• Especialista em Segurança Ameaçado de Prisão

    Acreditem se quiser! Raoul Chisea, um especialista em segurança italiano, foi ameaçado de prisão na conferência Hack In The Box, caso participasse como palestrante no evento. O assunto da palestra? A segurança dos terminais de atendimento bancário utilizados para transações financeiras (os conhecidos ATMs). Chisea trabalha para várias organizações, incluindo a ENISA (European Network and Information Security Agency) e a UNICRI (United Nations Interregional Crime and Justice Research Institute). Ele pŕetendia dar uma palestra sob o tema "The Underground Economy" (em tradução literal, "A Economia do Submundo"), mostrando como criminosos são capazes de obter dinheiro explorando vulnerabilidades de segurança em ATMs.

    O curioso de toda a história, é que Chisea não estava fazendo nada de errado. Inclusive o mesmo já havia alertado com muita antecedência os fabricantes dos ATMs sobre as vulnerabilidades de seus projetos. Só que ao invés dos fabricantes corrigirem o problema, resolveram ameaçar com prisão o especialista em segurança. E a pergunta que fica é: que mundo é esse? Fabricantes de ATMs ameaçando um especialista em segurança de cadeia? Com que poder? Isso é só mais uma mostra do quão corrupto é o nosso mundo?

    Qualquer brecha em sistemas de uso público devem ser corrigidas assim que são encontradas, e não, manter o sistema com o problema, com potencial para uso indevido por quem detém o conhecimento e possui as ferramentas (e os contatos) certos para a ação. As empresas responsáveis pelos ambientes inseguros podem até alegar que a divulgação dessas informações pode levar ao crescimento das ações criminosas no mercado, tendo como alvo, os ATMs. Ou até mesmo que o custo financeiro para reparar os sistemas e corrigir as brechas, é muito alto. Em ambos os casos, isso é irreal.

    Qualquer sistema de uso público deve ser reparado de imediato, ao serem detectados problemas que possam levar ao seu mau uso, com o intuito de prover ganhos ilícitos. E em um sistema bancário isso é deveras perigoso. E o problema em manter o sistema "do jeito que está", e tentar "calar a boca" de quem descobriu as brechas, é que o mesmo pode ser explorado de forma negativa tanto dentro quanto fora das instituições responsáveis pela manutenção dos ATMs.

    Pensem bem: não somente criminosos de fora do sistema que poderão se aproveitar dessas falhas para enriquecer de forma ilícita. O mesmo processo poderia muito bem ser utilizado de forma "interna" para movimentação de montantes de dinheiro sem que ninguém precise "saber" o que está acontecendo.

    E quanto a questão financeira, ou melhor dizendo, o custo para se reparar milhares de ATMs com problemas de segurança, o mesmo é parte integrante do "serviço" prestado pela empresa financeira (ou empresa responsável associada as instituições financeiras). Não se pode deixar brechas potencialmente perigosas em sistemas financeiros. Querer viver da ilusão, que a ignorância garante a segurança, é irreal e perigosa. Ou pior ainda! Quem garante que uma brecha como essa está lá por interesse de partes escusas? è como manter back doors dentro de programas de uso público. O responsável por sua implementação pode muito bem monitorar os usuários, e ainda roubar-lhes dados pessoais e confidenciais como senhas bancárias, ou senhas para serviços digitais em geral.

    Outro agravante dessa história, é a ameaça de prisão por parte dessas mesmas instituições ao palestrante, que é especialista em segurança. Uma empresa financeira não pode nem deve ter esse poder no mundo. É perigoso ao extremo.

    O irônico de toda essa história é que Chisea já havia apresentado palestra similar na NullCom 2010. Entretanto, o slide mostrando a interface do ATM havia sido removido da apresentação.


    Links de Interesse:

    - Security expert once more threatened with arrest for giving talk
    Comentários 3 Comentários
    1. Avatar de lfaria
      lfaria -
      Code,

      As instituições financeiras não corrigem os problemas citados e optam pelo ressarcimento no caso de fraudes. Obviamente nunca admitiriam isso. E também não querem que venha a público, pelo menos ao grade público.

      Sai mais barato.

      Isso ocorre também com sistemas de Internet Banking. Já outros interesses escusos por traz disso tudo não está descartado.
    1. Avatar de code
      code -
      Citação Postado originalmente por lfaria Ver Post
      Code,

      As instituições financeiras não corrigem os problemas citados e optam pelo ressarcimento no caso de fraudes. Obviamente nunca admitiriam isso. E também não querem que venha a público, pelo menos ao grade público.

      Sai mais barato.

      Isso ocorre também com sistemas de Internet Banking. Já outros interesses escusos por traz disso tudo não está descartado.
      Acho um absurdo eles se isolarem desse jeito pensando apenas em ressarcir caso ocorra um problema. Afinal, quem garante que as pessoas vão ser ressarcidas? Como elas vão provar que o problema não é delas, mas sim das instituições financeiras? Dependendo da liberdade das brechas de segurança em um ATM, um fraudador poderia muito bem movimentar milhões no nome de várias pessoas, manipulando suas contas como se fossem elas. E quem provaria que não foram elas que movimentaram as suas contas?

      E concordo com você que, deixando a coisa desse jeito, o potencial para ações e interesses escusos aumenta.
    1. Avatar de cleitonrodrigue
      cleitonrodrigue -
      Absurdo pensar que é mais comodo CALAR do que AGIR para resolver os problemas; Omitir à esclarecer, economizar à enganhar...o pobre usuário.
    + Enviar Comentário


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L