On Wed, Oct 07, 2015 at 03:38:50AM +0200, G.Paulo wrote: > > Mais uma do Banco Itau: para utilizar o internet banking agora tive > que instalar um tal de warsaw (dpkg -i warsaw_setup_64.deb), baixado > do site do banco. Naturalmente, como root. Eu também passei por isso esses dias. Eu abri o pacote pra destrinchar, e notei algumas coisas: - tem um bug ridículo no control, usando Pre-Depends: para as dependências, quando bastaria usar Depends:. Isso faz com que por exemplo o apt não consegue resolver as dependencias, então você tem que voltar pra década de 90 e resolver dependências na mão, instalando tudo que o dpkg diz que falta até funcionar. - os script de mantenedor (postinst, etc), que rodam como root, são shell scripts e podem ser auditados. Numa lida rápida, eles me parecem OK. - depois de instalado, fica um daemon, contido num arquivo binário (i.e. que não pode ser auditado), rodando como root na sua máquina. Deixei um tcpdump rodando e notei que de tempos em tempos ele "liga pra casa", acesso o www.gastecnologia.com.br. Não cheguei a investigar exatamente o quê ele envia pra lá ou recebe de volta, mas não confio. Isso pra mim é inaceitável. Mesmo quando só precisava do plugin Java, eu mantinha uma VM só para acessar bancos (primeiro BB, depois mudei pra Itaú): ligo a VM, faço o que tenho que fazer no banco, e desligo. Agora que tem uma desgraça binária rodando como root no sistema, talvez até isso seja pouco. Estou pensando em cancelar a minha conta no Itaú e procurar um banco cuja área de tecnologia não seja completamente idiota e entenda que esses penduricalhos auditados por ningúem não podem adicionar segurança nenhuma além do que o que o próprios navegadores e o SO dos seus servidores, que estão sob escrutínio 24x7, já fornecem. -- Antonio Terceiro <terceiro@debian.org>
Attachment:
signature.asc
Description: PGP signature