Post on 07-Jun-2015
description
Márcio A. S. Correia
E-mail: marcioandre@gmail.com
LinkedIn: www.linkedin.com/in/marciocorreia
Agenda
Apresentação Introdução Conceitos Mecanismos de Segurança Estudo de Caso Conclusão
Apresentação
InstituiçõesUniversidade Estadual do Ceará – UECEInformation Security Research Team –
INSERT
ResponsabilidadeComunicar instituições/pessoas afetadas em tempo hábil para que medidas possam ser tomadas.
Introdução
ObjetivoLevantar mecanismos de segurança usados
nos e-bankings brasileiros no combate a fraudes relacionadas ao roubo de identidade.
Identificar problemas nestes mecanismos.Analisar alternativas que aumentem a
segurança destes mecanismos.
Introdução (continuação)
MotivaçãoNúmero crescente de clientes de e-banking.Interesse das instituições pelo baixo custo
operacional.Interesse dos clientes pela conveniência.Aumento do número de fraudes na internet
brasileira.
Conceitos Internet Banking
Custo das transações bancárias nos diversos canais de atendimento
Canal de Atendimento Custo por Transação (em US$)
Agencias 1,07
Telefone 0,54
Auto-Atendimento 0,27
Home Banking 0,02
Internet Banking 0,01
Conceitos (continuação)
Fraude
Conceitos (continuação)
Segurança da InformaçãoConfidencialidadeIntegridadeDisponibilidade
Conceitos (continuação)
Sistemas CriptográficosSimétricos
Conceitos (continuação)
Sistemas CriptográficosAssimétricos
Conceitos (continuação)
Sistemas CriptográficosResumo Criptográfico
Conceitos (continuação)
Sistemas CriptográficosHíbridos
Conceitos (continuação)
Protocolos de IdentificaçãoIdentificação FracaIdentificação ForteSenhas Descartáveis
Mecanismos de Segurança Transport Layer Security (TLS) Encerramento da Sessão Chave Temporal (OTP) Teclado Virtual (CAPTCHA) Identificação do Computador Complemento de Segurança do
Navegador
Estudo de Caso
O serviço de e-banking do Banco do Brasil foi escolhido para analise.
Apenas os mecanismos de segurança obrigatórios para utilização do serviço foram avaliados.
A automação da exploração das falhas encontradas não faz parte do escopo do trabalho.
Estudo de Caso (continuação)
Teclado Virtual
Falha na tentativa de proteger os dados informados.
Exemplo:Senha “11223344” informada no teclado
Estudo de Caso (continuação)
Estudo de Caso (continuação)
Estudo de Caso (continuação)
Identificação do Computador
Falha na tentativa de proteger os dados coletados.Exemplo:Dados coletados em um terminal de acesso
Assinatura da máquinafVAy2kw6eWClnBvg6jBw52d/SlmekgSUSEpldhGCYrg=
Chave CriptográficauRFUdLWfSDJ0Xm=dcNigvjaJZuhjV:0,
Estudo de Caso (continuação)
Estudo de Caso (continuação)
Estudo de Caso (continuação)
Alternativa na representação do teclado virtualRepresentação indireta dos dados
Estudo de Caso (continuação)
Alternativa na representação do teclado virtual
○ Probabilidade de ataque de replay
Alta probabilidade da combinação de teclas se repetir (10,58 %)
Estudo de Caso (continuação)
Alternativa na representação do teclado virtual
○ Probabilidade de reconstrução da senha
No pior caso, é necessário monitorar apenas duas sessões para descobrir a senha.
Estudo de Caso (continuação)
Alternativa na representação do teclado virtual
○ Probabilidade de acerto por escolhas aleatórias.
256 vezes maior a probabilidade da senha ser descoberta por escolhas aleatórias
Estudo de Caso (continuação)
Alternativa na proteção dos dadosUso de resumo criptográfico
○ Dado d que devem ser protegidos, que poderá ser a senha ou o identificador do computador;
○ Chave de sessão c;○ Função hash H;○ Operação de concatenação +;○ Dado protegido h.
h = H(d+c)
Estudo de Caso (continuação)
Alternativa na proteção dos dadosUso de criptografia assimétrica
○ Dado d que devem ser protegidos, que poderá ser a senha ou o identificador do computador;
○ Chave de sessão c;○ Chave pública d;○ Chave privada e;○ Função assimétrica de encriptação Enc;○ Função assimétrica de decriptação Dec;○ Operação de concatenação +;○ Dado protegido p.
p = Encd(d+c) → d+c = Dece(p)
Estudo de Caso (continuação)
Alternativa na proteção dos dadosProblemas
○ Os dados podem ser capturados na memória antes que qualquer coisa possa ser feita
Conclusão Embora algumas técnicas sugeridas possam
elevar o nível de segurança do serviço, não foi possível torná-lo resistente a ataques de scam, phishing e pharming.
Como trabalho futuro, fica proposto o estudo de soluções que utilizem dados descartáveis para acesso ao serviço de e-banking.
Outra proposta é a analise de soluções que utilizem o canal de atendimento via celular para autenticação no acesso ao serviço de e-banking. Esta solução pode inclusive ser aliada a utilização de dados descartáveis.
?
Obrigado!