Seguridad en bancos (era Re: HA)
Sebastián Veloso Varas
sveloso en sevelv.cl
Mie Sep 2 13:29:34 CLT 2009
El 2 de septiembre de 2009 12:32, Alvaro Herrera
<alvherre en alvh.no-ip.org>escribió:
> Ivan Altamirano escribió:
> > La tarjeta de coordenadas entregada por el Banco Santander y Banco
> Estado,
> > no tiene mucho que envidiar a los Digipass de otros bancos. Esto es
> porque
> > la calidad de los Digipass (Material de fabricación) es pésima, igual de
> > pésima que las tarjetas de coordenadas, salvo que a estas últimas no
> dejan
> > de funcionar por falta de batería ;) .
>
> ¿Y eso qué tiene que ver con la seguridad que otorga el aparatito?
>
> > Si se trata de de tomar fotos al momento de la transacción, pasaría
> > exactamente lo mismo que con los Digipass (Obvio, si fué capaz de ver la
> > clave de la tarjeta de coordenadas, también debiera tener la clave de
> acceso
> > al Banco). Además, ¿que es mas fácil?, ¿que se te pierda el llavero
> (lugar
> > donde generalmente las personas almacenan el Digipass) o que se te pierda
> la
> > billetera (lugar donde generalmente las personas almacenan las tarjetas
> de
> > coordenadas)?...
>
> No, no. Estás confundiendo qué problema ataca cada parte del sistema de
> seguridad.
>
> Primero que nada está la clave común y corriente. La gente es idiota
> (como ya nos recordaron Alejandro Fuentes y Germán Poo) así que la clave
> se le olvida, o la mete en un sitio de phishing, o la mete en un PC con
> un keylogger en un ciber, o la deja anotada en un papel que alguien
> obtiene. Si este fuera el único mecanismo de seguridad, las cuentas
> pasarían vacías.
>
> Segundo está la clave que entrega el pinpass. Esta clave no permite
> ataques de "replay", así que el keylogger no sirve. No se puede anotar
> en ninguna parte. No hay modo que un phisher obtenga la clave (a menos
> que el phisher haga de man-in-the-middle, pero esto es muchísimo más
> complicado que un phishing común y corriente).
>
> ¿Se te perdió el artefacto de números aleatorios? No es tan grave,
> porque aún existe la otra clave. En el intertanto es posible que te des
> cuenta que se perdió y pidas uno nuevo y que se anule el anterior, antes
> que el atacante pueda obtener tu otra clave.
>
> Si se te pierde el llavero, normalmente lo sabes de inmediato (sobre
> todo si tiene el pinpass). El atacante no puede atacarte hasta que no
> haya conseguido tu segunda clave; y tú lo invalidarás lo antes posible.
>
> Si te copian la tarjeta, y no te das cuenta, el atacante sólo tiene que
> esperar hasta poder conseguir la clave, pero tú no te has dado cuenta
> del hurto así que no te preocuparás de cambiarla.
>
Que mejor explicacion que esa.
Tecnicas de keylogger, phishing, no sirven mucho aca... Tecnicas avanzadas y
complejas podrian hacer algo. Es mas, como dato,
las llaves RSA no ha sido quebrado aun, imaginate alguien logra conseguirlo.
Hace un tiempo, el Dr. Scolnik postulo que estuvo trabajando en esto, y que
pronto sera capaz de quebrar estas llavecitas...
http://www.criticadigital.com/impresa/index.php?secc=nota&nid=7572
Aca hay PDF con mas info respecto al funcionamiento de SecureID (para los
tecnicistas!)
http://eprint.iacr.org/2003/162.pdf
Un emulador de SecureID simplecito...
http://seclists.org/bugtraq/2000/Dec/0459.html
> --
> Alvaro Herrera http://planet.postgresql.org/
> Y dijo Dios: "Que sea Satanás, para que la gente no me culpe de todo a mí."
> "Y que hayan abogados, para que la gente no culpe de todo a Satanás"
>
Más información sobre la lista de distribución Linux