BR-Linux.org

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

Avelino Bego (usuário não registrado) em 16/04/2009 às 3:13 pm

Ainda bem que uso o OpenDNS e não tenho mais conta no Brasdesco.

Ioca100 (usuário não registrado) em 16/04/2009 às 3:35 pm

A primeira coisa a fazer é digitar uma senha errada, se for site falso não dirá que está errada, assim a gente tem como evitar ser iludido.

André Machado (usuário não registrado) em 16/04/2009 às 3:37 pm

Ainda bem que uso o OpenDNS[1]. O resto da frase não posso reescrever porque nunca fui cliente do Bradesco e acredito que eles não tenham culpa no ocorrido.

Kez (usuário não registrado) em 16/04/2009 às 3:40 pm

“Droga! Esquecemos de atualizar o servidor DNS!” :)
OpenDNS aqui também.

Avelino Bego (usuário não registrado) em 16/04/2009 às 3:57 pm

É verdade. O Bradesco não tem nada a ver com isso.

geek (usuário não registrado) em 16/04/2009 às 4:04 pm

OpenDNS se eu tivesse nos EUA.
Prefiro um cache local mesmo.

Ronaldo (usuário não registrado) em 16/04/2009 às 4:05 pm

Ronaldo.

Com speedy eu não tenho esse tipo de problema, pois o DNS estava fora do ar :p [/ironia]

Adilson dos Santos Dantas (usuário não registrado) em 16/04/2009 às 4:07 pm

Ainda bem que não aconteceu algo parecido com o Velox

Qualquer coisa: apt-get install bind9

e no /etc/resolv.conf
nameserver 127.0.0.1

Pronto, problema de dns resolvido :) O Opendns seria a segunda opção.

Marcelo Vilar (usuário não registrado) em 16/04/2009 às 4:28 pm

O Problema do Bradesco era outro, uma parte do site deles permitira que você incorporasse paginas externas ao banco desta maneira:
http://www.bradesco.com.br/indexpf.phtml?pag=http://www.google.com.br

Ficando uma pagina externa com o dominio e layout do Bradesco. Descobri isso depois de receber um phishing. Mesmo eu não sendo cliente deles, relatei a falha, pena que não ganhei nenhum “obrigado”.

Marcelo Vilar (usuário não registrado) em 16/04/2009 às 4:39 pm

Eu tirei um screem do phishing para vocês verem como o experto soube aproveitar a brecha do Bradesco.

http://img90.imageshack.us/img90/1050/bradesco.png

pena que eu não tirei um screem do site ontem, o site permitia incluir sites esternos na pagina, daí até os usuarios mais espertinhos poderiam cair nessa armadilha!

Marcelo Nascimento em 16/04/2009 às 4:46 pm

A fonte desse problema foi orkut e twitter? O bradesco não registrou nenhuma reclamação, a NET não encontrou nada errado. Será que é notícia dizer que o servidor PODE ter sido invadido?

Tá bom, a NET pode mentir pra ficar bem na fita, mas acho que eles ficariam melhor na fita admitindo o problema e dizendo que já foi corrigido. Ou estou errado?

E o Bradesco, qual o problema de falar que realmente, alguns usuários reclamaram no call-center mas o problema não é no banco, que tem tais políticas de segurança e bla, bla, bla.

Por isso, acho que não houve a tal invasão.

Sérgio Cioban Filho (usuário não registrado) em 16/04/2009 às 5:01 pm

Hoje (16/04/2009) por volta das 16:50hs o site do bradesco ainda permitia o redirecionamento de páginas, deu tempo de eu tirara um print

http://img231.imageshack.us/img231/1050/bradesco.png

Logo após o redirecionamento não funcionou.

Marcelo Vilar (usuário não registrado) em 16/04/2009 às 5:35 pm

Ochê, antes de postar aqui eu testei e não funcionava! Mas o que importa é que a brecha parece ser do Bradesco.

Jack Ripoff (usuário não registrado) em 16/04/2009 às 5:40 pm

O banco diz ainda que adota uma “rigorosa política de segurança e de privacidade para proteção das informações (dos correntistas)”, o que tornaria improvável que dados furtados sejam usados com sucesso num golpe financeiro.

Imagine se não adotasse…

Não temos muito detalhes a respeito do problema, porém a falha não aparenta ser da NET.

César Lemos (usuário não registrado) em 16/04/2009 às 5:47 pm

Se a baderna que toma conta do setor de atendimento ao cliente contaminou o departamento de TI, é bem provável que dentro de pouco tempo “estaremos tendo” novos contratempos.

Marcelo Vilar (usuário não registrado) em 16/04/2009 às 5:51 pm

O interessante é como a Info é uma fonte confiável de informações, se o dpto de edição recebesse o phising provavelmente estariam com suas contas zeradas :P

André Machado (usuário não registrado) em 16/04/2009 às 6:09 pm

Só lembrando que, apesar do nome, o OpenDNS não é aberto, muito menos livre.

professor (usuário não registrado) em 16/04/2009 às 6:18 pm

Eu acho muito difícil esse tipo de ataque no NET Virtua, visto que ao contrário do Speedy, que só tem 2 servidores DNS para todos os clientes, o NET Virtua tem um servidor DNS diferente em cada central.

O da minha central não está vulnerável. Pode até ser que o da pessoa que reportou estivesse desatualizado, mas aí afetaria só o pessoal da mesma central que ele, ou seja, os clientes do mesmo bairro.

Emerson Gomes (usuário não registrado) em 16/04/2009 às 7:34 pm

Eu já tive esse problema com o Virtua por umas 3x e nao foi dessa semana, ja alguns meses. Esse ataque já ocorreu anteriormente.

Luciano Giordani Bassani (usuário não registrado) em 16/04/2009 às 8:19 pm

Isso é “notícia velha” (perdoem a ironia!), foi tratado no FISL 9: http://fislold.softwarelivre.org/9.0/papers/pub/programacao/146

O problema chama-se XSS (http://www.owasp.org/images/4/42/OWASP_TOP_10_2007_PT-BR.pdf)…

Aproveitando, será que as Lojas Americanas já corrigiu o problema? (na época foi citado o exemplo dela na palestra)

Vits (usuário não registrado) em 16/04/2009 às 8:45 pm

@Marcelo Vilar

Valeu por postar o .png mostrando o mail do phishing. Mas olha como está escrito 2009 na figura do e-mail.
Que português mais maloqueiro é esse?
No final das contas, se o cara clicar no link, bem que estava merecendo mesmo… (malz pelo espirito de porco)

lgbassani em 16/04/2009 às 9:52 pm

Eu estava olhando a notícia da Info e segundo alguns comentários, parece que foi comprometido o DNS mesmo…
Ou seja, falha dupla! Comprometimento do DNS do Virtua e XSS direto no site do Bradesco! :-P

Aproveitando que estamos em Pré-FISL, vale relembrar a palestra da NIC BR do FISL 9: http://fislold.softwarelivre.org/9.0/papers/pub/programacao/707

RESUMINDO: Para resolver problemas de comprometimento do dns convencional é que foi criado o DNS Seguro (DNSSEC) e o para aumentar a segurança de sites de bancos foi criado o DPN .b.br: http://www.nic.br/atividades/dom-bbr.htm

Nós devemos começar a nos preocupar mais seriamente com essas ameaças e começar a usar os domínios .b.br para TODOS os sites de bancos (e espero que TODOS os bancos adotem logo o DNSSEC).

professor (usuário não registrado) em 16/04/2009 às 10:00 pm

O DNSSEC até hoje não foi adotado em larga escala porque é muito ruim.

O ideal seria se adotassem o DNSCurve – http://dnscurve.org/

Felipe 'chronos' Prenholato (usuário não registrado) em 17/04/2009 às 1:36 pm

ainda ta funcionando (13:35 de 17/04)

http://img264.imageshack.us/img264/5889/bradescoinjection.jpg

Este post é antigo (2009-04-16) e foi arquivado. O envio de novos comentários a este post já expirou.

Linux (R) é marca registrada de Linus Torvalds. Os direitos autorais de todas as ilustrações pertencem aos respectivos autores, e elas são reproduzidas na intenção de atender ao disposto no art. 46 da Lei 9.610 - se ainda assim alguma delas infringe direito seu, entre em contato para que possamos removê-la imediatamente. O conteúdo textual original desta página está disponível sob a licença GNU FDL 1.2. Leia os Termos de Uso para saber mais detalhes - inclusive sobre a política em relação aos comentários dos leitores.

Copyright © Augusto Campos