[MASOCH-L] Banco Real

Nelson Murilo nelson at pangeia.com.br
Wed Nov 14 08:41:35 BRST 2007 

On Tue, Nov 13, 2007 at 11:02:47PM -0300, Tukso Antartiko wrote:
> Se acha que o próprio autor do artigo que citou não foi claro,
> tentarei clarear porque a citada brecha é apenas uma hipótese que não
> atende ao questionamento inicial.

Ai e´ que esta´, nao e´ hipotese. Existem malwares utilizando este
tenico desde 2004, pelo menos. 

> Antes de tudo minha pergunta foi sobre tokens. Como você sabe bem não
> é possível reutilizar a autenticação do token, portanto a suposta
> brecha se restringira a corromper uma transação legítima mas esta
> abordagem não se sustenta por, dentre outros motivos, supor que as
> mensagens são previsíveis.

Aqui fica claro que a tecnica ainda nao esta clara. O malware 
nao resume nada, ele simplesmente usa uma conexao (e portanto
ja passamos da fase de autenticacao) estabelecida, portanto
tanto faz que se use OTP, certificado digital, biometria
ou qualquer combinacao destas. 

> Se acha que a referência foi insuficiente você poderia citar (ou
> redigir) um artigo,  de uma publicação científica respeitável, que
> demonstre que o Worm X e suas variações, manipula com sucesso as
> transações usando token de Y % dos Z maiores bancos privados que
> utilizam este mecanismo de autenticação

Tokens pura e simplesmente sao burlados com tecnicas mais simples e 
antigas, com o mais que tradicional man-in-the-middle, veja o 
caso do citibank:
http://www.scmagazineus.com/Man-in-the-middle-attack-on-Citibank-users-concerns-experts/article/33675/

Pra que artigo se a coisa ja esta no varejo? 

> Se este percentual for desprezível, tenderei a acreditar que um
> eventual problema não está relacionado à uma tecnologia específica,
> mas sim à falha de implementação de determinados bancos.

Como esta claro acima, o problema nao e´ de implementacao, nem 
no caso do man-in-the-end-point-attack. 

> Não tenho intenção de resolver problema nenhum, por enquanto ainda
> estou buscando evidências que demonstrem que ele existe, enquanto isso
> trata-se apenas de uma suposição sem efeito prático.

Como ja disse, ja existem malwares (faz tempo) utilizando esta tecnica.
Ainda nao estao muito disseminados por uma questao de ROI, os 
atuais (tradicionais), com captura de cliques  e sobreposicao de janelas, 
infelizmente pra nos, vao bem obrigado. 

<a href="http://naopod.com">./nelson -murilo</a>

More information about the masoch-l mailing list