O futuro da autenticação e das transações financeiras na Web (Part 1)

Já está claro para mercado financeiro formado por bancos e meios de pagamento, que apenas ter conhecimento e fazer averiguação dos dados de compra enviados pelos usuários não é suficiente para a confirmação de transações monetárias. Mesmo com técnicas fortes como o uso de tokens e smartcards essas instituições continuam a ser desafiadas a vencer os cyber-ataques baseados em malware e cavalos de tróia. Assim, para evitar a assinatura cega, a busca de novos dispositivos externos aos computadores, tem sido até agora a única opção. Porém mesmo esses dispositivos acabam por esbarrar na dificuldade de uso e possíveis falhas de conectividade.

Contudo, desde a segunda geração da família Intel Core (também conhecidos como Sandy Bridge), um novo recurso de segurança foi introduzido dentro do processador. Eu estou falando do IPT (Indentity Protection Technology), criado pela Intel e integrado por empresas como InfoSERVER / Tix11. Esta tecnologia permite que pequenas aplicações possam ser executadas diretamente dentro do processador sem interferência do sistema operacional (SO). Isso significa que mesmo em um SO infectado ou invadido, esse tipo de aplicações pode rodar isoladamente.

Uma das primeiras aplicações desenvolvidas para rodar internamente aos processadores Sandy Bridge foi o algoritmo TOTP (RFC 6238), o qual é exatamente o mesmo código presente em tokens físicos distribuídos por bancos a seus clientes, para prover o que é chamado de autenticação de segundo fator (também conhecido como autenticação forte) para acesso ao sites de online banking. De fato, hoje em dia, a autenticação de segundo fator se tornou um tópico importante, principalmente após grandes empresas terem sido alvo de roubo de indentidade dos seus usuários. Google, Dropbox e Microsoft estão entre os mais importantes participantes do mercado de serviços pela internet os quais implementaram autenticação forte baseada em OTPs (Do Inglês: One Time Passwords, em Português: Senha de uso único). Essas implementações se baseiam em tokens em telefones celulares, tokens de software e até tokens por SMS, com senhas descartáveis enviadas para telefones celulares por meio de mensagens. Porém mesmo essas implementaçẽs podem sofrer de ataques Man-in-the-middle que possibilitam o roubo de OTPs através aplicações maliciosas instaladas nos telefones celulares e no SO de computadores. Além disso, os já conhencidos tokens físicos também podem ter seus OTPs roubados quando o usuário digita erroneamente suas senhas em sites falsos criados por ataques de phishing. Dessa forma, mesmo com autenticação forte, buracos de segurança no SO podem ser uma ameaça a todo tipo de auteticação e transação financeira pela internet. Nesse ambiente, a única solução promissora está no hardware, dentro do processador. Isto é o que a Intel fez com a introdução do IPT.

Mas talvez, você esteja se perguntando: Como eu posso obter OTPs de dentro do processador e depois enviá-lo para um site? Bom, a resposta rápida é: Através do Intel Management Engine Components. A resposta completa é: O Intel Management Engine Components é um conjunto de aplicações que permitem que recursos especiais presentes dentro do Management Engine (ME), que é um motor que funciona integrado ao processador Intel e ao chipset do processador. Um desses recursos especiais é o IPT. E uma das melhores maneiras de explicar o propósito do Intel Management Engine Components é: Ele funciona como uma interface, entre o ME e o OS. Assim, é possível desenvolver aplicações que se comunicam com o Intel Management Engine Components e então solicitar OTPs para o processador. Após esse passo, a mesma aplicação pode injetar o OTP em um site.

Com o entendimento de como o IPT funciona e como os benefícios do IPT (como a geração de OTPs) podem ser integrados com qualquer aplicação, é possível prever um modo mais seguro de autenticação e transações financeiras que se apoiam na execução segura de código que ocorre dentro de um processador.

A minha intenção com esse artigo é apresentar uma introdução de como o IPT pode oferecer uma forma nova e mais confiável para autenticações e transações financeiras na internet. Em uma nova publicação pretendo oferecer mais detalhes da integração entre aplicações web e o IPT.

Damico

Per informazioni complete sulle ottimizzazioni del compilatore, consultare l'Avviso sull'ottimizzazione