Home banking do BB(Big Brother?) instala programa espião na máquina?5

Será que o BB anda instalando pequenos satélites do Big Brother(BB) em cada computador que utiliza o home banking?

A dúvida surgiu quando percebí que o home banking do BB aparentemente não faz uso somente dos recursos de segurança de seu navegador para comunicar-se com a central do Banco. Em vez disso, instala um sistema que, até onde compreendi, abre uma conexão paralela à do navegador criando um “canal seguro” com o endereço IP 170.66.1.60. Por que não fazem uso dos recursos de segurança já fornecidos pela Microsoft ou, caso utilize outros navegadores, aqueles do ambiente Java(JSSE ou JCE ou J*) conforme fornecidos pela Sun?

Temendo estar informando minha senha à um site que não fosse o BB, verifiquei se o referido IP é de propriedade do Banco. Aparentemente sim, ele está dentro da faixa 170.66.0.0 a 170.66.255.255 compreendendo cerca de 65.535 endereços, todos alocados ao Banco do Brasil.

Fonte: http://lacnic.net/cgi-bin/lacnic/whois?lg=EN

inetnum:     170.66/16

status:      assigned

owner:       Banco do Brasil S.A.

ownerid:     BR-BBSA-LACNIC

responsible: Edi Domingues

address:     STN 716 bloco C Brazil, 000,

address:     70770-100 – Brasília – DF

Verifiquei se os dados que essa conexão paralela enviam ficam dentro do Brasil. Aparentemente eles ficam aqui mesmo em Brasília, até o último salto visível publicamente.

Esta é uma conexão normal da home page do home banking:



Esta é a conexão ao www14.bancobrasil.com.br – mesmo usando TCP para rastrear os pacotes “somem” após sairem da rede da Brasil Telecom:

O arquivo hosts dentro de windows\system32\drivers\etc continha uma entrada que atribuia ao host www14.bancobrasil.com.br o endereço IP 170.66.1.60. Normalmente isso significa que alguém está tentando sequestrar seu acesso ao home banking, mas neste caso significa apenas que o BB não confia em seu servidor DNS e que decidiram forçar o endereço no registro local. Esta medida auxilia na proteção contra o “envenenamento” do DNS.

O sistema que cria o canal seguro é desenvolvido pela GAS Informática e, até onde entendí, se chama G-Buster. Os arquivos instalados em seu computador incluem bibliotecas DLL diversas e arquivos aparentemente compactados (ou criptografados) com extensões proprietárias(GPC, GMD, etc). Nada pessoal contra o sistema da GAS, mas este é um dos sistemas mais intrusivos que já conhecí.

Observando o formato desses arquivos superficialmente ví apenas algumas semelhanças no “número mágico” do arquivo(alguns começam com “STM!”, outros com “STF!”).

São instalados arquivos na pasta Documents and Settings, é alterado o arquivo hosts da máquina e são instalados, no mínimo, 2 BHO’s(Browser Helper Objects) que se auto-carregam toda vez que voce ligar o Internet Exploder. Não fúi muito além disso na exploração, mas até onde observei trata-se deveras de um sistema intrusivo que, se desejar, possui total controle do computador(salvo engano, essas DLL’s rodam todas em modo nativo, ou seja, como “código confiável” e sem restricões quanto ao que podem ler ou enviar pela internet).

Existe “Espião do bem”?
Quando comentei sobre o espião do BB, agora há pouco, um analista de sistemas conhecido meu afirmou já ter tido problemas com o sistema do BB em sua empresa. Aparentemente esse sistema verifica todas as páginas que o usuário visita. Caso a página aparente ser uma daquelas “falsas” telas do BB(as que roubam sua senha – o famoso phishing) o sistema direciona o usuario automaticamente para o site “original” do BB. O problema é que o “espião do bem” pode servir também para piorar a situacão(ou dar uma impressão de falsa seguranca), pois ele acusa vários “falsos positivos”. Experiencias mostram que determinadas imagens GIF, não seu conteúdo, mas o nome das mesmas, podem disparar o sistema redirecionando o usuário para o BB mesmo quando estava numa página totalmente inócua. Outro problema é que nada disso resolve o risco de envenenamento do DNS, pois o hacker pode entrar em acão após a verificacão do sistema de seguranca do BB. Entra-se então num jogo de quem veio primeiro : o hacker ou o BB?

Será necessário mesmo que o BB vigie tudo que fazemos na Internet em nome do combate à fraude?