quinta-feira, 15 de dezembro de 2016

O Ridículo plugin de segurança da CEF.



Quem aqui já não teve que acessar o home banking pelo Linux, em sua casa, em seu trabalho, escola, num momento de necessidade?
Acredito que todos nós, em algum momento, por urgência de alguma situação, ou, comodidade e oportunidade, optamos por acessar nosso banco pelo computador, de algum terminal, micro computador ou laptop / celular / tablet.



O serviço oferecido pelos bancos

Claro que a comodidade de acessar sua conta-corrente / poupança ou mesmo seus investimentos / pagamentos via um computador ou telefone celular se tornou um diferencial para muitas instituições bancárias.
Há competição mesmo nessa área, e, o banco que oferece mais recursos e serviços on line, com certeza, terá mais atrativos para seus clientes, aumentando assim suas chances de prospecção de novos clientes.
De acordo com a listagem da Febraban, existem 167 bancos ativos no país. Mas, muitos deles ou são bancos de comércio internacional ou não tem agências em todas as cidades / estados.

Assim, decidi analisar os chamados 5 maiores(ou 5 gigantes) .
De acordo com a Wikipedia: “ Nos anos de 2008 e 2009 diversos fatores, como por exemplo, a crise econômica mundial, fez com que Itaú, Banco do Brasil e Santander fizessem uma série de aquisições e fusões, que ajudaram a concentrar ainda mais as atividades bancárias brasileiras. O Itaú se fundiu com o Unibanco, o Santander adquiriu o ABN AMRO Bank e, por sua vez, o Banco do Brasil incorporou o Banco do Estado de Santa Catarina, o Banco do Estado do Piauí e o Banco Nossa Caixa. Após estas fusões e aquisições, Banco do Brasil, Itaú, Santander, Bradesco e Caixa Econômica Federal formam o grupo dos cinco maiores bancos do Brasil. Juntos, eles detêm 64,9% dos ativos, 65,9% do lucro líquido, 81,9% dos funcionários e 86,3% das agências bancárias.”



E, como é o serviço oferecido por cada um deles ? Para o Linux, do qual somos usuários ?

Itaú: O Itaú necessita de um programa em Java, que roda no navegador, chamado Guardião. Este programa é um applet Java que roda sem maiores problemas no Linux, ou, se der algum problema, há a possibilidade de mudar o User Agent e acessar mesmo sem o tal applet . Pela necessidade do plugin Java, o Firefox é requerido.

Banco do Brasil: O homebanking do Banco do Brasil é um dos melhores que há, sem a instalação de nenhum plugin, applet ou o quê seja rodando do lado do cliente. Toda a verificação de segurança é feita na própria página do banco, por um applet Java embutido na página, rodando na máquina do cliente quando este acessa o site.

Bradesco: O Bradesco usa um plugin semelhante ao Banco do Brasil, rodando em Java, quando a página de acesso ao homebanking é carregada, funcionando normalmente em Linux.

Santander:
O Santander usa agora um módulo da IBM, o Trusteer Raport, que só funciona em plataformas Windows e MAC. Se você possui conta-corrente nesse banco, desista de acessa-la pelo Linux.

E, finalmente… A CEF.

Caixa Econômica Federal: A CEF tem um dos piores, ou talvez o pior, dos plugins de segurança. A coisa chama-se Warsaw, e, é feita pela Diebold(no Brasil, é representada pela GAS Tecnologia), a empresa que controla as urnas eletrônicas no país.
É uma peça de software crítica, que, se envolve com outros programas, geralmente atrapalhando o funcionamento do computador.
De acordo com o Tecnoblog: “Um plugin de segurança usado pelos bancos brasileiros está gerando dores de cabeça em um pequeno grupo de usuários. Após a instalação do Warsaw 1.5.1, da GAS Tecnologia, sites que possuem IPv6 ativado simplesmente têm o acesso bloqueado. O bug afeta páginas como Facebook, Google e YouTube, além de portais brasileiros, como UOL, Terra e Globo.com.”
E, o que é o Warsaw ? De novo, o Tecnoblog: “O Warsaw é um plugin desenvolvido pela GAS Tecnologia, empresa do grupo Diebold, para prover confiabilidade em transações eletrônicas. Segundo a companhia, sua tecnologia é usada por Banco do Brasil, Caixa Econômica Federal, Itaú, Santander e outras instituições bancárias. No Windows, o Warsaw funciona como serviço e inicia durante o boot.”
Mas, na verdade, o Warsaw provê são muitas dores de cabeça:

E, em 2016, uma versão para Linux foi lançada.


CEF plugin para Linux. Como é ?

Como escrevi acima, em 2016 uma versão para Linux do plugin da CEF foi lançada. Agora o site da Caixa detecta se é um Linux acessando, e, redireciona o download para um arquivo .deb.
Grande!!! Agora, você usuário do Debian, Mint e Ubuntu pode infectar sua máquina com esse daemon, rodando com privilégios de sistema SEMPRE e atrapalhando outros aplicativos, como Skype e tantos outros, bem como atrapalhando o acesso a sites. E, só para o formato DEB, ou seja, os outros que se lixem.
Bem, não é segredo que a TI da CEF é uma das piores entre os bancos, fazendo absurdos como esse plugin, que mexe nas entranhas do sistema, consome recursos e, essencialmente, é uma caixa-preta com muitos privilégios.


Onde a CEF errou ?

Não posso dizer onde eles erraram tecnicamente, mas, posso dizer que usuários Linux não são ovelhas, como os usuários windows, instalando daemons de forma indiscriminada e irresponsável. Sério, você vai instalar um programa de uma empresa estrangeira que vai funcionar 100% do tempo só para você acessar o seu banco? E… O resto do tempo ? O que ele faz ? Telefona pra casa ? Come recursos ? Hum ?


Mas, tem jeito

Tem jeito, tem como você acessar a CEF, no Linux, sem ter que comprometer sua segurança ou a de seu sistema. O plugin da CEF funcionava bem via Wine, com o Firefox para windows, e, setado para windows XP. Infelizmente, depois que o XP foi “aposentado” este recurso deixou de funcionar. Uma pena.


O Pulo de Gato

Bem, se é um problema causado pela exclusividade deste plugin, seja para DEB ou seja para outras plataformas, não nos ajuda, no PCLinuxOS. Mas, podemos acessar sim a CEF (ou qualquer outro banco que use plugins para windows) sem maiores problemas. Apenas alguns “truques”, por assim dizer.
Vamos acessar a CEF pelo Linux, nosso PCLinuxOS, ou qualquer outro, sem que nosso sistema nativo seja comprometido.
Vamos precisar: Virtual Box (qualquer versão, seja a OSE ou da Oracle, tanto faz)
Depois de instalado o VB, você vai precisar de uma máquina virtual do windows, ao menos do windows 7(já que o plugin de segurança não é mais suportado no windows XP). E, você vai consegui-la legalmente. Como ?
Simples, a própria Microsoft fornece máquinas virtuais do windows, para desenvolvedores  testarem seus sites com o IE.
Vá em: https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/  e, escolha uma qualquer com windows 7, e, a plataforma Virtual Box, e, vai aparecer um link para download da máquina virtual zipada. Isso, sem maiores problemas ou complicações.
Depois de baixada, descompacte, vai aparecer um arquivo em formato OVA, abra o Virtual Box e importe a appliance (máquina virtual) no formato e OVA e pronto.
Aconselho que você instale o Firefox, pois o IE é muito ruim, mesmo as versões mais recentes.
Depois, acesse do Firefox, rodando dentro da VM windows 7, esta URL :https://internetbanking.caixa.gov.br
Siga todos os passos, cadastre um usuário, com seus dados, senha, e, ele começará automaticamente a baixar todos os programas do plugin da CEF.  Inicialmente, será o programa GBPCEF.exe, o qual baixará todos os outros módulos da CEF.

E, pronto, você poderá acessar a CEF (ou qualquer outro banco que não forneça plugin nativo ou via WEB para seu sistema Linux) sem mexer em nada do seu sistema.
Algumas observações:
A máquina virtual tem um tempo de vida, ela dura por 90 dias. Depois você terá que reinstalar o arquivo OVA novamente. Alguns truques são possíveis, como criar um snapshot da máquina e ir usando até que ela trave, depois, recuperando o snapshot.
Tenha cuidado com seus dados pessoais, já que você usará  o windows, e, como plataforma, é muito vulnerável.

Então, bons acessos aos seus bancos, pelo PCLinuxOS (ou qualquer outro Linux)

5 comentários:

  1. Procure no Google Diebold WARSAW bancos violação de privacidade

    Eu sou o advogado que desde 2016 vem combatendo o sistema bancário com está farsa...

    Você precisa atualizar sua informação, o Itaú, banco do Brasil, CEF entre outros utilizam o WARSAW da DIEBOLD Gas tecnologia.

    Agora o MPF e MPES está junto comigo investigando.

    Fique ligado.

    ResponderExcluir
    Respostas
    1. Pois então, quando eu escrevi este artigo, o cocô Warsaw não era tão prevalente quanto hoje.
      Sigo usando o homebanking dentro de VM's, pois é o único jeito de controlar o acesso do Warsaw.
      Grato pelo comentário.
      E vamos lutar contra essa bosta!

      Excluir
    2. Meu amigo, peço ajuda na divulgação de informação.

      Acesse o meu Instagram: pzgiestas

      Ou ao meu Facebook.

      Precisamos combater está praga judicialmente e preciso de apoio público.

      Excluir
  2. www.aprocon.org

    Ação Coletiva nos Estados Unidos contra DIEBOLD (GAS Tecnologia)

    A ASSOCIAÇÃO NACIONAL DE PROTEÇÃO AO CONSUMIDOR E DA CIDADANIA entrará com ação coletiva americana defendendo os consumidores brasileiros.

    O MPF e MPES estão com inquérito civil aberto investigando aqui no Brasil.

    A mesma empresa americana Diebold foi condenada nos Estados Unidos por corrupção passiva e ativa de licitações bancárias assim como aqui no Brasil também condenada por fraude licitatória bancária pelo banco de Brasília.

    Ajude a divulgar.

    Você também pode participar.

    ResponderExcluir