Linux, Home Banking e GBuster: o que há por trás?

Há alguns anos, quando eu participava do Orkut, foi levantada em uma comunidade se a utilização de live-cds de Linux era a melhor opção para acesso ao home banking. A princípio, todos concordaram, pois o sistema, por vários motivos, incluindo sua arquitetura UNIX e o fato de ter um rígido sistema de permissões, é mais seguro que o sistema dominante no mercado. Além disso, some-se ao fato de que o Linux é virtualmente imune aos vírus desenvolvidos para este sistema e, assim, caso o usuário tenha um vírus bancário instalado em seu computador, este se tornará inútil e sem ação no ambiente live-cd. No entanto, no meio da discussão, surgiu um ávido defensor do sistema proprietário o qual disse que o Linux não era mais seguro do que o Windows pois o sistema livre não tinha o GBuster. Logo, passamos a perguntar o que era isso.

O GBuster é um suposto componente de segurança utilizado por vários bancos brasileiros que tem a missão de impedir ataques de vírus e outros malwares durante a navegação no home banking. No entanto, o sistema despertou algumas polêmicas, a principal é a de que os bancos estariam bloqueando o acesso ao home banking para os computadores que não tivessem a ferramenta instalada. Isso é muito grave pois, como você deve imaginar, a mesma só existe para o sistema proprietário e, portanto, um usuário de Linux seria obrigado a instalar este sistema para ter acesso ao banco de seu computador pessoal.

Mas será que o GBuster é realmente um componente de segurança? Será que ele é realmente necessário? Nesta análise publicada no blog InsaneBits, o autor analisa o processo de instalação e o comportamento do programa. Acompanhe a tradução livre abaixo:



Internet Banking é um dos alvos primários dos ataques phishing. Não é surpreendente que as instituições financeiras vem com uma miríade de soluções para proteger seus clientes. No entanto, alguns bancos no Brasil forçam-les a instalar um software que eu achei no mínimo questionável na forma pela qual afeta o sistema operacional. O software em questão chama-se G-Buster Browser Defense, desenvolvido pela Gas Tecnologia e é atualmente utilizado pelo Bando do Brasil, pela Caixa Econômica Federal, entre outros. Ele oferece proteção contra keyloggers, programas maliciosos, entre outros.

Análise da instalação

Após abrir a página do banco e clicar no botão Acessar, nós chegamos na primeira tela do Internet Banking, na qual inserimos nosso nome de usuário.



Caso não tenha sido instalado ainda, nós seremos solicitados a instalar o módulo de segurança neste momento. Nesta fase você já deve ter notado como o título da janela é marcado com caracteres de pontuação à medida que avançamos nas páginas (mais sobre isso depois). Em seguida, permitimos que o componente seja instalado, levando-nos para a segunda tela, que apresenta o teclado virtual.



Agora que o programa está instalado, o autor da análise utilizou um programa para verificar se o mesmo configurou alguma coisa para ser iniciada junto a seu sistema operacional. Conforme ele verificou, o G-Buster adicionou três novas entradas no Registro do OS. O componente principal é o arquivo gbiehCef.dll, um arquivo que fica em uma pasta dentro da pasta do sistema.

O que realmente assustou o usuário foi o fato de que o arquivo é injetado no processo de logon do sistema operacional, o que significa que o mesmo estará em execução mesmo quando não precisamos dele, consumindo ciclos de CPU.. Ainda, ao monitorar o comportamento do programa através de um software específico, ele verificou que o componente fica verificando o Registro do sistema constantemente, a cada 5 segundos. Ao analisar o que foi pesquisado, nota-se que o GBuster está tentando verificar qualquer tentativa de remoção dele próprio. Embora isto possa servir para prevenir programas maliciosos de desinstalá-lo, ele tambéwm deixa o usuário sem a opção de fazê-lo. Ainda, todas as tentativas de remoção, como remover as chaves de autorun ou tentar apagar o arquivo, falham.

Como conclusão, o autor do artigo diz que o GBuster monitora as chaves do Registro para impedir que um software especialmente desenvolvido possa desativá-lo. Ele embaralha os caracteres do título da página do Internet Banking, talvez em uma tentativa de escapar dos olhos de um keylogger procurando uma determinada página. Talvez ele monitore o uso da Internet tentando achar programas suspeitos de falsificação de identidade. Não está claro se ele envia a informação pessoal ou baixa alguma coisa. Não há nenhuma caixa de diálogo que pede a permissão do usuário. Além disso, o autor cita a preocupação de que, como o componente é o mesmo para vários bancos, é fácil para um cracker hackear o programa e conseguir facilmente acesso a dados pessoais. O programa tem falhas de design e consome ciclos de CPU de maneira desnecessária.

Nossa conclusão

Após ler a análise, concluímos que o GBuster é um software mal-feito, que explora de maneira descontrolada e desnecessária os recursos do sistema proprietário, tornando-o mais lento do que já é normalmente. Não sabemos, ainda, se o software envia informações pessoais do usuário para outrém (alguém com o Wireshark poderia fazer o teste, ou não?) e chegamos à conclusão de que o mesmo é apenas uma ferramenta que, assim como as demais ferramentas de "segurança" desenvolvidas para este sistema, apenas dá ao usuário a falsa sensação de estar protegido contra as ameaças virtuais.

Nós, usuários de software livre, não precisamos de nenhum GBuster para nos proteger, pois nosso sistema já é seguro por padrão. No entanto, sabemos que alguns bancos obrigam os usuários a instalarem a ferramenta. Eu parto do princípio de que, se um banco ou qualquer outra empresa não respeita a minha decisão de escolher o sistema operacional que eu quero usar, então ele simplesmente não merece ter-me como cliente. Se todos os usuários de Linux tivessem essa atitude ante as empresas e as instituições que nos obrigam a usar um sistema ou programa que não queremos, faríamos barulho e elas teriam que nos ouvir.