| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
| | Trabalhei num projecto de investigação ligado a esses tokens, que de facto podem ser um bocadito caros, e que normalmente são baseados em mecanismos de challenge-response com desafio implícito ou explícitode forma a que sejam geradas one-time-passwords (OTP).
E, como esses dispositivos podem ser caros, a ideia era usar um vulgar telemóvel com java (que estão a vulgarizar-se) de forma a tomar o lugar dos tokens para a geração das pass. E resultava, funcionava como um token e a parte da autenticação perante o dispositivo funcionava como um cartão multibanco, uma autenticação via 2 factores, something you known (tipicamente o pin), something you have (o cartão/o telemóvel). Foi pena ninguém depois ninguém ter avançado com a coisa...
Na minha opinião, a forma mais segura é mesmo recorrer aos tokens porque recorrem a técnicas criptográficas para a geração das OTPs e mecanismos de autenticação forte (autenticação via 2 factores), o resto são esquemas que dão uma falsa sensação de segurança...
Just my 2 cents...
Cumprimentos, Pedro.
|
| |
| |
| | | E, como esses dispositivos podem ser caros, a ideia era usar um vulgar telemóvel com java (que estão a vulgarizar-se) de forma a tomar o lugar dos tokens para a geração das pass. E resultava, funcionava como um token e a parte da autenticação perante o dispositivo funcionava como um cartão multibanco, uma autenticação via 2 factores, something you known (tipicamente o pin), something you have (o cartão/o telemóvel). Foi pena ninguém depois ninguém ter avançado com a coisa... A RSA ja' vende autenticadores para telefones moveis e mesmo para PDA's, Blackberries e afins. O problema e' que um banco usernames e passwords serao sempre mais baratos, mas alternativas nao faltam (hint: Identrus para o utilizador final) -- o que falta e' legislacao e vontade das instituicoes de a implementar.
I can live with doubt and uncertainty and not knowing. I think it is much more interesting to live not knowing than to have answers that might be wrong.
|
| |
| | o que falta e' legislacao e vontade das instituicoes de a implementar.
Legislação ? Isto não é um problema do governo, afaik..
A vontade pode existir em departamentos de segurança e aplicacionais - experiência propria -, o problema é a logistica, burocracias e investimento sem retorno claro.
//vd |
| |
| | | Legislação ? Isto não é um problema do governo, afaik.. Nao e' bem assim -- no Reino Unido por exemplo, a FSA regula a forma como se pode oferecer Online Banking, e um dos parametros e' seguranca. Claro que nao se pode regular tudo, mas existem criterios minimos que teem que ser aplicados -- o papel do regulador e' colocar a fasquia ao nivel certo.
I can live with doubt and uncertainty and not knowing. I think it is much more interesting to live not knowing than to have answers that might be wrong.
|
| |
| | Já sabia... na altura já existiam, a Vasco também, no entanto são específicos para determinados telemóveis... nenhuma das soluções que encontramos na altura, e acho que agora também, permitia abranger tantos dispositivos de uma vez.
Também concordo, os usernames e passwords são mais baratos, mas quando se trata do nosso dinheiro... temos que pensar nestas coisas.
|
| |
| | >Na minha opinião, a forma mais segura é mesmo recorrer aos tokens porque recorrem a técnicas criptográficas para a geração das OTPs e mecanismos de autenticação forte (autenticação via 2 factores), o resto são esquemas que dão uma falsa sensação de segurança...
concordo plenamente, o fraude bancário do lado do cliente é algo relativamente 'facil' de mitigar, pelo menos teoricamente. o BPI usa um sistema de cartões numericos que em conceito funciona muito bem e dificulta enormemente qualquer tentativa de fraude por parte do zé ninguem kiddie.
__ 10% literal, 90% metaphor |
| |
| | ah!
>something you have (o cartão/o telemóvel)
por mim o telemovel não entra bem nesta categoria porque sendo um sistema informatico e ainda por cima demasiado interligado a outras pessoas, é mais limpo manipula-lo do que teres um token fisico com componentes informaticas fisicas minimas ou pelo menos minimamente interligadas a uma rede global.
o que é que te impede de fazer um 'trojan' para o SO do telemovel e manipular toda a informação que lá anda? ainda por cima na realidade actual em que a má implementação do bluetooth nos telemoveis têm-se demonstrado (ainda que muito pouco no olho publico) um ponto de entrada brutal para qualquer tipo de merda. mas nem é preciso ir ao bluetooth, uma ideia: site de jogos em java para o telemovel à 'borla' mas com a diferença de todos os jogos encontrarem-se backdoorados e autopropagarem a backdoor pelo software java ja disponivel no telemovel? could happen..
__ 10% literal, 90% metaphor |
| |
| | > o que é que te impede de fazer um 'trojan' para o SO do telemovel ?
Primeiro - A informação é guardada na forma cifrada (AES - Advanced Encryption Standard) cuja chave é o pin para a aplicação... diferente do pin do telemóvel.
Segundo - O Pin para aceder à aplicação nunca é guardado no telemóvel... é guardado a hash (SHA) do mesmo.
Terceiro - No J2ME quando crias uma zona de dados, recordset se bem me lembro, ela só pode ser acedida pelo midlet a não ser que seja definido algo em contrário, pela própria aplicação.
Além disso a aplicação não faz qualquer uso de rede... serve apenas para a introdução do desafio e obtenção da resposta.
Não sei que mais garantias queres... não vejo outros sistemas oferecerem tantas garantias. Além disso fazer um trojan que consiga correr num telemóvel de forma a quebrar protecções criptográficas (AES e o SHA)... não sei que telemóveis tens... mas devem ter cá uma capacidade de processamento ;)
E muito importante também, fazia assinatura dos dados, (grande parte dos tokens também funciona desse modo) porque muitas vezes queremos garantir a integridade dos dados. A manipulação dos mesmos pode ser tão ou mais perigosa que a apropriação dos mesmo.
Cumprimentos, Pedro.
|
| |
| | não é uma questão de quebrar mas de modificar o software, de modo a logar eventos, ou ele usa crypto na memoria? -g-
__ 10% literal, 90% metaphor |
| |
| | "modificar o software (...) logar eventos (...) crypto na memoria?"
Acho que não percebi muito bem o que querias dizer, mas não me parece que consigas o que quer que seja logando... até porque o processo é apenas: autenticar perante a aplicação, fazer o challenge-response ou assinatura e sair. No j2me as zonas de memória são protegidas entre midlets, pelo que me lembro, e acho que durante toda a aplicação a chave decifrada, não chega a estar em memória da aplicação, é que depois nunca mais toquei em j2me, nem na aplicação.
Mais uma razão... à terceira vez que o pin é errado a aplicação bloqueia e tem de ser completamente reiniciada nova chave, tudo novo. Acho até que a aplicação tinha de ser reintroduzida...
Cumprimentos, Pedro.
|
| |
| | Já me tenho posto a pensar: vamos imaginar que consigo acesso à conta de homebanking de um milionário qualquer. Como é que eu faço para transferir o dinheiro para mim sem deixar NENHUM rasto? ;-)
Não encontrei solução. Alguém me explica?
Julgo que uma das principais medidas de segurança passará por isto: conseguir seguir o trajecto do dinheiro, se for preciso. Pressuponho que o ladrão não é alguém que vive na completa clandestinidade (e portanto que há uma morada para ir lá prendê-lo) e que a vítima não descobre o roubo apenas passado muito tempo.
Pressuponho também que as transferências internacionais para contas anónimas (que já começa a haver poucas) são objecto de cuidados especiais por parte dos bancos (não sei sequer se algum deles as permite por meios remotos), especialmente no caso de países pouco recomendáveis neste aspecto.
|
| |
| |
| |
Não encontrei solução. Alguém me explica?
:) O sigilo bancário faz por vezes maravilhas nisso. As contas offshore são também outra maravilha, mas os actuais sistemas (nacionais) de banca electrónica, o rasto está sempre presente.
A questão não é o rasto mas sim o impacto "noticioso" que algo deste genero pode ter na instituição.
//vd |
| |
| | E que tal transferir para países sem acordos de extradição com Portugal?
Concordo que o impacto na imagem da Instituição é um factor muito importante.
Penso que alguns casos relacionados com fraude bancária foram resolvidos sem passar pelo Tribunal por essa razão.
|
| |
| | Transferes para a tua conta bancária sobre sigilo na Suiça ;)
--
CodeMaker |
| |
| | O Offshore é tratado com muito cuidado e presencialmente.
//vd |
| |
| | " Transferes para a tua conta bancária sobre sigilo na Suiça ;)"
Não funciona assim.
|
| |
| | Pressuponho que o ladrão não é alguém que vive na completa clandestinidade (e portanto que há uma morada para ir lá prendê-lo) e que a vítima não descobre o roubo apenas passado muito tempo.
Basta um falso BI, uma falsa morada, contudo a conta só tem "provisão" depois de consultado o banco de Portugal.
Um outro problema é a falta de "perfil" do cliente, ou seja, não existe um sistema de alertas sobre transacções normais dos clientes, sendo tudo feito manualmente.
//vd |
| |
| | "Basta um falso BI, uma falsa morada"
Isso é para criar a conta. E depois? Transferes 10.000 euros para lá. Arriscas-te a ir presencialmente levantá-los em dinheiro, sem receio de seres gravado no vídeo do banco, etc? Ou vais gastando "às pinguinhas" com um cartão de débito que também tinhas que falsificar porque não podias recebê-lo numa morada falsa?...
|
| |
| | true, a coisa não passa por isso, não é assim tão facil. especialmente devido a certos seguros bancários onde muitos bancos assumem a culpa pelo cliente (comentando outras partes do thread). o problema do homebanking, à parte do crescente mercado de quebra de sigilo bancário (apesar de não legal nem legitimo, há sempre mercado), não creio que seja para os clientes, até porque um bom fraude bancário a meu ver não passa por roubar dinheiro a X pessoas ou a uma pessoa em si, mas ao próprio banco.
Quanto ao rasto, é uma questão de decoys maleaveis. Com o timming certo, com os decoys certos e com ajuda da deusa vendada é plausivel enunciar um esquema 'perfeito' para o burlão final, usando o sistema de 'bounces' anonimos humanos :b acaba por remontar um pouco os metodos/conceitos mais primarios do crime organizado relacionado com o trafico de material ilicito. no caso do fraude bancário online, o paypal e o e-gold parecem ser os eleitos de toda a miudagem (mais de 80% brazileira) que resolve comprar um computador novo e uns tenis da nike...
lá está, teorizar sobre um esquema perfeito é facil, a questão passa não pelas variaveis conhecidas mas pelas desconhecidas que essas é que, dádo o espectro enorme de elementos humanos que envolve, se tornam na grande maioria dos casos o toque necessário para defraldar todo o esquema..
mas sempre foi assim, o elemento humano é a origem maioritária da 'cana' em si, lembrando um fraude portugues 'conhecido' do inicio do século passado (segundo a informação que tenho), um empregado do banco de portugal que era responsavel pela encomenda das notas de escudo, que na altura eram impressas na Inglaterra, duplicou um pedido de notas e enviou esse segundo pedido para Inglaterra mas com morada de entrega diferente, recebeu as notas, com a mesma numeração que as que foram endereçadas ao banco e la viveu feliz o seu 'furto' (que se formos a ver, é capaz de ser um dos casos de fraude bancário que prejudicou menos gente). Agora, se formos a ver, no plano descrito existem uma quantidade enorme de falhas 'técnicas' que deixam rasto, tudo bem, mas não há um unico indicio que levasse à suspeição e como tal nada que motive uma investigação.. até ao dia. e o dia acabou por chegar, um zé ninguem qualquer numa loja qualquer ia pagar um item qualquer com duas notas iguais e por mero acaso reparou no numero de série das duas notas e viu que eram exactamente iguais.. falou com a policia e apartir dai todo esquema foi descoberto. é capaz de ser das circunstancias mais inimaginarias e mais improvaveis, mas aconteceu e este genero de circunstancias, à parte da derrota de qualquer metodo de segurança, é sempre parte do risco que é o fraude bancário.. mais cedo ou mais tarde o esquema é descoberto, o sistema é penetrado, as pessoas certas começam a fazer as perguntas certas sobre os acontecimentos certos..
a questão é capaz de passar por prever a investigação, prever a exposição completa do fraude e ainda assim lucrar, de um modo ou de outro.. faz-me lembrar um pouco aquele principio de segurança que diz que boa segurança não é aquela que evita a penetração mas aquela que a prevê. Acho que isto é aplicavel e aplicado tanto do lado do criminoso como do outro lado..
quanto a chegar a teorizar um esquema, não acho bem fazer isso aqui talvez devido à crescente comunidade de script kiddies em portugal que lêm a gildot e ainda podem ficar ideias (como se os filmes não bastassem) e meter-se-iam em problemas desnecessários a jovens imberbes e inconsequentes..
__ 10% literal, 90% metaphor |
| |
| | | Existem milhentas formas -- o ladrao pode transferir quantidades muito pequenas, pode fazer pagamentos para diversos servicos que sao trail-less e pode ainda roubar a tua identidade, pedir um cartao de credito e ir comprar bens sobre o teu nome.
I can live with doubt and uncertainty and not knowing. I think it is much more interesting to live not knowing than to have answers that might be wrong.
|
| |
| | pedir um cartao de credito e ir comprar bens sobre o teu nome.
Ou cheques para uma morada qualquer...
//vd |
| |
| | Há bancos que mandam cartões para moradas que não a registada na conta ?
|
| |
| | Cartões não, cheques sim.
//vd |
| |
| | e qual é o problema de ter uma morada falsa ? :b
não falta ai livros de 'anarquismo' a ensinar como fazer drop spots entre outras N coisas.
Até dou um exemplo bom que não precisa de falsificação: compras meio quilo de haxixe, achas um drogado qualquer na gare do oriente, fazes o gajo tirar o passaporte e dar-to com o BI e o cartão de contribuinte, vais a um predio qualquer, tiras uma carta da agua ou da luz, imitas o formato e metes o nome do drogado mais a morada do verdadeiro drop spot e tens o comprovativo de morada, ah! e uma coisa também 'util' é ires tirar o BI com o tóxico e ele deixar-te assinar por ti ;b assim ganhas uma assinatura também..
mas la está, isso é tão hollywoodesco quanto desnecessários, há maneiras mais faceis de fazer o mesmo deixando menos rasto, thing is, queres deixar mesmo 1% de rasto? e another thing is, queres mesmo cometer fraude bancário e prejudicar outras pessoas? é muito feio roubar, pelo menos não gosto quando sou roubado e sei lá, devo ser parvo mas mete-me igualmente nojo roubar, faz-me sentir da mesma maneira quando me acontece a mim..
mas la está, com a dose de desespero suficiente a consciencia moral facilmente dá lugar à ganância e fazer uns milhares de euros não é assim tão 'dificil' quanto isso, que o digam os romenos e ukranianos que se têm divertido tanto em portugal.. basta ir à efnet a um canal dessa etnia (apesar de nos dias de hoje ser mais dificil) e propor qualquer coisa para os ver desenrolar os historiais todos.. (para não falar das listas de CC's que rodam nesses canais e em certos foruns que até são googlaveis.. -grin-)
__ 10% literal, 90% metaphor |
| |
| | "o ladrao pode transferir quantidades muito pequenas, pode fazer pagamentos para diversos servicos que sao trail-less e pode ainda roubar a tua identidade, pedir um cartao de credito e ir comprar bens sobre o teu nome."
Nuno, nenhuma dessas na prática é fácil de implementar.
Transferir montantes pequenos não oculta o destino e, principalmente, teriam que ser muitas transferências para valer a pena.
Serviços "trail-less": não me lembro de nenhum que me dê jeito para receber dinheiro ou bens sem me desmascarar de algum modo. Exemplos?
Roubar a identidade e pedir cartão de crédito implica ou uma morada verdadeira ou a presença física (filmada, portanto) num banco. Para ser complicado de te encontrar terias provavelmente que fazer isso noutra cidade longínqua ou noutro país, etc, etc. Está longe de ser simples.
Por acaso gostava de saber se alguém conhece casos de roubos destes onde não se descobriu quem os praticou.
|
| |
| | | Sugiro que leias o seguinte artigo na BBC, ou este artigo na MSNBC.
I can live with doubt and uncertainty and not knowing. I think it is much more interesting to live not knowing than to have answers that might be wrong.
|
| |
| | "Sugiro que leias (...)"
Já estive a ler, um pouco a correr. Mas fiquei com a impressão de que os problemas são principalmente:
1) responsabilidade dos bancos (a transferência de um balúrdio para um offshore na notícia da BBC parece-me ser um exemplo, até porque pelos vistos sabiam quem eram os beneficiários)
2) gente que de facto deixa rasto mas não se importa muito com isso.
Ou seja, não estou a dizer que não é problemático. O que digo é que não me parece nada trivial fazer um "roubo limpo", sem provas do culpado. Ou seja, é melhor não tentarmos... ;-)
|
| |
| | a questão talvez passe pelos decoys humanos ;b
confundir bastante a origem humana da coisa, tendo em conta que a origem base informatica é trivial (via wardrive+bounces).
__ 10% literal, 90% metaphor |
| |
| | Nota, o artigo da MSNBC não interessa porque o sistema bancário americano está perpetuamente em 1980 no pais dos telletubbies.
A única coisa que precisas para sacar dinheiro de uma conta é o número da conta e de letterhead de uma empresa falsa. Na prática roubar de contas modestas compensa porque os bancos não dão andamento às queixas dos pequenos clientes.
Agora que descobriram os debitos directos também podiam descobrir as autorizações :)
|
| |
| | Já agora, no artigo da BBC as duas tramoias são baseadas em roubo de identidade. Para quem não sabe abrir uma conta num banco inglês passa em grande parte por entrar no banco e dizer um nome e uma morada já que os "proof of ID" são fáceis de falsificar não são usados por lá.
Curiosamente, os dois artigos falam de realidades em que é bastante mais simples pôr em pratica os metodos que o taf mencionou do que na nossa.
|
| |
| | | Já agora, no artigo da BBC as duas tramoias são baseadas em roubo de identidade. Para quem não sabe abrir uma conta num banco inglês passa em grande parte por entrar no banco e dizer um nome e uma morada já que os "proof of ID" são fáceis de falsificar não são usados por lá. Nao e' bem, bem assim -- abrir uma conta no UK nao e' tao simples como isso. Primeiro a nao ser que tenhas historia de credito e ja' nao tenhas 18 anos provavelmente vao-te mandar dar uma curva, e na maioria dos casos precisas de demonstrar que ou tens um rendimento ou que pagas contas -- e em qualquer dos casos a informacao e' verificada por forma a evitar fraude. Mas por outro lado tens razao no sentido que nao ha' um conceito de bilhete de identidade por estas terras.
I can live with doubt and uncertainty and not knowing. I think it is much more interesting to live not knowing than to have answers that might be wrong.
|
| |
| | Estou a ver que isto aínda acaba numa howto
------ EOFim. |
| |
| | "vamos imaginar que consigo acesso à conta de homebanking de um milionário qualquer. Como é que eu faço para transferir o dinheiro para mim sem deixar NENHUM rasto?"
Isso só depende de quem tu és: que cordelinhos consegues mexer:
- se trabalhares num banco...
- Se fores um tipo com bons conhecimentos na direcção desse banco...
- Se tiveres influência numa organização politicamente dominante na tua região...
- Se em vez de sacares muito a um só fores sacando pouco a muitos...
- Se não te gabares do feito...
- Se fores besuntando as mãos de uns quantos pelo caminho...
- Se fores guardando a massa fora do teu país;
- Se não te importares de ir dentro durante dois anitos para depois gozares a vida...
Então o mais certo é conseguires apagar mesmo todas as pistas. Isto é, apagar não apagas... mas se as coisas correrem mal e fores dentro a massa já está salva e à tua espera. E nem precisas de keyloggers, sniffers, brute forces e outras mezinhas...
~~~ O vinho é qu'induca e o fado é qu'instrói! ~~~ |
| |
| | >- Se em vez de sacares muito a um só fores sacando pouco a muitos...
ora ai está uma coisa que não concordo nada e acho completamente hollywoodesca. quantos mais actos ilicitos mais probabilidades de seres apanhado, se conseguires sacar muito com o minimo tens muito menos probabilidades de algo correr mal, tendo em conta que o evento é unico e as condicionantes 'desconhecidas' menores do que se fossem muitos..
__ 10% literal, 90% metaphor |
| |
| | "hollywoodesca."
nah... aconteceu recentemente nos Açores...
~~~ O vinho é qu'induca e o fado é qu'instrói! ~~~ |
| |
| | Uma proposta mais modesta seria fazeres de vítima. Tratares tu de encaminhares o teu guito para paradeiro incerto para o banco, e queixares-te de roubo de identidade ou fraude. Aposto que o seguro deles cobriria isso e não fariam assim tantas perguntas, dadas as implicações na imagem da instituição. O lucro é menor mas a chatice também :)
|
| |
| | ai o que fodia era 'falsificar' rasto :D para ser credivel :D
__ 10% literal, 90% metaphor |
| |
| | Não te esqueças que sendo tu a vítima, acabas por também acompanhar o desenrolar do processo de investigação. E sendo quantias razoavelmente pequenas, a entidade bancária vai evitar prolongar a investigação.
|
| |
| | mas lá está, não me preocupo muito com isso, só um grande idiota é que cometeria fraude bancário do lado do cliente, é probabilisticamente mais facil de detectar e deixa mais rasto do que a 'maneira' menos facil que do outro lado..
de qualquer modo, para ganhar umas croas à pala do homebanking, tem crescido é outro mercado, especialmente devido ao sigilo bancário, que passa pela quebra do mesmo. teclado normal? -> key-logger; teclado virtual? -> COM+ logger, jscript event logger, mais que nao seja memory dumps! (NOT); tokens? sim, mas..há maneiras.
porque a questão é que existe um meio legitimo de acesso e se o mercado for vender apenas a informação, não são precisas atitudes activas :) fazer um code para loggar o saldo e movimentos de conta sempre que o cliente os consulta por si é relativamente facil e se essa informação vale dinheiro, shazamm!
não me preocupo com o fraude em si nem com a venda de informação, acho que tanto uma realidade como a outra não intersectam a minha realidade presente no mundo por isso não me confronto com a situação.. mas lá está, deve haver muita gente cuja segunda situação incomoda mais do que a primeira devido à facilidade e (relativa) simplicidade de realização...
bom, mas lembram-se de um pouco antes do blaster? lembram-se de quando os todos bancos alteraram a auth dos homebankings? cheira-me a esturro até porque as noticias são quase inexistentes sobre o assunto..
__ 10% literal, 90% metaphor |
| |
| |
| | | Um token tem o mesmo nivel de seguranca de um cartao multibanco -- precisas de saber o PIN, e precisas de ter o token :)
I can live with doubt and uncertainty and not knowing. I think it is much more interesting to live not knowing than to have answers that might be wrong.
|
| |
| | Aqui nas grandes cidades do Brasil é mais arriscado ir ao banco físico do que acessá-lo online. Uso há anos o acesso online do meu banco (usando linux e Mozilla obviamente) e nunca tive problema. Em compensação já fui assaltado várias vezes.
Quanto às fraudes causadas por phishing, realmente pega muitos idiotas, quase todos usuários de IE e Outloco, acostumados a clicar na primeira coisa que vêem, a rodar tudo quanto é tipo de warez (inclusive com trojans) nos micros e a nunca usar firewalls nem atualizar o seu Ruindows.
|
| |
| |
| | | Quanto às fraudes causadas por phishing, realmente pega muitos idiotas, quase todos usuários de IE e Outloco, acostumados a clicar na primeira coisa que vêem, a rodar tudo quanto é tipo de warez (inclusive com trojans) nos micros e a nunca usar firewalls nem atualizar o seu Ruindows. O ataque gratuito é escusado. Poderias ter escrito: Quanto às fraudes causadas por phishing, realmente pega muitos idiotas, acostumados a clicar na primeira coisa que vêem, a rodar tudo quanto é tipo de warez (inclusive com trojans) nos micros e a nunca usar firewalls nem atualizar o seu sistema operativo. Até parece que a culpa de existirem idiotas no mundo é do IE/Windows.
|
| |
|
| | Também é costume as técnicas de spoofing/phishing apanharem os idiotas que usam linux e pensam que estão seguros porque usam Mozilla/Firefox/whatever...
|
| |
