Duas pesquisas colocaram em cheque o método de autenticação por dois fatores baseado em chaves eletrônicas
Dois estudos sugerem a necessidade de avanços tecnológicos para restaurar o brilho da autenticação de dois fatores como tecnologia ou método de segurança. O trabalho “Dissecting Operation High Roller”, da McAfee e da Guardian Analytics, descreve como uma gangue internacional criminosa atingiu contas bancárias de empresas e de indivíduos para tentar roubar milhões de euros. Usava transferências não autorizadas e fraudulentas baseadas em um processo automatizado associado a servidores remotos.
Os métodos de autenticação de dois fatores permitiram o acesso às contas bancárias pelos criminosos, que subverteram os computadores das vítimas com malware. Mas, além disso, os processos de autenticação dos usuários foram até integrados ao fluxo automatizado de processamento do esquema criminoso.
“Nunca tinha visto caso semlhante”, disse Dave Marcus, diretor de pesquisa avançada e inteligência sobre ameaças da McAfee, coautor do estudo com o pesquisador Ryan Sherstobitoff, da Guardian Analytics.
O estudo foi parte de uma investigação forense sobre uma onda de cibercrimes desencadeada no início do Inverno de 2011, que atingiu bancos europeus.
Os criminosos, neste caso, projetaram o seu processo de roubo de contas de forma a obterem o melhor aproveitamento das informações do sistema de dois fatores. “Desenvolveram uma tecnologia de fraude baseada na exigência da autenticação por dois fatores”, conta Marcus. O sistema automatizado aproveitava os dados de autenticação da pessoa no processo de identificação na máquina comprometida e incorporava as informações do código PIN e do chip, que eram usadas depois em um processo de hacking automatizado visando realizar transferências de fundos fraudulentas. “A receptação das informações da chave eletrônica (token) era parte do processo da fraude”, diz Marcus.
Por isto, McAfee e a Guardian Analytics passaram a alertar para a falência da autenticação por dois fatores baseada em dispositivos físicos. “As instituições financeiras devem levar esta alerta a sério, especialmente se considerarmos a possibilidade de a técnica utilizada poder ser expandida para outras formas de dispositivos de segurança física”, sustentaram.
Embora não aconselhe ninguém a deixar de usar a autenticação por dois fatores baseada no uso de chip e PIN, um método de defesa consolidado, Marcos ressalva que a onda de cibercrime na Europa sugere a necessidade de haver algum tipo de melhoria na concepção da metodologia por dois fatores.
Steve Hope, diretor técnico da Winfrasoft, com sede no Reino Unido, já propôs o seu próprio método de autenticação por dois fatores chamado PINgrid e concorda com a necessidade de haver abordagens inovadoras. Embora não seja algo que a empresa veja os seus clientes empresariais fazendo, é possível sugerir novas abordagens para a autenticação por dois fatores, com o objetivo de abordar as questões problemáticas. “Hoje, a autenticação por dois fatores não tem nada a ver com a transação”, diz Hope. O problema subjacente pode ter a ver com o facto de ela não estar diretamente ligada à validação de transações e ao código de conta, reforça.
Os dois processos estão separados hoje, mas deve ser possível uni-los para repelir ataques sofisticados no futuro. No entanto, salienta que “o malware está à frente, já”. A empresa despertou para o problema quando pesquisadores de criptografia do instituto francês INRIA publicaram um documento técnico onde alegam terem descoberto meios práticos para acelerar ataques em dispositivos de chaves eletrônicas (token). O artigo “Efficient Padding Oracle Attacks on Cryptographic Hardware” eles descrevem esse processo.
O grupo de pesquisadores da chamada “Equipe Prosecco”, reivindica a possibilidade de extrair chaves criptográficas a partir de “tokens” como os da Alladin, da Gemalto, da RSA SecurID, da Safenet ou da Siemens. Acabaram por despertar um “vespeiro” de reações. A RSA, divisão de segurança da EMC, refutou acaloradamente as descobertas da equipe Prosecco sobre o token SecurID, face ao qual a equipe diz ter diminuído o tempo de ataque para 13 minutos. Mas os dispositivos de chaves eletrônicas de outros fabricantes também foram considerados vulneráveis, embora com tempos de ataque necessários mais longos, variando dos 21 aos 92 minutos.
“Esta é uma afirmação alarmante e deve interessar aos clientes que implementaram o sistema de autenticação RSA SecurID 800”, escreveu Sam Curry, CTO da empresa. “O único problema é que não é verdade. Muita da informação divulgada exagera nas implicações práticas da investigação, e confunde a linguagem técnica de uma forma que torna impossível aos profissionais de segurança avaliarem o risco associado com os produtos usados hoje com precisão. O resultado inicial é desperdício de tempo por parte dos utilizadores de produtos e da comunidade em geral, para determinar os fatos da situação”. Curry procurou chegar a várias publicações para corrigir a ideia inicial. No entanto, alguns pesquisadores de criptografia nos EUA dizem que as reivindicações por parte dos franceses não devem ser levianamente desprezadas. Matthew Green, investigador da John Hopkins University, assinalou no seu blogue “um tpo ruim para o setor de criptografia”. Para este acadêmico, o trabalho da equipe Prosecco era apenas a última má notícia.
“Todos esses ‘tokens’ usavam uma implantação vulnerável do sistema de cifra da RSA. Sabemos que o esquema é vulnerável desde 1998. Portanto, nesse sentido, não há nada de fundamentalmente novo”, disse.
Contudo, o responsável alerta que a pesquisa mostrou como “os dispositivos eram vulneráveis a esses ataques conhecidos”, e “não há qualquer boa razão para os programadores não terem detectado o problema, mesmo antes de os resultados da pesquisa terem sido publicados”. Além de tudo, os investigadores da equipe Prosecco “diminuíram extremamente o tempo de ataque e tornaram prático atacar esses dispositivos”. Ora “isto tem muita importância porque os dispositivos não são assim tão rápidos. O novo ataque pode ser executado em poucos minutos, em vez de horas ou dias”, refere.
Green diz que não tinha qualquer intenção de ser “alarmista” sobre o que significa o ataque, porque tudo “depende de como os ‘tokens’ usados em aplicações específicas”. Mesmo assim, alerta que “a segurança não tem a ver com o melhor cenário mas com o planejamento para o pior”.
Concluiu ainda que as empresas dependentes dos “tokens” devem estar preocupadas e “tomar medidas para se protegerem e aos dados dos seus clientes”.