uma primeira análise do ecossistema https no brasil
TRANSCRIPT
![Page 1: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/1.jpg)
Uma Primeira Análise do Ecossistema HTTPS no Brasil
Thiago Escarrone, Diego Kreutz, Maurício Fiorenza4o. Workshop Regional de Segurança da Informação (2019)
![Page 2: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/2.jpg)
Roteiro
2
Motivação
Navegação segura
O Ecossistema HTTPS no Brasil
Considerações e Trabalhos Futuros
![Page 3: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/3.jpg)
Motivação
3
● Nós realmente estamos seguros na Internet?
![Page 4: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/4.jpg)
Motivação
4
● Será que você está realmente seguro usando HTTPS?
![Page 5: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/5.jpg)
Roteiro
5
Motivação
Navegação segura
O Ecossistema HTTPS no Brasil
Considerações e Trabalhos Futuros
![Page 6: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/6.jpg)
HTTP vs HTTPS
6
● HTTP○ Texto puro○ Fácil interceptação e
alteração dos dados
● HTTPS○ Texto encriptado○ Confidencialidade○ Integridade○ Autenticidade
![Page 7: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/7.jpg)
HTTPS
7
![Page 8: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/8.jpg)
SSL e TLS
8
● Fornece confidencialidade e integridade dos dados em uma comunicação
![Page 9: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/9.jpg)
Autenticidade
9
● Certificado Digital- Autoridade Certificadora- Nome da empresa- Common Name- Validade (Not before and
Not after)- Algoritmo de assinatura
![Page 10: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/10.jpg)
Algoritmo de Assinatura
10
● Fornece autenticidade, integridade e não-repúdio
![Page 11: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/11.jpg)
Roteiro
11
Motivação
Navegação segura
O Ecossistema HTTPS no Brasil
Considerações e Trabalhos Futuros
![Page 12: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/12.jpg)
Esferas analisadas
12
● Governo Federal
● Governos Estaduais
● Bancos e fintechs brasileiras
![Page 13: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/13.jpg)
● 33% dos sites não utilizam HTTPS em suas comunicações
Não utilizam Certificado Digital
13
![Page 14: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/14.jpg)
● Endereço acessado != Domínio registrado no certificado
● 20,58% dos sites indicados como não confiáveis
Domain Name Mismatch
14
![Page 15: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/15.jpg)
● Autoridade Certificadora == Nome da empresa
● 14,70% não tem a confiança do navegador
Certificados Auto-assinados
15
![Page 16: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/16.jpg)
Certificado fora da data de validade
16
● Data atual < Not before AND Data atual > Not after
● 8,82% dos sites analisados
![Page 17: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/17.jpg)
Algoritmos de assinatura
17
91,17%
5,88%2,95%
![Page 18: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/18.jpg)
Versão dos protocolos SSL/TLSVersão Sites que
suportamAtaques
conhecidos
SSLv2 1 DROWN
SSLv1 6 POODLE, BEAST
TLS 1.0 28 BEAST
TLS 1.1 25 POODLE
TLS 1.2 29 Logjam
TLS 1.3 2 -
![Page 19: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/19.jpg)
Roteiro
19
Motivação
Navegação segura
O Ecossistema HTTPS no Brasil
Considerações e Trabalhos Futuros
![Page 20: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/20.jpg)
Considerações finais
20
● Implantações dos certificados digitais precárias(onde tem)
● Versões vulneráveis do SSL/TLS ainda em uso
● Funções Hash antigas ainda em uso
![Page 21: Uma Primeira Análise do Ecossistema HTTPS no Brasil](https://reader035.vdocuments.net/reader035/viewer/2022062309/62a724fcc3386e0efa7ba7e9/html5/thumbnails/21.jpg)
Trabalhos futuros
21
● Um número maior de sites (e.g e-commerce brasileiro, prefeituras municipais, mais bancos)
● Estudar como os ataques são realizados