Segurança ?!?! de quem?

[atf]

Continuando minha luta solitária.

O programa, em java, é instalado em "/home/usuario/.icedtea/cache/0/https/guardiao.itau.com.br/..."
, em formato ".jar" que é o conjunto de ".class" zipado. (coisas do java... argh!!!).
Uma das rotinas, de nome "Digest1.java", obtém os valores para as variáveis:

Código:

    private String userName;
    private String userHome;
    private String OSName;
    private String OSVersion;
    private int availableProcessors;
    private double javaVersion;
    private long totalPhysicalMemorySize;
    private long bootClassPartitionTotalSpace;
    private DigestUtil digestUtil;
    private Util util;
    private String hostAddress;

e as remete para um endereço, ao que parece obtido de modo dinâmico, por "download" a partir de um servidor que ainda não consegui identificar.

Aí eu pergunto: para que "raios" um banco quer saber isso?

obs.: Vou continuar a análise do fonte mas, já estou procurando outro banco, para encerrar a conta no "Itaú personnalité".
 

[Denis Ferraz]

Boa Noite a Todos!

Caro atf;

Continuando minha luta solitária.

O programa, em java, é instalado em "/home/usuario/.icedtea/cache/0/https/guardiao.itau.com.br/..."
, em formato ".jar" que é o conjunto de ".class" zipado. (coisas do java... argh!!!).
Uma das rotinas, de nome "Digest1.java", obtém os valores para as variáveis:

Código:

   private String userName;
    private String userHome;
    private String OSName;
    private String OSVersion;
    private int availableProcessors;
    private double javaVersion;
    private long totalPhysicalMemorySize;
    private long bootClassPartitionTotalSpace;
    private DigestUtil digestUtil;
    private Util util;
    private String hostAddress;

e as remete para um endereço, ao que parece obtido de modo dinâmico, por "download" a partir de um servidor que ainda não consegui identificar.

Aí eu pergunto: para que "raios" um banco quer saber isso?

obs.: Vou continuar a análise do fonte mas, já estou procurando outro banco, para encerrar a conta no "Itaú personnalité".

Luta solitária? Bem... se quer amplificar o "auto-falante" da sua indignação, que é altamente válida, use as mídias sociais: Twitter, Facebook, YouTube e o Orkut do banco Itaú. Procure no site da empresa informações sobre essas mídias. Terá melhor visibilidade a sua opinião! Tem, também, o site ReclameAqui que é muito popular... Cito um exemplo abaixo:

Fonte: ReclameAqui - Itaú Internet 30h

São Paulo - SP
Sexta-feira, 04 de Maio de 2012 - 11:26

"Hoje pela manhã acessei o Itaú Internet 30h e descobri que era necessário instalar Guardião 30h para a minha segurança. Cliquei e instalar e deu erro. Tentei novamente e deu erro novamente. Liguei para o S.O.S. Itaú e me foi informado que a minha versão do McOs não suporta o programa. Passo a maior parte do dia no trabalho e uso o 30h em 100% das minhas transações bancárias. Perguntei se havia uma solução, pois não posso fazer a atualização do sistema operacional no trabalho e simplesmente me falaram que não podem fazer nada. Perdi o serviço de maior importância e pronto. Acho que o Itaú está mais preocupado em jogar bola do que atender seus clientes. Então é isso, já que não posso mais fazer minhas transações bancárias pela internet só me resta mesmo é jogar bola.

Obrigado ao Itaú por complicar minha vida.

Caio Machado "

Tem mais:

Mudar de banco? Humm... O Banco Do Brasil, Bradesco, Santander e a Caixa usam recursos de segurança em java, semelhante ao do Itaú...

Fique com Deus e obrigado!

[kidsoeiro]

Gente, só agora eu percebi que não tenho o dito instalado no Linux, mas, apenas no Windows. Fui tentar instalar e o Firefox simplesmente trava... é só comigo?!?!
Fiquem com Deus.

[jaguilar]

Você tá brincando que eles sequer ofuscaram o código?

Quanta incompetência e amadorismo.

Continuando minha luta solitária.

O programa, em java, é instalado em "/home/usuario/.icedtea/cache/0/https/guardiao.itau.com.br/..."
, em formato ".jar" que é o conjunto de ".class" zipado. (coisas do java... argh!!!).
Uma das rotinas, de nome "Digest1.java", obtém os valores para as variáveis:

Código:

    private String userName;
    private String userHome;
    private String OSName;
    private String OSVersion;
    private int availableProcessors;
    private double javaVersion;
    private long totalPhysicalMemorySize;
    private long bootClassPartitionTotalSpace;
    private DigestUtil digestUtil;
    private Util util;
    private String hostAddress;

e as remete para um endereço, ao que parece obtido de modo dinâmico, por "download" a partir de um servidor que ainda não consegui identificar.

Aí eu pergunto: para que "raios" um banco quer saber isso?

obs.: Vou continuar a análise do fonte mas, já estou procurando outro banco, para encerrar a conta no "Itaú personnalité".

[atf]

Pois é! Segurança com linguagem interpretada é um pouco difícil.

O programa, na realidade, é um "cavalo de Tróia". Fica instalado no seu diretório "home" com licença de execução como usuário e acesso a todos os seus arquivos. Caso o usuário esteja nos grupos "root" ou "wheel", ou seja o próprio "root" (tem gente que ainda faz isso), o acesso será pleno, podendo pegar o arquivo "/etc/shadow" e, até mesmo alterá-lo.

Se todos reclamarem e se recusarem a instalar isso creio que serão forçados a rever a obrigatoriedade.

Eu não instalo e encerro minha conta. A Caixa Econômica tem um "cadastro de computador" que só permite o acesso ao computador cadastrado mas, depois de reclamações, ficou opcional e restrito ao windows, para os navegadores "ie" e "firefox". (a incompetência e geral!).

obs.: 1 - mesmo que você não marque a caixa <Confiar sempre>, mas permita e execução, o programa é instalado e fica à disposição sei lá de quem.
2 - a "obra prima", ao que parece, é de autoria da empresa de segurança informática "Comodo". Resta saber quantas pessoas já conhecem a senha de acesso ao "cavalo".