31/1/2002 - 22:34 Giordani Rodrigues

Foi descoberto um novo vírus, projetado para se espalhar por e-mail, que utiliza um falso alerta em nome da Microsoft para enganar os usuários. Batizado de W32/Whitebait.gen@MM pela McAfee, ele também tem a capacidade de instalar um programa que mostra imagens pornográficas e um trojan de acesso remoto no computador da vítima.

O Whitebait chega em uma mensagem que simula ter partido do endereço security@microsoft.com e traz o arquivo anexado "MSsecu.exe". A linha do assunto possui o texto "WARNING : Black_Piranha" e o corpo da mensagem está em francês. Veja abaixo uma cópia do e-mail:

From: security@microsoft.com
Subject: WARNING : Black_Piranha
Si vous pouvez lire cet e-mail, c'est que les services Microsoft on dTtecter la prTsence du virus Black_Piranha dans votre systFme Windows. pour dTsinfecter votre systFme vous n'avez qu'a exTcuter le programme en piece jointe. Pour plus d'informations : http://www.microsoft.com
Attachment: MSsecu.exe

O texto da mensagem está truncado, mas afirma que a Microsoft detectou a presença de um certo vírus "Black_Piranha" no sistema do usuário e o orienta a executar o anexo a fim de desinfectar a máquina. É claro que tudo não passa de um truque.

Se o usuário executar o arquivo, o sistema local é infectado e o arquivo Mssecu.exe é copiado para o diretório Windows. Este por sua vez, é um visor de imagens pornográficas, que aponta para um site na Holanda, conforme se vê na figura:


O Whitebait lança o worm principal e o componente do trojan no diretório do Windows, com o nome WINSYSTEM.EXE. Também cria uma chave de registro para que seja carregado quando o sistema é iniciado. Essa chave possui as seguintes características:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinSystem=
C:\WINDOWS\WinSystem.exe

O WinSystem coleta os endereços de e-mail encontrados nos arquivos .ASP, .HTM, .HTML, .PHP e README.TXT. Tais endereços deveriam passar a receber cópias do vírus, mas a McAfee informa que isto não é mais possível, pois o servidor de e-mail "smtp.wanadoo.fr", que deveria ser usado para este fim, foi retirado do ar. Os endereços são salvos no arquivo BDN.COM, localizado dentro do diretório Windows.

O vírus também atua como um trojan backdoor, "ouvindo" a porta 314 e enviando mensagens do endereço IP da vítima para o suposto autor, cujo endereço é "mister_314@pokelord.zzn.com".

A McAfee afirma que até o momento não recebeu nenhum relato sobre o Whitebait de seus clientes no Brasil, por
esse motivo o vírus está sendo considerado de baixo risco. Mesmo assim, a empresa recomenda que os produtos antivírus sejam atualizados semanalmente, além de estar configurados para proteção em arquivos compactados (Compressed Files).

31/1/2002 - 11:37 Giordani Rodrigues

A Microsoft acaba de lançar o Security Rollup Package 1 (SRP1), um grande pacote para corrigir falhas do Windows 2000. Segundo a companhia, o SRP1 "inclui a funcionalidade de virtualmente todos os patches de segurança do Windows 2000 distribuídos desde o lançamento do Service Pack 2 (SP2)", em maio de 2001.

O pacote inclui correções para o sistema operacional em si e para extensões do FrontPage Server, Netmeeting, serviços de Terminal, Hyperterminal, aplicações voltadas ao servidor IIS, e outras.

Algumas das falhas corrigidas com o pacotaço ficaram famosas no ano passado. Uma delas é a descrita no boletim MS01-033, a qual afeta os servidores IIS rodando em Windows NT 4.0 e 2000. Este bug, presente no serviço chamado Index Server (ou Indexing Service, dependendo da versão do sistema), permitiu que o vírus Code Red atacasse centenas de milhares de máquinas em poucos dias.

Para baixar o SRP1, clique aqui. Na mesma página encontram-se links para explicações mais detalhadas das atualizações presentes no pacote.

31/1/2002 - 8:24 Giordani Rodrigues

O Snort, um sistema de detecção de intrusões (IDS) bastante popular, apresenta uma vulnerabilidade que pode ser explorada remotamente e é capaz de travar o aplicativo. Caso consiga enviar com sucesso pacotes de dados especialmente preparados, um atacante pode fazer com que todas as funções de proteção do Snort sejam desabilitadas, até que o programa seja reinicado manualmente.

O primeiro indicativo da falha surgiu no dia 10 de janeiro, quando um usuário identificado por Sinbad enviou uma mensagem para a lista de segurança Bugtraq relatando o problema. No mesmo dia, Martin Roesch, criador do Snort, publicou a correção. Mas no início desta semana, a empresa Internet Security Systems (ISS) divulgou detalhes sobre o bug em um alerta que repercutiu na comunidade de segurança.

A falha ocorre no protocolo ICMP (Internet Control Message Protocol), uma extensão do protocolo IP (Internet Protocol) e que serve para gerar mensagens de controle e pacotes de testes dos sistemas. Uma das aplicações mais conhecidas do ICMP refere-se ao serviço conhecido por "ping", o envio e recebimento de pacotes para obtenção de informações sobre o fluxo de dados numa rede. Envia-se uma requisição (Echo Request) e recebe-se a resposta (Echo Reply). E é justamente nestas funções que está localizado o problema.

Se for enviado um pacote ICMP com menos de 5 bytes de tamanho, o Snort irá interpretá-lo de modo incorreto e deixará de funcionar temporariamente. Segundo a ISS, a versão 1.8.3 do programa e todas as anteriores são vulneráveis. O Snort está disponível para plataformas Unix, Mcintosh e Windows e todas seriam afetadas.

Martin Roesch não concorda com tudo o que está sendo dito depois da divulgação do bug e tem publicado comentários no site do Snort. Ele afirma que houve uma supervalorização do problema. Diz que a falha só ocorre na versão 1.8.3, não nas anteriores, e mesmo assim em situações especiais.

Também acha que está havendo muito alarde em torno do alerta da ISS. A empresa produz um sistema IDS concorrente, porém seu programa é pago, enquanto o Snort é um software de código aberto e gratuito. Além disso, o Snort foi considerado o melhor sistema em sua categoria, numa pesquisa feita no ano passado com 16 produtos de IDS, entre eles os da própria ISS, além de Cisco, Computer Associates, Symantec e outras.

Discussões à parte, o melhor é aplicar a correção do bug. Outra possibilidade é baixar a versão 1.8.4 do Snort, disponibilizada neste dia 30. Roesch porém informa que esta é uma versão beta e pode apresentar outros problemas. Algumas informações adicionais em português foram produzidas pelo Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Pesquisa, cujo alerta pode ser lido aqui.

31/1/2002 - 2:55 Redação InfoGuerra

A polícia paulista apreendeu embalagens para cartuchos de impressão HP feitos em uma gráfica, já prontos para estamparem suprimentos não originais da marca. Depois de operações bem sucedidas com a apreensão dos próprios cartuchos prontos para serem vendidos em Aracaju, Salvador e em São Paulo, desta vez a empresa envolvida foi a Gráfica Center Printer ABC, localizada em Santo André, região do ABC paulista.

A apreensão ocorreu no dia 21 de janeiro graças a uma operação conjunta entre a Central de Inteligência do Brasil (empresa que presta assessoria de segurança de marcas) e a polícia regional da cidade de Santo André. A falsificação de 200 invólucros prontos para servirem de embalagem para os cartuchos semelhantes aos originais HP foi registrada em um boletim de ocorrência feito na 42ª Delegacia de Polícia.

De acordo com Mônica Lopes, diretora geral da Central de Inteligência, falsificação de cartuchos é crime. A Gráfica Center Printer foi acusada de falsificação e os donos, presos em flagrante. "As principais vítimas desse tipo de falsificação são os órgão públicos, que compram grandes quantidades de cartuchos em licitações em que ganha quem tem o menor preço", comenta a diretora. As denúncias foram feitas na própria delegacia, por meio de uma ligação anônima.

Em outubro de 2001, a polícia já havia apreendido dezenas de cartuchos falsificados em Aracaju e, meses antes, foram encontrados cerca de 2 mil suprimentos ilegais na Secretaria de Educação de Brasília. Em dezembro do mesmo ano, milhares de produtos foram apreendidos em Salvador e centenas na capital paulista. Segundo a polícia da capital sergipana, as falsificações devem estar sendo feitas em São Paulo, Coréia e Taiwan.

30/1/2002 - 19:22 Giordani Rodrigues

O site Alldas.de traz informações diversas sobre segurança de sistemas, mas é conhecido principalmente por seu arquivo de espelhos (mirrors) de defacements, isto é, cópias dos sites desfigurados por piratas da Internet. Agora, o site tem um espelho de si próprio. O anúncio foi feito oficialmente em sua seção de notícias.

Para quem acessa o Alldas com freqüência, o motivo da decisão pode ser facilmente adivinhado: uma tentativa de evitar os constantes ataques que tem sofrido, o que faz suas páginas ficarem indisponíveis. "O espelho será sincronizado automaticamente com nosso site principal e esperamos com isso estar disponíveis em qualquer momento", diz a nota.

Os sites de mirrors sempre foram vistos como uma espécie de vitrine para os grupos de desfiguradores, pois os espelhos acabam perpetuando no tempo as alterações provocadas nas páginas atacadas. A incontinência destes mesmos grupos, no entanto, foi responsável pelo fechamento da seção de mirrors do Attrition no ano passado e, recentemente, do Safemode. Os operadores dos sites queixaram-se de ataques de negação de serviço e sobrecarga de trabalho.

Há quem comemore o fechamento destes sites, sob o argumento de que eles estimulam as invasões. Mas tal argumento é pouco sustentável. Deixar de registrar os ataques não os elimina, apenas os retira da vista do público. Prova disso é o que aconteceu depois que o Attrition, maior e mais conhecido site de sua categoria, deixou de produzir espelhos. Algumas pessoas chegaram a sugerir que os ataques iriam diminuir depois disso, mas ele continuaram aumentando no último ano.

Por outro lado, se os espelhos fornecem algum estímulo para os grupos, também são úteis como fonte de informação para profissionais de segurança, policiais e para a imprensa especializada. A análise estatística dos sites atacados mostra padrões de comportamento dos grupos, qual sistema operacional está sendo mais visado num determinado momento, em quais países os desfiguradores estão em maior atividade, e assim por diante.

Em tempo: o espelho do site Alldas.de está localizado na Holanda, é mantido pela empresa Cable & Wireless e pode ser visto em http://alldas.mirror.widexs.nl.

Leia também:

Site de espelhos Safemode encerra as atividades

Alldas.de sofre dois ataques DoS num só dia

Alldas.de sofre ataques DoS

Alldas.de é hackeado e registra a própria invasão

Attrition.org não vai mais registrar desfigurações de sites

29/1/2002 - 23:46 Giordani Rodrigues

O site de notícias sobre tecnologia Washtech.com, braço da edição online do jornal Washington Post, foi atacado na manhã desta segunda-feira por um grupo de crackers identificado como aCid fAlz. A informação foi confirmada pelo próprio site, que publicou a notícia do ataque.

Segundo o Washtech, os crackers fizeram a clássica desfiguração da página inicial, com críticas ao administrador do sistema pela falha na segurança e saudações aos amigos. O site ficou alterado por aproximadamente 20 minutos, e em seguida o servidor foi desligado. Cerca de duas horas mais tarde, estava novamente no ar, apresentando provisoriamente algumas manchetes e uns poucos links. O Washingtonpost.com roda em servidores separados e não foi afetado pelo ataque, de acordo com as informações divulgadas.

Os operadores do site não souberam identificar de imediato a brecha de segurança que propiciou o incidente. "Há certos ataques que ninguém consegue bloquear", disse em entrevista Allan Paller, diretor de pesquisa do SANS Intitute, conceituada organização de segurança. "Se seu pessoal não estiver absolutamente em dia com os últimos patches, o tempo todo, você será atingido".

"Isto acontece na Internet. Infelizmente aconteceu conosco", lamentou Valerie Voci, editora do Washtech.com.

29/1/2002 - 19:04 Giordani Rodrigues

Se você receber um e-mail falando de supostas fotos dos terroristas que atacaram o World Trade Center, tomadas minutos antes da tragédia, não clique no arquivo anexado. Se o fizer, sua máquina poderá ser infectada por um vírus.

A mensagem está em português, o que faz supor que o vírus foi criado no Brasil. O anexo foi nomeado como "World.exe". A linha do assunto traz os dizeres "Imagens Ineditas - World Trend Center - Eh um absurdo !!". O corpo da mensagem traz o seguinte texto:

So agora foi divulgado algumas imagens internas sobre o atentado ao World Trend Center, as fotos mostram exatamente o que estava acontecendo dentro da aeronave 03 (tres) minutos antes de se chocar contra a primeira torre. Eh impressionante o que os terrorista sao capazes de fazer quando a morte esta se aproximando deles. So veja as fotos se voce nao tiver problemas cardiacos, ou for maior de 13 anos.
Para ver as fotos siga os passos:
1 - Grave o arquivo WORLD.EXE no seu disco (arquivo compactado)
2 - Clique duas vezes no arquivo WORLD.EXE, automaticamente o mesmo irar extrair 05 arquivos jpg.
3 - Clique nas fotos e veja as senas absurdas.

A mensagem foi enviada a InfoGuerra na sexta-feira, dia 25, pelo estudante de Administração Marcelo Vardanega, de Curitiba. Desconfiado, ele queria saber se o arquivo executável World.exe era um vírus. "Mandei pra Symantec e disseram que não é. Da Central Command ainda não tive resposta", escreveu.

Testamos o arquivo com alguns antivírus atualizados e nada foi detectado. Como no dia 25 foi feriado em São Paulo (aniversário da cidade), não conseguimos fazer contato com as assessorias de imprensa das principais empresa antivírus no país. Mas ontem, a Central Command divulgou informações sobre o arquivo em seu site.

A empresa batizou o vírus com o nome de BDS/NETX e o classificou como um backdoor, isto é, um aplicativo que abre portas de comunicação na máquina da vítima. Tradicionalmente, os backdoors dão o controle do micro a um cracker, que consegue executar códigos e ataques variados, inclusive a outras máquinas.

A Central Command não forneceu maiores detalhes sobre a atuação da praga. Apenas informou que, caso o usuário clique no anexo, o BDS/NETX é instalado no diretório do Windows com dois nomes: NETX1.exe e MSWINSCK.EXE. Além disso, o diretório /~setup.t/ é criado no drive C, onde são descarregados os arquivos TEMPX.EXE e MSWINSCK.EXE. Com isso, o registro é modificado para que o programa seja executado cada vez que o PC é iniciado.

A mensagem que está circulando no Brasil também tenta enganar os usuários usando o endereço de e-mail "diario_folha@uol.com.br" com o nome "Folha Online", uma das edições eletrônicas do jornal Folha de São Paulo. O e-mail aparentemente é falso. Enviamos duas mensagens para o endereço, e ambas voltaram com a indicação de "usuário desconhecido".

"Não tenho contato algum com o pessoal da Folha, por isso achei mais estranho ainda", afirmou Marcelo Vardanega. "Não recebo nenhuma newsletter deles, nada".

29/1/2002 - 16:11 Giordani Rodrigues

Os já contestados cookies levaram mais um golpe com a divulgação de uma falha nos navegadores Netscape e Mozilla. O bug, descoberto por Marc Slemko, da equipe de segurança SecuriTeam, é muito fácil de explorar e permite roubar informações confidenciais dos usuários — tais como senhas—, que podem estar contidas nos cookies.

Slemko demonstrou que isso é possível apenas convencendo-se um usuário a clicar em um endereço Web especialmente preparado. Não é sequer necessário que a execução de scripts ativos esteja habilitada no navegador. Basta criar uma URL com dois domínios diferentes separados por um caractere nulo. Os cookies do segundo domínio serão enviados para o primeiro (que pode ser do atacante).

Os cookies são pequenos arquivos de texto, armazenados nos computadores de quem visita sites na Internet. Neles é possível guardar informações, principalmente o nome de usuário e sua senha, a partir do que se tem acesso a cadastros mais completos. Largamente usados em sites de comércio eletrônico, são apresentados pelas empresas como uma forma de facilitar e personalizar a navegação, já que os internautas não precisam digitar sempre os mesmos dados.

Há muito tempo, porém, os cookies são a peça central de uma discussão entre defensores da privacidade e empresas interessadas em coletar informações sobre os hábitos online de seus usuários. Normalmente foram considerados seguros, já que teoricamente só poderiam ser acessados pelos servidores dos sites que os geraram. Mas este cenário começou a mudar no final do ano passado, quando foi descoberta uma falha no Internet Explorer, que também permite que os cookies sejam roubados.

"Como já foi mostrado repetidamente, há muitas falhas de segurança em muitos produtos da Microsoft. Infelizmente, elas estão longe de ser únicas. Quase com certeza não há nenhum navegador Web funcional o suficiente para abrir um percentual significativo de sites populares e que não tenham brechas de segurança similares", opina Slemko. Na página em que descreve o bug, o especialista colocou um exemplo de seu funcionamento.

A falha foi confirmada pela Netscape, mas a empresa afirma que ainda não recebeu nenhum relato de que o problema já esteja sendo explorado. As versões anteriores ao Netscape 6.2.1 e Mozilla 0.9.7 são afetadas. O Netscape Communicator versões 4.x não demonstrou ser vulnerável.

O Netscape 6.2.1, que está livre do bug, pode ser baixado na seção de downloads da Netscape. No caso do Mozilla, um navegador de código aberto cujo desenvolvimento já foi feito em conjunto com a Netscape, a versão não vulnerável (0.9.7) pode ser encontrada aqui.

Leia também:

Falha grave no Internet Explorer expõe dados dos usuários

29/1/2002 - 8:06 Redação InfoGuerra

Não há dúvida de que deve, segundo a opinião de três quartos dos leitores de InfoGuerra. Quase 3 mil pessoas clicaram na enquete com o título acima, e dessas 1565 votaram. De todas as respostas, a mais votada foi a alternativa "b": "Sim, a sociedade deve saber". Foram 624 votos, ou 39,87% das respostas.

"Sim, ajuda a trazer soluções", foi a segunda alternativa mais votada, com 570 indicações, ou 36,43% das respostas. Um total de 76,3% das pessoas apóia a divulgação dos incidentes de segurança, por um motivo ou outro.

Entre as respostas negativas, a mais escolhida foi a primeira. Na opinião de 255 pessoas (16,29%), divulgar as ações dos chamados hackers (ou mais adequadamente, dos crackers)serve apenas como estímulo para que continuem no mesmo rumo. Além disso, 63 leitores (4,03%) consideraram que a divulgação leva outras pessoas a praticarem os mesmos crimes. Portanto, 20,32% das pessoas acha que a imprensa não deve trazer a público as invasões de sitemas. Houve ainda uma margem de 53 votos (3,39%) de pessoas que tinham dúvidas ou não sabiam como se posicionar diante da questão.

Alguns leirores, além de votarem, também resolveram deixar sua opinião escrita. Abaixo reproduzimos os comentários de dois deles, um a favor, outro contra a divulgação:

"Todos os usuários da área de informática devem estar cientes dos acontecimentos do mundo da tecnologia. Se o fato é positivo, será um aprendizado a mais; se for negativo, servirá como forma de prevenção e medidas para solucioná-lo".
Prof. Bira - EDUTEC/RJ
prof.bira.rj@bol.com.br

"Não deve ser divulgado, pois de um modo geral é puro exibicionismo, uma versão moderna dos 'pixadores' querem seus 10 minutos de sucesso como diria Andy".
Não identificado

29/1/2002 - 6:08 Redação InfoGuerra

A partir de hoje estaremos apresentando as primeiras de uma série de mudanças que estão planejadas para o site InfoGuerra. Os dez vírus mais ativos do mês - que por meses foram obtidos do ranking da Sophos - deram lugar a uma nova tabela, fornecida pela Trend Micro, com atualização automática e diária. A enquete também foi extinta. Agora temos ofertas de produtos de informática do Mercado Livre. E os nossos boletins, desde a semana passada, começaram a ser enviados diariamente, de segunda a sexta-feira.

Além dos vírus mais ativos, a atual tabela traz todos os novos vírus detctados pela Trend Micro. Junto ao nome de cada vírus há o link para as informações correspondentes. Há ainda um mecanismo de busca de vírus e link para a seção dos (sempre presentes) hoaxes.

A parceria com o Mercado Livre também veio trazer mais dinamismo ao nosso site. São milhares de produtos exclusivamente de informática, apresentados num esquema de rodízio. Praticamente a cada visita o internauta verá novas ofertas. De acordo com sua página de apresentação "o MercadoLivre.com é o site líder de compras e vendas para comunidades de língua espanhola e portuguesa na América Latina e opera nos principais países do continente. Desde outubro de 2001, é a empresa sócia exclusiva do eBay para a região. A partir de agosto de 2001, tanto Media Metrix como iBope/Nielsen eRatings têm apontado o MercadoLivre como o primeiro site de leilões no Brasil".

Nesta semana, também fechamos um acordo com a empresa MeuGrupo para distribuição de boletins diários sobre segurança a seus usuários, uma comunidade de cerca de um milhão de pessoas atualmente, segundo dados da empresa. A parceria estava em testes desde o ano passado. Agora os boletins começaram a ser enviados e esperamos dobrar em um mês o número total de assinantes que recebem nossos informativos. A oferta de assinaturas em parceria com o MeuGrupo é mais uma alternativa às nossas assinaturas próprias, que são feitas de forma independente.

Nos próximos dias, outras novidades serão apresentadas. Estamos investindo em informações e serviços antivírus, o que inclui programas gratuitos para detecção e desinfecção das pragas. Dessa forma, o leitor de InfoGuerra poderá, sem sair do site, ficar bem informado e contar com recursos para tornar sua máquina mais segura.

28/1/2002 - 21:03 Giordani Rodrigues

Foi descoberta uma falha no Real Player capaz de travar o programa ou mesmo permitir que um usuário mal-intencionado execute arquivos arbitrários na máquina atingida. Esta possibilidade é perigosa, pois abre brechas para ataques mais sofisticados. O Real Player é um software para reprodução de arquivos de áudio e vídeo largamente utilizado em todo o mundo. A RealNetworks, responsável pelo utilitário, lançou uma correção para o bug na sexta-feira passada.

De acordo com Tim Morgan, descobridor do problema, a falha se encontra na forma como o programa manipula os dados presentes no cabeçalho dos arquivos a serem reproduzidos. Uma pequena modificação desses dados pode fazer com que a área de memória (buffer) onde são armazenados interprete o tamanho do arquivo de forma errada, o que provoca o travamento do Real Player. Dependendo da manipulação dos dados, é possível fazer o programa executar códigos de escolha de um atacante.

A RealNetworks confirmou a existência da falha, mas afirmou que ainda não recebeu nenhum informe de que alguém tenha sido atacado por este método. Para Tim Morgan, no entanto, isto é "apenas uma questão de tempo".

Várias versões do Real Player, para sistemas Windows e Unix, são afetadas, incluindo a versão 8 (atual). Os usuários de versões mais recentes podem aplicar a correção por meio do serviço AutoUpdate. Quem utiliza as versões 7 e G2 deve fazer um upgrade para a versão 8. Usuários de Linux podem atualizar o software diretamente no site da empresa. Os patches para Solaris e HP-UX deverão ser lançados esta semana. Maiores informações podem ser encontradas nos avisos da RealNetworks e da equipe Sentinel Chicken Network , à qual pertence Morgan.

28/1/2002 - 17:09 Giordani Rodrigues

A empresa russa Kaspersky divulgou novas informações sobre o vírus Myparty, que está se espalhando rapidamente pelo mundo. De acordo com a Kaspersky, além de enviar cópias de si mesmo para endereços de e-mail encontrados no computador infectado, o Myparty também instala um backdoor, programa espião para controle remoto não-autorizado. Dessa forma, um malfeitor pode ganhar acesso total ao PC da vítima.

O backdoor só é instalado nas versões NT, 2000 e XP do Windows. O programa se origina do arquivo auto-executável de nome msstask.exe, criado em "Menu Iniciar\Programas\ Iniciar". Os dados que fazem o backdoor funcionar estão armazenados no site http://209.151.250.170.

A Kaspersky também informa que o vírus irá cessar sua atividade amanhã. A empresa diz que o Myparty só funciona de 25 a 29 de janeiro de 2002, em computadores que não tenham o teclado com suporte para o idioma russo.

Aparentemente, o vírus foi criado na Rússia, o que leva a crer que a pessoa que o projetou não quis prejudicar seus compatriotas. A companhia confirmou que, sob certas condições, o vírus abre o site da Disney (www.disney.com).

O Myparty age enviando cópias de si mesmo para todos os endereços encontrados no Windows Address Book (WAB) e nas pastas do Outlook Express contendo arquivos com extensão .DBX. Isto pode provocar congestionamento de redes. A maior novidade da praga é o fato de vir em um arquivo executável compactado e renomeado para www.myparty.yahoo.com , dando a impressão de ser o endereço de um site.

"Esta é definitivamente uma nova técnica para enganar os usuários, empregada unicamente pelo 'Myparty' e que já causou uma série de infeções. O resto do programa é um clássico worm de Internet, que não é diferente de centenas de worms similares", afirmou Denis Zenkin, chefe de da assessoria de comunicação da Kaspersky. "Este caso mais uma vez confirma que nem tudo que começa com 'www'e termina com '.com' é um site".

A MessageLabs, que monitora e-mails em busca de vírus, aumentou o grau de risco do Myparty para alto. A empresa já detectou cerca de 3,5 mil amostras do vírus nas últimas 24 horas, em 56 países. Os mais atingidos neste momento são Grã-Bretanha, Estados Unidos e Itália.

Para saber mais sobre esse vírus, clique no link abaixo:

Vírus Myparty faz a festa na Internet

28/1/2002 - 17:02 Giordani Rodrigues

É incrível a quantidade de pessoas que ainda cai no velho truque do "clique aqui e veja esta foto" e tem seu computador infectado por um vírus. Prova disso são os alertas sobre o novo vírus W32/Myparty@mm divulgados pela maioria das empresas antivírus na manhã desta segunda-feira. Com o auxílio dos usuários, a praga está se espalhando rapidamente por várias partes do mundo.

Segundo a MessageLabs, Myparty ("minha festa", em inglês) foi o vírus mais detectado nas últimas 24 horas, com mais de 2,1 mil casos registrados, superando campeões de infecção como o BadTrans-B e o Sircam-A. A empresa já localizou o vírus em 40 países, sendo os mais atingidos os Estados Unidos, a Coréia do Sul e Singapura, nessa ordem.

Apesar de toda essa atividade, o Myparty não faz uso de nenhuma inovação tecnológica. Pelo contrário, suas características são extremamente corriqueiras. A maior novidade é o arquivo anexado que ele traz, o qual foi nomeado para parecer o endereço de um site na Internet. Mas o principal motivo pelo qual o vírus está se propagando é mesmo a boa-fé dos internautas, ao clicar nesse anexo.

O Myparty chega em uma mensagem de e-mail com as seguintes características:

Assunto: new photos from my party! (novas fotos de minha festa!)

Corpo da mensagem:
Hello!

My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

(Olá! Minha festa...foi absolutamente incrível! Eu anexei minha página Web com novas fotos! Se puder por favor imprima cópias coloridas de minhas fotos. Obrigado!)

Arquivo anexado: www.myparty.yahoo.com (possui 29.696 bytes e vem comprimido pelo utilitário UPX)

Se o usuário clicar no anexo, o vírus irá procurar por endereços de e-mail no Windows Address Book (WAB) e em arquivos com extensão .DBX, usados pelas pastas do Outlook Express. Em seguida, irá enviar uma cópia de si mesmo a estes endereços, com exceção do endereço do próprio usuário cujo PC foi infectado.

Basicamente, o Myparty é um "mass-mailer", isto é, tem a capacidade de enviar e-mails em massa e congestionar as redes. Para tanto, possui seu próprio mecanismo para envio de mensagens (SMTP).

As empresas ainda estão fazendo análises mais detalhadas do vírus. Aparentemente, ele não é destrutivo. A Sophos informa que ele envia uma mensagem para o endereço napster@gala.net a cada infeção, como forma de rastrear sua atividade. Aparentemente, também abre uma página que aponta para o site da corporação Disney, segundo a F-Secure.

O Myparty está sendo considerado de médio risco por enquanto. A Symantec, cuja classificação de risco é baseada em números, coloca o vírus na posição 3 em uma escala que vai até 5. Empresas como McAfee, F-Secure, Symantec e Trend Micro já desenvolveram vacinas para o vírus.

Leia também:

Vírus Myparty instala programa espião

25/1/2002 - 17:45 Giordani Rodrigues

O site britânico de tecnologia Silicon.com trouxe uma reportagem esta semana expondo a preocupação que o "Draft Communications Data Protection Directive" está causando em provedores europeus e na "Interactive Advertising Bureau" (IAB), uma organização sem fins lucrativos sobre as melhores práticas para a publicidade online e interativa. A preocupação da IAB é com a cláusula 15 da diretiva, que obriga os provedores a reter dados dos internautas para fiscalização pelo governo.

Segundo a reportagem, as opiniões são de que o medo do terrorismo está fazendo com que as leis sejam aprovadas sem a devida análise das conseqüências. "A luta global contra o terrorismo está sendo usada como justificativa para precipitar a legislação na Europa", disse uma porta-voz da IAB.

O presidente da organização, Danny Meadows-Klue, considera que a proprosição atual das leis (chamadas eufemisticamente de "proteção" a dados eletrônicos) é "simplesmente a mais orwelliana já proposta", em referência a George Orwell, criador do personagem Big Brother, "aquele que tudo vê", no livro 1984.

A cláusula 15 da lei, que deverá ser posta em prática em abril próximo, inclui uma linha que "encoraja membros do Estado a emitir mandados de retenção de dados dos provedores, se isto for justificado por questões de segurança nacional", segundo o Silicon.com.

David Smith, assistente da Comissão de Informação européia discorda da IAB. Para ele o artigo 15 apenas esclarece o que a lei de proteção de dados de 1995 já propunha. Ele afirma que as leis antiterroristas no Reino Unido também pedem ao governo que crie nos próximos 12 meses um código para regular as prática de retenção dos dados dos provedores. "Nossa preocupação é que os períodos de retenção sejam curtos e harmônicos em toda a Europa, para não prejudicar provedores isolados".

25/1/2002 - 13:47 Giordani Rodrigues

O site da prefeitura de Santo André foi atacado na madrugada de hoje por crackers que se identificaram por *AkUmA* e B@boo. Aproveitando a comoção nacional pelo seqüestro e morte do prefeito daquela cidade, Celso Daniel, os piratas desfiguraram o site e escreveram protestos contra a violência.

"Venho por meio deste defaced protestar contra a violência no país (...) aposto que dentro das instituições que cuidam da nossa segurança deve ter mais bandido do que na rua", dizia um trecho das mensagens. "Celso Daniel Você era honesto e talvez por isso morreu!", lia-se em outro.

No final, os pichadores citam frases sobre a soliedariedade entre os povos, retiradas de um artigo de Carlos Drummond de Andrade, intitulado "Organiza o Natal".

O site da prefeitura de Santo André já voltou ao normal. O episódio da morte de Celso Daniel domina a página inicial, com links para informações sobre a vida do ex-prefeito, para a missa em sua memória e o luto oficial de sete dias iniciado no dia 20, além de um ato ecumênico em favor da paz.

Veja como ficou o site alterado, clicando no espelho registrado por Alldas.de.

25/1/2002 - 1:47 Giordani Rodrigues

A Maple Informática, representante no Brasil do Command AntiVirus, lançou o Command On Demand (COD), um verificador de vírus online, gratuito e em português. O COD rastreia todos os drives do computador em busca de vírus, worms e trojans e tem a capacidade de verificaar arquivos compactados.

O produto não desinfecta os arquivos que estiverem contaminados, mas serve para auxiliar internautas que necessitem de uma ajuda imediata para detectar se sua máquina está limpa de pragas virtuais. O fato de ser totalmente em português é uma real vantagem, pois poucos antivírus de porte oferecem essa opção. Uma outra vantagem dos antivírus online, de qualquer marca, é que eles estão sempre atualizados.

Recentemente, a especialista em vírus Mary Landesman publicou um artigo sobre os resultados de um teste feito com os 20 principais antivírus disponíveis no mercado, no qual o Command AntiVirus ficou entre os cinco primeiros. Os outros quatro foram: F-Prot para Windows, Panda Platinum, Norton 2002 e Norman Virus Control.

O teste foi feito pela organização alemã AV-Test.org, que utiliza dois critérios de avaliação. Um é a WildList, usada pela maioria das agências certificadoras e que lista os vírus que estão "in the wild", ou seja, espalhados pelo mundo. O outro é um "zoológico" particular de vírus. Os cinco primeiros colocados detectaram 100% dos vírus da WildList e pelo menos 97% do zoológico. O Command detectou 100% e 99,31%, respectivamente.

Para usar o COD, clique em www.maple.com.br/cod/index.htm.

24/1/2002 - 22:40 Giordani Rodrigues

O responsável pelo site Safemode.org, cujo apelido é Zillion, enviou nesta quinta-feira um comunicado aos assinantes de sua lista declarando que não mais vai produzir cópias de desfigurações de sites, os chamados espelhos (mirrors). Segundo Zillion, a atividade não lhe dá mais prazer como antes. "Este site está absorvendo todo o meu tempo livre e minha energia, e tem uma influência negativa na minha vida pessoal", desabafou.

O principal motivo de sua decisão foi o crescimento exagerado de ataques nos últimos meses. Zillion diz que, no começo, produzir mirrors era "excitante e sempre especial de certo modo" e que, até um ano atrás, o volume de desfigurações era baixo o suficiente para que ele apreciasse o que fazia. Mas agora, quando abre seu programa de e-mail pela manhã, há de 100 a 150 mensagens, todas informando sobre sites alterados.

Ele também enumera outros inconvenientes: desfiguradores que enviam e-mails dos próprios sistemas hackeados; notificações de ataques em massa enviadas em dezenas de e-mails diferentes, de modo a aumentar a quantidade de referências a um determinado grupo; informações sobre falsos defacements; mail bombs (um volume enorme de mensagens enviadas de uma só vez); e outros.

As novas leis sobre cibercrimes também influenciaram sua decisão. "Rodar um site de espelhos sem quebrar nenhuma destas leis, se isso é possível, requer muita disciplina e elimina o elemento diversão".

Durante anos, o Safemode foi um dos sites mais procurados por desfiguradores que queriam mostrar o resultado de seu "trabalho", ou por pessoas interessadas em obter informações sobre os sites atacados. O mais conhecido de todos, Attrition.org, também deixou de registrar espelhos, no ano passado. E as razões apresentadas pela equipe do Attrition e por Zillion foram muito parecidas.

Leia também:

Attrition.org não vai mais registrar desfigurações de sites

24/1/2002 - 19:48 Giordani Rodrigues

O boletim de notícias da Sophos distribuído hoje alerta os usuários de computador para uma nova onda de mensagens sobre falsos vírus que está circulando pela Internet. Um destes boatos (hoaxes) diz que o usuário pode receber um e-mail intitulado "FluXoR", contendo um vírus muito perigoso que se espalha para os contatos de sua lista de e-mails. A mensagem recomenda que as pessoas apaguem todos os endereços do catálogo de e-mails para evitar a disseminação do suposto vírus, o que obviamente não deve ser feito.

O e-mail afirma que o Fluxor tem capacidade de se executar automaticamente, à semelhança do BadTrans. Para isso, utilizaria uma falha do Outlook (a falha explorada pelo BadTrans atinge o Outlook, mas na verdade é do Internet Explorer). A mensagem alarmista traz palavras em letras maiúsculas, diz que o vírus é extremamente destrutivo, que sua existência foi anunciada pela Microsoft e que não há vacina para ele. Ingredientes clássicos de um hoax.

A Sophos aconselha os usuários que receberem e-mails semelhantes que simplesmente os apaguem, "pois eles desperdiçam tempo e recursos". Além disso, a empresa publicou recomendações para evitar que os hoaxes se espalhem em ambiente corporativo. Uma boa política, de acordo com a Sophos, é nomear um responsável pela segurança das empresas e elaborar um comunicado que deve ser enviado a todos os funcionários.

Tal comunicado deve frisar que nenhum alerta sobre vírus, qualquer que seja, deve ser repassado para ninguém, a não ser para o responsável pela segurança. Mesmo que os alertas "venham de um fabricante de antivírus, ou tenham sido confirmados por qualquer grande companhia de informática, ou por seu melhor amigo", segundo o exemplo fornecido.

Veja abaixo a reprodução do hoax sobre o falso vírus Fluxor, de acordo com as informações da Sophos:

fluxor - a new virus!

Warning! A new virus has been discovered. It comes in a E-mail titled FluXoR, DON`T open it. If you do that your computer will be infected by it, because it uses a hole in Outlook express, like the well known virus named 'Badtrans'.

If your computer gets infected by the virus, it will DECEASE all the website's you will be visiting after You have been infected as well as it attacks your autoexec.bat file! It spreads to all the people in your address book, so its a good idea to delete all the persons in your adress book, so it dont spreads To your friends and family members... Microsoft has annoucned it to be EXTREMELY destructive! NO and i repeat NO antivirus can detect it so the only way to get rid of it is simply....FORMAT YOUR HDD AND PRAY!!

- PLEASE send this mail to ALL your friends and family members, so they know about this new virus!

24/1/2002 - 14:21 Giordani Rodrigues

Uma série de ataques de negação de serviço (DoS) obrigou o provedor britânico Cloud Nine (C9) a transferir suas operações para outra empresa, de acordo com uma nota oficial reproduzida hoje pelo site ISPReview, um fórum de discussões que acompanha o dia-a-dia de provedores e internautas do Reino Unido.

A primeira decisão do C9 tinha sido simplesmente a de fechar as portas. Na sexta-feira passada, a empresa publicou um comunicado dizendo que estava sendo vítima de um ataque tão violento que havia destruído seu firewall. Há dois dias, o C9 divulgou outra nota anunciando que a situação tinha chegado a um ponto tão crítico — os servidores Web e de e-mail estavam inoperantes — que a saída seria encerrar suas atividades.

Imediatamente, outros provedores se ofereceram para prestar ajuda aos clientes da empresa. Um deles, V21, fez uma oferta de compra que pareceu satisfatória aos executivos do C9. O acordo seria fechado em 24 horas. Mas hoje pela manhã, o C9 anunciou a venda para o provedor Zetnet.

O V21 protestou e prometeu processar a empresa. Esta respondeu dizendo que, depois da oferta inicial, o V21 esfriou as providências para transferência dos serviços, o que deveria ser feito com urgência na atual situação. O impasse continua, mas uma coisa é certa: as operações do provedor irão mudar de mãos depois dos ataques.

O C9 é um provedor popular no Reino Unido. Oferece serviços de acesso discado e de banda larga. Emeric Miszti, Chief Executive Officer do C9, fez questão de eliminar rumores de que a companhia estava à beira da falência. "A companhia é solvente, mas se uma venda dos equipamentos não puder tomar lugar rapidamente, um administrador terá de ser apontado", disse na nota que anunciava o fechamento da empresa.

Segundo uma reportagem do site The Register, o C9 possuía um seguro contra desastres, mas a apólice não cobria os custos de uma reconstrução da rede, como será necessário agora.

Ataques DoS acontecem quando um grande número de pacotes de dados é enviado a um servidor, sobrecarregando-o e impedindo seu funcionamento normal. Ainda não se sabe quem está por trás dos ataques ao C9, nem quais são seus motivos.

23/1/2002 - 21:27 Giordani Rodrigues

O servidor que hospeda o site de tributos municipais da prefeitura de Montevidéu, capital do vizinho Uruguai, amanheceu alterado hoje por ação do grupo de crackers brasileiros Brazil Hackers Sabotage (BHS). O site traz informações sobre várias tarifas urbanas, entre as quais a imobiliária, de saneamento e de manutenção de cemitérios. O contribuinte fornece os números das contas e obtém os dados desejados.

A página principal passou a apresentar a figura de uma bandeira do Brasil sobre a sigla BHS e a assinatura de TuK, um dos integrantes do grupo. Segundo informações de Alldas.de, que registrou o ataque, o site roda o sistema operacional AIX, da IBM, e um servidor Web Oracle.

Um outro servidor AIX atacado pelo grupo foi o do site do projeto Metropoa, de Porto Alegre, Rio Grande do Sul, mais especificamente o da Pontifícia Universidade Católica (PUC-RS). Até aproximadamente as 20 horas de hoje a página continuava alterada pela ação dos crackers.

Pouco antes disso, InfoGuerra fez contato com Paulo Lomando Nunes, um dos coordenadores do projeto Metropoa, rede metropolitana de alta velocidade criada pelo governo federal em universidades de capitais brasileiras, com vistas ao desenvolvimento da Internet 2. Nunes tinha acabado de chegar de viagem e ainda não sabia do ataque. No momento do fechamento desta matéria, o site estava fora do ar e não tinham sido fornecidas informações mais detalhadas sobre o episódio.

Desde meados de agosto do ano passado, quando o extinto site sul-africano hack.co.za publicou dezenas de exploits para AIX, produzidos pelo grupo polonês Last Stage of Delirium (LSD), cresceu a olhos vistos o número de máquinas atacadas rodando este sistema. Basta ver estatísticas como as de Alldas.de.

De junho de 2000 até 17 de agosto de 2001, mais de um ano portanto, 15 sites rodando AIX tinham sido desfigurados — cerca de um por mês. Hoje, cinco meses depois, este número já havia saltado para 174, o que dá uma média próxima de um site desfigurado por dia desde então.

O espelho do ataque ao site da prefeitura de Montevidéu pode ser visto aqui, e o do projeto Metropoa PUC-RS, aqui.

Leia também:

Sistema operacional AIX na mira de desfiguradores

23/1/2002 - 19:04 Giordani Rodrigues

O site Incidents.org, pertencente à organização internacional de segurança SANS Institute, revelou que o número de envio de pacotes de dados à porta 6112 aumentou dramaticamente nas 24 horas anteriores ao dia de ontem, 22. Os dados foram fornecidos pela organização DShield.org, que monitora redes em busca de ataques. A porta 6112 é usada pelo serviço chamado dtspc, no qual foi descoberta uma falha que atinge vários servidores Unix e Linux.

A vulnerabilidade foi divulgada inicialmente há cerca de dois meses. Mas na semana passada, o CERT Coordination Center publicou um alerta, baseado em informações do projeto Honeynet, de que estavam circulando pela Internet programas para invasão (exploits) de servidores Solaris, da Sun Microsystems, os quais estão vulneráveis à falha.

O problema reside no serviço dtspcd presente na interface gráfica para desktop chamada CDE (Common Desktop Environment). O serviço é destinado a manipular requisições remotas e executar tarefas pela Internet. Um arquivo compartilhado de biblioteca usado pelo dtspc pode provocar um estouro de memória (buffer overflow) do sistema, se forem enviados pacotes de dados convenientemente construídos, permitindo acesso total (root) à máquina comprometida.

Os informes dão conta de que existem exploits com variados estilos e nomes, sugerindo que os ataques estão partindo de diferentes lugares. Os dados indicam que as máquinas estão sendo comprometidas e nelas estão sendo instalados backdoors, programas que criam em um sistema portas de acesso não-autorizado permanentemente abertas. Ainda não há indícios da existência de worms explorando a vulnerabilidade.

Apesar de o CERT ter mencionado exploits apenas para o Solaris, produtos de empresas como IBM, HP, Caldera, Compaq e outras também estão vulneráveis. Aconselha-se que as correções sejam aplicadas o quanto antes. As correções para várias versões do Solaris podem ser encontradas aqui.

Maiores informações podem ser encontradas no alerta do CERT e na página do projeto Honeynet contendo uma cópia dos pacotes executados por um dos exploits.

23/1/2002 - 14:52 Giordani Rodrigues

A empresa Cylant Technology lançou um novo desafio aos hackers e crackers de plantão. Quem invadir um servidor especialmente preparado para isso leva US$ 5 mil (cerca de R$ de 12,5 mil). A máquina roda o sistema operacional Linux Red Hat 6.2 e tem todas as configurações de segurança instaladas no nível mínimo, porém está protegida pelo software de detecção de intrusões (IDS) CylantSecure.

O vencedor deverá ganhar acesso de administrador no servidor, criar uma página com seus dados e enviar as informações à Cylant. Ataques DoS estão proibidos e rastreamento de portas (port scan) podem ser punidos com o banimento. A empresa afirma também que ataques não permitidos ao servidor preparado ou à sua rede serão levados à justiça.

Se o IDS detectar um ataque permitido, o atacante será desconectado por cinco minutos e poderá fazer novas tentativas depois. Os números IP dos atacantes que forem definitivamente banidos são publicados em uma página.

Desafios como este são uma forma bastante vantajosa para as empresas testarem a segurança de seus produtos. Há concursos que oferecem muitas vezes mais do que os US$ 5 mil da Cylant, e mesmo assim ainda pode sair uma bagatela, em comparação com o que uma empresa de segurança poderia gastar mais tarde, em um ataque real, quando seu produto já estivesse disseminado no mercado.

Apesar dessa vantagem, tais desafios também agradam a uma parte da comunidade de hackers e crackers, que podem ganhar um dinheiro extra legítimo fazendo o que mais gostam. Maiores informações podem ser encontradas na página http://victim.cylant.com.

23/1/2002 - 13:19 Redação InfoGuerra

O site CNOL, de conteúdo político, divulgou informações de que recebeu várias mensagens de e-mail durante a madrugada desta terça-feira, ameaçando políticos do Partido dos Trabalhadores (PT). Segundo o CNOL, as mensagens começaram a ser enviadas às 00h12 e terminaram às 02h45. As ameaças foram dirigidas à senadora Heloisa Helena (PT-AL), à deputada Thelma de Souza (PT-SP) e aos deputados federais José Dirceu, presidente nacional do PT e José Genoino, candidato ao governo de São Paulo.

Os e-mails foram supostamente enviados pela Força Armada Revolucionaria Brasileira (FARB), organização extremista que estaria reivindicando participação no seqüestro e assassinato do prefeito Celso Daniel, do PT de Santo André. O diretor do CNOL disse que os números IP, que servem para identificar usuários da Internet, foram rastreados, e que estão sendo colhidas informações sobre o domínio Farb.com, de onde partiram as mensagens.

O site HotBits também publicou uma notícia com links para mensagens ameaçadoras de um outro grupo chamado FARB, mas cuja sigla significa "Força de Ação Revolucionária Brasileira". As mensagens foram postadas no suposto site da organização e no Indymedia, site de mídia independente.

O CNOL divulgou o teor de alguns dos e-mails, incluindo um enviado no dia 19, provável data em que Celso Daniel foi assassinado. Veja abaixo a reprodução dos textos, escritos de modo apressado e contendo vários erros de linguagem:

1) Mensagem enviada no dia 19/01/2002, às 23h32, de farb@farb.com para dep.josedirceu@camara.gov.br, com o assunto "comunicado da farb":

senhor presidente do pt jose dirceu comunico a vossa excelencia quer estamos com o prefeito de santo andre iremos libertar deste quer cupra as nossas exigencias 1 queremos quer esse emil seja divulgado pra toda imprensa 2 queremos quer o senhor presidente do brasil reconheca a farb queremos quer ele fale em rede nacional quer a farb existe ou quer ele mande emil pra todos os jornais reconhecendo as farb 3 quer o presidente de honra do pt luiz inacio lula da silva var numa emissora de tv e radio pra reconhecer a farb e ler essa mensagem e quer essa mensagem seja entregue pra as seguintes autoridade governador de sâo paulo ministro da justica e presidente do brasil.

2) De farb@farb.com para dep.josegenoino@camara.gov.br, com o assunto "comunicado da farb":

"seu fim estar proximo voce vai morre voce nâo e a prova de bala voce vai morre voce e todos os traidores do pt sua estar proxima deputado."

3) De farb@farb.com para dep.josedirceu@camara.gov.br, com o assunto "comunicado da farb":

"voce vai morre sua hora estar perto nâo tem saida voce vai morre voce e traidor essa organizacão nâo vai parar ate o pt ser eliminado do mapa voce vai morre deputado traido "

4) De farb@farb.com para heloisa.helena@senado.gov.br, com o assunto "comunicado da farb" :

"voce vai morre seu fim estar proximo sua vida estar no fim nois iremos matar voce voce ja sentiu uma metralhadora sendo disparado pois isso e quer vai acontecer voce sera fuzilada o seu fim estar proximo nois iremos eliminar voce sua traidora mentirosa se fim estar proximo"

5) De farb@farb.com para dep.telmadesouza@camara.gov.br, com o assunto "comunicado da farb":

"nois temos gente ai em santos vamos matar voce tambem mentirosa traidora voce deve morre nois vamos matar voce jogar uma bomba na sua casa nâo seria dificl ou meter bala em voce voce tambem estar na lista traidora por isso vai ter o mesmo fim"

6) De farb@farb.com para dep.josegenoino@camara.gov.br, com o assunto "comunicado da farb":

"voce vai morre rei dos infel voce sera fuzilado seu fim estar proximo essa organizacâo vai eliminar todos do partido dos infeis por isso sera o fim de voce deputado nâo adiantar pedir ajuda seu fim estar proximo voce merece ser metralhador voces do partido dos trabalhadores vâo sofre sofre e seu fim estar proximo"

7) De farb@farb.com para dep.josegenoino@camara.gov.br, com o assunto "comunicado da farb":

"voce vai morre seu fim estar proximo voce sera o proximo da lista nâo adiantar pedir ajuda nois iremos fuzila voce ninguem pode te proteger seu traidor."

23/1/2002 - 3:25 Angela Bittencourt Brasil

Com todos o internautas usando o termo "Política Mundial de GLOBALIZAÇÃO da economia" e com o ambiente informal da Internet, qualquer contrato ou compromisso estabelecido na rede, acabava caindo na vala comum da morosa justiça, com os seus incontáveis atalhos e obstáculos processuais que atrasavam por vezes uma contenda muito simples de ser dirimida.

O caminho para a frente foi aberto com a promulgação da Lei nº 9.307 de 23 de setembro de 1996, chamada Lei de Arbitragem, que em lugar de fazer parar o tempo, abre as portas do país para a modernização da economia neste mundo sem fronteiras.

Este novo Juízo Arbitral dá também sob certo ângulo, material para novos conceitos jurídicos, tal qual o chamado "direito alternativo", que é órfão de doutrina e sofre com as incertezas de sua receptividade pelos Tribunais brasileiros tendo ouvido no estado do Rio Grande do Sul as primeiras vozes inteligentes de sua defesa.

A Lei nº 9.307, chamada Lei de Arbitragem, já está vigorando desde 23 de setembro de 1996 e procurou se inserir e incutir definitivamente no meio negocial brasileiro. Ela introduz o juízo arbitral de forma concreta entre nós a despeito da matéria sempre ter estado presente na legislação civil mas nunca se amoldara ao gosto e às necessidades pátrias. Dizia-se que era uma daquelas leis que "não pegaram".

O que diz a lei? Por ela, as pessoas capazes de contratar poderão valer-se da arbitragem para dirimir litígios relativos a direitos patrimoniais disponíveis (art. 1º). Assim, traduz e ratifica o conteúdo do artigo 1.037 do Código Civil, onde pessoas plenamente capazes podem atribuir a decisão de suas pendências e controvérsias à decisão de árbitros por elas escolhidos, não precisando se socorrer diretamente ao Poder Judiciário.

De uma forma mais prática, e em relação às relações virtuais, a arbitragem poderá ser utilizada em contratos de prestação de serviços, mediação e arbitragem em contratos de compra e venda, serviços entre empresas brasileiras e internacionais ou em contrato com empresas multinacionais e nos contratos em geral — cláusula contratual para dirimir dúvidas.

As coisas do comércio, principalmente o comércio eletrônico, devem ser tratadas sem a liturgia, paramentos ou ainda protocolos próprios nos processos do judiciário comum, pois o que se quer é um resultado rápido. Na forma da lei, a sentença terá que sair no máximo em 6 meses e o processo é absolutamente desburocratizado, sem autuações, vistas, carimbos, prazos e recursos desnecessários.

Aplicação específica terá esta lei para resolver de vez o problema da falta de fronteiras na Internet e o obstáculo da falta de leis que garantam a cobrança do adimplemento do contrato em terras estrangeiras. Para os contratantes de países diferentes o sistema judiciário do estado nacional do outro contratante não importa, pois permite a escolha da lei aplicável, resultando em uma sentença eficaz e executável nos demais países que ratificaram a mesma convenção internacional. O mundo dos negócios virtuais foi o grande beneficiado com o advento do diploma, e os Tribunais Arbitrais estão prontos para agir, a exemplo de países onde a prática já é utilizada em 50% dos conflitos mercantis e disponíveis.

Angela Bittencourt Brasil é membro do Ministério Público do Rio de Janeiro e editora do site Ciberlex, especializado em Direito de Informática.

22/1/2002 - 20:51 Giordani Rodrigues

A AOL Time Warner está em negociações para adquirir a empresa Red Hat Inc., produtora da distribuição mais popular do sistema operacional Linux. A informação foi divulgada pelo site de tecnologia do jornal Washington Post, que ouviu fontes próximas às empresas.

A intenção da AOL ao ingressar no mercado de software é fazer frente à rival Microsoft. O sistema operacional Windows roda em cerca de 90% dos PCs no mundo, mas o Linux tem ganhado força nos últimos tempos. Especula-se que uma das estratégias da AOL seria distribuir o Linux Red Hat junto com seu programa de instalação para acesso à Internet. A fatia da corporação responsável pelo provedor possui mais de 33 milhões de assinantes.

A competição entre as duas gigantes é antiga. A AOL já tentou arrebatar fatias de mercado da Microsoft, por exemplo, comprando o navegador Netscape para disputar internautas com o Internet Explorer, e o ICQ, que possui muito mais usuários do que o MSN Messenger.

O Washington Post não conseguiu avaliar o valor de venda da Red Hat. A empresa gerou US$ 68,2 milhões em vendas e US$ 1,8 milhão em lucro em nove meses do ano passado. No ano anterior, teve um prejuízo de US$ 10 milhões. O lucro das empresas que comercializam distribuições do Linux, — que pode ser baixado gratuitamente da Internet — provém da venda de pacotes do sistema operacional, mas principalmente dos serviços de suporte aos usuários.

Executivos da Red Hat, AOL e Microsoft não quiseram comentar a possível negociação.

Atualização (23/01/2002 - 14h17): agências internacionais divulgaram ontem declarações de Andrew Weinstein, porta-voz da AOL Time Warner, negando as informações publicadas pelo Washington Post. "A matéria do Washington Post é incorreta", disse ele. "A AOL não está em negociações com a Red Hat".

22/1/2002 - 18:44 Divulgação

A 4Linux, empresa especializada em segurança de sistemas, acaba de lançar mais dois treinamentos relacionados à segurança, o "Practical Corporation Security Course Vulnerabilities Exploitation" e o "Practical Corporation Security Course Defense". Para a primeira turma, que tem início logo após o carnaval, a empresa prepara uma promoção válida em todo o Brasil: se o interessado levar um amigo para fazer qualquer um dos cursos, os dois recebem 50% de desconto no valor integral do curso.

O curso "Vulnerability Exploitation" foi criado para oferecer o conhecimento necessário para identificar na prática quais são as vulnerabilidades existentes no ambiente corporativo, além de saber como um cracker pode explorar essas fraquezas.

Já o curso "Defense" ensina na prática ao aluno como eliminar ou minimizar falhas ou pontos de vulnerabilidade em servidores de rede TCP/IP, ou até mesmo na Internet, evitando o roubo de informações, invasões, ataques de crackers, entre outros problemas.

Os dois cursos têm 40 horas de carga horária distribuídas em cinco semanas. Os participantes contarão com uma aula nos moldes tradicionais para apresentação do curso e entrega dos nomes de usuários e senhas para a entrada no sistema. As demais aulas serão feitas online com o acompanhamento de um professor e um assistente. Os alunos aprovados na prova final receberão a certificação do curso realizado.

Os interessados poderão obter mais informações em www.4linux.com.br/faq.html, ou pelo telefone (11) 3889-0108.

22/1/2002 - 18:25 Giordani Rodrigues

Caveira sobre a bandeira alemã, figura que acompanha a "carta de despedida" de Kimble

O alemão Kim "Kimble" Schmitz pode ser acusado de tudo, menos de não ter senso de autopromoção. Preso na última sexta-feira, na Tailândia, sob a acusação de fraude financeira, o seu site anunciava para esta segunda-feira, dia 21, sua "morte", supostamente por suicídio. Mesmo com Schmitz na cadeia, seus colaboradores deram continuidade ao "projeto", na verdade, um golpe publicitário.

Até ontem, a página inicial do site Kimble.org apresentava a figura de um túmulo com as datas de nascimento (21 de janeiro de 1974) e morte (21 de janeiro de 2002) do alemão. A figura levava a uma carta em que Kimble criticava jornalistas e autoridades de seu país (ele se considera um gênio incompreendido) e explicava sua decisão de seguir para um "novo mundo". Hoje, sua "morte" está esclarecida.

A mesma página traz agora a figura de uma coroa e as palavras: "O verdadeiro Kim Schmitz se foi. Agora ele é conhecido como Sua Alteza Real, o Rei Kimble I, administrador do 'Kimpério' (Kimpire)". O "kimpério" em questão pretende ser uma união de várias pessoas e empresas, em várias línguas, para explorar negócios na Internet e fora dela. Kimble também demonstra planos de entrar para a política. Como ele irá fazer isso, não é explicado, já que o site serve mais para sustentar seu estilo megalomaníaco, com imagens de carrões, iates, aviões, viagens e festas.

Para quem tem a pretensão de se tornar imperador, Kimble começou — ou acabou — mal. Até ontem, ele dividia com duas dezenas de homens uma cela em condições precárias, em Bancoc, capital da Tailândia, segundo a edição online da revista Der Spiegel. Hoje, já se encontra em Munique, na Alemanha, mas continua preso.

Ele é acusado de ter artificialmente inflacionado o valor de ações em cerca de US$ 1 milhão. Em entrevistas, Schmitz nega sua culpa. Em 1994, ele já tinha sido preso por acesso não-autorizado a redes de computadores, crime pelo qual foi condenado. Depois disso, passou a trabalhar com empresas de segurança e ganhou bastante dinheiro (fala-se em mais de US$ 200 milhões).

Na Alemanha, sua fama de hacker e especialista em Tecnologia da Informação é ridicularizada por uma parte da imprensa. A própria Der Spiegel cita como lendas as ações do grupo de hackers antiterroristas fundado por Kimble — YIHAT. Uma dessas lendas diz que integrantes do grupo teriam desviado dinheiro das contas bancárias da organização terrorista Al-Qaeda, à qual pertence Osama bin Laden.

O site SecurityNewsPortal, que está novamente no ar depois de ter anunciado seu fim após uma invasão com a assinatura (provavelmente falsa) de Kimble, fez uma brincadeira com ele. O site anunciou ter conseguido fitas gravadas com conversas de Kimble com os juízes, promotores e até com um preso que dividia a cela com ele em Bancoc. Para ouvi-las, clique aqui.

Leia também:

Kimble, o "hacker antiterrorista", é preso na Tailândia

21/1/2002 - 17:12 Giordani Rodrigues

A companhia antivírus McAfee divulgou informações em seu site sobre uma mensagem de e-mail que tenta enganar as pessoas fazendo-as crer que há um perigosíssimo vírus em circulação, o qual estaria atacando os telefones celulares. O suposto vírus entraria em ação quando o aparelho exibisse a mensagem "ACE-?" no visor, inutilizando o telefone e obrigando os usuários a comprarem outro aparelho. Se você receber um e-mail com tais características, apague-o e não o repasse aos amigos, pois trata-se de mais um hoax (boato).

Por sinal, é um hoax antigo. O texto da mensagem é uma variante de um outro boato que já foi detectado há quase três anos e que ressurge de tempos em tempos (veja a descrição da Symantec, de março de 1999). A diferença é que no hoax anterior o e-mail dizia que o vírus age a partir do momento em que a palavra "unavailable" (indisponível) aparece no visor.

Nos dois casos, fala-se em mais de 3 milhões de celulares atingidos só nos EUA e ainda que empresas como Nokia, Motorola e CNN confirmaram a existência do vírus. Tais informações são falsas, é claro. Por enquanto, só foi relatada a versão em língua inglesa do hoax "ACE-?", mas o "Unavailable" existe também em português.

De modo coincidente com o ressurgimento dos boatos sobre vírus de celular, alguns veículos de comunicação passaram a novamente divulgar, neste mês de janeiro, as experiências do holandês Job de Haas, como lembra o site VSAntivírus em sua edição de hoje. De Haas, pesquisador da empresa de segurança ITSX, demonstrou como é possível travar certos modelos de celular a partir da manipulação de mensagens curtas (SMS). As apresentações do pesquisador, no entanto, já têm quase seis meses — foram feitas em agosto do ano passado, no encontro hacker Black Hat.

Tais notícias fizeram a empresa antivírus F-Secure publicar um alerta hoje, garantindo que não se conhece vírus para telefones celulares, nem mesmo por meio do serviço SMS. As técnicas para travar um aparelho não são vírus. Consistem em enviar uma mensagem com uma série de 160 caracteres "." ou "-" para aparelhos com uma arquitetura GMS (padrão universal para aparelhos móveis) antiga, ou uma mensagem com um cabeçalho propositalmente mal-formado, como descreve de Haas. O risco de que tais técnicas sejam usadas maciçamente, segundo a F-Secure, é mínimo, justamente pela limitação do número de aparelhos vulneráveis.

Maiores informações sobre o hoax "Unavailable" podem ser encontradas aqui. Abaixo, está a reprodução do hoax "ACE-?", tal como reportado pela McAfee:

Recently, I had received a email from brother & sister at Hong Kong.

Attention to all mobile phone user. This is not a joke. This is an early warning! If you receive a phone call and your mobile phone displays ACE-? on the screen (for most of digital mobile phones with function to display in-coming call telephone number) DO NOT ANSWER THE CALL - END THE CALL IMMEDIATELY OTHERWISE YOUR PHONE WILL BE INFECTED BY VIRUS.

This virus will erase all IMIE and IMSI information from both your phone
and your SIM card, which will make disable your phone connection with the
telephone network. You will have to buy a new phone. This information has been confirmed by both Motorola and Nokia. There are over 3 millions mobile phones being infected by this virus in USA now. You can also check this news in the CNN web site.

Please forward this information to all your family & friends who have digital mobile phones.

21/1/2002 - 12:51 Giordani Rodrigues

Dois sites oficiais da empresa de produtos de segurança Aladdin Knowledge Systems foram desfigurados neste domingo por crackers brasileiros do grupo Cr1m6.br. Os sites atacados foram www.aladdin.co.il e www.esafe.com.

A Aladdin é uma empresa israelense fundada em 1985. Segundo suas próprias informações, "é líder em segurança digital, fornecendo soluções de software para comércio e segurança na Internet". Entre seus principais produtos estão os da linha eSafe, criados para oferecer proteção "pró-ativa" aos clientes. Desta linha, faz parte o eSafeDesktop, conhecido antivírus para usuários domésticos.

O Cr1m6.br, por sua vez, é um grupo pouco ativo para os padrões dos desfiguradores brasileiros. O primeiro registro de ataque em nome deste grupo é de setembro do ano passado, segundo Alldas.de. De lá para cá, o grupo acumulou 20 defacements, de acordo com as estatísticas do site Safemode, quase todos contra o sistema operacional Windows.

O Safemode, que registrou os ataques à Aladdin, informa que os sites da empresa utilizam o sistema operacional FreeBSD. Este dado não condiz com os registros do Netcraft, que mostra que os dois sites atacados utilizam Windows 2000 e servidor Web Microsoft IIS 5.0.

Nas páginas alteradas, o Cr1m6.br pôs a figura de um cogumelo atômico e saudações a outros grupos brasileiros. Ambos os sites já voltaram ao normal. Uma cópia da ação dos crackers pode ser vista aqui.

21/1/2002 - 10:55 Giordani Rodrigues

Kimble: estilo exibicionista

Kim "Kimble" Schmitz, um alemão que se diz hacker e gênio financeiro, foi preso em Bancoc, na Tailândia, na última sexta-feira. Sua prisão ocorreu por ordem de autoridades alemãs, que o acusam de fraude no mercado de seguros, segundo informações da revista Der Spiegel.

Kimble operava uma empresa de investimentos na Internet chamada Kimvestor. Ele é acusado de ter usado informações privilegiadas para comprar ações no valor de US$ 375 mil e vendê-las em seguida por US$ 1,5 milhão.

Preso ao sair da suíte presidencial que ocupava no hotel "Grand Hyatt Erawan", em Bancoc, Schmitz deverá ser deportado para seu país hoje, dia em que completa 28 anos. A embaixada alemã cancelou seu passaporte.

As autoridades esperam agora que Schmitz coopere na elucidação de uma rede de crimes financeiros, segundo informou o jornal "Bangkok Post". Em 1994, Kimble foi preso pela primeira vez e posteriormente condenado por acesso não-autorizado a redes de computadores. Nesse meio-tempo, começou a fazer negócios no mercado de segurança de redes corporativas e acumulou uma fortuna.

Logo depois dos atentados de 11 de setembro, Kimble virou manchete no mundo inteiro por ter oferecido US$ 10 milhões pela captura de Osama bin Laden. Ele também é o fundador de um grupo chamado "Jovens Hackers Inteligentes Contra o Terror" (YIHAT, na sigla em inglês), formado com a pretensão de caçar informações sobre os terroristas na Internet.

O YIHAT alega ter penetrado no sistema de um banco do Sudão e ter roubado dados bancários do grupo terrorista Al-Qaeda, informação até hoje não confirmada. De pretendida "elite hacker", o YIHAT acabou se transformando num fiasco.

Seu site, assim como o de Kimble, foi desfigurado por Fluffy Bunny; seus integrantes foram acusados de ter invadido sites sem nenhuma ligação com o terrorismo; Kimble foi chamado, entre outras coisas, de charlatão e estúpido, em um artigo assinado por Jericho, fundador do Attrition. Por fim, dois ex-integrantes do YIHAT denunciaram Kimble como uma fraude.

Kim Schmitz possui um estilo nitidamente exibicionista. Gosta de ser fotografado ao lado de carros de luxo, aviões, iates e mulheres. A última jogada de marketing pode ser vista em seu próprio site. A página inicial traz a figura de um túmulo e um link para uma carta de despedida. A informação é de que hoje, dia 21, aniversário de Kimble, ele irá cometer suicídio, o qual será transmitido online.

Logo acima de um cálculo de quantas horas restam para sua morte, lê-se o seguinte: "Quando a contagem regressiva terminar, Kim seguirá para um novo mundo e quer que você veja isto". Segundo a Der Spiegel, com a sua prisão ele realmente ingressará em um "novo mundo".

Leia também:

Invasão revela intrigas na comunidade de segurança

Fluffy Bunny ataca os hackers caçadores de terroristas

Piratas antiterror atacam sites inocentes

Hackers roubam dados bancários de bin Laden e enviam ao FBI

18/1/2002 - 15:46 Giordani Rodrigues

Mais um importuno hoax (trote, boato) tem circulado por e-mail nos últimos dias. A mensagem fala de um suposto vírus, que chega em um arquivo de nome "A vida é bela.pps" e teria a capacidade de apagar todos os dados do disco rígido. O hoax, originalmente em português, foi criado no Brasil.

O texto afirma que o vírus foi criado por um hacker que está processando a Microsoft e por isso a praga vem disfarçada com a extensão .pps, usada por arquivos do Power Point. O hacker estaria lutando pela patente do Windows XP. Um risível absurdo.

O boato atribui as informações a empresas como a própria Microsoft e o provedor Uol. É uma velha técnica usada neste tipo de mensagens e serve para enganar os mais sugestionáveis. A McAfee já divulgou um alerta afirmando que não recebeu nenhum informe de disco rígido ter sido apagado nas circunstâncias citadas no e-mail. Também orienta os usuários a deletarem o e-mail e não o repassarem aos amigos. A Symantec, cujo antivírus Norton é citado na mensagem, também publicou informações sobre o hoax.

A estrutura do texto sobre o falso vírus "A vida é bela.pps" é bastante parecida com a de outro boato — o do falso vírus "Manicomium, surgido há alguns meses. Algumas frases são utilizadas integralmente, tanto em um quanto em outro. Veja abaixo a reprodução da mensagem atual e, em seguida, o link para o artigo sobre o "Manicomium".

URGENTE! VÍRUS!
Essa informação veio da Microsoft, e da Norton hoje pela manhã. Por favor, transmita-a para qualquer pessoa que você conhece e acessa a Internet.

Você pode receber e-mail de uma apresentação do Powerpoint aparentemente inofensivo, intitulado "A Vida é bela.pps". Se você recebê-lo NÃO ABRA O ARQUIVO SOB NENHUMA CIRCUNSTÂNCIA e delete-o imediatamente. Se você abrir esse arquivo aparecerá a mensagem em seu monitor "Agora é tarde a sua vida não é mais bela" em seguida PERDERÁ TUDO QUE TIVER EM SEU PC e a pessoa que o enviou terá acesso ao seu nome, e-mail e password.

Trata-se de um novo vírus que começou a circular sábado pela tarde. PRECISAMOS FAZER TUDO QUE FOR POSSÍVEL PARA DETER ESSE VÍRUS. A UOL já confirmou sua periculosidade e os Softs antivírus
não estão aptos a destruí-lo.

O Vírus foi criado por um hacker que se auto denomina de o dono da vida e tem em mente destruir pcs domésticos e luta contra a Microsoft na justiça! Por isso ele vem disfarçado com a extensão pps. Ele briga na justiça pela patente do Windows-XP COPIE ESTE E-MAIL PARA TODOS OS SEUS AMIGOS

Leia também:

Vírus manicomium é mais um boato

17/1/2002 - 3:18 Omar Kaminski

O .NAME, primeiro sufixo mundial de endereço na Internet criado exclusivamente para registrantes individuais, fez sua estréia nesta terça-feira. Cerca de 60 mil endereços estão sendo ativados pela Global Name Registry, empresa sediada em Londres que administra com exclusividade esse sufixo.

Atualmente, os usuários de Internet que possuem Web sites pessoais inclinam-se a utilizar o .ORG, que é comumente associado a entidades sem fins lucrativos, apurou a CNN.

A Global Name pretende atrair consumidores pela facilidade e personalização. Por cerca de US$ 30 por ano, as pessoas poderão registrar um nome na forma "primeironome.ultimonome.name" para Web sites e "primeironome@ultimonome.name" para endereços de e-mail. Mas os usuários ainda precisarão contratar serviços de hospedagem de terceiros.

Extensão similar (ME.UK) foi adotada pela Inglaterra na segunda-feira, e o Brasil já dispõe do .NOM.BR desde primeiro de setembro de 1998, porém com número de registros inexpressivo (0,66%), mas que acena para uma retomada promissora (leia notícia). Nos Estados Unidos, o novo domínio equivaleria às placas de automóvel personalizadas, segundo a ZDNet.

A meta agora parece ser: "vamos povoar o ciberespaço!" É trazer a pessoa física, o cidadão, para participar ativamente do mundo virtual, mas ostentando seu nome 'real' nas atividades e transações.

As conseqüências parecem claras: de modo auxiliar à certificação digital, o registrante e o provedor passam a deter maior responsabilidade com a veracidade dos registros, para que se evite a falsidade ideológica e outras falcatruas.

Mesmo assim, disputas de domínios envolvendo homônimos deverão acontecer. Ou voltará a valer a máxima de outros tempos, o "first come, first served" ou "first to file" (o "quem chegar antes leva").

O sufixo .NAME foi um dos sete domínios aprovados em 2000 pela Internet Corporation for Assigned Names and Numbers (ICANN), e são as maiores adoções ao sistema de nomes de domínio desde sua criação, na metade dos anos 80.

Os novos nomes foram aprovados para aliviar a superlotação dos nomes de domínio tradicionais como o .COM, .NET e .ORG, que triplicaram em 2000, finalizando o ano em 28.2 milhões.

O registro total de nomes de domínio elevou-se apenas um pouco em 2001, um salto de 13.5% para 32 milhões em setembro.

Dois outros sufixos, .BIZ para negócios e .INFO para sites informativos debutaram na primavera, mais de 1,2 milhão de nomes combinados foram registrados. O .BIZ está sendo questionado em uma ação judicial.

Adicionalmente, o .MUSEUM irá iniciar atividades em novembro em caráter provisório, significando que as regras poderão ainda ser alteradas, e o .COOP, para cooperativas, foi ativado em 9 de janeiro. Alguns poucos milhares de nomes foram solicitados para cada qual.

O .AERO para a aviação e o .PRO para profissionais deverão ser colocados à disposição nos próximos meses, ainda este ano.

Omar Kaminski é advogado e editor de Internet e Tecnologia da revista Consultor Jurídico.

16/1/2002 - 3:27 Giordani Rodrigues

Até aqui, foram apresentados apenas os aspectos históricos ou até mesmo lúdicos do sistema, e que dificilmente criarão polêmica. Mas o projeto tem implicações bem mais profundas. As semelhanças entre a WBM e uma biblioteca física terminam no momento em que é feita a coleta do material a ser arquivado. Numa biblioteca convencional, as obras são compradas ou doadas, o que garante a preservação dos direitos autorais. O servidores da WBM, ao contrário, simplesmente vasculham a Internet e copiam suas páginas, com tudo que elas contêm — textos originais, links, figuras, fotos e concepção visual. E boa parte desse material é protegida por leis de copyright.

É claro que há uma grande diferença entre um indivíduo que se apropria sumariamente de um trabalho alheio e o expõe como se fosse seu, e uma organização sem fins lucrativos, como a WBM, que cataloga este mesmo trabalho para referência. Mesmo assim, o mecanismo pode enfrentar problemas legais.

“Detentores de direitos autorais eventualmente arrastarão o sr. (Brewster) Kahle aos tribunais”, prevê Lawrence Lessig, renomado professor de direito da Universidade Stanford, em um artigo publicado pelo jornal The New York Times. Lessig é um estudioso da influência das novas tecnologias sobre o comportamento da sociedade, mas também um entusiasta da WBM. Tanto que já afirmou que teria reescrito seu livro, The Future of Ideas: The Fate of the Commons in a Connected World, lançado recentemente, se tivesse visto o projeto a tempo.

Em sua opinião, a WBM pode mudar as forças envolvidas no debate sobre as leis de copyright e o acesso à propriedade intelectual de livros, música e filmes. Na sociedade digital, tais forças dividiram-se até agora entre detentores de direitos autorais e seus advogados, de um lado, e professores universitários e técnicos de informática, de outro. “Finalmente temos um exemplo claro e tangível do que está em jogo”, afirma Lessig no mesmo artigo. “Brewster está definindo o domínio público”.

O advogado paranaense Omar Kaminski, que já chegou a assistir a um curso ministrado em Harvard, tendo Lessig como um dos professores, também está atento ao impacto que o novo sistema pode trazer. “A situação concreta da violação de direitos autorais pela WBM ainda não foi analisada por nenhuma corte ou tribunal, mas essa análise não tardará, do contrário estaremos admitindo que, a curto ou médio prazo, todo conteúdo veiculado na Internet é de domínio público, pode ser apropriado por terceiros e livremente distribuído, o que certamente não irá agradar aos interesses monopolistas”.

Kaminski lembra ainda que a WBM pode beneficiar os detentores de copyright, ao invés de prejudicá-los. No caso de alguém se apropriar de conteúdo alheio, "a violação ficará evidente, documentada e até perpetuada, por mais que a página original tenha sido tirada do ar". E que a WBM poderá vir a se tornar um ótimo meio de prova judicial.

Há também a questão da territorialidade, pois a WBM está distribuída por servidores que se encontram fora da competência brasileira. "Não podemos ignorar o aspecto territorial e de legislação local. Há certas burocracias que tornam o processo ainda mais tortuoso e demorado: a necessidade de expedição da chamada 'carta rogatória', que é uma carta de citação, de cumprimento de ordem, ao estrangeiro, e que precisa passar por consulados. E a observação de tratados e convenções internacionais vigentes. Mas é claro que no ciberespaço isso tudo toma uma outra conotação".

Estas questões, no entanto, ainda estão no campo da teoria. Na prática, é muito fácil para o responsável por um site impedir que suas páginas sejam registradas por mecanismos de busca, incluindo a WBM. Basta acrescentar um arquivo de texto no servidor, chamado de “robots.txt”, o qual serve para dar instruções aos softwares de rastreamento, indicando quais páginas devem ficar fora da pesquisa. Além disso, a WBM acata os pedidos para eliminar de seu banco de dados as páginas que já foram registradas, se seus responsáveis assim o quiserem.

Mais delicado ainda é o aspecto da perpetuação de sites considerados criminosos, como os de pedofilia, softwares piratas e outros, mesmo que eles sejam retirados do ar pela polícia ou por seus responsáveis. Aqui vão alguns exemplos, relacionados ou não a atividades ilícitas:

1) Em dezembro último, o FBI desbaratou uma quadrilha internacional de piratas de software, considerada uma das maiores do mundo. Chamado de DrinkOrDie (Beba ou Morra), o grupo possuía um site, no qual apresentava seus "produtos", e que foi retirado do ar. Uma busca na WBM, no entanto, mostra mais de 50 registros do site, desde 1997, com muitas páginas ainda funcionais.

2) Pouco depois dos atentados de 11 de setembro, o governo britânico prendeu Sulayman Balal Zainulabidin, acusado de fornecer treinamento e instruções para confecção de armas de fogo, explosivos e material químico, biológico ou nuclear, os quais poderiam ser usados em ataques terroristas. Seu site, Sakina Securities, foi fechado no mesmo dia de sua prisão, mas continua completamente ativo nos servidores da WBM.

3) Em novembro de 2000, o grupo de crackers brasileiro Prime Suspectz invadiu o site www.jaru.ro.gov.br, que deveria servir à prefeitura da cidade de Jaru, em Rondônia. Inexplicavelmente, o site passou meses alterado, sem que ninguém se desse conta disso. A prova está em pelo menos dois registros da WBM, de janeiro e fevereiro de 2001.

4) Em agosto do ano passado, o Brasil foi apresentado, pelo Programa do Jô e pela revista Veja, a um “hacker” de carne e osso — Juliano Carneiro. Jô Soares chamou-o de “um dos maiores hackers do Brasil” e Veja informou (link para assinantes) que Carneiro “cobra 8 000 reais pela proteção de uma empresa de pequeno porte”. Carneiro é responsável pelo site Internet Segura. Na época de sua aparição em público, a página que servia de apresentação do serviços trazia uma informação enganosa para o público, além de absurda. “Somos afiliados à Truste.org e NCSA. Só trabalhamos com empresas que respeitam os direitos à publicidade”. O site nunca foi "afiliado" à TRUSTe, principal organização de certificação de privacidade online dos Estados Unidos. Evidentemente, a TRUSTe também não tem nada a ver com o “direito à publicidade”, seja lá o que isto signifique. O site sofreu uma remodelação recentemente, mas a referida página ainda pode ser vista aqui.

5) Durante meses, a Microsoft manteve no ar alguns sites com nomes como Hmtest.com, Hotmailtest3.com, e outros. Eles eram idênticos ao do Hotmail e, aparentemente, serviam para testar o serviço. Os endereços nunca foram divulgados para o público. Até que, no final de 2000, um hacker australiano os descobriu e revelou o fato em seu site. InfoGuerra enviou vários e-mails para a Microsoft, no Brasil e nos EUA, solicitando informações sobre os servidores, mas não obteve resposta. Publicou então uma entrevista com o hacker. Poucos dias depois, os sites foram tirados do ar e não mais retornaram, apesar de ainda estarem registrados em nome da companhia. Mas a WBM arquivou pelo menos um deles, o Hmtest.com. Confira aqui.

Com tantas questões novas que podem surgir com o simples advento da Wayback Machine, parece haver uma necessidade de se criar critérios de seleção ou regulamentação das páginas a serem registradas. Mas propor leis para a Internet sempre foi uma tarefa polêmica. Omar Kaminski acha que a rede ainda está imatura para ser regulamentada, pois não se sabe qual o impacto negativo que isto trará para seu futuro.

"A necessidade ou não de regulamentação, incluindo protocolos, nomes de domínio e o fluxo em si é o âmago de toda a questão. Diz respeito a todas as medidas protetivas ou de caráter normativo que vêm surgindo antes e depois de 11 de setembro. A Internet é um meio de comunicação, sim, mas outro ponto interessante é o potencial em si da rede. Penso que a maioria ainda não se deu conta, e outra grande parte desconhece ainda esses recônditos dúbios para o Direito e para o futuro. E o mais grave é que, se nem os estudiosos sabem ao certo o impacto de uma iniciativa tecnológica do porte da WBM, quem dirá os legisladores?".

Wayback Machine - parte 1: A máquina do tempo da Web

Wayback Machine - parte 2: Os pioneiros da Web

16/1/2002 - 3:04 Giordani Rodrigues

A Wayback Machine elaborou sua própria coleção de sites memoráveis, a qual batizou de “Pioneiros da Web”. Nesta seção encontram-se, em seus primórdios, alguns dos sites que colaboraram para tornar a Web o que é hoje.

Por exemplo, o site da Amazon.com em outubro de 1996. Fundado em meados de 1995, nesta época o site era bem diferente do atual. A página de abertura era plana, longa, com fundo branco e links azuis básicos, com poucas fotos e apenas livros em exposição. Hoje, a Amazon.com é um verdadeiro shopping center virtual, que vende não só livros, mas também CDs, DVDs, computadores, telefones celulares, aparelhos eletrônicos, eletrodomésticos, brinquedos e até carros.

Lá também se vê o Yahoo, em " target="_blank" >dezembro de 1996. Criado em 1994, em um trailer na Universidade de Stanford por dois de seus alunos, o Yahoo decididamente influenciou os rumos da Web. Entre os sites comerciais, foi um dos que menos mudou o visual ao longo dos anos, apesar de ter agregado vários novos serviços.

A revista eletrônica Feed, uma das primeiras iniciativas de jornalismo exclusivamente online, foi fundada em maio de 1995 e desapareceu em junho do ano passado, em meio ao esgotamento de recursos que assolou empresas pontocom. Uma parte da influência que exerceu, no entanto, está guardada nos servidores da WBM, em mais de 160 registros que o mecanismo fez do site. O primeiro é de 23 de dezembro de 1996.

Em 1991, a Web deu seus primeiros passos (em 2001 comemoraram-se 10 anos de existência da WWW e 30 do e-mail). Neste ano, um grupo de acadêmicos do laboratório de computação da Universidade de Cambridge, criou a primeira webcam do mundo. O laboratório, chamado de Trojan Room, tinha apenas uma cafeteira elétrica, cujo café era avidamente disputado pelos pesquisadores, que costumavam passar as noites em claro desenvolvendo seus estudos.

Alguns desses pesquisadores, residindo em outras partes do prédio da universidade, tinham de percorrer vários lances de escadas até chegar à cafeteria, muitas vezes para encontrá-la vazia. Foi então que eles tiveram a idéia de acoplar um captador de imagens em frente à máquina. O sistema foi ligado a um servidor, que transmitia para todos os interessados as imagens da cafeteira atualizadas três vezes por minuto, em um circuito interno. Estava lançado o que foi chamado de XCoffe.

O projeto logo se tornou o principal assunto da universidade e virou tema de reportagens no ano seguinte. O captador de imagens sofreu uma pane, mas o sistema foi ressucitado por dois pesquisadores do laboratório — Daniel Gordon e Martyn Johnson. As imagens passaram a ser transmitidas também na Web e eram vistas por centenas de milhares de curiosos. O sistema sobreviveu até 22 de agosto do ano passado, quando foi definitivamente desativado. Dezenas de imagens da cafeteira, tomadas em vários anos, ainda podem ser vistas na WBM.

Além destes e de outros sites que marcaram o desenvolvimento da Web, o Internet Archive também traz cerca de 5 mil páginas históricas relacionadas à Arpanet, a rede militar surgida em 1969 e que deu origem à Internet. Há ainda coleções especiais, como a dos sites relacionados com os atentados de 11 de setembro, acervo de filmes históricos, e outras.

Wayback Machine - parte 1: A máquina do tempo da Web

Wayback Machine - parte 3: As implicações legais

16/1/2002 - 2:50 Giordani Rodrigues

A Internet sempre teve vocação para ser um gigantesco arquivo sobre os mais variados assuntos. Mas o segundo semestre de 2001 viu surgir serviços que poderiam ser classificados como "meta-Internet": a grande rede arquivando a si própria e falando sobre si mesma.

No dia 11 de dezembro, o Google incorporou aos seus 3 bilhões de páginas os arquivos dos últimos 20 anos da Usenet. São 700 milhões de mensagens, desde 1981, da mais importante rede de grupos de discussão, formando um registro histórico precioso. Neste banco de informações encontram-se pérolas como o anúncio de Tim Berners-Lee, a respeito de sua “criação” — a World Wide Web —, ou a primeira mensagem de Linus Torvalds sobre o seu “projeto de estimação”, o Linux. (Leia o artigo).

Um outro projeto, lançado publicamente em 24 de outubro, é ainda mais excepcional, apesar de não ter sido tão divulgado, pelo menos no Brasil. Trata-se da Wayback Machine (WBM), a máquina do tempo da Web. Em vez de se ler mensagens, teorias ou discussões históricas sobre a rede, pode-se ver sua evolução, de 1996 para cá.

A WBM forma a maior parte do projeto intitulado Internet Archive, uma espécie de biblioteca da Internet. Assim como numa biblioteca física encontram-se livros, jornais, revistas e outras publicações com datas passadas, no Internet Archive encontram-se sites e páginas classificados por datas, muitos dos quais já nem existem mais, além de outras formas de conteúdo digital.

Fundada em 1996 por Brewster Kahle, presidente do serviço Alexa, esta biblioteca virtual espalha-se por vários servidores, formando um acervo de mais de 100 terabytes (100 trilhões de bytes) e mais de 10 bilhões de páginas. A inspiração para o projeto vem da Biblioteca de Alexandria, que existiu na Idade Antiga e, diz-se, dispunha de um exemplar de cada livro publicado naquela época.

Navegar pelo acervo da WBM é excitante. Tente procurar um site que você conhecia há algum tempo e que desapareceu, ou cujo layout mudou (talvez o seu próprio site), e sinta a emoção de encontrá-lo novamente, perpetuado no tempo. Este é o grande trunfo do Internet Archive, e principalmente da Wayback Machine. Enquanto os documentos de papel podem ser preservados por séculos, os dados digitais são voláteis (não é por outro motivo que os backups são tão importantes). E os sites são os que mais mudam.

Você quer ver como era o Uol em 1996, ano em que surgiu o provedor? Confira uma de suas home pages, em 23 de dezembro de 1996. E o Terra, na época em que ainda era Zaz? Veja um exemplo de 12 de dezembro de 1998. Até InfoGuerra, lançado no final de 2000, quando ainda era um ilustre desconhecido, pode ser visto com o layout anterior, produzido com as limitações gráficas de seu editor (clique em “entrar”).

Os exemplos acima podem ser enquadrados na categoria de curiosidade, mas a WBM também possui registros de páginas que hoje estão perdidas nos descaminhos da Web. Você lembra do antigo provedor gratuito Super11.net, desaparecido no segundo semestre de 2000? Era fã de suas colunas Analfabytes, de Honório Pacheco, ou Mondo Charlab, de Sérgio Charlab? Pois você pode acessá-las novamente, clicando nos links em destaque.

Em 1999, o centro de processamento de dados do jornal Folha de Londrina, um dos principais do Paraná, sofreu um incêndio, que destruiu boa parte de seu arquivo eletrônico, incluindo as páginas de seu site. Provavelmente, nem os servidores do jornal possuem mais estas páginas, mas a WBM, sim. As notícias mais antigas registradas pela ferramenta, em 16 de janeiro de 1998, ainda podem ser lidas na Web.

Continuação:

Wayback Machine - parte 2: Os pioneiros da Web

Wayback Machine - parte 3: As implicações legais

15/1/2002 - 15:26 Giordani Rodrigues

Um mês depois que a Microsoft divulgou o boletim de segurança MS01-058, contendo a descrição de uma grave falha no Internet Explorer (IE), o grupo que descobriu a vulnerabilidade também divulgou a técnica para explorá-la. A empresa finlandesa Online Solutions publicou ontem, dia 14, um teste para que os usuários saibam se estão vulneráveis, juntamente com detalhes de como é possível usar a falha. As informações são do site VSAntivirus.

O boletim da Microsoft dizia apenas que, modificando "de uma certa maneira" as informações do cabeçalho de um documento HTML, era possível fazer o IE rodar automaticamente qualquer arquivo executável. Agora, a Online Solutions revela esta maneira, na verdade muito simples.

Basta que se introduza um "byte nulo" no nome do arquivo colocado no código HTML. Um arquivo de nome "leiame.txt%00programa.exe", por exemplo, seria apresentado apenas como "leiame.txt", se fosse posto em um documento HTML (página Web ou e-mail) aberto em um computador sem proteção (a correção para a falha foi disponibilizada no mesmo boletim da Microsoft). Com alguns outros comandos, faz-se o arquivo ser executado automaticamente, sem que o usuário receba nenhum tipo de aviso.

Com a divulgação da técnica, "será questão de horas até que algum escritor de vírus tire proveito desta informação, produzindo um vírus que poderia causar tanto ou mais estragos do que o BadTrans.B ou o Ninda", opina o editor do site VSAntivirus, José Luis Lopez.

A equipe da Online Solutions foi a mesma que descobriu uma outra vulnerabilidade classificada pela Microsoft como de alto risco e divulgada em novembro último. O bug permite que um atacante acesse informações confidenciais — como senhas —, armazenadas nos cookies, arquivos de texto utilizados por inúmeros sites e guardados no disco rígido dos internautas. A empresa também disponibilizou um teste para que os usuários saibam se estão vulneráveis neste caso. Para acessá-lo, clique aqui.

Outras informações sobre a técnica divulgada ontem, a falha do IE e suas correções podem ser encontradas nos links abaixo:

Informações e teste da Online Solutions

Boletim e correções da Microsoft

Artigo do site VSAntivirus

Leia também:

Falha grave no Internet Explorer expõe dados dos usuários

15/1/2002 - 9:15 Giordani Rodrigues

Em breve, indivíduos, organizações e empresas poderão registrar domínios na Internet com o código de país dos Estados Unidos (.US) ligados diretamente aos seus nomes. A NeuStar, Inc. anunciou na semana passada o início do processo de credenciamento de provedores de registro para este domínio de primeiro nível.

Até agora, a estrutura do domínio .US era baseada em critérios de geografia política. Por exemplo, uma organização localizada na cidade de Fayetteville (Fay), na Carolina do Norte (NC), poderia ter o endereço organization.fay.nc.us. Apesar de estar disponível para qualquer indivíduo ou empresa dentro do territótio americano, tradicionalmente este domínio foi utilizado por escolas, bibliotecas, agências e órgãos do governo em níveis federal, estadual e municipal.

Pelas novas regras, que deverão estar funcionando plenamente até meados de 2002, serão aceitos endereços curtos e de fácil memorização, não mais baseados em critérios geográficos. Por exemplo, johnsmith.us ou mycompany.us. Qualquer cidadão residente nos Estados Unidos, ou empresas, organizações e agências governamentais com presença em território americano poderão requerer este novo registro. Já as empresas registradoras que quiserem se habilitar para o processo de credenciamento podem ser de qualquer parte do mundo.

Além de coordenar o registro do domínio .US, a NeuStar opera o registro oficial de todos os números de telefones norte-americanos e administra o banco de dados do qual todas as operadoras dependem para direcionar as chamadas telefônicas. A NeuLevel, subsidiária da NeuStar, opera o recém-lançado domínio .BIZ, dedicado exclusivamente a empresas. Maiores informações sobre o processo de cadastramento de registradores para o domínio .US podem ser encontradas no endereço www.neustar.us.

14/1/2002 - 17:55 Giordani Rodrigues

No último sábado, o grupo de crackers brasileiro Hax0rs Lab promoveu um ataque bem-sucedido a um dos servidores do IDC Brasil. A empresa pertence ao grupo IDC Corp., uma das mais importantes fontes de informação sobre negócios e tecnologia do mundo. O IDC é uma divisão do conglomerado de mídia IDG, responsável por publicações de sites e revistas sobre Tecnologia da Informação, como IDGNow!, IDGNet, Computerworld, PC World e várias outras.

O ataque consistiu na desfiguração da página inicial do site. O Hax0rs Lab, composto pelos integrantes f0ul (que já fez parte do grupo Silver Lords) e USDL, escreveu uma crítica à empresa, provavelmente referente à segurança do servidor: "lol IDC do Brazil... hehehe q sux..". ("Lol" é uma gíria de Internet que tem o significado de uma gargalhada e "sux" é usado principalmente para indicar que algo tem valor desprezível).

Em contato por e-mail com InfoGuerra, Gerd Sousa, responsável técnico e administrativo do site, confirmou a invasão, mas afirmou que os crackers não acessaram informações do IDC e não causaram nenhum prejuízo além da alteração da página index.html. "O site www.idcresearch.com.br foi instalado apenas para disponibilizar aos nossos clientes algumas das apresentações feitas em nosso evento 'Directions', e não está conectado aos outros servidores da rede do IDC Brasil ou do IDC Corp.".

Sousa revela que a invasão foi possível graças a uma falha no protocolo SSH (Secure Shell) na versão do Linux que estava instalada. O SSH é usado para autenticação segura e criptografia de comunicações em rede, mas possui um bug que tem provocado invasões a muitos sites importantes nos últimos meses.

"A versão foi atualizada algumas horas após a invasão e o anúncio do 'feito' pelo grupo de hackers", explicou Sousa. Tal informação pode ser confirmada no site Netcraft, que mostra que o servidor Web — um Apache — sofreu uma atualização no dia 12 de janeiro. O administrador disse também que o IDC Brasil não pretende tomar nenhuma atitude legal contra o grupo, "já que não houve acesso a nenhuma informação confidencial ou privilegiada".

O espelho do ataque foi registrado por Alldas.de e pode ser visto aqui.

Leia também:

Falha antiga vira nova coqueluche entre crackers

11/1/2002 - 6:50 Giordani Rodrigues

O Centro Nacional de Proteção à Infra-estrutura (NIPC, na sigla em inglês), uma divisão do FBI, lançou um relatório completo sobre as falhas de segurança, vírus e trojans identificados entre 12 de dezembro de 2000 e 14 de dezembro de 2001.

São 84 páginas de informações, divididas em duas partes. A primeira e mais extensa traz uma relação dos inúmeros bugs descobertos em 2001. A lista fornece o nome do produto e do seu fabricante, o sistema operacional atingido, o nome pelo qual ficou conhecida a vulnerabilidade, o seu grau de risco, e a indicação do alerta do NIPC com a descrição do problema, o que geralmente inclui os links para as correções das falhas.

A segunda parte é composta de duas tabelas. Uma com os dez vírus mais ativos de 2001 e outra com um sumário dos Trojan Horses descobertos no último ano. De acordo com o NIPC, o vírus com mais casos de infecção no período foi o SirCam. Isto contradiz uma pesquisa da Sophos, divulgada há pouco mais de um mês, que colocava o Nimda em primeiro lugar.

O órgão do FBI reuniu estatísticas de várias companhias antivírus, as quais utilizam diferentes métodos, por isso também a diferença nos números. Independentemente de classificação, as dez principais pragas dos últimos 12 meses (SirCam, Nimda, BadTrans, Magistr, Goner, Code Red, e outras) constam de todas as pesquisas divulgadas.

Pela quantidade de informações, o documento é uma excelente referência para administradores de sistemas, especialistas em segurança e usuários preocupados com a proteção de suas máquinas. O relatório pode ser encontrado em www.nipc.gov/cybernotes/2001/cyberissue2001-26.pdf. Para acessar os outros alertas, basta substituir, no mesmo endereço, os algarismos 2001-26 pelos algarismos indicados (por exemplo, 2001-17).

10/1/2002 - 20:18 Giordani Rodrigues

Há cerca de dois meses, a McAfee divulgou informações sobre um falso vírus, um hoax (trote) enviado por e-mail, que foi batizado de “48 horas”. Na época, só havia a versão em inglês do texto. Atualmente, e empresa adicionou versões em espanhol, alemão e húngaro. Mas já começou a circular no Brasil uma versão do boato em português.

Quem possui familiaridade com este tipo de mensagem, facilmente irá identificar a mentira, a partir do próprio título: “Vírus mortal - Microsoft acaba de anunciá-lo”. Utilizar nomes de grandes empresas para dar credibilidade aos hoaxes, é uma prática comum. Além disso, a Microsoft não divulga alertas sobre vírus, a não ser em casos especiais, como aconteceu com o Code Red, o que foi largamente noticiado pela imprensa.

Mesmo assim, muita gente tem caído no “conto do vírus” e repassado a mensagem a amigos. Um dos e-mails que recebemos foi enviado, por um usuário preocupado com os supostos efeitos deletérios do “vírus 48 horas”, para a Maple Informática, representante no Brasil do Command AntiVirus. O usuário queria saber se já havia vacina para a praga.

O boato, cheio de letras maiúsculas e em tom apocalíptico, fala de um vírus perigosíssimo que chega em uma mensagem com o assunto “Help”. Quem abrir a mensagem, passar o mouse por cima, ou até mesmo apagá-la, terá o PC detonado, a não ser que aguarde 48 horas antes de tomar qualquer atitute. Balela.

É bom lembrar, no entanto, que realmente existe um vírus, descoberto em abril do ano passado e bastante ativo até hoje, que chega em uma mensagem em branco com o assunto “Help” — o Haptime. Apesar de, sob certas condições, ter a capacidade de apagar arquivos com extensão .exe e .dll, o vírus não chega a ser a calamidade sugerida no hoax.

O que se deve ter em mente, porém, é que mensagens como a descrita são falsas. Além de servir para confundir as pessoas, também criam um fluxo inútil na Internet, desperdiçando recursos da rede, tempo e paciência das pessoas. Se você receber um e-mail semelhante, desconsidere-o. E jamais o repasse para seus amigos, como é sugerido.

As informações da McAfee sobre o boato podem ser encontradas aqui. A cópia da mensagem em português (com eventuais erros de grafia) pode ser vista abaixo:

VIRUS MORTAL - MICROSOFT ACABA DE ANUNCIÁ-LO

MUITO cuidado nas próximas 48 hs, tempo que se prevê para começar a circular um vírus poderoso. PRESTEM MUITA ATENÇÃO : esta mensagem chegou hoje; MICROSOFT acaba de anunciá-lo. A informação veio assim :

"Se você receber um mail com o ASSUNTO HELP, nem pense em abrí-lo, passar seu mouse por cima ou apagá-lo, pois esse simples fato ativará o virus sem necessidade de descarregá-lo. Aguarde 48 hs para apagá-lo, pois do contrário limpará e apagará seu Hard Disk e o BIOS. Não há tratamento, pois afeta o sistema de partida e nem permite entrar no sistema operacional.

NOTA : a mensagem poderá chegar de um desconhecido ou até em nome de algum contato conhecido."

URGENTÍSSIMO: Passe esta mensagem para todos aqueles que possuem seu endereço eletrônico.

10/1/2002 - 8:14 Giordani Rodrigues

O lançamento público da tecnologia .NET, da Microsoft, está previsto apenas para 2003, mas o primeiro vírus para esta arquitetura já foi criado. Ao contrário da maioria dos outros vírus, este não foi encontrado em nenhuma máquina. Seu autor, no entanto, enviou uma cópia do programa, ontem, dia 9 de janeiro, para várias empresas antivírus.

Batizado de dotNET pelo autor, um integrante do conhecido grupo 29A, e rebatizado de W32.Donut pelas empresas que o receberam, o vírus está sendo considerado conceitual. Originado na República Checa é o primeiro vírus implementado nas linguagens Microsoft C# e Microsoft Intermediate Language (MSIL), usadas pelo Microsoft .NET.

O Donut possui 8 Kbytes de tamanho e foi planejado para infectar os arquivos executáveis presentes na plataforma .NET. Quando em ação, pode contaminar todos os arquivos .EXE do diretório onde foi instalado e de mais 20 diretórios acima deste. Depois disto, de acordo com a F-Secure, há uma chance em dez de que apresente a seguinte mensagem:


Em seguida, o vírus deixa de agir. Ele não permanece residente na memória e só irá se espalhar novamente se um outro arquivo infectado for executado.

“O W32.Donut não tem nenhuma chance significativa de se espalhar, porém mostra que os escritores de vírus estão prestando bastante atenção à arquitetura .NET e tentando conhecê-la antes que esteja disponível na maioria dos sistemas”, explica Peter Szor, da Symantec.

O primeiro sistema operacional completamente compatível com a arquitetura .NET, conhecido por Blackcomb, só deverá estar disponível no ano que vem. O Microsoft .NET deverá integrar os principais produtos e serviços da gigante de Redmond. É uma tecnologia baseada em padrões da Web e deverá rodar em qualquer browser de qualquer plataforma, pretendendo ser uma alternativa à linguagem Java.

9/1/2002 - 10:13 Giordani Rodrigues

A página principal do site da Amil, um dos mais conhecidos planos de saúde do país, foi alterada na madrugada de hoje, depois que um cracker que usa o apelido de "sh0ut" conseguiu acesso não autorizado ao servidor.

O invasor substituiu a página por outra de fundo negro, contendo as costumeiras saudações a outros integrantes do underground e um recado ao administrador do sistema: "Admin ! O seus sistema presiza de um plano de saude !". A julgar pela forma como sh0ut escreveu a palavra "precisa", sua gramática está pedindo uma internação na UTI.

Até hoje de manhã o site continuava desfigurado, mas neste momento já voltou ao normal. As informações presentes no site não possibilitam o acesso a informações confidenciais dos pacientes, o que faz supor que o cracker limitou-se a fazer uma "pichação virtual".

Uma pesquisa no Registro.br mostra que o site da Amil está hospedado em um servidor da Optiglobe, provedor que tem entre seus clientes várias empresas de grande porte. Juntando-se informações de uma busca no site da empresa de segurança Netcraft, percebe-se que a máquina roda o sistema operacional Windows 2000 e servidor Web Microsoft IIS 5.0.

O número IP (Internet Protocol) desta máquina também revela que é a mesma que hospeda os sites do Banco24Horas e do refrigerante Sprite, ambos desfigurados nos últimos meses, de acordo com dados de Alldas.de. Aparentemente, o servidor possui falhas antigas que afetam os produtos da Microsoft, mas até hoje elas não foram corrigidas.

O espelho do ataque ao site da Amil pode ser visto aqui.

8/1/2002 - 20:29 Giordani Rodrigues

O músico Maurício Andrioli, integrante da banda de pagode Cravo e Canella, decidiu candidatar-se a uma vaga para a segunda versão do programa de televisão "Casa dos Artistas". Resolveu, então, conquistar votos enviando um e-mail a várias pessoas, algumas das quais não são necessariamente seus fãs. O episódio poderia passar por mais um caso de envio de mensagem não solicitada, geralmente conhecido como spam, mas teve um desdobramento inusitado.

“Já pensaram na possibilidade de conseguirmos colocar (no programa) um artista que está fora da mídia? Votem em mim”, dizia um trecho da mensagem de Andrioli. A Banda Cravo e Canella realmente está fora da mídia, mas uma de suas músicas, “Lá Vem o Negão”, foi sucesso nacional há alguns anos. O e-mail terminava com uma observação, em letras maiúsculas: “Caso queiram me ajudar mais, passem esse e-mail para seus amigos!”

Entre os destinatários da mensagem, estava o advogado Marcos Gomes Bruno, do escritório Opice Blum, o qual possui unidades em São Paulo, Campinas, Nova Iorque e Miami. Entre as especialidades do escritório estão justamente o direito de informática e o comércio eletrônico, com as quais os casos de spam relacionam-se.

Bruno enviou outro e-mail a Andrioli, requisitando que o músico fornecesse, no prazo de 24 horas, a fonte do banco de dados onde foi cadastrado seu endereço eletrônico, sob pena de adotar as medidas legais cabíveis. O advogado também notificava os integrantes da banda para que cessassem a utilização indevida de seu e-mail profissional, ou de qualquer outro do escritório Opice Blum.

Para sua surpresa, recebeu de Andrioli a seguinte resposta, também em letras maiúsculas: “Não se preoculpe (sic), pois tive o prazer de deletar de nossa maquina (sic) o seu endereço eletronico (sic), não temos interesse realmente de ter contato com pessoas medilcres (sic) e sem sencibilidade (sic) como VSª”.

Contatado por InfoGuerra, Maurício Andrioli disse que não sabia porque o advogado tinha demonstrado “tanta revolta por receber um e-mail”. O músico justifica sua resposta mal-educada: “Ele me mandou um e-mail absurdo dizendo que iria me processar”.

Andrioli encara sua primeira mensagem como natural. “Pedi ajuda para todos da minha lista de e-mails, para que votassem em mim na 'Casa dos Artistas 2', pois sou um artista também”. Para ele, o advogado teve uma reação exagerada: “Eu não o ofendi, bastava ele pedir para tirar o e-mail dele e o da firma, ou simplesmente ignorasse a mensagem”.

Bruno afirma que o caso não é assim tão simples. Ele diz que há alguns meses praticamente todos os e-mails do escritório estavam na base de dados da banda, a qual enviava, reiteradamente, mensagens com anexos MP3 a título de divulgação das músicas. “São mensagens bastante pesadas e que demoram para ser baixadas”. Segundo o advogado, o mesmo arquivo MP3 era enviado três ou quatro vezes.

“Enviamos e-mail logo na primeira mensagem, solicitando o descadastramento, mas as mensagens com MP3 anexados continuavam vindo”, diz Bruno. “Cansados daquele incômodo, pedimos a uma advogada do escritório que ligasse para o produtor da banda e solicitasse a exclusão dos e-mails, caso contrário, iríamos processá-los”. Depois disso, as mensagens cessaram, até que, pouco antes do Natal, veio o e-mail com o pedido de votos para a "Casa dos Artistas".

Controvérsia

A discussão sobre o que é conveniente ou não, legal ou não, a respeito do spam tem provocado bastante polêmica. Há poucos dias, foi divulgada uma decisão sobre o tema, promulgada pela juíza Rosângela Lieko Kato, do 6º Juizado Especial Cível de Campo Grande, Mato Grosso do Sul, em que ela equipara as mensagens eletrônicas às malas diretas por correio convencional e considera “um contrasenso (sic) admitir-se que alguém precisa de uma autorização para nos enviar uma correspondência”.

Maurício Andrioli, que afirma desconhecer o significado do termo “spam”, pensa de forma semelhante: “Acho impossível controlar e-mails e não vejo mal nenhum em divulgar algo ou alguma coisa, desde que não denigra ou ofenda ninguém. Se você recebe uma mensagem, olha, não é de seu interesse, é simples, delete”.

Por coincidência, Marcos Bruno e Renato Opice Blum participaram do processo julgado pela juíza de Campo Grande, como advogados de defesa do Portal Planeta. O advogado e jornalista João de Campos Corrêa requeria indenização de R$ 5 mil do portal e de mais duas empresas — Inova Tecnologia e Osite Entretenimento — por ter recebido spam de usuários em cujos endereços constavam domínios pertencentes a estas empresas. Bruno e Opice Blum demonstraram que o Portal Planeta não tinha responsabilidade no envio das mensagens, e até havia cancelado a conta do spammer após receber as primeiras denúncias contra ele. A defesa foi acatada pela juíza.

“O spammer tem responsabilidade, desde que cause dano comprovado pela vítima, pelo menos enquanto não houver legislação sobre o spam em vigor”, explica Bruno. “Já a responsabilidade do provedor é mais delicada, mas existe se este, avisado da conduta ilícita do seu usuário, não adota nenhuma providência e essa omissão também acarreta em dano comprovado”.

No caso da Banda Cravo e Canella, Bruno requisitava o banco de dados onde seu e-mail tinha sido cadastrado com base no artigo 43 da Lei 8.078/90, o famoso Código do Consumidor. O artigo diz que o consumidor “terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.”

“Neste caso, não era bem uma relação de consumo, pois eles não estavam ‘vendendo’ algo diretamente, mas podemos aplicar de forma análoga o artigo 43, que nada mais é do que a garantia do consumidor ter acesso aos cadastros com seus dados pessoais e saber a fonte deles”.

Maurício Andrioli disse que não forneceu esta informação porque achou o advogado “metido e arrogante”. Mas resolveu revelá-la para InfoGuerra: “Recebo vários e-mails, que contêm outros endereços eletrônicos e eu salvo todos, pois sou um artista e é dificil divulgar um trabalho. Nós do Cravo e Canella atiramos para todos os lados na divulgação, pedindo a colaboração de todos”.

Apesar da resposta ofensiva que recebeu de Andrioli, o advogado disse que não tem intenção de processá-lo. Espera, no entanto, que ele seja mais criterioso e deixe de enviar mensagens promocionais a quem não as deseja.

7/1/2002 - 22:15 Divulgação

Um grupo de crackers conhecido como cyb3r attack alterou na madrugada deste domingo a página principal do site brasileiro da Novell, famosa desenvolvedora do sistema para redes Netware. As informações são do site Delta5.

Na página alterada os crackers deixaram apenas a frase "cyber attack was here, hacked by y0ung-th1ef" (cyber attak esteve aqui, hackeado por y0ung-th1ef, que significa "ladrão jovem"), além dos já conhecidos agradecimentos para outros crackers.

O grupo Cyber Attack possui um total de 247 invasões registradas até o momento, segundo informações do site alemão Alldas.de.

O site rodava sobre a plataforma Windows 2000, tendo como servidor Web o IIS 5.0 com suas inúmeras falhas. O espelho do ataque foi registrado pela Delta5 e pode ser visto aqui.

7/1/2002 - 15:24 Giordani Rodrigues

Junto com os verdadeiros vírus que sempre aparecem no final do ano, o falso vírus Sulfnbk.exe fez o seu retorno nos últimos dias de 2001. Segundo a empresa antivírus Sophos e especialistas como Rob Rosenberger, editor do site VMyths, e Mary Landesman, guia da seção antivírus do site About.com, tem aumentado o número de mensagens de alerta sobre este arquivo, que na verdade faz parte do sistema operacional Windows.

A lista que Rosenberger mantém especialmente para receber relatos sobre hoaxes (boatos) registrou 306 mensagens sobre o falso vírus apenas na semana imediatamente anterior ao Natal. Tal número o colocou em primeiro lugar na lista.

No Brasil, também se observou um ressurgimento dos alertas sobre o Sulfnbk.exe, porém em menor grau. A redação de InfoGuerra recebeu, depois de vários meses de calmaria, algumas mensagens solicitando informações sobre a veracidade do “vírus”. O mesmo ocorreu em listas de discussão, como a Infodicas, dedicada a novatos na Internet.

O Sulfnbk.exe serve para restaurar nomes longos (com mais de oito caracteres) de arquivos, perdidos durante os processos de backup. Localiza-se na pasta Command de algumas versões do Windows, por isso é encontrado em muitos computadores.

Em abril deste ano surgiram as primeiras mensagens afirmando que o arquivo era um vírus e indicando como localizá-lo no micro e apagá-lo. Como ele possui um ícone “estranho” e vários usuários o encontravam no sistema, a história se espalhou rapidamente por vários países, chegando ao nível da histeria nos Estados Unidos. Ao que se sabe, o boato surgiu no Brasil.

As versões surgidas em território americano afirmavam que em datas como 25 de maio e 1º de junho o “vírus” iria destruir todos os arquivos do PC. As versões atuais em inglês, segundo Rob Rosenberger, não incluem mais datas específicas para o “ataque”. Agora, as mensagens dizem que o Sulfnbk.exe “permanecerá dormente por 14 dias e depois destruirá seu disco rígido”.

Aparentemente, o boato sobre o Sulfnbk.exe teve a ajuda do vírus (verdadeiro) Magistr para se espalhar. O Magistr tem a capacidade de roubar arquivos do sistema, incorporar seu código e enviá-los por e-mail. E este vírus parece ter uma predileção pelo Sulfnbk.exe e alguns outros arquivos.

Há, porém, uma grande diferença entre encontrar um executável no computador (há centenas deles) e receber um executável por e-mail, tenha ele que nome for. Caso você receba um arquivo chamado Sulfnbk.exe anexado a um e-mail, apague-o imediatamente. Caso receba uma mensagem com orientações sobre como localizar e apagar este arquivo do seu sistema, desconsidere-a.

Veja as Orientações da Microsoft sobre como restaurar o arquivo Sulfnbk.exe, caso você o tenha apagado. E também a descrição da Symantec sobre o boato, com versões da mensagem em vários idiomas, incluindo o português.

Leia também:

Você apagou o arquivo Sulfnbk.exe? Saiba como restaurá-lo

Sulfnbk.exe: antes um boato, agora uma falsa verdade

Falso vírus induz usuário a apagar arquivo do Windows