[MASOCH-L] Banco Real
Tukso Antartiko
tukso.antartiko at gmail.com
Wed Nov 14 00:02:47 -03 2007
Se acha que o próprio autor do artigo que citou não foi claro,
tentarei clarear porque a citada brecha é apenas uma hipótese que não
atende ao questionamento inicial.
Copiando novamente da sua referência:
"These Trojans install themselves on unsuspecting users' PCs and
either capture user log-on credentials or manipulate transactions
after a successful log-on."
Antes de tudo minha pergunta foi sobre tokens. Como você sabe bem não
é possível reutilizar a autenticação do token, portanto a suposta
brecha se restringira a corromper uma transação legítima mas esta
abordagem não se sustenta por, dentre outros motivos, supor que as
mensagens são previsíveis.
Se acha que a referência foi insuficiente você poderia citar (ou
redigir) um artigo, de uma publicação científica respeitável, que
demonstre que o Worm X e suas variações, manipula com sucesso as
transações usando token de Y % dos Z maiores bancos privados que
utilizam este mecanismo de autenticação.
Se este percentual for desprezível, tenderei a acreditar que um
eventual problema não está relacionado à uma tecnologia específica,
mas sim à falha de implementação de determinados bancos.
Não tenho intenção de resolver problema nenhum, por enquanto ainda
estou buscando evidências que demonstrem que ele existe, enquanto isso
trata-se apenas de uma suposição sem efeito prático.
On Nov 12, 2007 10:11 PM, Nelson Murilo <nelson at pangeia.com.br> wrote:
>
> On Mon, Nov 12, 2007 at 09:37:18PM -0300, Tukso Antartiko wrote:
> > Eu odiaria usar um artigo que não sofreu revisão por pares de uma
> > publicação confiável:
> > http://www.infoworld.com/article/06/05/01/77467_18FEsslmalware_1.html
> >
> > "These Trojans install themselves on unsuspecting users' PCs and
> > either capture user log-on credentials or manipulate transactions
> > after a successful log-on."
> >
> > Mas como o próprio artigo se responde:
> > "Banks that require stronger authentication and transactional
> > authorization should be rewarded"
>
> A referencia que dei foi uma tentativa fazer voce entender a dimensao
> do problema. As conclusoes que ele chega sugerindo autenticacao forte e
> autorizacao de transacao sao absolutamente genericas.
> Como ele nao define as formas de fazer isso, nada leva a crer que
> esteja falando de certificado digital + OTP, ou eu perdi algo?
>
> Se o problema foi absorvido, fica claro perceber que certificado digital
> para autenticar e OTP para autorizar a transacao e´ inutil contra este
> tipo de ataque.
>
> Caso acredite que esta discussao pode ficar minimamente produtiva, seria
> interessante ver quais sao so seus argumentos em defesa do certificado +
> OTP para dar cabo do problema.
>
> O resto e´ bobagem.
>
More information about the masoch-l
mailing list