Fraude de Identidades Digitais: Desafio Tecnológico ou Cultural?

Transcrição

1 <Insert Picture Here> Fraude de Identidades Digitais: Desafio Tecnológico ou Cultural? Paulo Vendeirinho

2 Agenda Fraude Online: A Verdade Inconveniente A Resposta dada pela Tecnologia A Questão Cultural Conclusões e Perguntas

3 Fraude Online: A Verdade Inconveniente

4 Bravo Mundo Novo A promessa dos Serviços Online A Identidade digital para chegar mais próximo dos clientes de forma mais eficiente e com menores custos Serviços Financeiros Serviços de Saúde Instituições Educacionais Insitituições Governamentais ecommerce...

5 <Insert Picture Here> Charles Raab, Professor AHRB Research Centre in Intellectual Property and Technology, School of Law, University of Edinburgh In a Post Modern In a Post-Modern world it is no longer clear that any one identity is real

6 A Constatação do Problema A verdade (alguns anos depois) Phishing Man-in-the Middle Social Engineering Malware Phishing Man-in-the Middle Social Engineering Malware KeyStroke Loggers Session Hijacking A Internet foi construída sem forma de saber a quem e a quê nos estamos a ligar Inadvertidamente ensinamos as pessoas a serem phished e pharmed Falta-nos a camada de identidade na Internet Múltiplosl silos ou identity stores e pontos de administração i A Internet é atormentada com ameaças: Ataques Phishing por a subir 118% em três anos, com cada internauta a receber uma média de 80 s em 12 meses (Fonte:Gartner) $3.2B de perdas em Agosto de 2007 resultante de phishing. Média de perdas por utilizador diminuí de $1244 para $866 em comparação com Contudo, o número de vítimas aumentou. (Fonte: Gartner) Phishing Man-in-the Midd le Social Engineering Malware Phishing Man-in-the Middle Social Engineering Malware KeyStroke Loggers Session Hijacking

7 Privacy Management A Resposta da Tecnologia

8 Artefactos Tecnológicos KBA (Knowledge Based) Token PKI Out-of-Band Federação Emergentes

9 KBA (Knowledge Based Authentication) Passwords Simples, pads (ligação de letras a números), parciais Omnipresença está na origem do mal Nós ensinamos as pessoas a inserir passwords em tudo Algum valor pode ser acrescentado quando combinado com outros métodos

10 KBA (Knowledge Based Authentication) Dispositivos Virtuais Vários tipos: keypads, doc pads, cheque pads etc Protecção contra phishing Imagens e/ou frases personalizadas fornecem autenticação mútua Protecção contra spyware (keyloggers, mouse click loggers, trojans,...) Jittering Tamanho da imagem variável

11 KBA (Knowledge Based Authentication) Passwords Cognitivas Responder a uma série de questões para as quais anteriormente o cliente registou as respostas Primariamente utilizado para reset passwords ou registo Not People-Proof Respostas fácilmente descobertas Engenharia social ou ataques Guidelines Não utilizar dados confidenciais na questão Respostas díficeis de advinhar Respostas não podem ser obtidas de fontes públicas Utilizar questões que são aplicáveis ao público em geral Questões deverão ter significado pessoal e memorável Questões cuja resposta se pode alterar ao longo do tempo devem ser evitadas Questões não devem fazer referência a religião, política,...

12 Token Cartões Matriz Cartões Únicos com caractéres aleatórios por linha e coluna Equivalente a uma simples cifra de substituição (Cifra Polybius) Vulnerável a roubos e a um ataque teórico (spyware sofisticado poderá contruir uma imagem da grelha ao longo do tempo). Ataque facilitado pelo facto dos cartões serem raramente substituídos Vantagem de usabilidade e baixo custo Texto Texto Cifrado Mensagem Secreta

13 Token Tokens OTP Tecnologia provada Método mais utilizado na banca na Europa (Benelux, Escandinavos e Baltico), Médio Oriente & Africa Algumas desvantagens Elevado TCO ($50-$3 dependendo do volume Fonte:Gartner) O que fazer quando se trabalha com múltiplas entidades? Reportes de vulnerabilidades a Fly Phishing (multi-stage ataque - tokens event sincronized mais vulneráveis do que time based) requer múltiplos OTPs entre o login e uma transacção de risco

14 Token Phish & Chips Smart Cards com Leitores Externos EMV (Europay, MasterCard & Visa) Smart Cards OTPs gerados no cartão ou num leitor externo Leitores externos são genéricos aplicáveis em múltiplas entidades e podem ser emprestados apenas o cartão é personalizado Elevado Custo (cartões que não são CAP compliant terão que ser substituídos) Problemas reportados ( hi i PC based Smart Card ou token USB Nível de segurança dependerá do tipo de credenciais Credenciais PKI fornece armazenamento seguro e mais mobilidade A utilização de software especializado para autenticação de transacções (utilizando assinaturas digitais) pode ser subvertido por malware que explore vulnerabilidades Windows ou IE

15 PKI Quando o PKI encontrou o Mundo Real 1997 ia ser o ano do PKI 1998 também... A realidade de hoje Todos os servidores SSL ou browsers utilizam um género de PKI Alguns países incorporam pares de chaves PKI nos seus cartões de identificação nacional (e.g, Finlândia, Suécia, Bélgica etc) Alguns bancos escandinavos utilizam credenciais PKI para clientes high-end

16 Out of Band SMS ou VOZ OTP OTP enviado por SMS ou chamada de voz em cada login ou transacção (e,g National Australia Bank) Segurança aproxima-se do hard token, mas com custos mais baixos Desvantagens Má Cobertura GSM pode causar latência Cliente pode ter que pagar cada SMS Poderá ser vulnerável a técnicas de phishing que tentem reutilizar de forma imediata a informação capturada Resolvido utilizando multíplos OTPs entre o login e a transacção de risco

17 Federação Federar ou não Federar, eis a questão? O conceito de identidade federada é visto em muitos sectores como essencial para o mercado online funcionar no futuro. Significa o reconhecimento mútuo de identidades virtuais e os atributos associados ao mesmo por diferentes organizações, de forma a ser transversal a fronteiras organizacionais e de canal (web vs. Físico) A federação têm ocorrido dentro dos sectores (e.g Banca e Indústria farmacêutica) Esfera de Confiança Nacional Esfera de Confiança Privada Prestador de Serviço Paulo Vendeirinho Condutor Prestador de Serviço Paulo Vendeirinho Cidadão Paulo Vendeirinho [Portugal] Paulo Vendeirinho Paulo Vendeirinho [Banco] Prestador de Serviço Paulo Vendeirinho Investidor Prestador de Serviço Paulo Vendeirinho Cliente do Banco

18 Emergentes Identificação do Dispositivo do Cliente (CDI) Impressão Digital ou ID (Secure Flash Cookie) derivado das características do dispositivo que acede (e.g, IP, localização geográfica, configurações de software ou hardware,...) Limita ataques com passwords roubadas, a partir de dispositivos arbitrários Não previne (caso as credenciais sejam conhecidas): Ataques que originam de trojans instalados no PC dos clientes Acesso fraudulento por parte de alguém com acesso físico ao dispositivo City, State, Country Info and C.F, Top Level Domain IP Address Hostname and Router Location Fingerprinting Anonymizing Proxies Connection Speed Connection Type Second Level Domain

19 Emergentes Detecção Automática de Anomalias Construir o perfil de comportamento do cliente ao longo do tempo e medindo os desvios para a transacção do momento A detecção de uma anomalia poderá despoletar uma acção: e.g, mensagem out of band para o cliente a solicitar a confirmação dos detalhes da transacção Deverá ser complementar à autenticação forte

20 Nunca esquecer Out of the Box vs. Efectiva Robustez Out of the Box Robustez Efectiva Factores como a arquitectura tecnológica, Pessoas e Processos, controlos e contexto do ambiente contribuem para a robustez efectiva do(s) mecanismo(s) utilizado(s)

21 Privacy Management A Questão Cultural

22 <Insert Picture Here> William Gibson Science Fiction Author The future is already The future is already here -it is just unevenly distributed

23 Casos de Estudo A Cultura manifestada na adopção da tecnologia Sector Público Cartões de Identificação Nacional (exemplos: Bélgica, Estónia e Hong Kong) Sector Privado CDI e Detecção automática de anomalias utilizados na Wells Fargo Bank e Ameriprise nos EUA Em Portugal parece prevalecer passwords, teclados virtuais, cartões matriz, e SMS OTP. OTPs largamente utilizados em bancos nas regiões Benelux, Escandinavos, Bálticos e Ásia/Pacífico (Australia, Nova Zelândia e Japão) apesar de maior custo. Exemplos: Rabobank (Holanda - >2M de tokens), Fortis (Bélgica), Credit Suisse Group, Bendigo Bank (Australia) Smart Card Readers em entidades como a SEB Group (Suécia 1M de cartões) e UBS (Suiça 500k cartões personalizados) Federação com o consórcio Identrus (composto por 60 instituições financeiras em 166 países)

24 Factores Relevantes The Cultural Cauldron Razões Históricas Exemplo do Taiwan Sistema de Saúde baseado em 10 esquemas diferentes com apenas 59% da população coberta e problemas em monitorizar atribuição de prémios dos seguros.em 2002 introduziu-se smart cards (22 Milhões de individuos) que permitem guardar dados importantes para casos de emergência e prescrições. Razões Sócio-Económicas Algumas opções tecnológicas (OTP) têm um custo elevado de díficil imputação ao cliente final Diferenças na noção de confiança no mundo real e no mundo virtual. Confiança demora anos a estabelecer Usabilidade e Awareness Preocupações de Privicidade e Flexibilidade Razões Legais & Regulatórias FFIEC é um driver importante do upgrade de segurança na banca americana

25 Conclusões e Perguntas 1. A herança cultural de identidade única é questionada com a mudança de paradigma da Internet 2. Eterno risco da Internet sofrer um retrocesso para um mero sistema de publicação 3. O Mundo real exige uma melhor gestão de identidades digitais. Temos maturidade tecnológica? R: Sim. Pouco progresso na adopção de mecanismos mais sofisticados. Porquê utilizar por exemplo tokens OTP quando muitas vezes o custo excede os benefícios, e a opção de sistemas de backend de detecção de anomalias é uma realidade mais onerosa? 4. Mas qual o Modelo a seguir? Será o modelo a criação de versões digitais de identidades reais e insistir que devem ser utilizadas em todas as transacções? (algo a monitorizar no futuro) R: Não sabemos qual será o modelo, não por causa da complexidade das tecnologias, ou o conjunto de modelos de negócio, mas porque demora tempo no mundo real.

26