O debate e a troca de idéias são sem dúvida alguma uma grande oportunidade de aprendizado. Infelizmente poucos são os profissionais de segurança capazes de deixar de lado as vaidades e embarcar em um debate saudável onde ambas as partes aprendem. Fernando Cima é um daqueles poucos profissionais com o qual podemos discutir pontos de vista distintos e como sempre aprender muito, justamente por isso, em meu post anterior havia comentado algo que ele havia publicado em seu blog. Em um post mais recente, Fernando fez uma espécie de réplica aos meus comentários à qual eu eu gostaria de comentar.

Primeiramente é importante ressaltar que eu não discordo totalmente do Fernando. Compreendo seu ponto de vista mas considero que algumas afirmações dele soaram um tanto binárias, isso é, sem as nuances que a escolha de um fator de autenticação forte exigem. Minha resposta não deve ser compreendida como uma defesa do uso de dispositivos biométricos na autenticação de websites mas um contra ponto à certas afirmações feitas por ele, dito isso, peço aos leitores que procurem não observar essa série de posts como mais uma daquelas "guerras santas tecnológicas". Tenho certeza que o Fernando concorda comigo.

Acerca da réplica dele, gostaria de comentar alguns pontos:

Discordo quando Fernando diz que "Neste caso o leitor na verdade identifica o usuário e se autentica junto ao sistema de segurança usando uma chave privada dentro do leitor. O fator de autenticação no sistema na verdade é a posse pelo usuário da chave privada armazenada dentro do leitor, e não a informação biométrica.", o que pode ser uma questão de semântica é na verdade uma questão de detalhes. Quando afirmo em meu post anterior que "O algoritmo biométrico poderia ser executado apenas no leitor, evitando transferir a imagem da digital para o PC" não é preciso presumir existência de certificados digitais e nem mesmo de criptografia. A execução do algoritmo de biometria no próprio dispositivo de leitura visa evitar que a totalidade da impressão digital seja transferida para algum outro dispositivo de processamento de forma a evitar o armazenamento das informações contidas em uma digital, talvez seja importante observar que um algoritmo de identificação de digitais não restringe-se a uma resposta binária de sim ou não, sendo capaz de prover fragmentos específicos da própria digital, os quais então podem ser transferidos para o serviço de autenticação sem maiores interações por parte do PC.

É importande deixar claro algo que Fernando percebeu em meu post anterior o fato de que "a informação biométrica também está fora do leitor". Para que o modelo comentado em meus dois posts funcione, é fundamental o cadastramento prévio das digitais em um ambiente controlado, o que pode ser visto como uma desvantagem desse tipo de solução. Ainda que conceitualmente faça sentido, em aplicações reais, a maioria dos sistemas empregando certificados digitais possuem uma base que relaciona determinado perfil de usuário à determinado certificado digital.

É natural que o mecanismo apresentado leve um especialista a perguntar, o que ocorre se um software hostil consultar o leitor de forma a obter todas as combinações possíveis de informações da digital de forma a construir um replay attack? A única forma de combater isso é estabelecer um mecanismo de autenticação entre o leitor e o próprio servidor de autenticação, daí a necessidade de um plugin no micro capaz de estabelecer esse canal entre o leitor e o servidor de autenticação. A lógica do plugin é a mesma daquele de um proxy HTTP quando lida com sessões criptografadas. O browser apenas conduz o fluxo de informações entre leitor e servidor sem interagir com as mensagens trocadas, sob o custo de invalidar a mensagem. Como sabemos, uma das formas mais simples e eficientes de se estabelecer essa comunicação segura é o emprego de um protocolo com base em chaves públicas. Note porém que entre o uso desse tipo de protocolo e a afirmação de que a autenticação é feita por uma chave privada do leitor há uma grande distância, especialmente se considerarmos que até mesmo o SSL, um dos mais conhecidos mecanismos que empregam certificados digitais oferecem a capacidade de se autenticar exclusivamente o servidor sem o uso de certificados de propriedade do cliente. Observa ainda que isso se dá sem a necessidade do uso de Next-Generation Secure Computing Base, o que significa que você ainda vai poder comprar músicas online sem se preocupar com mecanismos de DRM - ainda bem!

Não obstante, deve-se tomar extremo cuidado para não se confundir um protocolo criptográfico com um algoritmo criptográfico. Observado de forma purista, nem mesmo o RSA é capaz de resistir à um ataque de man-in-the-middle, sendo justamente por isso que o RSA é normalmente empregado em conjunto com métodos de troca de chaves, tais como PKI, web of trust, etc.

Porém, é importante observar que toda a aplicação desse tipo de mecanismos impacta diretamente no custo das soluções biométricas, muitas vezes inviabilizando sua aplicação em larga escala. Diversos fabricantes ao invés de reinventarem a roda, estão adotando uma estratégia que Fernando até comenta por alto em seus posts: o armazenamento do template biométrico em smart-cards. Porém as soluções não param por aí há até mesmo quem afirme oferecer um smartcard com o próprio sensor biométrico! (detalhe que apesar dessa empresa ter uma pinta de vaporware* as pesquisas nesse sentido continuam bem fortes, incluindo aí um anúncio por parte da Seiko Epson de um sensor com 0.2 milímetros de espessura).

Não é a toa que ao comentar em meu post anterior começo a argumentação com a seguinte frase:"Biometria não é a solução? Talvez não, talvez sim porém...". Ao publicar que "É possível garantir a confiança do equipamento e do procedimento de leitura pela Internet? De forma alguma.", Fernando comete aquilo que ao meu ver é um certo exagero. A situação atual dos dipositivos biométricos e essencialmente uma questão de custos, assim como foi a questão da adoção de smartcards pelas instituições financeiras. Porém considerando-se que a inviabilidade econômica e a tecnológica são fatores distintos, a expansão dos dispositivos biométricos depende mais da redução de custos de fabricação, aquisição e operação do que de qualquer outro.

Entretanto acredito ser adequado fazer mea-culpa e pedir desculpas ao Fernando por não ter sido objetivo no detalhamento do processo biométrico e do detalhamento de minhas idéias, creio que isso poderia ter evitado alguns equívocos por parte dele, tal como quando ele comenta minha observação sobre o erro de senhas. Não era minha idéia adotar as senhas estáticas como padrão de referência acerca da taxa de erros mas adotar uma analogia de forma a chamar a atenção de que o erro de identificação possui impacto menor em uma aplicação sem filas.

Sobre o MythBuster, faço de minhas palavras a de um leitor do Blog: "Os MythBusters fazem TV" e devem ser encarados como tal. Se a idéia é testar os dispositivos biométricos de forma mais séria, creio que é interessante prestar atenção em iniciativas mais sérias acerca do assunto. Em tempos de passaportes biométricos ninguém anda mais preocupado com isso do que o governo, academia e sociedade civil.

Mais uma vez agradeço ao Fernando pelas palavras e tempo dedicado.



* Antes de terminar, uma breve observação sobre o biometric smartcard da BAI: Durante uma pesquisa que fiz alguns anos atrás o website era quase o mesmo de hoje, com essa cara de abandonado e visto que existem muito poucas referências à empresa, eu prefiro utilizar "há quem afirme". Apesar disso existem pelo menos duas patentes acerca de fingerprint smartcards. São elas: US Patent 6325285 e US Patent 7044392

O Fernando Cima da Microsoft postou em seu blog no Technet um post cujo título é "Biometria Não é a Solução"

O post é compatível com aquelo que podemos esperar do Fernando Cima, um grande profissional de segurança da informação com enorme bagagem e por quem eu nutro grande respeito profissional. Dito isso, eu gostaria de fazer alguns cometários sobre o post do amigo Cima.

Biometria não é a solução? Talvez não, talvez sim porém discordo de algumas observações do post. Vou focar em fingerprint que ainda é o sistema mais maduro dentro os sistemas de identificação biométrica. Dentre as apostas para o futuro eu aposto no reconhecimento de face que nos últimos anos amadureceu muito.

O primeiro ponto sobre o qual gostaria de comentar é a afirmação de que "um procedimento de leitura malicioso poderia injetar informação biométrica falsa e se autenticar indevidamente."

Compreendo que isso seria uma espécie de replay attack. Esse problema existe, especialmente com uma série de leitores biométricos de baixo custo que se comportam basicamente como scanners sem maior inteligência. Não é novidade. Em 2002 uma revista alemã publicou um artigo analizando uma série de leitores diferentes e toca nesse assunto. O artigo da revista já está está meio desatualizado mas é leitura interessante.

Porém é preciso lembrar que existem leitores biométricos desenhados com foco nisso, entretanto, esses leitores possuem um preço significativamente mais alto.

A essência para combater esse tipo de problema é executar o algoritmo biométrico apenas no leitor, evitando transferir a imagem da digital para o PC. Pode se obter um nível mais alto de confiabilidade se o leitor e PC foram capazes de se autenticar mutuamente. Nesse tipo de operação, o leitor funciona quase como um token. Ao invés de transferir imagens ele responde ao pedido de autenticação com uma característica randômica da digital e essa informação é verificada pelo sistema autenticador.

Considerando-se isso, o mistério seria garantir que o serviço remoto no qual você esteja se autenticando não seja enganado. Novamente entra a capacidade do leitor. O princípio é o mesmo mas você passa a precisar de um "plugin" que repasse os pedidos de autenticação entre o leitor e o servidor de autenticação. Se é passível de falha? Acho que sim, mas qualquer outro sistema será. Estamos trabalhando com custo benefício, e a biometria me parece ainda mais confiável para autenticação do que uma senha.

Por sinal, ainda sobre a questão da qualidade dos leitores, na BlackHat Européia de 2006 ocorreu a apresentação sobre como quebrar o leitor de fingerprint da Microsoft.

Como a própria palestra informa, a MSFT avisa que o fingerprint dela não deve ser visto como uma ferramenta de proteção e sim uma ferramenta de comodidade. Medida honesta que ao meu ver merece aplausos. Tendo experiência no mercado brasileiro de biometria, posso dizer que há diversos fabricantes que vendem leitores de baixíssima qualidade como se fossem última tecnologia e todos sabemos que convencer que coelho não é lebre não é sempre fácil.

Discordo também quando Cima afirma que "as leitoras biométricas existentes não tem um bom índice de precisão". Trata-se de uma afirmação muito forte, especialmente quando você pára para considerar uma coisa sobre o estudo britânico. Considerando-se que o Passaporte é destinado à todo cidadão britânico, idosos, que muitas vezes não fazem parte dos quadros corporativos brasileiros precisam fazer parte do universo de teste. A digital do indivíduo idoso é uma das digitais mais complicadas de ser lida, porém poucas empresas empregam indivíduos acima da idade de aposentadoria.

Outro fato importante é que a qualidade da leitura irá varia com a tecnologia da leitora escolhida e da resistência do algoritmo à sujeiras na leitura, etc. A diferença entre um algoritimo e outro costuma ser brutal. Mesmo coisas "básicas" como o posicionamento do dedo podem afetar. Certos leitores conseguem um resultado correto mesmo com a digital de cabeça para baixo, outros não.

Entra a questão do se seria aceitável. Bom, eu retruco o Fernando com uma pergunta. Quantas pessoas digitam sua senha incorretamente durante a interação com um sistema informatizado? Eu mesmo vivo errando minha senha. Acho que estou ficando senil. :-) A Crossover Error Rate é extremamente importante em qualquer processo envolvendo filas, como identificação civil, caixa eletrônico, fila de imigração, etc, fora desses ambientes o que é mais preocupante é a autenticar o indivíduo errado. :-)

Quanto ao MythBusters, vi, achei interessante o vídeo mas achei uma pena que o vídeo não informa quem são os fabricantes dos produtos. Fica no ar aquela coisa de quem garante que os produtos não foram escolhidos justamente por serem vulneráveis? Em condições adequadas de temperatura e pressão um BMW se comportará da mesma forma que um BR800 da Gurgel.

Alguns visitantes desse blog, principalmente os amigos e aqueles com quem tive a oportunidade de trabalhar, sabem que apesar de possuir uma carreira imensamente restrita à segurança da informação, minha capacidade de dar pitacos ultrapassa esses limites profissionais. Essa paixão pela futurologia barata é um hobby delicioso mas certas vezes suspeito que eu deveria registrar alguns de meus palpites no cartório. Já se passaram alguns anos desde que cantei a bola para um ex-superior acerca do potencial dos chamados serviços gerenciados de segurança não obtive muito sucesso em convencê-lo (mas tudo bem afinal saí da empresa e o arrependimento seria enorme!) É claro que se algumas vezes e para alguns, esses pitacos fazem algum sentido, outras vezes e para outros, nem tanto. Ainda assim não pude me controlar em publicar o post a seguir.

Desde o meio da década de 90, com o início da explosão da Internet global o mundo vem observando uma incrível evolução do mercado de comunicações. Wide Area Networks foram foram rapidamente substituídas por redes virtuais. Não apenas isso mas até mesmo links internacionais de voz parecem apelar para sistemas de Voz sobre IP em algo que beira a inversão de valores.

Tudo vem se passando com tamanha velocidade que tropeços tornam-se inevitáveis e acabamos nos deparando com certos enganos do passado e como a memória é curta, acabamos não identificando os tropeços originais. Eliminadas as notícias sobre a relação entre Israel e os vizinhos, um assunto me deixou um tanto curioso nos últimos dias, a conturbada licitação pela chamada "banda WiMAX". De um lado uma tal "Associação Brasileira de Prestadoras de Serviços de Telecomunicações Competitivas" de outro a famigerada "Associação Brasileira de Concessionárias de Serviço Telefônico Fixo Comutado" e no meio a Anatel, o Ministério das Telecomunicações e é claro, um ano eleitoral.

WiMAX, para quem não teve ainda a curiosidade ou tempo de entender, é um "padrão" de trasmissão digital de dados em alta velocidade e sem fios, algo que tem sido apelidado de Banda Larga sem fios. Trata-se de um sistema capaz de oferecer maior velocidade e uso mais eficiente das frequências utilizadas pela operadora. Apesar de ser uma tecnologia fenomenal, tenho certas dúvidas se estamos realmente diante do ocaso da telefonia fixa ou de um repeteco do fracasso da Vesper.

Para quem não lembra, Vesper era o nome das operadoras-espelho criadas pela Anatel para oferecer concorrência à telefonia fixa. Diante do enorme custo da instalação de cabos de telefonia nas grandes cidades, essa operadora optou pelos chamados WLL utilizando tecnologia CDMA. O modelo de negócio não deu lá muito certo e a empresa acabou sendo comprada pela Embratel que hoje comercializa esse serviço de voz sob o nome Livre. A mesma Embratel ainda oferece o Giro, um serviço de banda larga também baseado em tecnologias CDMA. Ambos os serviços estão longe de serem líderes em suas categorias e alto preço somado à cobertura limitada restringem significativamente o alcance dessa tecnologia.

Entram em cena as tecnologias PON, ou Passive Optical Networks, redes baseadas em fibras óticas capazes de viabilizar o chamado Fiber To The Home. Uma tacada extremamente agressiva por parte das empresas de telecomunicações Asiáticas e Americanas onde ao invés de tentar dar sobrevida à tecnologia dos telefones, as empresas de telefonia simplesmente optaram por oferecer serviços de telefonia através de fibras óticas que se extendem até a residência do usuário, viabilizando não apenas acesso à Internet em alta velocidade como a TV sobre IP, ou IPTV.

Em teoria PON é praticamente aquilo que as empresas de telefonia precisavam para finalmente serem capazes de concorrer contra o crescimento da oferta de Voice sobre TV a cabo. O sistema oferece uma combinação de capacidade transmissão de dados, capilaridade e tolerância à longas distâncias que promete acelerar o fim das linhas baseadas em cobre ao ser uma das poucas tecnologias efetivamente capaz de oferecer HDTV sobre IP.

Porém, não devemos esquecer, estamos falando do mercado brasileiro, mercado dos telefones pré-pagos, onde as operadoras de telefonia móvel não parecem muito otimistas com a implantação de tecnologias 3G e a receita das operadoras de telefonia fixa e móveis não dá sinais capazes de encher de esperanças o acionistas ansioso. Trata-se de um mercado em desenvolvimento onde os números do Japão, onde até 2005 cerca de 3.8 milhões de usuários já contavam com fibras óticas em suas residências, ou do uso combinado delas e intranets prediais, parecem ficção científica. Estaria o mercado brasileiro ávido por ser atendido por tamanha tecnologia? Tenho minhas dúvidas.

Algo me diz que assim como ocorreu durante o lançamento do WLL da Vesper o mercado está otimista com o potencial do WiMAX como um viabilizador de concorrência nos serviços de voz mas a verdade é que antes de ganharmos mais uma operadora precisamos de mais mercado para essas operadoras! Sejamos realistas, com base no PIB e nos números relativos à eletrificação rural podemos imaginar que excluídos os centros urbanos com grande concentração de renda, a demanda por redes de alta velocidade sem fio ainda é um tanto baixa e que se a idéia das operadoras é aplicar WiMAX como alternativa à comunicação fixa e banda larga, as limitações da tecnologia móvel acabarão por repetir o aquilo que aconteceu com a Vesper, que em plena explosão da Internet oferecia um sistema onde modems de 28.8kbps não ultrapassassem 14.4kbps. Me parece que será o HDTV Video on Demand o calcanhar de aquiles do WiMAX e que as operadoras que desejam efetivamente concorrer no triple pay precisam começar a se preocupar não apenas com a mobilidade mas com a capacidade de oferecer imagem e som em alta qualidade. As operadoras precisam entender que perdida a batalha pela TV Digital é melhor abrir o olho para não perder também a batalha pelo IP-HDTV. O espaço de manobra está cada vez menor e ao invés de pensar excessivamente em padrões tecnológicos as empresas precisam se preocupar com modelos de negócio.