorao da ris, a retina e at o DNA que mais se aproxima da perfeio, porm, ainda uma tecnologia cara para ser bem difundida. Em um futuro bem prximo, a certificao digital acoplar a biometria, e os tokens viro com leitor de impresso digital e a impresso ser a senha para acess-lo. token. Obviamente, decorrente da evoluo tecnolgica novas formas de segurana so criadas, e paralelamente outras modalidades de ataques tambm. Vo desenvolvendo-se e aprimorando de acordo com as mudanas de mercado. Assim tambm segue as tcnicas e tecnologias de segurana. Novos documentos, aplicaes e funes sero criados utilizando a certificao.
A Contabilidade desenvolveu-se em resposta a mudanas no ambiente, novas descobertas e progressos tecnolgicos. No h motivo para crer que a Contabilidade no continue a evoluir em resposta a mudanas que estamos observando em nossos tempos. (HENDRIKSEN E BREDA, 1999, p.38) 57
uma tecnologia que veio para ficar e a cada dia ira integrar-se mais e mais em sistemas, documentos, e cabe ao contador, como quesito fundamental para ser um profissional hbil e atuante, dominar os conceitos mnimos e usos da certificao. O reconhecimento da eficincia da certificao fez com que governos do mundo inteiro, incluindo o Brasil a aderissem. Atualmente, somente para a RFB, so emitidas 19 (dezenove) declaraes de responsabilidade do profissional contbil, alm do e-CAC como j mencionado, SPED, NF-e, existem tambm as carteiras de identidade profissional e civil, da qual a classe contbil foi uma das primeiras a adquirir. No sistema judicirio criaram o e-DOC e o RIC j comeou a ser fabricado, este promove uma mudana radical na vida de todo o brasileiro. A unio de todos os documentos de identificao em apenas um e ainda incluso um certificado digital, que promove a integrao do mundo digital com o fsico, nivelando-os. Ele trar grandes repercusses para todo profissional. Bancos, sistemas de sade, pericias, o Presidente e seus Ministros, compras do governo, preges, cartrio eletrnico, comercio b2b (Business to Business) e b2c (Business to consumer) so exemplos da proporo da disseminao da certificao atual. Conforme apresentado, a cada dia aumenta as aplicaes da certificao e o reconhecimento da segurana proporcionada por ela. Por conseguinte, evidente a necessidade primordial do contador acompanhar essas e as futuras modificaes em relao a segurana da informao, uma vez que trabalha constantemente com ela, manter-se atualizado requesito principal para o profissional contbil continuar exercendo sua profisso. preciso migrar e a acompanhar as evolues porque cada dia o profissional a utiliza mais e mais, tornando-se dependente dessas inovaes para viabilizar e agilizar suas funes cotidianas, alem das imposies legais, das quais no podem eximir-se, tendo que efetu-las e adequar-se mesmo que muitos possuam objees com relao ao seu uso. O profissional que abster-se em ser malevel, lapidvel, passvel de mudanas e aprendizados, e no acompanhar as transformaes tecnolgicas, estar fadado a ineficcia e inabilitao profissional, favorecendo a ser ludibriado por terceiros e migrar para um isolamento social, uma vez que o mundo virtual tornou-se fundamental no mundo fsico. Essa conjuno entre contador e informtica manifesta-se como casamento indissolvel devido a perfeita harmonia entre suas funes no mundo pratico e virtual. Conseqentemente, o certificado digital se assegura atravs de sua eficcia e eficincia uma realidade que veio para ficar e se consolidar atravs de seus vnculos estabelecidos com os mais diversos segmentos sociais. Essa consolidao se comprova atravs da vasta gama de 58
documentos j utilizados com a certificao dital e sua evoluo se manifesta de acordo com a sua implantao em novos ambientes sociais. Em suma, esse trabalho busca promover uma maior integrao entre as atividades contbeis e as rotinas tecnolgicas implantadas recentemente na sociedade, enfatizando o funcionamento, lgica e aplicao da certificao para o contabilista, e aumentando o contedo do tema na rea. Reconhecendo que a certificao digital possui caractersticas genricas, com diversas finalidades e aplicaes, variando do segmento a que se designar, porm, de extrema importncia para o profissional contbil.
59
REFERNCIAS BIBLIOGRAFICAS
ABRIL. Defenda sua privacidade (ou o que resta dela) no computador. InfoOline. Ed. 251. Disponvel em: <http://info.abril.com.br/edicoes/251/arquivos/6105_1.shl>. Acesso em: 18 ago. 2010.
ACFEANACOM. Revista Digital: Benefcios Disponibilizados com a utilizao da Certificao Digital. Disponvel em:<http://www.acfenacon.com.br/beneficio/beneficio. html>. Acessado em: 18 abril 2010.
AGUIAR, R. C. Ataques na Internet. Unicamp. Disponvel em: <http://www.ccuec.unicamp.br/revista/infotec/artigos/renato_cardoso2.html>. Acesso em: 19 ago. 2010.
ALECRIM, E. Ataques DoS (Denial of Service) e DDoS (Distributed DoS). Infowester. Cidade. 4 out. 2004. Disponvel em: <http://www.infowester.com/col091004.php>. Acesso em: 21 out. 2010
ALMEIDA. A. R. Como funcionam os Exploits. Invaso. Disponvel em: <http://www.invasao.com.br/2008/12/12/como-funcionam-os-exploits>. Acesso em: 22 out. 2010.
BEHRENS, F., A Assinatura Eletrnica como Requisito de Validade dos Negcios Jurdicos e a Incluso Digital na Sociedade Brasileira. 2005. Dissertao (Mestrado em Direito Econmico e Social) Programa de Ps-Graduao em Direito Econmico e Social, Centro De Cincias Jurdicas E Sociais. Pontifcia Universidade Catlica do Paran, Curitiba.
BOFF C. Tcnicas do Hackerismo. Batebyte. Disponvel em: <http://www.batebyte.pr.gov. br/modules/conteudo/conteudo.php?conteudo=1212>. Acesso em: 23 out. 2010.
BRASIL. Medida provisria 220-2, de 23 de Agosto de 2001. Disponvel em: <http://legislacao.planalto.gov.br/legisla/legislacao.nsf/fraWeb?OpenFrameSet&Frame=frm Web2&Src=/legisla/legislacao.nsf/Viw_Identificacao/mpv%25202.202-2-2001%3FOpenDo cument%26AutoFramed>. Acessado em 10 de abr. 2010
BUENO, M. Informtica Fcil Para Concursos. Rio de Janeiro: Brasport, 2006
60
BURNETT, S. e PAINE, S. Criptografia e Segurana O Guia Oficial da RSA. Editora Campus, 2002.
CAPANENA, R. Brasil a segunda maior fonte de ataques virtuais. Folha de So Paulo. So Paulo: 6 fev. 2010. Dsponivel em: <http://www1.folha.uol.com.br/folha/informatica/ult1 24u690063.shtml>. Acesso em: 19 out. 2010
CARVALHO, D. Criptografia: Mtodos e Algoritmos. Editora Book Express, 2001.
CARVALHO, J. A. Informtica para Concursos - 3 Ed. Rio de Janeiro: Elsevier, 2006
CENADEM. Apostila de Seminrio sobre Certificao Digital. So Paulo: 2002
CERT. Cartilha de Segurana Para Internet. Glossrio. Disponvel em: <http://cartilha.cert.br/glossario/#b>. Acesso em: 21 out. 2010.
CERT. Cartilha de Segurana Para Internet. Parte VIII: Cdigos Maliciosos (Malware). Disponvel em: <http://cartilha.cert.br/malware>. Acesso em: 21 out. 2010.
CERT. Estatsticas dos Incidentes Reportados ao CERT.br. Disponvel em: http://www. cert.br/stats/incidentes. Acesso em: 21 out. 2010.
CERTISIGN. A Certisign pioneira e lder no mercado de certificao digital brasileiro. Disponvel em: <http://www.certisign.com.br/companhia/certisign.jsp>. Acesso em: 22 de abril de 2010.
CERTISIGN. Primeira Leitura Sobre Certificao Digital. Disponvel em: <https://www.certisign.com.br/treinamento/guia_cert_digital_down.jsp>. Acesso em: 10 de out. de 2010.
CORRA, G.T. Aspectos jurdicos da Internet. So Paulo: Saraiva, 2 ed, 2002.
COUTO, S. P., Decifrando a Fortaleza Digital. Universo dos Livros, 2005.
DUARTE, R. D. Big Brother Fiscal III, 3 ed, Ed. ideias@work, 2009.
EDITORAABRIL. As 150 melhores empresas para se trabalhar. Set. 2004. Revista Voc S/A, Edio 75, 298 p.
FERNANDES, D. Que tipos de ataques uma rede de computadores. Disponvel em: <http://dailson.blogspot.com/2008/06/tipos-de-ataques-redes-de-computadores.html>. Acesso em: 19 out. 2010.
61
FERRARI, B. Pesquisa traa perfil da segurana da informao no Brasil. Info. 9 dez. de 2008 Disponvel em: <http://info.abril.com.br/professional/seguranca/pesquisa-treca-perfil- da-segur.shtml?4>. Acesso em: 18 ago. 2010.
FERRARI, B. As 10 piores ameaas de janeiro. Info. 16 fev. 2009. Disponvel em: < http://info.abril.com.br/professional/seguranca/as-10-piores-ameacas-de-janeir.shtml>. Acesso em: 18 ago. 2010.
FERRARI, B. Criminosos virtuais do baile em Google, Yahoo! e Cia. Info. 24 mar. 2009. Disponvel em: <http://info.abril.com.br/professional/seguranca/criminosos-virtuais-dao- baile.shtml>. Acesso em: 18 ago. 2010.
FIGUEIREDO, A., Revista Unicamp - Administrao de Sistemas e Segurana, n 6, Setembro de 1999, disponvel em: <http://www.ccuec.unicamp.br/revista/infotec/admsis/ad msis6-1.html>. Acessado em: 19 ago. 2010
GAVILANES, J. C. G. A Certificao Digital Como Instrumento de Garantia da Segurana E Credibilidade da Informao Digital: Um Estudo De Caso Brasileiro. 2005. Dissertao (Mestrado Profissionalizante em Administrao) Programa de Pos-Graduao e Pesquisa em Administrao e Economia. Faculdades Ibmec. Rio de Janeiro.
GODOY, G., Excelncia Em Desempenho e a Contabilidade. 2006. Dissertao (Mestrado em Administrao) Programa de Estudos Ps-Graduados em Cincias Contbeis e Financeiras, Pontifcia Universidade Catlica de So Paulo, So Paulo.
GUELFI, A. R., Anlise de Elementos Jurdico-Tecnolgicos que Compem a Assinatura Digital Certificada Digitalmente pela Infra-Estrutura de Chaves Pblicas do Brasil - ICP-Brasil. 2007. Dissertao (Mestrado em Engenharia Eltrica), Escola Politcnica da Universidade de So Paulo, So Paulo.
GUIMARAES, A. G., LINS, R. D., OLIVEIRA, R. C. Segurana em Redes Privadas Virtuais VPNs. Rio de Janeiro: Brasport, 2006.
HENDRIKSEN, Eldon S.; BREDA, MICHAEL F. Van. Teoria da Contabilidade. 5.ed. So Paulo: Atlas, 1999.
HOUAISS. Dicionrio Eletrnico de Lngua Portuguesa. 2009
INFO. Na mira dos ataques virtuais. 15 jul 2010. Disponvel em: <http://info.abril.com.br/ professional/seguranca/na-mira-dos-ataques-virtuais.shtml>. Acesso em: 18 ago. 2010.
62
INFO. Usurios so ponto fraco na segurana online. 22 jul. 2020. Disponvel em <http://info.abril.com.br/noticias/ti/usuarios-sao-ponto-fraco-na-seguranca-online-22072009- 38.shl>. Acesso em: 18 ago. 2010.
ITI. Instituto Nacional de Tecnologia da Informao: Em 2010, mais de 1,5 milhes de certificados sero emitidos. Dez. 2009. Disponvel em: <http://www.iti.gov.br/twiki/bin/ view/Noticias/PressRelease2009Dec10_13580>. Acesso em: 04 abril 2010.
ITI. O que Certificao Digital?. Disponvel em: <http://www.iti.gov.br/twiki/pub/Certi ficacao/CartilhasCd/brochura01.pdf> . Acesso em: 10 jul. 2010
ITI. Saiba como obter um Certificado Digital e quais os benefcios para sua vida. Braslia. Disponvel em: <http://www.iti.gov.br/twiki/bin/view/Certificacao/CertificadoObter Usar> Acesso em: 30 ago. 2010.
KAHN, D. The Codebreakers: The Comprehensive History of Secret Communication from Ancient Times to the Internet. Scribner, 1996.
LEMOS, A., Identidade Digital. Jul. 2007. Disponvel em: <http://andrelemos.blogspot. com/2007/07/identidade-digital.html>. Acesso em: 04 abril 2010.
MACHADO, C. Malware cresce 200% em maro. Info. 1 abr. 2009. Disponvel em: <http://info.abril.com.br/professional/seguranca/malware-cresce-200-em-marco.shtml?2>. Acesso em: 18 ago. 2010.
MACHADO, C. Roubo de dados d salto duplo em 2008. Info. 16 abr. 2009 Disponvel em: <http://info.abril.com.br/professional/seguranca/roubo-de-dados-da-salto-duplo.shtml?3>. Acesso em: 18 out. 2010.
MARCACINI, A. T. R. Direito e informtica : Uma abordagem jurdica sobre criptografia. Rio de Janeiro: Forense, 2002.
MARCACINI, A. T. R., COSTA, M.: REZENDE, P. A. D. Seguranca, Bits e Cia. Jornal do Commercio. Publicado em 13, 20, 27/02/03.
MARCACINI, A. T. R. Direito e informtica: uma abordagem jurdica sobre criptografia. 1 edio, Rio de Janeiro: Forense, 2002.
MITNICK, Kevin D.; SIMON; William L. A arte de enganar. So Paulo: Pearson Education do Brasil, 2003.
MOZILLA J. Cookies: o que so e como monitor-los?. Disponvel em: <http://br.mozdev.org/firefox/cookies>. Acesso em: 30 out. 2010.
63
NORTON. Phishing: Como eles atacam. Disponvel em: <http://br.norton.com/security_ response/phishing.jsp>. Acesso em: 21 out. 2010.
PANDA. Panda Security detecta 22 mil novos vrus por dia em 2008. Disponvel em: <http://www.pandasecurity.com/portugal/homeusers/media/press-releases/viewnews? noticia=9518>. Acessado em: 10 out. 2010.
PEIXOTO. A. Alm do phishing, cuidado com o pharming. Webinsider. 07 jul. 2010. Disponvel em: <http://webinsider.uol.com.br/2010/07/07/alem-do-phishing-cuidado-com-o- pharming>. Acesso em: 20 ago. 2010.
RAMIRO M. L., Gesto da Segurana da Informao: Certificao Digital. 2008. Dissertao (Mestrado em Gesto Internacional) - Escola Brasileira De Administrao Pblica E De Empresas Curso De Mestrado Em Gesto, Fundao Getlio Vargas, Rio de Janeiro.
REVISTA F. Certificao Digital O Fio do Bigode Eletrnico. Revista Fonte, Nmero 1, Dezembro de 2004. Disponvel em: <http://www.prodenge.gov.br/revistafonte>. Acesso em: 07 de maro de 2010.
RFB. Cartilha E-cac. Receita Federal do Brasil. 2008. Disponvel em: <www.receita.fazenda.gov.br>. Acesso em: 20 set. 2010.
RIBEIRO, G. Como funciona o certificado digital. Disponvel em: <http://informatica.hsw. uol.com.br/certificado-digital4.htm>. Acesso em: 10 ago. 2010.
ROCHA, P. Microsoft no Rio ter que enviar dados de hacker justia. Estado. So Paulo: 22 out. 2010. Disponvel em: <http://www.estadao.com.br/noticias/cidades,microsoft- no-rio-tera-que-enviar-dados-de-hacker-a-justica,628534,0.htm>. Acesso em: 23 out. 2010
ROLLI, F. F. C. RG virtual de empresas gira R$ 3 bi, mas gera queixas. Folha de So Paulo. So Paulo. Disponvel em: < http://www1.folha.uol.com.br/folha/informatica/ult124u 704260.shtml>. Acesso em: 19 out. 2010.
SARLO, E. C. A Certificao Digital e sua Evoluo. SUCESU ES, 31 de maro de 2004.
SCHEINER, B. Segredos e Mentiras sobre a proteo na vida digital. Editora Campus, 2001.
64
SERASAEXPERIAN. Serasa Experian estima que 85% das empresas ainda no esto prontas para emitir NF-e em abril, Mar. 2010. Disponvel em: http://www.serasaexperian .com.br/release/noticias/2010/noticia_00112.htm>. Acesso em: 04 abril 2010.
TERRA, Perguntas e respostas sobre pharming. Disponivel em: <http://tecnologia.terra.com. r/interna/0,,OI555333-EI4805,00.html.>. Acesso em: 25 out. 2010.
TERRA. O que scam. Informtica. Disponvel em: <http://informatica.terra.com.br/virus ecia/spam/interna/0,,OI126626-EI2403,00.html>. Acesso em: 24 out. 2010.
THOMPSON, C. Informtica e contabilidade: modernizao fundamental. Revista brasileira de contabilidade. Braslia: CFC, ano XX, no.74, p.20-26, janeiro/maro de 1991.
THOMPSON, M. A., Invaso.BR. Rio de janeiro: ABSI, 2006.
TRINTA, F. A. M e Macdo R. C. Um Estudo sobre Criptografia e Assinatura Digital. Set. 1998. Disponvel em: <http://www.di.ufpe.br/~flash/ais98/cripto/criptografia.htm>. Acesso em: 10 out. 2010.
UOL. Ataques DDoS esto mais fortes do que nunca. Computerworld. 15 jan. 2010. Disponvel em: <http://computerworld.uol.com.br/seguranca/2010/01/15/ataques-ddos-estao- mais-fortes-do-que-nunca>. Acesso em: 22 out. 2010.
VAN de GRAAF, J. Tudo o que voc deve saber sobre a certificao digital. Disponvel em: <http://www.prodenge.gov.br/revistafonte>. Acesso em: 07 out. 2010
VOLPI NETO, A. Comrcio eletrnico: direito e segurana. Curitiba: Juru, 2002.
ZOCOOLI, D. Autenticidade e integridade dos documentos eletrnicos: a firma eletrnica. In: ROVER. Aires Jose (org.) Direito, Sociedade e Informtica: limites e perspectivas da vida digital. Florianpolis: Fundao Boiateux. 2000, pp. 177-192
65
ANEXO I
Cartilha emitida pela RFB cotendo instrues sobre o uso da e-CAC.
1. Acesso com certificado digital de Pessoa Jurdica: So disponibilizadas as aplicaes de pessoa jurdica ou pessoa fsica/jurdica.
66
1.1. Alterar Perfil de Acesso Quando selecionada a opo Alterar Perfil de Acesso so exibidas as opes abaixo. Informando o CPF/CNPJ ser exibida tela com as informaes sobre o CPF/CNPJ informado.
1.1.1. Procurador de Pessoa Jurdica
67
1.1.2. Nova alterao do Perfil de Acesso Para alterar de novo o perfil de acesso deve-se novamente clicar na opo Alterar Perfil de Acesso. O contribuinte poder voltar a acessar as informaes do titular do certificado ou selecionar outra opo da tela abaixo da opo Alterar Perfil de Acesso.
2. Acesso com certificado digital de Pessoa Fsica: So exibidas apenas as aplicaes para Pessoa Fsica ou Pessoa Fsica ou Jurdica.
68
2.1. Alterar Perfil de Acesso
2.1.1.Procurador de Pessoa Fsica:
69
2.1.2. Responsvel Legal:
2.1.3. Nova alterao do Perfil de Acesso
70
ANEXO II Graficos criados pela Cert.br Valores acumulados: 1999 a setembro de 2010
Incidentes Reportados ao CERT.br -- Janeiro a Maro de 2010 72
Tabela: Totais Mensais e Trimestral Classificados por Tipo de Ataque. Ms Total worm (%) dos (%) invaso (%) web (%) scan (%) fraude (%) outros (%) jan 8223 1467 17 5 0 1 0 402 4 3042 36 2545 30 761 9 fev 8266 2170 26 5 0 5 0 470 5 2920 35 2313 27 383 4 mar 11836 2236 18 0 0 1 0 780 6 4573 38 3529 29 717 6 Total 28325 5873 20 10 0 7 0 1652 5 10535 37 8387 29 1861 6
Incidentes Reportados ao CERT.br -- Abril a Junho de 2010 Tabela: Totais Mensais e Trimestral Classificados por Tipo de Ataque. Ms Total worm (%) dos (%) invaso (%) web (%) scan (%) fraude (%) outros (%) abr 11462 2127 18 0 0 3 0 522 4 5463 47 2829 24 518 4 mai 9680 1310 13 3 0 7 0 653 6 5027 51 2359 24 321 3 jun 11680 1324 11 2 0 2 0 706 6 6533 55 2872 24 241 2 Total 32822 4761 14 5 0 12 0 1881 5 17023 51 8060 24 1080 3
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2010 Ms Total worm (%) dos (%) invaso (%) web (%) scan (%) fraude (%) outros (%) jul 12661 1150 9 0 0 22 0 986 7 7718 60 2440 19 345 2 ago 14171 1213 8 4 0 5 0 928 6 9186 64 2596 18 239 1 set 13177 904 6 0 0 11 0 734 5 8882 67 2413 18 233 1 Total 40009 3267 8 4 0 38 0 2648 6 25786 64 7449 18 817 2
73
Incidentes Reportados ao CERT.br -- Janeiro a Dezembro de 2009
Incidentes Reportados ao CERT.br -- Janeiro a Maro de 2010
74
Incidentes Reportados ao CERT.br -- Abril a Junho de 2010
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2010
Este grfico no inclui os dados referentes a worms.
75
Incidentes Reportados ao CERT.br -- Janeiro a Dezembro de 2009
Incidentes Reportados ao CERT.br -- Janeiro a Maro de 2010
76
Incidentes Reportados ao CERT.br -- Abril a Junho de 2010
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2010
Este grfico no inclui os dados referentes a worms. 77
Incidentes Reportados ao CERT.br -- Janeiro a Dezembro de 2009
Incidentes Reportados ao CERT.br -- Janeiro a Maro de 2010
Incidentes Reportados ao CERT.br -- Abril a Junho de 2010
78
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2010
Incidentes Reportados ao CERT.br -- Janeiro a Dezembro de 2009
Incidentes Reportados ao CERT.br -- Janeiro a Maro de 2010
79
Incidentes Reportados ao CERT.br -- Abril a Junho de 2010
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2010
80
Incidentes Reportados ao CERT.br -- Janeiro a Dezembro de 2009
Incidentes Reportados ao CERT.br -- Janeiro a Maro de 2010
81
Incidentes Reportados ao CERT.br -- Abril a Junho de 2010
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2010
82
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2010
Legenda: Cavalos de Tria, Pginas Falsas, Direitos Autorais e Outras
83
ANEXO III
A Resoluo n 3 designa Comisso para auditar a Autoridade Certificadora Raiz - AC Raiz e seus prestadores de servios. A Resoluo n 5 Aprova o Relatrio de auditoria da AC Raiz. A Resoluo n 15 estabelece as diretrizes para sincronizao de freqncia e de tempo na Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil. A Resoluo n 20 determina o desenvolvimento de uma plataforma criptogrfica aberta, voltada operao da AC Raiz. Resoluo n 33 delega a AC RAIZ da ICP-Brasil atribuio para suplementar as normas do Comit Gestor e d outras providncias. A Resoluo n 36 aprova o Regulamento para Homologao de Sistemas e Equipamentos de Certificao Digital no mbito da ICP-Brasil. A Resoluo n 39 aprova a verso 2.0 da Poltica de Segurana da ICP-Brasil. A Resoluo n 41 aprova a verso 2.0 dos Requisitos Mnimos para as POLTICAS DE CERTIFICADO na ICP-Brasil. A Resoluo n 42 aprova a verso 2.0 dos Requisitos Mnimos para as DECLARAES DE PRTICAS DE CERTIFICAO das Autoridades Certificadoras da ICP-Brasil. A Resoluo n 44 aprova a verso 2.0 dos Critrios e Procedimentos para Realizao de AUDITORIAS NAS ENTIDADES nas Entidades da ICP-Brasil. A Resoluo n 45 aprova a verso 2.0 dos Critrios e Procedimentos para FISCALIZAO das Entidades Integrantes da ICP-Brasil. A Resoluo n 47 aprova a verso 3.0 dos Critrios e Procedimentos para Credenciamento das Entidades Integrantes da ICP-Brasil. A Resoluo n 48 Altera os Requisitos Mnimos para as Declaraes de Prticas de Certificao das Autoridades Certificadoras da ICPBrasil. Resoluo n 49 Aprova a verso 3.0 da Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil. A Resoluo n 50 Altera a Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil. A Resoluo n 51 Altera a Poltica de Segurana da ICP-Brasil. Resoluo n 52 Altera os critrios e procedimentos para credenciamento das entidades integrantes da ICP-Brasil. Resoluo n 53 Altera os requisitos mnimos para as polticas de certificado na ICP-Brasil. Resoluo n 54 Altera os requisitos mnimos para as Declaraes de Prticas de Certificao das Autoridades Certificadoras da ICP-Brasil. Resoluo n 55 Aprova a verso 3.0 das diretrizes da poltica tarifria da Autoridade Certificadora Raiz da ICP-Brasil. Resoluo n 56 Altera os critrios e procedimentos para realizao de auditorias nas entidades da ICP- Brasil. Resoluo n 57 Altera os critrios e procedimentos para fiscalizao das entidades integrantes da ICP-Brasil. Resoluo n 58 Aprova a verso 1.0 do documento Viso Geral do Sistema de Carimbos do Tempo na ICP-Brasil. A Resoluo n 59 Aprova a verso 1.0 do 84
documento Requisitos Mnimos para as Declaraes de Prticas das Autoridades de Carimbo do Tempo da ICP-Brasil. Resoluo n 60 Aprova a verso 1.0 do documento Requisitos Mnimos para as Polticas de Carimbo do Tempo da ICP-Brasil. Resoluo n 61 Aprova a verso 1.0 do documento Procedimentos para Auditoria do Tempo na ICP-Brasil. Resoluo n 62 Aprova a verso 1.0 do documento Viso Geral sobre Assinaturas Digitais na ICP- Brasil. Resoluo n 63 Aprova o Regimento Interno do Comit Gestor da Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil). Resoluo n 64 Aprova a execuo de auditoria no ambiente operacional na Autoridade Certificadora raiz (AC RAIZ) e seus prestadores de servio de suporte de INFRA - ESTRUTURA DE CHAVES PBLICAS BRASILEIRA no exerccio de 2010. Resoluo n 65 Aprova a Verso 2.0 do documento padres e algoritmo criptogrficos da ICP-BRASIL, e o plano de migrao relacionado. Resoluo n 66 Aprova a Verso 3.1 dos requisitos mnimos para a declarao de prticas de certificao das autoridades certificadoras da ICP-Brasil. Resoluo n 67 Aprova a Verso 3.1 dos requisitos mnimos para a declarao de prticas de certificao das autoridades certificadoras da ICP-Brasil. Resoluo n 68 Altera os prazos contidos no plano de adoo de novos padres criptograficos - anexo II da resoluo N 65. Resoluo n 69 Aprova a verso 1.1 dos normativos de carimbo de tempo da ICP-Brasil. Resoluo n 70 Aprova a verso 4.2 DOC- ICP-03. Resoluo n 71 Altera o prazo da resoluo 62 REF DOC-ICP-15. Resoluo n 72 Aprova a verso 4.0 dos critrios e precedimentos para realizao de auditorias nas entidades da ICP-BRASIL. Resoluo n 73 Aprova a verso 2.0 dos termos de titularidade de incapazes, pessoa fsica e pessoa jurdica na ICP-Brasil. Resoluo n 74 Aprova a verso 3.2 DOC-ICP-05, verso 4.3 DOC-ICP-03 e verso 1.3 do DOC-ICP-03.01. Resoluo n 75 Aprova a verso 3.3 do comuento de requisitos mnimo para as declaraes de prticas de certificao das autoridades certificadoras da icp-Brasil(DOC-ICP-05). Resoluo n 76 Aprova a verso 2.0 do documento viso geral sobre as assinaturas digitais na ICP-Brasil (DOC-ICP-15). Resoluo n 77 Aprova a verso 3.1 do documento requisitos mnimos para as politicas de certificado na ICP-Brasil (DOC-ICP-04). Resoluo n 78 Aprova a verso 1.2 do documento de viso geral do sistema de carimbos do tempo na ICP-Brasil (DOC-ICP-11). Resoluo n 79 Aprova a verso 3.4 do documento requisitos mnimos para as declaraes de prticas de certificao das autoridades certificadoreas da ICP-Brasil.(DOC-ICP-05). Resoluo n 80 Aprova a verso 2.0 do documento regilamento para homologao de sistemas e quipamentos de certificao digital no mbito da ICP-Brasil. (DOC-ICP-10). 85
Resoluo n 81 Aprova a verso 4.1 do documento declarao de prticas de certificao da autoridade certificadora raiz da ICP-Brasil (DOC-ICP-01). Resoluo n 82 Aprova a verso 1.0 do documento manual de uso da marca da ICP-BRASIL, e a gesto de contedo do stio da infraestrutura de chaves pblicas brasileira (ICP-BRASIL). Resoluo n 83 Aprova a verso 4.4 do documento critrios e procedimentos para credenciamento das entidades integrantes da ICP-Brasil (DOC-ICP-03).