Avaliando as dicas de segurança do Banco do Brasil

O uso dos serviços bancários via internet, os chamados serviços on-line é fato presente na vida de milhares de pessoas. Eis que surge a questão: será que estes serviços são seguros? A primeira providência é ler cuidadosamente as dicas de segurança disponibilizadas pelo banco. Neste artigo farei uma análise rápida destas dicas para utilização dos serviços do Banco do Brasil.

[ Hits: 29.562 ]

Por: Perfil removido em 05/01/2010


Avaliando as dicas de segurança do Banco do Brasil



Texto publicado conforme: Avaliando as dicas de segurança do Banco do Brasil - Linux.LCC. Atualizações acontecerão primeiro neste endereço.

O uso dos serviços bancários via internet, os chamados serviços on-line, é fato presente na vida de milhares de pessoas. Talvez pelos inconvenientes de se dirigir até a agência de relacionamento em questão, seja pela falta de tempo, pelas filas, pela indisponibilidade de uma agência próxima de você, a questão central é que muito provavelmente você usa ou irá usar algum serviço bancário on-line alguma vez na vida.

Neste momento surge a questão: será que este serviço é seguro? A primeira providência é ler cuidadosamente as dicas de segurança disponibilizadas pelo banco. Neste artigo farei uma análise rápida destas dicas para utilização dos serviços do Banco do Brasil. Vejamos como elas se saem sob meu crivo. Um último comentário: estas dicas se encontram na seção "suas responsabilidades".

Os bancos atualmente (todos os bancos que tenho notícia) fornecem dicas de segurança para que os clientes se sintam mais protegidos e para que se resguardem juridicamente caso algum problema venha a ocorrer. A primeira providência que um usuário deste tipo de serviço deve tomar é ler atentamente àquelas recomendações. Façamos o mesmo. Neste artigo, vou estudar as dicas do Banco do Brasil, conforme este documento como em 21/12/2009. Para maior comodidade, vou listá-las aqui:
  • NUNCA informe o número do seu cartão ou o seu código de segurança ao utilizar o auto-atendimento;
  • BB pela Internet. O Banco do Brasil jamais solicita essas informações pela internet.

Boa dica e de fato, facilitam o cumprimento do que prometem.
  • CERTIFIQUE-SE de que está na área segura do portal BB, verifique a existência de um pequeno cadeado fechado na tela do programa de navegação. Note também que no início do campo "endereço" surgem as letras "https".

Esta dica, no meu modo de ver as coisas, não é uma boa dica de segurança porquê, tanto o tal cadeado quanto as letras https são indicadores da existência de criptografia ssl, ou seja, neste endereço, os dados trafegarão de maneira criptografada, apenas isto. Isto não significa que você está protegido. Significa que apenas você e o site onde você está conectado podem acessar aquela informação. Um amigo meu, quando perguntado sobre o protocolo ssl respondeu: "O SSL é garantia de que, na pior das hipóteses, você estará sendo "enganado" seguramente". Aos leitores leigos, fica a dica que é extremamente simples se configurar um site para que o tal cadeadinho e as letras https apareçam. A tendência hoje é confiar em certificados (os certificados são parte do protocolo SSL) que sejam assinados por autoridades confiáveis internacionalmente. Neste sentido, o Banco do Brasil segue esta tendência possuindo certificados assinados pela Thawte Consulting cc.
Linux: Avaliando as dicas de segurança do Banco do Brasil
Certificado:

Se você reparar bem, verá que o endereço do site que consta no certificado não é o que você acessa (www.bb.com.br) e sim www2.bancobrasil.com.br. Outro ponto no tocante ao acesso ao endereço do site é que sempre que se acessa http://www.bb.com.br ocorre um redirecionamento para o endereço http://www.bb.com.br/portalbb/home/geral/index.bb.

Passando por:

http://www.bancobrasil.com.br/portalbb/jsp/home/geral/caw.jsp?getcookie=get

e, em seguida para:

http://www.bb.com.br/portalbb/home23,116,116,1,1,1,1.bb

com os números deste novo endereço podendo variar de acordo com os serviços fornecidos na página em questão.

Interessante é que, se você acessar o endereço:

http://bb.com.br

ele também é um endereço válido para o site do Banco do Brasil, conforme especificado nas dicas de segurança fornecidas pelo próprio Banco do Brasil.

Confira os endereços no histórico do seu navegador.

Pareço muito paranóico? Então, permita-me um pequeno teste: qual o endereço da página oficial do Banco do Brasil?

(a) www.bb.com.br
(b) bb.com.br
(c) www.bancodobrasil.com.br
(d) www.bancobrasil.com.br

Se você ficou em dúvida ainda que por um segundo sequer, é sinal de que algum setor de marketing está deixando a desejar quanto a consolidação da marca no mercado o acesso ao Banco do Brasil é passível de confusão.

Isto sim é um ponto contra a credibilidade do serviço e lembra e muito o cenário de falsificação de sites, largamente discutido em temáticas de segurança. Se existe realmente a necessidade do redirecionamento, é importante tornar o usuário ciente deste procedimento. Clareza é muito importante para a confiabilidade.

Neste ponto, o Banco do Brasil deixa muito a desejar.
  • EVITE atalhos para acessar o site do BB, especialmente os obtidos em sites de pesquisa. Digite sempre no campo do endereço.

Esta dica endossa o comentário sobre a dica acima. Atalhos de internet são perigosos porquê eles são constantemente utilizados para levar o usuário a crer que um endereço falso, mas que se parece muito com o original seja de fato o que ele busca. Problemas dos mais variados tipos surgem daí. Para que esta dica seja eficiente, é necessário que o site tenha uma identidade própria, que seja praticamente impossível de se copiar e que passe confiabilidade e credibilidade ao usuário. Aí entra o SSL, como um mecanismo de fornecer este tipo de identidade com estas( e outras ) características. Mas, para que isto seja eficiente, o exposto acima jamais deve ocorrer.
  • PROCURE sempre acessar o site bb.com.br no início da conexão ao provedor. Evite navegar em outras páginas ou acessar "e-mail" antes de utilizar o auto-atendimento BB pela Internet.

Boa dica. Aqui, o alerta se refere a vírus, trojans, e todo tipo de programa malicioso que possa afetar o procedimento de acesso ao serviço do banco e que possam ficar em cache durante a navegação. Mas, como já comentei, este endereço não é a única forma de se acessar o site do Banco do Brasil, o que torna todo o procedimento confuso.
  • EVITE realizar operações em equipamentos de uso público, eles podem estar com programas antivírus desatualizados ou preparados para capturar os seus dados.

Outra boa dica.

Computadores públicos são perigosos sim. Evite-os ao máximo. Caso seja estritamente necessário utilizá-los, exija um registro do proprietário do estabelecimento (nota fiscal constando o horário utilizado) e avise-o claramente que você utilizará o equipamento que ele oferece e que exige garantias caso algo dê errado. Vejam o que diz o capítulo III do código de defesa do consumidor, conforme http://www.idec.org.br/cdc03.asp em 21/12/2009:

CAPÍTULO III
Dos Direitos Básicos do Consumidor
ART. 6° - São direitos básicos do consumidor:
I - A proteção da vida, saúde e segurança contra os riscos provocados por práticas no fornecimento de produtos e serviços considerados perigosos ou nocivos;
II - A educação e divulgação sobre o consumo adequado dos produtos e serviços, asseguradas a liberdade de escolha e a igualdade nas contratações;
III - A informação adequada e clara sobre os diferentes produtos e serviços, com especificação correta de quantidade, características, composição, qualidade e preço, bem como sobre os riscos que apresentem;
  • EVITE abrir e-mail de origem desconhecida.
  • EVITE também executar programas ou abrir arquivos anexados, sem verificá-los com antivírus atualizado, mesmo que o conteúdo seja criado pela pessoa de sua confiança que os enviou. Eles podem conter vírus ou cavalos-de-tróia, sem que os remetentes sequer saibam disso.
  • SOLICITE aos seus amigos que não enviem mensagens de e-mail de corrente (spam). Essas mensagens normalmente oferecem facilidades promocionais, propaganda enganosa, curiosidades, mensagens de amizade e outros títulos, sempre orientando o reenvio para 10 ou mais amigos, e são muito utilizadas para propagar vírus e cavalos de tróia.

Agrupei estas três dicas por se tratarem basicamente do mesmo problema. Resumiria da seguinte maneira: não confie em quem você não confia. Ao leitor desatento esta frase pode parecer redundante e talvez a frase "não confie em quem você não conhece" mais apropriada. Mas, analisando mais cuidadosamente esta frase, é fácil se convencer de que você, por exemplo, não conhece a maioria das pessoas em que confia. O motorista da carreta que está te seguindo na estrada, o piloto do avião, o consultor de segurança do seu banco, etc. A questão é que muitas destas pessoas realizam esforços para serem confiáveis, para construir uma reputação. Talvez, pessoas que você conhece não realizam tantos esforços para tal, então, o fato de elas serem conhecidas, não faz delas confiáveis. Um estudo da história, das políticas, dos casos de sucesso e fracasso contribuem em muito para a construção da confiabilidade. A dica que se segue endossa isto.
  • UTILIZE somente provedores com boa reputação no mercado e browsers e antivírus mais atualizados. A escolha de um provedor deve levar em conta também as políticas de segurança e a confiabilidade da empresa.
  • CERTIFIQUE-SE de que realmente encontra-se na área segura do site do BB ao digitar sua senha BB Internet para realizar compras em sites que oferecem facilidades de débito em conta.

Aqui tocamos em um ponto interessante. Se aceitarmos o fato de que o cadeadinho e as letras https não são indicadores suficientes para a confiabilidade, como vamos saber se estamos na tal área segura do site do BB? Pense no primeiro acesso, onde não sabemos o que vamos encontrar. Há alguma evidência de que estamos onde gostaríamos de estar? Fica a pergunta.
  • CERTIFIQUE-SE também de que as demais pessoas que utilizam o seu computador tenham conhecimento e sigam as orientações de segurança.

Mais uma boa dica. De nada adiantam políticas de segurança se, em um computador compartilhado, algum indivíduo não conhece e segue as orientações de segurança.
  • INFORME-SE sempre sobre as melhores práticas de segurança. Os endereços www.antispam.br e www.cartilha.cert.br pertencem a instituições conceituadas e trazem boas informações sobre o assunto.

Esta dica para mim soa como se fosse de encontro à política de segurança adotada pelo Banco do Brasil, mas preciso ser cuidadoso ao expor meu ponto de vista. É sempre de bom tom estar informado sobre as melhores práticas de segurança. Mas, se realmente eu estivesse interessado em ler estas referências, eu as procuraria diretamente. Já que existe o interesse por parte do banco em informar aos seus clientes boas práticas de segurança, porquê não tornar isto parte da cadeia de serviços do mesmo? Digo, um serviço gratuito onde dicas de segurança fossem enviadas, avaliações sobre os serviços, entrevistas com especialistas, tudo isto seria de muito mais bom tom do que um simples RTFM (Read The Fucked Manual, algo como leia a porra do manual, em "bom" português). Fica a dica.
  • CONSULTE sempre esta página para novas informações sobre a segurança dos canais de Auto-Atendimento do BB.

Pelo discutido acima, resta reforçar que vocês podem fazer melhor do que isto. Nós merecemos isto. E tenho dito!
  • CONFIRA quando foi o seu último acesso.

E acrescentando, lembre quando foi seu último acesso. Você sabe quando foi a última vez que recebeu um salário. Seja cuidadoso e registre seus acessos. Isto pode ser de grande ajuda em caso de problemas.
  • SAIBA que o Banco do Brasil não envia mensagens de correio eletrônico a seus clientes, nem autoriza qualquer parceiro comercial a fazê-lo em seu nome. O BB respeita acima de tudo sua segurança e privacidade. Qualquer dúvida entre em contato com a Ouvidoria BB.

Deixo vocês tirarem suas próprias conclusões sobre a última dica.

Como considerações finais a minha avaliação é que as dicas do Banco do Brasil deixam muito a desejar em relação a orientar o usuário sobre boas práticas de segurança. Muita coisa pode ser feita no tocante a segurança, como uma distribuição mais efetiva de informações de segurança, dicas mais bem explicadas focando realmente as questões de segurança, vídeos, tutoriais homologados pelo Banco do Brasil etc.

Criar uma cultura de segurança é algo complicado e os bancos, não apenas o Banco do Brasil, tem um papel importantíssimo neste processo. Por enquanto, o Banco do Brasil, em termos de orientar os usuários quanto a boas práticas de segurança é exatamente o que o apelido sugere: um bebê.

Quero deixar claro que este artigo não foi escrito com caráter exclusivamente didático mostrando uma visão pessoal sobre as recomendações aqui citadas. Nunca foi ou será meu intuito denegrir a imagem da instituição aqui citada.

   

Páginas do artigo
   1. Avaliando as dicas de segurança do Banco do Brasil
Outros artigos deste autor

Configuração do serviço NTP em servidor cliente

Por que existem mais games para Windows do que para Linux?

Suporte TCP Wrapper - Serviços stand-alone no Debian 6

Configurando wireless no Ubuntu 7.04 e compartilhando a conexão

Usando aMSN com plugin Music com suporte ao Juk e Amarok

Leitura recomendada

Ferramentas úteis para diagnóstico da rede

Baixando arquivos do MegaUpload, Rapidshare, 2Shared, 4Shared, ZShare, Badongo, DepositFiles e Mediafire

Alcatel SpeedTouch USB no Slackware 10.1

Criando páginas dinâmicas com o Xoops

#Vivaolinux, agora com canal IRC

  
Comentários
[1] Comentário enviado por andrezc em 05/01/2010 - 19:00h

Muito útil seu artigo,o que não falta é e-mails com tentativas de phishing tentando fazer com que o usuário baixe um programa, ponha sua senha em uma página falsa e etc...

[2] Comentário enviado por grandmaster em 05/01/2010 - 20:09h

Artigo util para informar pessoas que não prestam muita atenção no que recebem.

:)
---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[3] Comentário enviado por Willy Pruss .:. em 05/01/2010 - 21:03h

Como cliente de tal banco, fiquei decepcionado em o mesmo ter trocado, a poucas semanas atras, a forma de digitação das senhas de acesso a conta e de confirmação de transações bancárias, passando de um teclado virtual (em Java) para uma caixa aonde deve se digitar diretamento no teclado do computador, aonde simples programas espiões que gravam tudo o que você digita podem facilmente lhe roubar suas senhas. Segundo o banco fizeram isso para "simplificar" o acesso, haja visto muitos clientes terem dificuldades em instalar o Java!!! Pode um negocio desses? Simplificaram em total detrimento de nossa segurança!

[4] Comentário enviado por elgio em 06/01/2010 - 07:42h

Sobre o teclado virtual, entendo que:

1) O teclado virtual do Banco do Brasil não evitava captura de senhas.

O teclado do BB era fraco e apenas dificultava um pouco a captura. Ao invés de key logger bastava um screen logger. Se alguém lembra as primeira versões faziam o número desaparecer ao se clicar neles. Abandonaram isto também. O fato é que sempre tem como. Alguns bancos realmente foram criativos com botões com vários valores [A B Y J 9] tu clica neste botão por causa do Y, mas se alguém capturar o teu clique, como saberá?

2) O teclado virtual do BB era vulnerável ao mais ridículo ataque: alguém te observando por trás do teu ombro.

3) Os roubos de senhas são realizados usando técnicas muito mais simples, como simplesmente mandar um email para o usuário dizendo que ele ganhou um prêmio. Logs de teclas estão em desuso pela facilidade das demais técnicas. Além do mais, se um hacker conseguiu comprometer teu sistema ao ponto de instalar um log de teclado, ele pode ter instalado muito mais coisas, como uma página falsa por exemplo. Pode ainda ter registrado no teu IE um certificado raiz de uma certificadora falsa para que teu navegador não berre ao acessar a página falsa.

---
Enfim, entendo que o teclado vritual era uma ferramenta que tornava o acesso mais difícil e não resolvia realmente os problemas. Eu gostei do fim dele. Prefiro muito mais digitar do que clicar, pois, como disse, ao clicar sempre tem alguém que pode estar vendo, mesmo a distância.

[5] Comentário enviado por Willy Pruss .:. em 06/01/2010 - 08:48h

Olá Elgio! Tudo bem?

Concordo com você no quesito de alguém estar vendo por trás a digitação (aliás: o clique) da senha (mesmo com controle de contraste), mas sinceramente ainda preferiria o teclado virtual (será porque meu monitor esta virado para a parede? rsrsrs). Acho que trocaram seis por meia duzia.
Me pergunto porque os bancos não utilizam um sistema biométrico, ou até de reconhecimento de Íris, creio que ficaria mais seguro. (a não ser se fizerem como nos filmes do James Bond, aonde arrancam o dedo ou olho para passarem no leitor! :-)

Um grande abraço.
Saudades ai da sua terra, morei 15 anos em Uruguaiana!

[6] Comentário enviado por Teixeira em 06/01/2010 - 11:43h

Gostei do artigo, muito oportuno.
A bem da verdade, até mesmo os sistemas biométricos seriam passíveis de intercepção, muito embora dificultassem bastante essa tarefa.

Chamo à atenção para o fato de que MUITOS sites (muitos MESMO!) trabalham com páginas ditas "seguras", com ssh, https, cadeado, algemas, correntes, fechaduras, etc. mas no momento imediatamente anterior ao de transitar com os dados do incauto usuário, simplesmente ABANDONAM a área segura, deixando os nossos preciosos dados ao alcance de qualquer um...
(Ainda bem que "qualquer um" não é necessariamente um cracker).
Outros ainda exigem excessões em nossos firewalls, exigem exclusividade ao Internet Explorer, e outras práticas que levam a uma direção contrária à segurança do usuário.

Vejam só o absurdo: Tanto a AVON quanto a NATURA somente funcionam com o Internet Explorer e NENHUM outro browser (até que dá para acessar as páginas, porém os formulários ficam com os dados presos numa espécie de "limbo" ), expostos a quem os desejar capturar. Não envia. Ou seja, enviar, envia mas não são capturados no destino (!!!!!!!!!).
Se eles pelo menos indicassem Internet Explorer OU SUPERIOR, seria fácil resolver...
Mas não.
Só funciona com o I. E. mesmo. (no caso da Natura, apenas as versões 5.5 e 6.0 , como explicitamente declarado, depois que o usuário já entrou no site e já digitou feito um condenado, sem êxito).

Considero o site da NATURA perigosíssimo, pois instala uma imensidão de cookies persistentes inclusive com a finalidade de guardar a página inicial de cada usuário (isso seria ótimo e muito prático, porém na prática essa página inicial muitas vezes se torna a própria página de cadastro).

Isso é notoriamente um defeito de programação (para não chamar de incompetência mesmo).
Lembro aos desenvolvedores "esquecidos" que OS DADOS DIGITADOS PERMANECEM EM CACHE.
Ou será que isso é um fato desconhecido?

Trambiqueiro tem jeito para tudo:

- Lá pela década de 50 alguém importou "alguma coisa" descrita na documentação como sendo um "motor a gás pobre, sobre rodas". Essa descrição correspondia a um tremendo Cadillac "rabo de peixe" , que era "o carrão" daquela época ).

Há pouco tempo atrás, era comum a instalação de "chupacabras" em quiosques bancários, com a finalidade de gravar números de cartão e suas respectivas senhas.

Nos Estados Unidos teve quem instalasse quiosques falsos (fake) que aparentemente não funcionavam, mas "chupavam a cabra"...
Eles chegavam em algum lugar público e simplesmente instalavam o quiosque, na maior cara de pau.

Quando o Brasil exportava o látex da seringueira, esse látex era "enrolado" em forma de bolas.
Aí alguém teve a brilhante idéia de colocar um tijolo dentro, para aumentar o peso.
Dentro de algum tempo, o truque foi descoberto, e os compradores passaram a enfiar um facão na tal bola de látex com a finalidade de detectar o tal tijolo.
Pode parecer piada, mas a coisa piorou, pois os trambiqueiros passaram a colocar DOIS tijolos bem espaçados entre si. E ainda conseguiram que os "fiscais" se aliassem a eles, enfiando o facão em uma posição predeterminada, de forma a não atingir os tijolos...

Em segurança, todo cuidado é pouco...

[7] Comentário enviado por cquintela em 06/01/2010 - 13:50h

Uma dica que sempre passo para os meus clientes é de digitar dados errados no primeiro acesso. Assim se ele estiver em site um falso, o site confirmará seu acesso (para enganar o cliente, pois o vírus/trojan não tem como verificar a veracidade da informação).

[8] Comentário enviado por Roger GNU em 06/01/2010 - 15:17h

Gostei da dica. Achei legal a frase "pessoas conhecidas não são necessáriamente confiáveis". É verdade temos que nos cuidar...

[9] Comentário enviado por removido em 06/01/2010 - 16:49h

Segurança... uma utopia... todos "desejamos"!
Somente com sorte passaremos despercebido... "UFA!" não fui "roubado", rs...
Pesquisando sobre a tal da ou de segurança, deparei- me com com os códigos "dicionário" - parte dele, pois são muitos e divididos em diversas partes do mundo e todos trabalhando juntos para decifrar o que digitamos (criptografamos,rs..) em qq máquina em qq parte do mundo. Parece ficção - mas não é! É paranóia mesmo! Nem os antivírus estão de fora. Alguns dele já trazem embutido um trojan que quando faz suas atualizações redireciona o IP, o MAC e o DNS e as palavras digitadas ( as que fazem parte do dicionário) e os locais acessados específicos de averiguações dos interessados.

SERÁ QUE USAM LINUX ? WINDOWS ? MAC ? - Não... algo ainda por ser desvendado. Um sistema OP como este ( o deles) não precisa de um nome nem de uma plataforma que só tem um "OLHO". Ele está aqui... está aí... e em todas as máquinas. OU SEJA EM TODA A REDE !

Abraços,

[10] Comentário enviado por krlsdu em 08/01/2010 - 13:43h

Uma dica a mais seria vc digitar ao menos a primeira vez propositalmente a senha errada para conferir a página de erro apresentada e os sair clicar no ícone e não simplesmente fechar a janela do navegador .
Em relação a maquina java eu acredito que qualquer forma onde dificulte ou elimine um tipo de ataque e muito bem vinda então não sou a favor da troca de clique por digitação pois os ataques por keyloger são muito mais fáceis de se implantar tanto em hardware quanto em software sendo esses meus motivos. Em relação as dicas que o banco do brasil dispões no seu contrato também penso que são insuficientes, porém penso que as vídeos interativos dispostos na área principal da página são muito enficientes pois permitem um aprendizado e conhecimento de ataques e defesas no mínimo práticas.

[11] Comentário enviado por wellington79 em 08/01/2010 - 18:36h

Tenho um computador core 2 duo intel e utiliza linux 64 bits (archlinux)e após a implementação do novo sistema de segurança do BB, nunca mais consegui acessar o banco. Entrei em contato com o Banco do Brasil e abri um chamado na ouvidoria e a resposta que obtive é a seguinte: "O site do banco do brasil só funciona em computadores AMD64 pois o java não existe para INTEL64" a maior besteira que já ouvi mas tudo bem não sabemos o que ele utilizam para garantir a segurança, alguem conseguiu utilizar o site do BB em arquitera de 64 bits sem usar as bibliotecas 32 bits?

[12] Comentário enviado por Willy Pruss .:. em 08/01/2010 - 18:54h

Ola Pessoal,

Por acaso alguém conseguiu fazer funcionar o aplicativo BB Cobrança em alguma Distro? Tentei de diversas maneiras, mas nao deu certo, via Wine, ate instalando a maquina Java for Windows dentro do Wine, etc...mas nada! Um banco do porte do Banco do brasil, que ultiliza sistemas linux internamente em seus controles e em sua intranet, devia ter versoes for linux....o suporte deles nao ajudaram em nada..disseram que o BB cobrança e apenas para Windows e nao souberam informar se estao trabalhando numa versao para o Pinguim. :-(


Contribuir com comentário