Hacker alega ter acessado Autoridade Certificadora Raiz da ICP-Brasil
Após 18 anos de existência, ainda que de forma questionável, o Instituto Nacional de Tecnologia da Informação (ITI), acaba de sofrer a primeira tentativa concreta de abalo na credibilidade da instituição como guardiã da Chave-Raiz da ICP-Brasil – a Infraestrutura de Chaves Públicas Brasileira. O ITI regula e fiscaliza o mercado de certificação digital brasileiro.
Isso seria razão suficiente para o hacker “sup3rm4n”, integrante do grupo Hacker “Fatal Error Crew“, anunciar como um feito inédito, que teria invadido a Autoridade Certificadora (AC) Certsingn e, por consequência, ganhou o acesso a informações sobre a Autoridade Certificadora-Raiz da ICP Brasil, no caso, o Instituto Nacional de Tecnologia da Informação -ITI.
Não foi bem assim, segundo a versão da Certisign. Depois de uma criteriosa investigação interna – pois não é todo dia que o mundo hacker anuncia com festa ter “furado” suas defesas, ao ponto de abalar a credibilidade do gestor do mercado de certificação digital brasileiro – a empresa confirmou o ataque, mas não na escala em que foi anunciado.
“A Certisign informa que o conteúdo (códigos) publicado não contêm e não compromete as informações e os dados de clientes, parceiros e fornecedores. O incidente foi restrito a dois servidores inativos que não fazem parte da infraestrutura tecnológica da empresa desde 2017″, declarou em nota oficial.
O hacker “sup3rm4n” chegou a ridicularizar as defesas da ICP-Brasil. ”A infraestrutura de chaves públicas brasileira é uma vergonha, aonde já se viu alguém conseguir acesso root na rede de uma autoridade certificadora? Quem sou eu pra dizer algo neh, mas ICP-BRASIL o objetivo das ACs não é garantir a autenticidade assegurar a identidade e confiabilidade?”, declarou.
A Certisign rebateu. “Os dados divulgados referem-se a arquivos internos de configuração de servidor. A empresa esclarece, também, que o conteúdo divulgado, claramente, foi manipulado e adulterado, porque contém dados de eventos de 2018, quando os servidores já tinham sido desativados”, afirmou.
A empresa assegurou que “não foram expostas outras aplicações. O “incidente”, segundo ela, não afetou a Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil. Nem tampouco os certificados digitais ou chaves privadas em operação no país, porque estariam “em ambientes isolados submetidos a robustos controles de segurança”.
Credibilidade provisória
Independentemente do episódio, a credibilidade da ICP-Brasil, após 18 anos de existência, continua sendo questionada pela sua transitoriedade regulatória.
Pasmem, desde o ano de 2001 o mercado de certificação digital brasileiro é regulado por um instituto criado via Medida Provisória (2.200-2 de 24 de agosto de 2001). O modelo e a estrutura de certificação digital brasileiros nunca foram votados e efetivamente aprovados pelo Congresso Nacional.
O organismo permanece vinculado à Casa Civil da Presidência da República, no novo governo que se inicia. E sua missão permanece em “manter e executar as políticas da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil”. O ITI, a quem compete ser a primeira autoridade da cadeia de certificação digital – AC Raiz; deverá sofrer mudanças na sua atual estrutura. Mas os novos nomes que virão para o órgão ainda não foram anunciados pelo novo governo.