terça-feira, 9 de setembro de 2008

Mente Hacker

Mente hacker

Denny Roger é analista de segurança de redes

Segredos do token

(http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2008-08-08.4729373953)
Publicada em 11 de agosto de 2008 às 07h15
Atualizada em 11 de agosto de 2008 às 09h07
Dispositivo de segurança se populariza no Internet Banking, mas usuário deve ter cuidado.
A segurança no Internet Banking é certamente um tópico fundamental, hoje em dia. O alvo dos ladrões migrou da agência bancária para o computador do correntista, onde as informações financeiras são acessadas e movimentadas (pagamentos, transferências etc).

O Internet Banking desenvolvido no Brasil é o que considero um dos mais seguros do mundo. Essa evolução é conseqüência da ação dos crackers. Existem tantos ataques bem-sucedidos executados por brasileiros que a tecnologia de segurança bancária evolui mais rápido aqui do que em outros países. Porém, não existe segurança absoluta e o objetivo dos crackers é localizar e explorar o elo mais fraco, o ser humano.

Os dispositivos de segurança no Internet Banking são eficazes?

O que você sabe:
Os crackers disseminam programas espiões capazes de gravar tudo o que você digita durante o acesso ao Internet Banking. Por exemplo, agência, conta corrente, frase secreta e senha. A contramedida implementada foi o teclado virtual. Dessa forma, o cliente do banco é obrigado a utilizar o mouse para informar a sua senha, minimizando o risco do programa espião capturar as informações digitadas no computador.

Os riscos: Existem dois problemas neste caso. Alguns clientes compartilhavam a sua agência, conta corrente, senha do teclado virtual, com outra pessoa. Esta outra pessoa acessava o Internet Banking e realizava diversas transações financeiras. O cliente entrava em contato com o banco informando que o dinheiro havia “desaparecido” de sua conta corrente. Isso chama-se auto fraude.

O segundo problema é o teclado virtual. O programa espião evolui junto com a segurança do Internet Banking. Além de gravar tudo que é digitado, o programa espião fotografa (print screen) toda vez que é pressionado algum botão do mouse. Ou seja, quando você clica nos números da sua senha utilizando o teclado virtual, o programa espião fotografa os números que foram clicados.

O que você tem: Os bancos foram obrigados a implementar uma segunda camada de segurança conhecida como token (chave de segurança, cartão de segurança, tabela de senhas, dispositivo de senhas eletrônicas etc). Dessa forma, mesmo que agência, conta, e senha sejam informações conhecidas por terceiros, é necessário possuir o token para realizar as transações financeiras.

Os crackers não perderam tempo e publicaram na Internet páginas clonadas dos bancos solicitando todos os números da chave de segurança, cartão de segurança, e tabela de senhas. Veja o vídeo da ação do Cracker.

Alguns clientes utilizam o token para aplicar o golpe de auto fraude. Ou seja, é realizada uma fotocópia (xerox) do cartão/chave de segurança ou da tabela de segurança. Essa cópia é disponibilizada para uma outra pessoa. A conta corrente é acessada via Internet Banking pela outra pessoa e são realizadas diversas transferências e pagamentos de contas. O cliente entra em contato com o banco informando que roubaram seu dinheiro, acreditando que o banco irá devolver todo o dinheiro que “desapareceu” da sua conta corrente. Sendo assim, mesmo o token não consegue garantir uma segurança absoluta.

O que você é: Os bancos estão implementando uma terceira camada de segurança, a biometria.

A maioria das pessoas com quem conversei acreditam que a biometria é o dispositivo de segurança mais seguro. Na minha opinião este recurso passa uma falsa sensação de segurança. Um dos problemas é não poder revogar uma permissão baseada em biometria.

Os Caçadores de Mitos (MythBusters) demonstraram diversas formas de burlar um sistema de segurança baseado em biometria. Uma das técnicas utilizadas, e a mais curiosa, foi a utilização de uma fotocópia (xerox) da impressão digital para burlar o sistema de segurança. Você pode conferir todos os resultados das técnicas utilizadas no site http://mythbustersresults.com/episode59.

Confira o vídeo deste episódio disponível no YouTube.

Conclusão

Pode-se alcançar um aumento significativo de segurança utilizando o token. Alguns tokens utilizam a tecnologia de “uma única senha”. Esta senha é alterada uma vez por minuto e é permitido somente um acesso por minuto. O token também permite que você utilize uma autenticação de dois fatores (o que você sabe + o que você tem).

Não se esqueça: o cracker precisa descobrir apenas uma fraqueza para ser bem-sucedido. Normalmente o elo mais fraco é o ser humano. Não anote suas senhas, frases secretas etc. Não faça uma cópia do seu token (cartão/chave de segurança ou tabela de segurança), tenha cuidado com os sites clonados - os bancos solicitam apenas uma das chaves de segurança – e sempre atualize seu software antivírus.

Denny Roger é diretor da EPSEC, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.

Reações:

0 comentários: