4 Apr

PC comprometido não pode ser confiado

Category: Internet, Segurança

Pen drive autentica transações financeiras na Web

Para vencer o medo dos internautas que não se sentem seguros em fazer transações pela Internet, a Gemalto lançou no Brasil nesta terça-feira, 03/04, o NIM (Ntework Identity Manager). Trata-se de um pen drive, baseado na tecnologia de smart card e chaves públicas para autenticação de sites seguros na rede. O produto foi exibido na Security Week.

[...]

Eric Claude, presidente da Gemalto para a América Latina, diz que pesquisas revelam que 50% dos internautas não fazem transação na Web para não correrem riscos de fraudes e que a nova tecnologia é uma resposta para esse problema.

Aparentemente o produto requer que você digite um PIN (senha) para iniciar uma autenticação segura com o servidor. Mas como isto protege o usuário de um keylogger? Por que o keylogger seria incapaz de fazer uma cópia do certificado presente no pen drive e capturar a senha digitada?

Faltam informações, sim. O site do produto diz muito pouco sobre o funcionamento dele. Absolutamente nenhuma informação pode ser aceita a partir de um PC, que pode estar comprometido, sem verificá-la antes. Tudo pode ser capturado ou modificado pelo trojan. Um código malicioso inteligente pode usar a própria sessão do usuário para modificar o destino de uma transferência.

É por isso que hoje tem duas coisas que acho que funcionariam:

  1. Utilizar um meio diferente de autenticação, como por exemplo, o celular. Hoje qualquer um que tem um PC tem um celular, não necessitaria nenhum tipo de equipamento adicional e o custo seria baixo. O CEO da F-Secure falou desta solução recentemente no Big Thinkers, que também teve participação do CSO da PayPal e do Bruce Schneier.
    Verdade que, caso o cracker consiga infectar o celular e o computador, a conta ainda poderia ser comprometida. Um ataque de engenharia social no banco poderia tornar a medida inútil. Mas são coisas que poderiam ser trabalhadas.
  2. Autenticar a transferência em si: verificar o perfil do usuário e ter certeza de que aquela transferência de fato faz sentido. Isto é defendido pelo próprio Bruce Schneier e é algo que não colocaria nenhum tipo de inconveniência nos usuários

O que tenho certeza que não adianta é colocar mais segurança no PC. SSL garante que o criminoso não possa capturar o tráfego, então grande parte das vítimas de fraudes tem o PC infectado ou usaram algum sistema público comprometido. Um sistema “comprometido” está a serviço do cracker, não do usuário, e não pode ser confiado.

Posted Wednesday, April 4th, 2007 at 20:04
Filed Under Category: Internet, Segurança
Both comments and pings are currently closed.

0

Comentários estão fechados.