Bem, parece que, finalmente, os bancos se deram conta do perigo que é colocar as contas acessíveis a partir da Internet, e começaram a usar mecanismos de segurança que tornam a aplicação mais segura a ataques.
O que considero mais seguro foi o código por telemóvel, isto é, cada vez que se acede à conta, passamos a um estado "pré-logado". "Pré-logado" porque ainda não está 100% autenticado. Para terminar a autenticação, é necessário introduzir um código que é enviado por sms, para o telemóvel do utilizador. De cada vez que o utilizador se tenta autenticar, é gerado um novo código e enviado para o telemóvel. Depois o cliente tem de indicar esse mesmo código. Um hacker que tente aceder à conta, pode conseguir o username, a password, até pode mesmo descobrir o bilhete de identidade, contribuinte, e até mesmo o numero de licença de cão de caça. Mas é praticamente impossível descobrir o código que foi enviado para o telemóvel do cliente, a não ser que o hacker consiga por sob escuta, o telemóvel e apanhar o pacote onde vai a informação do código, mas é bastante improvável, ou ainda se o hacker conviver com o cliente, por exemplo, se for um familiar próximo.
Existem outras técnicas menos seguras de evitar um assalto por parte de ataques aos sistemas de e-banking. A criação de um cartão matriz, onde existem códigos dispostos numa matriz. Cada vez que o utilizador se autentica, é pedido uma posição da matriz. Considero esta técnica menos segura, porque os códigos não são gerados em tempo de execução. Já existem. E estão num cartão, que pode ser perdido e ir parar a mãos erradas. Ou mesmo ser roubado com propósitos calculados.
Sei que muitos me estão a achar um paranóico com a mania da prosseguição, mas que existem pessoas que são capazes de estar um mês inteiro em frente a um computador para tentar achar uma porta das traseiras num sistema bancário, existem. Já houve inclusive, casos de pessoas que perderam dinheiro através destes sistemas.
domingo, 17 de Junho de 2007
quarta-feira, 14 de Março de 2007
Bancos na Internet
Bem, vou falar ou alertar para um assunto e espero não gerar polémica. Se aparecer por aí assassinado, já sabem quem foi: algum banco que não gostou desta divulgação...
Certamente que muitos, senão a maioria, dos que lêem este post, usam, usaram ou sabem o que é o e-banking. Mas certamente que houve algo que passou um pouco ao lado: o contrato. O contrato põe o utilizador em perigo. Passo a explicar.
Existe uma clausula nos contratos entre os bancos e os seus clientes que diz que o cliente é responsável pelo uso do username e a password (as credenciais que permitem o acesso à conta através da Internet). Se estas credenciais caírem em mãos erradas e houver um desfalque na conta, quem tem de repor o dinheiro na conta é o cliente. O banco não se responsabiliza por nada. A defesa dos bancos é: "nós temos certificados que asseguram a total protecção dos dados. Estes são encriptados e assim enviados pela rede. E assim nenhum hacker pode aceder aos dados pelo que a responsabilidade destes é inteiramente do cliente".
Mas isto não é inteiramente verdade. Nenhum hacker pode, de facto, escutar a rede e apanhar a informação do username e da password. Mas se o hacker já estiver no nosso computador?? Hoje em dia são frequentes os ataques através de software espião e de cavalos-de-troia, de modo a espiar o nosso computador, ver a informação escrita através do teclado e enviar essa informação para o computador onde o hacker espera por essa informação. Os bancos responderam a esta ameaça com teclados virtuais, usando o rato para se efectuar a autenticação nos sites. Mas estes software maliciosos já "tiram fotografia" nas zonas onde o rato clica. Eu próprio já visualizei um destes software a funcionar.
Mesmo com a nova técnica de pedir 2 algarismos do numero de um documento, os espiões podem saber esta informação, se forem persistentes e observarem todas as hipóteses.
Sei que parece rebuscado mas EXISTEM pessoas que se dedicam a este tipo de acções.
Além do mais, o que me garante que do outro lado da linha, isto é, nos servidores do próprio banco, não existe uma pessoa que, de má fé, programe uma porta das traseiras e aceda à minha conta? Não tenho o direito de acusar ninguém mas tenho o direito de DUVIDAR de alguém...
Voltando ao "lado de cá" da linha, uma maneira de os bancos assegurarem total privacidade dos dados seria fornecer um smart-card (como os cartões dos telemóveis) com os dados de acesso já encriptados. O cliente teria apenas de adquirir um leitor de smart-cards e com isso nenhum hacker poderia visualizar as nossas credenciais de autenticação, uma vez que estas já se encontrariam encriptadas. De qualquer forma isto não resolveria o problema da porta-das-traseiras. Mas como isso seria um problema de recursos humanos no banco (eles é que contrataram a pessoa em questão) poderiam não responsabilizar o cliente por danos causados na conta.
Leiam novamente os contratos e digam: Quem ganha com a subscrição deste tipo de acesso ao Banco??? O próprio banco, pois evita filas nos bancos, evita o uso de recursos humanos. Então, se eles são os principais interessados, que façam os sistemas seguros e que se responsabilizem pelos mesmos. Não ponham as responsabilidades no cliente, que não teve nenhum papel na implementação de tais sistemas.
Mais uma vez digo: isto é um alerta. Não é uma invenção nem uma mania de prosseguição.
Certamente que muitos, senão a maioria, dos que lêem este post, usam, usaram ou sabem o que é o e-banking. Mas certamente que houve algo que passou um pouco ao lado: o contrato. O contrato põe o utilizador em perigo. Passo a explicar.
Existe uma clausula nos contratos entre os bancos e os seus clientes que diz que o cliente é responsável pelo uso do username e a password (as credenciais que permitem o acesso à conta através da Internet). Se estas credenciais caírem em mãos erradas e houver um desfalque na conta, quem tem de repor o dinheiro na conta é o cliente. O banco não se responsabiliza por nada. A defesa dos bancos é: "nós temos certificados que asseguram a total protecção dos dados. Estes são encriptados e assim enviados pela rede. E assim nenhum hacker pode aceder aos dados pelo que a responsabilidade destes é inteiramente do cliente".
Mas isto não é inteiramente verdade. Nenhum hacker pode, de facto, escutar a rede e apanhar a informação do username e da password. Mas se o hacker já estiver no nosso computador?? Hoje em dia são frequentes os ataques através de software espião e de cavalos-de-troia, de modo a espiar o nosso computador, ver a informação escrita através do teclado e enviar essa informação para o computador onde o hacker espera por essa informação. Os bancos responderam a esta ameaça com teclados virtuais, usando o rato para se efectuar a autenticação nos sites. Mas estes software maliciosos já "tiram fotografia" nas zonas onde o rato clica. Eu próprio já visualizei um destes software a funcionar.
Mesmo com a nova técnica de pedir 2 algarismos do numero de um documento, os espiões podem saber esta informação, se forem persistentes e observarem todas as hipóteses.
Sei que parece rebuscado mas EXISTEM pessoas que se dedicam a este tipo de acções.
Além do mais, o que me garante que do outro lado da linha, isto é, nos servidores do próprio banco, não existe uma pessoa que, de má fé, programe uma porta das traseiras e aceda à minha conta? Não tenho o direito de acusar ninguém mas tenho o direito de DUVIDAR de alguém...
Voltando ao "lado de cá" da linha, uma maneira de os bancos assegurarem total privacidade dos dados seria fornecer um smart-card (como os cartões dos telemóveis) com os dados de acesso já encriptados. O cliente teria apenas de adquirir um leitor de smart-cards e com isso nenhum hacker poderia visualizar as nossas credenciais de autenticação, uma vez que estas já se encontrariam encriptadas. De qualquer forma isto não resolveria o problema da porta-das-traseiras. Mas como isso seria um problema de recursos humanos no banco (eles é que contrataram a pessoa em questão) poderiam não responsabilizar o cliente por danos causados na conta.
Leiam novamente os contratos e digam: Quem ganha com a subscrição deste tipo de acesso ao Banco??? O próprio banco, pois evita filas nos bancos, evita o uso de recursos humanos. Então, se eles são os principais interessados, que façam os sistemas seguros e que se responsabilizem pelos mesmos. Não ponham as responsabilidades no cliente, que não teve nenhum papel na implementação de tais sistemas.
Mais uma vez digo: isto é um alerta. Não é uma invenção nem uma mania de prosseguição.
sexta-feira, 9 de Março de 2007
Tendencias
Ainda me lembro quando tive o meu primeiro dispositivo com ligação USB... Era um scanner, que a minha irmã me deu num dia de anos.
Todo contente, lá fui eu tentar ligar este novo grito em tecnologia. Quando cheguei ao meu velhinho pentium 133, verifiquei que este ainda não estava preparado para tal interface.
Corri a uma loja de informática que me disseram que o problema não era assim tão grave e venderam-me uma placa PCI com 3 ou 4 ligações USB.
Passado algum tempo, fui adquirindo novos dispositivos, todos eles com ligação USB.
Hoje em dia, esta porta é bastante comum nos computadores. Até já se vendem computadores com este tipo de ligação à frente, para ligar e desligar dispositivos os quais permitem a portabilidade, como as PENs.
Ora, hoje em dia, existe muitas formas de computadores. Muitos de nós andamos com um no bolso todos os dias e são, mais vulgarmente chamados de telemóveis.
É facil reparar que estes novos companheiros trazem uma porta para se ligar diversos dispositivos: Auricular, mãos livres, computador...Mas se comprar-mos um destes dispositivos para ligar ao telemóvel (no caso do computador, compramos um cabo), este só dá para esse mesmo telemóvel. Se quisermos guardar para o próximo telemóvel que comprarmos, o mais certo é não dar...
Assim, e em tom de comclusão, penso que o proximo passo a nível de tecnologia, será a standardização (peço desculpa pelo estrangeirismo falseado, mas não me ocurreu outra palavra) das interfaces destes dispositivos.
Imaginem o que seria, se cada marca de computador quisesse fazer as suas próprias portas e, mesmo na mesma marca, cada modelo teria uma porta diferente...
Teriamos de comprar a impressora compatível, o scanner compatível, o monitor compatível, etc, etc, etc. E nos dispositívos portáteis??? Como uma PEN, por exemplo, como seria?
Com as novas funcionalidades dos telémóveis, como o facto de poder tirar fotografias, por exemplo, prevejo ligações directas a impressoras. Acredito também que seja possivel em pouco tempo visualizar documentos como PDFs e assim. Será preciso comprar a impressora compatível com o telemóvel???
Peço que deixem os vossos comentários para debater este assunto.
Subscrever:
Mensagens (Atom)
