Quebra de segredo de tokens não deve alarmar usuários
Ataque a aparelhos nos EUA revela falha específica e não deve assustar, por exemplo, brasileiros que usam dispositivo para acessar contas bancárias
Com as dimensões de um chaveiro, o token é um dispositivo de segurança cujo funcionamento é simples. O usuário aperta um pequeno botão na extremidade do aparelho, que imediatamente exibe uma sequência numérica em seu visor. O código deve, então, ser informado a um sistema, o site de um banco, por exemplo. Do outro lado da conexão, a central de segurança bancária confere se a numeração está correta, liberando ou não o acesso do usuário a seus serviços. Isso é possível porque a sequência numérica exibida pelo token, aparentemente aleatória, obedece na verdade a um padrão previsto pelo sistema central. O código, alterado em invervalos de segundos, está atrelado ainda ao identificador serial do produto – e este, por sua vez, está vinculado à conta do usuário. “O número tem que ser previsível para o sistema, pois este deve confirmar o que está aparecendo na tela naquele exato instante”, aponta Alexandre Sieira, diretor operacional da empresa de segurança da informação Cipher.
Um golpe na confiabilidade dos tokens foi desferido há algumas semanas, quando invasores obtiveram acesso a computadores da Lockheed Martin, fornecedora de material bélico do governo americano. A companhia utilizava o token da RSA Security, subsidiária da EMC Corp, para franquear a funcionários acesso a seu servidor. O ataque, considerado complexo, consistiu na quebra do segredo do token, ou seja, os crackers conseguiram emular o padrão de geração de sequências numéricas. Em seguida, o código foi usado conjuntamente com senhas e logins, adquiridos em golpes anteriores. A RSA tomou, então, uma decisão difícil, mas fundamental em situações similares: trocar milhões de aparelhos que estavam em poder de seus clientes. “Queremos garantir a tranquilidade de todas as pessoas que utilizam nosso produto”, afirmou na semana passada um porta-voz da companhia. Fim de caso? Sim, garantem os especialistas. “O sistema da RSA será tão seguro quanto era antes do ataque”, diz Mark Diodati, especialista da consultoria de mercado Gartner.
Como funcionam a segurança de um site:
A defesa dos gigantes do comércio eletrônico
Os analistas asseguram que o episódio não indica que um ataque em massa a usuários de tokens seja iminente ou sequer exequível. “O problema em questão ocorreu com um fabricante específico e não afeta outros desenvolvedores de tokens, pois cada uma tem sua própria tecnologia”, diz Cassio Pereira, consultor de segurança da informação da EZ-Security.
A BRToken, por exemplo, companhia brasileira que fabrica tokens, esconde o segredo – o algoritmo que gera as sequências numéricas – literalmente a sete chaves. “Ele está em um arquivo criptografado dentro do cofre de um banco. Totalmente fora da rede”, conta Carlos Eduardo da Fonseca, diretor da empresa.
Sem acesso aos dados, a missão dos criminosos de conhecer o padrão de criação de sequências numéricas é dificultada. Seria necessário realizar um processo complicado conhecido como engenharia reversa, que consiste em descobrir, a partir de uma sequência numérica, o padrão que a gera. A tarefa pode consunir dias, meses ou até anos de trabalho.
Ainda que os criminosos fossem bem-sucedidos nessa primeira fase, esbarrariam em outros obstáculos. Para invadir contas bancárias, por exemplo, além do padrão do token, seria necessário obter senha e login de cada usuário alvo. “Os criminosos teriam, então de realizar ataques exitosos individuais, enviando os conhecidos e-mails falsos de bancos solicitando recadastramento, por exemplo”, diz Pereira. Em resumo: um ataque em massa só teria êxito caso os crackers conseguissem acessar de forma irrestrita dados de bancos e empresas.
A área de segurança digital obedece a uma regra simples: quanto mais barreiras à ação de criminosos, melhor. A razão também é simples. O tempo e o dinheiro que crackers precisam investir para lograr êxito em um ataque virtual são proporcionais ao tamanho e à complexidade do sitema de proteção. Assim, a certa altura, tentar cometer o crime não compensa. Por outro lado, todo ataque bem-sucedido revela uma falha. Para minimizar problemas, Fonseca, da BrToken, orienta os usuários a seguir as orientações de segurança. “Nunca informe a terceiros o código serial do token ou a sequência numérica exibida no visor do aparelho”, diz. “Os tokens, assim como senhas, constituem umas das camadas de proteção de sistemas eletrônicos. Se qualquer uma delas for exposta indevidamente, cresce a vulnerabilidade.”
Leia mais:
Os 10 piores furtos de dados eletrônicos
Invasão de redes da Sony expõe calcanhar de Aquiles do e-commerce
Rede do Senado dos EUA é invadida por hackers
Nintendo admite ter sido vítima de ataque virtual criminoso
Shopping se manifesta sobre ‘calote’ de Taís Araújo
Ivanir dos Santos entra com representação contra Ludmilla: ‘É crime’
Mulher de Jeff Bezos quebra protocolo em festa na Casa Branca
Dívida de Taís Araújo em condomínio vira caso de Justiça
A mais longa das noites: países árabes cooperaram com Israel contra Irã
