G - Buster

O Internet Banking é o principal alvo de ataques de phishing, o que de certa forma justifica que instituições financeiras o tenham eleito como prioridade proteger seus clientes. Entretanto, alguns bancos obrigam, para permitir o acesso aos seus recursos, que usuários instalem um software no mínimo questionável, porque interfere no desempenho do equipamento. O software exigido pela CEF, Banco do Brasil e outras organizações bancárias chama-se G-Buster Browser Defense, e o site do fabricante descreve suas funcionalidades:

Uma tecnologia anti-intrusão responsável pela blindagem da transação eletrônica contra tentativas de violações à privacidade do cliente ou usuário dos serviços oferecidos através da Internet.

Funcionalidades:

Proteção contra ataques promovidos por agentes maliciosos do tipo: cavalo-de-tróia (trojans), worms, ferramentas de hacking, rootkits, backdoors, etc.;

Identificação e respostas (em tempo real) a incidentes de segurança;

Proteção para aplicações Internet contra “grampos digitais” do tipo:

Espiões de teclado; Espiões de mouse; Espiões sobre telas de apresentação; Espiões de navegadores; Sites clonados ou falsos; Diversos outros.

Proteção e interação com tecnologias de autenticação (certificados digitais, tokens de autenticação dinâmica e biometria).

Outra publicação do fabricante encontrada na Web indica:

O e-commerce e o e-banking também estão protegidos por nossas soluções. Neste conceito, a ferramenta, inédita no mundo, atua sob a forma de componente de segurança, o qual é baixado concomitantemente à página Web. A estação do cliente ou usuário será blindada enquanto este estiver realizando sua transação eletrônica. Além disso, o G-Buster alimenta os sistemas transacionais com informações de vulnerabilidade do cliente de forma a prepará-lo para responder a uma possível intrusão.

De certa forma este programa pode ser considerado um vírus, mesmo que benigno, mas com todas as características de um programa inserido por um intruso malicioso; invisível, furtivo, instalado sem o conhecimento, impossível de ser removido por um leigo e utiliza a CPU para realizar tarefas sem controle do usuário. A ação deste "vírus" pode ser visualizada pelo Task Manager. Mesmo que nenhum serviço de Home Banking esteja sendo realizado, o Gbpsv.exe aparece na lista de processos em execução (por isto sublinhei a palavra “enquanto” no texto do fabricante). Uma consulta ao controlador de serviços no Painel de Controle/Ferramentas Administrativas também indica um serviço ativo. O mais interessante é que o administrador local da máquina não é capaz de parar, remover, pausar ou alterar as configurações deste serviço - o que configura um abuso, provavelmente ilegal, por parte dos bancos.

Análise da Instalação

O processo de instalação é rápido e não requer prática nem habilidade. O procedimento utilizado pela Caixa Econômica Federal pode ser sintetizado nas quatro figuras a seguir:

Etapa 1 Etapa 2

Etapa 3 Etapa 4

O texto enxuto fala em instalação de um Módulo Adicional de segurança, não explica como ele funciona e muito menos menciona que o referido módulo passa a ser parte ativa dos recursos utilizados pelo equipamento do usuário. A Etapa 3 solicita a autorização para instalação de um módulo ActiveX. Na ilusão de ser um aplicativo exclusivo para o acesso ao banco, o usuário concorda e o que acontece depois, se não for ilegal, é questionável sob o ponto de vista da ética. Junto com a instalação do módulo ActiveX são instalados um Serviço e um Driver. O Serviço (repito, instalado sem autorização) ainda tem alguma lógica, mas o Driver é muito estranho. Conceitualmente Drivers são softwares destinados a fazer a interface com um hardware específico e não há nenhum hardware relacionado com esta instalação. A única explicação razoável é que este componente exista só para dificultar a remoção do pacote.

Sempre que um software novo é instalado em meu equipamento, analiso as configurações para avaliar se houveram alterações que possam, de alguma forma, prejudicar seu desempenho. O G-Buster neste particular é muito ruim. Inclui diversas entradas no arquivo Registry e acrescenta um novo processo no Win Logon. Desta forma, garante a sua sobrevivência quando o equipamento é desligado e permanece ativo (consumindo recursos) mesmo quando seus serviços não são necessários (consulto bancos uma ou duas vezes por semana). Uma pesquisa mais elaborada indicou que a cada 5 segundos um segmento do Win Logon lê entradas do Registry e verifica seus valores. Não é complicado entender o que está acontecendo: o componente de segurança está verificando se existem tentativas de sua remoção, provavelmente para impedir que programas maliciosos o desativem. Sem problemas se o equipamento é usado exclusivamente para Home Banking embora,

como se pode ver nas telas de instalação, isto não é mencionado em momento nenhum. Para um usuário médio que eventualmente consulta um banco, o software é um tipo de parasita durante todo o tempo de uso e o cliente não tem nenhuma opção para desinstalá-lo. Quatro ligações para o 08007260104 (CEF) solicitando procedimentos de desinstalação resultaram em tentativas canhestras de atendentes de telemarketing mal preparados insistindo em manter o programa instalado. Uma vez que só o usuário pode decidir o que é melhor para ele, a instalação do G-Buster equivale a um confisco eletrônico de recursos sem aviso prévio. A única solução que a assistência técnica da CEF indicou foi reformatar o disco rígido e reinstalar o sistema operacional. Seria cômico se não fosse trágico. Ah, durante o atendimento ainda alertam repetidamente que a ligação esta sendo gravada e intimidam o usuário afirmando que ele é o exclusivo culpado se algo de pernicioso acontecer com sua conta. Convencido que não obteria auxílio do fabricante ou do banco, listei as possibilidades para remover o programa: Excluir as entradas de auto execução não tem efeito porque elas são recriadas, apagar ou mover os arquivos do componente é impossível, agendar a remoção para a próxima reinicialização não funciona e o modo de segurança também não ajuda.

Entendo o propósito do G-Buster Browser Defense. Ao monitorar as chaves do Registry (existem soluções mais eficientes, mas isto não vem ao caso), impede que um software malicioso possa desativá-lo. Talvez monitore a Internet (não comprovei isto) tentando evitar falsificação de identidades. Com certeza transmite algum tipo de dados criptografados, mas não está claro se é algum tipo de informação do usuário.

Acredito que uma solução por demanda seria mais razoável. O sistema pode proteger durante o acesso ao HomeBanking, não em tempo integral. Existe outro agravante: o G-Buster Browser Defense é utilizado por mais de uma instituição financeira, portanto é um alvo potencial para intrusos maliciosos, porque um único trojan que possa burlar a segurança pode servir para vários bancos. Outro fato que tangencia o ridículo é que, sem nenhuma explicação razoável, se o usuário é cliente de dois bancos (CEF e Banco do Brasil, por exemplo) o G-Buster é instalado duas vezes, ou seja, duplica verificações e controles do sistema. Finalmente, o que pode incomodar alguns usuários, mesmo os que não se preocupam com desempenho, é a necessidade de um componente ActiveX, que limita o seu uso ao Internet Explorer.

Observação 1: A Gas Tecnologia, que produz o G-Buster Browser Defence usa obscuridade como procedimento de segurança e não divulga exatamente o que o programa faz. Melhor, diz o que faz, mas não explica como. Muito do que está escrito aqui foi inferido de análises de comportamento e pode eventualmente não corresponder exatamente à verdade.

Observação 2: Em nenhum momento a eficiência do G-Buster é questionada, embora não possa ser 100% avalizada. O produto é homologado pela Febraban e um dos argumentos utilizados é que os responsáveis pela segurança bancária estão corretos ao exigir a instalação do produto: é melhor descontentar 1% dos usuários que se preocupam com seus equipamentos e proteger 99% dos clientes que não sabem configurar o browser, mesmo a custo de procedimentos não muito éticos.

O Que o Suporte Técnico da Caixa não Conta (ou Não Sabe)

Eliminei o G-Buster do meu equipamento usando um processo de três etapas:

1. Modo Comando da Console de Recuperação do Windows 7 (DVD de Instalação) para remover os programas e drivers;

2. RegistryBooster para restaurar a coerência do arquivo de registros; 3. RegEdit para remover todas as chaves que iniciavam com Gbp*.

Carlos Alberto Goldani