Publicado em: 4 de abril de 2024.

Desde sua fundação há uma década, o Internet Security Research Group (ISRG) tem sido uma organização pioneira na proteção e avanço da segurança na internet. Hoje, ao celebrarmos estes 10 anos, refletimos sobre as conquistas e os impactos que esta instituição teve no cenário da cibersegurança.

Fundado em maio de 2013 por Josh Aas e Eric Rescorla, o ISRG é uma organização sem fins lucrativos criada com a missão de construir uma internet mais segura que respeite a privacidade de todos. O ISRG atua buscando reduzir as barreiras financeiras, tecnológicas e educacionais para uma comunicação segura na internet, desenvolvendo projetos de infraestrutura digital de benefício público. 

Ao longo dos anos, o ISRG tem desempenhado um papel crucial na proteção e no avanço da segurança online, deixando um legado de compromisso e inovação com a segurança cibernética. À medida que celebramos este marco, destacamos as diversas ações e iniciativas que moldaram a história dessa instituição e seu impacto no mundo da tecnologia e da segurança, respectivamente, o Let’s Encrypt, o Prossimo e o Divvi Up.

Let’s Encrypt: Transformando a Criptografia Web

O Let’s Encrypt, o primeiro projeto lançado pelo ISRG em 2015, é uma autoridade certificadora (AC) global que atualmente atende mais de 360 milhões de domínios com certificados TLS gratuitos e responsável por cobrir 57% de todos os sites que utilizam o domínio .org, comumente associado a organizações sem fins lucrativos. 

Uma autoridade certificadora é uma entidade responsável por emitir certificados digitais, que garantem a autenticidade, integridade e criptografia das comunicações online. Esses certificados são fundamentais para estabelecer conexões seguras na internet e um dos protocolos mais amplamente utilizados para implementar essa segurança é o TLS (Transport Layer Security), evoluído do SSL (Secure Sockets Layer).

O TLS fornece criptografia de dados durante a transmissão pela internet, garantindo que as informações trocadas entre um navegador web e um servidor permaneçam confidenciais e protegidas contra acessos não autorizados. Quando você visita um site que utiliza HTTPS (um protocolo baseado no TLS), o navegador verifica o certificado digital emitido pela autoridade certificadora. Ele verifica se o certificado é válido, se corresponde ao site que você está visitando e se não foi revogado. Se todas as verificações forem bem-sucedidas, o navegador exibe um cadeado ao lado do endereço do site, indicando que a conexão é segura.

Assim, um certificado TLS aplicado em um site protege os visitantes e partes interessadas contra ataques e vigilância. Sem o TLS, o conteúdo do site poderia ser alterado sem o conhecimento dos proprietários ou as informações privadas dos visitantes poderiam ser comprometidas. 

O Let’s Encrypt fornece gratuitamente os certificados digitais necessários para habilitar HTTPS (SSL/TLS) em websites de maneira amigável, contribuindo para o desenvolvimento de uma Web mais segura que respeite a privacidade dos usuários. Dessa forma, algo tão fundamental quanto segurança e privacidade pode ser adotado da forma mais fácil possível.

Alguns benefícios de utilizar o serviço do Let’s Encrypt são:

• Gratuidade: Qualquer pessoa que possua um nome de domínio pode utilizar o Let’s Encrypt para obter um certificado confiável sem custo. 
• Automatização: Um software no servidor web pode interagir com o Let’s Encrypt para obter um certificado, configurá-lo de maneira segura para uso e cuidar de sua renovação automaticamente. 
• Segurança: O Let’s Encrypt promove as melhores práticas do TLS, tanto do lado da Autoridade Certificadora quanto ajudando operadores de sites a configurarem corretamente seus servidores. 
• Transparência: Todos os certificados emitidos ou revogados estão disponíveis publicamente para inspeção. 
• Aberto:  A emissão automática e o protocolo de renovação são publicados com um padrão de chave pública livre, para que outros possam adotar.
• Cooperação: Assim como os protocolos de Internet, o Let’s Encrypt é um esforço colaborativo para beneficiar a comunidade, além do controle de qualquer organização centralizada. 

Prossimo: Segurança de Memória para uma Internet mais Protegida

Lançado em 2021, o Prossimo é um projeto focado em segurança de memória. Seu objetivo é migrar a infraestrutura de software sensível à segurança da Internet para um código seguro em termos de memória.

Segurança de memória refere-se à capacidade de certas linguagens de programação evitarem certos tipos de erros relacionados ao uso da memória. Como muitos dos bugs de segurança estão relacionados à manipulação inadequada da memória, linguagens seguras nesse aspecto oferecem maior proteção. 

Exemplos de linguagens seguras para memória incluem Rust, Go, C#, Java, Swift, Python e JavaScript, enquanto linguagens como C, C++ e assembly são menos seguras nesse aspecto.  O Prossimo reconhece que a migração de todo o código existente em linguagens não seguras para memória para linguagens seguras, é uma tarefa extensa e árdua, mas incentiva dividir o processo em partes gerenciáveis para que se possa progredir de forma significativa ao longo do tempo.

Muitas das vulnerabilidades de software mais críticas resultam de problemas de segurança de memória em código C e C++, amplamente utilizados na infraestrutura da Internet. Embora existam maneiras de mitigar esses riscos, como adotar boas práticas de programação, essas medidas não eliminam completamente o problema e consomem muitos recursos continuamente.

Por isso, o projeto Prossimo está envolvido em diversas iniciativas voltadas para o desenvolvimento de uma infraestrutura de Internet mais segura, como Rustls TLS, Kernel Linux e Proxy Reverso (River). Colocando esforços significativos no desenvolvimento de bibliotecas de código, drivers, protocolos e ferramentas projetados para serem usados em uma ampla variedade de projetos. Esses recursos são projetados para aprimorar a segurança e proteção contra vulnerabilidades, contribuindo para um ambiente online mais seguro e confiável.

Divvi Up: Protegendo a Privacidade do Usuário

Também lançado em 2021, o Divvi UP é um sistema voltado para a coleta de estatísticas agregadas, como métricas de aplicativos, com um forte compromisso no respeito à privacidade dos usuários. 

O objetivo do projeto é fornecer um serviço que permita aos proprietários de aplicativos, sejam eles entidades governamentais, organizações de benefício público ou empresas privadas, coletar métricas da população de usuários de forma fácil e eficiente, sem comprometer a privacidade individual de cada um. 

Confiar nas políticas declaradas de privacidade dos proprietários pode não ser suficiente, pois os dados do usuário podem ser inadvertidamente violados.

Muitos tipos de aplicativos, desde aplicativos móveis e de desktop até sites, geram métricas sobre o comportamento de seus usuários. No entanto, normalmente essas métricas são enviadas de volta para os proprietários do aplicativo ou para uma entidade intermediária. Isso levanta preocupações sobre privacidade e segurança, uma vez que os usuários são colocados na posição de confiar que os proprietários irão, de fato, respeitar as políticas de privacidade e segurança declaradas. Além do mais, uma vez que um proprietário de aplicativo tem os dados do usuário, as políticas de privacidade podem ser violadas tanto intencionalmente quanto acidentalmente. 

Diante disso, o Divvi UP surge como uma solução para essa tensão entre a necessidade de coletar informações sobre o comportamento dos usuários e a garantia da privacidade individual. O sistema divide as métricas geradas pelo usuário em compartilhamentos criptografados, enviando metade dos dados para um servidor Divvi UP e a outra metade para um servidor de terceiros. Quando os proprietários de aplicativos consultam estatísticas agregadas de seus usuários, o Divvi UP combina as métricas de forma a preservar a privacidade dos indivíduos. Este sistema é baseado em protocolos desenvolvidos na Universidade de Stanford por Henry Corrigan-Gibbs e Dan Boneh, conhecidos como Prio e Poplar. 

Entre os benefícios do uso do Divvi UP temos:

• Coleta de Métricas Populacionais: Oferece insights sobre o comportamento do público-alvo, permitindo a coleta de métricas em grande escala. 
• Proteção de Privacidade para Usuários: Garante que nenhum proprietário de aplicativo ou entidade intermediária possua métricas de usuário individuais completas e identificáveis, protegendo os dados do usuário contra mau uso intencional ou não intencional. 
• Facilidade de Uso: Requer configuração mínima por parte dos proprietários de aplicativos e não impacta a experiência do usuário do aplicativo, promovendo uma adoção mais ampla devido à proteção da privacidade. 

Dessa forma, o Divvi UP representa uma solução inovadora para a coleta de métricas de aplicativos, priorizando a privacidade dos usuários e oferecendo benefícios tanto para os proprietários de aplicativos quanto para os próprios usuários.

Além de seus notáveis projetos com contribuições técnicas, o ISRG também tem desempenhado um papel fundamental na educação e conscientização em segurança cibernética, capacitando tanto indivíduos quanto organizações a compreender e mitigar os riscos online. Além disso, tem promovido ativamente a colaboração e a pesquisa, facilitando o compartilhamento de informações e melhores práticas entre os membros da comunidade de segurança.

À medida que celebramos uma década de realizações do ISRG, é importante reconhecer o impacto que esta organização teve no mundo da segurança cibernética. Seja por meio do desenvolvimento de tecnologias inovadoras, da promoção da conscientização em segurança ou da defesa de uma internet mais segura e acessível. Que esta celebração seja um lembrete do impacto positivo do trabalho desempenhado pelo ISRG.

Luana Batista

Graduanda em Engenharia da Computação pela Universidade Federal do Sul e Sudeste do Pará (Unifesspa) e pesquisadora nas áreas de telecomunicações e inteligência artificial. No IP.Rec, atua no Observatório da Criptografia ObCrypto.