[MASOCH-L] Banco Real

Tukso Antartiko tukso.antartiko at gmail.com
Wed Nov 14 21:35:44 BRST 2007 

Relembrando a pergunta inicial:
"assinatura digital com Token é facilmente burlável?"

O token usado no exemplo citado (Safeword)  exige interação do usuário
para geração de uma nova senha, portanto não gera autenticação única
nem usa assinatura digital.

O exemplo citado (de 2006) também não segue as orientações da FFIEC
(de 2005) e também não passaria em uma auditoria de segurança
(FIA_UAU.6) por usar uma única autenticação durante toda a sessão.
Portanto além de tudo existe sim um problema de implementação.

A frase "nao estao muito disseminados por uma questao de ROI"
demonstra justamente que não existe a dita facilidade.

Hipoteticamente poderia-se usar todos computadores da NSA e quebrar
qualquer chave comercial, no entanto o retorno comparado ao custo
inviabiliza qualquer uso prático.

Você pode citar toda teoria que quiser, se não houver demonstração
prática significativa continua sendo apenas uma hipótese que se aplica
apenas à caricaturas de implementação.

A ausência destas demonstrações práticas na discussão serve apenas
para evidenciar que esta não possui futuro e que é perda de tempo
minha continuar comentando este assunto.

On Nov 14, 2007 7:41 AM, Nelson Murilo <nelson at pangeia.com.br> wrote:
>
> > Antes de tudo minha pergunta foi sobre tokens. Como você sabe bem não
> > é possível reutilizar a autenticação do token, portanto a suposta
> > brecha se restringira a corromper uma transação legítima mas esta
> > abordagem não se sustenta por, dentre outros motivos, supor que as
> > mensagens são previsíveis.
>
> Aqui fica claro que a tecnica ainda nao esta clara. O malware
> nao resume nada, ele simplesmente usa uma conexao (e portanto
> ja passamos da fase de autenticacao) estabelecida, portanto
> tanto faz que se use OTP, certificado digital, biometria
> ou qualquer combinacao destas.
>
> > Se acha que a referência foi insuficiente você poderia citar (ou
> > redigir) um artigo,  de uma publicação científica respeitável, que
> > demonstre que o Worm X e suas variações, manipula com sucesso as
> > transações usando token de Y % dos Z maiores bancos privados que
> > utilizam este mecanismo de autenticação
>
> Tokens pura e simplesmente sao burlados com tecnicas mais simples e
> antigas, com o mais que tradicional man-in-the-middle, veja o
> caso do citibank:
> http://www.scmagazineus.com/Man-in-the-middle-attack-on-Citibank-users-concerns-experts/article/33675/
>
> Pra que artigo se a coisa ja esta no varejo?
>
> > Se este percentual for desprezível, tenderei a acreditar que um
> > eventual problema não está relacionado à uma tecnologia específica,
> > mas sim à falha de implementação de determinados bancos.
>
> Como esta claro acima, o problema nao e´ de implementacao, nem
> no caso do man-in-the-end-point-attack.
>
> > Não tenho intenção de resolver problema nenhum, por enquanto ainda
> > estou buscando evidências que demonstrem que ele existe, enquanto isso
> > trata-se apenas de uma suposição sem efeito prático.
>
> Como ja disse, ja existem malwares (faz tempo) utilizando esta tecnica.
> Ainda nao estao muito disseminados por uma questao de ROI, os
> atuais (tradicionais), com captura de cliques  e sobreposicao de janelas,
> infelizmente pra nos, vao bem obrigado.
>
>

More information about the masoch-l mailing list