Será que o BB anda instalando pequenos satélites do Big Brother(BB) em cada computador que utiliza o home banking?

A dúvida surgiu quando percebí que o home banking do BB aparentemente não faz uso somente dos recursos de segurança de seu navegador para comunicar-se com a central do Banco. Em vez disso, instala um sistema que, até onde compreendi, abre uma conexão paralela à do navegador criando um “canal seguro” com o endereço IP 170.66.1.60. Por que não fazem uso dos recursos de segurança já fornecidos pela Microsoft ou, caso utilize outros navegadores, aqueles do ambiente Java(JSSE ou JCE ou J*) conforme fornecidos pela Sun?

Temendo estar informando minha senha à um site que não fosse o BB, verifiquei se o referido IP é de propriedade do Banco. Aparentemente sim, ele está dentro da faixa 170.66.0.0 a 170.66.255.255 compreendendo cerca de 65.535 endereços, todos alocados ao Banco do Brasil.

Fonte: http://lacnic.net/cgi-bin/lacnic/whois?lg=EN

inetnum:     170.66/16

status:      assigned

owner:       Banco do Brasil S.A.

ownerid:     BR-BBSA-LACNIC

responsible: Edi Domingues

address:     STN 716 bloco C Brazil, 000,

address:     70770-100 – Brasília – DF

Verifiquei se os dados que essa conexão paralela enviam ficam dentro do Brasil. Aparentemente eles ficam aqui mesmo em Brasília, até o último salto visível publicamente.

Esta é uma conexão normal da home page do home banking:



Esta é a conexão ao www14.bancobrasil.com.br – mesmo usando TCP para rastrear os pacotes “somem” após sairem da rede da Brasil Telecom:

O arquivo hosts dentro de windows\system32\drivers\etc continha uma entrada que atribuia ao host www14.bancobrasil.com.br o endereço IP 170.66.1.60. Normalmente isso significa que alguém está tentando sequestrar seu acesso ao home banking, mas neste caso significa apenas que o BB não confia em seu servidor DNS e que decidiram forçar o endereço no registro local. Esta medida auxilia na proteção contra o “envenenamento” do DNS.

O sistema que cria o canal seguro é desenvolvido pela GAS Informática e, até onde entendí, se chama G-Buster. Os arquivos instalados em seu computador incluem bibliotecas DLL diversas e arquivos aparentemente compactados (ou criptografados) com extensões proprietárias(GPC, GMD, etc). Nada pessoal contra o sistema da GAS, mas este é um dos sistemas mais intrusivos que já conhecí.

Observando o formato desses arquivos superficialmente ví apenas algumas semelhanças no “número mágico” do arquivo(alguns começam com “STM!”, outros com “STF!”).

São instalados arquivos na pasta Documents and Settings, é alterado o arquivo hosts da máquina e são instalados, no mínimo, 2 BHO’s(Browser Helper Objects) que se auto-carregam toda vez que voce ligar o Internet Exploder. Não fúi muito além disso na exploração, mas até onde observei trata-se deveras de um sistema intrusivo que, se desejar, possui total controle do computador(salvo engano, essas DLL’s rodam todas em modo nativo, ou seja, como “código confiável” e sem restricões quanto ao que podem ler ou enviar pela internet).

Existe “Espião do bem”?
Quando comentei sobre o espião do BB, agora há pouco, um analista de sistemas conhecido meu afirmou já ter tido problemas com o sistema do BB em sua empresa. Aparentemente esse sistema verifica todas as páginas que o usuário visita. Caso a página aparente ser uma daquelas “falsas” telas do BB(as que roubam sua senha – o famoso phishing) o sistema direciona o usuario automaticamente para o site “original” do BB. O problema é que o “espião do bem” pode servir também para piorar a situacão(ou dar uma impressão de falsa seguranca), pois ele acusa vários “falsos positivos”. Experiencias mostram que determinadas imagens GIF, não seu conteúdo, mas o nome das mesmas, podem disparar o sistema redirecionando o usuário para o BB mesmo quando estava numa página totalmente inócua. Outro problema é que nada disso resolve o risco de envenenamento do DNS, pois o hacker pode entrar em acão após a verificacão do sistema de seguranca do BB. Entra-se então num jogo de quem veio primeiro : o hacker ou o BB?

Será necessário mesmo que o BB vigie tudo que fazemos na Internet em nome do combate à fraude?

Hoje recebí a seguinte mensagem de email(contendo SPAM, claro):

Se você clicar no link, um banco de dados marcará seu email como “ativo” e aí sim você receberá mais SPAM ainda…. Nunca clique nesses links que vem em SPAM. Se o SPAM, por princípio, é imoral, imagine se eles teriam a preocupação em te dar um link para sair da lista! É que o link é uma exigência para a mensagem não ser considerada SPAM a primeira vista, porém é a primeira coisa que todo spammer inclui…

Comitê Anti-Spam?
Fiquei curioso quanto ao tal “Comitê Anti-spam”. Seria uma idéia interessante. Cheguei a este release de 2003 do NIC Brasil: http://nic.br/imprensa/arquivo/clipping/2003/midia15.htm

Lá diz o seguinte:

OK, clico no link do comitê anti-spam www.brasilantispam.org e que descubro? Que o site do Comite Anti-Spam é SPAM!

Antispam.br
Tudo bem, vemos que o NIC.br está dando um link valioso para um spammer que comprou o domínio após ele vencer. Sem querer estão apoiando o SPAM.

De qualquer maneira, dou minha pequena contribuição, apesar de não achar que spammer algum vá se preocupar em ler. Segue o novo domínio do Comitê Gestor da Internet para sua campanha Anti-spam: www.antispam.br/boaspraticas/

Hoje passei por um post interessante sobre uma forma de “apagar” todos os “twits” de uma conta Twitter. A motivação pode ser diversa, talvez uma mudança de emprego e você não quer twits sobre o velho trabalho postados lá. Ou um novo/a namorado/a, e por aí vai.

Um comentário no post acima chamou a atenção: afirma que quando você “apaga” algo no Twitter, esse conteúdo é apenas marcado como tal no banco de dados central do serviço. Sua informação continuará lá – até que o Twitter deixe de existir. Ou pior, até que seus gigantescos bancos de dados sejam vendidos para outra empresa que ache interessante ter tanta informação pessoal num local só.

Não, eu não tive acesso exclusivo ao sistema do Twitter, tampouco tenho como provar essa afirmação. Apenas sei que esse tipo de sistema funciona dessa maneira, até por motivos legais. Caso haja um processo judicial em função de alguma troca de mensagens no serviço, a empresa deve ser capaz de apresentar às autoridades o conteúdo das mensagens, mesmo que tenham sido apagadas. Resumindo: temos tudo para acreditar que realmente não existe como apagar definitivamente o conteúdo postado no Twitter.

Informação pessoal é a commodity mais valiosa no mundo virtual. Google, Yahoo! e Microsoft oferecem diversos serviços “grátis” onde você utiliza bons sistemas com Gmail e Yahoo! Messenger pagando muito pouco, ou nada. Porém, o usuário concorda que essas empresas tenham livre acesso a seus emails e mensagens trocadas através desses serviços. Milton Friedman sabia o que dizia, não existe almoço grátis.

Como em todos os serviços online da atualidade, não se esqueça: tudo que é postado no Twitter é dado de presente à empresa que controla o Twitter. Se eles venderem os bancos de dados no futuro, todos seus twits serão transferidos a um novo proprietário.

Há 6 meses assinei um pacote da TV a Cabo NET que incluia o tal do Netfone. Recebí um número de telefone, instalei um aparelho no ponto que me forneceram e ficou por isso mesmo. Apenas um familiar próximo possui o número, para emergências. De qualquer forma, se essa pessoa tiver me ligado 2 vezes neste número, foi muito. O aparelho simplesmente não toca.

Eis que, para minha surpresa, acabo de receber uma chamada do Bradesco me oferecendo um cartão de crédito com limite pré-aprovado. O tocar desse telefone me é tão estranho que quase dei um pulo da cadeira quando gritou aqui na minha frente.

A senhorita do outro lado da linha tinha meu nome completo e meu telefone da NET. Me arrependo de não ter levado a conversa adiante, não ficaria surpreso se eles tivessem também meu CPF e outros dados pré-cadastrados para “facilitar” a adesão ao cartão. Infelizmente não pensei nisso na hora da chamada, apenas agradecí e a operadora não insistiu.

Enquanto teóricos e intelectuais se preocupam com a privacidade na internet, meus dados pessoais foram fornecidos para um banco através de minha prestadora de TV a Cabo…. Não há dúvida que foi a NET que forneceu os dados ao Bradesco, este telefone jamais foi usado para qualquer coisa formal, ninguém poderia ter meu nome e o número completos, tampouco terem “analisado” meu histórico de crédito para me oferecer um cartão.

Enquanto a ausência do Estado é completa ao lidar com a falta de sigilo nos bancos, hospitais e grandes telecom’s do Brasil, há uma curiosa preocupação em nos vigiar na Internet, censurar blogs, tutelar a livre expressão online e “cuidar de nossa privacidade” de diversas formas criativas.

Infelizmente, essa prática é comum também em orgãos publicos.

Há muitos anos, tive um email fornecido por um dos primeiros provedores de acesso de Brasilia. O provedor me permitia criar diversas contas. Tinha um email pessoal e outro profissional @esteprovedor.com.br. Para minha surpresa, conforme as eleições se aproximavam, passei a receber emails de divulgação de um político famoso de Brasilia no endereço “profissional”. Este email foi utilizado em apenas um local: meu cadastro no órgão em que trabalhava. Ou seja, esse órgão público forneceu dados pessoais de servidores para um candidato. Lembro-me que todos os servidores do órgão receberam a mesma mala direta, tanto via email quanto em suas casas. Isso é tão comum em Brasilia que os servidores sequer reparam. Toda eleição é a mesma coisa: emails de toda espécie na caixa de entrada, de candidatos que nunca ouví falar, e até de alguns nomes mais famosos.

Enquanto isso, através do Marco Civil, querem colocar o Estado, que não guarda sigilo de absolutamente nada, para ser o guardião de nossa privacidade online.

A Sony iniciou uma campanha de contenção de danos, distribuindo jogos grátis para o PS3.

Segundo a matéria do IDG:

Depois dos ataques que deixaram a rede do PlayStation quase um mês fora do ar, a Sony tenta “se desculpar” com os consumidores oferecendo jogos grátis. A empresa divulgou um comunicado nesta segunda (16/5) dizendo que isso é uma forma de agradecer aos milhões de jogadores pela “paciência, apoio e lealdade durante o período de indisponibilidade do serviço”.

E não seria para menos. A empresa enfrente incontáveis processos nos Estados Unidos e no Brasil as autoridades já se atentaram para o assunto, solicitando informações à Sony.

O “hacker” mais conhecido na atualidade, GeoHot (George Hotz), autor dos notórios exploits contra iPhones e iPads, afirma que o vazamento foi fruto de “arrogância” por parte da Sony. Lembrando que há alguns meses o rapaz foi processado pela empresa por haver removido a proteção anti-pirataria do Playstation. Sobre alegações de que ele poderia estar envolvido no vazamento do servidores Playstation, o autor do seu jailbreak predileto é incisivo: “Não soi doido. Uma coisa é você mexer na eletrônica de um aparelho que você comprou, outra coisa é invadir os servidores de uma empresa e roubar dados pessoais de terceiros”, completa.

Agora só resta à gigante tecnológica pedir desculpas, descer para o sótão e esperar o tornado de ações judiciais passar.