Iniciar uma discussão

1. • josexy
   • 20 março 2016

    # 21

   Colocado por: Aguiar D.A coisas que tu sabes.Foinix! Se o ISIS te descobre, é contratação pela certa. És um excelente vendedor de banha de cobra.

   
   Se souber melhor, esteja à vontade para expor aqui ou em outro tópico mais adequado.
2. • Aguiar D.
   • 20 março 2016

    # 22

   Não, não sei melhor. Sou muito mau orador e péssimo contador de estórias. Já que está no ramo da informática, direcione essa sua criatividade para o markting digital. è capaz de conseguir vender pentes a carecas.
3. • electrao
   • 20 março 2016

    # 23

   Estamos a fugir ao tema deste tópico... Criptografia obsoleta no acesso online de uma entidade bancária!
4. • eu
   • 20 março 2016

    # 24

   Colocado por: josexyO cometa só pode ser visto ainda de forma espiritual...

   
   Então não se preocupe que a colisão vai ser apenas espiritual...
5. • josexy
   • 20 março 2016

    # 25

   Colocado por: electraoEstamos a fugir ao tema deste tópico... Criptografia obsoleta no acesso online de uma entidade bancária!

   
   Se fosse só a CGD "estávamos" bem... mas existem outros bancos na mesma situação, como já disse anteriormente.
   
   Infelizmente tem de ser os clientes a pressioná-los, e terem sorte em apanhar alguém na equipa técnica que perceba do assunto e queira realmente resolvê-lo. Umas vezes tem de comprar servidores, placas de rede novas (com aceleradores de TLS) ou sistemas operativos novos, outras vezes é só mudar configurações ou mudar componentes de software... enfim, nem sempre é fácil... mas num banco a prioridade número 1 deveria ser a segurança, mas parece ser uma prioridade muito baixa pelo aquilo que vejo só pelas coisas visíveis do lado de fora.
   
   No MillenniumBCP tive de andar a pressioná-los inúmeras vezes para que melhorassem a segurança... ainda está MUITO longe do que queria, mas pelo menos está menos mal que há uns anos atrás. Já esperava que tivessem o web site todo disponível somente via HTTPS; que pedisse um código OTP (one-time password); que suportasse autenticação por certificados digitais; que definissem o DKIM e assinassem digitalmente as mensagens electrónicas enviadas para o e-mail, com a opção de encriptar as mesmas com a chave pública do cliente (PGP, OpenPGP ou S/Mime), se o mesmo colocasse a mesma no servidor deles; que tivessem os parâmetros de DNSSEC e DANE (TLSA) definidos.
   Mas enfim, estas empresas tem outras prioridades, como andar a perder milhões em investimentos de alto risco.
6. • eu
   • 20 março 2016 ^editado

    # 26

   Verdade seja dita, o maior risco de segurança do homebanking não está na encriptação das sessões Web, mas sim no lado do cliente: software malicioso com acesso à parte desencriptada da sessão, incluindo keystrokes, mouse clicks e toda a parte gráfica do browser.
   
   Isso e o velho, , mas eficaz, phishing...
   
   Façam como eu: acesso ao homebanking só a partir de uma distribuição Linux virgem read only que arranca de uma pen.
7. • josexy
   • 21 março 2016

    # 27

   Colocado por: euVerdade seja dita, o maior risco de segurança do homebanking não está na encriptação das sessões Web, mas sim no lado do cliente: software malicioso com acesso à parte desencriptada da sessão, incluindo keystrokes, mouse clicks e toda a parte gráfica do browser.
   
   Isso e o velho, , mas eficaz, phishing...
   
   Façam como eu: acesso ao homebanking só a partir de uma distribuição Linux virgem read only que arranca de uma pen.

   
   Tenho que concordar com tal, é parecido com o conselho que dou a quem me pergunta sobre a segurança do banco pela Internet.
   
   Na verdade vou mais longe e digo para utilizar CD/ DVD, não utilizar discos rígidos, ter a certeza que o firmware do computador está bem actualizado e que utiliza uma placa mãe com chip extra com firmware de recuperação para limpar eventuais infecções. Resta o firmware do próprio leitor de cd/ dvd, placa gráfica, placa de rede, ecrã, rato e teclado... aqui só mesmo mudando de marca e modelo a cada utilização para ter a certeza que não persiste algum eventual firmware maligno... mas sai cara a brincadeira... ninguém faria isso a menos que fosse eventualmente ridiculamente rico e super, ultra paranóico... seria literalmente utilizar uma única vez e destruir tudo fisicamente.
   
   Talvez com um "raspberry pi" ou similar seja credível tal hipótese... para um ultra paranóico com dinheiro é perfeitamente credível... se tem dinheiro para comprar carros de centenas de milhares de euros isto seria, comparativamente, super barato e prático.
   Necessitaria de uma trituradora e de um bidão com ácido que destruísse o material todo fisicamente.
   
   Teria também de o fazer dentro de uma gaiola de faraday, montada dentro de uma tenda para ninguém ver o que se faz nem captar as emissões rádio, e ligando a uma bateria tipo de camião ou similar. O cabo deveria ser cat6 FTP ou similar, melhor ainda se for um cabo de fibra-óptica, para reduzir ainda mais as hipóteses de emissão rádio através do cabo para zero (no caso de ser por fibra-óptica). O conversor de rede RJ-45 para fibra-óptica também teria de ser trocado a cada utilização para que eventual malware não pudesse persistir. Também seria necessário isolar completamente o som, para eventuais microfones não puderem interceptar o que se escreve.
   
   Enfim modo de paranóia total e completa... que, excepto em raros casos, não é preciso ir tão longe... basta ter um raspberry pi dedicado só para isso, uma pen gravada de tal maneira que só possa ler e não gravar nada para si mesma, um ecrã, um rato e teclado por cabo, ligado a um router que separe as redes para não puderem ver o tráfego na rede a partir de algum outro dispositivo na rede (ou então o esquema mais caro de ter um modem router com dois outros routers que ligam a ele através dos portos WAN dos mesmos e depois liga-se o computador que faz o net banking por cabo Cat6 FTP a um deles que só serve para isso). A gaiola de faraday e a tenda continuam a ser boa ideia... pelo menos a tenda para evitar que possam ver através de câmaras o que se faz.