Seguridad en bancos (era Re: HA)

Alvaro Herrera alvherre en alvh.no-ip.org
Mie Sep 2 15:27:25 CLT 2009 

Ricardo Munoz escribió:
> El 2 de septiembre de 2009 12:32, Alvaro Herrera
> <alvherre en alvh.no-ip.org>escribió:

> > Primero que nada está la clave común y corriente.  La gente es idiota
> > (como ya nos recordaron Alejandro Fuentes y Germán Poo) así que la clave
> > se le olvida, o la mete en un sitio de phishing, o la mete en un PC con
> > un keylogger en un ciber, o la deja anotada en un papel que alguien
> > obtiene.  Si este fuera el único mecanismo de seguridad, las cuentas
> > pasarían vacías.
> 
> claro que no. cuando alguien obtiene tu numero de tarjeta de credito nunca
> hara una compra grande, sino solo de unos pocos dolares para que no te des
> cuenta. lo mismo ocurre con tu clave comun y corriente. si te confias en que
> con el digipass estas asegurado contra cualquier tipo de robo estas muy
> equivocado...

Hmm.

> con tu clave comun y corriente (obtenida mediante un keylogger en un ciber)
> yo podria saber la cantidad de dinero que manejas, donde/cuando/como lo
> gastas, donde trabajas, si tienes hijos y donde los llevas a pasear el fin
> de semana, etc. luego (si manejas mucho dinero) con esa informacion (podria
> hacer mucho mas dan~o que una simple transaccion bancaria... por ejemplo,
> robar las cosas de tu departamento o casa, robar tu auto, secuestrar a
> alguien de tu familia, etc.

Bueno, este es otro tipo de ataque, totalmente diferente de los
anteriores, y para el cual el tipo de solución será obviamente distinto.
Eso no quiere decir que los otros mecanismos no sean válidos para cubrir
los otros problemas.

Para el caso que planteas, creo que una posible solución sería que el
sitio web del banco desplegara un cierto número de recientes ingresos en
el sitio.  Así el usuario puede ver si las fechas/horas corresponden o
no.  Si el banco fuera más sofisticado podría ver si hay patrones en las
direcciones IP del usuario dependiendo de la hora y día de la semana
(por ej. entre las 9 y las 7 te conectas de la oficina y siempre vienes
de la misma IP, en cambio de las 8 en adelante y los fines de semana te
conectas de tal bloque que pertenece al ISP de tu casa); o incluso, si
te conectas a horas en que normalmente no lo haces.

Por otra parte, robarte dinero es un ataque simple y razonablemente
efectivo.  Usar la información obtenida a partir del sitio del banco
para montar otro tipo de ataque es mucho más complicado (¿has tratado de
organizar un secuestro?)

En todo caso, si una persona tiene o no mucho dinero es algo que puede
extrapolarse a partir de datos mucho más directos que robarte las claves
del banco.

> lo del digipass es solo una ilusion para hacerte creer que tu banco se
> preocupa por ti... ;)

Discrepo :-)

-- 
Alvaro Herrera	    Valdivia, Chile           Geotag: -39,815 -73,257
"I suspect most samba developers are already technically insane...
Of course, since many of them are Australians, you can't tell." (L. Torvalds)

Más información sobre la lista de distribución Linux