Tecnologia

Quebra de segredo de tokens não deve alarmar usuários

Ataque a aparelhos nos EUA revela falha específica e não deve assustar, por exemplo, brasileiros que usam dispositivo para acessar contas bancárias

Tokens: segurança dos dispositivos varia entre seus fabricantes, dizem especialistas (Divulgação)

Tokens: segurança dos dispositivos varia entre seus fabricantes, dizem especialistas (Divulgação)

DR

Da Redação

Publicado em 20 de junho de 2011 às 21h25.

São Paulo - Com as dimensões de um chaveiro, o token é um dispositivo de segurança cujo funcionamento é simples. O usuário aperta um pequeno botão na extremidade do aparelho, que imediatamente exibe uma sequência numérica em seu visor. O código deve, então, ser informado a um sistema, o site de um banco, por exemplo.

Do outro lado da conexão, a central de segurança bancária confere se a numeração está correta, liberando ou não o acesso do usuário a seus serviços. Isso é possível porque a sequência numérica exibida pelo token, aparentemente aleatória, obedece na verdade a um padrão previsto pelo sistema central. O código, alterado em invervalos de segundos, está atrelado ainda ao identificador serial do produto – e este, por sua vez, está vinculado à conta do usuário.

Um golpe na confiabilidade dos tokens foi desferido há algumas semanas, quando invasores obtiveram acesso a computadores da Lockheed Martin, fornecedora de material bélico do governo americano. A companhia utilizava o token da RSA Security, subsidiária da EMC Corp, para franquear a funcionários acesso a seu servidor. O ataque, considerado complexo, consistiu na quebra do segredo do token, ou seja, os crackers conseguiram emular o padrão de geração de sequências numéricas.

Em seguida, o código foi usado conjuntamente com senhas e logins, adquiridos em golpes anteriores. A RSA tomou, então, uma decisão difícil, mas fundamental em situações similares: trocar milhões de aparelhos que estavam em poder de seus clientes. "Queremos garantir a tranquilidade de todas as pessoas que utilizam nosso produto", afirmou na semana passada um porta-voz da companhia. Fim de caso? Sim, garantem os especialistas. "O sistema da RSA será tão seguro quanto era antes do ataque", diz Mark Diodati, especialista da consultoria de mercado Gartner.

Os analistas asseguram que o episódio não indica que um ataque em massa a usuários de tokens seja iminente ou sequer exequível. "O problema em questão ocorreu com um fabricante específico e não afeta outros desenvolvedores de tokens, pois cada uma tem sua própria tecnologia", diz Cassio Pereira, consultor de segurança da informação da EZ-Security.

A BRToken, por exemplo, companhia brasileira que fabrica tokens, esconde o segredo – o algoritmo que gera as sequências numéricas – literalmente a sete chaves. "Ele está em um arquivo criptografado dentro do cofre de um banco. Totalmente fora da rede", conta Carlos Eduardo da Fonseca, diretor da empresa.

Sem acesso aos dados, a missão dos criminosos de conhecer o padrão de criação de sequências numéricas é dificultada. Seria necessário realizar um processo complicado conhecido como engenharia reversa, que consiste em descobrir, a partir de uma sequência numérica, o padrão que a gera. A tarefa pode consunir dias, meses ou até anos de trabalho.

Ainda que os criminosos fossem bem-sucedidos nessa primeira fase, esbarrariam em outros obstáculos. Para invadir contas bancárias, por exemplo, além do padrão do token, seria necessário obter senha e login de cada usuário alvo. "Os criminosos teriam, então de realizar ataques exitosos individuais, enviando os conhecidos e-mails falsos de bancos solicitando recadastramento, por exemplo", diz Pereira. Em resumo: um ataque em massa só teria êxito caso os crackers conseguissem acessar de forma irrestrita dados de bancos e empresas.

A área de segurança digital obedece a uma regra simples: quanto mais barreiras à ação de criminosos, melhor. A razão também é simples. O tempo e o dinheiro que crackers precisam investir para lograr êxito em um ataque virtual são proporcionais ao tamanho e à complexidade do sitema de proteção. Assim, a certa altura, tentar cometer o crime não compensa. Por outro lado, todo ataque bem-sucedido revela uma falha. Para minimizar problemas, Fonseca, da BrToken, orienta os usuários a seguir as orientações de segurança. "Nunca informe a terceiros o código serial do token ou a sequência numérica exibida no visor do aparelho", diz. "Os tokens, assim como senhas, constituem umas das camadas de proteção de sistemas eletrônicos. Se qualquer uma delas for exposta indevidamente, cresce a vulnerabilidade."

Acompanhe tudo sobre:BancosFinançasHackersseguranca-digital

Mais de Tecnologia

Como a greve da Amazon nos EUA pode atrasar entregas de Natal

Como o Google Maps ajudou a solucionar um crime

China avança em logística com o AR-500, helicóptero não tripulado

Apple promete investimento de US$ 1 bilhão para colocar fim à crise com Indonésia