Comparativo de algumas características do Pulso "dt-Security" e de produtos com Anti-Trojans

Fonte: Pulso

Este documento apresenta um comparativo de algumas características do Pulso dt-Security e de produtos com Anti-Trojans, atualmente utilizados para proteção dos Internet Bankings de algumas instituições financeiras brasileiras. Além disso, também procura demonstrar o posicionamento frente a outras soluções de segurança do mercado. O documento está elaborado numa forma de perguntas e respostas (Q&A).

1. Por que usar o dt-Security se já temos um "Anti-Trojan"?

-- O dt-Security é significativamente menos intrusivo. Sua função é autenticar o
usuário e mantê-lo autenticado através de protocolos criptográficos fortes,
sem utilizar-se de técnicas não documentadas e "exploits" que podem ser
corrigidos através de um FIX do Windows;

-- Produtos "Anti-Trojan", agem como ferramentas de monitoração do Windows,
competindo muitas vezes com Anti-Vírus, Anti-Spyware e Personal Firewall.
Por causa disso, muitas vezes disparam ações destes pelo nível de controle e
intrusão que é necessário a um Anti-Trojan para ter esse mesmo controle;

-- Além da questão de Intrusão, os produtos de Anti-Trojan trazem uma
questão indesejável às instituições financeiras que é a "co-responsabilidade
jurídica". Considerando que esse produto serve para controlar e coibir a ação
de quaisquer programas maliciosos nas estações dos clientes do banco, no
caso de uma fraude, o banco, sendo fornecedor dessa ferramenta, será
naturalmente imputado como co-responsável pelo ocorrido, já que seu produto
não agiu como prometido.

2 -- Como age o dt-Security?

O Pulso dt-Security é fundamentalmente um Token OTP sendo executado na estação. Sua efetividade é alcançada por um conjunto de características combinadas:

-- É fornecido como um aplicativo que é instalado nas estações dos clientes. A partir de um conjunto de fatores combinados permite um excelente nível de segurança em sua atuação. Essa ação conjunta de OTP, protocolos seguros e sementes baseadas em informações aleatórias e da estação do cliente dificultam bastante a ação de fraudadores;

-- Uma das premissas básicas do Pulso dt-Security é sua comunicação com o
ambiente servidor em separado do IB. Desta forma, se atacado, o IB poderá agir desligando a sessão do usuário, se considerar esta comprometida em termos de segurança;

-- A segurança da solução está baseada nos seguintes fatores:
o Ancoragem forte: Características do computador do usuário são armazenadas
no servidor e verificadas durante a autenticação. Este mecanismo torna ínfima
a chance de um atacante conseguir obter uma senha OTP em computador que
não é o do cliente, mesmo tendo a senha de acesso; o Senha OTP (One Time Password) gerada a partir de informações aleatórias em ambiente servidor: Esta senha é gerada apenas no momento da autenticação e é válida por um curto período de tempo; o Protocolo seguro de autenticação (SRP -- Secure Remote Password): Possibilita que senhas OTP sejam repassadas à estação de forma segura.

3 -- Como agem os Anti-Trojans?

Produtos de Anti-Trojans agem basicamente no controle de aplicações
possivelmente maliciosas, tanto no ambiente Windows como nas instâncias dos
navegadores sendo executados. Para tanto, agem de duas formas básicas:

-- Por assinatura: De forma idêntica aos anti-vírus, eles buscam nas áreas de
memória do Windows por aplicações reconhecidas como maliciosas e as
"derrubam" ou põe em "quarentena";

-- Por comportamento: Agem analisando certos comportamentos considerados
suspeitos como varredura da área do windows buscando pressionamento de teclas ou captura de objetos na instância do navegador durante uma sessão do Internet Banking.

Problemas dos mecanismos acima:

-- Mecanismos baseados em assinatura têm um problema inerente que é a
atualização da base de assinaturas. Além do natural consumo de banda, essas
bases podem ser atacadas de diversas formas, tornando a ação desses programas inócua. Além disso, programas spyware podem ter suas assinaturas trocadas constantemente de forma que os atacantes sempre estejam um passo à frente da atualização. Um atacante não precisa atacar toda a base de clientes para ter sucesso e poucos insucessos da instituição bancária são suficientes para grandes dores de cabeça;

-- Varreduras por comportamento têm sua dificuldade calcada na possibilidade do programa atacante variar seu comportamento constantemente tornando esses programas dependentes de atualizações contínuas. Este cenário torna o processo de atualizações uma guerra que dificilmente pode ser vencida. Os custos de atualizações constantes de aplicativos trazem grandes problemas operacionais para as instituições. A não atualização desses aplicativos deixa uma dúvida óbvia da sua efetividade considerando o teatro crítico de fraudes que ocorrem atualmente.

4 -- Qual o espectro de atuação de cada um deles?

Os produtos Anti-Trojan buscam "blindar" de forma "ativa" os sistemas de
Internet Banking. Considerando que o ambiente Windows oferece inúmeras
oportunidades para ações maliciosas, essa abordagem será sempre algo que
sabidamente temos que nos preocupar. É notório que produtos com o mesmo
perfil, como Anti-Virus e Anti-Spyware não resolvem totalmente o problema nem
de perto, mesmo sendo feitos por grandes corporações internacionais com grande "know-how" e recursos financeiros;


O Pulso dt-Security é um elemento de reforço na segurança do canal a que serve, como os sistemas de Internet Banking. Para quebrar sua segurança os atacantes terão que romper suas diversas características de forma simultânea, o que torna esse ataque custoso aos fraudadores.

5 -- E se estas aplicações caírem, não existirá mais proteção?

Os produtos Anti-Trojans atualmente disponíveis e instalados em alguns sistemas de Internet Banking funcionam geralmente como aplicativos ou serviços Windows carregados. A verificação de sua execução é feita durante o processo de autenticação inicial do IB. Qualquer ação de derrubada desses serviços, após a autenticação é de difícil verificação e pode ser simulada por um aplicativo substituto sem qualquer ação a não ser a de roubar informações dos correntistas. Mesmo aplicativos que disponham de conexão constante com o ambiente servidor podem ser atacados considerando que são aplicações que não dispõe localmente de proteção através de hardware "tamperproof".

O Pulso dt-Security poderia ser atacado e substituido, considerando que é software e também não dispõe de hardware tamper-proof. Ocorre que sua substituição obriga os atacantes a simularem características da estação do cliente e estabelecerem autenticação constante com o ambiente servidor. Como o produto é a ferramenta de autenticação do IB e esta informa suas últimas conexões, o próprio cliente poderia detectar ações maliciosas em sua conta ao ser informado que sua última conexão ocorreu em equipamento diferente daquele ou em horários aos quais ele não navegou.

O Pulso dt-Security é um produto que além de autenticar, permite a monitoração com anuência do cliente de suas ações. A ação de derrubada ou ação de eliminar a eficácia de um programa “Anti-Trojan” é notadamente mais fácil que a ação de personalização de um programa de autenticação dependente de diversos fatores simultâneos. Os atacantes sempre atacam o que é mais óbvio.

6 -- Como se posiciona o Pulso dt-Security se comparado à tokens físicos,
tokens celulares, e certificados digitais?

Existe uma escala comparativa que associa esses dispositivos a fatores como nível de segurança, custos, alcance na base de clientes e praticidade de uso.
Indiscutivelmente, os dispositivos baseados em hardware, como smartcards utilizando certificados digitais ou mesmo tokens OTP físicos, são os mais seguros. No entanto, seu custo, questões de praticidade operacional e alcance na base tornam a sua adoção proibitiva a diversos segmentos de clientes.

A Solução Pulso dt-Security é voltada para a disseminação em massa em segmentos de grande volume de clientes, onde soluções mais onerosas sejam proibitivas. Isso não significa, no entanto, menor segurança. O projeto do Pulso dt-Security foi concebido para manter um conceito que é aceito como eficiente hoje, que são senhas dinâmicas (OTP) associadas a processos de monitoração constante da navegação do cliente, fator fundamental para garantir a sua própria segurança, além de protocolos de comunicação seguros (SRP). Além disso, mesmo nos segmentos que justifiquem a adoção de outros dispositivos de segurança, o Pulso dt-Security pode e deve continuar a ser adotado como mais um elemento de reforço.

7 -- Alguns produtos de Anti-Trojan oferecem proteção contínua além do
uso do Internet Banking da Instituição. Isso é vantajoso para o usuário e/ou
para a instituição que os adotam?

A necessidade em "blindar" ações de programas maliciosos que porventura possam atacar a aplicação de Internet Banking obriga os produtos de Anti-Trojan a tentar proteger o equipamento de diversos tipos de ataques existentes: BHOs, aplicativos Spyware que trazem falsos Pop-Ups, Keyloggers/mouseloggers que atuam no canal USB, etc. Essa diversidade de abordagens torna necessária, em alguns casos, que a proteção se extenda além do momento de uso do Internet Banking. Essas técnicas trazem alguns problemas já citados nesse documento:

-- Maior intrusividade;
-- Co-responsabilidade Jurídica;
-- Dificuldade em localizar o responsável por qualquer problema ocorrido na estação;

A Pulso considera mais vantajoso para seus usuários que uma solução de segurança preocupe-se com o canal de atuação a que serve. Dessa forma, o Pulso dt-Security foca-se em gerar uma senha de uso único, que vai ser utilizada exclusivamente na autenticação do usuáro no Internet Banking, seja no momento inicial de entrada no Internet Banking ou na confirmação de alguma transação. Essa técnica não deixa margens de dúvidas do seu uso e quaisquer problemas de travamento, comportamento anormal de aplicações, devem ser buscadas longe da solução de autenticação do Banco, que meramente é uma aplicação que se conecta na internet e imprime uma sequência numérica.

8 -- Alguns produtos de Anti-Trojan são detectados como maliciosos ou
geram alertas de sistemas Anti-Virus e Anti-Spyware. O dt-Security
apresenta o mesmo problema?

O Pulso dt-Security é um aplicativo que não executa nenhum tipo de ação baseada  em funções não documentadas ou “exploit”. Dessa forma não é passível de ser detectado por ferramentas que buscam comportamento considerado malicioso.

No entanto, como se conecta à internet (via HTTP ou HTTPS), é detectado por
produtos de Personal Firewall e nestes casos sua conexão deve ser aprovada. O Pulso dt-Security é uma aplicação assinada digitalmente pela Instituição que a usa e sua origem pode ser comprovada pelo usuário.

www.pulso.com.br