[MASOCH-L] Banco Real

Gustavo Zamboni gzamboni at zael.com.br
Wed Nov 14 11:13:53 -03 2007 

Eu concordo com sua tese dita anteriormente Dantong,
Se o computador esta comprometido, não adianta colocar mil barreiras que 
é só uma questão de tempo para se achar as brechas.
E obrigado a você e a todos pelas indicações dos softwares de 
sincronização de pastas e arquivos,

Gustavo Zamboni

Zael Eletroeletrônica LTDA
tel +55 (11) 2577 2233
tel +55 (11) 2276 2227
fax +55 (11) 5589 2943
email gzamboni at zael.com.br



Lao DanTong escreveu:
> On Wed, 14 Nov 2007, Nelson Murilo wrote:
>
>   
>> On Tue, Nov 13, 2007 at 11:02:47PM -0300, Tukso Antartiko wrote:
>>     
>>> Se acha que o próprio autor do artigo que citou não foi claro,
>>> tentarei clarear porque a citada brecha é apenas uma hipótese que não
>>> atende ao questionamento inicial.
>>>       
>> Ai e´ que esta´, nao e´ hipotese. Existem malwares utilizando este
>> tenico desde 2004, pelo menos.
>>     
>
> ainda que fosse só uma hipótese, já seria um problemão, pois existindo a 
> possibilidade é só uma questão de tempo para aparecer um exploit.
>
>   
>>> Antes de tudo minha pergunta foi sobre tokens. Como você sabe bem não
>>> é possível reutilizar a autenticação do token, portanto a suposta
>>> brecha se restringira a corromper uma transação legítima mas esta
>>> abordagem não se sustenta por, dentre outros motivos, supor que as
>>> mensagens são previsíveis.
>>>       
>> Aqui fica claro que a tecnica ainda nao esta clara. O malware
>> nao resume nada, ele simplesmente usa uma conexao (e portanto
>> ja passamos da fase de autenticacao) estabelecida, portanto
>> tanto faz que se use OTP, certificado digital, biometria
>> ou qualquer combinacao destas.
>>     
>
> essa é a essência do ataque de man-at-the-endpoint. Schneier nota que o 
> importante não é autenticar o usuário muito menos a plataforma, mas sim a 
> transação. os bancos estão fazendo exatamente o contrário. fazem um 
> esforço danado para autenticar a sessão, "identificar o computador", 
> bobagem implantada pelo Banco do Brasil, etc. e continuam deixando a 
> transação ao deus-dará, portanto continuam vulneráveis a ataques de 
> endpoint. e, me parece, que o problema está exatamente na falta de 
> compreensão do problema pelo pessoal de TI dos bancos.
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>

More information about the masoch-l mailing list