O paradoxo da Segurança

[Lord Enigm@]

As tentantivas de fraudes eletrônicas já atingiram o total do volume do ano de 2008 somente até o mês de março de 2009. Não há dúvida sobre a evolução e crescimento do crime cibernético. Por outro lado, os bancos investem R$ 1,5 bi por ano em segurança e conseguem barrar até 99,999% das fraudes, mas as perdas são significativas. O que fazer diante desse paradoxo?.

São 637 milhões de web browsers desatualizados que existem na rede. Estima-se que 30% deles são infectados. Relatório de Inteligência e Segurança, realizado pela Microsoft, aponta que mais de 443 mil máquinas foram infectadas no Brasil em 2008. Mais de 43% delas foram contaminadas com ameaças para roubo de identidade (logins e senhas) de bancos. Tratam-se dos trojans Win32\bancos e Win32\banker, que já lideravam o “ranking” das principais ameaças no passado.


Leiam matéria completa: O paradoxo da Segurança.


Matéria muito interessante e gostaria de fazer dois breves comentários acerca do assunto:

(...)São 637 milhões de web browsers desatualizados que existem na rede. Estima-se que 30% deles são infectados(...)

Já que são tantos assim e os bancos investem tantos bilhões para essa finalidade, uma idéia (acho que vou viajar... rs) para mitigar um pouco essas ações seriam os bancos fazerem uma varredura nas máquinas dos clientes ao se conectarem, igual aos sítios de análises virais que existem?, seria viável?

(...)Outra razão é a evolução do uso da internet que já atinge 53,9 milhões de brasileiros. Detalhe: metade deles acessa à internet por meio das lan-houses(...)

Isso realmente é muito preocupante e muito perigoso para quem acessa via Lan House mas nesse caso, já que os bancos possuem as máquinas de auto-atendimento, poderiam disponibilizar uma Lan House interna para os clientes "viciados" fazerem sua transações online. ;)

[brunovic]

Já que são tantos assim e os bancos investem tantos bilhões para essa finalidade, uma idéia (acho que vou viajar... rs) para mitigar um pouco essas ações seriam os bancos fazerem uma varredura nas máquinas dos clientes ao se conectarem, igual aos sítios de análises virais que existem?, seria viável?

Eu não achei viagem não Lord rs, mas acredito que geraria um impacto muito grande na infra dos bancos, que provavelmente não seria viável, e acho também seria um porre ter que esperar rodar o scan no pc sempre que formos acessar o bankline. É claro que o sistema poderá funcionar guardando as informações de um determinado host já checado e não realizar o scan novamente, mas quem irá garantir que neste "meio tempo" o pc não foi infectado?

A minha idéia seria só uma varredura no browser para verificar se o mesmo está atualizado. Caso não esteja, simplesmente exibo a mensagem "Por favor, atualize seu browser para que possa acessar o bakline.".

(...)Outra razão é a evolução do uso da internet que já atinge 53,9 milhões de brasileiros. Detalhe: metade deles acessa à internet por meio das lan-houses(...)

Ao meu ver, esta situação é mais complica. Vi a pouco tempo na TV (não me recordo a emissora) uma reportagem sobre esta questão, e o que as Lan's estão fazendo para "amenizar" os problemas com programas maliciosos que os "usuários" instalam nas máquinas. O processo é muito simples, o cadastramento (Dados Pessoais) de todos os clientes.

E eu pergunto, e daí? Na minha opinião este cadastro não vale de nada, tem que haver uma fiscalização descente e leis que obrigam as Lan's a trabalharem corretamente (Viajei, né?). Até porque, o próprio dono pode estar sendo conivente com esse tipo de prática ilegal e levando o seu por fora.

[otavioribeiromoraes]

Acho que chegamos a este ponto, devido a alguns fatores:

A tecnologia das fraudes evolui junto (e as vezes antes) com a tecnologia de segurança.

PS: Se um cliente tem o sistema operacional totalmente vulnerável, a diversas técnicas como 'Phishing' a culpa é do Cliente e não do Banco, mas [...]

Os bancos acabam pagando a conta porque, pelo código de defesa do consumidor, o cliente não é obrigado a provar que sofreu um golpe. Esse papel é dos bancos. Para eles, é mais barato ressarcir o correntista do que investigar a fraude.

Muitas vezes, nem é possível chegar aos criminosos porque os provedores de internet não costumam manter por muito tempo registros de acesso, como o horário de entrada e saída.

[]'s, Otávio Ribeiro Moraes

[hudssaum]

Já que são tantos assim e os bancos investem tantos bilhões para essa finalidade, uma idéia (acho que vou viajar... rs) para mitigar um pouco essas ações seriam os bancos fazerem uma varredura nas máquinas dos clientes ao se conectarem, igual aos sítios de análises virais que existem?, seria viável?

Uma vez que um spy infectar sua máquina, ele pode ser capaz de mudar seu servidor DNS e assim te direcionar para qualquer outro lugar que nao seja o site do banco, daí vc entra em www.banco.com.br e um computador lá na China pega seus dados e faz até um "fake scan" pra vc se sentir mais protegido :P

[Robot Bastard]

Já que são tantos assim e os bancos investem tantos bilhões para essa finalidade, uma idéia (acho que vou viajar... rs) para mitigar um pouco essas ações seriam os bancos fazerem uma varredura nas máquinas dos clientes ao se conectarem, igual aos sítios de análises virais que existem?, seria viável?

Três razões para que os bancos não façam isso:
1) o custo de projeto e administração dessa solução pode acabar sendo tão ou mais caro do que o montante do valor das fraudes;
2) por ser um método invasivo, o banco acaba virando refém do cliente para prestação de suporte por conta de qualquer problema que venha a aparecer após o scan - geralmente não relacionados a este, mas o cliente tem sempre razão;
3) vai chover spam em nome dos bancos informando que houve problemas com a base de dados e que o cliente deve fazer novamente o scan, a exemplo do que já ocorre hoje com os bancos que utilizam plugins de segurança.

Isso realmente é muito preocupante e muito perigoso para quem acessa via Lan House mas nesse caso, já que os bancos possuem as máquinas de auto-atendimento, poderiam disponibilizar uma Lan House interna para os clientes "viciados" fazerem sua transações online. ;)

A pessoa que utiliza os serviços de uma Lan House ou de um Cybercafé ou mesmo do MacDonalds corre um risco muito maior do que ter sua senha bancária roubada: ter sua identidade roubada. A pessoa acessa Orkut, webmail, site da faculdade, enfim, um monte de sistemas que exige um login e uma autenticação que podem ser utilizados pela bandidagem para os mais diversos fins. Nesse ponto, entendo que a legislação deveria endurecer mais com esses empresários, lhes atribuindo a responsabilidade que eles deveriam ter no que diz respeito a segurança de seus sistemas. A história de que os bancos tem que arcar com tudo porque tem dinheiro já não condiz com a realidade. Os provedores que por omissão ou imperícia permitem o abuso de sua infra-estrutura para qualquer uma das etapas de um esquema de fraudes (hospedagem de artefatos, envio de spam, repositório de dados roubados, etc.) deveriam, também, ser responsabilizados civilmente.

[]s,

RB

[Lord Enigm@]

Saudações mestre RB,

2) por ser um método invasivo, o banco acaba virando refém do cliente para prestação de suporte por conta de qualquer problema que venha a aparecer após o scan - geralmente não relacionados a este, mas o cliente tem sempre razão;
3) vai chover spam em nome dos bancos informando que houve problemas com a base de dados e que o cliente deve fazer novamente o scan, a exemplo do que já ocorre hoje com os bancos que utilizam plugins de segurança.

Com a primeira não tenho certeza, o custo realmente seria alto mas, creio que na implantação, já na manutenção não seria tanto assim em relação ao custo benefício, agora, quanto as outras duas, ponto!, você tem razão, principalmente pela 2.

(...) Os provedores que por omissão ou imperícia permitem o abuso de sua infra-estrutura para qualquer uma das etapas de um esquema de fraudes (hospedagem de artefatos, envio de spam, repositório de dados roubados, etc.) deveriam, também, ser responsabilizados civilmente(...)

Parece-me que as novas leis que estão por vir eles poderão ser penalizados sim, mestre Caio que o diga. :)

[ ]'s

[Lord Enigm@]

Mestre RB,

Veja essa matéria acerca do assunto e sobre uma possibilidade de mitigar essas ações em operações bancárias. O autor defende um browser específico. Interessante...

(...)Os bancos devem considerar que o browser disponível para os clientes não é uma aplicação confiável. O ideal seria termos um aplicativo comum para todas às instituições, dedicados a um determinado serviço, como internet banking, além de ser distribuído por uma única entidade e contemplando mecanismos para proteger os dados e a sessão do usuário(...)

(...)Esse “browser financeiro” deveria ser um esforço das organizações do setor para criar um padrão de acesso seguro, com passos conhecidos e previsíveis para efetuar cada transação. No Brasil, temos o mecanismo de entrega online de imposto de renda como exemplo de ferramenta única e eficaz(...)

Leia mais: Decision REPORT

[ ]'s

[Robot Bastard]

Mestre RB,

Veja essa matéria acerca do assunto e sobre uma possibilidade de mitigar essas ações em operações bancárias. O autor defende um browser específico. Interessante...[ ]'s

Qual é a vantagem do avião? É atingir distâncias mais longas em menos tempo. Pena que o avião eventualmente cai, ou explode, ou cai e explode, causando a morte de seus passageiros. Isto ocorre porque é um artefato construído para se locomover em um meio inseguro, o espaço aéreo (inseguro no sentido de o risco de algo dar errado ser altíssimo e as ações corretivas em caso de desastre serem mínimas).
Se eu não quiser correr o risco de morrer em função de um desastre de avião, basta viajar de navio (que pode afundar) ou de ônibus (que pode bater). Ou então escolher a opção de menor risco, que é a de ficar em casa quietinho (mas pode vir o ladrão e me matar).
O internet banking é um sistema que permite a realização de transações bancárias de forma rápida, confortável e completa. Mas o grande diferencial do internet banking é a mobilidade, ou seja, de qualquer lugar do mundo e a qualquer hora você acessa seu banco e faz suas transações. Infelizmente, assimo como o avião, o internet banking foi criado para funcionar em um meio hostil, de alto risco, que é a internet. A idéia do browser específico não é nova. Até mesmo um sistema operacional específico para banking já foi cogitado (um live CD, por exemplo). Mas aí, volta a ser home banking - os que estão na estrada há mais tempo devem se lembrar daquele disquete que os bancos davam para você acessar, via dial up com modem externo 1200 bps, um concentrador e navegar gloriosamente por duas ou três telinhas em DOS Shell.
Para os bancos, isso representaria uns dois passos atrás em termos de negócios e não resolveria o problema, já que o fraudador poderia simplesmente usar outros ataques para obter as informações do usuário.
Mas achei bacana seu interesse e agradeço o trabalho em postar o assunto. Pontinho para você.

[]s,

RB

[mmachado]

Eu acho que já discuti esse assundo, senão aqui no fórum, em alguma lista.

De que adianta fazer um browser mais seguro que vai funcionar em um mesmo computador totalmente comprometido por um 0-day do ActiveX? A base pode estar sem condições de garantir segurança para uma aplicação, por melhor que ela seja.

Além do mais, eu não me sentiria mais seguro usando um browser que 100% precisaria usar também. Ele seria o alvo de absolutamente TODAS as gangues de roubos online.

[]s, MM

[corvu]

Bom, inicialmente, faço minha 'mini-introdução'. Me registrei já a algum tempo, mas apenas agora consigo algum tempo apra postar aqui. Sou de Curitiba, trabalho como Administrador de Servidores em uma grande empresa e comecei a pouco a me interessar por segurança. Espero poder contribuir e ter contribuições boas por aqui!

á que são tantos assim e os bancos investem tantos bilhões para essa finalidade, uma idéia (acho que vou viajar... rs) para mitigar um pouco essas ações seriam os bancos fazerem uma varredura nas máquinas dos clientes ao se conectarem, igual aos sítios de análises virais que existem?, seria viável?

Esta questão já foi muito discutida MESMO. Há muito tempo. Tenho colegas que trabalham em bancos e 3 deles trabalham com desenvolvimento. Um deles me explicou o funcionamento de um destes 'mecanismos de segurança' dos bancos.
O banco isntala um complemento que na verdade, nada mais é do que um spyware, realmente. Nas palavras dele: 'se não podemos garantir que a máquina do cliente vai estar limpa, vamos colocar nossa sujeira lá'.
Assim, montei uma pequena sandbox para testar o complemento. Acreditem, se não comprovei os dados abaixo, dava para acreditar em alguém falando deles.
-O complemento realmente age como spyware, pois captura tudo que é digitado e os cliques do mouse, além de algumas chamadas do sistema para intercomunicação dos processos, como a chamada do ctrl+c ctrl+v. No caso do meu banco, ele bloqueia até mesmo mais do que um item na área de transferência, função usada no Office.
-Existe uma conexão com SSL para o banco, mas que não é propriamente um túnel. Este pseudo-tunelamento ocorre justamente pelo complemento, que envia como stand-alone para o banco estes dados, deixando de fora o browser na troca pesada dos dados.
-O do banco principal que uso faz até mesmo algum tipo de controle nos dados de outras abas do navegador, pois enquanto eu estava com o site do banco aberto ele tunelou o tráfego do gmail de outra aba para a porta deles, mas manteve o destino original. Ele também fez uma consulta DNS no servidor deles com o mesmo processo, então provavelmente devem ter uma whitelist de servidores que têm o tráfego permitido durante uma sessão do banco.




Quanto às Lan Houses, provavelmente continuaremos tendo problemas freqüentes assim. Cultura popular - o público de lan houses é popular, inegavelmente - não se muda assim e acho que em muito tempo o usuário padrão vai continuar sem se importar com segurança.
Quando preciso muito MESMO de conectividade (já que estou quase sempre com meu notebook, então o problema é só conectividade) faço uma VPN ou estabeleço um tunelamento por SSH.
Infelizmente isso parece afetar quem usa UDP pela mesma conexão, então as vezes reclamam disso.. mas é uma saída segura.




Mudando um pouco de assunto: Tenho interesse de arranjar um framework para desenvolver algo como um túnel acoplável em outras aplicações, para poder usar sem medo aplicações em redes públicas. Alguém conhece? Dou preferência para Python, onde tenho mais fluência.