O que está por trás da “autenticação de computadores” do seu home banking?
O home banking do seu banco faz “autenticação do computador”? O meu faz, e talvez seja ele o objeto da nova engenharia reversa cujos resultados o Claudio Matsuoka acaba de publicar em seu blog. Trecho: “Há algum tempo um banco passou a utilizar um sistema de verificação do computador do qual é realizado o acesso a seu sistema de internet banking, oferecendo suporte a diferentes sistemas operacionais incluindo Linux. O funcionamento desse sistema pode ser facilmente inferido com base nas chamadas feitas pela biblioteca de autenticação, dos símbolos públicos disponíveis e um pouco de dedução. O método utilizado é surpreendentemente simples tanto em conceito como em implementação; a descrição a seguir, obtida de uma breve análise das chamadas e símbolos disponíveis, pode ser de interesse dos usuários do sistema que desejem saber mais sobre os dados que são coletados de seus computadores.” A fragilidade do método adotado pelo banco me espantou.
Saiba mais (helllabs.org).
@brlinuxblog
Feed RSS
Simplesmente deixem de usar os malditos
bancos, afinal de contas o dinheiro é
SEU então porque colocar a administração
do que é SEU nas mãos de terceiros?
Francamente, não entendo a razão das
pessoas terem contas em banco. Isso
não faz nenhum sentido.
Just my 2 cents.
A questão da segurança durante o envio de dados do navegador para o banco é obtida por HTTPS. HTTPS não é privilégio dos bancos e é seguro o bastante para garantir a transferencia de dados entre clientes e servidores.
Toda a parafernalha adicional que os bancos usam são só para tentar resolver problemas que, na prática, não são dos próprios bancos.
1. Teclado virtual – é usado contra key loggers, que por sua vez, são instalados na máquina do cliente que, por sua vez, é de responsabilidade do cliente, não do banco. Até funciona mas cria outros problemas.
2. Autenticação de computador – é usado para minimizar possíveis pontos de acesso de terceiros, o que já seria impossível, se o cliente realmente mantivesse sua senha secreta. Minimiza mas não é infalível.
3. Senha do cartão, senha da internet, senha de N letras, senha disso e senha daquilo. Tudo isso seria uma bobagem se o cliente não caisse em armadilhas de entrega se senha por e-mail e outras coisas do tipo.
Sobre não ter conta em banco, eu nem vou argumentar. Nos dias de hoje é um mal necessário.
Putzz, comprar pela web com dinheiro embaixo do colchão deve ser muito dificil…..
Isso mesmo, continue guardando dinheiro em casa. Se nem os bancos seguram os ladrões imagine só sua casa. De um dia para o outro você perderia todo dinheiro de anos e anos de trabalho… a não ser que vc ganhe mixaria e acessa micro pela lan house em troca de ter varrido o chão.
Escambo é o que há! :)
Não sei a que banco o artigo se refere, mas não deve ser o Banco do Brasil, pois ele não utiliza Java para criar o cadastro do computador (gerei a chave com o Java desabilitado).
Para André Moreira:
Permita-me reescrever seu comentário, de:
“Toda a parafernalha adicional que os bancos usam são só para tentar resolver problemas que, na prática, não são dos próprios bancos.”
para
“Toda a parafernalha adicional que os bancos usam são só para tentar resolver problemas que, na prática, os bancos não desejam resolver.”,
pois essa é a verdade. Bom, de verdade mesmo é que os bancos lucram,
e muito com as fraudes ocorridas nos seus sistemas.
Para ter uma idéia em toda transação com cartão de crédito os bancos
cobram cerca de 0,2 por cento do valor bruto do pagamento a título de
seguro contra fraude, sendo esse valor descontado diretamente da conta
do debitante do valor. No caso de fraude, a adminstradora cobra multa
que varia de 10 a 30 por cento do valor do débito, variando esse valor
de uma administradora para outra, além de “tomar” de volta o valor já pago
(Chargeback). Considerando o elevado índice de fraudes tanto em
compras de cartão presente quanto em compras de cartão não presente (CNP),
você acha que eles vão tratar de resolver o “problema” e perder a molezinha de
lucro fácil? Eu não perderia… Existem muitas maneiras dos bancos lucrarem
com as fraudes, inclusive com relação ao débito não autorizado em conta
corrente de terceiros.
Para Rivan e Wellington:
Há outras maneiras de se comprar pela Web sem por o dinheiro debaixo
do colchão, citaria até algumas aqui, mas por causa da falta de educação
dos dois se quiserem busquem por si mesmos, não sou obrigado a dar dicas
para dois idiotas como vocês.
Quanto ao Sr. Wellington: “a não ser que vc ganhe mixaria e acessa micro pela
lan house em troca de ter varrido o chão” -, tenho um Desktop novo em folha e
dois notebooks sendo um deles um MBP e tenho também um bom salário graças à Deus
e à mim mesmo, mas se eu ganhasse a vida varrendo chão, qual o seu problema com
relação à isso? É melhor ganhar dinheiro trabalhando honestamente do que
na moleza colocando um blog estúpido e provocativo na Web monetizado através do
AdSense como é o caso do Meio Bit por exemplo com aquele tal de Cardoso, ao menos
você se esforçou para ganhar o dinheiro…
Coitado não coloque o Cardoso no meio, ele eh apenas um ex administrador de sistemas frustrado que não sabia mexer no linux direito e foi demitido, agora trollagem e AdSense são a unica coisa que sobrou para ele ganhar dinheiro….portanto não umilhe os coitados!