![Page 2: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/2.jpg)
Agenda
Apresentação Introdução Conceitos Mecanismos de Segurança Estudo de Caso Conclusão
![Page 3: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/3.jpg)
Apresentação
InstituiçõesUniversidade Estadual do Ceará – UECEInformation Security Research Team –
INSERT
ResponsabilidadeComunicar instituições/pessoas afetadas em tempo hábil para que medidas possam ser tomadas.
![Page 4: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/4.jpg)
Introdução
ObjetivoLevantar mecanismos de segurança usados
nos e-bankings brasileiros no combate a fraudes relacionadas ao roubo de identidade.
Identificar problemas nestes mecanismos.Analisar alternativas que aumentem a
segurança destes mecanismos.
![Page 5: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/5.jpg)
Introdução (continuação)
MotivaçãoNúmero crescente de clientes de e-banking.Interesse das instituições pelo baixo custo
operacional.Interesse dos clientes pela conveniência.Aumento do número de fraudes na internet
brasileira.
![Page 6: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/6.jpg)
Conceitos Internet Banking
Custo das transações bancárias nos diversos canais de atendimento
Canal de Atendimento Custo por Transação (em US$)
Agencias 1,07
Telefone 0,54
Auto-Atendimento 0,27
Home Banking 0,02
Internet Banking 0,01
![Page 7: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/7.jpg)
Conceitos (continuação)
Fraude
![Page 8: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/8.jpg)
Conceitos (continuação)
Segurança da InformaçãoConfidencialidadeIntegridadeDisponibilidade
![Page 9: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/9.jpg)
Conceitos (continuação)
Sistemas CriptográficosSimétricos
![Page 10: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/10.jpg)
Conceitos (continuação)
Sistemas CriptográficosAssimétricos
![Page 11: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/11.jpg)
Conceitos (continuação)
Sistemas CriptográficosResumo Criptográfico
![Page 12: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/12.jpg)
Conceitos (continuação)
Sistemas CriptográficosHíbridos
![Page 13: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/13.jpg)
Conceitos (continuação)
Protocolos de IdentificaçãoIdentificação FracaIdentificação ForteSenhas Descartáveis
![Page 14: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/14.jpg)
Mecanismos de Segurança Transport Layer Security (TLS) Encerramento da Sessão Chave Temporal (OTP) Teclado Virtual (CAPTCHA) Identificação do Computador Complemento de Segurança do
Navegador
![Page 15: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/15.jpg)
Estudo de Caso
O serviço de e-banking do Banco do Brasil foi escolhido para analise.
Apenas os mecanismos de segurança obrigatórios para utilização do serviço foram avaliados.
A automação da exploração das falhas encontradas não faz parte do escopo do trabalho.
![Page 16: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/16.jpg)
Estudo de Caso (continuação)
Teclado Virtual
Falha na tentativa de proteger os dados informados.
Exemplo:Senha “11223344” informada no teclado
![Page 17: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/17.jpg)
Estudo de Caso (continuação)
![Page 18: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/18.jpg)
Estudo de Caso (continuação)
![Page 19: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/19.jpg)
Estudo de Caso (continuação)
Identificação do Computador
Falha na tentativa de proteger os dados coletados.Exemplo:Dados coletados em um terminal de acesso
Assinatura da máquinafVAy2kw6eWClnBvg6jBw52d/SlmekgSUSEpldhGCYrg=
Chave CriptográficauRFUdLWfSDJ0Xm=dcNigvjaJZuhjV:0,
![Page 20: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/20.jpg)
Estudo de Caso (continuação)
![Page 21: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/21.jpg)
Estudo de Caso (continuação)
![Page 22: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/22.jpg)
Estudo de Caso (continuação)
Alternativa na representação do teclado virtualRepresentação indireta dos dados
![Page 23: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/23.jpg)
Estudo de Caso (continuação)
Alternativa na representação do teclado virtual
○ Probabilidade de ataque de replay
Alta probabilidade da combinação de teclas se repetir (10,58 %)
![Page 24: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/24.jpg)
Estudo de Caso (continuação)
Alternativa na representação do teclado virtual
○ Probabilidade de reconstrução da senha
No pior caso, é necessário monitorar apenas duas sessões para descobrir a senha.
![Page 25: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/25.jpg)
Estudo de Caso (continuação)
Alternativa na representação do teclado virtual
○ Probabilidade de acerto por escolhas aleatórias.
256 vezes maior a probabilidade da senha ser descoberta por escolhas aleatórias
![Page 26: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/26.jpg)
Estudo de Caso (continuação)
Alternativa na proteção dos dadosUso de resumo criptográfico
○ Dado d que devem ser protegidos, que poderá ser a senha ou o identificador do computador;
○ Chave de sessão c;○ Função hash H;○ Operação de concatenação +;○ Dado protegido h.
h = H(d+c)
![Page 27: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/27.jpg)
Estudo de Caso (continuação)
Alternativa na proteção dos dadosUso de criptografia assimétrica
○ Dado d que devem ser protegidos, que poderá ser a senha ou o identificador do computador;
○ Chave de sessão c;○ Chave pública d;○ Chave privada e;○ Função assimétrica de encriptação Enc;○ Função assimétrica de decriptação Dec;○ Operação de concatenação +;○ Dado protegido p.
p = Encd(d+c) → d+c = Dece(p)
![Page 28: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/28.jpg)
Estudo de Caso (continuação)
Alternativa na proteção dos dadosProblemas
○ Os dados podem ser capturados na memória antes que qualquer coisa possa ser feita
![Page 29: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/29.jpg)
Conclusão Embora algumas técnicas sugeridas possam
elevar o nível de segurança do serviço, não foi possível torná-lo resistente a ataques de scam, phishing e pharming.
Como trabalho futuro, fica proposto o estudo de soluções que utilizem dados descartáveis para acesso ao serviço de e-banking.
Outra proposta é a analise de soluções que utilizem o canal de atendimento via celular para autenticação no acesso ao serviço de e-banking. Esta solução pode inclusive ser aliada a utilização de dados descartáveis.
![Page 30: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/30.jpg)
?
![Page 31: Sildes - Segurança em Internet Banking - Um Estudo de Caso](https://reader030.vdocuments.pub/reader030/viewer/2022020123/557337ded8b42a63778b511f/html5/thumbnails/31.jpg)
Obrigado!