Seguridad en bancos (era Re: HA)

Sebastián Veloso Varas sveloso en sevelv.cl
Mie Sep 2 20:50:23 CLT 2009


El 2 de septiembre de 2009 17:34, Ricardo Munoz <rmunoz en tux.cl> escribió:

> El 2 de septiembre de 2009 16:41, Sebastián Veloso Varas
> <sveloso en sevelv.cl>escribió:
>
> > El 2 de septiembre de 2009 16:05, Ricardo Munoz <rmunoz en tux.cl>
> escribió:
> >
> > > El 2 de septiembre de 2009 15:28, Alvaro Herrera
> > > <alvherre en alvh.no-ip.org>escribió:
> > >
> > > > Ricardo Munoz escribió:
> > > >
> > > > > con tu clave comun y corriente (obtenida mediante un keylogger en
> un
> > > > ciber)
> > > > > yo podria saber la cantidad de dinero que manejas,
> donde/cuando/como
> > lo
> > > > > gastas, donde trabajas, si tienes hijos y donde los llevas a pasear
> > el
> > > > fin
> > > > > de semana, etc. luego (si manejas mucho dinero) con esa informacion
> > > > (podria
> > > > > hacer mucho mas dan~o que una simple transaccion bancaria... por
> > > ejemplo,
> > > > > robar las cosas de tu departamento o casa, robar tu auto,
> secuestrar
> > a
> > > > > alguien de tu familia, etc.
> > > >
> > > > BTW solo con el RUT y un poco de plata puedes pedirle muchos datos
> > sobre
> > > > una persona a Dicom.
> > > >
> > >
> > > exacto. por lo mismo dije que lo del Digipass, Multipass, etc. es solo
> > una
> > > ilusion para hacerte sentir mas seguro... ;)
> > >
> > > lo mismo que una alarma o cerradura de seguridad. por mas alarmas,
> > > cerraduras, guardias, etc. que tengas si quieren robarte algo te van a
> > > robar
> > > igual.
> > >
> > >
> > Discrepo en esto. Los tokens de seguridad efectivamente nos dan una
> > seguridad adicional en nuestras transacciones bancarias.
> > De hecho, no puedes ni ver tu cartola sin la famosa token,
>
>
> por lo que entiendo, solo el BCI funciona asi.
>
> ni mucho menos generar un pago. Estas "amarrado" a una 2° validacion
> > robusta. Y siendo
> > honestos, para el comun es complicadisimo quebrar este mecanismo, a no
> ser
> > que se destape un agujero de seguridad de la aplicacion bancaria.
> >
>
> el comun no va andar robando dinero ajeno por internet (estas diciendo que
> todos somos delincuentes? jajaja)...


El comun en expertise del tema..jajaja a eso me refiero...

el punto no es que sea mas dificil o no
> romper el mecanismo para un "comun". en el link de Wikipedia que entregaron
> [1] bajo "Theoretical vulnerabilities" dice
>
> "Hard tokens on the other hand can be physically stolen (or acquired via
> social engineering) from end users. The small form factor makes hard token
> theft much more viable than laptop/desktop scanning. A user will typically
> wait more than one day before reporting the device as missing, giving the
> attacker plenty of time to breach the protected system."
>
> Obviamente, si obtengo el RUT del cliente, puedo hacer muuuchas cosas, con
> > los contactos o "movidas" correspondientes (Dicom, SII, Registro Civil)
> > como
> > ejemplo. Eso nos remonta a tecnicas de espionaje, ingenieria social y
> otras
> > morbosidades mas, que no irian al caso.
> >
>
> porque no irian al caso? de que te sirve tener el famoso digipass si por
> otro lado te pueden robar igual? conoces de algun caso de transacciones
> realizadas por tereceros (via web) *antes* de implementado lo del digipass?
> conoces de casos despues de implementado el digipass? han bajado los casos?
> sin estadisticas a mano es dificil saber acerca de la utilidad del
> aparatito.
>

Nada es exacto.  Simplemente, el hecho de poseer  autenticacion de doble
factor interpretariamos que existe un mecanismo adicional o una "segunda
valla" a pasar.
Tambien no tenemos referencias de como se comporta el diseño de seguridad
del sistema bancario. Tampoco sabemos si el cifrado duro del sistema es tan
asi, o si el cifrado de mi conexion es 100% segura. Para hacer ese análisis,
debiesemos considerar demasiadas variantes "sin responder" por el momento.
Otra duda ¿Existe un metodo mas pro que una autenticacion de doble factor?
Lo digo por que se que los sistemas bancarios /y muchos mas/ se ven muuyy
robustos, pero por detras, en bambalinas, se arman como palitos de
fosforos...



> [1] http://en.wikipedia.org/wiki/SecurID
>
> --
> Ricardo Mun~oz A.
> http://www.tux.cl
>


Más información sobre la lista de distribución Linux