[MASOCH-L] Banco Real
Lao DanTong
danton at inexo.com.br
Wed Nov 14 08:53:27 BRST 2007
On Wed, 14 Nov 2007, Nelson Murilo wrote:
> On Tue, Nov 13, 2007 at 11:02:47PM -0300, Tukso Antartiko wrote:
>> Se acha que o próprio autor do artigo que citou não foi claro,
>> tentarei clarear porque a citada brecha é apenas uma hipótese que não
>> atende ao questionamento inicial.
>
> Ai e´ que esta´, nao e´ hipotese. Existem malwares utilizando este
> tenico desde 2004, pelo menos.
ainda que fosse só uma hipótese, já seria um problemão, pois existindo a
possibilidade é só uma questão de tempo para aparecer um exploit.
>> Antes de tudo minha pergunta foi sobre tokens. Como você sabe bem não
>> é possível reutilizar a autenticação do token, portanto a suposta
>> brecha se restringira a corromper uma transação legítima mas esta
>> abordagem não se sustenta por, dentre outros motivos, supor que as
>> mensagens são previsíveis.
>
> Aqui fica claro que a tecnica ainda nao esta clara. O malware
> nao resume nada, ele simplesmente usa uma conexao (e portanto
> ja passamos da fase de autenticacao) estabelecida, portanto
> tanto faz que se use OTP, certificado digital, biometria
> ou qualquer combinacao destas.
essa é a essência do ataque de man-at-the-endpoint. Schneier nota que o
importante não é autenticar o usuário muito menos a plataforma, mas sim a
transação. os bancos estão fazendo exatamente o contrário. fazem um
esforço danado para autenticar a sessão, "identificar o computador",
bobagem implantada pelo Banco do Brasil, etc. e continuam deixando a
transação ao deus-dará, portanto continuam vulneráveis a ataques de
endpoint. e, me parece, que o problema está exatamente na falta de
compreensão do problema pelo pessoal de TI dos bancos.
More information about the masoch-l
mailing list