Alunos do IFSC desenvolvem sistema seguro para transações online
Faz algum tempo que as comunidades de segurança de informação discutem a permeabilidade e as falhas de segurança detectadas nas transações online efetuadas com os bancos. Paulo Matias, aluno de doutorado do Curso de Física Computacional do IFSC, reuniu uma equipe e desenvolveu um novo método de tokens que permite restaurar a confiança dos usuários e dos bancos.
Uma equipe do IFSC, constituída por docentes, alunos e técnicos, apresentou uma proposta que visa aumentar o nível de segurança das transações bancárias, unificando os conceitos de token e de cartão de débito/crédito, além de integrar parte da funcionalidade das famosas máquinas de cartão no próprio dispositivo, que fica em posse do usuário, com o foco de combater as fraudes bancárias pela Internet – que estão cada vez mais avançadas.
O trabalho desenvolvido pelo grupo constituído por Alfredo Queiroz, André Smaira, Antenor Petrilli Filho, Prof. Dr. Attilio Cucchieri, Daniel Haddad, Felipe Ferreira, Gabriel Salla, Heitor Bittencourt, José Teixeira da Silva Júnior, Krissia de Zawadzki, Lucas Sala, Prof. Dr. Luiz Nunes de Oliveira, Paulo Matias, Thereza Fortunato e Vinícius Auríchio, sob coordenação do Prof. Dr. Carlos Antonio Ruggiero, é seguidamente explicado por aquele que foi o membro que propôs a ideia do projeto: Paulo Matias.
Os programas maliciosos
Todo o ano ocorre, na cidade de São Paulo, uma conferência não-acadêmica dedicada a segurança de informação, denominada H2HC, onde, em anteriores edições, um dos destaques foi a discussão sobre a eventualidade de, num futuro próximo, poder surgir um ataque informático chamado “MitB – man-in-the-browser” (traduzido para o inglês = homem no navegador), um tema que foi levantado por Augusto Paes de Barros em 2005, quando se referiu à evolução e refinamento dos conhecidos “Cavalos de Tróia”. Esse ataque (agora uma realidade) seria uma espécie de atualização de outro velho ataque já bastante conhecido, chamado “man-in-the-middle” (traduzido para o inglês = homem no meio), ou seja, a existência de um hacker entre dois computadores na rede com a finalidade de executar fraudes. Quanto ao “man-in-the-browser” a (má) intenção é colocar um hacker dentro do próprio navegador do computador do usuário, sendo quase impossível detectá-lo: e, foi a partir dessa realidade que Paulo Matias começou a desenvolver o projeto e a convidar os restantes membros da equipe para a execução do trabalho: Esse programa malicioso chamado “man-in-the-browser” modifica o código do navegador por forma a que ele se comporte de maneira diferente do que seria habitual, refere Paulo. Por exemplo, o usuário entra no site de seu banco com a finalidade de executar uma transferência: acionando essa operação, o site informa que está em curso a operação solicitada, mas na verdade o que aparece na tela do computador é apenas uma cópia perfeita do site do banco e o resultado é que a transferência vai parar em outra conta, com a agravante de que o hacker pode, inclusive, alterar o valor da operação, pontua Paulo. E pronto, a fraude foi concretizada sem deixar rastro. Nesse caso, até o usuário ou o banco descobrirem o que na realidade aconteceu, o dinheiro já foi lavado… Sumiu!: Na versão anterior (“man-in-the-middle”), a criptografia de conexão entre o computador do usuário e o banco resolvia o problema, ou seja, a fraude podia ser solucionada. Agora, com o “man-in-the-browser”, o caso muda de figura e fica muito difícil e demorado detectar a fraude. Pode- se argumentar que, neste caso, poderia deixar-se correr um antivírus, mas essa opção não garante o sucesso da operação, pois as assinaturas de detecção demoram a ser atualizadas pelas empresas, explica Paulo Matias.
Os tokens bancários
Foi a partir do surgimento dos primeiros programas maliciosos, que começaram a ser desenvolvidos os chamados tokens bancários, equipamentos instalados em pequenos chaveiros, oferecidos pelos bancos e transportados pelos seus clientes mais ilustres. De fato, esse pequeno chaveiro é constituído por uma pequena tela e por um par de botões. Quando você pretende fazer uma operação bancária eletrônica, é só apertar um dos botões e o pequeno aparelho gera um número de código que é identificado pelo servidor do banco, confirmando que esse número é a identificação provisória do cliente, já que essa numeração muda aleatoriamente a cada minuto que passa. Contudo, esses primeiros tokens não cumpriram plenamente sua missão, conforme explica Paulo Matias: De fato, os algoritmos usados por esses tokens falharam completamente: foram descobertas muitas falhas, tendo mostrado que se tratava de um equipamento falível e que não resistiriam a um eventual ataque de um “man-in-the–browser”. Se houver um programa malicioso dentro do computador do usuário, esse programa irá alterar a informação que está sendo mostrada ao usuário, procedendo a uma transação para uma conta diferente, oculta, secreta.
Agora, o que a equipe do IFSC desenvolveu foi um token bancário que permite ao usuário visualizar no seu próprio aparelho a tela real referente à sua transação. Assim, por mais que o computador esteja infetado ou invadido por um programa malicioso, o usuário poderá visualizar no seu próprio token a tela real referente à transação e interromper ou anular a mesma em qualquer momento. Quanto a falhas de segurança desta nova geração de tokens, Paulo Matias refere: Como este token é um hardware concebido para um propósito específico, é extraordinariamente difícil ele ser infectado, já que possui poucas linhas de códigos, o que quase impossibilita que alguém descubra uma brecha neste conjunto, como acontece nos computadores e celulares. O novo token possui cerca de quatro mil linhas de código, tornando-se muito mais fácil auditar o aparelho e garantir, assim, a plena segurança operacional.
O novo aparelho desenvolvido pelo IFSC vem apetrechado com uma saída USB, com a finalidade de recarregá-lo através de um computador e como não possui um sistema operacional, a eventualidade de ser contaminado é nula. Por outro lado, a eficácia do aparelho está garantida, atendendo a que o código do novo token foi auditado por diversas ferramentas informáticas do MIT – Massachusetts Institute of Technology (USA), pertencentes ao projeto “STACK – static checker”, tendo sido aprovado em todos os parâmetros.
O Bitcoin
O novo dispositivo desenvolvido pela equipe do IFSC é compatível com a moeda criptográfica Bitcoin, que pode ser utilizada em transações reais. O Bitcoin é uma moeda virtual livre bastante valorizada, que é negociada numa espécie de bolsa online, podendo ser trocada por outras moedas reais. Neste momento, cada Bitcoin deverá valer cerca de USD $800,00: Como queríamos que este nosso protótipo fosse amplamente utilizado, ou seja, que não dependesse de acordos com bancos e outras instituições financeiras para demonstrar a sua viabilidade, adotamos a denominada moeda Bitcoin, que é descentralizada. Embora seja uma moeda virtual, ela já é muito utilizada em transações reais, até porque já existem muitos estabelecimentos que aceitam essa moeda, principalmente empresas que possuem negócios ou serviços online, elucida Paulo Matias.
Quanto à comercialização do novo token, Paulo Matias informa que o processo de patenteamento já está sendo tratado pelo coordenador da equipe do IFSC – Prof. Dr. Carlos Antonio Ruggiero – e que a construção dos equipamentos está apenas dependente da apresentação do artigo científico correspondente a este trabalho: Creio que dentro de um ano, aproximadamente, já estaremos em condições de iniciar o processo de comercialização: num primeiro momento poderemos vender para as instituições bancárias oferecerem aos seus clientes, mas num segundo momento podemos ampliar a venda aos próprios usuários, sendo que o custo de cada equipamento poderá paulo300rondar entre os R$ 150,00 / R$ 200,00, refere o aluno.
Paulo Matias é aquilo a que chamamos de “Filho do IFSC”, tendo feito sua graduação, mestrado e agora doutorado no nosso Instituto. Quanto às suas expectativas, Paulo afirma: A minha escolha pelo Curso de Física Computacional, no IFSC, foi a melhor aposta que fiz, já que, de forma geral, as disciplinas abordadas no curso do IFSC deram-nos todo o direcionamento necessário para iniciar nossos trabalhos nesta área. Vou procurar completar meu doutorado, seguidamente vou buscar o meu pós-doutorado, também na mesma área aqui no Instituto e pretendo seguir a pesquisa na academia, eventualmente aqui, no IFSC.
