Seguridad en bancos (era Re: HA)

Alvaro Herrera alvherre en alvh.no-ip.org
Mie Sep 2 12:32:06 CLT 2009 

Ivan Altamirano escribió:
> La tarjeta de coordenadas entregada por el Banco Santander y Banco Estado,
> no tiene mucho que envidiar a los Digipass de otros bancos. Esto es porque
> la calidad de los Digipass (Material de fabricación) es pésima, igual de
> pésima que las tarjetas de coordenadas, salvo que a estas últimas no dejan
> de funcionar por falta de batería ;) .

¿Y eso qué tiene que ver con la seguridad que otorga el aparatito?

> Si se trata de de tomar fotos al momento de la transacción, pasaría
> exactamente lo mismo que con los Digipass (Obvio, si fué capaz de ver la
> clave de la tarjeta de coordenadas, también debiera tener la clave de acceso
> al Banco). Además, ¿que es mas fácil?, ¿que se te pierda el llavero (lugar
> donde generalmente las personas almacenan el Digipass) o que se te pierda la
> billetera (lugar donde generalmente las personas almacenan las tarjetas de
> coordenadas)?...

No, no.  Estás confundiendo qué problema ataca cada parte del sistema de
seguridad.

Primero que nada está la clave común y corriente.  La gente es idiota
(como ya nos recordaron Alejandro Fuentes y Germán Poo) así que la clave
se le olvida, o la mete en un sitio de phishing, o la mete en un PC con
un keylogger en un ciber, o la deja anotada en un papel que alguien
obtiene.  Si este fuera el único mecanismo de seguridad, las cuentas
pasarían vacías.

Segundo está la clave que entrega el pinpass.  Esta clave no permite
ataques de "replay", así que el keylogger no sirve.  No se puede anotar
en ninguna parte.  No hay modo que un phisher obtenga la clave (a menos
que el phisher haga de man-in-the-middle, pero esto es muchísimo más
complicado que un phishing común y corriente).

¿Se te perdió el artefacto de números aleatorios?  No es tan grave,
porque aún existe la otra clave.  En el intertanto es posible que te des
cuenta que se perdió y pidas uno nuevo y que se anule el anterior, antes
que el atacante pueda obtener tu otra clave.

Si se te pierde el llavero, normalmente lo sabes de inmediato (sobre
todo si tiene el pinpass).  El atacante no puede atacarte hasta que no
haya conseguido tu segunda clave; y tú lo invalidarás lo antes posible.

Si te copian la tarjeta, y no te das cuenta, el atacante sólo tiene que
esperar hasta poder conseguir la clave, pero tú no te has dado cuenta
del hurto así que no te preocuparás de cambiarla.

-- 
Alvaro Herrera                               http://planet.postgresql.org/
Y dijo Dios: "Que sea Satanás, para que la gente no me culpe de todo a mí."
"Y que hayan abogados, para que la gente no culpe de todo a Satanás"

Más información sobre la lista de distribución Linux