[MASOCH-L] Banco Real

[Nelson Murilo]

On Wed, Nov 14, 2007 at 08:53:27AM -0200, Lao DanTong wrote:
> > Ai e´ que esta´, nao e´ hipotese. Existem malwares utilizando este
> > tenico desde 2004, pelo menos.
> 
> ainda que fosse só uma hipótese, já seria um problemão, pois existindo a 
> possibilidade é só uma questão de tempo para aparecer um exploit.

Exato. 

> essa é a essência do ataque de man-at-the-endpoint. Schneier nota que o 
> importante não é autenticar o usuário muito menos a plataforma, mas sim a 
> transação. os bancos estão fazendo exatamente o contrário. fazem um 
> esforço danado para autenticar a sessão, "identificar o computador", 
> bobagem implantada pelo Banco do Brasil, etc. e continuam deixando a 
> transação ao deus-dará, portanto continuam vulneráveis a ataques de 
> endpoint. e, me parece, que o problema está exatamente na falta de 
> compreensão do problema pelo pessoal de TI dos bancos.

Talvez nao seja nem questao de entendimento, mas esforco X tempo de 
resistencia. O que me parece preocupante e´ que solucoes isoladas
levam o problema pra quem esta um passo atras, mantendo a gangorra
dos graficos de fraude, um implementa uma media e joga, por algum tempo,
o pico pros outros, e vamos nesse ciclo de medidas paleativas. 

O discurso de defesa ja esta pronto: "nao existe solucao perfeita e 
sempre haveram brechas". Mas o que estamos vendo e´ que as medidas,
por isso as vejo como paleativas, ja nascem com vulnerabilidades 
existente, quando o ideal seria que elas (as vulnerabilidades) 
fossem descobertas apos um tempo (tao grande quanto possivel) de 
implementacao. 

<a href="http://naopod.com">./nelson -murilo</a>