| Noticias |
Site do Ministério da Justiça foi invadido
31/1/2003 - 18:35 Giordani Rodrigues
O site do Ministério da Justiça (MJ) recebeu a indesejada visita de crackers pelo menos duas vezes nos últimos dias. Nas duas ocasiões os atacantes deixaram sua marca, desfigurando páginas do órgão. O ataque mais recente, assinado pelo grupo Ruffl3s, aconteceu na madrugada desta quinta-feira. O anterior foi assumido pelo grupo ATH (Against The Hell, isto é, “Contra o Inferno) e ocorreu no domingo. Os dois grupos são brasileiros.
Até próximo de meio-dia de quinta-feira, o estrago ainda era visível numa das páginas do Departamento Nacional de Trânsito (Denatran) presente no site do MJ. O integrante L1L0, do grupo Ruffl3s, alterou o conteúdo da página, assinando seu apelido e o nome de seu grupo e inserindo a frase “Aprenda bem as regras... assim saberás como infringi-las de forma correta”. A cópia do ataque pode ser vista aqui.
No domingo, o grupo ATH desfigurou a página principal do site www2.mj.gov.br, que neste momento está com o acesso bloqueado aos usuários. Este endereço está hospedado num segundo servidor do MJ e traz páginas como www2.mj.gov.br/desaparecidos/, dedicada a crianças e adolescentes desaparecidos. O integrante “N30 Shark” fez uma pichação com as saudações habituais, mas com uma página HTML elaborada, o que mostra que o ataque foi mais profundo. O site Zone-H tem uma cópia do defacement.
Apesar do imponente nome do site — Ministério da Justiça —, a invasão dos crackers foi banal. O MJ é apenas mais uma das vítimas do ataque conhecido como SQL Injection, que tem feito a festa dos invasores de páginas, desde os mais experientes até os novatos. Isto porque a falha é ridiculamente fácil de explorar, pode ser feita a partir de qualquer browser, conta com o auxílio de resultados obtidos em mecanismos de busca como o Google, que rastreiam páginas obscuras e de login, e não requer prática nem habilidade.
É basicamente um erro de programação feita de modo displicente, pois o bug é largamente conhecido. Há dois dias, InfoGuerra recebeu um e-mail de “uma nova empresa de segurança na Internet” pedindo que se entrasse em contato com o MJ para avisar da vulnerabilidade do painel administrativo da página que posteriormente foi desfigurada pelo Ruffl3s. "Para arrumar essa vulnerabilidade é preciso colocar no código ASP que não aceite login com caracteres especiais como aspas duplas (") e aspas simples (')", orientava a mensagem. O remetente se queixava de que seus e-mails de alerta para o órgão tinham sido ignorados.
Na quinta-feira foi enviado um email para o setor de comunicação e para o webmaster do site do MJ, alertando para a falha e solicitando informações sobre o ataque dos Ruffl3s. A mensagem recebeu a confirmação de que foi entregue, tanto para um destinatário quanto para o outro, mas nenhuma resposta chegou de volta. A página desfigurada foi corrigida, mas o erro não, e o site continua vulnerável.
Tirando doce de criança
SQL Injection, isto é, a injeção de comandos da linguagem de banco de dados SQL, já deu e ainda vai dar muito o que falar. Já estamos acompanhando o assunto e recebendo mensagens de alerta há quase um ano. No início do ano passado, o diretor da Búfalo Informática, Dennes Torres, enviou um artigo, posteriormente publicado no site de sua empresa, com informações e opiniões sobre as causas da falha. Pouco tempo depois, o programador de banco de dados Alessandro Martins, do portal de imóveis Pé-direito.com enviava outro e-mail com uma relação de sites vulneráveis e a técnica — algo como tirar doce de criança — para explorar a vulnerabilidade. Com uma rápida busca por palavras-chaves no Google, InfoGuerra encontrou centenas de outros sites vulneráveis.
Os mais memoráveis dessa busca são o de um banco de financiamentos ligado ao BNDES, de uma consultoria de segurança com dezenas de clientes conhecidos, e até o site da Revista Microsoft, de Portugal, programado em ASP — uma linguagem desenvolvida pela própria Microsoft, largamente utilizada em conjunto com SQL. Entre as ações possíveis a partir da falha estão desde a mudança de conteúdo de uma página (defacement), até o acesso, alteração ou eliminação de cadastros tão completos quanto os que um banco de dados pode propiciar.
O problema chama tanto a atenção que, segundo Dennes Torres, há quase dois anos, o programador Carlos Alberto Bueno já denunciava à imprensa a precariedade de sites de comércio eletrônico por causa desse bug. Pouco tempo depois, Bueno foi preso em flagrante em São Paulo, acusado de tentar chantagear uma empresa cuja rede estaria com falhas. O programador se defendeu dizendo que a empresa é que teria oferecido dinheiro a ele, para que "parasse de falar com a imprensa".
Desde então, o mesmo tipo de falha, em vez de ter sua incidência reduzida, proliferou e se tornou mais grave, pois está presente até em sites de grandes empresas e pode ser considerado o ataque da moda. Por causa da falha de SQL Injection, o site do Partido dos Trabalhadores foi desfigurado em pleno segundo turno de campanha do atual presidente Lula, e o site de comércio eletrônico da conceituada empresa de segurança Módulo teve de ser retirado do ar recentemente, antes mesmo de seu lançamento oficial. A empresa que criou o site para a Módulo cometeu o mesmo erro em sites de outros clientes, alguns bastante conhecidos, e que continuam vulneráveis.
“Já avisei alguns sites importantes sobre essa falha, mas pelo jeito o alerta não surtiu efeito”, afirma o programador Marcelo Gomes, responsável pelo site de segurança Total Security. Entre as empresas que ele afirma que alertou está a Coca-Cola, em cuja página de relação com a imprensa alguém colocou um diretório de nome “test” com uma suspeita figura de nome “blah.gif” (que não abre).
Ao que tudo indica, não é por falta de aviso que a falha continua fazendo vítimas. Mesmo com todos os alertas, InfoGuerra resolveu dar mais uma força aos administradores de sistema e convidou o especialista em segurança Nelson Murilo, da empresa Pangéia Informática, para explicar, em linguagem um pouco mais técnica, de que forma os ataques SQL Injection se apresentam e como evitá-los. O artigo pode ser visto no link abaixo:
Técnicas defensivas contra injeção de comandos
Leia também:
Crackers alteram site do Instituto Curitiba de Informática
Descobertas falhas em site de e-commerce da Módulo
Site do PT é hackeado
| Dicas |
Técnicas defensivas contra injeção de comandos
31/1/2003 - 15:03 Nelson Murilo
Este é um artigo técnico do especialista em segurança Nelson Murilo, a respeito de causas e como se proteger de ataques chamados de SQL Injection. Para uma visão mais prática do que o problema pode acarretar, leia o texto Site do Ministério da Justiça foi invadido.
Serviços nos quais existe autenticação ou consulta, normalmente fazem integração com os bancos de dados e permitem interação do usuário através de páginas com formulários. Uma vez informados os campos do formulário, uma interface deve proceder uma conversão de linguagem, de forma a permitir o entendimento por parte do banco de dados utilizado. Servidores WEB entendem HTML (HyperText Markup Language), enquanto bancos de dados em geral utilizam SQL (Structured Query Language). Esta tradução deve limitar a busca (identificar se um usuário está ou não cadastrado, recuperar documentos, etc.) ao objeto da pesquisa, de forma a não permitir a execução de comandos arbitrários que comprometem a segurança das informações armazenadas, ou até mesmo o ambiente computacional local e de terceiros.
As técnicas de injeção de comandos podem variar desde uma simples geração de erros, que expõem aspectos do ambiente, até permitir o comprometimento completo do sistema. Não é demais lembrar que a despeito de cada fabricante adicionar funcionalidades proprietárias, a linguagem SQL ANSI é aceita incondicionalmente pela grande maioria dos fornecedores de bancos de dados, como: Oracle, SYBASE, MS SQL Server, DB2, Access, MySQL, entre outros. Portanto o risco da injeção de comandos não está restrito a um determinado fornecedor, muito pelo contrário, já que a quase totalidade das instalações mundiais fazem uso de um ou mais bancos citados acima.
Métodos e informações sobre os ataques
Ataques bem sucedidos utilizando injeção de comandos seguem, normalmente, os seguintes passos:
1 - Análise dos erros gerados pela aplicação em função de preenchimento dos campos com informações não esperadas;
2 - Manipulação dos campos de entrada de dados com objetivo de determinar a estrutura de esquemas, bases, tabelas e colunas;
3 - Determinar o comando ou comandos que permitirão ler ou manipular as informações de interesse;
4. Obter as informações propriamente ditas e verificar a possibilidade de obter informações ou executar comandos no servidor.
Atacantes podem se valer de particularidades de determinados bancos de dados como conta “scoth” ou “sys” do Oracle, ou “sa” do MS SQL Server, ou acessar bases específicas como o “master” ou “tempdb”, também existentes no MS SQL Server.
Usando uns poucos comandos, podem ser listadas bases, esquemas, tabelas e colunas. Em ambientes MS SQL Server poderia ser usada, por exemplo, a seqüência abaixo:
SELECT * FROM master..sysdatabases
USE database SELECT syscolumns.name,sysobjects.name FROM syscolumns,sysobjects WHERE sysobjects.xtype='U' and syscolumns.id = sysobjects.id
De posse destes dados é possível obter informações, incluir, excluir ou alterar dados da base.
Ainda que o perigo deste tipo de ataque ficasse restrito à manipulação de bases de dados, o risco já seria suficientemente alto. Porém, infelizmente, a injeção de comandos extrapola estes limites e pode, em alguns ambientes, permitir ao atacante obter informações do sistema, executar comandos arbitrários no servidor, invadir outros servidores da mesma rede e até usar o método como base para ataques a terceiros.
O exemplo abaixo utiliza uma chamada disponível em Sybase e MS SQL Server, que permite listar os arquivos de um determinado diretório do servidor:
master..xp_cmdshell 'dir c:\WINNT'
Deve ficar claro que, assim como ‘dir’ foi usado como exemplo para ambientes Windows, qualquer comando disponível no sistema operacional pode ser executado, seja ele Windows ou Unix. As únicas limitações são o nível de permissão do usuário e detalhes de implementação, em funcão do fabricante do banco de dados.
Estratégias de defesa
O principal ponto de filtragem de comandos não autorizados é a validação dos campos. Mas é preciso ter em mente qual o melhor local para fazer a validação do que foi digitado. Alguns projetistas fazem uso apenas de linguagens interpretadas pelo navegador, notadamente JavaScript, para validar as entradas. Não há dúvida que esta é uma estratégia util, mas se existir validação apenas neste ponto, um atacante pode facilmente desabilitar esta funcionalidade ou mesmo utilizar navegadores — Lynx por exemplo — que não interpretam JavaScript e outras linguagens assemelhadas.
De uma maneira geral, a chamada, assim como os nomes dos campos que irão formar o comando de consulta, está no código HTML, sendo assim, nada impede que o atacante monte o comando e passe diretamente ao programa que irá processar o formulário, via URL ou via POST.
Portanto, o ideal é montar as estratégias de defesa nos programas que efetivamente irão conversar com o banco de dados. Notadamente as linguagens utilizadas são ASP, VisualBasic, ColdFusion, Perl e PHP.
Alguns procedimentos simples podem evitar problemas, como, por exemplo, limitar o tamanho do campo do formulário. É util, mas não suficiente limitar apenas no código HTML:
<INPUT type="text" name="login" size=16> Login</INPUT>
É importante testar também após o formulário ser enviado. Na tabela abaixo estão funções para verificação do tamanho dos campos:
ASP: len(cadeia)
PERL: length cadeia;
PHP: Strlen($cadeia);
JavaScript: document.write(cadeia.length)
Campos numéricos devem conter apenas algarismos. As rotinas que permitem remover qualquer outro caracter, para algumas linguagens, estão na tabela abaixo:
ColdFusion: REreplace (campo, “[^0-9]”, “”, “ALL”)
PERL: $campo =~ s/[^0-9]//g
PHP: ereg_replace (“[^0-9]”, “”, $campo)
Utilizando ASP existem pelo menos duas maneiras de retirar o que não for algarismo. A mais flexivel é, possivelmente, por meio da criação de uma função:
function ReplaceNum (MatchedString) { return “ “; }
var regex = /[0-9]/g;
campo = data.replace(regex, ReplaceNum);
A mesma idéia pode ser aplicada a outras necessidades, como campos que devam conter apenas letras minúsculas, campos alfanuméricos, etc.
O principal problema em ataques de injeção de comandos é em relação a caracteres especiais, notadamente plicas (‘), sinal de menos (-), ponto e virgula (;) e o asterisco (*). Porém, todas as regras para criação de senhas de difícil adivinhação apontam para uma mistura de letras (maiúsculas e minúsculas), números e caracteres especiais. Portanto é preciso avaliar corretamente quais campos devem conter determinados filtros e talvez impor alguns limites na criação de senhas e caracteres que podem ser utilizados em textos livres.
Usando a mesma idéia anterior é possível retirar plicas e outros caracteres suspeitos. Porém existem situações em que o tratamento campo a campo não é possivel. Neste caso uma maneira interessante de evitar a introdução de comandos arbitrários é manipular a quantidade de plicas (‘) e aspas (“) do comando. Desta forma, ficam sem efeito as tentativas de interromper ou adicionar elementos à linha de comando que irá acessar a base de dados SQL:
PERL: $cadeia =~s/[‘”]/’’/g;
PHP: ereg_replace(“’”, “’’”, $cadeia
ColdFusion: REReplace(cadeia, “’”, “’’”)
Considerações finais
Evitar a injeção de comandos SQL é uma pequena, mas importante, parte dos procedimentos de proteção necessários a um servidor Web e, de resto, à instalação como um todo. Existem medidas de segurança que mesmo focando a defesa contra injeção de comandos, podem beneficiar todo o ambiente, tais como:
● Enviar mensagens genéricas de erro, tratando nos programas as mensagens detalhadas vindas do ODBC e similares;
● Os dados numéricos devem ter tipos compatíveis. É muito comum encontrarmos colunas do tipo VARCHAR, quando deveriam ser do tipo INT;
● Limitação de privilégios. A conta utilizada para acessar o banco deve ter o menor nivel de privilégio possível. Jamais deve poder manipular informações além das necessárias. Em ambientes onde existe apenas uma consulta ao banco, via página, não há razões para esta conta ter poderes maiores que o de leitura;
● Jamais coloque senhas ou outras informações importantes em arquivos .INC. O conteúdo pode ser facilmente visualizado, e portanto, as informações lá contidas ficarão expostas. Na mesma linha, códigos HTML não devem conter informações sobre seus esquemas, nomes de bases, tabelas e colunas. Isso pode ser confundido com “segurança por obscuridade”, mas em segurança da informação existem vários níveis de confidencialidade, existem coisas que o usuário DEVE saber, algumas que ele PODE saber, outras que ele NÃO PRECISA saber (estamos neste caso) e ainda as que ele NÃO PODE saber. Evitar informar coisas que o usuário não precisa saber pode ser útil para evitar vários tipos de ataque, inclusive os de engenharia social.
● Bloquear acesso ao servidor SQL. Normamente necessitam ter acesso a servidores SQL apenas os responsáveis pela manutenção ou pelo desenvolvimento. Filtrar, nos firewalls e/ou roteadores o acesso externo e mesmo interno aos serviços SQL, que utilizam as portas 1433 e 1434 (TCP e UDP), pode evitar muitos problemas, inclusive ataques de Worms, como o SQL Slammer ou Sapphire.
Ao contrário do que normalmente ocorre, quando o administrador do sistema é o responsável por promover e manter medidas de segurança no seu ambiente, muito do trabalho para manter bases SQL seguras depende de conscientização do desenvolvedor, e deve começar no protótipo do sistema, pois os mecanismos de segurança devem ser incorporados ao desenvolvimento de forma transparente. Assim, não há desculpa para entregar um sistema sabidamente inseguro com a promessa de incluir estes mecanismos na versão final. Empresas que prometem ou aceitam este tipo de situação devem rever, urgentemente, seus procedimentos de segurança.
Nelson Murilo de Oliveira Rufino atua na área de segurança de redes desde 1992. É autor do livro Segurança Nacional - Técnicas e ferramentas de ataque e defesa. É diretor da empresa de segurança Pangéia Informática; administra o Centro de Tratamento e Resposta a Incidentes Computacionais do Departamento de Polícia Federal do Brasil; é membro do Grupo de Segurança (GTS) do Comitê Gestor da Internet/BR; ministra cursos de segurança há 9 anos e palestras em eventos nacionais e internacionais; entre outras atividades.
| Noticias |
InfoGuerra ganha liminar contra plágio de conteúdo online
30/1/2003 - 16:55 Redação
A juíza Jane Bertolini Serra, da 42ª Vara Cível Central de São Paulo, determinou que o representante brasileiro da empresa antivírus Hauri, da Coréia do Sul, retire de seu site uma matéria copiada do site InfoGuerra sem autorização. A decisão é fruto de um processo por violação de direitos autorais movido pelo site de segurança, o qual prevê ainda indenização por danos materiais e morais.
Na página principal do site Hauri.com.br ainda se encontra a chamada para a matéria "Falso vírus jdbgmgr.exe é variante do boato Sulfnbk.exe". Trata-se de um texto publicado originalmente por InfoGuerra e que relata as características do principal boato sobre vírus de computador criado no ano passado.
Além de não ter solicitado permissão para reproduzir o artigo, o site brasileiro da Hauri omitiu os créditos originais e mutilou o início do segundo parágrafo, eliminando a referência que havia a InfoGuerra no corpo do texto. Também eliminou todo um outro parágrafo que fazia alusão às empresas Symantec e McAfee, suas concorrentes, e ao site de segurança VSAntivirus. Tais atitudes não só caracterizaram a má-fé no uso da matéria, como tornaram ilógico um trecho posterior do texto. O artigo original pode ser visto aqui e comparado com a cópia, aqui.
"Infelizmente, a defesa - justa - da liberdade na Internet, muitas vezes é confundida com apropriação indébita de trabalhos alheios. A cultura do 'Control C, Control V' é muito disseminada na Rede. E é uma atitude que geralmente pode ser resolvida de modo amigável, mas neste caso específico houve uma flagrante tentativa de descaracterizar deliberadamente a origem do texto e se apropriar dele", ressalta o jornalista Giordani Rodrigues, diretor do site InfoGuerra.
Os advogados do caso - Renato Ópice Blum e Marcos Gomes da Silva Bruno, do escritório Ópice Blum, de São Paulo, e Eliane Saldan e Omar Kaminski, de Curitiba, no Paraná - recorreram ao Tribunal de Justiça paulista porque a juíza, apesar de ter determinado liminarmente a retirada da matéria do ar, condicionou o cumprimento da liminar ao pagamento de caução e depósito de honorários periciais e que fosse realizada na forma de busca e apreensão.
O pedido liminar do recurso de agravo feito pelos advogados foi deferido pelo desembargador Paulo Dimas Mascaretti, da 10ª Câmara de Direito Privado. "Tendo em conta a relevante fundamentação expendida pelo agravante, suspendo o cumprimento da decisão agravada no que tange a exigência de prévia caução e de depósito dos honorários do perito nomeado, podendo ser cumprida desde logo a medida liminar, a fim de que a demandada retire do seu site a matéria indicada na petição inicial", escreveu o desembargador. Ele reconheceu, também, que não há pertinência na realização de busca e apreensão para efetivação da medida.
"O caso prova a dificuldade de atuar na área do direito eletrônico, seja pela produção de prova específica, seja pela dificuldade dos Tribunais com a questão, fatos que exigem a atuação de profissionais extremamente habilitados e especializados", opina Renato Ópice Blum. "Mesmo assim, o resultado final é excelente, pois, mais uma vez se demonstra que o meio eletrônico não é um mundo sem leis".
A violação dos direitos autorais, de acordo com a lei 9.610/98, que regula o assunto, prevê indenização por danos morais e patrimoniais, que, em certos casos, pode chegar a 3 mil vezes o valor de cada "exemplar" violado. "Em se tratando de propriedade intelectual, tanto os direitos autorais quanto os direitos de propriedade industrial são constantemente violados, portanto isto serve como desestímulo aos internautas que se consideram imunes a qualquer punição e incentivo às pessoas lesadas a proteger seus direitos, lembrando que é importante estar amparado em provas válidas", conclui Eliane Saldan.
Nos próximos dias, quando os representantes legais do site forem citados e tomarem ciência da decisão, o texto copiado deverá ser retirado do ar.
| Noticias |
Panda lança solução antivírus contra o Slammer
29/1/2003 - 15:59 Redação
A Panda Software, empresa multinacional espanhola do setor de antivírus, anunciou hoje o lançamento do Panda Antivirus Appliance, novo produto para proteção corporativa que integra hardware e software. O produto traz a primeira solução do mercado capaz de detectar e bloquear worms como o Slammer, que até agora não podia ser combatido por antivírus tradicionais.
O Panda Antivirus Appliance atua a partir do perímetro de uma rede, analisando as conexões TCP/IP e bloqueando pacotes maléficos, como o que é enviado pelo Slammer aproveitando-se de vulnerabilidades do servidor MS SQL. O mesmo procedimento serve para evitar ataques do tipo buffer overflow e de negação de serviço (DoS), ambos utilizados pelo worm.
Entre as funcionalidades do Panda Antivirus Appliance, destacam-se:
- Proteção dos protocolos mais comuns, ao analisar conexões HTTP, FTP, SMTP, POP3, IMAP, NNTP e SOCKS.
- Filtro de conteúdo, que impede a entrada de arquivos potencialmente perigosos antes que o sistema antivírus os analise. Além de oferecer uma proteção extra, a funcionalidade reduz a carga de trabalho do antivirus, economizando recursos do sistema.
- Atualizações diárias e automáticas contra os novos vírus.
- Administração remota por meio de uma interface Web, acionada a partir de qualquer computador conectado à Internet e dotado de navegador.
Outras informações sobre o produto podem ser encontradas aqui.
Leia também:
Vírus derruba parte da Internet mundial
Perguntas e respostas sobre o vírus Slammer
Microsoft libera patch revisado para combater o Slammer
| Noticias |
Assembléia de Minas implanta software livre OpenOffice
29/1/2003 - 14:11 Redação
A partir da próxima segunda-feira, a Assembléia Legislativa do Estado de Minas Gerais (Alemg) começa a implantar em seus microcomputadores o software livre e gratuito OpenOffice. Essa medida ? inovadora nas instituições públicas de Minas Gerais ? foi tomada para diminuir os custos de utilização e licença dos produtos da Microsoft.
Segundo o gerente-geral de Sistemas de Informação da Assembléia, Marcelo Migueletto, a adoção do OpenOffice começou a ser considerada depois que a Microsoft passou a exigir a assinatura do contrato de atualização permanente de versão dos seus programas. De acordo com Migueletto, o Microsoft Office corresponde hoje a 30% do valor de uma estação de trabalho na Assembléia.
Outros motivos que levaram à adoção do software livre foram o custo crescente dos programas em reais, por causa da desvalorização cambial, e a informatização da secretaria da Alemg e dos gabinetes. "O aumento do preço do pacote de programas da Microsoft tem sido considerável, já que é vendido pela cotação do dólar, correspondendo hoje a R$ 1.456,00 para cada micro", disse.
A implantação do OpenOffice ? conjunto de programas envolvendo, entre outros, um editor de texto (Writer), uma planilha (Calc) e um editor de apresentação (Impress) ? começará pelos gabinetes parlamentares, quando 240 funcionários que já utilizam o computador farão o curso de migração do Word para o Writer, e outros 80 receberão o curso de migração do Excel para o Calc. No segundo semestre, o software será instalado em setores específicos da Secretaria da Assembléia que não utilizam outros sistemas de interação com o Word. Em 2004 será iniciada a transição no restante da Secretaria.
A adoção do software livre na Assembléia de Minas Gerais foi autorizada com a publicação da Portaria nº 28 , de 9 de dezembro de 2002, que determina a implantação do pacote de software OpenOffice nos microcomputadores da Assembléia a partir de 2003. A migração de todos os setores da Alemg para o novo software será completada em dois anos.
Segundo Marcelo Migueletto, o estudo do Writer e do Calc está sendo feito há um ano. Ele conta que no final de 2001 seu setor começou a procurar alternativas para o uso do Word e Excel. Nesse momento, o setor de informática começou a avaliar o OpenOffice como uma alternativa viável.
O OpenOffice reconhece, importa e salva arquivos da Microsoft. O setor de informática também irá instalar os programas de visualização gratuitos da Microsoft para Word, Excel e Power Point. O ambiente Windows, o login e disco de rede, o correio eletrônico e o navegador da Internet utilizados pelos usuários da Alemg serão mantidos.
| Noticias |
Vírus se espalha por redes e permite controlar o micro
28/1/2003 - 18:21 Redação
A McAfee Security está alertando o mercado para o aparecimento de um novo vírus denominado W32/Netspree.worm. Trata-se de um vírus que tenta se espalhar enviando cópias de si mesmo para compartilhamento remoto IPC$ nas estações e permite a um hacker controlar remotamtne a máquina infectada .
IPC$ (InterProcess Communication) é um compartilhamento administrativo padrão disponível em sistemas Windows NT, 2000 e XP, mas não está presente em sistemas Windows9x. O Netspree tenta ganhar o acesso ao compartilhamento usando nome de usuário e senha administrativos. Uma vez acessado o sistema remoto, o worm usa o utilitário PSEXEC para se copiar e executar seus códigos.
O principal arquivo executável do vírus é o WIN32LOAD.EXE, que possui a característica de um cavalo de Tróia. Quando executado, faz cópias de si mesmo no diretório System do Windows e cria as seguintes chaves de registro para que seja
carregado na inicialização da máquina:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Windows Subsys"="C:\WINDOWS\SYSTEM\WIN32LOAD.EXE" rundll32.dll,loadsubsys,loadsys,win32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "Windows Subsys" = "C:\WINDOWS\SYSTEM\WIN32LOAD.EXE"
rundll32.dll,loadsubsys,loadsys,win32
Os sintomas mais visíveis de sua presença são as chaves de
registro e os arquivos PSEXEC.BAT; PSEXEC.EXE; LCP_NETBIOS.DLL e WIN32LOAD.EXE localizados no diretório System do Windows.
Quando uma conexão de Internet é encontrada, o vírus carrega um arquivo de plugin denominado Icp_netbios.dll. Este plugin possui o utilitário PSEXEC e um arquivo de lote (.bat) que contém instruções para conectar a máquina infefctada a sistemas remotos, permitindo o controle do computador, e comandos PSEXEC, usados para executar uma infecção.
O Netspree também se conecta a um canal IRC com a finalidade de enviar ao atacante informações do sistema infectado, como CPU, IP, memória total, memória disponível, sistema operacional, entre outros. O vírus pode ainda lançar ataques de negação de serviço a outros computadores infectados. No momento, o W32/Netspree.worm é considerado de baixo risco.
| Noticias |
Lançamentos incorporam novos recursos de firewall e VPN
28/1/2003 - 17:22 Redação
A SonicWALL anunciou hoje o lançamento dos dispositivos de segurança para a Internet SonicWALL PRO 230 e PRO 330. Os produtos incorporam mais recursos de firewall e novas características de VPN (Virtual Private Network), visando conectividade mais segura, confiabilidade e disponibilidade para redes corporativas de pequeno até grande porte.
Tanto o PRO 230 como o PRO 330 incluem a aceleração VPN IPSec baseada em ASIC (Circuito Integrado de Aplicação Específica) e vêm com recursos VPN que possibilitam acesso imediato e seguro às redes corporativas. O VPN Single-Arm Mode oferece flexibilidade para colocação de um PRO 230 ou PRO 330 em qualquer configuração de rede, em conjunto com um firewall já existente. O PRO 230 e o PRO 330 também suportam AES (Advanced Encryption Standard) para maior segurança.
Os produtos possuem interfaces flexíveis para DMZ (a chamada ?zona desmilitarizada?) ou uma segunda LAN, criando assim várias zonas protegidas. Como outros dispositivos integrados de segurança para Internet da SonicWALL, o PRO 230 e o PRO 330 podem ser administrados a partir de uma interface Web ou de um ponto central, graças ao GMS (Global Management System). Os recursos do software de produção de relatório ViewPoint do PRO 330 permitem a emissão de relatórios em tempo real e a conexão a partir de um console Web centralizado.
Novo firmware
Em conjunto com os dois novos produtos, a SonicWALL também lançou o Firmware 6.4, que será distribuído automaticamente para todos os clientes através do mecanismo Auto Update. A nova versão do firmware agora inclui uma série de recursos:
Propagação RIPv2 - Propaga dinamicamente informações atualizadas de VPN e estatísticas de roteamento, reduzindo o risco de roteamentos incorretos e garantindo assim conectividade confiável aos recursos críticos.
Cliente PPTP ? Possibilita suporte ao protocolo de rede de área ampla (WAN), PPTP (Point-to-Point Tunneling Protocol) da Microsoft e conexão com uma VPN baseada em PPTP.
Detecção Configurável de Ponto Morto (DPD) ? Aumenta o tempo de operacionalidade, a velocidade de acesso e produtividade do usuário, graças à detecção automática e restabelecimento de conexões VPN com falha.
Suporte para FQDN (Fully Qualified Domain Name) ? Oferece conexões VPN seguras e flexíveis, possibilitando a definição de endereços de gateways VPN por nome do host, além de um endereço IP.
O SonicWALL PRO 230 já está disponível no mercado brasileiro por US$ 3.274,00 e o PRO 330 por R$ 4.916,00 através dos canais de distribuição da SonicWALL. O Firmware 6.4 também já se encontra à disposição em www.mysonicwall.com para os clientes da SonicWALL com contratos de suporte válidos. Para obter mais informações, acesse www.sonicwall.com/products.
| Noticias |
Microsoft libera patch revisado para combater o Slammer
28/1/2003 - 13:43 Giordani Rodrigues
A Microsoft liberou um patch cumulativo e revisado, que corrige várias vulnerabilidades dos servidores MS SQL. O patch inclui a solução para uma falha já corrigida no boletim de segurança MS02-039, de julho de 2002, e que é explorada pelo atual worm Slammer. Além disso, o pacote inclui um "remendo" lançado no final de outubro e um arquivo para auto-instalação das correções, que facilita a vida dos usuários.
Este mesmo patch cumulativo (MS02-061) já tinha sido lançado originalmente em 16 de outubro de 2002. O pacote, que continua efetivo, corrigia todas as vulnerabilidades anteriores do produto (inclusive a que é explorada pelo Slammer) e uma nova vulnerabilidade descoberta na época, que afeta um procedimento de armazenagem do servidor SQL. No entanto, descobriu-se logo depois que, sob certas circunstâncias, o patch interfere em operações do SQL Server. Como resultado, em 30 de outubro de 2002, um patch adicional não relacionado à segurança foi lançado para garantir a normalidade das operações do servidor.
Por causa do grande alarme causado pela ação do Slammer em todo o mundo, a Microsoft resolveu relançar a correção e incluir no pacote o hotfix de 30 de outubro e um instalador, que elimina a necessidade de que os administradores de sistemas copiem os arquivos manualmente para seus servidores. O boletim de segurança revisado com o pacote de correções pode ser encontrado aqui. Em 17 de janeiro de 2003, a Microsoft também lançou o Service Pack 3 (SP3) para o SQL Server 2000, contendo todas as correções para as falhas encontradas no servidor desde a data de lançamento do produto. O SP3 pode ser baixado aqui.
Informações desencontradas
Como costuma ocorrer nas primeiras horas de descoberta de um vírus muito ativo, as empresas de segurança acabam fornecendo informações desencontradas. Foi o que ocorreu no caso do Slammer. No sábado, 25, dia da descoberta do worm, algumas empresas antivírus informaram que a praga atinge apenas máquinas Windows 2000 rodando servidor MS SQL. Agora, parece não restar dúvidas de que a informação correta é: o worm atinge apenas servidores MS SQL Server 2000 (incluindo as versões SP1 e SP2) e o Microsoft Desktop Engine (MSDE) 2000. (Até o momento de publicação desta matéria, a Sophos continuava com a informação anterior em seu site; outras empresas, como F-Secure e IIS, já corrigiram os dados).
O detalhe é que o MS SQL Server 2000 pode rodar tanto em Windows 2000, quanto, teoricamente, em Windows NT e XP. Além disso, o Microsoft Desktop Engine 2000 pode ser encontrado em vários aplicativos que rodam em Windows 98, ME, NT, 2000 e XP, e não raro é utilizado por usuários domésticos e desenvolvedores de software. Tais usuários, portanto, também correm risco, caso possuam o software e não tenham atualizado suas máquinas. De qualquer modo, as empresas ainda são o principal alvo do worm. Para obter informações detalhadas e corretas sobre os produtos atingidos pelo Slammer, leia esta página da Microsoft.
Outra informação um tanto confusa partiu do conceituado CERT Coordination Center. Em seu alerta do dia 25 sobre o Slammer, o centro de segurança afirmou que "a infecção por meio deste worm possibilita que um atacante possa executar um código arbitrário neste sistema como se fosse um usuário local do mesmo. A partir daí, é possível que um atacante, utilizando 'exploits', consiga privilégios de administrador". A frase dá a impressão equivocada que que o worm possa descarregar algum arquivo (exploit), ou abrir uma brecha que possibilite a um atacante remoto controlar a máquina atingida, o que não é verdade. O que o CERT quis dizer é que a presença do worm em uma máquina demonstra que o sistema já possui uma brecha de segurança, a qual permite ataques posteriores e mais graves. Tais ataques, porém, não são executados nem facilitados pelo vírus em si. A versão em inglês do documento já foi revisada e o mal-entendido foi corrigido.
Leia também:
Perguntas e respostas sobre o vírus Slammer
Vírus derruba parte da Internet mundial
| Dicas |
Perguntas e respostas sobre o vírus Slammer
27/1/2003 - 19:05 Redação InfoGuerra
A empresa antivírus britânica Sophos publicou nesta segunda-feira um guia de perguntas e respostas sobre o Slammer, o worm descoberto no último sábado e que tem provocado grandes estragos na Internet, derrubando servidores e causando lentidão no trafégo de dados. Aproveitando a importância das informações na prevenção deste vírus, InfoGuerra traduziu, de forma livre, as questões apresentadas pela Sophos:
O que é SQLSlam, ou Slammer, ou Sapphire?
W32/SQLSlam-A é um worm (uma espécie de vírus de computador) de redes, que se espalha usando apenas a memória das máquinas. O worm infecta o espaço de processos do servidor Microsoft SQL 2000 ao explorar uma vulnerabilidade conhecida como buffer overflow. Isto permite que o W32/SQLSlam-A seja executado como parte do servidor SQL. Uma vez executado, o worm tenta enviar cópias de si mesmo do servidor para quantos sites na Internet conseguir, até que seja detido pelo encerramento do processo no servidor SQL. (Na verdade, o worm entra no que é conhecido como "loop infinito", de modo que ele nunca pára de se disseminar por conta própria.)
O que é um buffer overflow?
Buffer overflows são causados por bugs (falhas) em programas de computador. São explorados pelo envio de mais dados do que um programa espera obter. Se o programa não verificar esta situação, irá ler mais dados do que o espaço reservado em memória lhe permite. Então, os bytes extras podem sobrescrever partes da memória que o sistema operacional está usando para outros propósitos. Como uma analogia, imagine que lhe foi pedido para analisar dez páginas de um contrato e aprová-lo assinando cada página. Agora imagine que você verifica cuidadosamente as dez primeiras páginas, mas assina cegamente o rodapé de todas as páginas que lhe foram dadas. Se advogados inescrupulosos tiverem preparado 12 páginas em vez das dez que eles lhe pediram para analisar, você pode ter concordado com mais cláusulas do que pretendia.
Por que o buffer overflow explorado pelo Slammer não foi corrigido?
O buffer overflow explorado pelo Slammer foi corrigido há seis meses. A vulnerabilidade foi abordada pela Microsoft em julho de 2002.
Se você é um usuário do SQL Server 2000, provavelmente investiu bastante tempo e dinheiro, tanto em hardware quanto em software, e provavelmente está usando seu servidor SQL para guardar e acessar informações importantes para sua companhia. Então, você tem um compromisso consigo mesmo, com sua empresa e com seus clientes, de se manter informado sobre brechas de segurança e seus respectivos patches (correções). É especialmente importante ficar atento aos patches para o sistema operacional em si e para os softwares que você usa para fornecer serviços online através de sua rede.
Por que as pessoas conseguem conectar-se ao meu servidor SQL a partir da Internet?
Esta é uma pergunta muito boa para você fazer a si mesmo.
Na prática, há poucos casos em que os servidores SQL precisam ser acessados diretamente da Internet. Poucos servidores SQL orientados à Internet enviam dados diretamente a usuários finais fora de sua companhia. A maioria envia os dados a um servidor Web, que converte os dados brutos em páginas HTML e as entrega a um usuário externo.
O servidor Microsoft SQL 2000 usa duas portas, 1433 e 1434. Provavelmente você deveria bloquear estas portas (para tráfego de entrada e saída) em seu roteador Internet ou firewall. De fato, você deveria bloquear tudo, exceto o tráfego que explicitamente decidiu liberar.
Por que os programas antivírus não conseguem impedir que o Slammer se instale na memória?
O worm Slammer chega como um pacote de requisições de um servidor SQL. Ele se instala na memória porque seu servidor SQL o lê dentro de seu próprio espaço de memória de modo inteiramente proposital. Você precisa bloquear o pacote maléfico antes que ele passe para o servidor SQL. Se você tem um firewall para inspeção de pacotes, provavelmente você poderá fazer isso - mas uma solução muito mais efetiva será bloquear todos os pacotes que tenham como objetivo a porta 1434, já que pacotes externos à sua empresa provavelmente são desnecessários. (Um número muito grande de pacotes SQL vindos do exterior de fato irá se transformar em algo maléfico.)
O que eu faço para me livrar do Slammer?
O Slammer não salva uma cópia de si mesmo no disco rígido, portanto terminar e reiniciar os processos do servidor SQL (ou melhor ainda, reiniciar seu servidor) irá desinfectá-lo. Mas certifique-se de aplicar o patch em seu servidor SQL antes de reiniciá-lo, ou você corre o risco de reinfecção. Atualize as regras de seu roteador ou firewall ao mesmo tempo.
Por que não há um remédio "mágico" para desinfectar e corrigir meu servidor sem esforço?
Quando o Slammer infecta seu servidor, ele sobrescreve a memória que pertence ao processo SQL. O worm então toma o controle de uma thread (sequência de comandos) dentro deste processo e entra em loop infinito. Você não consegue restaurar a imagem da memória de seu servidor SQL para um momento anterior à infecção, então deve considerar o processo SQL como inseguro. (Você poderia limpar o worm da memória para impedi-lo de se disseminar, mas a thread da qual ele tomou controle iria permanecer em loop infinito. Você poderia limpar o worm da memória para forçá-lo a terminar a thread que ele está executando, mas isto ainda deixaria o processo SQL em um estado "não natural". Você pode até ter múltiplas instâncias do worm, cada uma com sua própria thread "fora de controle".)
Para eliminar qualquer instância do worm que esteja sendo executada e restaurar o sistema a um estado seguro, você precisa terminar o processo no qual o worm está rodando. Isto significa desligar seu servidor e ligá-lo novamente com o controle adequado de todas as suas próprias threads.
O que acontece se eu não fizer nada?
Se você estiver infectado com o Slammer, estará anunciando este fato na Internet. Pacotes serão observados fluindo livremente de seu servidor SQL para a porta 1434 dentro de uma larga faixa de endereços IP gerados aleatoriamente. Isto indica que seu servidor já foi comprometido.
Agora considere que o Slammer é quase que certamente derivado de um exploit (conjunto de códigos para explorar vulnerabilidades) publicado e documentado por um grupo hacker chinês. Este exploit penetra em seu servidor SQL, inicia um prompt de comando e dá o controle sobre este prompt de comando a um atacante remoto. Qualquer um que perceba que o seu servidor está infectado pode facilmente e de modo imediato tomar controle completo de sua máquina. (Da mesma forma que o servidor SQL roda com privilégios de sistema, o prompt de comando do "exploit chinês" também o faz. Isto significa que o seu atacante tem privilégios de administrador em seu servidor.)
Além do risco óbvio para o seu servidor, permitir-se ficar infectado com o Slammer é uma demonstração de má cidadania na Internet. Servidores infectados podem gerar um alto volume de tráfego de saída, o qual deverá ser transmitido integralmente através de redes alheias.
Por que eu não fiquei sabendo desses riscos com antecedência
Uma vez mais, a prevenção é a melhor arma. A Microsoft opera uma lista de segurança para avisá-lo sobre vulnerabilidades e correções de seus produtos. Muitos outros fabricantes fazem o mesmo, bem como a comunidade open source. Por que não fazer sua assinatura hoje?
Leia também:
Vírus derruba parte da Internet mundial
| Noticias |
Vírus derruba parte da Internet mundial
25/1/2003 - 19:39 Giordani Rodrigues
Se você tentou acessar sites na Internet ou baixar e-mails entre aproximadamente 2h30 e 8h30 deste sábado, é provável que tenha tido problemas. Tudo por causa de um novo worm, cuja ação provocou ataques de negação de serviço (DoS) e derrubou milhares de servidores ao redor do mundo. Há relatos de que, entre as máquinas atingidas, estavam pelo menos 5 dos 13 servidores de nomes por onde passa todo o tráfego da Internet mundial.
Um dos primeiros alertas públicos sobre o worm apareceu na manhã de sábado, na lista Bugtraq. Algumas horas depois, a empresa de segurança IIS e as companhias antivírus lançaram seus próprios alertas sobre a praga, que foi batizada de SQL Slammer, Sapphire, Worm.SQL.Helkern e outros nomes.
Como sugere o nome, o worm ataca servidores SQL, mais especificamente os servidores MS SQL, da Microsoft, aproveitando-se de uma vulnerabilidade descoberta neste software em meados do ano passado. Após contaminar uma máquina, o Slammer envia massivos pacotes de dados através das redes, tentando infectar alvos aleatórios por meio da porta UDP/1434. O grande tráfego gerado consome recursos, diminui a velocidade das redes e chega a provocar negação de serviço, derrubando os servidores.
O Slammer só consegue infectar máquinas rodando MS SQL Server 2000 ou Microsoft Desktop Engine (MSDE) 2000, mas o efeito de sua ação degrada a performance de outros servidores e pode ser sentido até por usuários domésticos, que ficam sem poder acessar páginas ou baixar e-mails. O worm não envia nenhum e-mail, não cria nenhum arquivo no disco rígido e não é destrutivo. Ele existe apenas como um processo na mémoria das máquinas infectadas, o que pode dificultar sua detecção por certos programas antivírus. O mais impressionante é que seu código possui apenas 376 bytes de tamanho, mas suas consequências, como se vê, podem ser bastante danosas.
“Para muitos provedores, principalmente os menores, a sensação foi de que passou um caminhão, mas ninguém sabia de onde ele veio, nem para onde ia”, comentou Juliano Primavesi, administrador da empresa de hospedagem HostSul, referindo-se ao súbito aumento de tráfego que deixou vários provedores fora do ar. “Nosso link de saída na OptiGlobe é de 100 Mb no primeiro roteador. Mesmo assim, toda a banda foi usada e tudo ficou lento por causa disso”.
O site InfoGuerra, que está hospedado na HostSul, ficou fora do ar por algumas horas deste sábado. Outro site de segurança, VSAntivirus, do Uruguai, também ficou inacessível e chegou a publicar duas matérias sobre o “grande ataque DoS” sofrido pela Internet, antes que se descobrisse a real causa do problema.
Nos Estados Unidos, Europa e Ásia os ataques foram mais sentidos. Segundo a organização Incidents.org, mais de 35 mil máquinas já foram contaminadas, gerando um número absurdo de pacotes de dados trafegando Internet afora. Há relatos de um único servidor MS SQL infectado gerando um excesso de 50 megabits de dados por segundo.
As empresas antivírus consideram de médio a alto o risco de infeção pelo Slammer. Como ele não cria arquivos em disco, basta reiniciar o computador infectado para retirá-lo do sistema. Mas, se a correção para a vulnerabilidade explorada pelo worm não tiver sido aplicada, o risco de reinfecção é muito grande. A correção para a falha pode ser encontrada aqui. Outra maneira de se proteger é bloquear o tráfego de entrada e saída na porta UDP/1434.
| Noticias |
Hacker Kevin Mitnick dará palestra no Brasil
24/1/2003 - 17:06 Redação/Divulgação
O hacker Kevin Mitnick, que encerrou esta semana seu período de liberdade condicional e que agora preside a Defensive Thinking, empresa de consultoria em segurança com sede em Los Angeles (EUA), será o keynote speaker do IT Conference, evento promovido pela IT Mídia, empresa de comunicação dirigida aos negócios.
Convidado especial do evento, que acontece de 17 a 19 de setembro, no Fiesta Bahia Hotel, em Salvador, Mitnick fará uma apresentação sobre segurança para um público esperado de mais de mil profissionais de Tecnologia da Informação.
Só nesta semana Mitnick pôde voltar a acessar a Internet, depois de cumprir pena de mais de cinco anos de prisão por invadir redes de computadores — o que incluiu invasões aos PCs do cientista e especialista em segurança Tsutomu Shimomura, que colaborava com o governo dos Estados Unidos. Isto culminou com sua captura em 1994.
O IT Conference foi projetado para mostrar aos participantes as vantagens competitivas que o avanço das tecnologias proporciona, antecipando e divulgando as tendências mais recentes. O objetivo é integrar os profissionais envolvidos no processo de seleção, aquisição e implementação de tecnologia nas corporações. Além disso, o evento irá possibilitar que empresas consigam estreitar relacionamentos com os convidados, por meio de outras atividades estruturadas. As inscrições já estão abertas pelo site www.itconference.com.br.
| Noticias |
Módulo lança primeira turma de Security Officers de 2003
23/1/2003 - 18:27 Redação/Divulgação
O Módulo Education Center, unidade de educação especializada em Segurança da Informação da Módulo Security Solutions, está iniciando a primeira turma deste ano do curso MCSO — Módulo Certified Security Officer —, a ser ministrado no Rio de Janeiro. As aulas serão de 27 a 31 de janeiro.
O curso MCSO visa discutir todos os aspectos que envolvem a administração e a tomada de decisões dentro da segurança da Informação, sendo indicado a profissionais de todos os segmentos. O curso é dividido em dois módulos. No módulo I, que será iniciado agora, os participantes conhecerão os conceitos gerais de segurança, as classificações da informação e as soluções disponíveis para o planejamento de uma política de segurança da informação.
Os alunos aprenderão a trabalhar com sua equipe de profissionais para que estratégias e políticas de segurança sejam adotadas e implantadas da melhor forma em um ambiente corporativo. Temas como ética, legislação e análise de risco também serão abordados. A carga horária é de 40 horas e e a inscrição está com 20% de desconto. Outras informações podem ser obtidas no site www.modulo.com.br.
| Noticias |
Crackers alteram site do Instituto Curitiba de Informática
23/1/2003 - 16:11 Giordani Rodrigues
|
| Noticias |
Software para e-mail IncrediMail é um spyware
23/1/2003 - 5:19 José Luiz Lopez
Atenção: as informações abaixo foram posteriormente desmentidas. Leia os esclarecimentos aqui.
IncrediMail é um cliente de correio muito utilizado sobretudo por usuários com pouca experiência, deslumbrados geralmente por seus aspectos gráficos e sua fácil integração com os navegadores Internet Explorer, Netscape, e outros. Também existe quem o use pensando que é uma opção menos problemática para o correio eletrônico, e mais segura do que o Outlook Express.
No entanto, IncrediMail parece encerrar uma pequena surpresa. Ao menos desde a versão build 815, o programa instala um spyware em forma de keylogger (um espião que captura o que você escreve no teclado).
Não se pode dizer que o faz subrepticiamente, embora assim pareça na prática. É que o famoso EULA (o acordo de licença para o usuário final, segundo a sigla em inglês), que se apresenta ao se instalar quase qualquer software, poucas vezes é lido pelos usuários. Neste caso, ali se menciona que se você aceita o uso do programa, também está consentindo em ser rastreado anonimamente (porém, ninguém lê a letra miúda).
Segundo PestPatrol Corporate, fabricante do software comercial de mesmo nome, que detecta e elimina trojans, spyware e outros tipos de ferramentas utilizadas por intrusos, o IncrediMail (ao menos desde a buil 815), instala o arquivo imhook.dll.
Um exame de tal arquivo revela que o mesmo possui o código necessário para capturar tudo que é teclado pelo usuário. Não foi encontrada nenhuma referência oficial sobre qual é a razão para a existência deste arquivo e seu uso por parte de IncrediMail. De qualquer modo, é óbvio que representa um risco para a privacidade.
A versão atual do IncrediMail é a build 912, de 7 de janeiro de 2003.
José Luis Lopez é editor do site VSantivirus. Texto publicado sob autorização. URL original: http://www.vsantivirus.com/22-01-03.htm.
Tradução de Giordani Rodrigues
| Noticias |
Descobertas falhas em site de e-commerce da Módulo
21/1/2003 - 19:58 Giordani Rodrigues
Há cerca de duas semanas, a Módulo Security Solutions, considerada a maior empresa de segurança da informação na América Latina, pôs no ar o site Security Shopping , por meio do qual disponibilizou a venda online de produtos e serviços de segurança — livros, cursos, certificados digitais, e outros. Mas, na última quinta-feira, 16, a empresa foi obrigada a retirá-lo do ar às pressas, para corrigir falhas de segurança descobertas no sistema.
O site saiu do ar depois que InfoGuerra enviou à empresa cópias de cadastros pessoais armazenados no servidor e que podiam ser acessados por meio de técnicas de ataques. As falhas, descobertas por um analista de segurança que prefere não ter seu nome divulgado, são conhecidas como “SQL Injection”, o mesmo tipo de problema que possibilitou a desfiguração do site do PT durante o segundo turno das eleições passadas.
Pode-se dizer que SQL Injection é o ataque do momento, pois é muito fácil de ser explorado e, por descuido na programação, está presente em muitos sites, mesmo no de grandes empresas. SQL (Structured Query Language) é a linguagem padrão de acesso a diferentes bancos de dados: Oracle, DB2, Sybase, Informix, Microsoft SQL Server, Access, e outros. O método de ataque consiste em injetar comandos SQL não previstos pelos programadores das páginas nos campos dos formulários dos bancos de dados.
Assim, no ponto em que o formulário deveria receber apenas o nome de um usuário e uma senha, por exemplo, um atacante pode incluir comandos — inesperados, porém válidos — para busca e exibição de outros dados dos usuários. As conseqüências podem ser as mais variadas, dependendo da estruturação e da finalidade dos sites atingidos: desde a leitura de informações privadas, até a alteração e eliminação de todas as informações guardadas no banco de dados do sistema. Quanto mais informações críticas houver armazenadas no servidor (como números de cartões de crédito, por exemplo), mais grave é a presença desta vulnerabilidade.
No caso do site da Módulo, os exemplos recebidos mostravam que era possível acessar dados pessoais — como nome, endereço, CPF e telefone — de usuários cadastrados, sem necessidade de senha. Porém, havia limitações. Uma delas é que era preciso saber o e-mail do usuário, portanto os testes foram feitos com e-mails de funcionários da empresa, já que era mais óbvio que alguns deles estivessem cadastrados.
“Foi falha humana”, justifica Álvaro Lima, sócio-diretor de marketing da Módulo e um dos tinham cadastro no site. Segundo Lima, as falhas de programação estavam presentes em “uma versão antiga do software de comércio eletrônico” instalada no site e liberada inadvertidamente. Ele lembra, porém, que não era possível acessar dados de cartões de crédito, já que o pagamento das compras era feito por boleto bancário enviado para o endereço presente no cadastro do cliente. Além disso, afirma, praticamente não havia clientes reais cadastrados, pois o lançamento oficial do site, criado pela empresa Mídia3, ainda não tinha sido feito.
Durante algum tempo depois que foi retirado do ar, o Security Shopping exibia a mensagem de “servidor não encontrado”. Atualmente, o endereço apresenta as mesmas páginas do portal da Módulo e, até hoje à tarde, exibia um pequeno anúncio lateral sobre o futuro lançamento do serviço. Ao se clicar no anúncio, abria-se uma janela pop-up com o título de “Página inacessível” e o aviso: “Em razão do lançamento do novo Portal, o Security Shopping ficará temporariamente inacessível. Aguardem as novidades”. Neste momento, até o anúncio desapareceu.
“Estamos refazendo todos os testes e procedimentos de segurança necessários, antes de liberar a versão atual”, afirma Álvaro Lima.
Leia também:
Site do PT é hackeado
| Noticias |
RSA Security treina parceiros no Brasil
20/1/2003 - 18:06 Redação/Divulgação
A RSA Security, empresa norte-americana de segurança, traz para o Brasil, pela segunda vez, a certificação segmentada, um treinamento específico para atualização e reciclagem de pessoal técnico. O foco do treinamento será o RSA ClearTrust 5.0, sistema que controla o acesso a conteúdo Web protegido, em intranets, extranets e portais.
A versão 5.0 da ferramenta foi lançada no final de 2002 e já conta com mais de 50 produtos certificados e interoperáveis, de 30 diferentes fabricantes, como Microsoft, BEA Systems, PeopleSoft, Sun, Vignette, Apache e outros. Para ministrar o curso, a empresa trará o instrutor americano David O'Connell, do seu centro educacional.
Estarão participando as revendas que tiveram maior destaque em vendas em 2002, ou as que estão lançando produtos e serviços focados em RSA ClearTrust, como é o caso da Open Communications Security. Também participarão do treinamento as empresas Etek, Telsinc Security, Unisys do Brasil, Unisys da Colômbia, TL Informática, CAS Tecnologia, além das chilenas Adexus e Novared.
A RSA Security informa que está investindo cerca de US$ 50 mil no treinamento, o qual será gratuito para os parceiros. Os profissionais que participarem do curso poderão também fazer exame para requerer o certificado "RSA Security Certified Professional".
O curso acontecerá entre os dias 28 e 31 de janeiro, das 8h30 às 17 horas, na sede da Brisa, Sociedade Civil para o Desenvolvimento da Tecnologia, na Av. Francisco Tramontano, número 100, 110, Real Parque, Morumbi, São Paulo (próximo à ponte Morumbi). Outras informações podem ser obtidas pelo telefone (11) 3048-4054.
| Dicas |
Oito conselhos para o correio eletrônico empresarial
20/1/2003 - 16:09 José Luiz Lopez
Proteja-se de futuras dores de cabeça com o correio eletrônico de sua empresa implementando desde o início alguns conselhos básicos. 800onemail, um provedor de correio eletrônico de nível empresarial, apresenta uma lista de oito conselhos que permitem a uma companhia manter um pouco mais seguros seus sistemas de correio.
Tendo em conta que mais de 90% das ameaças de vírus hoje em dia chegam por e-mail, e que a quantidade de worms que se transmitem por este meio aumentou mais de 200% em relação aos últimos anos, deveria ser prioridade número um para qualquer empresa cujos empregrados tenham acesso à Internet implementar uma série de medidas para evitar perdas, que em alguns casos podem chegar a centenas de milhares de dólares.
Oito conselhos básicos
1 - Confira e avalie todos os sistemas instalados. Muitas companhias não atualizam seus sistemas há um ano ou mais. O uso de sistemas obsoletos conduz à exposição a riscos de segurança muito graves. Por exemplo, se se instalou o Windows 98 e não se atualizou o Internet Explorer para versões mais modernas, os riscos são enormes.
2 - Formalize políticas de segurança claras e concretas que definam o uso aceitável do correio corporativo, definindo quem controla as comunicações através do correio eletrônico da empresa, assim como o controle das atualizações diárias dos produtos antivírus (veja item 4). Mantenha seus empregados informados acerca destas políticas com uma comunicação regular e constantes atualizações.
3 - Mantenha sob controle o acesso ao correio eletrônico corporativo, implementando exigências rígidas, como a mudança periódica das senhas.
4 - Implemente várias camadas de segurança relativas ao correio eletrônico, usando uma combinação de aplicações antivírus individuais em cada computador, um antivírus para o servidor, preferencialmente de outro fabricante, aplicações de filtro de conteúdo, e alguma aplicação para o manejo centralizado de spam, mediante filtros no servidor ou aplicações específicas.
Devido à quantidade de vírus e à variedade de métodos utilizados por estes hoje em dia, apenas um sistema antivírus não chega a ser suficiente (tampouco o é ter mais de um antivírus monitorando um mesmo computador). No entanto, é uma possibilidade totalmente válida dispor de várias camadas de filtros com diferentes produtos, um em cada computador individual, e outro no servidor que conecta a Intranet da empresa com a Internet. Também é importante manter um estrito controle das atualizações dos produtos antivírus, que pode perfeitamente ser com verificações automáticas a cada 60 minutos na página Web do fabricante.
5) Criptografe as conexões de correio eletrônico mediante VPN (Redes Privadas Virtuais) ou Secure Sockets Layer (SSL). Não deixe nunca o sistema de correio eletrônico corporativo aberto diretamente à Internet, apesar da tentação que isso significa por sua conveniência.
6) Certifique-se de que os usuários com outra classe de acesso dentro da empresa (conexões sem fio, etc.) tenham o mesmo nível de segurança que um usuário de computador de mesa, sem comprometer seu acesso à rede. Utilize antivírus em cada máquina, firewalls pessoais e conexão VPN. VPN é uma rede privada que protege, mediante um processo de encapsulamento e às vezes de criptografia, os pacotes de dados enviados a distintos pontos remotos, com o uso de infra-estruturas públicas de transporte. As VPNs podem ligar escritórios corporativos entre si, com usuários móveis, etc.
7 - Monitore seu sistema de correio eletrônico corporativo e preveja suporte aos usuários 24x7 (24 horas por dia, 7 dias por semana) se isto for possível. Assegure-se de que os diferentes administradores estão inscritos em listas informativas e fóruns de segurança que os mantenham sob alerta e em dia com os incidentes de segurança mais recentes, listas de vulnerabilidades descobertas, ameaças de vírus, etc.
8 - Avalie os modelos de experiência e segurança para qualquer sistema ou produto de correio eletrônico que sua companhia use. Pergunte sobre outros produtos antivírus e anti-spam, infra-estruturas, redundância dos recursos disponíveis, armazenamento de dados, política de retarguarda, conectividade e criptografia.
Estes conselhos podem ser, tanto para os empresários como para os encarregados das áreas de informática da empresa, um grande alívio no momento em que surgir qualquer imprevisto em matéria de segurança. Em último caso, também é bom ao menos tê-los à mão como referência para suas próprias políticas.
José Luis Lopez é editor do site VSantivirus. Texto publicado sob autorização. URL original: http://www.vsantivirus.com/mail-empresas.htm.
Tradução de Giordani Rodrigues
| Noticias |
Site da RIAA é novamente hackeado
17/1/2003 - 9:59 Giordani Rodrigues
O site da Associação da Indústria Fonográfica da América (RIAA, na sigla em inglês) foi atacado no último final de semana, por indivíduos não identificados. Além de sabotarem o servidor, hospedando vários programas para troca de arquivos musicais, os intrusos também escreveram: “A RIAA quer hackear usuários/servidores de troca de arquivos? Melhor aprender a proteger seu próprio servidor”.
Coincidentemente, dois dias depois o grupo hacker Gobbles postou na lista Bugtraq um anúncio segundo o qual a RIAA o teria contratado há meses para desenvolver um worm capaz de infectar arquivos trocados nas redes P2P, catalogar todos os arquivos de mídia pertencentes a um usuário e enviar as informações para servidores da Associação. De acordo com o grupo, o worm, batizado de Hydra, já está em pleno funcionamento e instalado em 95% das máquinas participantes de redes P2P. “Se você participa de redes ilegais de troca de arquivos, seu computador agora pertence à RIAA”, ameaçou o Gobbles.
Com ou sem worm, os invasores do site da RIAA não pareciam muito preocupados, pois disponibilizaram para download os principais softwares usados atualmente para a troca de arquivos, sejam musicais ou de outra espécie. Programas como KaZaA Lite, eMule, eDonkey e outros podiam ser baixados do servidor. Todos os links para download traziam a irônica inscrição de que eram patrocinados pela RIAA. “Desculpe, Admin, tivemos de desabilitar suas contas. Elas serão reabilitadas depois de 2 horas”, avisaram.
É a segunda vez que o site da RIAA é desfigurado em menos de 15 dias. O ataque anterior ocorreu no último dia de 2002, quando os intrusos disponibilizaram um sistema para que usuários postassem notícias falsas na áre de comunicados do site. No final de agosto de 2002, houve outra desfiguração e músicas piratas foram postas no servidor para serem baixadas. Uma das páginas hackeadas passou alguns dias alterada sem que isso fosse percebido pelo administrador do sistema. De acordo com uma dedução do site de segurança Zone-H, este ataque ocorreu devido ao uso de módulos de administração sem proteção de senha.
Segundo o site britânico The Register, o site da RIAA foi desfigurado quatro vezes nos últimos meses, mas a Wired afirma que foram seis vezes em seis meses. A opinião de especialistas é de que, apesar de a RIAA tentar combater as redes P2P, não entende nada de tecnologia. "As falhas que as pessoas estão explorando para acessar o site (da RIAA) são problemas de segurança elementares, e não há desculpas para uma organização que pretende compreender o lado negro da Internet deixar tais buracos tão expostos em sua própria infra-estrutura de rede", disse à Wired o administrador de sistemas Anthony Negil.
O espelho do ataque mais recente pode ser visto aqui.
Leia também:
Site da RIAA passa vários dias hackeado
| Noticias |
Registro.br devolve domínios de spammers
17/1/2003 - 2:30 Giordani Rodrigues
Enquanto muita gente ainda comemorava o Natal, o Registro.br resolveu dar um presente de grego aos internautas brasileiros: após cancelar os domínios diar.com.br e econoshop.com.br por causa de irregularidades nos cadastros, devolveu-os intactos aos seus antigos donos. Os dois endereços são usados para o envio de grandes volumes de mensagem eletrônica não-solicitada, o famigerado spam.
Os domínios foram cancelados no dia 18 de dezembro, depois que o Registro.br recebeu denúncias de que seus cadastros possuíam dados falsos — como rua, cidade e números de CEP e telefones inexistentes. Constatadas as irregularidades, os domínios foram desativados e postos em processo de liberação.
Isto significa que, neste momento, eles deveriam fazer parte da lista de endereços que novamente estão disponíveis para registro público. A lista foi divulgada em 6 de janeiro e os domínios podem ser disputados pelos interessados de 11 a 26 de janeiro. Caso haja mais de um interessado no mesmo domínio, ninguém poderá registrá-lo até que ocorra novo processo de liberação. Esta situação pode durar meses ou até anos.
Mas nada disso aconteceu com os spammers. No dia 26 de dezembro, os domínios diar.com.br e econoshop.com.br foram devolvidos às entidades que os detinham anteriormente, e estão novamente ativos, como se nunca tivessem sido cancelados. “Como a documentação foi entregue após a data limite, os objetos já encontravam-se removidos. Porém, é nossa política, caso não exista nenhum conflito com terceiros, o restabelecimento dos objetos após a correção dos dados de contato”, esclarece Frederico Neves, coordenador técnico do Registro.br.
Motivos para se esconder
Para o usuário comum de Internet, o restabelecimento ou não dos domínios provavelmente não fará muita diferença prática. No mesmo dia em que os endereços foram cancelados, vários outros foram criados pelo mesmo grupo, e os spams continuaram chegando como se nada tivesse acontecido. Os produtos anunciados, todos miraculosos, eram os mesmos de sempre: um certo eliminador de ar na conta de água; gel para eliminar gorduras do corpo em apenas uma hora; cápsulas para aumentar a capacidade cerebral; e o famoso aparelho para modelagem física sem esforço, cuja venda e publicidade estão proibidas no Brasil desde o ano passado. Os infratores podem pagar multas que variam de R$ 2 mil a R$ 1,5 milhão.
Na verdade, o fato de o Registro.br ter cancelado e depois devolvido os domínios funciona até como uma faca de dois gumes contra os spammers, pois agora eles terão de pensar duas vezes antes de se esconder atrás de dados falsos novamente. Se antes os cadastros traziam informações obscuras, como um telefone 55550000 e um CEP 04555-555, agora os dados estão todos aparentemente corretos e em nome de Luiz Eduardo Auricchio Bottura, como se pode ver aqui e aqui.
Quem envia spam de forma sistemática tem motivos para querer se esconder — a ira dos usuários irritados com a grande quantidade de mensagens não-solicitadas. Recentemente, o americano Alan Ralsky, possivelmente o maior spammer do mundo, concedeu uma entrevista em que foi revelado o endereço de sua mansão, comprada às custas de bilhões de mensagens comerciais indesejadas. A entrevista apareceu no site Slashdot e, a partir de então, um grupo de ativistas anti-spam passou a cadastrar seu endereço em tudo quanto é campanha publicitária e mailing list. Resultado: sua casa foi inundada com toneladas de lixo publicitário, o que surtiu o efeito desejado pelo grupo. “Estas pessoas estão loucas”, disse um perturbardo Ralsky, que ameaçou processar os ativistas. Se a moda pega...
Leia também:
Domínios de spammers notórios são cancelados
| Noticias |
DC2K oferece proteção para redes de comunicação
15/1/2003 - 20:06 Redação
A First Tech, fornecedora de soluções de rede e segurança para o mercado corporativo, está oferecendo o DC2K, da Thales e-Security. Trata-se de um equipamento que protege o link de comunicação de uma rede WAN/LAN, pelo qual trafegam dados, voz e imagem.
Uma das principais características dos produtos DC2K é a versatilidade. Os equipamentos codificam as informações utilizando os principais algoritmos de criptografia, como TripleDES, DES e AES, e possuem velocidades de até 34 Mbps (milhões de bits por segundo), variando de acordo com o modelo. Além disso, podem ser utilizados com diversas aplicações, em sistema ponto-a-ponto ou ponto/multiponto, e gerenciados a distância ou por meio de gerenciamento central.
Segundo o diretor comercial da First Tech, Marcelo Abreu, “o cliente pode come
| Noticias |
Site do Ministério da Justiça foi invadido
31/1/2003 - 18:35 Giordani Rodrigues
O site do Ministério da Justiça (MJ) recebeu a indesejada visita de crackers pelo menos duas vezes nos últimos dias. Nas duas ocasiões os atacantes deixaram sua marca, desfigurando páginas do órgão. O ataque mais recente, assinado pelo grupo Ruffl3s, aconteceu na madrugada desta quinta-feira. O anterior foi assumido pelo grupo ATH (Against The Hell, isto é, “Contra o Inferno) e ocorreu no domingo. Os dois grupos são brasileiros.
Até próximo de meio-dia de quinta-feira, o estrago ainda era visível numa das páginas do Departamento Nacional de Trânsito (Denatran) presente no site do MJ. O integrante L1L0, do grupo Ruffl3s, alterou o conteúdo da página, assinando seu apelido e o nome de seu grupo e inserindo a frase “Aprenda bem as regras... assim saberás como infringi-las de forma correta”. A cópia do ataque pode ser vista aqui.
No domingo, o grupo ATH desfigurou a página principal do site www2.mj.gov.br, que neste momento está com o acesso bloqueado aos usuários. Este endereço está hospedado num segundo servidor do MJ e traz páginas como www2.mj.gov.br/desaparecidos/, dedicada a crianças e adolescentes desaparecidos. O integrante “N30 Shark” fez uma pichação com as saudações habituais, mas com uma página HTML elaborada, o que mostra que o ataque foi mais profundo. O site Zone-H tem uma cópia do defacement.
Apesar do imponente nome do site — Ministério da Justiça —, a invasão dos crackers foi banal. O MJ é apenas mais uma das vítimas do ataque conhecido como SQL Injection, que tem feito a festa dos invasores de páginas, desde os mais experientes até os novatos. Isto porque a falha é ridiculamente fácil de explorar, pode ser feita a partir de qualquer browser, conta com o auxílio de resultados obtidos em mecanismos de busca como o Google, que rastreiam páginas obscuras e de login, e não requer prática nem habilidade.
É basicamente um erro de programação feita de modo displicente, pois o bug é largamente conhecido. Há dois dias, InfoGuerra recebeu um e-mail de “uma nova empresa de segurança na Internet” pedindo que se entrasse em contato com o MJ para avisar da vulnerabilidade do painel administrativo da página que posteriormente foi desfigurada pelo Ruffl3s. "Para arrumar essa vulnerabilidade é preciso colocar no código ASP que não aceite login com caracteres especiais como aspas duplas (") e aspas simples (')", orientava a mensagem. O remetente se queixava de que seus e-mails de alerta para o órgão tinham sido ignorados.
Na quinta-feira foi enviado um email para o setor de comunicação e para o webmaster do site do MJ, alertando para a falha e solicitando informações sobre o ataque dos Ruffl3s. A mensagem recebeu a confirmação de que foi entregue, tanto para um destinatário quanto para o outro, mas nenhuma resposta chegou de volta. A página desfigurada foi corrigida, mas o erro não, e o site continua vulnerável.
Tirando doce de criança
SQL Injection, isto é, a injeção de comandos da linguagem de banco de dados SQL, já deu e ainda vai dar muito o que falar. Já estamos acompanhando o assunto e recebendo mensagens de alerta há quase um ano. No início do ano passado, o diretor da Búfalo Informática, Dennes Torres, enviou um artigo, posteriormente publicado no site de sua empresa, com informações e opiniões sobre as causas da falha. Pouco tempo depois, o programador de banco de dados Alessandro Martins, do portal de imóveis Pé-direito.com enviava outro e-mail com uma relação de sites vulneráveis e a técnica — algo como tirar doce de criança — para explorar a vulnerabilidade. Com uma rápida busca por palavras-chaves no Google, InfoGuerra encontrou centenas de outros sites vulneráveis.
Os mais memoráveis dessa busca são o de um banco de financiamentos ligado ao BNDES, de uma consultoria de segurança com dezenas de clientes conhecidos, e até o site da Revista Microsoft, de Portugal, programado em ASP — uma linguagem desenvolvida pela própria Microsoft, largamente utilizada em conjunto com SQL. Entre as ações possíveis a partir da falha estão desde a mudança de conteúdo de uma página (defacement), até o acesso, alteração ou eliminação de cadastros tão completos quanto os que um banco de dados pode propiciar.
O problema chama tanto a atenção que, segundo Dennes Torres, há quase dois anos, o programador Carlos Alberto Bueno já denunciava à imprensa a precariedade de sites de comércio eletrônico por causa desse bug. Pouco tempo depois, Bueno foi preso em flagrante em São Paulo, acusado de tentar chantagear uma empresa cuja rede estaria com falhas. O programador se defendeu dizendo que a empresa é que teria oferecido dinheiro a ele, para que "parasse de falar com a imprensa".
Desde então, o mesmo tipo de falha, em vez de ter sua incidência reduzida, proliferou e se tornou mais grave, pois está presente até em sites de grandes empresas e pode ser considerado o ataque da moda. Por causa da falha de SQL Injection, o site do Partido dos Trabalhadores foi desfigurado em pleno segundo turno de campanha do atual presidente Lula, e o site de comércio eletrônico da conceituada empresa de segurança Módulo teve de ser retirado do ar recentemente, antes mesmo de seu lançamento oficial. A empresa que criou o site para a Módulo cometeu o mesmo erro em sites de outros clientes, alguns bastante conhecidos, e que continuam vulneráveis.
“Já avisei alguns sites importantes sobre essa falha, mas pelo jeito o alerta não surtiu efeito”, afirma o programador Marcelo Gomes, responsável pelo site de segurança Total Security. Entre as empresas que ele afirma que alertou está a Coca-Cola, em cuja página de relação com a imprensa alguém colocou um diretório de nome “test” com uma suspeita figura de nome “blah.gif” (que não abre).
Ao que tudo indica, não é por falta de aviso que a falha continua fazendo vítimas. Mesmo com todos os alertas, InfoGuerra resolveu dar mais uma força aos administradores de sistema e convidou o especialista em segurança Nelson Murilo, da empresa Pangéia Informática, para explicar, em linguagem um pouco mais técnica, de que forma os ataques SQL Injection se apresentam e como evitá-los. O artigo pode ser visto no link abaixo:
Técnicas defensivas contra injeção de comandos
Leia também:
Crackers alteram site do Instituto Curitiba de Informática
Descobertas falhas em site de e-commerce da Módulo
Site do PT é hackeado
| Dicas |
Técnicas defensivas contra injeção de comandos
31/1/2003 - 15:03 Nelson Murilo
Este é um artigo técnico do especialista em segurança Nelson Murilo, a respeito de causas e como se proteger de ataques chamados de SQL Injection. Para uma visão mais prática do que o problema pode acarretar, leia o texto Site do Ministério da Justiça foi invadido.
Serviços nos quais existe autenticação ou consulta, normalmente fazem integração com os bancos de dados e permitem interação do usuário através de páginas com formulários. Uma vez informados os campos do formulário, uma interface deve proceder uma conversão de linguagem, de forma a permitir o entendimento por parte do banco de dados utilizado. Servidores WEB entendem HTML (HyperText Markup Language), enquanto bancos de dados em geral utilizam SQL (Structured Query Language). Esta tradução deve limitar a busca (identificar se um usuário está ou não cadastrado, recuperar documentos, etc.) ao objeto da pesquisa, de forma a não permitir a execução de comandos arbitrários que comprometem a segurança das informações armazenadas, ou até mesmo o ambiente computacional local e de terceiros.
As técnicas de injeção de comandos podem variar desde uma simples geração de erros, que expõem aspectos do ambiente, até permitir o comprometimento completo do sistema. Não é demais lembrar que a despeito de cada fabricante adicionar funcionalidades proprietárias, a linguagem SQL ANSI é aceita incondicionalmente pela grande maioria dos fornecedores de bancos de dados, como: Oracle, SYBASE, MS SQL Server, DB2, Access, MySQL, entre outros. Portanto o risco da injeção de comandos não está restrito a um determinado fornecedor, muito pelo contrário, já que a quase totalidade das instalações mundiais fazem uso de um ou mais bancos citados acima.
Métodos e informações sobre os ataques
Ataques bem sucedidos utilizando injeção de comandos seguem, normalmente, os seguintes passos:
1 - Análise dos erros gerados pela aplicação em função de preenchimento dos campos com informações não esperadas;
2 - Manipulação dos campos de entrada de dados com objetivo de determinar a estrutura de esquemas, bases, tabelas e colunas;
3 - Determinar o comando ou comandos que permitirão ler ou manipular as informações de interesse;
4. Obter as informações propriamente ditas e verificar a possibilidade de obter informações ou executar comandos no servidor.
Atacantes podem se valer de particularidades de determinados bancos de dados como conta “scoth” ou “sys” do Oracle, ou “sa” do MS SQL Server, ou acessar bases específicas como o “master” ou “tempdb”, também existentes no MS SQL Server.
Usando uns poucos comandos, podem ser listadas bases, esquemas, tabelas e colunas. Em ambientes MS SQL Server poderia ser usada, por exemplo, a seqüência abaixo:
SELECT * FROM master..sysdatabases
USE database SELECT syscolumns.name,sysobjects.name FROM syscolumns,sysobjects WHERE sysobjects.xtype='U' and syscolumns.id = sysobjects.id
De posse destes dados é possível obter informações, incluir, excluir ou alterar dados da base.
Ainda que o perigo deste tipo de ataque ficasse restrito à manipulação de bases de dados, o risco já seria suficientemente alto. Porém, infelizmente, a injeção de comandos extrapola estes limites e pode, em alguns ambientes, permitir ao atacante obter informações do sistema, executar comandos arbitrários no servidor, invadir outros servidores da mesma rede e até usar o método como base para ataques a terceiros.
O exemplo abaixo utiliza uma chamada disponível em Sybase e MS SQL Server, que permite listar os arquivos de um determinado diretório do servidor:
master..xp_cmdshell 'dir c:\WINNT'
Deve ficar claro que, assim como ‘dir’ foi usado como exemplo para ambientes Windows, qualquer comando disponível no sistema operacional pode ser executado, seja ele Windows ou Unix. As únicas limitações são o nível de permissão do usuário e detalhes de implementação, em funcão do fabricante do banco de dados.
Estratégias de defesa
O principal ponto de filtragem de comandos não autorizados é a validação dos campos. Mas é preciso ter em mente qual o melhor local para fazer a validação do que foi digitado. Alguns projetistas fazem uso apenas de linguagens interpretadas pelo navegador, notadamente JavaScript, para validar as entradas. Não há dúvida que esta é uma estratégia util, mas se existir validação apenas neste ponto, um atacante pode facilmente desabilitar esta funcionalidade ou mesmo utilizar navegadores — Lynx por exemplo — que não interpretam JavaScript e outras linguagens assemelhadas.
De uma maneira geral, a chamada, assim como os nomes dos campos que irão formar o comando de consulta, está no código HTML, sendo assim, nada impede que o atacante monte o comando e passe diretamente ao programa que irá processar o formulário, via URL ou via POST.
Portanto, o ideal é montar as estratégias de defesa nos programas que efetivamente irão conversar com o banco de dados. Notadamente as linguagens utilizadas são ASP, VisualBasic, ColdFusion, Perl e PHP.
Alguns procedimentos simples podem evitar problemas, como, por exemplo, limitar o tamanho do campo do formulário. É util, mas não suficiente limitar apenas no código HTML:
<INPUT type="text" name="login" size=16> Login</INPUT>
É importante testar também após o formulário ser enviado. Na tabela abaixo estão funções para verificação do tamanho dos campos:
ASP: len(cadeia)
PERL: length cadeia;
PHP: Strlen($cadeia);
JavaScript: document.write(cadeia.length)
Campos numéricos devem conter apenas algarismos. As rotinas que permitem remover qualquer outro caracter, para algumas linguagens, estão na tabela abaixo:
ColdFusion: REreplace (campo, “[^0-9]”, “”, “ALL”)
PERL: $campo =~ s/[^0-9]//g
PHP: ereg_replace (“[^0-9]”, “”, $campo)
Utilizando ASP existem pelo menos duas maneiras de retirar o que não for algarismo. A mais flexivel é, possivelmente, por meio da criação de uma função:
function ReplaceNum (MatchedString) { return “ “; }
var regex = /[0-9]/g;
campo = data.replace(regex, ReplaceNum);
A mesma idéia pode ser aplicada a outras necessidades, como campos que devam conter apenas letras minúsculas, campos alfanuméricos, etc.
O principal problema em ataques de injeção de comandos é em relação a caracteres especiais, notadamente plicas (‘), sinal de menos (-), ponto e virgula (;) e o asterisco (*). Porém, todas as regras para criação de senhas de difícil adivinhação apontam para uma mistura de letras (maiúsculas e minúsculas), números e caracteres especiais. Portanto é preciso avaliar corretamente quais campos devem conter determinados filtros e talvez impor alguns limites na criação de senhas e caracteres que podem ser utilizados em textos livres.
Usando a mesma idéia anterior é possível retirar plicas e outros caracteres suspeitos. Porém existem situações em que o tratamento campo a campo não é possivel. Neste caso uma maneira interessante de evitar a introdução de comandos arbitrários é manipular a quantidade de plicas (‘) e aspas (“) do comando. Desta forma, ficam sem efeito as tentativas de interromper ou adicionar elementos à linha de comando que irá acessar a base de dados SQL:
PERL: $cadeia =~s/[‘”]/’’/g;
PHP: ereg_replace(“’”, “’’”, $cadeia
ColdFusion: REReplace(cadeia, “’”, “’’”)
Considerações finais
Evitar a injeção de comandos SQL é uma pequena, mas importante, parte dos procedimentos de proteção necessários a um servidor Web e, de resto, à instalação como um todo. Existem medidas de segurança que mesmo focando a defesa contra injeção de comandos, podem beneficiar todo o ambiente, tais como:
● Enviar mensagens genéricas de erro, tratando nos programas as mensagens detalhadas vindas do ODBC e similares;
● Os dados numéricos devem ter tipos compatíveis. É muito comum encontrarmos colunas do tipo VARCHAR, quando deveriam ser do tipo INT;
● Limitação de privilégios. A conta utilizada para acessar o banco deve ter o menor nivel de privilégio possível. Jamais deve poder manipular informações além das necessárias. Em ambientes onde existe apenas uma consulta ao banco, via página, não há razões para esta conta ter poderes maiores que o de leitura;
● Jamais coloque senhas ou outras informações importantes em arquivos .INC. O conteúdo pode ser facilmente visualizado, e portanto, as informações lá contidas ficarão expostas. Na mesma linha, códigos HTML não devem conter informações sobre seus esquemas, nomes de bases, tabelas e colunas. Isso pode ser confundido com “segurança por obscuridade”, mas em segurança da informação existem vários níveis de confidencialidade, existem coisas que o usuário DEVE saber, algumas que ele PODE saber, outras que ele NÃO PRECISA saber (estamos neste caso) e ainda as que ele NÃO PODE saber. Evitar informar coisas que o usuário não precisa saber pode ser útil para evitar vários tipos de ataque, inclusive os de engenharia social.
● Bloquear acesso ao servidor SQL. Normamente necessitam ter acesso a servidores SQL apenas os responsáveis pela manutenção ou pelo desenvolvimento. Filtrar, nos firewalls e/ou roteadores o acesso externo e mesmo interno aos serviços SQL, que utilizam as portas 1433 e 1434 (TCP e UDP), pode evitar muitos problemas, inclusive ataques de Worms, como o SQL Slammer ou Sapphire.
Ao contrário do que normalmente ocorre, quando o administrador do sistema é o responsável por promover e manter medidas de segurança no seu ambiente, muito do trabalho para manter bases SQL seguras depende de conscientização do desenvolvedor, e deve começar no protótipo do sistema, pois os mecanismos de segurança devem ser incorporados ao desenvolvimento de forma transparente. Assim, não há desculpa para entregar um sistema sabidamente inseguro com a promessa de incluir estes mecanismos na versão final. Empresas que prometem ou aceitam este tipo de situação devem rever, urgentemente, seus procedimentos de segurança.
Nelson Murilo de Oliveira Rufino atua na área de segurança de redes desde 1992. É autor do livro Segurança Nacional - Técnicas e ferramentas de ataque e defesa. É diretor da empresa de segurança Pangéia Informática; administra o Centro de Tratamento e Resposta a Incidentes Computacionais do Departamento de Polícia Federal do Brasil; é membro do Grupo de Segurança (GTS) do Comitê Gestor da Internet/BR; ministra cursos de segurança há 9 anos e palestras em eventos nacionais e internacionais; entre outras atividades.
| Noticias |
InfoGuerra ganha liminar contra plágio de conteúdo online
30/1/2003 - 16:55 Redação
A juíza Jane Bertolini Serra, da 42ª Vara Cível Central de São Paulo, determinou que o representante brasileiro da empresa antivírus Hauri, da Coréia do Sul, retire de seu site uma matéria copiada do site InfoGuerra sem autorização. A decisão é fruto de um processo por violação de direitos autorais movido pelo site de segurança, o qual prevê ainda indenização por danos materiais e morais.
Na página principal do site Hauri.com.br ainda se encontra a chamada para a matéria "Falso vírus jdbgmgr.exe é variante do boato Sulfnbk.exe". Trata-se de um texto publicado originalmente por InfoGuerra e que relata as características do principal boato sobre vírus de computador criado no ano passado.
Além de não ter solicitado permissão para reproduzir o artigo, o site brasileiro da Hauri omitiu os créditos originais e mutilou o início do segundo parágrafo, eliminando a referência que havia a InfoGuerra no corpo do texto. Também eliminou todo um outro parágrafo que fazia alusão às empresas Symantec e McAfee, suas concorrentes, e ao site de segurança VSAntivirus. Tais atitudes não só caracterizaram a má-fé no uso da matéria, como tornaram ilógico um trecho posterior do texto. O artigo original pode ser visto aqui e comparado com a cópia, aqui.
"Infelizmente, a defesa - justa - da liberdade na Internet, muitas vezes é confundida com apropriação indébita de trabalhos alheios. A cultura do 'Control C, Control V' é muito disseminada na Rede. E é uma atitude que geralmente pode ser resolvida de modo amigável, mas neste caso específico houve uma flagrante tentativa de descaracterizar deliberadamente a origem do texto e se apropriar dele", ressalta o jornalista Giordani Rodrigues, diretor do site InfoGuerra.
Os advogados do caso - Renato Ópice Blum e Marcos Gomes da Silva Bruno, do escritório Ópice Blum, de São Paulo, e Eliane Saldan e Omar Kaminski, de Curitiba, no Paraná - recorreram ao Tribunal de Justiça paulista porque a juíza, apesar de ter determinado liminarmente a retirada da matéria do ar, condicionou o cumprimento da liminar ao pagamento de caução e depósito de honorários periciais e que fosse realizada na forma de busca e apreensão.
O pedido liminar do recurso de agravo feito pelos advogados foi deferido pelo desembargador Paulo Dimas Mascaretti, da 10ª Câmara de Direito Privado. "Tendo em conta a relevante fundamentação expendida pelo agravante, suspendo o cumprimento da decisão agravada no que tange a exigência de prévia caução e de depósito dos honorários do perito nomeado, podendo ser cumprida desde logo a medida liminar, a fim de que a demandada retire do seu site a matéria indicada na petição inicial", escreveu o desembargador. Ele reconheceu, também, que não há pertinência na realização de busca e apreensão para efetivação da medida.
"O caso prova a dificuldade de atuar na área do direito eletrônico, seja pela produção de prova específica, seja pela dificuldade dos Tribunais com a questão, fatos que exigem a atuação de profissionais extremamente habilitados e especializados", opina Renato Ópice Blum. "Mesmo assim, o resultado final é excelente, pois, mais uma vez se demonstra que o meio eletrônico não é um mundo sem leis".
A violação dos direitos autorais, de acordo com a lei 9.610/98, que regula o assunto, prevê indenização por danos morais e patrimoniais, que, em certos casos, pode chegar a 3 mil vezes o valor de cada "exemplar" violado. "Em se tratando de propriedade intelectual, tanto os direitos autorais quanto os direitos de propriedade industrial são constantemente violados, portanto isto serve como desestímulo aos internautas que se consideram imunes a qualquer punição e incentivo às pessoas lesadas a proteger seus direitos, lembrando que é importante estar amparado em provas válidas", conclui Eliane Saldan.
Nos próximos dias, quando os representantes legais do site forem citados e tomarem ciência da decisão, o texto copiado deverá ser retirado do ar.
| Noticias |
Panda lança solução antivírus contra o Slammer
29/1/2003 - 15:59 Redação
A Panda Software, empresa multinacional espanhola do setor de antivírus, anunciou hoje o lançamento do Panda Antivirus Appliance, novo produto para proteção corporativa que integra hardware e software. O produto traz a primeira solução do mercado capaz de detectar e bloquear worms como o Slammer, que até agora não podia ser combatido por antivírus tradicionais.
O Panda Antivirus Appliance atua a partir do perímetro de uma rede, analisando as conexões TCP/IP e bloqueando pacotes maléficos, como o que é enviado pelo Slammer aproveitando-se de vulnerabilidades do servidor MS SQL. O mesmo procedimento serve para evitar ataques do tipo buffer overflow e de negação de serviço (DoS), ambos utilizados pelo worm.
Entre as funcionalidades do Panda Antivirus Appliance, destacam-se:
- Proteção dos protocolos mais comuns, ao analisar conexões HTTP, FTP, SMTP, POP3, IMAP, NNTP e SOCKS.
- Filtro de conteúdo, que impede a entrada de arquivos potencialmente perigosos antes que o sistema antivírus os analise. Além de oferecer uma proteção extra, a funcionalidade reduz a carga de trabalho do antivirus, economizando recursos do sistema.
- Atualizações diárias e automáticas contra os novos vírus.
- Administração remota por meio de uma interface Web, acionada a partir de qualquer computador conectado à Internet e dotado de navegador.
Outras informações sobre o produto podem ser encontradas aqui.
Leia também:
Vírus derruba parte da Internet mundial
Perguntas e respostas sobre o vírus Slammer
Microsoft libera patch revisado para combater o Slammer
| Noticias |
Assembléia de Minas implanta software livre OpenOffice
29/1/2003 - 14:11 Redação
A partir da próxima segunda-feira, a Assembléia Legislativa do Estado de Minas Gerais (Alemg) começa a implantar em seus microcomputadores o software livre e gratuito OpenOffice. Essa medida ? inovadora nas instituições públicas de Minas Gerais ? foi tomada para diminuir os custos de utilização e licença dos produtos da Microsoft.
Segundo o gerente-geral de Sistemas de Informação da Assembléia, Marcelo Migueletto, a adoção do OpenOffice começou a ser considerada depois que a Microsoft passou a exigir a assinatura do contrato de atualização permanente de versão dos seus programas. De acordo com Migueletto, o Microsoft Office corresponde hoje a 30% do valor de uma estação de trabalho na Assembléia.
Outros motivos que levaram à adoção do software livre foram o custo crescente dos programas em reais, por causa da desvalorização cambial, e a informatização da secretaria da Alemg e dos gabinetes. "O aumento do preço do pacote de programas da Microsoft tem sido considerável, já que é vendido pela cotação do dólar, correspondendo hoje a R$ 1.456,00 para cada micro", disse.
A implantação do OpenOffice ? conjunto de programas envolvendo, entre outros, um editor de texto (Writer), uma planilha (Calc) e um editor de apresentação (Impress) ? começará pelos gabinetes parlamentares, quando 240 funcionários que já utilizam o computador farão o curso de migração do Word para o Writer, e outros 80 receberão o curso de migração do Excel para o Calc. No segundo semestre, o software será instalado em setores específicos da Secretaria da Assembléia que não utilizam outros sistemas de interação com o Word. Em 2004 será iniciada a transição no restante da Secretaria.
A adoção do software livre na Assembléia de Minas Gerais foi autorizada com a publicação da Portaria nº 28 , de 9 de dezembro de 2002, que determina a implantação do pacote de software OpenOffice nos microcomputadores da Assembléia a partir de 2003. A migração de todos os setores da Alemg para o novo software será completada em dois anos.
Segundo Marcelo Migueletto, o estudo do Writer e do Calc está sendo feito há um ano. Ele conta que no final de 2001 seu setor começou a procurar alternativas para o uso do Word e Excel. Nesse momento, o setor de informática começou a avaliar o OpenOffice como uma alternativa viável.
O OpenOffice reconhece, importa e salva arquivos da Microsoft. O setor de informática também irá instalar os programas de visualização gratuitos da Microsoft para Word, Excel e Power Point. O ambiente Windows, o login e disco de rede, o correio eletrônico e o navegador da Internet utilizados pelos usuários da Alemg serão mantidos.
| Noticias |
Vírus se espalha por redes e permite controlar o micro
28/1/2003 - 18:21 Redação
A McAfee Security está alertando o mercado para o aparecimento de um novo vírus denominado W32/Netspree.worm. Trata-se de um vírus que tenta se espalhar enviando cópias de si mesmo para compartilhamento remoto IPC$ nas estações e permite a um hacker controlar remotamtne a máquina infectada .
IPC$ (InterProcess Communication) é um compartilhamento administrativo padrão disponível em sistemas Windows NT, 2000 e XP, mas não está presente em sistemas Windows9x. O Netspree tenta ganhar o acesso ao compartilhamento usando nome de usuário e senha administrativos. Uma vez acessado o sistema remoto, o worm usa o utilitário PSEXEC para se copiar e executar seus códigos.
O principal arquivo executável do vírus é o WIN32LOAD.EXE, que possui a característica de um cavalo de Tróia. Quando executado, faz cópias de si mesmo no diretório System do Windows e cria as seguintes chaves de registro para que seja
carregado na inicialização da máquina:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Windows Subsys"="C:\WINDOWS\SYSTEM\WIN32LOAD.EXE" rundll32.dll,loadsubsys,loadsys,win32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "Windows Subsys" = "C:\WINDOWS\SYSTEM\WIN32LOAD.EXE"
rundll32.dll,loadsubsys,loadsys,win32
Os sintomas mais visíveis de sua presença são as chaves de
registro e os arquivos PSEXEC.BAT; PSEXEC.EXE; LCP_NETBIOS.DLL e WIN32LOAD.EXE localizados no diretório System do Windows.
Quando uma conexão de Internet é encontrada, o vírus carrega um arquivo de plugin denominado Icp_netbios.dll. Este plugin possui o utilitário PSEXEC e um arquivo de lote (.bat) que contém instruções para conectar a máquina infefctada a sistemas remotos, permitindo o controle do computador, e comandos PSEXEC, usados para executar uma infecção.
O Netspree também se conecta a um canal IRC com a finalidade de enviar ao atacante informações do sistema infectado, como CPU, IP, memória total, memória disponível, sistema operacional, entre outros. O vírus pode ainda lançar ataques de negação de serviço a outros computadores infectados. No momento, o W32/Netspree.worm é considerado de baixo risco.
| Noticias |
Lançamentos incorporam novos recursos de firewall e VPN
28/1/2003 - 17:22 Redação
A SonicWALL anunciou hoje o lançamento dos dispositivos de segurança para a Internet SonicWALL PRO 230 e PRO 330. Os produtos incorporam mais recursos de firewall e novas características de VPN (Virtual Private Network), visando conectividade mais segura, confiabilidade e disponibilidade para redes corporativas de pequeno até grande porte.
Tanto o PRO 230 como o PRO 330 incluem a aceleração VPN IPSec baseada em ASIC (Circuito Integrado de Aplicação Específica) e vêm com recursos VPN que possibilitam acesso imediato e seguro às redes corporativas. O VPN Single-Arm Mode oferece flexibilidade para colocação de um PRO 230 ou PRO 330 em qualquer configuração de rede, em conjunto com um firewall já existente. O PRO 230 e o PRO 330 também suportam AES (Advanced Encryption Standard) para maior segurança.
Os produtos possuem interfaces flexíveis para DMZ (a chamada ?zona desmilitarizada?) ou uma segunda LAN, criando assim várias zonas protegidas. Como outros dispositivos integrados de segurança para Internet da SonicWALL, o PRO 230 e o PRO 330 podem ser administrados a partir de uma interface Web ou de um ponto central, graças ao GMS (Global Management System). Os recursos do software de produção de relatório ViewPoint do PRO 330 permitem a emissão de relatórios em tempo real e a conexão a partir de um console Web centralizado.
Novo firmware
Em conjunto com os dois novos produtos, a SonicWALL também lançou o Firmware 6.4, que será distribuído automaticamente para todos os clientes através do mecanismo Auto Update. A nova versão do firmware agora inclui uma série de recursos:
Propagação RIPv2 - Propaga dinamicamente informações atualizadas de VPN e estatísticas de roteamento, reduzindo o risco de roteamentos incorretos e garantindo assim conectividade confiável aos recursos críticos.
Cliente PPTP ? Possibilita suporte ao protocolo de rede de área ampla (WAN), PPTP (Point-to-Point Tunneling Protocol) da Microsoft e conexão com uma VPN baseada em PPTP.
Detecção Configurável de Ponto Morto (DPD) ? Aumenta o tempo de operacionalidade, a velocidade de acesso e produtividade do usuário, graças à detecção automática e restabelecimento de conexões VPN com falha.
Suporte para FQDN (Fully Qualified Domain Name) ? Oferece conexões VPN seguras e flexíveis, possibilitando a definição de endereços de gateways VPN por nome do host, além de um endereço IP.
O SonicWALL PRO 230 já está disponível no mercado brasileiro por US$ 3.274,00 e o PRO 330 por R$ 4.916,00 através dos canais de distribuição da SonicWALL. O Firmware 6.4 também já se encontra à disposição em www.mysonicwall.com para os clientes da SonicWALL com contratos de suporte válidos. Para obter mais informações, acesse www.sonicwall.com/products.
| Noticias |
Microsoft libera patch revisado para combater o Slammer
28/1/2003 - 13:43 Giordani Rodrigues
A Microsoft liberou um patch cumulativo e revisado, que corrige várias vulnerabilidades dos servidores MS SQL. O patch inclui a solução para uma falha já corrigida no boletim de segurança MS02-039, de julho de 2002, e que é explorada pelo atual worm Slammer. Além disso, o pacote inclui um "remendo" lançado no final de outubro e um arquivo para auto-instalação das correções, que facilita a vida dos usuários.
Este mesmo patch cumulativo (MS02-061) já tinha sido lançado originalmente em 16 de outubro de 2002. O pacote, que continua efetivo, corrigia todas as vulnerabilidades anteriores do produto (inclusive a que é explorada pelo Slammer) e uma nova vulnerabilidade descoberta na época, que afeta um procedimento de armazenagem do servidor SQL. No entanto, descobriu-se logo depois que, sob certas circunstâncias, o patch interfere em operações do SQL Server. Como resultado, em 30 de outubro de 2002, um patch adicional não relacionado à segurança foi lançado para garantir a normalidade das operações do servidor.
Por causa do grande alarme causado pela ação do Slammer em todo o mundo, a Microsoft resolveu relançar a correção e incluir no pacote o hotfix de 30 de outubro e um instalador, que elimina a necessidade de que os administradores de sistemas copiem os arquivos manualmente para seus servidores. O boletim de segurança revisado com o pacote de correções pode ser encontrado aqui. Em 17 de janeiro de 2003, a Microsoft também lançou o Service Pack 3 (SP3) para o SQL Server 2000, contendo todas as correções para as falhas encontradas no servidor desde a data de lançamento do produto. O SP3 pode ser baixado aqui.
Informações desencontradas
Como costuma ocorrer nas primeiras horas de descoberta de um vírus muito ativo, as empresas de segurança acabam fornecendo informações desencontradas. Foi o que ocorreu no caso do Slammer. No sábado, 25, dia da descoberta do worm, algumas empresas antivírus informaram que a praga atinge apenas máquinas Windows 2000 rodando servidor MS SQL. Agora, parece não restar dúvidas de que a informação correta é: o worm atinge apenas servidores MS SQL Server 2000 (incluindo as versões SP1 e SP2) e o Microsoft Desktop Engine (MSDE) 2000. (Até o momento de publicação desta matéria, a Sophos continuava com a informação anterior em seu site; outras empresas, como F-Secure e IIS, já corrigiram os dados).
O detalhe é que o MS SQL Server 2000 pode rodar tanto em Windows 2000, quanto, teoricamente, em Windows NT e XP. Além disso, o Microsoft Desktop Engine 2000 pode ser encontrado em vários aplicativos que rodam em Windows 98, ME, NT, 2000 e XP, e não raro é utilizado por usuários domésticos e desenvolvedores de software. Tais usuários, portanto, também correm risco, caso possuam o software e não tenham atualizado suas máquinas. De qualquer modo, as empresas ainda são o principal alvo do worm. Para obter informações detalhadas e corretas sobre os produtos atingidos pelo Slammer, leia esta página da Microsoft.
Outra informação um tanto confusa partiu do conceituado CERT Coordination Center. Em seu alerta do dia 25 sobre o Slammer, o centro de segurança afirmou que "a infecção por meio deste worm possibilita que um atacante possa executar um código arbitrário neste sistema como se fosse um usuário local do mesmo. A partir daí, é possível que um atacante, utilizando 'exploits', consiga privilégios de administrador". A frase dá a impressão equivocada que que o worm possa descarregar algum arquivo (exploit), ou abrir uma brecha que possibilite a um atacante remoto controlar a máquina atingida, o que não é verdade. O que o CERT quis dizer é que a presença do worm em uma máquina demonstra que o sistema já possui uma brecha de segurança, a qual permite ataques posteriores e mais graves. Tais ataques, porém, não são executados nem facilitados pelo vírus em si. A versão em inglês do documento já foi revisada e o mal-entendido foi corrigido.
Leia também:
Perguntas e respostas sobre o vírus Slammer
Vírus derruba parte da Internet mundial
| Dicas |
Perguntas e respostas sobre o vírus Slammer
27/1/2003 - 19:05 Redação InfoGuerra
A empresa antivírus britânica Sophos publicou nesta segunda-feira um guia de perguntas e respostas sobre o Slammer, o worm descoberto no último sábado e que tem provocado grandes estragos na Internet, derrubando servidores e causando lentidão no trafégo de dados. Aproveitando a importância das informações na prevenção deste vírus, InfoGuerra traduziu, de forma livre, as questões apresentadas pela Sophos:
O que é SQLSlam, ou Slammer, ou Sapphire?
W32/SQLSlam-A é um worm (uma espécie de vírus de computador) de redes, que se espalha usando apenas a memória das máquinas. O worm infecta o espaço de processos do servidor Microsoft SQL 2000 ao explorar uma vulnerabilidade conhecida como buffer overflow. Isto permite que o W32/SQLSlam-A seja executado como parte do servidor SQL. Uma vez executado, o worm tenta enviar cópias de si mesmo do servidor para quantos sites na Internet conseguir, até que seja detido pelo encerramento do processo no servidor SQL. (Na verdade, o worm entra no que é conhecido como "loop infinito", de modo que ele nunca pára de se disseminar por conta própria.)
O que é um buffer overflow?
Buffer overflows são causados por bugs (falhas) em programas de computador. São explorados pelo envio de mais dados do que um programa espera obter. Se o programa não verificar esta situação, irá ler mais dados do que o espaço reservado em memória lhe permite. Então, os bytes extras podem sobrescrever partes da memória que o sistema operacional está usando para outros propósitos. Como uma analogia, imagine que lhe foi pedido para analisar dez páginas de um contrato e aprová-lo assinando cada página. Agora imagine que você verifica cuidadosamente as dez primeiras páginas, mas assina cegamente o rodapé de todas as páginas que lhe foram dadas. Se advogados inescrupulosos tiverem preparado 12 páginas em vez das dez que eles lhe pediram para analisar, você pode ter concordado com mais cláusulas do que pretendia.
Por que o buffer overflow explorado pelo Slammer não foi corrigido?
O buffer overflow explorado pelo Slammer foi corrigido há seis meses. A vulnerabilidade foi abordada pela Microsoft em julho de 2002.
Se você é um usuário do SQL Server 2000, provavelmente investiu bastante tempo e dinheiro, tanto em hardware quanto em software, e provavelmente está usando seu servidor SQL para guardar e acessar informações importantes para sua companhia. Então, você tem um compromisso consigo mesmo, com sua empresa e com seus clientes, de se manter informado sobre brechas de segurança e seus respectivos patches (correções). É especialmente importante ficar atento aos patches para o sistema operacional em si e para os softwares que você usa para fornecer serviços online através de sua rede.
Por que as pessoas conseguem conectar-se ao meu servidor SQL a partir da Internet?
Esta é uma pergunta muito boa para você fazer a si mesmo.
Na prática, há poucos casos em que os servidores SQL precisam ser acessados diretamente da Internet. Poucos servidores SQL orientados à Internet enviam dados diretamente a usuários finais fora de sua companhia. A maioria envia os dados a um servidor Web, que converte os dados brutos em páginas HTML e as entrega a um usuário externo.
O servidor Microsoft SQL 2000 usa duas portas, 1433 e 1434. Provavelmente você deveria bloquear estas portas (para tráfego de entrada e saída) em seu roteador Internet ou firewall. De fato, você deveria bloquear tudo, exceto o tráfego que explicitamente decidiu liberar.
Por que os programas antivírus não conseguem impedir que o Slammer se instale na memória?
O worm Slammer chega como um pacote de requisições de um servidor SQL. Ele se instala na memória porque seu servidor SQL o lê dentro de seu próprio espaço de memória de modo inteiramente proposital. Você precisa bloquear o pacote maléfico antes que ele passe para o servidor SQL. Se você tem um firewall para inspeção de pacotes, provavelmente você poderá fazer isso - mas uma solução muito mais efetiva será bloquear todos os pacotes que tenham como objetivo a porta 1434, já que pacotes externos à sua empresa provavelmente são desnecessários. (Um número muito grande de pacotes SQL vindos do exterior de fato irá se transformar em algo maléfico.)
O que eu faço para me livrar do Slammer?
O Slammer não salva uma cópia de si mesmo no disco rígido, portanto terminar e reiniciar os processos do servidor SQL (ou melhor ainda, reiniciar seu servidor) irá desinfectá-lo. Mas certifique-se de aplicar o patch em seu servidor SQL antes de reiniciá-lo, ou você corre o risco de reinfecção. Atualize as regras de seu roteador ou firewall ao mesmo tempo.
Por que não há um remédio "mágico" para desinfectar e corrigir meu servidor sem esforço?
Quando o Slammer infecta seu servidor, ele sobrescreve a memória que pertence ao processo SQL. O worm então toma o controle de uma thread (sequência de comandos) dentro deste processo e entra em loop infinito. Você não consegue restaurar a imagem da memória de seu servidor SQL para um momento anterior à infecção, então deve considerar o processo SQL como inseguro. (Você poderia limpar o worm da memória para impedi-lo de se disseminar, mas a thread da qual ele tomou controle iria permanecer em loop infinito. Você poderia limpar o worm da memória para forçá-lo a terminar a thread que ele está executando, mas isto ainda deixaria o processo SQL em um estado "não natural". Você pode até ter múltiplas instâncias do worm, cada uma com sua própria thread "fora de controle".)
Para eliminar qualquer instância do worm que esteja sendo executada e restaurar o sistema a um estado seguro, você precisa terminar o processo no qual o worm está rodando. Isto significa desligar seu servidor e ligá-lo novamente com o controle adequado de todas as suas próprias threads.
O que acontece se eu não fizer nada?
Se você estiver infectado com o Slammer, estará anunciando este fato na Internet. Pacotes serão observados fluindo livremente de seu servidor SQL para a porta 1434 dentro de uma larga faixa de endereços IP gerados aleatoriamente. Isto indica que seu servidor já foi comprometido.
Agora considere que o Slammer é quase que certamente derivado de um exploit (conjunto de códigos para explorar vulnerabilidades) publicado e documentado por um grupo hacker chinês. Este exploit penetra em seu servidor SQL, inicia um prompt de comando e dá o controle sobre este prompt de comando a um atacante remoto. Qualquer um que perceba que o seu servidor está infectado pode facilmente e de modo imediato tomar controle completo de sua máquina. (Da mesma forma que o servidor SQL roda com privilégios de sistema, o prompt de comando do "exploit chinês" também o faz. Isto significa que o seu atacante tem privilégios de administrador em seu servidor.)
Além do risco óbvio para o seu servidor, permitir-se ficar infectado com o Slammer é uma demonstração de má cidadania na Internet. Servidores infectados podem gerar um alto volume de tráfego de saída, o qual deverá ser transmitido integralmente através de redes alheias.
Por que eu não fiquei sabendo desses riscos com antecedência
Uma vez mais, a prevenção é a melhor arma. A Microsoft opera uma lista de segurança para avisá-lo sobre vulnerabilidades e correções de seus produtos. Muitos outros fabricantes fazem o mesmo, bem como a comunidade open source. Por que não fazer sua assinatura hoje?
Leia também:
Vírus derruba parte da Internet mundial
| Noticias |
Vírus derruba parte da Internet mundial
25/1/2003 - 19:39 Giordani Rodrigues
Se você tentou acessar sites na Internet ou baixar e-mails entre aproximadamente 2h30 e 8h30 deste sábado, é provável que tenha tido problemas. Tudo por causa de um novo worm, cuja ação provocou ataques de negação de serviço (DoS) e derrubou milhares de servidores ao redor do mundo. Há relatos de que, entre as máquinas atingidas, estavam pelo menos 5 dos 13 servidores de nomes por onde passa todo o tráfego da Internet mundial.
Um dos primeiros alertas públicos sobre o worm apareceu na manhã de sábado, na lista Bugtraq. Algumas horas depois, a empresa de segurança IIS e as companhias antivírus lançaram seus próprios alertas sobre a praga, que foi batizada de SQL Slammer, Sapphire, Worm.SQL.Helkern e outros nomes.
Como sugere o nome, o worm ataca servidores SQL, mais especificamente os servidores MS SQL, da Microsoft, aproveitando-se de uma vulnerabilidade descoberta neste software em meados do ano passado. Após contaminar uma máquina, o Slammer envia massivos pacotes de dados através das redes, tentando infectar alvos aleatórios por meio da porta UDP/1434. O grande tráfego gerado consome recursos, diminui a velocidade das redes e chega a provocar negação de serviço, derrubando os servidores.
O Slammer só consegue infectar máquinas rodando MS SQL Server 2000 ou Microsoft Desktop Engine (MSDE) 2000, mas o efeito de sua ação degrada a performance de outros servidores e pode ser sentido até por usuários domésticos, que ficam sem poder acessar páginas ou baixar e-mails. O worm não envia nenhum e-mail, não cria nenhum arquivo no disco rígido e não é destrutivo. Ele existe apenas como um processo na mémoria das máquinas infectadas, o que pode dificultar sua detecção por certos programas antivírus. O mais impressionante é que seu código possui apenas 376 bytes de tamanho, mas suas consequências, como se vê, podem ser bastante danosas.
“Para muitos provedores, principalmente os menores, a sensação foi de que passou um caminhão, mas ninguém sabia de onde ele veio, nem para onde ia”, comentou Juliano Primavesi, administrador da empresa de hospedagem HostSul, referindo-se ao súbito aumento de tráfego que deixou vários provedores fora do ar. “Nosso link de saída na OptiGlobe é de 100 Mb no primeiro roteador. Mesmo assim, toda a banda foi usada e tudo ficou lento por causa disso”.
O site InfoGuerra, que está hospedado na HostSul, ficou fora do ar por algumas horas deste sábado. Outro site de segurança, VSAntivirus, do Uruguai, também ficou inacessível e chegou a publicar duas matérias sobre o “grande ataque DoS” sofrido pela Internet, antes que se descobrisse a real causa do problema.
Nos Estados Unidos, Europa e Ásia os ataques foram mais sentidos. Segundo a organização Incidents.org, mais de 35 mil máquinas já foram contaminadas, gerando um número absurdo de pacotes de dados trafegando Internet afora. Há relatos de um único servidor MS SQL infectado gerando um excesso de 50 megabits de dados por segundo.
As empresas antivírus consideram de médio a alto o risco de infeção pelo Slammer. Como ele não cria arquivos em disco, basta reiniciar o computador infectado para retirá-lo do sistema. Mas, se a correção para a vulnerabilidade explorada pelo worm não tiver sido aplicada, o risco de reinfecção é muito grande. A correção para a falha pode ser encontrada aqui. Outra maneira de se proteger é bloquear o tráfego de entrada e saída na porta UDP/1434.
| Noticias |
Hacker Kevin Mitnick dará palestra no Brasil
24/1/2003 - 17:06 Redação/Divulgação
O hacker Kevin Mitnick, que encerrou esta semana seu período de liberdade condicional e que agora preside a Defensive Thinking, empresa de consultoria em segurança com sede em Los Angeles (EUA), será o keynote speaker do IT Conference, evento promovido pela IT Mídia, empresa de comunicação dirigida aos negócios.
Convidado especial do evento, que acontece de 17 a 19 de setembro, no Fiesta Bahia Hotel, em Salvador, Mitnick fará uma apresentação sobre segurança para um público esperado de mais de mil profissionais de Tecnologia da Informação.
Só nesta semana Mitnick pôde voltar a acessar a Internet, depois de cumprir pena de mais de cinco anos de prisão por invadir redes de computadores — o que incluiu invasões aos PCs do cientista e especialista em segurança Tsutomu Shimomura, que colaborava com o governo dos Estados Unidos. Isto culminou com sua captura em 1994.
O IT Conference foi projetado para mostrar aos participantes as vantagens competitivas que o avanço das tecnologias proporciona, antecipando e divulgando as tendências mais recentes. O objetivo é integrar os profissionais envolvidos no processo de seleção, aquisição e implementação de tecnologia nas corporações. Além disso, o evento irá possibilitar que empresas consigam estreitar relacionamentos com os convidados, por meio de outras atividades estruturadas. As inscrições já estão abertas pelo site www.itconference.com.br.
| Noticias |
Módulo lança primeira turma de Security Officers de 2003
23/1/2003 - 18:27 Redação/Divulgação
O Módulo Education Center, unidade de educação especializada em Segurança da Informação da Módulo Security Solutions, está iniciando a primeira turma deste ano do curso MCSO — Módulo Certified Security Officer —, a ser ministrado no Rio de Janeiro. As aulas serão de 27 a 31 de janeiro.
O curso MCSO visa discutir todos os aspectos que envolvem a administração e a tomada de decisões dentro da segurança da Informação, sendo indicado a profissionais de todos os segmentos. O curso é dividido em dois módulos. No módulo I, que será iniciado agora, os participantes conhecerão os conceitos gerais de segurança, as classificações da informação e as soluções disponíveis para o planejamento de uma política de segurança da informação.
Os alunos aprenderão a trabalhar com sua equipe de profissionais para que estratégias e políticas de segurança sejam adotadas e implantadas da melhor forma em um ambiente corporativo. Temas como ética, legislação e análise de risco também serão abordados. A carga horária é de 40 horas e e a inscrição está com 20% de desconto. Outras informações podem ser obtidas no site www.modulo.com.br.
| Noticias |
Crackers alteram site do Instituto Curitiba de Informática
23/1/2003 - 16:11 Giordani Rodrigues
|
| Noticias |
Software para e-mail IncrediMail é um spyware
23/1/2003 - 5:19 José Luiz Lopez
Atenção: as informações abaixo foram posteriormente desmentidas. Leia os esclarecimentos aqui.
IncrediMail é um cliente de correio muito utilizado sobretudo por usuários com pouca experiência, deslumbrados geralmente por seus aspectos gráficos e sua fácil integração com os navegadores Internet Explorer, Netscape, e outros. Também existe quem o use pensando que é uma opção menos problemática para o correio eletrônico, e mais segura do que o Outlook Express.
No entanto, IncrediMail parece encerrar uma pequena surpresa. Ao menos desde a versão build 815, o programa instala um spyware em forma de keylogger (um espião que captura o que você escreve no teclado).
Não se pode dizer que o faz subrepticiamente, embora assim pareça na prática. É que o famoso EULA (o acordo de licença para o usuário final, segundo a sigla em inglês), que se apresenta ao se instalar quase qualquer software, poucas vezes é lido pelos usuários. Neste caso, ali se menciona que se você aceita o uso do programa, também está consentindo em ser rastreado anonimamente (porém, ninguém lê a letra miúda).
Segundo PestPatrol Corporate, fabricante do software comercial de mesmo nome, que detecta e elimina trojans, spyware e outros tipos de ferramentas utilizadas por intrusos, o IncrediMail (ao menos desde a buil 815), instala o arquivo imhook.dll.
Um exame de tal arquivo revela que o mesmo possui o código necessário para capturar tudo que é teclado pelo usuário. Não foi encontrada nenhuma referência oficial sobre qual é a razão para a existência deste arquivo e seu uso por parte de IncrediMail. De qualquer modo, é óbvio que representa um risco para a privacidade.
A versão atual do IncrediMail é a build 912, de 7 de janeiro de 2003.
José Luis Lopez é editor do site VSantivirus. Texto publicado sob autorização. URL original: http://www.vsantivirus.com/22-01-03.htm.
Tradução de Giordani Rodrigues
| Noticias |
Descobertas falhas em site de e-commerce da Módulo
21/1/2003 - 19:58 Giordani Rodrigues
Há cerca de duas semanas, a Módulo Security Solutions, considerada a maior empresa de segurança da informação na América Latina, pôs no ar o site Security Shopping , por meio do qual disponibilizou a venda online de produtos e serviços de segurança — livros, cursos, certificados digitais, e outros. Mas, na última quinta-feira, 16, a empresa foi obrigada a retirá-lo do ar às pressas, para corrigir falhas de segurança descobertas no sistema.
O site saiu do ar depois que InfoGuerra enviou à empresa cópias de cadastros pessoais armazenados no servidor e que podiam ser acessados por meio de técnicas de ataques. As falhas, descobertas por um analista de segurança que prefere não ter seu nome divulgado, são conhecidas como “SQL Injection”, o mesmo tipo de problema que possibilitou a desfiguração do site do PT durante o segundo turno das eleições passadas.
Pode-se dizer que SQL Injection é o ataque do momento, pois é muito fácil de ser explorado e, por descuido na programação, está presente em muitos sites, mesmo no de grandes empresas. SQL (Structured Query Language) é a linguagem padrão de acesso a diferentes bancos de dados: Oracle, DB2, Sybase, Informix, Microsoft SQL Server, Access, e outros. O método de ataque consiste em injetar comandos SQL não previstos pelos programadores das páginas nos campos dos formulários dos bancos de dados.
Assim, no ponto em que o formulário deveria receber apenas o nome de um usuário e uma senha, por exemplo, um atacante pode incluir comandos — inesperados, porém válidos — para busca e exibição de outros dados dos usuários. As conseqüências podem ser as mais variadas, dependendo da estruturação e da finalidade dos sites atingidos: desde a leitura de informações privadas, até a alteração e eliminação de todas as informações guardadas no banco de dados do sistema. Quanto mais informações críticas houver armazenadas no servidor (como números de cartões de crédito, por exemplo), mais grave é a presença desta vulnerabilidade.
No caso do site da Módulo, os exemplos recebidos mostravam que era possível acessar dados pessoais — como nome, endereço, CPF e telefone — de usuários cadastrados, sem necessidade de senha. Porém, havia limitações. Uma delas é que era preciso saber o e-mail do usuário, portanto os testes foram feitos com e-mails de funcionários da empresa, já que era mais óbvio que alguns deles estivessem cadastrados.
“Foi falha humana”, justifica Álvaro Lima, sócio-diretor de marketing da Módulo e um dos tinham cadastro no site. Segundo Lima, as falhas de programação estavam presentes em “uma versão antiga do software de comércio eletrônico” instalada no site e liberada inadvertidamente. Ele lembra, porém, que não era possível acessar dados de cartões de crédito, já que o pagamento das compras era feito por boleto bancário enviado para o endereço presente no cadastro do cliente. Além disso, afirma, praticamente não havia clientes reais cadastrados, pois o lançamento oficial do site, criado pela empresa Mídia3, ainda não tinha sido feito.
Durante algum tempo depois que foi retirado do ar, o Security Shopping exibia a mensagem de “servidor não encontrado”. Atualmente, o endereço apresenta as mesmas páginas do portal da Módulo e, até hoje à tarde, exibia um pequeno anúncio lateral sobre o futuro lançamento do serviço. Ao se clicar no anúncio, abria-se uma janela pop-up com o título de “Página inacessível” e o aviso: “Em razão do lançamento do novo Portal, o Security Shopping ficará temporariamente inacessível. Aguardem as novidades”. Neste momento, até o anúncio desapareceu.
“Estamos refazendo todos os testes e procedimentos de segurança necessários, antes de liberar a versão atual”, afirma Álvaro Lima.
Leia também:
Site do PT é hackeado
| Noticias |
RSA Security treina parceiros no Brasil
20/1/2003 - 18:06 Redação/Divulgação
A RSA Security, empresa norte-americana de segurança, traz para o Brasil, pela segunda vez, a certificação segmentada, um treinamento específico para atualização e reciclagem de pessoal técnico. O foco do treinamento será o RSA ClearTrust 5.0, sistema que controla o acesso a conteúdo Web protegido, em intranets, extranets e portais.
A versão 5.0 da ferramenta foi lançada no final de 2002 e já conta com mais de 50 produtos certificados e interoperáveis, de 30 diferentes fabricantes, como Microsoft, BEA Systems, PeopleSoft, Sun, Vignette, Apache e outros. Para ministrar o curso, a empresa trará o instrutor americano David O'Connell, do seu centro educacional.
Estarão participando as revendas que tiveram maior destaque em vendas em 2002, ou as que estão lançando produtos e serviços focados em RSA ClearTrust, como é o caso da Open Communications Security. Também participarão do treinamento as empresas Etek, Telsinc Security, Unisys do Brasil, Unisys da Colômbia, TL Informática, CAS Tecnologia, além das chilenas Adexus e Novared.
A RSA Security informa que está investindo cerca de US$ 50 mil no treinamento, o qual será gratuito para os parceiros. Os profissionais que participarem do curso poderão também fazer exame para requerer o certificado "RSA Security Certified Professional".
O curso acontecerá entre os dias 28 e 31 de janeiro, das 8h30 às 17 horas, na sede da Brisa, Sociedade Civil para o Desenvolvimento da Tecnologia, na Av. Francisco Tramontano, número 100, 110, Real Parque, Morumbi, São Paulo (próximo à ponte Morumbi). Outras informações podem ser obtidas pelo telefone (11) 3048-4054.
| Dicas |
Oito conselhos para o correio eletrônico empresarial
20/1/2003 - 16:09 José Luiz Lopez
Proteja-se de futuras dores de cabeça com o correio eletrônico de sua empresa implementando desde o início alguns conselhos básicos. 800onemail, um provedor de correio eletrônico de nível empresarial, apresenta uma lista de oito conselhos que permitem a uma companhia manter um pouco mais seguros seus sistemas de correio.
Tendo em conta que mais de 90% das ameaças de vírus hoje em dia chegam por e-mail, e que a quantidade de worms que se transmitem por este meio aumentou mais de 200% em relação aos últimos anos, deveria ser prioridade número um para qualquer empresa cujos empregrados tenham acesso à Internet implementar uma série de medidas para evitar perdas, que em alguns casos podem chegar a centenas de milhares de dólares.
Oito conselhos básicos
1 - Confira e avalie todos os sistemas instalados. Muitas companhias não atualizam seus sistemas há um ano ou mais. O uso de sistemas obsoletos conduz à exposição a riscos de segurança muito graves. Por exemplo, se se instalou o Windows 98 e não se atualizou o Internet Explorer para versões mais modernas, os riscos são enormes.
2 - Formalize políticas de segurança claras e concretas que definam o uso aceitável do correio corporativo, definindo quem controla as comunicações através do correio eletrônico da empresa, assim como o controle das atualizações diárias dos produtos antivírus (veja item 4). Mantenha seus empregados informados acerca destas políticas com uma comunicação regular e constantes atualizações.
3 - Mantenha sob controle o acesso ao correio eletrônico corporativo, implementando exigências rígidas, como a mudança periódica das senhas.
4 - Implemente várias camadas de segurança relativas ao correio eletrônico, usando uma combinação de aplicações antivírus individuais em cada computador, um antivírus para o servidor, preferencialmente de outro fabricante, aplicações de filtro de conteúdo, e alguma aplicação para o manejo centralizado de spam, mediante filtros no servidor ou aplicações específicas.
Devido à quantidade de vírus e à variedade de métodos utilizados por estes hoje em dia, apenas um sistema antivírus não chega a ser suficiente (tampouco o é ter mais de um antivírus monitorando um mesmo computador). No entanto, é uma possibilidade totalmente válida dispor de várias camadas de filtros com diferentes produtos, um em cada computador individual, e outro no servidor que conecta a Intranet da empresa com a Internet. Também é importante manter um estrito controle das atualizações dos produtos antivírus, que pode perfeitamente ser com verificações automáticas a cada 60 minutos na página Web do fabricante.
5) Criptografe as conexões de correio eletrônico mediante VPN (Redes Privadas Virtuais) ou Secure Sockets Layer (SSL). Não deixe nunca o sistema de correio eletrônico corporativo aberto diretamente à Internet, apesar da tentação que isso significa por sua conveniência.
6) Certifique-se de que os usuários com outra classe de acesso dentro da empresa (conexões sem fio, etc.) tenham o mesmo nível de segurança que um usuário de computador de mesa, sem comprometer seu acesso à rede. Utilize antivírus em cada máquina, firewalls pessoais e conexão VPN. VPN é uma rede privada que protege, mediante um processo de encapsulamento e às vezes de criptografia, os pacotes de dados enviados a distintos pontos remotos, com o uso de infra-estruturas públicas de transporte. As VPNs podem ligar escritórios corporativos entre si, com usuários móveis, etc.
7 - Monitore seu sistema de correio eletrônico corporativo e preveja suporte aos usuários 24x7 (24 horas por dia, 7 dias por semana) se isto for possível. Assegure-se de que os diferentes administradores estão inscritos em listas informativas e fóruns de segurança que os mantenham sob alerta e em dia com os incidentes de segurança mais recentes, listas de vulnerabilidades descobertas, ameaças de vírus, etc.
8 - Avalie os modelos de experiência e segurança para qualquer sistema ou produto de correio eletrônico que sua companhia use. Pergunte sobre outros produtos antivírus e anti-spam, infra-estruturas, redundância dos recursos disponíveis, armazenamento de dados, política de retarguarda, conectividade e criptografia.
Estes conselhos podem ser, tanto para os empresários como para os encarregados das áreas de informática da empresa, um grande alívio no momento em que surgir qualquer imprevisto em matéria de segurança. Em último caso, também é bom ao menos tê-los à mão como referência para suas próprias políticas.
José Luis Lopez é editor do site VSantivirus. Texto publicado sob autorização. URL original: http://www.vsantivirus.com/mail-empresas.htm.
Tradução de Giordani Rodrigues
| Noticias |
Site da RIAA é novamente hackeado
17/1/2003 - 9:59 Giordani Rodrigues
O site da Associação da Indústria Fonográfica da América (RIAA, na sigla em inglês) foi atacado no último final de semana, por indivíduos não identificados. Além de sabotarem o servidor, hospedando vários programas para troca de arquivos musicais, os intrusos também escreveram: “A RIAA quer hackear usuários/servidores de troca de arquivos? Melhor aprender a proteger seu próprio servidor”.
Coincidentemente, dois dias depois o grupo hacker Gobbles postou na lista Bugtraq um anúncio segundo o qual a RIAA o teria contratado há meses para desenvolver um worm capaz de infectar arquivos trocados nas redes P2P, catalogar todos os arquivos de mídia pertencentes a um usuário e enviar as informações para servidores da Associação. De acordo com o grupo, o worm, batizado de Hydra, já está em pleno funcionamento e instalado em 95% das máquinas participantes de redes P2P. “Se você participa de redes ilegais de troca de arquivos, seu computador agora pertence à RIAA”, ameaçou o Gobbles.
Com ou sem worm, os invasores do site da RIAA não pareciam muito preocupados, pois disponibilizaram para download os principais softwares usados atualmente para a troca de arquivos, sejam musicais ou de outra espécie. Programas como KaZaA Lite, eMule, eDonkey e outros podiam ser baixados do servidor. Todos os links para download traziam a irônica inscrição de que eram patrocinados pela RIAA. “Desculpe, Admin, tivemos de desabilitar suas contas. Elas serão reabilitadas depois de 2 horas”, avisaram.
É a segunda vez que o site da RIAA é desfigurado em menos de 15 dias. O ataque anterior ocorreu no último dia de 2002, quando os intrusos disponibilizaram um sistema para que usuários postassem notícias falsas na áre de comunicados do site. No final de agosto de 2002, houve outra desfiguração e músicas piratas foram postas no servidor para serem baixadas. Uma das páginas hackeadas passou alguns dias alterada sem que isso fosse percebido pelo administrador do sistema. De acordo com uma dedução do site de segurança Zone-H, este ataque ocorreu devido ao uso de módulos de administração sem proteção de senha.
Segundo o site britânico The Register, o site da RIAA foi desfigurado quatro vezes nos últimos meses, mas a Wired afirma que foram seis vezes em seis meses. A opinião de especialistas é de que, apesar de a RIAA tentar combater as redes P2P, não entende nada de tecnologia. "As falhas que as pessoas estão explorando para acessar o site (da RIAA) são problemas de segurança elementares, e não há desculpas para uma organização que pretende compreender o lado negro da Internet deixar tais buracos tão expostos em sua própria infra-estrutura de rede", disse à Wired o administrador de sistemas Anthony Negil.
O espelho do ataque mais recente pode ser visto aqui.
Leia também:
Site da RIAA passa vários dias hackeado
| Noticias |
Registro.br devolve domínios de spammers
17/1/2003 - 2:30 Giordani Rodrigues
Enquanto muita gente ainda comemorava o Natal, o Registro.br resolveu dar um presente de grego aos internautas brasileiros: após cancelar os domínios diar.com.br e econoshop.com.br por causa de irregularidades nos cadastros, devolveu-os intactos aos seus antigos donos. Os dois endereços são usados para o envio de grandes volumes de mensagem eletrônica não-solicitada, o famigerado spam.
Os domínios foram cancelados no dia 18 de dezembro, depois que o Registro.br recebeu denúncias de que seus cadastros possuíam dados falsos — como rua, cidade e números de CEP e telefones inexistentes. Constatadas as irregularidades, os domínios foram desativados e postos em processo de liberação.
Isto significa que, neste momento, eles deveriam fazer parte da lista de endereços que novamente estão disponíveis para registro público. A lista foi divulgada em 6 de janeiro e os domínios podem ser disputados pelos interessados de 11 a 26 de janeiro. Caso haja mais de um interessado no mesmo domínio, ninguém poderá registrá-lo até que ocorra novo processo de liberação. Esta situação pode durar meses ou até anos.
Mas nada disso aconteceu com os spammers. No dia 26 de dezembro, os domínios diar.com.br e econoshop.com.br foram devolvidos às entidades que os detinham anteriormente, e estão novamente ativos, como se nunca tivessem sido cancelados. “Como a documentação foi entregue após a data limite, os objetos já encontravam-se removidos. Porém, é nossa política, caso não exista nenhum conflito com terceiros, o restabelecimento dos objetos após a correção dos dados de contato”, esclarece Frederico Neves, coordenador técnico do Registro.br.
Motivos para se esconder
Para o usuário comum de Internet, o restabelecimento ou não dos domínios provavelmente não fará muita diferença prática. No mesmo dia em que os endereços foram cancelados, vários outros foram criados pelo mesmo grupo, e os spams continuaram chegando como se nada tivesse acontecido. Os produtos anunciados, todos miraculosos, eram os mesmos de sempre: um certo eliminador de ar na conta de água; gel para eliminar gorduras do corpo em apenas uma hora; cápsulas para aumentar a capacidade cerebral; e o famoso aparelho para modelagem física sem esforço, cuja venda e publicidade estão proibidas no Brasil desde o ano passado. Os infratores podem pagar multas que variam de R$ 2 mil a R$ 1,5 milhão.
Na verdade, o fato de o Registro.br ter cancelado e depois devolvido os domínios funciona até como uma faca de dois gumes contra os spammers, pois agora eles terão de pensar duas vezes antes de se esconder atrás de dados falsos novamente. Se antes os cadastros traziam informações obscuras, como um telefone 55550000 e um CEP 04555-555, agora os dados estão todos aparentemente corretos e em nome de Luiz Eduardo Auricchio Bottura, como se pode ver aqui e aqui.
Quem envia spam de forma sistemática tem motivos para querer se esconder — a ira dos usuários irritados com a grande quantidade de mensagens não-solicitadas. Recentemente, o americano Alan Ralsky, possivelmente o maior spammer do mundo, concedeu uma entrevista em que foi revelado o endereço de sua mansão, comprada às custas de bilhões de mensagens comerciais indesejadas. A entrevista apareceu no site Slashdot e, a partir de então, um grupo de ativistas anti-spam passou a cadastrar seu endereço em tudo quanto é campanha publicitária e mailing list. Resultado: sua casa foi inundada com toneladas de lixo publicitário, o que surtiu o efeito desejado pelo grupo. “Estas pessoas estão loucas”, disse um perturbardo Ralsky, que ameaçou processar os ativistas. Se a moda pega...
Leia também:
Domínios de spammers notórios são cancelados
| Noticias |
DC2K oferece proteção para redes de comunicação
15/1/2003 - 20:06 Redação
A First Tech, fornecedora de soluções de rede e segurança para o mercado corporativo, está oferecendo o DC2K, da Thales e-Security. Trata-se de um equipamento que protege o link de comunicação de uma rede WAN/LAN, pelo qual trafegam dados, voz e imagem.
Uma das principais características dos produtos DC2K é a versatilidade. Os equipamentos codificam as informações utilizando os principais algoritmos de criptografia, como TripleDES, DES e AES, e possuem velocidades de até 34 Mbps (milhões de bits por segundo), variando de acordo com o modelo. Além disso, podem ser utilizados com diversas aplicações, em sistema ponto-a-ponto ou ponto/multiponto, e gerenciados a distância ou por meio de gerenciamento central.
Segundo o diretor comercial da First Tech, Marcelo Abreu, “o cliente pode começar comprando uma solução simples ponto-a-ponto com velocidade de 64Kbps e, utilizando a mesma plataforma, migrar para outras velocidades e outros algoritmos de criptografia”.
A First Tech está oferecendo os produtos da família DC2K a partir de US$ 2,5 mil (cerca de R$ 8.250,00). O preço varia de acordo com a solução adequada à velocidade do link.