Sildes - Segurança em Internet Banking - Um Estudo de Caso

1,836 views
1,736 views

Published on

Apresentação realizada no SBSeg\'08 que ocorreu em setembro de 2008 na cidade de Gramado/RS

Published in: Economy & Finance, Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,836
On SlideShare
0
From Embeds
0
Number of Embeds
20
Actions
Shares
0
Downloads
11
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Sildes - Segurança em Internet Banking - Um Estudo de Caso

  1. 1. Márcio A. S. Correia E-mail: marcioandre@gmail.com LinkedIn: www.linkedin.com/in/marciocorreia
  2. 2. Agenda <ul><li>Apresentação </li></ul><ul><li>Introdução </li></ul><ul><li>Conceitos </li></ul><ul><li>Mecanismos de Segurança </li></ul><ul><li>Estudo de Caso </li></ul><ul><li>Conclusão </li></ul>
  3. 3. Apresentação <ul><li>Instituições </li></ul><ul><ul><li>Universidade Estadual do Ceará – UECE </li></ul></ul><ul><ul><li>Information Security Research Team – INSERT </li></ul></ul><ul><li>Responsabilidade </li></ul><ul><ul><ul><li>Comunicar instituições/pessoas afetadas em tempo hábil para que medidas possam ser tomadas. </li></ul></ul></ul>
  4. 4. Introdução <ul><li>Objetivo </li></ul><ul><ul><li>Levantar mecanismos de segurança usados nos e-bankings brasileiros no combate a fraudes relacionadas ao roubo de identidade. </li></ul></ul><ul><ul><li>Identificar problemas nestes mecanismos. </li></ul></ul><ul><ul><li>Analisar alternativas que aumentem a segurança destes mecanismos. </li></ul></ul>
  5. 5. Introdução (continuação) <ul><li>Motivação </li></ul><ul><ul><li>Número crescente de clientes de e-banking. </li></ul></ul><ul><ul><li>Interesse das instituições pelo baixo custo operacional. </li></ul></ul><ul><ul><li>Interesse dos clientes pela conveniência. </li></ul></ul><ul><ul><li>Aumento do número de fraudes na internet brasileira. </li></ul></ul>
  6. 6. Conceitos <ul><li>Internet Banking </li></ul><ul><ul><li>Custo das transações bancárias nos diversos canais de atendimento </li></ul></ul>Canal de Atendimento Custo por Transação (em US$) Agencias 1,07 Telefone 0,54 Auto-Atendimento 0,27 Home Banking 0,02 Internet Banking 0,01
  7. 7. Conceitos (continuação) <ul><li>Fraude </li></ul>
  8. 8. Conceitos (continuação) <ul><li>Segurança da Informação </li></ul><ul><ul><li>Confidencialidade </li></ul></ul><ul><ul><li>Integridade </li></ul></ul><ul><ul><li>Disponibilidade </li></ul></ul>
  9. 9. Conceitos (continuação) <ul><li>Sistemas Criptográficos </li></ul><ul><ul><li>Simétricos </li></ul></ul>
  10. 10. Conceitos (continuação) <ul><li>Sistemas Criptográficos </li></ul><ul><ul><li>Assimétricos </li></ul></ul>
  11. 11. Conceitos (continuação) <ul><li>Sistemas Criptográficos </li></ul><ul><ul><li>Resumo Criptográfico </li></ul></ul>
  12. 12. Conceitos (continuação) <ul><li>Sistemas Criptográficos </li></ul><ul><ul><li>Híbridos </li></ul></ul>
  13. 13. Conceitos (continuação) <ul><li>Protocolos de Identificação </li></ul><ul><ul><li>Identificação Fraca </li></ul></ul><ul><ul><li>Identificação Forte </li></ul></ul><ul><ul><li>Senhas Descartáveis </li></ul></ul>
  14. 14. Mecanismos de Segurança <ul><li>Transport Layer Security (TLS) </li></ul><ul><li>Encerramento da Sessão </li></ul><ul><li>Chave Temporal (OTP) </li></ul><ul><li>Teclado Virtual (CAPTCHA) </li></ul><ul><li>Identificação do Computador </li></ul><ul><li>Complemento de Segurança do Navegador </li></ul>
  15. 15. Estudo de Caso <ul><li>O serviço de e-banking do Banco do Brasil foi escolhido para analise. </li></ul><ul><li>Apenas os mecanismos de segurança obrigatórios para utilização do serviço foram avaliados. </li></ul><ul><li>A automação da exploração das falhas encontradas não faz parte do escopo do trabalho. </li></ul>
  16. 16. Estudo de Caso (continuação) <ul><li>Teclado Virtual </li></ul><ul><li>Falha na tentativa de proteger os dados informados. </li></ul><ul><li>Exemplo: </li></ul><ul><li>Senha “11223344” informada no teclado </li></ul>
  17. 17. Estudo de Caso (continuação)
  18. 18. Estudo de Caso (continuação)
  19. 19. Estudo de Caso (continuação) <ul><li>Identificação do Computador </li></ul><ul><li>Falha na tentativa de proteger os dados coletados. </li></ul><ul><ul><li>Exemplo: </li></ul></ul><ul><ul><ul><li>Dados coletados em um terminal de acesso </li></ul></ul></ul><ul><ul><ul><ul><li>Assinatura da máquina </li></ul></ul></ul></ul><ul><ul><ul><ul><li>fVAy2kw6eWClnBvg6jBw52d/SlmekgSUSEpldhGCYrg= </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Chave Criptográfica </li></ul></ul></ul></ul><ul><ul><ul><ul><li>uRFUdLWfSDJ0Xm=dcNigvjaJZuhjV:0, </li></ul></ul></ul></ul>
  20. 20. Estudo de Caso (continuação)
  21. 21. Estudo de Caso (continuação)
  22. 22. Estudo de Caso (continuação) <ul><li>Alternativa na representação do teclado virtual </li></ul><ul><ul><li>Representação indireta dos dados </li></ul></ul>
  23. 23. Estudo de Caso (continuação) <ul><li>Alternativa na representação do teclado virtual </li></ul><ul><ul><ul><li>Probabilidade de ataque de replay </li></ul></ul></ul><ul><ul><ul><li>Alta probabilidade da combinação de teclas se repetir (10,58 %) </li></ul></ul></ul>
  24. 24. Estudo de Caso (continuação) <ul><li>Alternativa na representação do teclado virtual </li></ul><ul><ul><ul><li>Probabilidade de reconstrução da senha </li></ul></ul></ul><ul><ul><ul><li>No pior caso, é necessário monitorar apenas duas sessões para descobrir a senha. </li></ul></ul></ul>
  25. 25. Estudo de Caso (continuação) <ul><li>Alternativa na representação do teclado virtual </li></ul><ul><ul><ul><li>Probabilidade de acerto por escolhas aleatórias. </li></ul></ul></ul><ul><ul><ul><li>256 vezes maior a probabilidade da senha ser descoberta por escolhas aleatórias </li></ul></ul></ul>
  26. 26. Estudo de Caso (continuação) <ul><li>Alternativa na proteção dos dados </li></ul><ul><ul><li>Uso de resumo criptográfico </li></ul></ul><ul><ul><ul><li>Dado d que devem ser protegidos, que poderá ser a senha ou o identificador do computador; </li></ul></ul></ul><ul><ul><ul><li>Chave de sessão c ; </li></ul></ul></ul><ul><ul><ul><li>Função hash H ; </li></ul></ul></ul><ul><ul><ul><li>Operação de concatenação + ; </li></ul></ul></ul><ul><ul><ul><li>Dado protegido h . </li></ul></ul></ul><ul><ul><li>h = H(d+c) </li></ul></ul>
  27. 27. Estudo de Caso (continuação) <ul><li>Alternativa na proteção dos dados </li></ul><ul><ul><li>Uso de criptografia assimétrica </li></ul></ul><ul><ul><ul><li>Dado d que devem ser protegidos, que poderá ser a senha ou o identificador do computador; </li></ul></ul></ul><ul><ul><ul><li>Chave de sessão c ; </li></ul></ul></ul><ul><ul><ul><li>Chave pública d ; </li></ul></ul></ul><ul><ul><ul><li>Chave privada e ; </li></ul></ul></ul><ul><ul><ul><li>Função assimétrica de encriptação Enc ; </li></ul></ul></ul><ul><ul><ul><li>Função assimétrica de decriptação Dec ; </li></ul></ul></ul><ul><ul><ul><li>Operação de concatenação + ; </li></ul></ul></ul><ul><ul><ul><li>Dado protegido p . </li></ul></ul></ul><ul><li>p = Enc d (d+c) -> d+c = Dec e (p) </li></ul>
  28. 28. Estudo de Caso (continuação) <ul><li>Alternativa na proteção dos dados </li></ul><ul><ul><li>Problemas </li></ul></ul><ul><ul><ul><li>Os dados podem ser capturados na memória antes que qualquer coisa possa ser feita </li></ul></ul></ul>
  29. 29. Conclusão <ul><li>Embora algumas técnicas sugeridas possam elevar o nível de segurança do serviço, não foi possível torná-lo resistente a ataques de scam, phishing e pharming. </li></ul><ul><li>Como trabalho futuro, fica proposto o estudo de soluções que utilizem dados descartáveis para acesso ao serviço de e-banking. </li></ul><ul><li>Outra proposta é a analise de soluções que utilizem o canal de atendimento via celular para autenticação no acesso ao serviço de e-banking. Esta solução pode inclusive ser aliada a utilização de dados descartáveis. </li></ul>
  30. 30. <ul><li>? </li></ul>
  31. 31. <ul><li>Obrigado! </li></ul>

×