Márcio A. S. Correia

E-mail: marcioandre@gmail.com

LinkedIn: www.linkedin.com/in/marciocorreia

Agenda

Apresentação Introdução Conceitos Mecanismos de Segurança Estudo de Caso Conclusão

Apresentação

InstituiçõesUniversidade Estadual do Ceará – UECEInformation Security Research Team –

INSERT

ResponsabilidadeComunicar instituições/pessoas afetadas em tempo hábil para que medidas possam ser tomadas.

Introdução

ObjetivoLevantar mecanismos de segurança usados

nos e-bankings brasileiros no combate a fraudes relacionadas ao roubo de identidade.

Identificar problemas nestes mecanismos.Analisar alternativas que aumentem a

segurança destes mecanismos.

Introdução (continuação)

MotivaçãoNúmero crescente de clientes de e-banking.Interesse das instituições pelo baixo custo

operacional.Interesse dos clientes pela conveniência.Aumento do número de fraudes na internet

brasileira.

Conceitos Internet Banking

Custo das transações bancárias nos diversos canais de atendimento

Canal de Atendimento Custo por Transação (em US$)

Agencias 1,07

Telefone 0,54

Auto-Atendimento 0,27

Home Banking 0,02

Internet Banking 0,01

Conceitos (continuação)

Fraude

Conceitos (continuação)

Segurança da InformaçãoConfidencialidadeIntegridadeDisponibilidade

Conceitos (continuação)

Sistemas CriptográficosSimétricos

Conceitos (continuação)

Sistemas CriptográficosAssimétricos

Conceitos (continuação)

Sistemas CriptográficosResumo Criptográfico

Conceitos (continuação)

Sistemas CriptográficosHíbridos

Conceitos (continuação)

Protocolos de IdentificaçãoIdentificação FracaIdentificação ForteSenhas Descartáveis

Mecanismos de Segurança Transport Layer Security (TLS) Encerramento da Sessão Chave Temporal (OTP) Teclado Virtual (CAPTCHA) Identificação do Computador Complemento de Segurança do

Navegador

Estudo de Caso

O serviço de e-banking do Banco do Brasil foi escolhido para analise.

Apenas os mecanismos de segurança obrigatórios para utilização do serviço foram avaliados.

A automação da exploração das falhas encontradas não faz parte do escopo do trabalho.

Estudo de Caso (continuação)

Teclado Virtual

Falha na tentativa de proteger os dados informados.

Exemplo:Senha “11223344” informada no teclado

Estudo de Caso (continuação)

Estudo de Caso (continuação)

Estudo de Caso (continuação)

Identificação do Computador

Falha na tentativa de proteger os dados coletados.Exemplo:Dados coletados em um terminal de acesso

Assinatura da máquinafVAy2kw6eWClnBvg6jBw52d/SlmekgSUSEpldhGCYrg=

Chave CriptográficauRFUdLWfSDJ0Xm=dcNigvjaJZuhjV:0,

Estudo de Caso (continuação)

Estudo de Caso (continuação)

Estudo de Caso (continuação)

Alternativa na representação do teclado virtualRepresentação indireta dos dados

Estudo de Caso (continuação)

Alternativa na representação do teclado virtual

○ Probabilidade de ataque de replay

Alta probabilidade da combinação de teclas se repetir (10,58 %)

Estudo de Caso (continuação)

Alternativa na representação do teclado virtual

○ Probabilidade de reconstrução da senha

No pior caso, é necessário monitorar apenas duas sessões para descobrir a senha.

Estudo de Caso (continuação)

Alternativa na representação do teclado virtual

○ Probabilidade de acerto por escolhas aleatórias.

256 vezes maior a probabilidade da senha ser descoberta por escolhas aleatórias

Estudo de Caso (continuação)

Alternativa na proteção dos dadosUso de resumo criptográfico

○ Dado d que devem ser protegidos, que poderá ser a senha ou o identificador do computador;

○ Chave de sessão c;○ Função hash H;○ Operação de concatenação +;○ Dado protegido h.

h = H(d+c)

Estudo de Caso (continuação)

Alternativa na proteção dos dadosUso de criptografia assimétrica

○ Dado d que devem ser protegidos, que poderá ser a senha ou o identificador do computador;

○ Chave de sessão c;○ Chave pública d;○ Chave privada e;○ Função assimétrica de encriptação Enc;○ Função assimétrica de decriptação Dec;○ Operação de concatenação +;○ Dado protegido p.

p = Encd(d+c) → d+c = Dece(p)

Estudo de Caso (continuação)

Alternativa na proteção dos dadosProblemas

○ Os dados podem ser capturados na memória antes que qualquer coisa possa ser feita

Conclusão Embora algumas técnicas sugeridas possam

elevar o nível de segurança do serviço, não foi possível torná-lo resistente a ataques de scam, phishing e pharming.

Como trabalho futuro, fica proposto o estudo de soluções que utilizem dados descartáveis para acesso ao serviço de e-banking.

Outra proposta é a analise de soluções que utilizem o canal de atendimento via celular para autenticação no acesso ao serviço de e-banking. Esta solução pode inclusive ser aliada a utilização de dados descartáveis.

?

Obrigado!