Fraude de Identidades Digitais: Desafio Tecnológico ou Cultural?

<Insert Picture Here>
Fraude de Identidades Digitais: Desafio Tecnológico ou Cultural?
Paulo Vendeirinho
Agenda
•
Fraude Online: A Verdade Inconveniente
•
A Resposta dada pela Tecnologia
•
A Questão Cultural
•
Conclusões e Perguntas
Fraude Online:
A Verdade Inconveniente
Bravo Mundo Novo
A promessa dos Serviços Online
A Identidade digital para chegar mais próximo dos
clientes de forma mais eficiente e com menores custos
•
•
•
•
•
•
Serviços Financeiros
Serviços de Saúde
Instituições Educacionais
Insitituições Governamentais
eCommerce
...
<Insert Picture Here>
Charles Raab, Professor AHRB
Research Centre in Intellectual
Property and Technology,
School of Law, University of
Edinburgh
“In
In a Post-Modern
Post Modern
world it is no longer
clear that any one
identity is real”
A Constatação do Problema
Phishing Man-in-the Middle Social Engineering Malware KeyStroke Loggers Session Hijacking
•A Internet foi construída sem forma de saber a quem e a
quê nos estamos a ligar
• Inadvertidamente
ensinamos as pessoas a serem “phished” e
“pharmed”
•Falta-nos a camada de identidade na Internet
• Múltiplos
Múlti l silos
il ou identity
id tit stores
t
e pontos
t de
d administração
d i i t ã
•A Internet é atormentada com ameaças:
•Ataques Phishing por email a subir 118% em três anos, com cada
internauta a receber uma média de 80 emails em 12 meses
(Fonte:Gartner)
•$3.2B de perdas em Agosto de 2007 resultante de phishing. Média de
perdas por utilizador diminuí de $1244 para $866 em comparação com
2006. Contudo, o número de vítimas aumentou. (Fonte: Gartner)
Phishing Man-in-the Middle Social Engineering Malware
Phishing Man-in-the Middle Social Engineering Malware KeyStroke Loggers Session Hijacking
Phishing Man-in-the Middle S
Social Engineering Malware
A verdade (alguns anos depois)…
Privacy
A Management
Resposta da Tecnologia
Artefactos Tecnológicos
• KBA (Knowledge Based)
• Token
• PKI
• Out-of-Band
• Federação
• Emergentes
KBA (Knowledge Based Authentication)
Passwords
•Simples, pads (ligação de letras a números), parciais
•Omnipresença está na origem do mal – “Nós” ensinamos as
pessoas a inserir passwords em tudo
•“Algum valor” pode ser acrescentado quando combinado
com outros métodos
KBA (Knowledge Based Authentication)
Dispositivos Virtuais
• Vários tipos: keypads, doc pads, cheque pads etc
• Protecção contra phishing
• Imagens e/ou frases personalizadas fornecem autenticação
mútua
• Protecção contra spyware (keyloggers, mouse click loggers,
trojans,...)
•Jittering
•Tamanho da imagem variável
KBA (Knowledge Based Authentication)
Passwords Cognitivas
•Responder a uma série de questões para as quais
anteriormente o cliente registou as respostas
• Primariamente utilizado para reset passwords ou registo
•Not People-Proof
•Respostas fácilmente descobertas
•Engenharia social ou ataques
Guidelines
• Não utilizar dados confidenciais na questão
• Respostas díficeis de advinhar
• Respostas não podem ser obtidas de fontes públicas
• Utilizar questões que são aplicáveis ao público em geral
• Questões deverão ter significado pessoal e memorável
• Questões cuja resposta se pode alterar ao longo do tempo devem ser evitadas
• Questões não devem fazer referência a religião, política,...
Token
Cartões Matriz
•Cartões Únicos com caractéres aleatórios por linha e coluna
• Equivalente a uma simples cifra de substituição (Cifra
Polybius)
• Vulnerável a roubos e a um ataque teórico (spyware
sofisticado poderá contruir uma imagem da grelha ao longo do
tempo). Ataque facilitado pelo facto dos cartões serem
raramente substituídos
• Vantagem de usabilidade e baixo custo
Texto
Mensagem Secreta
Texto Cifrado
3215334311221532 43151342154411
Token
Tokens OTP
•Tecnologia provada
•Método mais utilizado na banca na Europa (Benelux,
Escandinavos e Baltico), Médio Oriente & Africa
• Algumas desvantagens
•Elevado TCO ($50-$3 dependendo do volume – Fonte:Gartner)
•O que fazer quando se trabalha com múltiplas entidades?
• Reportes de vulnerabilidades a Fly Phishing (multi-stage
ataque - tokens event sincronized mais vulneráveis do que time
based) ￫ requer múltiplos OTPs entre o login e uma transacção
de risco
Token
Phish & Chips
• Smart Cards com Leitores Externos
•EMV (Europay, MasterCard & Visa) Smart Cards
•OTPs gerados no cartão ou num leitor externo
•Leitores externos são genéricos aplicáveis em múltiplas entidades e podem
ser emprestados – apenas o cartão é personalizado
• Elevado Custo (cartões que não são CAP compliant terão que ser
substituídos)
• Problemas
P bl
reportados
d (h
(http://www.chipandspin.co.uk/)
//
hi
d i
k/)
• PC based
• Smart Card ou token USB
• Nível de segurança dependerá do tipo de credenciais
• Credenciais PKI fornece armazenamento seguro e mais mobilidade
• A utilização de software especializado para autenticação de
transacções (utilizando assinaturas digitais) pode ser subvertido por
malware que explore vulnerabilidades Windows ou IE
PKI
Quando o PKI encontrou o Mundo Real
• 1997 ia ser o ano do PKI
• 1998 também...
• A realidade de hoje
• Todos os servidores SSL ou browsers utilizam um género de PKI
• Alguns países incorporam pares de chaves PKI nos seus cartões de
identificação nacional (e.g, Finlândia, Suécia, Bélgica etc)
• Alguns bancos escandinavos utilizam credenciais PKI para clientes
high-end
Out of Band
SMS ou VOZ OTP
• OTP enviado por SMS ou chamada de voz em cada login ou transacção
(e,g National Australia Bank)
• Segurança aproxima-se do hard token, mas com custos mais baixos
• Desvantagens
• Má Cobertura GSM pode causar latência
• Cliente pode ter que pagar cada SMS
• Poderá ser vulnerável a técnicas de phishing que tentem reutilizar de forma
imediata a informação capturada ￫ Resolvido utilizando multíplos OTPs entre o
login e a transacção de risco
Federação
Federar ou não Federar, eis a questão?
• O conceito de identidade federada é visto em muitos sectores como
essencial para o mercado online funcionar no futuro.
• Significa o reconhecimento mútuo de identidades virtuais e os
atributos associados ao mesmo por diferentes organizações, de forma
a ser transversal a fronteiras organizacionais e de canal (web vs.
Físico)
• A federação têm ocorrido dentro dos sectores (e.g Banca e Indústria
farmacêutica)
Esfera de Confiança Nacional
Prestador de Serviço
Prestador de Serviço
Paulo Vendeirinho
Paulo Vendeirinho
Condutor
Cidadão
Esfera de Confiança Privada
Paulo
Paulo
Vendeirinho
Vendeirinho
[Portugal]
Paulo
Vendeirinho
[Banco]
Prestador de Serviço
Prestador de Serviço
Paulo Vendeirinho
Paulo Vendeirinho
Investidor
Cliente do Banco
Emergentes
Identificação do Dispositivo do Cliente (CDI)
• Impressão Digital ou ID (Secure Flash Cookie) derivado das
características do dispositivo que acede (e.g, IP, localização
geográfica, configurações de software ou hardware,...)
• Limita ataques com passwords roubadas, a partir de dispositivos
arbitrários
• Não previne (caso as credenciais sejam conhecidas):
• Ataques que originam de trojans instalados no PC dos clientes
• Acesso fraudulento por parte de alguém com acesso físico ao
dispositivo
City, State,
Country Info
and C.F,
Top Level
Domain
IP Address
Hostname
and Router
Location
Fingerprinting
Anonymizing
Proxies
Connection
Speed
Connection
Type
Second Level
Domain
Emergentes
Detecção Automática de Anomalias
• Construir o perfil de comportamento do cliente ao longo do
tempo e medindo os desvios para a transacção do momento
• A detecção de uma anomalia poderá despoletar uma acção: e.g,
mensagem out of band para o cliente a solicitar a confirmação
dos detalhes da transacção
• Deverá ser complementar à autenticação forte
Nunca esquecer…
Out of the Box vs. Efectiva
Robustez Out of the Box ≠ Robustez Efectiva
Factores como a arquitectura tecnológica, Pessoas e Processos,
controlos e contexto do ambiente contribuem para a robustez efectiva
do(s) mecanismo(s) utilizado(s)
Privacy
A Questão Cultural
Management
<Insert Picture Here>
William Gibson
Science Fiction Author
“The
The future is already
here -it is just unevenly
distributed”
Casos de Estudo
A Cultura manifestada na adopção da tecnologia
• Sector Público
• Cartões de Identificação Nacional (exemplos: Bélgica, Estónia e Hong
Kong)
• Sector Privado
• CDI e Detecção automática de anomalias utilizados na Wells Fargo Bank
e Ameriprise nos EUA
• Em Portugal
g p
parece p
prevalecer p
passwords,, teclados virtuais,, cartões
matriz, e SMS OTP.
• OTPs largamente utilizados em bancos nas regiões Benelux,
Escandinavos, Bálticos e Ásia/Pacífico (Australia, Nova Zelândia e
Japão) apesar de maior custo. Exemplos: Rabobank (Holanda - >2M de
tokens), Fortis (Bélgica), Credit Suisse Group, Bendigo Bank (Australia)
• Smart Card Readers em entidades como a SEB Group (Suécia – 1M de
cartões) e UBS (Suiça – 500k cartões personalizados)
• Federação com o consórcio Identrus (composto por 60 instituições
financeiras em 166 países)
Factores Relevantes
The Cultural Cauldron
• Razões Históricas
• Exemplo do Taiwan
• Sistema de Saúde baseado em 10 esquemas diferentes com apenas 59% da
população coberta e problemas em monitorizar atribuição de prémios dos
seguros.Em 2002 introduziu-se smart cards (22 Milhões de individuos) que
permitem guardar dados importantes para casos de emergência e prescrições.
• Razões Sócio-Económicas
• Algumas
g
opções
pç
tecnológicas
g
((OTP)) têm um custo elevado de díficil
imputação ao cliente final
• Diferenças na noção de confiança no mundo real e no mundo virtual.
Confiança demora anos a estabelecer
• Usabilidade e Awareness
• Preocupações de Privicidade e Flexibilidade
• Razões Legais & Regulatórias
• FFIEC é um driver importante do upgrade de segurança na banca
americana
Conclusões e Perguntas
1.
A herança cultural de identidade única é questionada com a mudança de
paradigma da Internet
2.
Eterno risco da Internet sofrer um retrocesso para um mero sistema de
publicação
3.
O Mundo real exige uma melhor gestão de identidades digitais. Temos
maturidade tecnológica?
R: Sim. Pouco progresso na adopção de mecanismos mais sofisticados.
Porquê utilizar por exemplo tokens OTP quando muitas vezes o custo
excede os benefícios,
benefícios e a opção de sistemas de backend de detecção de
anomalias é uma realidade mais onerosa?
4.
Mas qual o Modelo a seguir? Será o modelo a criação de versões digitais
de identidades reais e insistir que devem ser utilizadas em todas as
transacções? (algo a monitorizar no futuro)
R: Não sabemos qual será o modelo, não por causa da complexidade das
tecnologias, ou o conjunto de modelos de negócio, mas porque demora
tempo no mundo real.