"Usar o cartão de débito ou crédito é uma comodidade da vida moderna, mas o conforto muitas vezes vem acompanhado de um grande risco.
Quando você utiliza um caixa eletrônico, paga uma conta do bar ou o combustível do carro, suas informações podem estar sendo sorrateiramente capturadas. Apesar dos esforços das operadoras e dos bancos para tornar as transações eletrônicas menos vulneráveis - como a colocação de chips nos cartões e a exigência nos terminais de atendimento de diversas informações pessoais dos clientes -, até agora não existe alternativa totalmente segura contra o roubo de dados para a clonagem de cartões. E se, porém, o cartão em si fosse inviolável?
Foi justamente essa a ideia por trás do trabalho do pesquisador José Maria Leocádio, mestre em engenharia elétrica pela Universidade de Brasília (UnB), que desenvolveu um protótipo de cartão anticlonagem. Se produzido, ele custaria mais caro do que os cartões comuns, mas seria capaz de proteger a informação que armazena contra qualquer tentativa de ataque, assegura o pesquisador. Pelo menos as conhecidas até agora.
A maneira mais comum de obter dados para a clonagem é introduzir nos caixas eletrônicos um dispositivo conhecido como "chupa-cabra", que se parece com a leitora comum e funciona de maneira semelhante. A diferença é que ele não apenas lê a informação - é programado para copiar e guardar dados de cada cartão que passar por ele. Em alguns casos, a instalação da máquina maliciosa é complementada pela acoplagem de uma câmera de vídeo ao caixa, que grava o cliente digitando a senha. Por vezes, sequer há alteração de leitora - o chupa-cabra, que é pequeno, fica guardado no bolso de frentistas ou de garçons cooptados por quadrilhas. Eles copiam dados do cartão no dispositivo hostil quando o cliente se distrai, ou quando permite que eles o passem longe de suas vistas.
Sem tarja magnética
O cartão desenvolvido pelo engenheiro eletricista, segundo ele, impediria qualquer dos tipos de tentativa de roubo de dados descritos acima. Primeiro, porque as informações que carrega sobre o cliente trafegam completamente criptografadas, todas contidas no chip. O protótipo não tem tarja magnética. "O que fizemos foi pegar um protocolo chamado Secure Electronic Transations (SET), geralmente utilizado no sistema bancário, e fazer uma modificação nele. Em lugar de ficar centrada na máquina, a proteção se concentra toda no cartão, que é um cartão inteligente", explica. Segundo ele, os chips de cartões que usarem o novo sistema terão as funções de criptografar e descriptografar. O processo não ficará mais a cargo do terminal de autoatendimento.
De acordo com Leocádio, o cartão nesses moldes poderia ser inserido em qualquer leitora hostil ou adulterada. "Não seria necessária nem a homologação. Como um smart card, ele atuaria mantendo os dados seguros", explica. O sistema é o mesmo das certificações digitais, que no país ficam registradas no diretório Infraestrutura de Chaves Públicas (ICP-Brasil).
A migração recente dos cartões com tarja magnética para os com chip tornou-os mais protegidos, mas ainda assim há perigo, já que, mesmo quando os chips guardam dados codificados, uma parte das informações fica vulnerável na tarja. "Ela serve apenas para a leitura, não tem qualquer função de proteção", explica José Maria.
A segunda característica do cartão inteligente a torná-lo mais difícil de violar é que ele armazena dados de imagem e biométricos. Pode ser carregado com fotos do rosto e, ainda, com mapa da retina ou impressões digitais. Isso abre outras possibilidades de utilização, que não simplesmente em transações financeiras.
"Essa é uma característica incidental, já que a principal é a criptografia dos dados. Mas torna possível usar (o cartão) como cédula de identidade, passaporte e outros tipos de documentos. Pode ser também chave de segurança de locais protegidos, laboratórios. Ficaria mais difícil fazer fraudes nesse campo", afirma Leocádio.
Software livre
Dentro do chip do smart card, o engenheiro utilizou o programa Java Card, um software livre que é extensão da programação Java. Entretanto, é possível optar por diversas outras linguagens. "O software livre fazia parte da proposta do trabalho. É um programa que fica aberto. Diferentemente do que ocorre com softwares proprietários, suas informações ficam disponíveis e profissionais da área podem trabalhar nele e melhorá-lo", diz.
O cartão desenvolvido pelo pesquisador ainda não tem previsão de chegar ao mercado. De acordo com Leocádio, é necessário ainda cuidar dos trâmites para patenteá-lo, e verificar a questão dos direitos autorais de alguns programas utilizados na pesquisa. "O desenvolvimento foi um teste, para ver se a proposta funcionava. Mas a comercialização não está descartada", explica."
(Fonte: Mariana Branco - Correio Braziliense)
Quando você utiliza um caixa eletrônico, paga uma conta do bar ou o combustível do carro, suas informações podem estar sendo sorrateiramente capturadas. Apesar dos esforços das operadoras e dos bancos para tornar as transações eletrônicas menos vulneráveis - como a colocação de chips nos cartões e a exigência nos terminais de atendimento de diversas informações pessoais dos clientes -, até agora não existe alternativa totalmente segura contra o roubo de dados para a clonagem de cartões. E se, porém, o cartão em si fosse inviolável?
Foi justamente essa a ideia por trás do trabalho do pesquisador José Maria Leocádio, mestre em engenharia elétrica pela Universidade de Brasília (UnB), que desenvolveu um protótipo de cartão anticlonagem. Se produzido, ele custaria mais caro do que os cartões comuns, mas seria capaz de proteger a informação que armazena contra qualquer tentativa de ataque, assegura o pesquisador. Pelo menos as conhecidas até agora.
A maneira mais comum de obter dados para a clonagem é introduzir nos caixas eletrônicos um dispositivo conhecido como "chupa-cabra", que se parece com a leitora comum e funciona de maneira semelhante. A diferença é que ele não apenas lê a informação - é programado para copiar e guardar dados de cada cartão que passar por ele. Em alguns casos, a instalação da máquina maliciosa é complementada pela acoplagem de uma câmera de vídeo ao caixa, que grava o cliente digitando a senha. Por vezes, sequer há alteração de leitora - o chupa-cabra, que é pequeno, fica guardado no bolso de frentistas ou de garçons cooptados por quadrilhas. Eles copiam dados do cartão no dispositivo hostil quando o cliente se distrai, ou quando permite que eles o passem longe de suas vistas.
Sem tarja magnética
O cartão desenvolvido pelo engenheiro eletricista, segundo ele, impediria qualquer dos tipos de tentativa de roubo de dados descritos acima. Primeiro, porque as informações que carrega sobre o cliente trafegam completamente criptografadas, todas contidas no chip. O protótipo não tem tarja magnética. "O que fizemos foi pegar um protocolo chamado Secure Electronic Transations (SET), geralmente utilizado no sistema bancário, e fazer uma modificação nele. Em lugar de ficar centrada na máquina, a proteção se concentra toda no cartão, que é um cartão inteligente", explica. Segundo ele, os chips de cartões que usarem o novo sistema terão as funções de criptografar e descriptografar. O processo não ficará mais a cargo do terminal de autoatendimento.
De acordo com Leocádio, o cartão nesses moldes poderia ser inserido em qualquer leitora hostil ou adulterada. "Não seria necessária nem a homologação. Como um smart card, ele atuaria mantendo os dados seguros", explica. O sistema é o mesmo das certificações digitais, que no país ficam registradas no diretório Infraestrutura de Chaves Públicas (ICP-Brasil).
A migração recente dos cartões com tarja magnética para os com chip tornou-os mais protegidos, mas ainda assim há perigo, já que, mesmo quando os chips guardam dados codificados, uma parte das informações fica vulnerável na tarja. "Ela serve apenas para a leitura, não tem qualquer função de proteção", explica José Maria.
A segunda característica do cartão inteligente a torná-lo mais difícil de violar é que ele armazena dados de imagem e biométricos. Pode ser carregado com fotos do rosto e, ainda, com mapa da retina ou impressões digitais. Isso abre outras possibilidades de utilização, que não simplesmente em transações financeiras.
"Essa é uma característica incidental, já que a principal é a criptografia dos dados. Mas torna possível usar (o cartão) como cédula de identidade, passaporte e outros tipos de documentos. Pode ser também chave de segurança de locais protegidos, laboratórios. Ficaria mais difícil fazer fraudes nesse campo", afirma Leocádio.
Software livre
Dentro do chip do smart card, o engenheiro utilizou o programa Java Card, um software livre que é extensão da programação Java. Entretanto, é possível optar por diversas outras linguagens. "O software livre fazia parte da proposta do trabalho. É um programa que fica aberto. Diferentemente do que ocorre com softwares proprietários, suas informações ficam disponíveis e profissionais da área podem trabalhar nele e melhorá-lo", diz.
O cartão desenvolvido pelo pesquisador ainda não tem previsão de chegar ao mercado. De acordo com Leocádio, é necessário ainda cuidar dos trâmites para patenteá-lo, e verificar a questão dos direitos autorais de alguns programas utilizados na pesquisa. "O desenvolvimento foi um teste, para ver se a proposta funcionava. Mas a comercialização não está descartada", explica."
(Fonte: Mariana Branco - Correio Braziliense)
Nenhum comentário:
Postar um comentário