Author

Topic: Bugs em sites do Bradesco, BB, SCPC e Moip expoem dados de milhoes de clientes (Read 2271 times)

hero member
Activity: 882
Merit: 1000
It's got electrolytes
Minha teoria é que a qualidade do software criado é inversamente proporcional ao tamanho da empresa.

Veja Android por exemplo, é do google que deveria entender melhor de software, mesmo assim é cheio de falhas.

Mas isso pode ser bom, já pensou se empresas grandes fossem conhecidas pela qualidade do seu software? Seria muito mais difícil para empresas pequenas e mais ágeis. Wink

Essas empresas tipo google, apple, yahoo, skype, facebook, etc, são todas sócias da NSA com o PRISM/ECHELON, então esses "bugs" talvez não sejam bugs, mas backdoors estratégicas, eu não acredito na inocencia dessas gigantes, e muito menos em algum grau de incompetencia.

Mas também existem pessoas que injetam esses backdoors durante a programação, para obter beneficios futuros, como venda de dados etc, e de vez em quando aparece algum site vendendo notebook por R$50, ou celular por R$1, ... vai saber né.

Um caso bem conhecido (2003) envolveu uma tentativa de injetar um backdoor no kernel do Linux, e por incrivel que pareça o código se valia de apenas um caracter "=" para realizar a façanha, quem entende de C fica impressionado com a astúcia e petulancia. Eu fico abismado com a sagacidade de quem identificou o intento (Larry McVoy).

http://lwn.net/Articles/57135/

É preciso encarar os fatos, Si vis pacem, parabellum.




full member
Activity: 234
Merit: 100
Minha teoria é que a qualidade do software criado é inversamente proporcional ao tamanho da empresa.

Veja Android por exemplo, é do google que deveria entender melhor de software, mesmo assim é cheio de falhas.

Mas isso pode ser bom, já pensou se empresas grandes fossem conhecidas pela qualidade do seu software? Seria muito mais difícil para empresas pequenas e mais ágeis. Wink
hero member
Activity: 882
Merit: 1000
It's got electrolytes

Pois é, já tive a infelicidade de trabalhar com analista de sistemas que não tinha nenhuma formação na área, apenas na área de negócio. E é engraçado como as empresas sempre pensam que a velocidade do projeto está dada pelo número de macacos bebedores de café, e não pela análise e formação dos envolvidos.
Digo, para cada 2 estagiários e 1 funcionário de maior experiência, você está perdendo tempo para, quem sabe, treinar os 2 estags e tirando tempo do funcionário experiente, sendo que a curva de aprendizagem dos estags acabe nunca. (vamos admitir, tem gente que não nasceu pra ser da área)

Especificação, modelagem e segurança são sempre deixados atrás de velocidade.  É um problema dos clientes e da empresa, que acham que a forma mais rápida de se construir algo é começando a construção o mais rápido possível. As pessoas subestimam o custo do re-trabalho.

Estão mais preocupados em dizer o quão rápido o cara tem que desenvolver do que o que ele precisa desenvolver em questão. Vejo prazos sendo discutidos o tempo inteiro e especificações técnicas sempre deixadas para a imaginação do desenvolvedor. Não quero aliviar a culpa de ninguém, todo mundo nessa história está errado. O problema é todo o sistema ser formado por pessoas incapazes de agir e tomar decisões.

É muito comum os gestores serem pessoas sem absolutamente nenhuma noção de desenvolvimento de sistemas. E a questão dos estagio-temp-trainee-funcionários é uma praga que se alastrou irremediavelmente, e todo mundo sabe o quanto isso é prejudicial para todos.
A segurança de dados é ignorada em níveis até dificeis de acreditar, realmente está tudo aberto pra quem quiser acessar, em praticamente todo lugar.
newbie
Activity: 10
Merit: 0

Pois é, já tive a infelicidade de trabalhar com analista de sistemas que não tinha nenhuma formação na área, apenas na área de negócio. E é engraçado como as empresas sempre pensam que a velocidade do projeto está dada pelo número de macacos bebedores de café, e não pela análise e formação dos envolvidos.
Digo, para cada 2 estagiários e 1 funcionário de maior experiência, você está perdendo tempo para, quem sabe, treinar os 2 estags e tirando tempo do funcionário experiente, sendo que a curva de aprendizagem dos estags acabe nunca. (vamos admitir, tem gente que não nasceu pra ser da área)

Especificação, modelagem e segurança são sempre deixados atrás de velocidade.  É um problema dos clientes e da empresa, que acham que a forma mais rápida de se construir algo é começando a construção o mais rápido possível. As pessoas subestimam o custo do re-trabalho.

Estão mais preocupados em dizer o quão rápido o cara tem que desenvolver do que o que ele precisa desenvolver em questão. Vejo prazos sendo discutidos o tempo inteiro e especificações técnicas sempre deixadas para a imaginação do desenvolvedor. Não quero aliviar a culpa de ninguém, todo mundo nessa história está errado. O problema é todo o sistema ser formado por pessoas incapazes de agir e tomar decisões.
legendary
Activity: 1386
Merit: 1000
English <-> Portuguese translations
nos ultimos 30 anos tenho feito consultodoria em dezenas de companhias tanto em portugal como nos estados unidos. A estupidez informatica reinante e de assustar. A ultima coisa que esta na mente de muitos informaticos e seguranca. A maioria dos programadores sao maquinas de codigo. E quando vem aos analistas nem e preciso falar, ja que a maioria nao faz a minima ideia do que e um computador

Estou a mais de quinze anos envolvido com desenvolvimento de software e posso afirmar com certeza que no Brasil o cenário é identico.

Pois é, já tive a infelicidade de trabalhar com analista de sistemas que não tinha nenhuma formação na área, apenas na área de negócio. E é engraçado como as empresas sempre pensam que a velocidade do projeto está dada pelo número de macacos bebedores de café, e não pela análise e formação dos envolvidos.
Digo, para cada 2 estagiários e 1 funcionário de maior experiência, você está perdendo tempo para, quem sabe, treinar os 2 estags e tirando tempo do funcionário experiente, sendo que a curva de aprendizagem dos estags acabe nunca. (vamos admitir, tem gente que não nasceu pra ser da área)
hero member
Activity: 882
Merit: 1000
It's got electrolytes
nos ultimos 30 anos tenho feito consultodoria em dezenas de companhias tanto em portugal como nos estados unidos. A estupidez informatica reinante e de assustar. A ultima coisa que esta na mente de muitos informaticos e seguranca. A maioria dos programadores sao maquinas de codigo. E quando vem aos analistas nem e preciso falar, ja que a maioria nao faz a minima ideia do que e um computador

Estou a mais de quinze anos envolvido com desenvolvimento de software e posso afirmar com certeza que no Brasil o cenário é identico.
rpg
hero member
Activity: 728
Merit: 500
nos ultimos 30 anos tenho feito consultodoria em dezenas de companhias tanto em portugal como nos estados unidos. A estupidez informatica reinante e de assustar. A ultima coisa que esta na mente de muitos informaticos e seguranca. A maioria dos programadores sao maquinas de codigo. E quando vem aos analistas nem e preciso falar, ja que a maioria nao faz a minima ideia do que e um computador
newbie
Activity: 10
Merit: 0
A nota fiscal eletrônica (São Paulo) já poderia ser considerado um passo nessa direção. Correto?

Sim, corretíssimo. E isso já está perfeitamente integrado a Secretaria da Fazenda, e atualmente em SP conseguiram fazer o povo informar o CPF nas compras com cupom fiscal, o que já é um preparativo pro proximo passo que será a implementação do cupom fiscal online.

O mundo está preocupado com a vigilancia por cameras mas ninguem percebe que o buraco é bem mais embaixo.

Por exemplo, ninguem está questionando o sistema DDA (Debito Direto Autorizado), que entrou sorrateiramente no sistema bancário e hj é uma potente ferramenta de vigilância e violação de privacidade.





É fácil fazer com que o povo adiram novos hábitos. Basta devolver alguma esmola do dinheiro roubado e todo mundo fica feliz.
hero member
Activity: 882
Merit: 1000
It's got electrolytes
A nota fiscal eletrônica (São Paulo) já poderia ser considerado um passo nessa direção. Correto?

Sim, corretíssimo. E isso já está perfeitamente integrado a Secretaria da Fazenda, e atualmente em SP conseguiram fazer o povo informar o CPF nas compras com cupom fiscal, o que já é um preparativo pro proximo passo que será a implementação do cupom fiscal online.

O mundo está preocupado com a vigilancia por cameras mas ninguem percebe que o buraco é bem mais embaixo.

Por exemplo, ninguem está questionando o sistema DDA (Debito Direto Autorizado), que entrou sorrateiramente no sistema bancário e hj é uma potente ferramenta de vigilância e violação de privacidade.



newbie
Activity: 10
Merit: 0
Bitcoin pode auxiliar enormemente esses problemas. Bancos não serão mais necessários quando as moedas digitais tomarem conta do mercado. Poderemos fazer compras em total anonimato lol

Não conte com o anonimato tão facilmente:

http://motherboard.vice.com/blog/if-youre-not-careful-bitcoins-arent-as-anonymous-as-you-think
https://en.bitcoin.it/wiki/Anonymity

Não é beeeeem assim...

Faz pouco tempo vi uma apresentação em que se falava de um novo chip para embalagens lacradas, e que usaria de assinaturas digitais para comprovação de origem, reduzindo inspeções em produtos de origem comprovada, ou seja: sobra mais recursos pra inspecionar o restante.

Pega-se esse rastreio das mercadorias e junta-se ao rastreio do dinheiro e temos um mundo terrivelmente controlado.

O anonimato nas compras é algo que está com dias contados, em poucos anos um inspetor do governo vai poder te dizer exatamente quantas cuecas você compra por ano, e vai saber as marcas e as lojas em que comprou, e vai usar isso pra confrontar seu imposto pago, entre outras coisas. Não duvido nada que em breve encontrem uma maneira de rastrear até nosso lixo.

É o Abominavel Mundo Novo ...





A nota fiscal eletrônica (São Paulo) já poderia ser considerado um passo nessa direção. Correto?
hero member
Activity: 882
Merit: 1000
It's got electrolytes
Bitcoin pode auxiliar enormemente esses problemas. Bancos não serão mais necessários quando as moedas digitais tomarem conta do mercado. Poderemos fazer compras em total anonimato lol

Não conte com o anonimato tão facilmente:

http://motherboard.vice.com/blog/if-youre-not-careful-bitcoins-arent-as-anonymous-as-you-think
https://en.bitcoin.it/wiki/Anonymity

Não é beeeeem assim...

Faz pouco tempo vi uma apresentação em que se falava de um novo chip para embalagens lacradas, e que usaria de assinaturas digitais para comprovação de origem, reduzindo inspeções em produtos de origem comprovada, ou seja: sobra mais recursos pra inspecionar o restante.

Pega-se esse rastreio das mercadorias e junta-se ao rastreio do dinheiro e temos um mundo terrivelmente controlado.

O anonimato nas compras é algo que está com dias contados, em poucos anos um inspetor do governo vai poder te dizer exatamente quantas cuecas você compra por ano, e vai saber as marcas e as lojas em que comprou, e vai usar isso pra confrontar seu imposto pago, entre outras coisas. Não duvido nada que em breve encontrem uma maneira de rastrear até nosso lixo.

É o Abominavel Mundo Novo ...



legendary
Activity: 2296
Merit: 1170
Advertise Here - PM for more info!
Bitcoin pode auxiliar enormemente esses problemas. Bancos não serão mais necessários quando as moedas digitais tomarem conta do mercado. Poderemos fazer compras em total anonimato lol

Não conte com o anonimato tão facilmente:

http://motherboard.vice.com/blog/if-youre-not-careful-bitcoins-arent-as-anonymous-as-you-think
https://en.bitcoin.it/wiki/Anonymity

Não é beeeeem assim...
newbie
Activity: 35
Merit: 0
Bitcoin pode auxiliar enormemente esses problemas. Bancos não serão mais necessários quando as moedas digitais tomarem conta do mercado. Poderemos fazer compras em total anonimato lol
hero member
Activity: 882
Merit: 1000
It's got electrolytes
O problema eh mais em baixo. O problema todo eh que essas instituições NAO consideram que isso seja uma falha de segurança, pois nao há comprometimento de transações financeiras. Do ponto de vista do banco, ele nao será afetado, então nao precisa se preocupar. O problema todo eh que o banco nao tem nenhum compromisso em garantir a privacidade dos seus clientes, e nem eh obrigado a isso por lei.

Eles nao vão se preocupar em "fechar" esses furos nunca porque nao existe incentivo, nem legal, nem econômico.

Exatamente !

Bancos são parasitas, eles não reservam nenhum respeito pelos 'clientes'.

Isso e mesmo um absurdo, considerando que um dos maiores negocios no mundo do cyber crime hoje em dia, e o tao famoso golpe da "identity theft"(roubo de identidade).

Quando um problema desses chega na diretoria das empresas eles simplesmente fazem o calculo:

Perdas+Indenizações VS Custo de Correção

Daí executam o que for mais barato.

E é por isso que as vezes vemos empresas serem condenadas na justiça a pagar indenizações milionárias. A indenização não é calculada pensando no prejudicado e sim para equilibrar essa conta, ou pelo menos deveria ser assim, mas a corrupção do judiciário vem mudando isso também.

É tão tragico que chega a ser engraçado  Undecided

full member
Activity: 154
Merit: 100
O problema eh mais em baixo. O problema todo eh que essas instituições NAO consideram que isso seja uma falha de segurança, pois nao há comprometimento de transações financeiras. Do ponto de vista do banco, ele nao será afetado, então nao precisa se preocupar. O problema todo eh que o banco nao tem nenhum compromisso em garantir a privacidade dos seus clientes, e nem eh obrigado a isso por lei.

Eles nao vão se preocupar em "fechar" esses furos nunca porque nao existe incentivo, nem legal, nem econômico.

Exatamente !

Bancos são parasitas, eles não reservam nenhum respeito pelos 'clientes'.


Isso e mesmo um absurdo, considerando que um dos maiores negocios no mundo do cyber crime hoje em dia, e o tao famoso golpe da "identity theft"(roubo de identidade).
hero member
Activity: 882
Merit: 1000
It's got electrolytes
O problema eh mais em baixo. O problema todo eh que essas instituições NAO consideram que isso seja uma falha de segurança, pois nao há comprometimento de transações financeiras. Do ponto de vista do banco, ele nao será afetado, então nao precisa se preocupar. O problema todo eh que o banco nao tem nenhum compromisso em garantir a privacidade dos seus clientes, e nem eh obrigado a isso por lei.

Eles nao vão se preocupar em "fechar" esses furos nunca porque nao existe incentivo, nem legal, nem econômico.

Exatamente !

Bancos são parasitas, eles não reservam nenhum respeito pelos 'clientes'.

legendary
Activity: 2296
Merit: 1170
Advertise Here - PM for more info!
Quote
A brecha permite que os documentos sejam encontrados até por meio de uma pesquisa no Google e consiste em uma URL aberta (um link de internet desprotegido). Falha semelhante foi verificada no site do Moip, que presta serviços de pagamento on-line para diversas empresas, e permitia ver o mesmo tipo de dado
penso aqui com os meus botoes. seria possivel mitigar isso simplesmente editando a robots.txt file, excluindo as url's com Disallow:, correto?

A parte da pesquisa seria resolvida dessa maneira sim, mas o maior bug nesses casos reportados estava no fato de os códigos de acesso serem sequenciais e nao estarem amarrados ao cpf do cliente, entao bastaria um acesso valido para acessar todos os registros do banco, só precisando incrementar os códigos, um loop basico.



O problema eh mais em baixo. O problema todo eh que essas instituições NAO consideram que isso seja uma falha de segurança, pois nao há comprometimento de transações financeiras. Do ponto de vista do banco, ele nao será afetado, então nao precisa se preocupar. O problema todo eh que o banco nao tem nenhum compromisso em garantir a privacidade dos seus clientes, e nem eh obrigado a isso por lei.

Eles nao vão se preocupar em "fechar" esses furos nunca porque nao existe incentivo, nem legal, nem econômico.
hero member
Activity: 882
Merit: 1000
It's got electrolytes
Quote
A brecha permite que os documentos sejam encontrados até por meio de uma pesquisa no Google e consiste em uma URL aberta (um link de internet desprotegido). Falha semelhante foi verificada no site do Moip, que presta serviços de pagamento on-line para diversas empresas, e permitia ver o mesmo tipo de dado
penso aqui com os meus botoes. seria possivel mitigar isso simplesmente editando a robots.txt file, excluindo as url's com Disallow:, correto?

A parte da pesquisa seria resolvida dessa maneira sim, mas o maior bug nesses casos reportados estava no fato de os códigos de acesso serem sequenciais e nao estarem amarrados ao cpf do cliente, entao bastaria um acesso valido para acessar todos os registros do banco, só precisando incrementar os códigos, um loop basico.

full member
Activity: 154
Merit: 100
Quote
A brecha permite que os documentos sejam encontrados até por meio de uma pesquisa no Google e consiste em uma URL aberta (um link de internet desprotegido). Falha semelhante foi verificada no site do Moip, que presta serviços de pagamento on-line para diversas empresas, e permitia ver o mesmo tipo de dado
penso aqui com os meus botoes. seria possivel mitigar isso simplesmente editando a robots.txt file, excluindo as url's com Disallow:, correto?
rpg
hero member
Activity: 728
Merit: 500
o negocio de backdoors esta por todo o lado e vale muitos milhoes
hero member
Activity: 882
Merit: 1000
It's got electrolytes

http://www1.folha.uol.com.br/tec/2013/08/1331286-brechas-em-sites-do-bradesco-e-do-banco-do-brasil-expoem-milhoes.shtml

São falhas tipicas de implementação barata (ou porca), muito comuns infelizmente ...

Esse tipo de exploração não costuma ser identificada em auditorias de segurança. É preciso experiência para pegar essas coisas e normalmente são ignoradas pelos usuários durante muito tempo.

No Brasil existe muito comercio desses backdoors e é surpreendente como os acessos sobrevivem por anos..

O tema é muito pertinente ao Bitcoin pois mostra a precariedade com que os serviços online vem sendo tratados mesmo em instituições que investem muito em segurança da informação.

Fica de alerta aos empreendedores.


Jump to: