Os recentes ataques do Anonymous, já avisados semanas antes, demonstraram que alguns de nossos ativos de tecnologia estão expostos de forma irremediável a ciber-ataques.
Dentro do escopo da operação OpWeeksPayment planejada pelo Anonymous, nos últimos dias os bancos Itaú e Bradesco sofreram ataques que tiraram do ar por algumas horas, e de forma intermitente, os portais de acesso ao serviços bancários pela Internet.
O ataque realizado teve características de DoS (Denial of service, negação de serviço) e não implicaram em acesso a informações críticas, invasão a servidores internos ou acesso a dados de contas. Para quem não entende muito bem o conceito de DoS, imagine você chegando à porta da sua casa para entrar e existem centenas de pessoas à frente da porta... você se afasta, aguarda um pouco e quando tenta novamente estas pessoas estão lá novamente... o que acontece é que você não vai conseguir entrar na sua casa, o que não significa que as outras centenas de pessoas conseguiram. Eles apenas estão lá, bloqueando, impedindo a sua entrada. Um ataque de DoS tem mais ou menos esta dinâmica.
Apesar de alguns poucos artigos na internet recomendarem aos usuários evitar o uso de serviços bancários pela internet, é importante lembrar que os sites bancários brasileiros são provavelmente os mais seguros do mundo. Chegar aos dados de contas e movimentações financeiras é algo muito, muito difícil. Não vou dizer que é impossível por que não existe 100% de segurança em nada, mas é altamente improvável. Seria necessário o acesso a várias informações privilegiadas e muito provavelmente uma ação coordenada envolvendo usuários internos.
Atualmente os acessos aos bancos utilizam múltiplos fatores de autenticação (tais como os tokens) e vários mecanismos técnicos para garantir que o acesso é legítimo. Sem "puxação de saco", o Bradesco, particularmente, é um dos bancos que possui mais experiência e ferramental para garantir um acesso seguro aos serviços financeiros.
Apenas lembre-se que quanto mais segurança um ambiente oferece, menos usabilidade você terá. Por isso em vários bancos você tem que entrar com usuário, senha, CPF, token, senha de acesso, senha de aprovação e por aí vai. Para conseguir entregar um ambiente seguro, em função da criticidade dos serviços e informações oferecidos, as instituições precisam usar uma composição de técnicas por que não existe solução que forneça 100% de segurança. Particularmente contra DoS.
É necessário muito estudo, trabalho e monitoramento.
Veja mais sobre o tema:
http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?from%5Finfo%5Findex=21&infoid=10264&query=simple&search%5Fby%5Fauthorname=all&search%5Fby%5Ffield=tax&search%5Fby%5Fkeywords=any&search%5Fby%5Fpriority=all&search%5Fby%5Fsection=all&search%5Fby%5Fstate=all&search%5Ftext%5Foptions=all&sid=60&text=acesso+leg%EDtimo
http://videos.tvdecision.com.br/security_leaders2011/23/8_Segundo_Painel%20_Security_Leaders_acesso_legitimo.wmv
http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=10256&sid=60
Um comentário:
Com certeza o medo de acessar serviços bancários por temer segurança não faz o menor sentido. Como colocado, o Bradesco é o que tem uma das melhores seguranças, com N bloqueios que chegam a impedir até mesmo malwares instalados na máquina do usuário. Os outros bancos não ficam atrás, tendo um aparato bastante seguro para garantir as transações. Mas, infelizmente, quem põe as asinhas na internet está sujeito a ataques de DoS e uma variante do mesmo, mas como resultados mais rápidos, DDoS (que aliás é a forma como o Anonymou realizou o ataque) ;)
Abraço Fabian! Ótimo post
Postar um comentário