Novas Aquisições: Kidaro, Komoku, Credentica

  • Article

Enquanto a novela da aquisição do Yahoo continua, sem muita reprecussão Microsoft comprou três pequenas empresas na área de segurança, todas elas fornecedoras de tecnologias que serão vitais nos próximos produtos da Microsoft:

¦ A israelense Kidaro fornece uma plataforma para criar e gerenciar máquinas desktop virtualizadas. O Kidaro Desktop Virtualization Platform permite que empresas criem máquinas virtuais contendo todo o desktop do usuário (ou apenas aplicações específicas - as chamadas virtual appliances), incluindo os dados, e provisionem estas máquinas para serem utilizadas os seus usuários.

Para usar o seu desktop ou uma aplicação virtualizada, o usuário tem apenas que se conectar na rede, autenticar no Active Directory e iniciar o trabalho. Ou seja, você trabalha de onde você estiver e no computador que você quiser. E o melhor: ao invés de usar a rede, o Kidaro permite que a sua máquina virtual resida em um pendrive USB, que o usuário carrega e usa também onde quiser.

O Kidaro ainda encripta todas as máquinas virtuais e permite que o administrador defina políticas para evitar vazamentos de dados, incuindo que aplicações podem ser executadas, acesso a dispositivos, cut and paste, etc. Também permite que uma parte do desktop seja considerada imutável, como arquivos de sistema e aplicações, sem que o usuário (ou mais provavelmente um malware) tenha como comprometer a segurança e a estabilidade do sistema.

¦ A americana Komoku é uma empresa especializada na detecção e remoção de rootkits. Entre os seus produtos estavam o Co-Pilot, uma placa PCI que monitora o comportamento do sistema e detecta anomalias e comportamento suspeitos - por hardware! Uma abordagem por software usando virtualização é descrita nesta apresentação, e dá uma boa idéia de como a Microsoft pode usar esta tecnologia.

¦ Por fim, a canadense Credentica atua em um segmento relativamente novo de criptografia, chamado de zero knowledge proofs. Esta tecnologia permite que uma pessoa possa se autenticar, ou mostrar que possue um determinado atributo, sem precisar revelar nenhuma informação sobre si mesmo. Por exemplo, você pode provar que é um assinante de um site sem dizer quem você é. Ou que tem mais de 18 anos sem revelar a sua idade. Ou até mesmo que você é o mesmo usuário anônimo que uso o sistema em uma sessão anterior.

Este tipo de criptografia resolve um dos problemas associados ao uso de infraestruturas de chaves públicas (PKIs) tradicionais: o da privacidade. Por exemplo, dentro do meu certificado digital da ICP-Brasil estão informações como o meu CPF, o meu RG, o meu cadastro no INSS e o meu título de eleitor. Sempre quando eu usar este certificado para me autenticar em um site Web eu estarei enviando todas essas informações para o site, quer elas sejam relevantes (e eu queira enviá-las para o site) ou não.

Ou seja, ao usar um certificado digital você passa a ter estes sites também como custodiantes de toda esta informação pessoal. E como este site vai usar essa informação? Como (e se) ela vai ser armazenada? O usuário da ICP-Brasil passa a correr o risco destas informações serem roubadas, ou usadas indevidamente pelo próprio site. Além disso é impossível usar este certificado para se autenticar em sites Web onde se queira ter qualquer tipo de anonimato.

(Interessante ver que no modelo proposto para a identidade eletrônica alemã está sendo proposto a inclusão de um "pseudônimo" para uso nestas aplicações.)

A tecnologia da Credentica permite que um serviço possa emitir credenciais para um usuário que ele possa usar anonimamente depois. O usuário pode escolher mostrar somente um pedaço da sua credencial para um serviço, omitindo as informações que ele não julgue relevante ou que ele não queira apresentar. A tecnologia ainda permite alguns modelos de negócio interessante, como a emissão de credenciais que somente possam ser utilizadas um número determinado de vezes.

A Credentica foi alvo de uma matéria recente na Wired, que curiosamente pergunta se alguém realmente estaria interessado nesta tecnologia (Bruce Schneier comentou a mesma coisa). Na verdade isto é central para a estratégia de identidade digital da Microsoft, e a tecnologia da Credentica vai ser incorporada ao Windows Communication Foundation (WCF) e no CardSpace. Para os interessados, uma descrição extensa desta tecnologia está no livro Rethinking PKI, publicado pela MIT Press e disponível gratuitamente para download. Um bom background matemático é recomendado.