Ataque MITB - Man-In-The-Browser

[Lord Dagonet]

Lendo este artigo, cuja versão original se encontra aqui, começo a pensar na complexidade de proteção desse ataque.

Como um site bancário poderia se precaver contra esse tipo de malware? Deveria só "deixar" por conta dos AVs instalados, antispyware e Cia.?

Aliás, no GTS o Danton Nunes havia comentando sobre isso.

Gostaria da opinião de vocês :)

[Robot Bastard]

Esse tipo de ataque pode vir a ser o grande pesadelo para ambas as partes, bancos e clientes.
No lado do banco vai causar o aumento de fraudes por conta da ineficácia de regras de validação baseadas em endereço IP e identificação da máquina, já que ambos são do cliente autêntico.
No lado do cliente poderá acontecer de os bancos não mais o ressarcirem baseados no argumento de que a transação partiu da máquina dele, na mesma data e hora de um acesso autêntico, e nesse caso caberia a ele o ônus da prova (a perícia no computador, por exemplo).
Aí é que as cabeças dos juízes vão dar nó...

[]s,

RB

[nelson]

Pois é, antes teve um mané que falou disso, num evento do GTS 4 anos atrás, e já não era novidade:
ftp://ftp.registro.br/pub/gts/gts07/...debancaria.pdf

Aqui mesmo no ISTF, já rolou esse assunto tem pelo menos 2 anos.

Mas pelo agora parece que tá caindo a ficha...

Aliás, no GTS o Danton Nunes havia comentando sobre isso.

Gostaria da opinião de vocês :)

[caiorossi]

Esse ataque difere do sequestro de sessão. Mas é basicamente o mesmo - a nível de transação - e não autenticação.

Manipulamento de interface de browser não tem nada demais e não é nada novo, keyloggers e trojans há mais de 6 anos já utilizavam APIs/objetos de browsers. Esse man in the browser nada mais é do que as velhas telas fakes sobre browsers junto com manipulações de referência e valores / URLs internas.

Ataques no lado do cliente, NUNCA serão contornados 100% com defesas só no lado do cliente. A não ser que você envie um live cd com linux e deixa ele se virar.
Mas, isso não interessa pro banco, enquanto ele não mudar o foco, estará fomentando o mercado e ao que parece também vai estar bom para ele (o banco). Plugins, sandboxs e anti-malwares na camada de usuário são apenas paliativos que não resolvem e ele sabe disso.

Claro, existem algumas soluções realmente interessantes. Mas só vai mudar mesmo quando o banco resolver verificar efetivamente a transação solicitada pelo cliente (parece que o BB já está fazendo..).

Aí todos vão cair na real de quão culpado era o banco e ninguém sabia...

[nelson]

Ataques no lado do cliente, NUNCA serão contornados 100% com defesas só no lado do cliente. A não ser que você envie um live cd com linux e deixa ele se virar.

Dificil vai ser usar o live cd em netbook e celular.

Claro, existem algumas soluções realmente interessantes. Mas só vai mudar mesmo quando o banco resolver verificar efetivamente a transação solicitada pelo cliente (parece que o BB já está fazendo..).

Até onde entendi o BB montou uma camada baseada em Java. E, como sabemos, java e segurança na mesma frase não combinam.

[caiorossi]

Dificil vai ser usar o live cd em netbook e celular.

Tem razão quanto aos netbooks. Mas celular, aí já estamos tratando de outra plataforma.

Até onde entendi o BB montou uma camada baseada em Java. E, como sabemos, java e segurança na mesma frase não combinam.

Mas se for uma solução no lado do servidor a nível de transação, pode ser interessante. Me pareceu uma forma "híbrida" disto com segurança humana (lado do banco), tipo uma verificação on-the-fly (mas antes o próprio servidor fazendo a filtragem por perfis individuais para eliminar falsos positivos).

Eu não sei exatamente, estou supondo, até porque pela parca notícia que li, não diz nada além daquilo que já é feito há séculos.

E ainda está fazendo seu mkt com o slogan "nosso sistema está agora tão seguro que até eliminamos o teclado virtual". (?!?!)

[nelson]

Tem razão quanto aos netbooks. Mas celular, aí já estamos tratando de outra plataforma.

E porque a mesma solucao nao pode atender aa multiplas plataformas? Sinceramente nao vejo nenhuma dificuldade nisso.

Mas se for uma solução no lado do servidor a nível de transação, pode ser interessante. Me pareceu uma forma "híbrida" disto com segurança humana (lado do banco), tipo uma verificação on-the-fly (mas antes o próprio servidor fazendo a filtragem por perfis individuais para eliminar falsos positivos).

Eu não sei exatamente, estou supondo, até porque pela parca notícia que li, não diz nada além daquilo que já é feito há séculos.

E ainda está fazendo seu mkt com o slogan "nosso sistema está agora tão seguro que até eliminamos o teclado virtual". (?!?!)

Sim, tem coisa do lado do servidor e do cliente tambem. O do lado do cliente e' java, ai que a coisa engasga.

[caiorossi]

E porque a mesma solucao nao pode atender aa multiplas plataformas? Sinceramente nao vejo nenhuma dificuldade nisso.

Se estivermos falando em utilizar canais diferentes para assegurar o controle a somente um deles, eu apoio totalmente claro.
O que não pode é multiplicar o acesso viciado à plataformas inseguras diversas. Neste caso, então melhor abondar a mais vulnerável.

Sim, tem coisa do lado do servidor e do cliente tambem. O do lado do cliente e' java, ai que a coisa engasga.

Não vejo como java vm do lado do cliente pode ajudar em alguma coisa. Vou analisar melhor essa solução, parece que estão tentando virtualizar alguns processos e manter uma monitoração constante sobre a máquina do cliente, parecido com soluções igual Trusteer's Rapport.

[nelson]

Se estivermos falando em utilizar canais diferentes para assegurar o controle a somente um deles, eu apoio totalmente claro.
O que não pode é multiplicar o acesso viciado à plataformas inseguras diversas. Neste caso, então melhor abondar a mais vulnerável.

Nem uma coisa nem outra, falei de solução de segurança que não depente da plataforma.
Completamente facttivel, a meu ver.

Não vejo como java vm do lado do cliente pode ajudar em alguma coisa. Vou analisar melhor essa solução, parece que estão tentando virtualizar alguns processos e manter uma monitoração constante sobre a máquina do cliente, parecido com soluções igual Trusteer's Rapport.

Pois é, virtualizando dentro da máquina java.

[Lord Dagonet]

Só colocando um pouco mais de material para estudo.

MITB Wikipedia

Apresentação em 2005 sobre a tendência da Alteração dinâmica de informações

Concepts against Man-in-the-Browser Attacks