Fórum Ubuntu Linux - PT
Área para Iniciantes => Iniciantes => Tópico iniciado por: gilbertoros em 09 de MAR?O de 2017, 19:43
-
Meu sistema linux é o xubuntu, para acessar o Banco do Brasil no linux a partir de agora é necessario instalar o módulo de segurança warsaw no linux! Fiz a instalação conforme instruçõe do site do BB, porem ao entrar na conta recebo a informação de que não esta instalado! O que devo fazer, instalar manualmente? Alguém pode me orientar?
-
Se vocẽ usa o firefox a ultima versão (52) não é compativel terá que utilizar a versão anterior.
-
a versão 51 funciona ? já testou ? qual o procedimento ?
no diagnostico do modulo esta acusando erro de socket.
-
Faz 2 dias que estou tentando resolver o problema, mas ainda não deu certo. Pelo momento com firefox 51 funciona em Linux Mint.
Em Ubuntu não dá certo instalar o hda-bb por problemas de dependências. Pelo momento, das pessoas com as que estou em contacto em outro forum só uma conseguiu, com Linux Mint 18.1. Eu instalei Linux Mint 18.1 e fiz uma tentativa, mas o processo fica travado quase no final.
-
removí o firefox 52 com sudo apt-get remove firefox , sudo apt autoremove
re-instalei de novo via synaptic.
consegui acessar sem reclamar do modulo de segurança. vamos ver por quanto tempo...
-
removí o firefox 52 com sudo apt-get remove firefox , sudo apt autoremove
re-instalei de novo via synaptic.
consegui acessar sem reclamar do modulo de segurança. vamos ver por quanto tempo...
Olhe se aparece icedtea nos complementos. Em firefox 52 desapareceu, mas se você está acessado deve tê-lo funcionando.
-
o icedtea não aparece nas extensões do ff mas esta marcado como instalado no synaptic
continuo acessando normalmente
-
o icedtea não aparece nas extensões do ff mas esta marcado como instalado no synaptic
continuo acessando normalmente
Eu instalei de novo o firefox 52, apagando configurações, mas não deu certo. O meu Ubuntu é 14.04. O seu icedtea é o 7 ou o 8?
-
Boa noite,
Mesmo problema aqui, no Ubuntu 1604 e Firefox atualizado para o 52, tentei desinstalar via comando e reinstalar via Synaptic sem sucesso.
Liguei para o Banco do Brasil diversas vezes desde ontem de manhã e fui ignorado, estou esperando até agora contato da TI deles para resolver o problema.
Algum colega sabe como instalar a penúltima versão do Firefox via Synaptic ?
Grato.
-
Editando em 18/03/2017 -22:15h
Alerta:
Não faça esse travamento de versão do Firefox como antes proposto neste post, não é necessário, o instalador do BB (hda-bb_0.1_all.deb) está funcionando corretamente, porém é necessário que use o Firefox versão 52.
Leia o restante do post, existe solução apontada, sem nenhuma dificuldade.
======================
Parece melhor evitar o problema, pelo menos até que o BB e a GAS Tecnologia atualizem isso, fazendo a pinnagem (=bloqueio) da atualização do pacote. --> Obsoleto
sudo gedit /etc/apt/preferences.d/preferences
Acrescente ao arquivo:
Package: firefox
Pin: version 51.0.1*
Pin-Priority: 1000
Salvar e sair
sudo apt update
-
Editando em 18/03/2017 -22:15h
Alerta:
Não faça o downgrade de versão do Firefox como antes proposto neste post, não é necessário, o instalador do BB (hda-bb_0.1_all.deb) está funcionando corretamente, porém é necessário que use o Firefox versão 52.
Leia o restante do post, existe solução apontada, sem nenhuma dificuldade.
======================
Caso a alteração de versão já tenha ocorrido, então remova a versão atual, baixe a anterior e instale novamente. --> Obsoleto
Remover a instalação atual
sudo apt-get remove firefox
Baixar a versão anterior, conforme a arquitetura do sistema.
Para ver a arquitetura:
arch
Baixar e instalar:
cd ~/Downloads #entra no diretório Downloads
64-bit
wget https://sourceforge.net/projects/ubuntuzilla/files/mozilla/apt/pool/main/f/firefox-mozilla-build/firefox-mozilla-build_51.0.1-0ubuntu1_amd64.deb
sudo dpkg -i firefox-mozilla-build_51.0.1-0ubuntu1_amd64.deb
32-bit
wget https://sourceforge.net/projects/ubuntuzilla/files/mozilla/apt/pool/main/f/firefox-mozilla-build/firefox-mozilla-build_51.0.1-0ubuntu1_i386.deb
sudo dpkg -i firefox-mozilla-build_51.0.1-0ubuntu1_i386.deb
-
Aproveitando o tṍpico sobre o módulo de segurança do BB . Ele ocupa espaço e recurso da Cpu somente quando usado no Home Bank ? Ou esse módulo fica "dormente" na memória RAM até que seja utilizado ?
Lembro que quando eu utilizava o Windows , acontecia isso .
-
Aproveitando o tṍpico sobre o módulo de segurança do BB . Ele ocupa espaço e recurso da Cpu somente quando usado no Home Bank ? Ou esse módulo fica "dormente" na memória RAM até que seja utilizado ?
Lembro que quando eu utilizava o Windows , acontecia isso .
Eu já usei o tokken no BB empresarial e o programa tinha un bug que iniciava um processo que fazia com colapsava a CPU. Eu o descobri no terminal e o identifiquei nos arquivos do programa. Cada vez que isso acontecia, tinha que matar o processo na terminal. É por isso que estou temendo que aconteça a mesma coisa con este programa, que já provocou muitas dores de cabeça aos usuários de Windows.
Procurem na página do Facebook de Gas Tecnologia, nunca vi tantas pessoas detonar com tanta raiva.
-
Mesmo que consiga instalar o programa, eu não vou ficar tranquilo. Os usuários de Linux deveríamos reclamar na ouvidoria, eu já reclamei e diz que o programa era ruim, que não podia ser instalado e que mesmo que conseguisse não ia ficar tranquilo com isso ai no meu computador.
Ouvidoria BB: 0800 729 5678
-
Estou há 3 dias tentando fazer esse módulo de segurança "warsaw" funcionar, mas sempre ocorre o mesmo erro: toda vez que executo o programa de diagnóstico HDA_BB, o diagnóstico acusa erro de websocket.
Eu sei que o Warsaw foi instalado e está funcionando, porque ele é um daemon de serviço do Linux, é executado a partir de /usr/local/bin/warsaw/core (esse arquivo core é o daemon de serviço, é um arquivo binário executável).
O warsaw utiliza a tecnologia de websockets, que parece ser o futuro das conexões de navegadores mas ao mesmo tempo representa riscos à segurança das comunicações remotas. Por causa disso, se eu conseguiu usar esse warsaw, na prática vou deixar o daemon "morto" e só colocá-lo em execução quando for acessar o website do banco. O comando para interromper o warsaw é este:
sudo service warsaw stop
...e o comando para colocar o warsaw novamente em execução é este:
sudo service warsaw start
Bom, isso é o que eu pretendo fazer quando o warsaw estiver funcionando... Como atualmente essa porcaria está dando erro de websocket (e eu também já telefonei pro Banco do Brasil, mas ninguém resolve o problema), estou usando o seguinte paliativo: instalei o aplicativo do Banco do Brasil no meu smartphone Android, e além disso instalei Virtual Box no meu XUbuntu Linux, daí criei uma máquina virtual e instalei o Android 4.4 nela, em seguida instalei o aplicativo do BB para Android também nesse Android 4.4 virtualizado, e pronto, deste modo estou conseguindo acessar o internet banking do Banco do Brasil, tanto via smartphone quanto via computador, sem precisar desse módulo de (in)segurança denominado "Warsaw".
O servidor do websocket do Banco do Brasil fica em wss://www84.bb.com.br/broadcast/529/n6terrdb/websocket e está funcionando: eu já testei esse servidor, a partir de um host remoto (na Internet). Quem quiser fazer o teste, basta acessar https://www.websocket.org/echo.html e colar o texto wss://www84.bb.com.br/broadcast/529/n6terrdb/websocket ali no campo Location:, daí clique em Connect e observe como no painel à direita aparecerá a mensagem RECEIVED: o. Isso significa que o servidor websocket do Banco do Brasil recebeu corretamente o pedido de conexão. ;)
Enfim: o servidor do Banco do Brasil está funcionando. O problema é o módulo de segurança mesmo, que por alguma razão misteriosa não está conseguindo criar o "cliente" local (no computador do usuário) para poder estabelecer uma conexão com o servidor remoto (do Banco do Brasil).
A título de curiosidade, após a instalação do "HDA_BB" o usuário encontrará, dentro de /usr/local/bin/HDA_BB, o arquivo HDA_BB (assim, sem extensão mesmo). Esse arquivo é um shell script (um script do shell do Linux). Quem abrir esse arquivo para edição, encontrará dentro dele a seguinte função:
#CHECAR O SOCKET
function SOCKET_ON() {
ws30900=`( echo open 127.0.0.1 30900
exit
) | telnet`
echo "$ws30900" | grep "Escape character" &>> /dev/null
if [[ "$?" == 0 ]]; then
WEBSOCKET=true
else
WEBSOCKET=false
fi
#fs30800=`( echo open 127.0.0.1 30800
# exit
# ) | telnet`
#echo "$fs30800" | grep "Escape character" &>> /dev/null
#if [ "$?" == 0 ]; then
# FLASHSOCKET=true
#else
# FLASHSOCKET=false
#fi
}
export -f SOCKET_ON
Ao que me parece, o programa local telnet não está encontrando um websocket aberto na porta 30900 do endereço IP 127.0.0.1 (codinome localhost), daí a função está salvando a variável de ambiente $WEBSOCKET com o valor false, daí o diagnóstico do programa HDA_BB lê esse valor da variável $WEBSOCKET e avisa que o websocket não está disponível (o diagnóstico só não emite esse alerta caso o valor da variável $WEBSOCKET seja true).
Eu não sei como fazer para que um cliente websocket seja estabelecido na porta 30900 do IP 127.0.0.1, por isto o Warsaw está em execução mas não consegue usar o navegador para estabelecer uma conexão websocket com aquele servidor do Banco do Brasil, e é por isso que eu e mais uma "pancada" de clientes do Banco do Brasil que usam Linux não estamos conseguindo acessar o internet banking com esse famigerado módulo de (in)segurança. :P
-
Eu cheguei a instalar o programa em Linux Mint 18.1, aparecia no gestor de programas, mas não funcionava. Na hora de fazer o diagnóstico, na interface do programa yad, pedia para instalar dependências, mas o processo ficava detido por causa do Telnet:
stat: no se puede efectuar `stat' sobre '/usr/local/bin/warsaw/core': No existe el archivo o el directorio
stat: no se puede efectuar `stat' sobre '/etc/xdg/autostart/warsaw.desktop': No existe el archivo o el directorio
stat: no se puede efectuar `stat' sobre '/usr/local/lib/warsaw/ld-linux-x86-64.so.2': No existe el archivo o el directorio
stat: no se puede efectuar `stat' sobre '/usr/local/lib/warsaw/ld-linux.so.2': No existe el archivo o el directorio
stat: no se puede efectuar `stat' sobre '/etc/init.d/warsaw': No existe el archivo o el directorio
stat: no se puede efectuar `stat' sobre '/usr/local/etc/warsaw/local.cfg': No existe el archivo o el directorio
Há uma pessoa, no fórum da web Viva o Linux, que conseguiu chegar no final. Ele inclusive mostra a foto do programa com todos os itens em verde, mas não esclarece como é que conseguiu. No seu tutorial ele segue os passos do tutorial do Banco do Brasil e não acrescenta nenhuma informação que possa ajudar a desvendar o mistério. Ele não voltou ao fórum, assim que não temos como averiguar o quid da questão.
-
meu ubuntu é o 16.04 e o icedteaplugin é o 8 e ff 52
continua funcionando
-
meu ubuntu é o 16.04 e o icedteaplugin é o 8 e ff 52
continua funcionando
Mas, quando você está acessando, aparecem essas janelas de módulo de segurança pedindo permissão?
(https://ubuntuforum-pt.org/proxy.php?request=http%3A%2F%2F3.bp.blogspot.com%2F-SRJSpt6cgU8%2FVKlX8QPzzpI%2FAAAAAAAACdc%2FzVqH49LqTFs%2Fs1600%2FModulo_Seguranca_Banco_Brasil_aapf_idh.png&hash=1424d7964e2221ee1dcc586f60670b2acc2a22d4)
-
A presença do Java (Icedtea, JRE proprietário da Oracle ou o que for) é completamente irrelevante para o funcionamento do novo módulo de segurança Warsaw.
O Banco do Brasil migrou para o Warsaw justamente porque a versão mais recente do Firefox (a partir da versão 52) não executa o plugin Java (JRE) e o Warsaw não usa Java: o Warsaw não depende do Java, para funcionar.
O Warsaw para Linux basicamente executa o shell do Linux para rodar o openssl, que por sua vez cria e assina certificados SSL digitais que são então injetados pelo Warsaw nos seus navegadores web. Em seguida, o Warsaw usa esses certificados para estabelecer uma conexão websocket (um protocolo de comunicação web que "roda" por cima do protocolo TCP usando SSL (https://www.tecmundo.com.br/seguranca/1896-o-que-e-ssl-.htm)) com o servidor websocket do Banco do Brasil.
Enfim: warsaw = linguagem shell script do Linux + SSL + conexão websocket sobre TCP (via Internet, usando certificados digitais SSL autoassinados). Não tem nada de JRE (ambiente de execução Java). Esqueçam Java. :P
O que o usuário pode fazer é usar uma versão anterior do Firefox (versão 51 ou mais antiga), para poder acessar a página do Banco do Brasil usando o (agora antigo) módulo de segurança Java, que por enquanto ainda está presente no website do Banco do Brasil. Mas uma hora o Banco do Brasil vai desativar esse módulo de segurança Java, daí não vai dar mais pra acessar o banco usando navegador antigo com plugin Java, e então passará a ser imprescindível o Warsaw funcionar. Aí é que reside o problema (já que o Warsaw está dando problema). :(
-
estas janelas do modulo de segurança não estão aparecendo mais. aparentemente está acessando via plugin icedtea.
como disse o sampayu, vamos ver até quando vão permitir isto. devem estar a solucionar o warsaw.
-
Eu já consegui instalar o módulo de segurança. Primeiro instalei o arquivo fornecido pelo banco na sua web. Abri o programa e o diagnóstico mostrava uma advertência relativa às sockets. Então instalei o warsaw_setup.deb disponível na Gas tecnologia. Reiniciei o computador e nesta vez no diagnóstico estava tudo verde. Entrei na web do banco e mostrou que tinha instalado o módulo de segurança. Foi então que tentei acessar, mas fica no "aguarde, iniciando o acesso" e não sai do canto.
Ainda estou com firefox 51. Para a tentativa desativei icedtea. Se o ativo acesso é feito sem problemas.
-
A solução está em esquecer o tutorial do BB e seguir a dica de Bruno Gonçalves publicada no blog Talesan.org. Segundo ele, o hda_bb é um instalador de um instalador, por tanto não faz sentido. Então, é só instalar o warsaw_setup que fornece a Gas Tecnologia. Fechem o navegador, instalem pelo "centro de software", reiniciem e pronto, nem diagnósticos, nem dependências incompletas. Tudo num clique.
https://talesam.org/2017/03/14/instalando-o-modulo-de-seguranca-banco-brasil-warsaw/ (https://talesam.org/2017/03/14/instalando-o-modulo-de-seguranca-banco-brasil-warsaw/)
-
Consegui a solução. Veja
http://ubuntuforum-br.org/index.php/topic,121558.0.html
-
Fui instalar num outro com Mint e funcionou apenas instalando o warsaw sem usar o hda_bb.
Mas o engraçado é que no Mate não deu certo
Será que é por eu ter instalado antes e haver corrompido alguma dependência, ou por causa do Ubuntu MATE?
Tentei remover todos os resquícios do hda_bb, logo instalei o warsaw_setup64.deb
http://www.dieboldnixdorf.com.br/warsaw
Faço diagnóstico warsaw, mas acusa como "Warsaw não instalado"
-
Caso a alteração de versão já tenha ocorrido, então remova a versão atual, baixe a anterior e instale novamente.
Remover a instalação atual
sudo apt-get remove firefox
Baixar a versão anterior, conforme a arquitetura do sistema.
Para ver a arquitetura:
arch
Baixar e instalar:
cd ~/Downloads #entra no diretório Downloads
64-bit
wget https://sourceforge.net/projects/ubuntuzilla/files/mozilla/apt/pool/main/f/firefox-mozilla-build/firefox-mozilla-build_51.0.1-0ubuntu1_amd64.deb
sudo dpkg -i firefox-mozilla-build_51.0.1-0ubuntu1_amd64.deb
32-bit
wget https://sourceforge.net/projects/ubuntuzilla/files/mozilla/apt/pool/main/f/firefox-mozilla-build/firefox-mozilla-build_51.0.1-0ubuntu1_i386.deb
sudo dpkg -i firefox-mozilla-build_51.0.1-0ubuntu1_i386.deb
FIZ O PROCEDIMENTO E ATÉ O MOMENTO (17/03/2017) ESTÁ FUNCIONANDO OK ! PELO QUE ENTENDI ESTA VERSÃO 51 NÃO UTILIZA O WARSAW E SIM OJAVA !
-
FIZ O PROCEDIMENTO E ATÉ O MOMENTO (17/03/2017) ESTÁ FUNCIONANDO OK ! PELO QUE ENTENDI ESTA VERSÃO 51 NÃO UTILIZA O WARSAW E SIM OJAVA !
Então, "gilbertoros",
É isso mesmo, porém isso não vai muito longe, daqui a pouco o BB inabilita totalmente o acesso por essa versão mais antiga.
Experimente instalar o bb-warsaw, está permitindo o acesso sem maiores dificuldades, porém precisa ser no Firefox versão 52 (ou Chrome 57 ou Opera 43, todos funcionam)
Se quiser testar, fiz um pequeno script para facilitar a vida, dê uma olhada nesse tópico, o script tá linkado lá e ainda exposto, é só testar:
Solução para acessar o home banking do Banco do Brasil no Ubuntu (com warsaw)
http://ubuntuforum-br.org/index.php?topic=121558.msg667968#msg667968
bb-warsaw-install.sh pode ser baixado nesse link:
https://drive.google.com/file/d/0B4-_QQ0rcvfTLXJUcWR3THVTRE0/view?usp=sharing
Mas também usando o método do instalador próprio do BB, que é o pacote hda-bb_0.1_all.deb está funcionando perfeitamente bem, sem problemas, sendo possível fazer a instalação completa e funcional pela interface gráfica sem nenhuma dificuldade, como está devidamente explicado no tópico mencionado.
-
Lendo o drama de alguns aqui com o famigerado warsaw, venho relatar minha luta na instalação em um Majaro, e acredito que funcione para demas distribuições, por que parti do arquivo de configuração que faz todo trabalho pesado "warsaw_64_installer" ou "warsaw_32_installer":
Podem ser baixados aqui: https://www14.bancobrasil.com.br/downloads/ws/warsaw_64_installer.run ou aqui https://www14.bancobrasil.com.br/downloads/ws/warsaw_32_installer.run (as duas aquiteturas 64 e 32).
Como obtive esses links? Ao tentar acessar minha conta no site do Banco, abria uma tela onde apresentava
links para testar se o módulo de segurança estava presente, reconheicia a minnha distribuição como não Unbuntu e derivado e num botão orientava baixar o dito scritpt para outro tipo distribuição (que não usa
pacotes deb).
Estes script tem 22,8 megas, 79742 linhas!, porque ele carrega em seu interior uma parte de pre-instalação e na outra parte a compactação dos binarios, bibliotecas e arquivos de configuração, que o próprio script descompacta na pasta /tmp. Aconselho a quem desejar estudar o script abri-lo com o editor vim, é bem mais rápido para edita-lo e isso no shell. O que está legível vai até a linha 362, o restante como já falei é a compactação dos arquivos necessario para funcionar o core do warsaw.
O que deu certo no meu caso:
1 - Copiei "warsaw_64_installer.run" ou "warsaw_32_installer.run" (vai depender da sua arquitetura 64 ou 32),
para a pasta /tmp;
2 - Tentei executa-lo como sudo (isso depois de: sudo chmod +x warsaw_64_installer.run) e esbarrava na linha
22 do script: " cd /tmp/warsaw_x64/ && ./configure && make install" ;
3- Olhando mais atentamente notei que para que essa linha funcionasse era preciso o script ter antes
descompactado aos binarios, bibliotecas e arquivos de configuração compactados nele (o script), o que era
feito na linha 146: "tail -n +$L $0 | tar -zxvf - -C /"(e isso dentro da pasta /tmp);
4- Depois de uns 3 noites pensado na solução, já que não sou especialista em script shell, reproduzí
manualmente dentro da pasta /tmp o comando: "sudo tail -n +363 warsaw_64_installer.run | tar -zxvf- -C/";
(363 é a linha apartir do qual é feita a leitura para descompactar, deu umas mesagens de erro no final,
mas
nada que comprometesse(bingo! descompactou numa pasta /tmp/warsaw_x64);
5 - Em seguda rodei novmente o script: "sudo ./warsaw_64_install.run", depois desta operação ele, após
alguns minutos carrega o core com "/etc/init.d/warsaw start"(que será necessário para sempre antes de
acessar o banco se não quiser deixar na inicializaçao, como eu que não gosto de consumo de recursos se
não estou usando;
osb: Firefox sem rodar nesse momento, e mesmo que estja ele dá uma menssagen pedido para fechar.
Dai foi só correr para o abraço:
(https://ubuntuforum-pt.org/proxy.php?request=http%3A%2F%2Fi68.tinypic.com%2F3354oro.png&hash=21945dfb257328467f055d119de02ad89fa01b63)
-
Não há na verdade nenhum problema com o instalador BB (hda-bb_0.1_all.deb) do warsaw, o que existe, parece, é nem sempre uma correta compreensão do processo como um todo e do que deve ser feito na instalação.
O pacote instalador foi feito pensando numa instalação utilizando a interface gráfica, no caso o Ubuntu-Software, e não por outro meio (dpkg) e é exatamente isso que consta nas instruções de instalação lá no site do Banco do Brasil, embora não de forma expressa.
"Dúvidas sobre o módulo de segurança
1. UBUNTU/MINT - Não consigo acessar o Internet Banking no Linux. O que devo fazer? "
https://seg.bb.com.br/duvidas.html
É apenas seguir exatamente o que está lá e a instalação dará certo, permitindo o acesso do correntista à conta-corrente.
Note constar expressamente daquelas instruções: "dê um duplo clique no arquivo para iniciar a instalação", vale dizer, novamente, é para usar a interface gráfica para instalar, essa é a previsão de quem fez o instalador.
Também não está lá dito expressamente, o que é uma falha, que o warsaw aplica-se ao Firefox a partir da versão 52, portanto, não tente instalar na versão 51 anterior, pois não irá conseguir completar o acesso.
Embora existam outras formas de instalar, o pacote instalador BB hda-bb_0.1_all.deb é uma rotina escrita em bash script, bem elaborada e muito interessante, deve ser preferida.
Acontece que o usuário Linux, na sua imensa maioria, é um utilizador contumaz de linha de comando (eu próprio), não pode ver um pacote .deb que já vai para o dpkg, é hábito puro.
Quando se instala pela interface gráfica (duplo clique), que usa o Ubuntu-Software, este provê as dependências necessárias e a instalação dará certo, o que já não ocorre quando se vai para o dpkg na cmdline e então a instalação irá falhar, a menos que se instale antes as dependências ou após usar o dpkg se faça a correção dessas dependência, apenas isso.
Em resumo:
1) Prefira fazer usando a interface gráfica do Ubuntu-Software (duplo click no pacote .deb);
Entretanto, se for fazer por linha de comando:
2) Instale antes das dependências necessárias:
sudo apt install -y yad libnspr4-0d libnss3-tools
depois simplesmente faça:
sudo dpkg -i hda-bb_0.1_all.deb
Daí em diante basta ir no Dash e clicar no ícone HDA_BB
Na janela que se abre clicar em Instalar (símbolo +) e seguir as telas gráficas.
Após a instalação, confirme se está tudo correto clicando em Diagnóstico
3) Se esqueceu de instalar antes as dependências, como mencionado acima em 2), então após instalar pelo dpkg corrija isso, também dará certo.
sudo dpkg -i hda-bb_0.1_all.deb
sudo apt-get -f install
Confirme tudo acessando esse endereço:
Seg.BB - Diagnóstico do Módulo de Segurança
https://seg.bb.com.br/home.html
-
Conssegui instalar no elementaryOS (derivado Ubuntu) que uso com a TV na minha sala, mas não deu certo via pacotes deb. Sobre a questão de sempre preferir interface grafica, é que nos coloca como usários windows, só sabe fazer as coisas se tiver um inteface grafica, no dia que ela quebra você vai e reintala todo sistema desnecessarimante. A curva de aprendizado no linux é praticamente inesgotável. Antes que digam o contrário, uso Ubuntu 16.04 no trabalho e a instalação via hda-bb_0.1_all.deb deu certo de primeira, sobre as instruções do Banco do Brasil, não é só via interface gráfica:
(https://ubuntuforum-pt.org/proxy.php?request=http%3A%2F%2Fi67.tinypic.com%2F4pv8yg.png&hash=4ca18797208dd86a33a9d63d66c3928c3d1d6474)
-
Eu também não detectei nenhuma diferença entre os três métodos de instalação.
A propósito, os três métodos de instalação atualmente são estes:
1) Instalar o instalador HDA_BB (https://www14.bancobrasil.com.br/downloads/ws/hda-bb_0.1_all.deb), que por sua vez instalará o módulo de segurança Warsaw pra você.
2) Instalar o módulo de segurança Warsaw diretamente, usando o pacote DEB (https://cloud.gastecnologia.com.br/bb/downloads/ws/warsaw_setup64.deb) (o link ao lado é para a versão de 64 bits).
3) Instalar o módulo de segurança Warsaw diretamente, usando o shell script RUN (https://cloud.gastecnologia.com.br/bb/downloads/ws/warsaw_64_installer.run) (o link ao lado é para a versão de 64 bits).
O programa DPKG instala manualmente um pacote DEB, porém não analisa se esse pacote possui dependências, ou seja, não analisa se, para funcionar, esse pacote precisa ser instalado junto com outros pacotes DEB dos quais ele depende. Para instalar qualquer pacote DEB na linha de comandos (terminal do shell do Linux) resolvendo as dependências desse pacote DEB, você precisa usar o programa GDEBI, ao invés de usar o DPKG. Caso não tenha o GDEBI, instale-o com este comando:
sudo apt-get install gdebi -y
Após isso, para instalar um pacote DEB no terminal do shell basta executar o comando sudo gdebi /caminho/para/o/pacote.deb, portanto se você salvou um arquivo como p.ex. hda-bb_0.1_all.deb em um local como p.ex. /home/fulano/Downloads/, o comando de instalação desse pacote DEB será:
sudo gdebi /home/fulano/Downloads/hda-bb_0.1_all.deb
O mesmo vale para o caso de você decidir instalar manualmente o pacote DEB do módulo de segurança Warsaw. Portanto, se por exemplo você pegar o arquivo warsaw_setup64.deb e salvá-lo em /home/fulano/Downloads/, este será o comando para instalar manualmente esse pacote DEB no terminal do shell do Linux, já resolvendo as dependências do pacote:
sudo gdebi /home/fulano/Downloads/warsaw_setup64.deb
Já no caso do arquivo de script RUN, para instalá-lo você precisa primeiro torná-lo executável, o que se consegue executando-se o comando sudo chmod +x /caminho/para/o/arquivo.run, portanto se o arquivo tiver um nome como por exemplo warsaw_64_installer.run e você o salvar em /home/fulano/Downloads/, o comando para torná-lo executável e então instalá-lo será este:
sudo chmod +x /home/fulano/Downloads/warsaw_64_installer.run && sudo /home/fulano/Downloads/warsaw_64_installer.run
Durante a instalação do módulo Warsaw por qualquer um desses métodos, é necessário deixar todos os navegadores fechados.
=> Desinstalar o HDA_BB é fácil. Basta executar este comando, no terminal do shell:
sudo apt-get purge hda-bb
Desinstalar o Warsaw instalado via pacote DEB também é fácil. Basta executar este comando, no terminal do shell:
sudo apt-get purge warsaw
Já para desinstalar o Warsaw instalado via script RUN, é necessário executar o desinstalador dele. O comando é este:
sudo /usr/bin/warsaw_uninstall
Após cada instalação ou desinstalação, é recomendável reiniciar o sistema.
O que eu já fiz, até agora...
Eu já instalei o módulo de segurança Warsaw por intermédio de cada um dos três métodos acima citados. Nenhum funcionou para o meu caso: a página https://seg.bb.com.br/home.html continua me informando que não possuo o módulo de segurança Warsaw, ao acessar a página http://www.dieboldnixdorf.com.br/warsaw (da empresa que comprou a GAS Tecnologia, desenvolvedora do Warsaw) e informar que meu banco é o Banco do Brasil, também recebo a informação de que meu sistema não possui o módulo Warsaw. Mas eu sei que o Warsaw está instalado, pois o daemon (o "serviço", o processo residente na memória do sistema) do Warsaw é o arquivo binário executável core, que se encontra em /usr/local/bin/warsaw/ (caminho completo: /usr/local/bin/warsaw/core), e esse daemon está em execução (ou seja: uma cópia do arquivo core encontra-se presente na memória RAM que está sendo usada pelo sistema operacional Linux). Eu inclusive executei o comando abaixo, para interromper o daemon do Warsaw:
sudo service warsaw stop
Daí executei este outro comando, para iniciar novamente o daemon / serviço Warsaw:
sudo service warsaw start
...e então executei o comando:
ps -ef |grep -i warsaw |grep -v grep
...que me mostrou que de fato existe um daemon / serviço warsaw executando o arquivo binário executável core a partir de /usr/local/bin/warsaw (o arquivo binário core está residente na memória do computador), portanto o Warsaw está em execução. Consequentemente, se aqueles dois websites estão informando que o Warsaw não está instalado é porque esses websites não estão conseguindo se comunicar com o daemon que se encontra em execução no meu sistema, e isso sinaliza um problema (ou dificuldade) ou no daemon ou em algum componente do daemon: pode ser uma biblioteca faltando; uma configuração errada dentro desse daemon; alguma biblioteca funcionando diferentemente do que devia e, por isto, impedindo que, por exemplo, uma conexão websocket seja estabelecida entre o daemon e o servidor do banco; daemon sendo bloqueado por outro processo etc.
Quando executo o programa HDA_BB, ele me informa que o módulo está de fato instalado e em execução, porém dá aquele erro de websocket / soquete que tantos outros usuários estão vivenciando (eu, inclusive). Meu sistema é o XUbuntu versão 16.04 de 64 bits e estou usando o kernel estável 4.7.10 (número completo da versão: 4.7.10-040710-generic). Como o daemon do warsaw está em execução mas mesmo assim estou tendo esse problema, pensei na possibilidade de isso estar relacionado a alguma incompatibilidade do kernel (ou do iptables que executa o componente netfilter do kernel) com essa versão do Warsaw, por isto instalei o kernel versão 4.4, que é nativo desse XUbuntu que estou usando. Infelizmente, não fez diferença nenhuma.
Também experimentei instalar versões anteriores (antigas) do Warsaw, mas nenhuma funcionou. :(
Como mudar de kernel não fez diferença, experimentei mexer no iptables (o firewall interno do Linux): percebi que quando o script /usr/local/bin/HDA_BB/HDA_BB é executado, ele testa a conectividade do websocket executando o comando telnet na porta 30900 do endereço IP 127.0.0.1 (codinome localhost). Então executei este comando, no terminal do shell:
telnet 127.0.0.1 30900
...e o resultado foi "connection refused" (conexão recusada). Daí pensei: "Mmmm... É por isso que o programa HDA_BB informa que o websocket não está conectado: é porque a porta 30900 está fechada. Como o módulo Warsaw (o arquivo binário core) tenta usar essa porta 30900, mas não consegue, o HDA_BB informa esse problema".
Como dentro do arquivo /usr/local/bin/HDA_BB/HDA_BB há uma linha com o comando echo open 127.0.0.1 30800, resolvi executar este comando que usa o telnet para testar a conectividade da porta TCP nº 30800 no endereço IP 127.0.0.1:
telnet 127.0.0.1 30800
...e, para minha surpresa, o telnet confirmou que a porta 30800 está aberta (antes de você instalar o Warsaw, essa porta fica fechada, mas com a instalação do Warsaw essa porta passa a ficar aberta). Então tive a ideia de usar o iptables para redirecionar para a porta 30800 todos os pedidos que chegarem à porta 30900. Você faz isso executando este comando, no terminal do shell:
sudo iptables -t nat -A OUTPUT -p tcp -d 127.0.0.0/8 --dport 30900 -j REDIRECT --to-port 30800
Executei novamente o programa HDA_BB e... tadá! O programa mostrou o "sinal verde" para o item "Socket" (conectividade do websocket "ok"). :D
...mas alegria de pobre dura pouco, rs. ;D Apesar de esse meu artifício ter funcionado para "enganar" o programa HDA_BB, pelo visto a porta 30900 não é a única usada pelo Warsaw para estabelecer uma conexão websocket (o que inclusive reforça ainda mais o meu receio em usar esse módulo, diga-se de passagem... Detesto programas "obscuros", que não tenho como saber como funcionam porque são programas compilados, proprietários, a cujo código-fonte eu não tenho acesso... ???).
Bom, enfim: dei essa volta toda e, por enquanto, ainda não consegui fazer esse módulo de segurança funcionar. :'( Por ora, o que está me salvando é que instalei o VirtualBox para Linux (https://www.virtualbox.org/wiki/Linux_Downloads), em seguida criei uma máquina virtual Linux genérica, baixei o ISO do Android 4.4 (http://bdownload.fosshub.com/programs/android-x86-4.4-r5.iso), usei esse ISO para instalar o Android 4.4 na máquina virtual, daí dei boot nesse "Android virtualizado", instalei o aplicativo do BB (https://play.google.com/store/apps/details?id=br.com.bb.android) nesse Android, e-pronto (eu sacaneando a propaganda do Banco do Brasil... :P): estou usando o notebook com XUbuntu Linux para acessar o Banco do Brasil via aplicativo instalado no Android virtualizado. Claro que isso está longe de ser uma solução, mas é um paliativo recomendado a quem por ora está como estou: sem acesso via navegador.
Como por enquanto o módulo de segurança Java do Banco do Brasil continua funcionando (continua ativo no website do Banco do Brasil), usar um navegador que dê suporte ao plugin NPAPI do JRE (popularmente conhecido como "plugin Java") possibilita que, por ora, o usuário possa continuar acessando sua conta corrente via módulo de segurança Java. Como a partir da versão 52 o Firefox deixou de dar suporte a plugins de arquitetura NPAPI, não dá pra usar essa versão do navegador. Porém, pode-se obter o Firefox versão 51, de 64 bits (https://ftp.mozilla.org/pub/firefox/releases/51.0/linux-x86_64/pt-BR/firefox-51.0.tar.bz2) para acessar sua conta corrente via Internet, já que essa foi a última versão do Firefox a dar suporte ao plugin NPAPI do JRE. Após baixar o arquivo comprimido firefox-51.0.tar.bz2, use o terminal do shell para acessar a pasta em que você salvou esse arquivo e então execute este comando de descompactação:
sudo tar -xvf firefox-51.0.tar.bz2
Nessa mesma pasta surgirá uma subpasta firefox. Use o terminal mesmo para entrar nela. Porém, antes de executar o Firefox 51 pela primeira vez, execute seu Firefox atual, para poder desativar a atualização automática, daí acesse o endereço about:preferences#advanced, clique na opção Atualizações, marque a caixa Nunca verificar (não recomendado: risco de segurança) e, por fim, feche o Firefox.
Após fazer isso (para evitar que o Firefox versão 51 - que funciona com o plugin NPAPI do JRE - automaticamente se atualize para a versão mais recente - que não suporta plugins NPAPI), retorne ao terminal do shell, que deverá estar conectado à pasta do Firefox 51, e então execute este comando (ele inicializará o Firefox versão 51):
./firefox
O uso do ./ é importante para informar que você quer executar especificamente o arquivo binário firefox que se encontra dentro da pasta que você acessou via terminal (a pasta do Firefox 51).
Se você executar o Firefox 51 com a "atualização automática" desabilitada, você conseguirá usar o Firefox 51 para acessar o website do Banco do Brasil, daí o website do banco fornecerá o applet Java para o Firefox 51 e o Firefox 51 conseguirá executar esse applet, já que o Firefox 51 é capaz de executar o plugin Java. Enquanto o applet (módulo de segurança) Java continuar hospedado no website do Banco do Brasil, você continuará podendo usar o Firefox 51 para acessar sua conta pelo método "antigo" / tradicional, ou seja: via Java (sem precisar do Warsaw).
Espero que alguém descubra como resolver esse problema (já que relatei esse problema para o Banco do Brasil, mas o "maravilhoso" suporte técnico está há mais de 1 semana sem se manifestar, tampouco sem resolver o problema). Se eu conseguir resolver isso, publico aqui.
-
Acho que descobri qual é o problema...
Antes, porém, preciso explicar uns conceitos. É pouca coisa. Lá vai:
1) O núcleo (o "conjunto básico de instruções") do sistema operacional Linux chama-se kernel (https://www.tecmundo.com.br/macos/1636-o-que-e-kernel-.htm) Linux.
2) O kernel possui um componente interno, denominado netfilter (https://www.vivaolinux.com.br/comunidade/netfilter-iptables), que funciona como firewall (https://www.tecmundo.com.br/firewall/182-o-que-e-firewall-.htm). Ou seja: mesmo que você não instale um firewall no Linux, ele já vem com um "embutido" no núcleo do sistema. Embora por padrão o netfilter venha pré-configurado no modo "passivo" (permissivo), ele está lá e pode ser configurado pelo/a usuário/a, se ele/ela quiser.
3) O netfilter não é configurado diretamente: você precisa usar o programa iptables, para poder configurar o netfilter. Você executa o iptables no terminal do shell (https://www.ibm.com/developerworks/br/library/l-linux-shells/) do Linux ("linha de comandos").
4) Como o iptables é meio "chato" (complicado e trabalhoso) de se configurar, existem programas mais simples que nos ajudam a mexer no iptables. Um desses programas é o ufw (http://wiki.ubuntu-br.org/UFW), que embora também seja executado no shell, é bem mais fácil de se mexer que o iptables.
5) O programa gufw (http://gufw.org) facilita ainda mais as coisas, pois enquanto o ufw é um programa por "linha de comandos" (é executado no shell do Linux), o gufw é uma aplicação gráfica, é executado dentro de uma janela, em um ambiente gráfico tal como Unity, GNOME, KDE, XFCE etc. O gufw é um frontend (ambiente gráfico) para você poder usar o ufw apontando e clicando, ao invés de ter de memorizar e digitar comandos no teclado.
Apresentados esses esclarecimentos, ocorre que:
a) No sistema XUbuntu 16.04 de 64 bits do meu computador eu uso o gufw, portanto meu XUbuntu tem um firewall ativado com diversas regras que deixam fechadas praticamente todas as portas de rede.
b) Resolvi criar uma máquina virtual nesse meu XUbuntu e então instalar nela o LUbuntu 16.10 de 64 bits. Fiz uma instalação "limpa", do LUbuntu: não instalei nada de adicional, para evitar que o sistema recebesse configurações e/ou bibliotecas que pudessem afetar o funcionamento do Warsaw. Inclusive, não ativei o ufw nem instalei o gufw. Em seguida, instalei o HDA_BB e, por intermédio dele, instalei o Warsaw, reiniciei a máquina virtual e... VOILÁ! FUNCIONOU: a página https://seg.bb.com.br informou-me que tenho o módulo de segurança Warsaw instalado, daí acessei https://www2.bancobrasil.com.br/aapf/login.jsp e de fato consegui acessar minha conta bancária. :D
c) Então, ainda no "LUbuntu virtualizado", executei o comando abaixo para listar todas as regras do netfilter atualmente em vigor:
sudo iptables -S...e obtive este resultado:
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT...o que significa que o firewall do kernel do LUbuntu está configurado para aceitar (ACCEPT) todas as conexões de entrada (INPUT), de saída (OUTPUT), e também todos os encaminhamentos (FORWARD).
d) Como uma das minhas desconfianças era que esse módulo de "segurança" Warsaw usa umas portas inseguras, e que por isso o firewall do Linux as bloqueia (por isso o Warsaw não estaria funcionando, no meu XUbuntu), resolvi instalar o gufw nessa máquina virtual (LUbuntu 16.10), pois quando o gufw é instalado ele "de cara" (automaticamente) já envia para o ufw umas regras básicas de segurança, que o ufw então repassa para o iptables, que por sua vez as envia ao netfilter. Resultado: assim que ativei o firewall gufw, o módulo de segurança parou de funcionar.
e) Então executei este comando, para visualizar as regras do netfilter:
sudo iptables -S...e vi que o gufw realmente havia criado várias regras de proteção, no LUbuntu virtualizado.
Resolvi então rodar este comando, para "resetar" o netfilter:
sudo iptables -F ; sudo iptables -X ; sudo iptables -SAo executar o comando acima, obtive o seguinte resultado:
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT...que é igual ao resultado que eu havia mostrado lá no item "c" e significa que o firewall voltou a ficar em "modo passivo" (permite todos os encaminhamentos e todas as conexões de entrada e de saída).
f) Após eu executar esse "reset" no netfilter, reiniciei o computador, abri novamente o navegador e... TADÁÁÁÁ! Módulo de "segurança" funcionando. :P
Enfim: para poder usar o módulo de "segurança", você precisa escancarar a "porteira" do seu sistema. >:(
Agora resta saber quais são as portas de rede (uma delas é a 30900), e de quais protocolos (TCP, UDP...), têm de ficar abertas para que o Warsaw funcione. Essa informação precisa ser disponibilizada para os usuários, pois é absurdo o computador ter de ficar completamente desprotegido para um módulo desses poder funcionar. Sabendo quais são as portas e os protocolos, dá para ativar o firewall e configurá-lo para bloquear tudo exceto o que possuir uma regra de exceção, daí basta adicionar uma regra, no firewall, permitindo que cada uma dessas portas seja usada livremente, em determinado protocolo. Assim o firewall fica ativo, mas o Warsaw não deixa de se comunicar com o servidor remoto.
-
O comando:
sudo netstat -tulapv |grep -i /core
...retornou-me:
tcp 0 0 localhost:30900 *:* OUÇA 1128/core
tcp 0 0 localhost:30800 *:* OUÇA 1128/core
Portanto, o arquivo binário executável core - que fica em /usr/local/bin/warsaw/ - está usando as portas 30800 e 30900, no protocolo TCP.
Agora é pensar num modo de, por padrão (política / regra geral), manter todas as portas fechadas, no firewall, porém abrir essas (e somente essas) portas que o Warsaw utiliza... ::)
-
Ou seja executando esta linha de comando
sudo iptables -F ; sudo iptables -X ; sudo iptables -SEstou deixando o sistema completamente desprotegido, certo? Então não recomendável executá-lo
Bem que os desenvolvedores poderiam dar uma olhadinha nestes tópicos, né haha? Será que ele recebe atualizações automáticas?
-
http://www.edivaldobrito.com.br/modulo-de-seguranca-do-banco-do-brasil-no-linux/ nesse link tem o bizu
-
http://www.edivaldobrito.com.br/modulo-de-seguranca-do-banco-do-brasil-no-linux/ nesse link tem o bizu
Então, "hpholivetti",
Essa página do colega "edivaldobrito" é boa e útil, como tantas outras que ele faz e são úteis à divulgação e suporte do mundo Linux, porém no caso em tela não traz nada de novo que já não tenha sido debatido e exposto aqui no Fórum e, principalmente, não contempla a questão maior aqui identificada pelo colega Sampayu, que é o não funcionamento com o firewall ativado.
Esse é o problema central e não a instalação, assunto já amplamente debatido e com várias soluções expostas aqui no Fórum, não há novidades nisso.
A novidade verdadeira é que não funciona com o firewall ativado, que no caso do Ubuntu por padrão é o UFW e ainda não apareceu, ao menos por enquanto, uma forma de configurá-lo adequadamente.
-
Ou seja executando esta linha de comando
sudo iptables -F ; sudo iptables -X ; sudo iptables -SEstou deixando o sistema completamente desprotegido, certo? Então não recomendável executá-lo
Bem que os desenvolvedores poderiam dar uma olhadinha nestes tópicos, né haha? Será que ele recebe atualizações automáticas?
Se você nunca instalou um firewall como o GUFW no seu sistema Linux, então seu sistema muito provavelmente está desprotegido. Execute este comando:
sudo iptables -S
Se o resultado do comando acima for assim:
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
...então seu sistema realmente está desprotegido: embora ele possua o netfilter dentro do kernel, e embora ele possua o iptables (para você poder enviar comandos ao netfilter do kernel), as políticas (-P) atuais do seu netfilter são ACCEPT ("aceitar") para todos os encaminhamentos (FORWARD) e para todas as conexões de entrada (INPUT) e de saída (OUTPUT).
Se quiser proteger seu sistema, há basicamente duas opções (ambas farão o Warsaw parar de funcionar, ou melhor, ele continuará funcionando, porém não conseguirá mais se comunicar com o servidor do Banco do Brasil na Internet, o que significa que na prática o daemon do Warsaw continuará em execução na memória, porém será "barrado" pelo firewall do kernel e daí tornar-se-á completamente inútil):
1) A primeira opção - que é a mais fácil - consiste em instalar o GUFW e executá-lo:
sudo apt-get install gufw -y ; sudo gufw
Daí, quando a janela do GUFW aparecer, vá ao campo Entrada:, selecione a opção Recusar e pronto, feche a janela do GUFW.
2) A segunda opção - que é um pouco mais complicada - consiste em configurar o netfilter por intermédio do iptables. A configuração consiste em executar o supercomando abaixo, que fará o iptables instruir o netfilter a desabilitar as conexões de entrada (INPUT) e os encaminhamentos de porta (FORWARD), de modo que somente requisições de saída continuem sendo aceitas. Se você reiniciar o computador, essas configurações serão perdidas. Para que isso não ocorra, é necessário salvá-las em um arquivo e em seguida configurar o Linux para restaurar essas configurações (que estarão dentro desse arquivo) a cada nova inicialização do sistema operacional. O supercomando abaixo também realizará essas ações (salvar as configurações num arquivo e recuperar tais configurações a cada novo boot):
sudo iptables -P INPUT DROP ; sudo iptables -P FORWARD DROP ; sudo iptables-save | sudo tee /etc/iptables.conf ; sudo sed -i -e 's|exit 0||' "/etc/rc.local" ; echo iptables-restore \< /etc/iptables.conf | sudo tee -a /etc/rc.local ; echo ' ' | sudo tee -a /etc/rc.local ; echo exit 0 | sudo tee -a /etc/rc.local
O comando acima adicionará a regra DROP ("ignorar") à política para pacotes de entrada (INPUT) e de encaminhamento (FORWARD), salvará essa nova configuração dentro de /etc/iptables.conf, e então adicionará ao arquivo /etc/rc.local o comando iptables-restore < /etc/iptables.conf, o que fará com que a cada novo boot do Linux as configurações presentes dentro do arquivo /etc/iptables.conf sejam "lidas" pelo comando iptables-restore e repassadas ao netfilter. ;)
Após a execução do supercomando acima, execute o comando:
cat /etc/rc.local
Se o resultado do comando acima terminar com este código:
iptables-restore < /etc/iptables.conf
exit 0
...a configuração do arquivo rc.local está correta. Você também pode executar:
cat /etc/iptables.conf
...para ver se de fato as configurações do netfilter foram gravadas dentro do arquivo iptables.conf: se esse arquivo não estiver vazio, é porque as configurações do netfilter foram gravadas dentro dele. :)
Agora reinicie o sistema:
sudo telinit 6
...para que as alterações surtam efeito. Isso vale tanto para quem instalou o GUFW quanto para quem configurou o netfilter via iptables.
=> Para desfazer as configurações realizadas com o iptables, execute este supercomando:
sudo iptables -F ; sudo iptables -X ; sudo iptables -P INPUT ACCEPT ; sudo iptables -P FORWARD ACCEPT ; sudo sed -i -e 's|iptables-restore < /etc/iptables.conf||' "/etc/rc.local" ; sudo rm /etc/iptables.conf
O comando acima irá "resetar" o netfilter, adicionando a regra ACCEPT ("aceitar") às políticas INPUT e FORWARD do netfilter. O comando acima também eliminará do arquivo rc.local a linha de código iptables-restore < /etc/iptables.conf, e por fim excluirá o arquivo de configuração iptables.conf localizado em /etc/iptables.conf.
Para quem instalou o GUFW, a desinstalação consiste em executar:
sudo apt-get purge gufw -y ; sudo iptables -F ; sudo iptables -X ; sudo iptables -P INPUT ACCEPT ; sudo iptables -P FORWARD ACCEPT
Considero extremamente improvável que algum desenvolvedor do Warsaw ou alguém do suporte técnico do Banco do Brasil esteja acompanhando este tópico, ou sequer este fórum.
-
http://www.edivaldobrito.com.br/modulo-de-seguranca-do-banco-do-brasil-no-linux/ nesse link tem o bizu
Então, "hpholivetti",
Essa página do colega "edivaldobrito" é boa e útil, como tantas outras que ele faz e são úteis à divulgação e suporte do mundo Linux, porém no caso em tela não traz nada de novo que já não tenha sido debatido e exposto aqui no Fórum e, principalmente, não contempla a questão maior aqui identificada pelo colega Sampayu, que é o não funcionamento com o firewall ativado.
Esse é o problema central e não a instalação, assunto já amplamente debatido e com várias soluções expostas aqui no Fórum, não há novidades nisso.
A novidade verdadeira é que não funciona com o firewall ativado, que no caso do Ubuntu por padrão é o UFW e ainda não apareceu, ao menos por enquanto, uma forma de configurá-lo adequadamente.
Rapaz, tô perdendo feio para o netfilter: já criei zilhões de regras diferentes para o netfilter, tanto via iptables quanto via UFW (no terminal) e GUFW (na GUI), mas nada de uma dessas regras funcionar. :(
Se eu conseguir fazer o iptables configurar o netfilter de modo que as políticas INPUT e FORWARD continuem com a regra padrão DROP, porém com as exceções "INPUT -j ACCEPT" e "FORWARD -j ACCEPT" funcionando para as conexões TCP nas portas 30800 e 30900, eu volto aqui e comento como foi que consegui fazer. Mas por enquanto tá difícil... :(
Espero que alguém com conhecimentos mais profundos que eu, a respeito da configuração do firewall do Linux, apareça com uma solução para esse problema.
Eu, por enquanto, sigo com o Warsaw instalado, porém bloqueado: não pretendo abrir mão das regras "INPUT -j DROP" e "FORWARD -j DROP", já que abandoná-las expõe o sistema a ataques de invasores externos. Enquanto isso, vou acessando o Banco do Brasil via métodos alternativos:
1) Firefox versão 51;
2) LUbuntu 16.10 virtualizado; e
3) Aplicativo do Banco do Brasil, executado dentro do Android 4.4 virtualizado (isso quando não acesso diretamente via esse aplicativo instalado no Android do meu smartphone mesmo :P).
Sou cliente do Banco do Brasil desde 2002, e sempre consegui contornar os infortúnios acarretados ao Linux por causa das mudanças que o pessoal do BB de tempos em tempos realiza no website de acesso ao internet banking, mas desta vez o pessoal do BB conseguiu criar um problema bem "chato" de se resolver no Linux. Afff... ::)
-
Solução para o problema do Warsaw no Banco do Brasil: :D
1) Instalar o Warsaw manualmente (http://ubuntuforum-br.org/index.php/topic,121558.msg668207.html#msg668207); e
2) Em seguida, retirar o bloqueio ao socket / websocket (http://ubuntuforum-br.org/index.php/topic,121558.msg668201.html#msg668201).
-
Apenas instalei o Warsaw direto do servidor, não usei o pacote .deb do Banco do Brasil.
Veja a solução em: https://talesam.org/2017/03/14/instalando-o-modulo-de-seguranca-banco-brasil-warsaw/ (https://talesam.org/2017/03/14/instalando-o-modulo-de-seguranca-banco-brasil-warsaw/)
-
Apenas instalei o Warsaw direto do servidor, não usei o pacote .deb do Banco do Brasil.
Veja a solução em: https://talesam.org/2017/03/14/instalando-o-modulo-de-seguranca-banco-brasil-warsaw/ (https://talesam.org/2017/03/14/instalando-o-modulo-de-seguranca-banco-brasil-warsaw/)
Essa solução já foi citada aqui, mas ela não resolve o problema de quem, como eu, possui firewall ativado que está bloqueando a porta TCP 30900, usada pelo Warsaw. A única maneira de contornar esse problema (sem tem de desativar o firewall e excluir as regras de proteção do sistema) é ativar um recurso que bloqueia ataques do tipo "localhost SYN flood". Isso é explicado lá no link que citei anteriormente.
-
Apenas instalei o Warsaw direto do servidor, não usei o pacote .deb do Banco do Brasil.
Veja a solução em: https://talesam.org/2017/03/14/instalando-o-modulo-de-seguranca-banco-brasil-warsaw/ (https://talesam.org/2017/03/14/instalando-o-modulo-de-seguranca-banco-brasil-warsaw/)
Se você simplesmente instalou o Warsaw e ele funcionou, é praticamente certo que seu Linux está desprotegido (está com o firewall "desativado"). Vamos fazer um teste? Execute este comando:
for i in INPUT FORWARD; do sudo iptables -S |grep $i; done |grep ACCEPT
Se não apareceu nada, seu sistema está protegido por firewall. Mas, se apareceu isto:
-P INPUT ACCEPT
-P FORWARD ACCEPT
...então o firewall do seu sistema está, por padrão, executando uma política de aceitar conexões de entrada e encaminhamento de portas, o que é uma má ideia (estou usando um eufemismo).
=> Tenho a impressão de que a maioria dos usuários de Linux está instalando o Warsaw sem vivenciar problemas justamente porque estão usando o Linux com o firewall ativado em "modo passivo": o que na prática é o mesmo que deixar o firewall desativado. :(
Para resolver isso, é recomendável seguir o que sugeri neste post (http://ubuntuforum-br.org/index.php/topic,121558.msg668266.html#msg668266): ele ensina a fazer uma "limpeza completa" (excluir HDA_BB, Warsaw, desligar o firewall etc.) e em seguida instalar o Warsaw e ativar o firewall com um conjunto básico de proteções.
PS: se o seu sistema estiver com a proteção básica do firewall ativada, então este comando:
for i in INPUT FORWARD; do sudo iptables -S |grep $i; done |grep DROP
...retornará algo assim:
-P INPUT DROP
-P FORWARD DROP
O que é um bom sinal. ;)
-
[...] Se você simplesmente instalou o Warsaw e ele funcionou, é praticamente certo que seu Linux está desprotegido (está com o firewall "desativado").
...então o firewall do seu sistema está, por padrão, executando uma política de aceitar conexões de entrada e encaminhamento de portas, o que é uma má ideia (estou usando um eufemismo).
=> Tenho a impressão de que a maioria dos usuários de Linux está instalando o Warsaw sem vivenciar problemas justamente porque estão usando o Linux com o firewall ativado em "modo passivo": o que na prática é o mesmo que deixar o firewall desativado. :(
Veja, prezado "Sampayu",
Penso que possa ser adequado esclarecer esse ponto de forma mais ampla.
Não uso firewall ativado no Linux e jamais usarei qualquer ferramenta dessa espécie, seja IFW ou IPTABLES, na instalação presente, que está devidamente protegida por um roteador Cisco profissional, o qual possui um excelente firewall por padrão e, querendo, configurável.
Numa outra instalação os computadores são clientes de servidores que fazem todo o gerenciamento de acesso, obviamente incluindo as restrições de firewall, então também não há necessidade de ativar firewall individualmente.
Então, suponho, de forma geral podemos dizer que quando o computador estiver atrás de um roteador no qual esteja ativado o firewall próprio dele, observados o login próprio (=não o que vem de fábrica) + senha forte, isso torna desnecessária a ativação de firewall no Linux.
Não consigo vislumbrar ganho e tampouco necessidade da superposição de dois firewalls ativados para a mesma instalação.
Entendo que para explicar, pelo que sim, pelo que não, é mais fácil mandar logo o cidadão ativar o firewall do Linux e pronto, mas esse não é um fato técnico.
Daí que, creio, como simples opinião, possamos estender essa explicação deixando clara essa exceção.
O usuário Linux é tipicamente bem informado tecnologicamente e consegue entender esses conceitos com facilidade.
Ademais, note, se é adequado, vantajoso ou não ativar firewall no Linux é matéria estranha ao cerne do tópico, que é apenas conseguir acesso à conta corrente através do site do Banco do Brasil.Claro que suplementarmente isso possa ser um ponto, mas o fato é que não é necessário ter firewall ativado para ter acesso ao BB, daí que a questão uso ou não de firewall acaba ultrapassando os limites naturais do tópico, que é apenas acessar o BB.
É uma simples contribuição ao raciocínio, pois sei pela experiência da convivência que seus posts e tópicos são sempre muito bem elaborados, dos melhores deste Fórum, e primam pela qualidade técnica.
-
Não uso firewall ativado no Linux e jamais usarei qualquer ferramenta dessa espécie, seja IFW ou IPTABLES, na instalação presente, que está devidamente protegida por um roteador Cisco profissional, o qual possui um excelente firewall por padrão e, querendo, configurável...
Essa é uma questão polêmica: há quem prefira ativar só o firewall por hardware (que na verdade é um firewall por software, só que em execução num hardware fisicamente separado do computador), há quem prefira ativar os dois (firewall "por hardware" e firewall por software). Particularmente, considero extremamente difícil (para não dizer impossível) definir qual é o "melhor" cenário, tendo em vista a enorme quantidade de variáveis envolvidas no tema, entre elas:
1) Há diversos usuários que recentemente migraram do Windows para o Linux, não entendem praticamente nada de sistemas de arquitetura Unix e, por essas razões, possuem pouco ou absolutamente nenhum conhecimento que lhes possibilite configurar um firewall, seja no roteador ou no Linux.
2) Há roteador que possui firewall bom (bem completo), mas há roteador com firewall bem limitado (poucos recursos).
3) Não é todo mundo que configura por completo o firewall do roteador (mesmo quando o roteador possui um firewall bastante completo).
4) Se por um lado um firewall por software pode ser desconfigurado por um vírus presente em um sistema comprometido, por outro lado um usuário que use Linux em um dispositivo portátil (notebook, netbook etc.) pode acabar se conectando a uma rede wi-fi pública (em um shopping, aeroporto, rodoviária etc.) e daí o firewall por software será a única proteção do sistema dele contra aplicações maliciosas porventura em execução no computador que está servindo o acesso à web (servidor proxy dessa rede pública, por exemplo).
5) Caso a pessoa esteja usando o computador numa rede local (LAN) com vários computadores (em um laboratório de informática, por exemplo), o firewall do roteador pode não impedir certos tipos de ataque, já que "fecha" as portas acessadas por computadores remotos (na Internet, por exemplo) mas abre essas portas para os computadores que pertençam à mesma rede ou subrede desse roteador. Em casa eu uso 3 dispositivos na minha WAN (LAN sem fios), todos rodam o serviço SMB, mas estão com autenticação ligada e o firewall só permite passagem pelas portas TCP e UDP do serviço SMB nos endereços IP estáticos que reservei para os computadores que usam esse serviço. Isso evita que um dispositivo convidado (notebook de um colega ou vizinho que venha aqui em casa) consiga acesso indevido a algum dos meus outros dispositivos e os infecte com algum vírus, worm ou outro tipo de "malware".
6) Firewall por hardware não impede ataques quando o computador é um dispositivo móvel (tablet, por exemplo) e esse dispositivo móvel acessa a Internet via 3G ou 4G.
Como eu não conheço o perfil e nível de conhecimentos técnicos de todos os usuários que leem estes tópicos, não conheço os dispositivos que eles usam, não sei quais são as necessidades deles, não sei quais estão usando roteador ou conectando o computador diretamente a um modem sem firewall, quais estão acessando a Internet via rede móvel (3G, 4G...) etc., estou optando pelo modo "paranoid", que consiste em recomendar a solução mais segura com o menor nível possível de complexidade. E isso (na minha opinião, claro ;D) significa instalar o UFW (independentemente de o usuário possuir roteador com firewall ativo ou não), pois ao ser habilitado o UFW imediatamente muda para "DROP" ("ignorar") a política para todos os pacotes TCP e UDP de entrada (INPUT) e de encaminhamento (FORWARD). :)
No fim das contas, é mesmo uma questão de preferência pessoal. Mas, como há uma certa dose de responsabilidade em eu expor recomendações publicamente, optei por apresentar uma proposta genérica, que tende a favorecer a maioria. Digo: na pior das hipóteses, ativar o firewall por software não fará diferença nenhuma, e na melhor das hipóteses impedirá alguns ataques tanto dentro da própria rede local quanto em outros cenários possíveis (como no caso de ausência de roteador, acesso a uma rede pública ou acesso à Internet via rede móvel).
=> Alguns artigos que discutem um pouco esse tópico polêmico:
- https://www.infowester.com/firewall.php
- http://g1.globo.com/tecnologia/blog/seguranca-digital/post/pacotao-de-seguranca-firewall-no-roteador-e-como-funciona-uma-vpn.html
- https://www.tecmundo.com.br/seguranca/3329-como-funciona-o-firewall-.htm
- https://home.mcafee.com/advicecenter/?id=ad_ost_hvsf&ctst=1
-
OK, me convenceu, como sempre excelente análise. :)
Considerando a generalidade de usuários e o princípio da cautela, esse argumento foi decisivo:
"[...] por outro lado um usuário que use Linux em um dispositivo portátil (notebook, netbook etc.) pode acabar se conectando a uma rede wi-fi pública (em um shopping, aeroporto, rodoviária etc.) e daí o firewall por software será a única proteção do sistema dele contra aplicações maliciosas porventura em execução no computador que está servindo o acesso à web (servidor proxy dessa rede pública, por exemplo)."
-
OK, me convenceu, como sempre excelente análise. :)
Considerando a generalidade de usuários e o princípio da cautela, esse argumento foi decisivo:
"[...] por outro lado um usuário que use Linux em um dispositivo portátil (notebook, netbook etc.) pode acabar se conectando a uma rede wi-fi pública (em um shopping, aeroporto, rodoviária etc.) e daí o firewall por software será a única proteção do sistema dele contra aplicações maliciosas porventura em execução no computador que está servindo o acesso à web (servidor proxy dessa rede pública, por exemplo)."
Bacana. :)
Off-topic: um colega que usa Fedora está "sofrendo" com a instalação do Warsaw. Fui dar uma "espiada" e vi que o instalador do Warsaw via script (aquele arquivo "RUN") está mal configurado e não está dando certo (embora para o caso do Ubuntu o script RUN esteja corretamente configurado): no caso do Fedora, é necessário pegar o pacote RPM e instalar. Outro problema é que no Fedora o Firefox 51 (mesmo sem Java) não consegue usar websocket com o certificado autoassinado do banco: é necessário rodar sudo yum upgrade firefox no Fedora e reiniciar o computador, para que o Firefox seja atualizado para a versão 52 e daí consiga usar o websocket (com o certificado autoassinado que o Warsaw cria para que a conexão SSL seja possível). Também é necessário ativar a proteção SYN FLood, no Fedora, senão os pedidos do daemon /usr/local/bin/warsaw/core também não passam pelo firewall (ou os pedidos do servidor remoto não passam pelo firewall). Enfim: a comunicação full-duplex não ocorre.
Enfim: esse tal de "Warsaw" tem umas falhas de implementação para as distros Linux... A principal delas é esse problema com os pacotes TCP SYN. ::)
2h da madrugada. :o Hora de ir dormir. ;D Zzzz...
-
Pessoal, compartilho como superei algumas dificuldades, no meu Ubuntu 16.04.2 32bits com LXDE:
Ao executar o hda_bb *** a partir do xterm, como root *** vi mensagem de erro referente a nao localizar a biblioteca ld-linux-x86-64.so.2 Resolvi com:
#cd /usr/local/lib/warsaw
#ln -s ld-linux.so.2 ld-linux-x86-64.so.2
Em seguida, erro por nao existir o telnet; instalei-o.
Ao abrir novamente o hda_bb, soh havia o erro de socket, resolvi desabilitando o firewall
Nessa altura, a pagina http://www.dieboldnixdorf.com.br/warsaw dava como instalado e o teste do hda_bb tambem, apesar disso a pagina https://seg.bb.com.br/home.html dava como nao instalado.
Ignorei e entrei na pagina de empresas e gerenciador financeiro, que em um primeiro momento me deu como modulo nao instalado.
Apos alguns minutos, depois d'eu reiniciar o Firefox 52.0.2 (32bits), o gerenciador financeiro abriu, a despeito da https://seg.bb.com.br/ continuar com a informacao de modulo nao instalado.
Coletei as linhas de comando mais relevantes que usei:
#!/bin/bash -v
###*** usando xterm ***
#cd ~/Downloads
#sudo su
#apt-get install yad
#dpkg -i warsaw_setup.deb
#dpkg -i hda-bb_0.1_all.deb
#
#cd /usr/local/lib/warsaw
#ln -s ld-linux.so.2 ld-linux-x86-64.so.2
#ll /usr/local/lib/warsaw/ld-linux*
# -rwxr-xr-x 1 root root 147688 Jun 27 2016 /usr/local/lib/warsaw/ld-linux.so.2*
# lrwxrwxrwx 1 root root 13 Apr 11 17:29 /usr/local/lib/warsaw/ld-linux-x86-64.so.2 -> ld-linux.so.2*
#
# cd /home/users/bocca/
iptables -F
clear
cat /proc/sys/net/ipv4/tcp_syncookies
iptables -L -n
ps -A | grep -i core
hda_bb
-
Pessoal, estou com um problema similar ao encontrado por vocês no maldito socket aberto pelo warsaw, mas meu cenário é um pouco diferente.
Eu criei uma máquina virtual do Ubuntu bem simples com firefox no Virtualbox. Essa VM funciona muito bem e eu consigo acessar contas do BB e da Caixa quando o HOST também é uma máquina linux (meu cenário padrão).
No entanto, se eu rodar essa mesma VM numa máquina windows 10 (caso da minha namorada) nenhum dos bancos consegue carregar o modulo e os sintomas são os mesmos das portas bloqueadas. Não consigo fazer o telnet na mão, o diagóstico do BB diz que houve um erro de socket e por aí vai. A grande diferença é que nessa VM não há nenhum firewall configurado. Todas as portas estão abertas.
O que eu já tentei:
- Desligar o firewall do windows
- Mudar a rede do Virtualbox de NAT para Bridge e todas as outras opções
- Redirecionar a porta do host e do guest
- liberar o virtualbox no firewall
E nenhuma dessas ações resolveu o problema.
Vocês têm alguma sugestão?
-
Não é necessário instalar o HDA-BB.
Uma forma de realizar uma limpeza completa e reinstalação completa está publicada aqui:
http://ubuntuforum-br.org/index.php/topic,121558.msg668266.html#msg668266
Este é um fórum sobre Linux. Quem usa sistema Windows tem de ir a um fórum sobre Windows e reportar o problema, pois é lá que a pessoa encontrará outros usuários de Windows que porventura estejam passando pelo mesmo problema e de repente tenham uma solução específica para Windows.
-
Obrigado pela resposta, Sampayo.
Devido a natureza heterogênea desse cenário, me parece que esse é o melhor lugar para debater o tema mesmo.
Note que teu tenho:
- Linux guest > VBox > Linux Host (FUNCIONA)
- Linux guest > VBox > Windows Host (NÃO FUNCIONA)
Lembrando que o os firewalls dos guests e hosts estão desabilitados.
Independente de usar o hda ou instalar o warsaw diretamente, o problema do socket parece ser o mesmo e os sites do BB e Caixa não funcionam.
Eu imagino que mais pessoas estejam usando o VirtualBox para resolver esse problema de uma vez por todas e tenham caído neste tópico por sofrerem com os mesmos sintomas.
Pelo que li aqui, o problema é que no host windows ocorre:
~$ telnet localhost 30900
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
Enquanto no host linux:
~$ telnet localhost 30900
Connected to localhost.
Será que alguém tem uma sugestão?
-
Obrigado pela resposta, Sampayo.
Devido a natureza heterogênea desse cenário, me parece que esse é o melhor lugar para debater o tema mesmo.
Note que teu tenho:
- Linux guest > VBox > Linux Host (FUNCIONA)
- Linux guest > VBox > Windows Host (NÃO FUNCIONA)
Lembrando que o os firewalls dos guests e hosts estão desabilitados.
Independente de usar o hda ou instalar o warsaw diretamente, o problema do socket parece ser o mesmo e os sites do BB e Caixa não funcionam.
Eu imagino que mais pessoas estejam usando o VirtualBox para resolver esse problema de uma vez por todas e tenham caído neste tópico por sofrerem com os mesmos sintomas.
Pelo que li aqui, o problema é que no host windows ocorre:
~$ telnet localhost 30900
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
Enquanto no host linux:
~$ telnet localhost 30900
Connected to localhost.
Será que alguém tem uma sugestão?
Observe que o problema não está na máquina virtual, mas sim no sistema hospedeiro (host): quando o hospedeiro é Linux, funciona, mas quando o hospedeiro é Windows, não funciona. Portanto, a conclusão é que o problema está no Windows, não no Linux em execução na máquina virtual.
É por isto que a investigação tem de ser no Windows, não no Linux.
-
A situação é bem complicada. Fiz meu writeup aqui:
http://andreimikhailov.com/banco-do-brasil-online/index.html
Desculpem que é em Inglês... Vamos superar juntos!
-
Boa noite conseguiu resolver amigo? Caso sim, como conseguiu?
-
Boa noite conseguiu resolver amigo? Caso sim, como conseguiu?
http://ubuntuforum-br.org/index.php/topic,121558.msg668266.html#msg668266
-
Olá, para deixar registrado.
Quando o firefox deu a mensagem de erro ao acessar o BB fiz o seguinte:
1) baixei o warsaw em https://cloud.gastecnologia.com.br/bb/downloads/ws/warsaw_setup64.deb (https://cloud.gastecnologia.com.br/bb/downloads/ws/warsaw_setup64.deb)
2) fechei o firefox
3) no terminal instalei o libnss3-tools com sudo apt install libnss3-tools
4) ainda no terminal instalei o warsaw com sudo dpkg -i warsaw_setup64.deb
5) reiniciei o computador
Uso Firefox 53.0.3 (64-bit) e o Ubuntu 16.04.2 LTS
A página que li como referência foi a https://talesam.org/2017/03/14/instalando-o-modulo-de-seguranca-banco-brasil-warsaw/ (https://talesam.org/2017/03/14/instalando-o-modulo-de-seguranca-banco-brasil-warsaw/)
Boa sorte a todos!
Antônio
-
boa noite.
Só para deixar registrada a informação:
Esse programa de acesso bancário(warsaw, pelo menos do banco Itau), abre somente com seu cadeado, permitindo fazer transações bancárias, no navegador firefox, nos navegadores chrome, e opera, ele não funciona, aparece um cadeado aberto.Por quê , não sei.
-
Valeu Sampayu! Sua solução caiu como uma luva para meu problema com o warsaw na CEF, pena deixar o linux com o firewall vulnerável... Obrigado por compartilhar seu conhecimento!!
-
Valeu Sampayu! Sua solução caiu como uma luva para meu problema com o warsaw na CEF, pena deixar o linux com o firewall vulnerável... Obrigado por compartilhar seu conhecimento!!
De nada. :)