[Ubuntu-BR] Com o Linux, acesso bancário realmente seguro?

[xisberto]

Em 18 de fevereiro de 2011 14:07, luciano de souza
<luchyanus em gmail.com>escreveu:

> Recentemente, passei a ter certificado digital. Então, fiquei um
> tantinho mais confiante. Mas o que realmente gostaria de ouvir é em
> que medida é seguro acessar conta bancária com o Linux? Tenderia a
> considerar que a segurança é grande,  raciocinando que, se a minha
> máquina tornou-se mais segura com o Linux e talvez seja o lado do
> usuário a ponta frágil da cadeia,
>

O ponto fraco da cadeia é sim o usuário. Veja que em qualquer sistema
operacional, a segurança está na outra ponta da facilidade de uso. Quando
precisamos instalar um aplicativo, é necessário ter privilégios de
administrador.

No Windows, por muito tempo, o sistema te dava privilégio de administrador e
executava qualquer tarefa administrativa sem aviso prévio. Com o Vista e o
7, ele ao menos mostra uma janela pedindo confirmação.

No caso do Ubuntu, ele costuma pedir a senha do usuário ao realizar uma
tarefa administrativa.

Em ambos os casos, é importante que o usuário saiba o que está fazendo.
"Opa, a tela escureceu e o sistema está pedindo minha atenção, o que será
que ele quer? Será que eu sei que programa é esse e o que ele faz?". Mas a
maioria das pessoas simplesmente confirma sem dar atenção.

É de responsabilidade do usuário:
1) certificar-se que está no site correto (veja esse pishing que eu recebi e
que tentou me enganar mas eu denunciei ao BB:
https://picasaweb.google.com/xisberto/SpamFigindoSerBancoDoBrasil?feat=directlink
).
2) não instalar programas de fontes duvidosas. Usar SEMPRE os disponíveis
nos repositórios
3) estar atento às mensagens que o sistema apresenta, ler tudo e só clicar
naquilo que tem certeza.

Quando o usuário sai dessa linha, ele "perde a razão", pois abre a brecha
para que seja invadido. De resto, o sistema oferecerá a segurança de que ele
precisa.

Em se tratando de Linux, não existem hoje em dia programas maliciosos que
tenham sido construídos para nos atingir. Não vou entrar no mérito da
popularidade e de que um dia podem existir, mas hoje não existem. Talvez um
keylogger (programa que registra tudo o que é digitado e envia os dados para
seu criador) possa ser criado, mas isso cai lá nas regras 2 e 3 que citei
acima.

Outra possibilidade de ataque é o pishing (quando um site falso finge ser um
site de banco), mas isso cai na regra 1 que eu citei.

Vejam bem que essas regras eu pensei e listei agora, pode ter passado algo
que eu não me lembre.


> então, porque confio que o banco é
> seguro, não deve haver risco ou, ao menos o risco deve ser muito
> pequeno. E será que se adiciona muita segurança com certificação
> digital tendo em vista de que o Linux já é seguro?
>

O certificado digital garante que você tem o certificado em mãos e sabe a
senha (PIN) dele. Se você usa o certificado para acessar o banco, então o
banco terá certeza que você é você mesmo.

Se um keylogger está funcionando na sua máquina e você não sabe, ele só
registrará a senha do certificado. Sem o certificado, ela não vale muita
coisa.

Se você acessa um pishing e não percebe, e tenta acessar por certificado
digital, ele poderá fazer duas coisas:
1) dizer que a opção está temporariamente desabilitada, para fazer você
acessar digitando sua senha. Desconfie, não acesse, e tente novamente mais
tarde
2) fingir que deu tudo certo e capturar a senha do seu certificado. Ele não
terá muito o que fazer com ela, uma vez que só você tem o seu certificado.
Ele ainda pode fingir que deu certo e depois pedir a senha do banco para
"confirmar", mas aí também é caso para você desconfiar, não acessar e tentar
novamente mais tarde.

-- 
Humberto Fraga
http://lixaonerd.wordpress.com
http://ostelematicos.blogspot.com

"Sur la tuta tero estis unu lingvo kaj unu parlomaniero." - Gn 11,1