Comments on: Análise: autenticação Linux

By: claudio

claudio — Sun, 30 Nov 2008 00:35:37 +0000

Ele usa uma biblioteca em C para isso, que é chamada através de JNI.

By: Ronaldo Toledo

Ronaldo Toledo — Thu, 16 Oct 2008 15:58:25 +0000

Olá Cláudio.

Fiquei com uma dúvida e imagino que vc possa facilmente dirimi-la. Não sou programador web, entendo muito pouco de javascript e sei que ele não permite acesso a informações do sistema. Tomando isto como premissa, pergunto: Como o banco tem acesso a estas informações?

Um abraço.

By: Marcio

Marcio — Wed, 18 Jun 2008 01:47:12 +0000

Cláudio, parabéns pelo artigo, realmente bem completo.
Estou concluindo o curso de Ciência da Computação e estou desenvolvendo uma pesquisa sob orientação de um renomado pesquisador na área de segurança.
A pesquisa consiste em avaliar a possibilidade de comprometimento dos mecanismo de segurança implementados pelos e-bankings no brasil.
O objetivo final é formatar um artigo que pretendo submeter a alguns eventos, entre eles o SBSEG2008.
Já consegui comprometer alguns mecanismos implementados e estou nesse exato momento estudando esse processo de autenticação dos computadores.
Como não tenho muita experiência na engenharia reversa de bibliotecas, estou gastando bastante tempo para concluir essa etapa.
Caso tenha interesse em participar desse trabalho, favor entrar em contato o quanto.

By: Mauricio

Mauricio — Mon, 03 Mar 2008 01:08:05 +0000

Amigo, parabéns por fazer um artigo tão detalhado, é realmente raro ler coisas assim na internet. Seu blog vai para meus favoritos.

By: claudio

claudio — Thu, 28 Feb 2008 23:11:18 +0000

O envio de informação criptografada por TDES pelo mesmo canal por onde trafega a chave realmente não é um exemplo de bom uso de criptografia.

By: Jardel Weyrich

Jardel Weyrich — Thu, 28 Feb 2008 13:18:46 +0000

Apesar do banco em questão utilizar code-obfuscation, escolheram a tecnologia errada para o caso.
Mas se isso assustou a todos, procurem informações sobre os métodos que os outros utilizam, e ficarão pasmos.
Infelizmente nunca tive tempo para analisar todos, mas com certeza podemos contar nos dedos de 1 mão os que se salvam.
Bom trabalho claudio.

By: Daniel Dantas

Daniel Dantas — Thu, 28 Feb 2008 09:48:06 +0000

Eu sei qual o banco. É o meu banco. heheheh

Na verdade, já meio que sabia que essa informação poderia ser facilmente copiada.

Só estou tranquilo porque existem outras proteções para a conta e que parece que o próprio banco não considera essa proteção inquebrável.

Isso mostra que segurança não é um programa e sim uma política. Usuários que não se importam com segurança de senhas ou com pragas virtuais vão ser atacados, mais cedo ou mais tarde.

By: claudio

claudio — Wed, 27 Feb 2008 23:34:42 +0000

O nome do banco em questão foi intencionalmente omitido. Quanto ao destino das informações, apenas um hash é enviado à camada superior e quem tiver acesso a este hash, seja o banco ou terceiros, poderá apenas verificar se algum dos elementos cujos dados foram coletados foi modificado.

By: rafa

rafa — Wed, 27 Feb 2008 18:56:59 +0000

caro, você não comentou nada específico sobre, queria saber se você vê chances do sistema ser usado para outros métodos que não o previsto e se ele está coletando informações que podem ser usadas por pelo banco ou terceiros com má intenção. o que acha?

By: Rodrigo

Rodrigo — Wed, 27 Feb 2008 16:50:24 +0000

Qual banco usa isso ?