{"id":2196,"date":"2014-06-07T23:47:12","date_gmt":"2014-06-08T02:47:12","guid":{"rendered":"http:\/\/eriberto.pro.br\/blog\/?p=2196"},"modified":"2017-06-20T11:59:09","modified_gmt":"2017-06-20T14:59:09","slug":"ssl-inspection-em-firewalls-sera-que-isso-e-licito","status":"publish","type":"post","link":"https:\/\/eriberto.pro.br\/blog\/2014\/06\/07\/ssl-inspection-em-firewalls-sera-que-isso-e-licito\/","title":{"rendered":"SSL inspection em firewalls: ser\u00e1 que isso \u00e9 l\u00edcito?"},"content":{"rendered":"

O SSL inspection \u00e9 uma t\u00e9cnica de firewall, criada h\u00e1 poucos anos, utilizada para verificar o conte\u00fado de tr\u00e1fego de rede criptografado.<\/p>\n

Em uma conex\u00e3o criptografada, apenas o usu\u00e1rio envolvido e o servidor de rede final conseguem visualizar o conte\u00fado do tr\u00e1fego. Esse \u00e9 o fator que propicia a seguran\u00e7a desejada pelo usu\u00e1rio ao acessar sites que requeiram a utiliza\u00e7\u00e3o de dados pessoais ou a visualiza\u00e7\u00e3o de informa\u00e7\u00f5es sigilosas. Um exemplo \u00e9 o acesso a um sistema de Internet banking, onde o usu\u00e1rio disponibiliza sua senha pessoal e acessa dados pessoais e sigilosos. Outra situa\u00e7\u00e3o correlata \u00e9 uma compra pela Internet, na qual todos os dados de cart\u00e3o de cr\u00e9dito ser\u00e3o digitados. Esses s\u00e3o casos cl\u00e1ssicos de utiliza\u00e7\u00e3o de criptografia na conex\u00e3o para proteger os usu\u00e1rios. No acesso via p\u00e1gina, por exemplo, quando se quer seguran\u00e7a, \u00e9 utilizado o protocolo HTTPS em vez de HTTP. O \u201cS\u201d se refere a \u201csecure\u201d. Em resumo, o uso de criptografia prov\u00ea seguran\u00e7a ao usu\u00e1rio; no entanto, isso cega o sistema de firewall, fato que ocorre, naturalmente, em todas as redes em prol da seguran\u00e7a pessoal de quem as utiliza.<\/p>\n

A t\u00e9cnica de SSL inspection foi desenvolvida para uso em casos espec\u00edficos, pois da mesma forma que uma conex\u00e3o criptografada pode ser utilizada em prol da seguran\u00e7a dos usu\u00e1rios, ela tamb\u00e9m pode ser empregada para o tr\u00e1fego de arquivos maliciosos, que afetariam sistemas externos \u00e0 institui\u00e7\u00e3o que det\u00e9m o firewall. Assim, tal institui\u00e7\u00e3o poder\u00e1, em casos espec\u00edficos e mais raros, adotar o SSL inspection para verificar determinadas conex\u00f5es, oriundas de uma m\u00e1quina da rede suspeita de a\u00e7\u00f5es incompat\u00edveis. Para tanto, com o SSL inspection, o administrador da rede poder\u00e1 \u201cquebrar\u201d a criptografia entre o usu\u00e1rio e o servidor de destino e analisar tudo que estiver trafegando entre os dois.<\/p>\n

V\u00e1rios sistemas de firewall comerciais modernos disponibilizam a t\u00e9cnica de SSL inspection. No entanto, o uso indiscriminado de tal t\u00e9cnica consiste em viola\u00e7\u00e3o de privacidade, configurando crime, de acordo com a lei do pa\u00eds onde ocorra e que trate tal assunto como irregular. Geralmente, o uso do SSL inspection est\u00e1 vinculado a determina\u00e7\u00f5es judiciais ou testes em ambientes de pesquisa de malwares, como empresas de produ\u00e7\u00e3o de antiv\u00edrus. \u00c9 necess\u00e1rio lembrar que existem alguns entendimentos err\u00f4neos sobre o que se pode ou n\u00e3o fazer dentro de uma empresa. Um desses entendimentos criou uma \u201clenda\u201d que diz que \u201ctudo o que circula dentro de uma empresa pertence \u00e0 mesma\u201d. No entanto, a lei, geralmente, aplica ao mundo virtual o mesmo que aplica ao mundo real, uma vez que o virtual sempre segue o que o real pratica. Em outras palavras, tudo no mundo virtual \u00e9 feito da mesma forma como ocorre no mundo real. Ent\u00e3o, no caso de um telefone funcional, provido a um empregado da empresa, poderia tal empresa grampear o aparelho e escutar todas as conversas telef\u00f4nicas? \u00c9 sabido que n\u00e3o. Ent\u00e3o, dentro da mesma analogia, ningu\u00e9m pode praticar SSL inspection sem pr\u00e9via e competente autoriza\u00e7\u00e3o, ou seja, uma ordem judicial. Uma exce\u00e7\u00e3o conhecida \u00e9 a dos e-mails corporativos, desde que haja uma cl\u00e1usula expressa nos contratos de trabalho, informando que tal e-mail n\u00e3o dever\u00e1 ser utilizado para fins pessoais e que poder\u00e1 ser monitorado. Mesmo assim, h\u00e1 diversos casos na hist\u00f3ria jur\u00eddica de monitoramentos inadequados e por motivos irrelevantes, que geraram decis\u00f5es a favor de empregados de empresas em processos judiciais. \u00c9 algo an\u00e1logo a um policial que, sem motivo, algema uma pessoa na rua porque ela possui bra\u00e7os e pode cometer um crime. Assim, uma empresa que monitore o e-mail funcional de um empregado sem um motivo aparente, poder\u00e1 ser processada pelo mesmo e perder a causa, vindo a ter que indeniz\u00e1-lo.<\/p>\n

Em uma conex\u00e3o criptografada \u00e9 utilizado um certificado digital instalado no servidor de rede que cont\u00e9m os dados a serem protegidos durante a sess\u00e3o. Esse certificado dever\u00e1 ser homologado por uma autoridade certificadora, como Verisign[1],\u00a0 Certsign[2] ou a ICP-Brasil[3], que \u00e9 reconhecida por todos os navegadores de p\u00e1ginas e, em consequ\u00eancia, tem poder para atestar a veracidade do servidor e o sigilo da comunica\u00e7\u00e3o. No caso do SSL inspection, o certificado da autoridade certificadora \u00e9 trocado por um certificado do firewall durante o tr\u00e1fego, e com isso, como uma esp\u00e9cie de \u201cgrampo telef\u00f4nico\u201d, esse firewall da rede passa a entender tudo o que trafega, uma vez que est\u00e1 violando o sigilo da conex\u00e3o. Neste ponto, por exemplo, todas a senhas, incluindo as banc\u00e1rias, poder\u00e3o ser vistas pelo administrador de rede. O problema \u00e9 que os navegadores relatar\u00e3o que a conex\u00e3o n\u00e3o parece ser \u00edntegra, uma vez que o certificado do firewall n\u00e3o ser\u00e1 reconhecido. H\u00e1 duas solu\u00e7\u00f5es para isso: instalar o certificado do firewall em cada navegador da rede ou instalar um programa \u201cagente\u201d do firewall, que burle as regras. Qualquer uma das duas condi\u00e7\u00f5es propiciar\u00e1 a viola\u00e7\u00e3o do sigilo da conex\u00e3o sem um alerta ao usu\u00e1rio envolvido.<\/p>\n

Um ind\u00edcio de uso de SSL inspection \u00e9 a altera\u00e7\u00e3o de certificados digitais. A figura a seguir mostrar\u00e1 o certificado digital obtido via conex\u00e3o 3G.<\/p>\n

\"acesso_3G\"<\/a><\/p>\n

\u00c9 poss\u00edvel observar os campos \u201cIssued To\u201d e \u201cIssued By\u201d. No Issued To h\u00e1 os dados do certificado instalado no servidor de p\u00e1ginas do site GitHub. J\u00e1 no campo \u201cIssued By\u201d, \u00e9 poss\u00edvel ver os dados providos pela autoridade certificadora DigiCert[4].<\/p>\n

Na pr\u00f3xima figura h\u00e1 o mesmo site, acessado logo em seguida, mas utilizando uma rede que pratica o SSL inspection.<\/p>\n

\"acesso_rede\"<\/a><\/p>\n

Al\u00e9m do site desfigurado, v\u00e1rios dados do certificado foram removidos ou alterados. O navegador Internet Chromium, que estava sendo utilizado, \u00e9 um dos programas que mostra claramente esse tipo de ocorr\u00eancia. Nota-se, inclusive, o protocolo HTTPS riscado, indicando que o mesmo foi violado. Outros navegadores, como o Firefox, permitir\u00e3o \u201cadicionar uma exce\u00e7\u00e3o de seguran\u00e7a\u201d, fazendo com que o site possa ser acessado sem a homologa\u00e7\u00e3o de certificado, criando a possibilidade de captura de todos os dados que trafegam. \u00c9 importante relembrar que, caso um agente do firewall estivesse instalado na m\u00e1quina do usu\u00e1rio, o site apareceria normalmente, sem qualquer anomalia, apesar de haver grande a possibilidade do certificado mostrar dados n\u00e3o originais.<\/p>\n

\u00c9 importante ressaltar que o SSL inspection foi desenvolvido para \u201cvasculhar\u201d conex\u00f5es de usu\u00e1rios internos e somente em casos especiais. Com outras t\u00e9cnicas mais adequadas, as conex\u00f5es de usu\u00e1rios externos com os servidores internos poder\u00e3o ser analisadas de forma mais profissional e menos intrusiva, via proxies reversos.<\/p>\n

Conclui-se que \u00e9 extremamente importante haver um cuidado com excessos no uso do SSL inspection. O simples fato de o recurso existir em um equipamento de firewall adquirido n\u00e3o permite o seu uso indiscriminado. Al\u00e9m disso, em qualquer caso, todos os funcion\u00e1rios e alunos de uma institui\u00e7\u00e3o dever\u00e3o ser alertados, se for o caso, da possibilidade de tal a\u00e7\u00e3o na rede interna. Mesmo assim, ordens judiciais ou motivos de for\u00e7a maior n\u00e3o corriqueiros deveriam existir antes do acionamento do recurso contra uma m\u00e1quina espec\u00edfica, por tempo determinado. Assim sendo, o uso ininterrupto de SSL inspection em toda a rede sempre ser\u00e1 considerado como abusivo, podendo constituir crime.<\/p>\n

[1] http:\/\/www.verisign.com.br
\n[2] http:\/\/www.certisign.com.br
\n[3] http:\/\/www.iti.gov.br\/icp-brasil
\n[4] http:\/\/http:\/\/www.digicert.com<\/p>\n","protected":false},"excerpt":{"rendered":"

O SSL inspection \u00e9 uma t\u00e9cnica de firewall, criada h\u00e1 poucos anos, utilizada para verificar o conte\u00fado de tr\u00e1fego de rede criptografado. Em uma conex\u00e3o criptografada, apenas o usu\u00e1rio envolvido e o servidor de rede final conseguem visualizar o conte\u00fado do tr\u00e1fego. Esse \u00e9 o fator que propicia a seguran\u00e7a desejada pelo usu\u00e1rio ao acessar… Continue a ler »SSL inspection em firewalls: ser\u00e1 que isso \u00e9 l\u00edcito?<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"neve_meta_sidebar":"","neve_meta_container":"","neve_meta_enable_content_width":"","neve_meta_content_width":0,"neve_meta_title_alignment":"","neve_meta_author_avatar":"","neve_post_elements_order":"","neve_meta_disable_header":"","neve_meta_disable_footer":"","neve_meta_disable_title":"","footnotes":""},"categories":[24,4,5],"tags":[598,605,597,608,56,604,603,625,200,600,601,599,602,610,607,606,60,623,609,596],"class_list":["post-2196","post","type-post","status-publish","format-standard","hentry","category-internet","category-rede","category-seguranca","tag-abuso","tag-contravencao","tag-crime","tag-dados","tag-firewall","tag-ilegal","tag-ilicito","tag-internet","tag-invasao","tag-legalidade","tag-legislacao","tag-lei","tag-licito","tag-pessoais","tag-privacidade","tag-proibido","tag-redes","tag-seguranca","tag-senhas","tag-ssl-inspection"],"_links":{"self":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/posts\/2196","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/comments?post=2196"}],"version-history":[{"count":5,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/posts\/2196\/revisions"}],"predecessor-version":[{"id":2204,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/posts\/2196\/revisions\/2204"}],"wp:attachment":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/media?parent=2196"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/categories?post=2196"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/tags?post=2196"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}