Por Maria Teresa Aarão,
Gerente de Negócios da
Certisign para a
Área Financeira

As grandes vedetes da 15ª RSA foram os serviços de proteção de identidade e detecção de fraudes da Verisign,
o anúncio da iniciativa InfoCard da Microsoft e uma profusão de diferentes mecanismos de autenticação de dois fatores, que fez a área de exposição parecer uma feira de tokens.

Proteção de Identidade

Desde o vazamento de informações confidencias de pelo menos 145 mil pessoas cadastradas na empresa norte-americana Choicepoint, especializada em dados de crédito,
a preocupação com a proteção de identidades aumentou consideravelmente no mundo todo.

O vazamento na Choicepoint fez o órgão federal regulador da indústria de serviços financeiros nos EUA (FFIEC) reeditar seu guia para serviços eletrônicos bancários exigindo três serviços básicos de proteção, que obrigatoriamente precisam ser implementados até outubro de 2006.

O primeiro desses serviços é a autenticação mútua, em que o banco e o cliente trocam informações para provar sua identidade um ao outro. O segundo é a autenticação de dois fatores, em que o banco fornece ao cliente algum dispositivo de autenticação além da senha. Por fim, o terceiro é composto dos serviços de segurança passiva, em que os sistemas dos bancos implementam controles adicionais para detecção de fraudes por meio da troca de informações com outros bancos e na verificação on-line do uso simultâneo de identidades em sites diferentes.

As novas exigências do FFIEC e prazo final eminente para implementá-las fizeram dessa edição da RSA Conference o lugar ideal para expor ferramentas de mútua autenticação, tokens e sistemas contra fraude. Daí a importante repercussão dos novos serviços de proteção de identidades e detecção de fraudes lançados pela VeriSign.

InfoCards

A iniciativa InfoCard vem coroar o amadurecimento da visão da Microsoft para segurança digital após o fracasso do Passport. O anúncio da nova abordagem se deu em três movimentos. O primeiro deles aconteceu na palestra de Bill Gates e seu mote foi alardear o fim das senhas e a utilização intensiva de OTP (one time password), senhas que valem uma única vez, em todos os scripts de instalação das novas versões de seus produtos.

O segundo movimento da Microsoft foi a concorridíssima palestra de Kim Cameron, mentor da estratégia de identidades da Microsoft. Em uma sala de conferência projetada para comportar no máximo 50 pessoas, quase 200 profissionais da indústria se espremiam para ver o arquiteto-chefe de identidade e acesso da Microsoft apresentar seu “The Laws of Identity” (As Leis da Identidade).

Disponível no site www.identityblog.com, o documento conceitual de Cameron vem chamando a atenção de todo o mercado como a mais concertada estratégia para conciliar as questões sobre privacidade, especialmente nos paises da União Européia, por conta da necessidade nas transações on-line, com a identificação inequívoca dos usuários e a busca simultânea pela preservação dos dados individuais. Segundo o arquiteto da Microsoft, os consumidores se beneficiam porque fornecem menos informações pessoais on-line e se preocupam menos com sua privacidade; já as empresas ganham ao armazenar menos dados em seus servidores.

O terceiro movimento se deu em apresentações para os mais diversos setores: legislação, tecnologia, negócios, padrões etc. Nas palestras, a empresa explorou as capacidades que o meta-sistema de identidades possibilitará a partir da tecnologia InfoCard. Já nos estandes da exposição, esse terceiro movimento pôde ser percebido em toda sorte de fornecedores de tokens e software de gerenciamento de identidades compatíveis com o conjunto de protocolos de segurança para WebServices Security (WSS), que é a infra-estrutura para implementar o modelo conceitual criado por Kim Cameron.

Feira de tokens

Na área reservada aos estandes da exposição da RSA, anexa às salas de palestra da Conferência, o que se via eram tokens, tokens, tokens e tokens.

No pavilhão da OATH, associação dos principais desenvolvedores e fabricantes do setor de segurança digital, além dos InfoCards da Microsoft, destacaram-se também o nCryptome e o Identita, cartões em formato ISO com visor integrado para OTP ou dispositivo de áudio para fornecer senhas no mesmo padrão que os usuários conhecem e já usam há décadas (cartão de crédito, cartão do banco etc.).

Mais sobre a Conferência

Divididas em trilhas tão diversas como legislação, padronização, governo, hackers etc., a RSA Conference apresenta palestras e discussões que examinam aspectos jurídicos, estudos de caso, soluções, aplicações e serviços para o mercado de segurança digital, bem como sessões específicas para criptógrafos e desenvolvedores.

Segurança para instituições financeiras

Internet banking é uma realidade para usuários do mundo todo e a Conferência abordou a segurança nesse setor sob vários aspectos.

Uma palestra sobre autenticação on-line para instituições financeiras, por exemplo, foi apresentada pela empresa Jovelin Strategy and Research, que edita uma publicação com a perspectiva das vítimas de fraudes de identidade. Segundo eles, os métodos de segurança on-line mais promissores são o reconhecimento do dispositivo, o reconhecimento de imagem ou frase e o token de software criptográfico. Como benefícios e vantagens de tais métodos para o usuário dos serviços bancários pela Internet, os palestrantes apontaram sua conveniência, universalidade e portabilidade.  

Um outro painel discutiu a proteção do consumidor de serviços financeiros on-line. Entre seus participantes destacou-se Howard Schmidt, antigo chefe de segurança cibernética da Casa Branca e hoje presidente da R&H Security Consulting. Schmidt defende que “os clientes precisam ter opções”. Também presente, Rob Shank, vice-presidente da E*Trade, falou sobre a campanha risco-zero para o usuário de Internet Banking e a implantação da autenticação universal multifator. Já Naftali Bennet, vice-presidente de soluções para o consumidor da RSA Cyota, qualquer que seja o tamanho do mercado, um milhão ou 50 mil usuários, o mercado concentra-se nos aparelhos portáteis. Em comum, todos concordam que os problemas não devem aparecer para o usuário: o cliente espera ser protegido pelo banco.

Indústria biofarmacêutica

O painel apresentado por Richard Guida, diretor de segurança da informação da Johnson& Johnson, John Landwehr, Diretor da Security Solutions, e Guy Talent, diretor de segurança da informação da GST Advisor, mostrou uma solução de assinaturas múltiplas com o Adobe Acrobat e OCSP. O interessante é que essa solução de Certificação Digital já está disponível para os mais de 100 milhões de clientes Acrobat.

Hollywood vai à Conferência

A Conferência foi encerrada com uma palestra do jornalista e escritor Ben Mezrich, autor de oito livros, com mais de um milhão de cópias vendidas mundo afora, entre eles “Bringing Down the House”. A obra é não-ficcional, mas tão interessante que serviu de base para o roteiro de um filme: seis alunos do conceituado MIT são treinados para se tornar especialistas em contar cartas, levando milhões de doláres de cassinos em Las Vegas. Previsto para ser lançado nos cinemas em 2007, o filme está sendo produzido e estrelado pelo premiado ator Kevin Spacey e na certa vai contar com muitos profissionais de segurança da informação na platéia, conferindo o quanto de realidade há na ficção. Ou vice-versa.

Clique aqui para saber como identificar um site seguro.