Autentica¸c˜ao de Transa¸c˜oes e Produtos

Autentica¸c˜ao ´e uma medida de seguran¸ca para verificar e garantir a identidade de um usu´ario antes de permitir o acesso a determinado servi¸co ou informa¸c˜ao. Atualmente, o meio mais comum de autentica¸c˜ao em servi¸cos simples, como webmail ou redes sociais, ´e a utiliza¸c˜ao de um nome de usu´ario e senha, sendo que apenas o usu´ario tem conhecimento dessas informa¸c˜oes. Entretanto, esse tipo de sistema ´e vulner´avel a roubo de informa¸c˜ao, via phishing ou keylogger instalado no dispositivo em que o usu´ario est´a realizando o acesso. Para aumentar o grau de seguran¸ca, outros mecanismos foram inseridos nos protocolos de autentica¸c˜ao, como senhas impressas e um segundo dispositivo sincronizado com um servidor, fazendo com que a seguran¸ca da autentica¸c˜ao se baseie em alguma informa¸c˜ao que o usu´ario possui no momento da opera¸c˜ao [48].

No que diz respeito a autentica¸c˜oes de transa¸c˜oes banc´arias, existe uma grande va- riedade de solu¸c˜oes. A mais comum ´e a utiliza¸c˜ao de cart˜oes de senha com 40 ou 50 n´umeros de 4 ou 5 d´ıgitos, que devem ser digitados quando um usu´ario realiza opera¸c˜oes via internet, seja via website ou utilizando o aplicativo para dispositivos m´oveis fornecido pelo banco. Outra solu¸c˜ao s˜ao dispositivos especializados que geram chaves de uso ´unico, popularmente conhecidos como tokens de seguran¸ca, que podem ser de dois tipos: um dispositivo que exibe uma sequˆencia num´erica; um dispositivo que deve ser conectado ao computador utilizando a porta USB. Um exemplo de token de seguran¸ca ´e o RSA Secu- rID, mostrado na Figura 2.19 [49]. Alguns bancos substitu´ıram o token de seguran¸ca por um c´odigo num´erico enviado via SMS para um telefone previamente cadastrado. Essas solu¸c˜oes tˆem como objetivo realizar autentica¸c˜ao de usu´ario para o banco.

Figura 2.19: Token RSA SecurID.

No caso de autentica¸c˜ao de produtos, est´a se tornando uma pr´atica comum a utiliza¸c˜ao de c´odigos QR (QR Codes) [50], que s˜ao c´odigos de barra bidimensionais contendo in- forma¸c˜ao alfanum´erica, como uma URL para uma p´agina da internet onde o usu´ario pode verificar se aquele produto ´e autentico. Por exemplo, a empresa Hewlett-Packard (HP) utiliza etiquetas hologr´aficas contendo um c´odigo QR para que o usu´ario possa verificar

2.4. Autentica¸c˜ao de Transa¸c˜oes e Produtos 21 se o produto ´e leg´ıtimo. Para a verifica¸c˜ao, basta o usu´ario utilizar seu dispositivo m´ovel para ler o c´odigo QR e ser´a redirecionado para um website onde poder´a verificar se o produto ´e autˆentico. A Figura 2.20 mostra o selo presente em um cartucho de impressora.

Figura 2.20: Modelo de selo de autentica¸c˜ao da Hewlett Packard.

Um dos problemas de utilizar c´odigos QR ´e a grande facilidade de se gerar um novo c´odigo a partir de websites da internet. Uma busca simples por “qr code generator” retorna websites que permitem gerar c´odigos personalizados, com o conte´udo que escolhermos e sem nenhum tipo de valida¸c˜ao. A Figura 2.21 mostra um c´odigo QR gerado a partir de um desses websites [51], contendo o t´ıtulo dessa disserta¸c˜ao.

Figura 2.21: Exemplo de c´odigo QR gerado em website.

Infelizmente, essa facilidade em gerar c´odigos QR pode ser explorada para criar falsi- fica¸c˜oes elaboradas. Utilizando um produto original para termos acesso aos detalhes do processo de autentica¸c˜ao, podemos copiar o website da empresa e criar uma vers˜ao falsa,

com caracter´ısticas semelhantes e que fa¸ca com que o usu´ario acredite que est´a autenti- cando um produto original. Seguindo essa ideia, criamos uma c´opia do site de autentica¸c˜ao da HP, hospedada na ´area pessoal do aluno no servidor do Instituto de Computa¸c˜ao. Essa c´opia foi criada com prop´ositos unicamente acadˆemicos, para mostrar a fragilidade de um protocolo que utiliza c´odigos QR, e teve o texto FAKE inclu´ıdo em diversos locais, como logotipos e textos, salientando que se trata de uma c´opia alterada. A Figura 2.22 mostra, lado a lado, a visualiza¸c˜ao da primeira p´agina do sistema de verifica¸c˜ao de legitimidade da HP em um smartphone. J´a a Figura 2.23 mostra a segunda p´agina, que deve informar ao cliente se o produto ´e original ou n˜ao.

Figura 2.22: Primeira p´agina da verifica¸c˜ao de produtos da HP (original e c´opia). No caso dos medicamentos, a Agˆencia Nacional de Vigilˆancia Sanit´aria (Anvisa) reco- menda aos fabricantes o uso de alguns recursos que dificultem a falsifica¸c˜ao, como lacres com o logotipo do fabricante, tinta reativa a material met´alico na caixa do medicamento e dados de produ¸c˜ao (data de fabrica¸c˜ao, validade e lote) em baixo relevo. A Figura 2.24 mostra uma imagem dispon´ıvel no site da Anvisa, com indica¸c˜oes sobre o posicionamento de cada um desses itens. Essas medidas apenas dificultam a falsifica¸c˜ao, mas n˜ao a impe- dem. No ano de 2013 foram encontradas 134 falsifica¸c˜oes de medicamentos ou cosm´eticos [52]. No ano de 2014, at´e o mˆes de Outubro, foram encontradas 9 falsifica¸c˜oes. Essas falsifica¸c˜oes podem ser bastante elaboradas, com boa qualidade de impress˜ao e contendo dados de produ¸c˜ao de produtos originais estampados nas caixas.

Foram encontrados relatos de pe¸cas automotivas falsificadas, como pastilhas de freio, limpadores de parabrisa e velas de motor. Entretanto, n˜ao encontramos maiores in- forma¸c˜oes nos sites dos fabricantes sobre como verificar se um produto ´e autˆentico.