1. G - Buster
O Internet Banking é o principal alvo de ataques de phishing, o que de certa forma justifica
que instituições financeiras o tenham eleitocomo prioridade proteger seus clientes. Entretanto,
alguns bancos obrigam, para permitir o acesso aos seus recursos, que usuários instalem um software
no mínimo questionável, porque interfere no desempenho do equipamento. O software exigido pela
CEF, Banco do Brasil e outras organizações bancárias chama-se G-BusterBrowser Defense, e o site do
fabricante descreve suas funcionalidades:
Uma tecnologia anti-intrusão responsável pela blindagem da transação eletrônica contra tentativas
de violações à privacidade do cliente ou usuário dos serviços oferecidos através da Internet.
Funcionalidades:
Proteção contra ataques promovidos por agentes maliciosos do tipo: cavalo-de-tróia (trojans), worms,
ferramentas de hacking, rootkits, backdoors, etc.;
Identificação e respostas (em tempo real) a incidentes de segurança;
Proteção para aplicações Internet contra “grampos digitais” do tipo:
Espiões de teclado;
Espiões de mouse;
Espiões sobre telas de apresentação;
Espiões de navegadores;
Sites clonados ou falsos;
Diversos outros.
Proteção e interação com tecnologias de autenticação (certificados digitais, tokens de autenticação
dinâmica e biometria).
Outra publicação do fabricante encontrada na Web indica:
O e-commerce e o e-banking também estão protegidos por nossas soluções. Neste conceito, a
ferramenta, inédita no mundo, atua sob a forma de componente de segurança, o qual é baixado
concomitantemente à página Web. A estação do cliente ou usuário será blindada enquanto este
estiver realizando sua transação eletrônica. Além disso, o G-Buster alimenta os sistemas transacionais
com informações de vulnerabilidade do cliente de forma a prepará-lo para responder a uma possível
intrusão.
De certa forma este programa pode ser considerado um vírus, mesmo que benigno, mas
com todas as características de um programa inserido por um intruso malicioso; invisível, furtivo,
instalado sem o conhecimento, impossível de ser removido por um leigo e utiliza a CPU para realizar
tarefas sem controle do usuário. A ação deste "vírus" pode ser visualizada pelo TaskManager.
Mesmo que nenhum serviço de Home Banking esteja sendo realizado, o Gbpsv.exe aparece na lista
de processos em execução (por isto sublinhei a palavra “enquanto” no texto do fabricante). Uma
consulta ao controlador de serviços no Painel de Controle/Ferramentas Administrativas também
indica um serviço ativo. O mais interessante é que o administrador local da máquina não é capaz de
parar, remover, pausar ou alterar as configurações deste serviço - o que configura um abuso,
provavelmente ilegal, por parte dos bancos.
2. Análise daInstalação
O processo de instalação é rápido enão requer prática nem habilidade. O procedimento
utilizado pela Caixa Econômica Federal pode ser sintetizado nas quatro figuras a seguir:
Etapa 1 Etapa 2
Etapa 3 Etapa 4
O texto enxuto fala em instalação de um Módulo Adicional de segurança, não explica como
ele funciona e muito menos menciona que o referido módulo passa a ser parte ativa dos recursos
utilizados pelo equipamento do usuário. A Etapa 3 solicita a autorização para instalação de um
módulo ActiveX. Na ilusão de ser um aplicativo exclusivo para o acesso ao banco, o usuário concorda
e o que acontece depois, se não for ilegal, é questionável sob o ponto de vista da ética. Junto com a
instalação do módulo ActiveXsão instalados um Serviço e um Driver. O Serviço (repito, instalado sem
autorização) ainda tem alguma lógica, mas o Driver é muito estranho. Conceitualmente Drivers são
softwares destinados a fazer a interface com um hardware específico e não há nenhum hardware
relacionado com esta instalação. A única explicação razoável é que este componente exista só para
dificultar a remoção do pacote.
Sempre que um software novo é instalado em meu equipamento, analiso as configurações
para avaliar se houveram alterações que possam, de alguma forma, prejudicar seu desempenho. O
G-Busterneste particular é muito ruim. Inclui diversas entradas no arquivo Registry eacrescenta um
novo processo no WinLogon. Desta forma, garante a sua sobrevivência quando o equipamento é
desligado e permanece ativo (consumindo recursos) mesmo quando seus serviços não são
necessários (consulto bancos uma ou duas vezes por semana). Uma pesquisa mais elaborada indicou
que a cada 5 segundos um segmento doWinLogon lê entradas doRegistry e verifica seus valores. Não
é complicado entender o que está acontecendo: o componente de segurança está verificando se
existem tentativas de sua remoção, provavelmente para impedir que programas maliciosos o
desativem. Sem problemas se o equipamento é usado exclusivamente para Home Banking embora,
3. como se pode ver nas telas de instalação, isto não é mencionado em momento nenhum. Para
umusuário médio que eventualmente consulta um banco, o software é um tipo de parasita durante
todo o tempo de uso e o cliente não tem nenhuma opção para desinstalá-lo. Quatro ligações para o
08007260104 (CEF) solicitando procedimentos de desinstalação resultaram em tentativas canhestras
de atendentes de telemarketing mal preparados insistindo em manter o programa instalado. Uma
vez que só o usuário pode decidir o que é melhor para ele, a instalação do G-Buster equivale a um
confisco eletrônico de recursos sem aviso prévio. A única solução que a assistência técnica da CEF
indicou foi reformatar o disco rígido e reinstalar o sistema operacional. Seria cômico se não fosse
trágico. Ah, durante o atendimento ainda alertam repetidamente que a ligação esta sendo gravada e
intimidam o usuário afirmando que ele é o exclusivo culpado se algo de pernicioso acontecer com
sua conta.Convencido que não obteria auxílio do fabricante ou do banco, listei as possibilidades para
remover o programa: Excluir as entradas de auto execução não tem efeito porque elas sãorecriadas,
apagar ou mover os arquivos do componente é impossível, agendar a remoção para a próxima
reinicialização não funciona e o modo de segurança também não ajuda.
Entendo o propósito do G-Buster Browser Defense. Ao monitorar as chaves do
Registry(existem soluções mais eficientes, mas isto não vem ao caso), impede que um software
malicioso possa desativá-lo. Talvez monitorea Internet (não comprovei isto) tentando evitar
falsificação de identidades. Com certeza transmite algum tipo de dados criptografados, mas não está
claro se é algum tipo de informação do usuário.
Acredito que uma solução por demanda seria mais razoável. O sistema pode
protegerdurante o acesso ao HomeBanking, não em tempo integral. Existe outro agravante: o G-
Buster Browser Defense é utilizado por mais de uma instituição financeira, portanto é um alvo
potencial para intrusos maliciosos, porque umúnico trojan que possa burlar a segurança pode servir
para vários bancos. Outro fato que tangencia o ridículo é que, sem nenhuma explicação razoável, se
o usuário é cliente de dois bancos (CEF e Banco do Brasil, por exemplo) o G-Busteré instalado duas
vezes, ou seja, duplica verificações e controlesdo sistema. Finalmente, o que pode incomodar alguns
usuários, mesmo os que não se preocupam com desempenho, é a necessidade de um componente
ActiveX, que limita o seu uso ao Internet Explorer.
Observação1: A Gas Tecnologia, que produz o G-Buster Browser Defenceusa obscuridade como
procedimento de segurança e não divulga exatamente o que o programa faz.
Melhor, diz o que faz, mas não explica como. Muito do que está escrito aqui foi
inferido de análises de comportamento e pode eventualmente não corresponder
exatamente à verdade.
Observação2: Em nenhum momento a eficiência do G-Buster é questionada, embora não possa ser
100% avalizada. O produto é homologado pela Febraban e um dos argumentos
utilizados é que os responsáveis pela segurança bancária estão corretos ao exigir a
instalação do produto: é melhor descontentar 1% dos usuários que se preocupam
com seus equipamentos e proteger 99% dos clientes que não sabem configurar o
browser, mesmo a custo de procedimentos não muito éticos.
O Que o Suporte Técnico da Caixa não Conta (ou Não Sabe)
Eliminei o G-Buster do meu equipamento usando um processo de três etapas:
1. Modo Comando da Console de Recuperação do Windows 7(DVD de Instalação) para
remover os programas e drivers;
2. RegistryBooster para restaurar a coerência do arquivo de registros;
3. RegEdit para remover todas as chaves que iniciavam com Gbp*.
Carlos Alberto Goldani