26/1/2005 - 2:25 Giordani Rodrigues

A segurança do site da Vasp pode ser mais precária do que se supunha. Depois da divulgação de um trojan para roubar senhas bancárias hospedado no servidor da empresa, descobriu-se que o site possuía várias brechas de segurança, um novo trojan foi hospedado nele e até dados de cartão de crédito de clientes foram expostos.

Na terça-feira passada, 18/01, InfoGuerra publicou uma matéria informando que um cavalo-de-tróia, desses enviados por golpistas em mensagens fraudulentas para roubar dados financeiros de internautas desavisados, ficou hospedado no site da Vasp por mais de duas semanas ― desde o final do ano passado. Além dos avisos de usuários que perceberam o programa espião, a empresa tinha sido contatada pela redação na sexta-feira anterior para esclarecer o assunto, mas mesmo assim o trojan permaneceu ainda alguns dias no ar. Somente algumas horas após a publicação da matéria o trojan foi finalmente eliminado do site. Mas a brecha de segurança não foi fechada e, no dia seguinte, golpistas colocaram um novo programa maléfico no servidor da empresa e enviaram uma nova mensagem fraudulenta para milhares de internautas, com um link para o malware.

O falso e-mail trazia uma suposta promoção de celulares GSM da Brasil Telecom com um link apontando para um trojan hospedado na mesma pasta Sitef (sigla de Solução Inteligente para Transferência Eletrônica de Fundos) onde se encontrava o trojan anterior. O arquivo malicioso, de nome gsm.exe, foi detectado como Trojan.Spy.Banbra.Q pelo site VirusTotal (Banbra é uma junção das primeiras sílabas da expressão bancos brasileiros, pois estes são os alvos do malware). Uma cópia da mensagem fraudulenta, incluindo a indicação do link, pode ser vista aqui.

Mais um dia se passou e, no dia 20 de janeiro, a versão online do Correio Braziliense publicou uma matéria informando que “todos os dados de quem comprou passagens aéreas [da Vasp] nos últimos meses ficaram disponíveis em uma página da Internet”. Havia informações sobre reservas e compras, que foram retiradas do ar no mesmo dia de publicação da matéria, mas alguns leitores afirmaram que a lista estava no ar há mais tempo, de acordo com o Correioweb.

Quando estes problemas vieram à tona, InfoGuerra recebeu o e-mail de um leitor que se diz um “consultor independente” que resolveu mostrar as falhas de segurança no site da Vasp sem revelar sua identidade, “para não se expor nem se prejudicar”. Usando o pseudônimo de Dimitri Krovic, ele enviou reproduções de áreas privadas do site e explicações de como seria possível acessá-las.

Os problemas relatados são bem conhecidos: basicamente, extensões de FrontPage mal configuradas e SQL Injection. As extensões de FrontPage permitem que se acesse áreas do servidor apenas usando o editor de HTML FrontPage, da Microsoft. A tela reproduzida por Dimitri mostrava um diretório com várias pastas, incluindo aquela na qual haviam sido inseridos os trojans. Já os problemas (confirmados) de SQL Injection (injeção de comandos especiais em campos de bancos de dados) davam acesso a áreas restritas do site, com informações privadas de funcionários, rotas de vôos, e outras, além de acesso à intranet da rede corporativa, conforme se vê nesta imagem (o endereço da página foi mascarado por questões de segurança).

Na quinta-feira, dia 20, InfoGuerra falou com Pedro Mantovani, gerente de informática e telecomunicações da Vasp, e enviou-lhe uma cópia da mensagem fraudulenta com o novo trojan. Ao telefone, ele pareceu um tanto desorientado com todos os problemas que estavam surgindo e disse que iria ligar no dia seguinte, com algumas informações. Garantiu, porém, que nenhum cliente da Vasp tinha sido prejudicado com a exposição de seus dados de cartão crédito. Neste dia, o segundo trojan também foi retirado do site.

Na sexta-feira, Mantovani não ligou. Na segunda-feira, enviamos, para ele e para a assessoria de imprensa da Vasp, cópia do e-mail de Dimitri Krovic com as informações sobre as vulnerabilidades, e pedimos algumas explicações. Não houve resposta para o e-mail, mas o endereço que dava acesso aos dados internos da empresa foi tirado do ar. Não se sabe se as vulnerabilidades do site foram definitivamente corrigidas.

Já há algum tempo, a Vasp vem enfrentando diversos problemas financeiros, que se refletem em vários setores da companhia, e certamente também no de TI. A empresa está com salários de dezembro atrasados, tem cancelado vôos com menos da metade de ocupação da nave e feito promoções de bilhetes não-reembolsáveis. O ministro da Defesa e vice-presidente da República, José Alencar, já cogitou a possibilidade de intervenção nos rumos da companhia, transformando-a em empresa de fretamento de aeronaves.

Telhado de vidro

Existem alguns fatos irônicos com a divulgação, pelo Correioweb, da brecha de segurança no site da Vasp, que expôs dados de cartão de crédito dos clientes. O site do jornal também possuía uma brecha, a qual possibilitou que trojans fossem inseridos em seu servidor e usados em golpes contra clientes de Internet Banking. A existência do problema também tinha sido comunicada à empresa vários dias antes, mas mesmo assim o trojan continuou no ar.

O analista de segurança Salomão de Oliveira, o mesmo que recebeu mensagens com os dois trojans no site da Vasp e já havia alertado a companhia aérea anteriormente, sem sucesso, recebeu também um outro e-mail, no dia 11 de janeiro, com link para um falso gerador de créditos para telefone celular. O programa, na verdade, era um cavalo-de-tróia, hospedado no fórum sobre concursos divulgados pelo jornal (http://concursos.correioweb.com.br/forumconcursos/creditofacil.exe). No mesmo dia, Salomão enviou uma cópia do e-mail fraudulento para cinco contas de e-mail do Correioweb, incluindo a do repórter Renato Ferreira, que posteriormente produziu a matéria sobre a Vasp, conforme se vê nesta reprodução da mensagem.

No entanto, o trojan permaneceu no ar pelo menos até o dia 20, quando InfoGuerra recebeu a informação do analista de segurança e entrou em contato por telefone com o Correioweb, avisando do problema. O webmaster do site confirmou a presença do programa maléfico e revelou a existência de alguns outros arquivos de mesma natureza no servidor.

Posteriormente, afirmou que a mensagem de Salomão tinha sido erroneamente classificada como spam, por isso não foi lida pelos destinatários. Disse também que estavam sendo feitas análises para descobrir como alguns usuários conseguiram enviar trojans para o servidor.

Uma análise do arquivo creditofacil.exe, feita no site VirusTotal, mostra que se trata do Trojan.Spy.Banbra.Q, o mesmo que foi inserido no site da Vasp. “Parece que a falha não é só da Vasp, como eles noticiaram”, comenta Salomão Oliveira.

24/1/2005 - 16:42 Giordani Rodrigues

O polêmico site Folha de Bananeira, que supostamente vende drogas pela Internet e já esteve usando um domínio registrado com o CNPJ da Secretaria Especial dos Direitos Humanos, pode não passar de um truque ou uma fraude para tirar dinheiro de viciados. O site possui um "easter egg" (ovo de páscoa), nome dado a certas brincadeiras ou surpresas escondidas por programadores em determinadas partes de um software.

No caso do Folha de Bananeira, o acionamento do easter egg abre uma página em que se lê: “Não use drogas!!! Eu fiz o site mas sou totalmente contra. Preciso do $!”. No meio da página há a exclamação “Boooo!!!!!!!” e a frase “Não use drogas meu amigo”. O texto é assinado por alguém que usa o apelido de Mawerick. Veja reprodução abaixo:


O trecho “preciso do $” faz supor que a pessoa que criou o site pode estar usando o truque para enganar usuários de drogas que encomendem os produtos por e-mail. Bastaria que ele informasse o número de uma conta bancária para depósito e nunca enviasse nenhuma droga após constatar a presença do dinheiro. Porém, isso não está confirmado, pois na semana passada InfoGuerra enviou alguns e-mails de uma conta criada num provedor gratuito, simulando interesse em adquirir algumas substâncias, e as primeiras mensagens foram respondidas, mas quando se solicitou o número da conta para depósito, não houve mais retorno. Após descoberto o easter egg, InfoGuerra enviou novas mensagens, dessa vez com identificação do site, solicitando uma entrevista, mas também não houve resposta.

Para chegar até o easter egg, basta esperar a página inicial do site folhadebananeira.com carregar completamente e clicar num pequeno ponto negro que existe na figura do aparelho de som, ao lado do que seria o “woofer” da direita. Este ponto fica vermelho quando o mouse o atinge e o cursor se transforma na imagem da mão que indica o link. Neste momento, basta dar um clique no mouse para que a página com o “ovo de páscoa” apareça. Veja, abaixo, a figura indicando o local correto onde clicar.


O truque foi descoberto casualmente pelo webmaster e webdesigner Luciano Carvalho, que leu a matéria sobre o site, publicada na sexta-feira, e desconfiou que houvesse algo escondido nas páginas. “Sempre deixo uma surpresinha também em meus sites, nisso resolvi procurar a surpresa que eles haviam deixado”, disse.

O site Folha de Bananeira vem provocando a troca de várias mensagens em listas de discussão, não só por causa do seu conteúdo, mas também porque alguns domínios (folhadebananeira.com.br, folhadebananeira2.com.br e outros) usados anteriormente foram registrados sob o CNPJ da Secretaria Especial dos Direitos Humanos (SEDH), órgão ligado à Presidência da República. Por causa disso, os domínios foram cancelados e o responsável pelo site registrou um domínio internacional, mais difícil de ser cancelado.

O domínio folhadebananeira.com, registrado em 22 de novembro do ano passado, indica como endereço do responsável a rua Gonçalves Dias, S/N, em Araraquara, no interior de São Paulo. É nesta rua que se localiza a sede da Polícia Federal da cidade, o que também leva a crer que o dono do site está apenas escarnecendo das instituições do País.

Mesmo que tudo não passe de uma brincadeira crítica, o responsável pelo site pode se dar mal, na opinião do advogado Omar Kaminski, especialista em Direito da Informática. "A questão é que não ficou suficientemente claro que se trata de uma brincadeira, em favor da liberdade de expressão amparada constitucionalmente. O idealizador deveria ter colocado um 'disclaimer', um aviso mais visível, por mais que isso prejudicasse seu propósito de chamar a atenção e provocar mais visitações para o site. Mesmo constatado que se trata, presumidamente, de algo fantasioso, ele poderá ter problemas legais por ter utilizado o CNPJ de uma instituição governamental e por ter colocado dados inverídicos quando do registro do domínio brasileiro. E caso o detentor do site esteja recebendo valores mas não entregando a droga, já que ela supostamente não existe, isso pode configurar o crime de estelionato."

A assessoria de imprensa da SEDH já afirmou que o órgão acionou a Polícia Federal para investigar quem está por trás do site e usou seu CNPJ.

Atualização - 25/01/2005 - 13h09: O provedor HostNet, no qual o site Folha de Bananeira estava hospedado ultimamente, bloqueou o acesso ao endereço. Hoje, quem tentar acessar o site será direcionado a uma página do provedor contendo a seguinte mensagem: "O acesso ao website visitado esta (sic) congelado por medidas administrativas". InfoGuerra entrou em contato com a HostNet para tentar obter informações sobre o responsável pelo site, mas o provedor não quis fornecer os dados. O atendente também disse que a empresa não possui assessoria de imprensa e que está analisando se os dados fornecidos são verdadeiros ou falsos.

Leia também:

Site para venda de drogas continua no ar

Blog volta ao ar por força de habeas corpus

21/1/2005 - 2:44 Giordani Rodrigues e Alexandre Freitas

Atualizado em 21/01/2005, às 17h30

Um polêmico site de nome “Folha de Bananeira” tem causado rebuliço em algumas listas de discussão no Brasil desde os últimos meses do ano passado. O motivo: o site coloca à venda, com serviço de entrega em domicílio, várias “substâncias controladas”, um eufemismo que usa para se referir a drogas como maconha, ecstasy, cocaína e outras, cujo uso e fornecimento são considerados ilícitos pelas leis brasileiras.

Atualmente, o site funciona no endereço folhadebananeira.com, mas já esteve nos domínios folhadebananeira.com.br e folhadebananeira2.com.br. O detalhe intrigante é que, apesar das atividades do site, os dois endereços anteriores foram registrados sob o CNPJ da Secretaria Especial dos Direitos Humanos, órgão ligado à Presidência da República. Por causa disso, os domínios foram denunciados ao Registro.br e acabaram sendo cancelados.

Não se sabe se o Folha de Bananeira é apenas uma brincadeira, uma crítica sarcástica às instituições do País ou, de fato, uma organização criminosa, mas sabe-se que foi lançado entre o final de outubro e o começo de novembro de 2004, e logo passou a ser comentado em alguns blogs e listas de discussão online. Usando como fundo musical a canção “Folha de Bananeira”, sucesso atual interpretado pela banda Planta e Raiz e composta pelo guitarrista Armandinho, o site é bem produzido e as ofertas chegam a ser engraçadas, de tão absurdas.

Há promoções como o Kit Rave, composto por um lança-perfume, um ecstasy, um viagra de 50 miligramas e 10 gramas de fumo baiano. As chamadas do site trazem textos como “Fique tranqüilo, não corra riscos, adquira sua substância controlada sem sair de casa” ou “Aqui você sempre está de bom humor”. A página inicial informa que as entregas são feitas em São Paulo e região do ABC Paulista, e “agora também na Baixada Santista, Jundiaí, Campinas e Itu”.

Em meados de novembro, a Magnet publicou uma matéria sobre o site e, apesar de indicar que poderia se tratar de um hoax (trote), não chegou a uma conclusão definitiva e também não abordou a questão de o domínio ter sido registrado com um CNPJ do governo.

Mesmo assim, a Magnet chegou a fazer contato com um suposto “gerente comercial” do site, que disse, por e-mail, como seriam feitas as transações de venda das drogas. “Após a escolha do produto desejado, a entrega é efetuada algumas horas depois. Você recebe uma ligação dizendo que seu produto foi entregue; o entregador descreve o local exato onde foi deixado seu produto; o entregador só vai embora após ter confirmado a entrega. Não há contato pessoal. Pagamento é via deposito bancário".

De acordo com a publicação, após ter sido solicitado a dar uma entrevista, o tal gerente respondeu: “Agradecemos os elogios mas embora um tanto bem humorado, nosso sistema funciona como uma outra empresa qualquer, ou seja, tem escalas de trabalho, serviços de entrega, pagamento a fornecedores, almoço e jantares com distribuidores, a única diferença está naquilo que comercializamos. Embora a sociedade critique tais substâncias, entretanto o que seria de nossa sociedade sem estas? Infelizmente não podemos atendê-lo, por questões de segurança e ordens superiores”.

Nos últimos dias, InfoGuerra também enviou e-mails ao Folha de Bananeira, a partir de uma conta criada num provedor gratuito, simulando interesse na compra de algumas substâncias. As primeiras mensagens foram respondidas poucas horas depois, informando que “não clientes” obteriam os produtos via Sedex, mediante depósito bancário do valor referente à quantidade total pedida. As mensagens posteriores, em que se solicitava o número da conta bancária para depósito e o endereço para o qual o comprovante deveria ser enviado, não foram respondidas.

Um caso complicado

O advogado especializado em Direito da Informática e professor da FGV Online Omar Kaminski, que vem acompanhando o caso desde o seu surgimento, acha difícil dizer se se trata de um trote sem que haja investigação mais profunda. Mas, independentemente disso, afirma que “os responsáveis poderão ser enquadrados nos crimes de falsidade ideológica (artigo 299 do Código Penal), ou na Lei de Entorpecentes (artigo 12 da Lei 6.368/76)”.

Dados do Registro.br mostram que o domínio “folhadebananeira.com.br” foi criado no dia 26 de outubro de 2004, em nome de uma empresa batizada de Pedro Bananeira Comércio e Serviços, que teria sede em Fortaleza, no Ceará. Porém, o CNPJ associado a essa empresa e informado no cadastro correspondia ao da Secretaria Especial de Direitos Humanos (SEDH), da Presidência da República.

Diante de denúncias recebidas, inclusive da própria SEDH, o órgão responsável pelo registro de domínios no Brasil instaurou procedimento administrativo para averiguar a procedência das informações cadastradas e acabou cancelando o endereço por conter dados falsos -– daí a possibilidade de enquadramento em crime de falsidade ideológica.

Mensagens postadas em listas de discussão na época informavam que o site original fora retirado do ar no dia 11 de novembro de 2004. Dias depois foi reativado usando um segundo domínio, folhadebananeira2.com.br, registrado em 19 de novembro, com os mesmos dados do domínio anterior, incluindo o CNPJ da SEDH. O “provedor de hospedagem” dos dois endereços tinha o irônico nome de PatriaHost, cujo domínio também estava registrado com o mesmo CNPJ do governo, conforme se vê nesta cópia do cadastro, feita à época.

Após novas denúncias e constatação das irregularidades, todos os domínios foram cancelados, no final de novembro. Atualmente, o Registro.br informa que os endereços não podem ser registrados por estarem aguardando o início do processo de liberação. Isto significa que estão bloqueados e serão liberados posteriormente para registro, já que o nome em si não é considerado ilícito e pode ter fins legítimos.

Após estas duas tentativas, os responsáveis pelo site registraram o domínio internacional “folhadebananeira.com”, mais difícil de ser cancelado. Uma consulta aos dados do novo endereço mostra que ele foi criado no dia 22 de novembro de 2004, em nome de Luiz Bananeira, cujo e-mail seria pedrobananeira@bol.com.br, o mesmo usado anteriormente nos cadastros do Registro.br. Desta vez, o endereço fornecido como sede da “empresa” foi da cidade de Araraquara, no interior de São Paulo.

Ao ser informada, hoje, de que o Folha de Bananeira voltou ao ar com um domínio internacional, mesmo após os domínios fraudulentos terem sido cancelados, a SEDH denunciou o site à Polícia Federal e pediu investigação sobre o caso, segundo a assessoria de imprensa do órgão.

“O fato de o domínio ter sido registrado fora do Brasil não exime o detentor da responsabilização. Mesmo que o servidor estivesse no estrangeiro, de acordo com o artigo 7º do Código Penal (Princípio da Ubiqüidade), considera-se praticado o crime no lugar em que ocorreu a ação ou omissão, no todo ou em parte, bem como onde se produziu ou deveria produzir-se o resultado”, esclarece Omar Kaminski.

Neste caso, apenas o domínio é internacional, mas os serviços de registro foram feitos pela empresa 100br.com e o site está hospedado atualmente no provedor HostNet. Ambas as empresas são brasileiras.

Na opinião do professor da PUC de Minas Gerais e estudioso de Direito Penal Informático Túlio Vianna, as questões suscitadas pela existência do Folha de Bananeira são de difícil solução. De imediato, ele exclui a responsabilidade penal do provedor, pois não caberia à empresa qualquer tipo de "censura" do material que vai ao ar.

“Em Direito Penal não há responsabilidade objetiva, ou seja, o agente só pode ser punido por seu dolo, um conceito jurídico próximo ao da intenção”, explica. “A HostNet não tem como controlar todo o conteúdo que seus clientes colocam no ar, nem pode ser obrigada pelo Estado a isso. O que o Estado pode obrigá-la a fazer é manter os logs e os dados completos do usuário, para uma eventual requisição judicial”.

Vianna vai além e diz que o simples fato de o site estar no ar não caracteriza tráfico, enquanto nenhuma droga for apreendida. “Se rastreássemos o IP deles e, por hipótese, déssemos uma 'batida' no local onde estão as máquinas e prendêssemos o webmaster, mas não encontrássemos droga na posse dele, não haveria como processá-lo por tráfico ou tentativa de tráfico, pois falta prova da materialidade (a droga)”.

De qualquer forma, ele também acha que cabe o crime de falsidade ideológica, já que quem registrou o domínio usando o número de um documento do governo fez declaração falsa, alterando a verdade sobre fato juridicamente relevante. "Se os responsáveis pelo registro ainda tiverem os logs, podem acionar a polícia, mesmo o site tendo sido tirado do ar", afirma. "Isto é independente do conteúdo do site. Qualquer que fosse o conteúdo, não se poderia registrá-lo com CNPJ falso".

Enquanto o site permanece no ar, pessoas indignadas continuam a denunciá-lo. Uma destas denúncias foi feita ao Observatório Brasileiro de Informações sobre Drogas (OBID), órgão subordinado ao Gabinete de Segurança Institucional da Presidência da República e à Secretaria Nacional Antidrogas. Em mensagem postada numa lista de discussão no dia 10 de janeiro, o coordenador de comunicação social do OBID informou que o órgão está "acompanhando esse fato com muita atenção e interesse" e "trabalhando para que isso não volte a acontecer".

Na quinta-feira, dia 20, InfoGuerra enviou um e-mail ao OBID solicitando informações atualizadas sobre o caso, mas não obteve resposta. Caso o site venha a ser retirado do ar novamente, uma cópia pode ser vista aqui.

Leia também:

Blog volta ao ar por força de habeas corpus

19/1/2005 - 13:30 Redação InfoGuerra

Foi descoberto um trojan desenvolvido como prova de conceito para explorar uma brecha de segurança existente no tratamento de arquivos de cursores e ícones em sistemas Windows. A falha permite execução remota de códigos maliciosos e possibilita a um atacante obter controle total do sistema afetado.

O problema já tem correção, oferecida na semana passada com a publicação do boletim MS05-002, da Microsoft. No entanto, sabe-se que muita gente simplesmente não atualiza seus sistemas e isso pode agravar a descoberta.

Batizado como Backdoor.Globe, também recebe os nomes de IframeBof, Globe, Back.Globe.A, Exploit.HTML.IframeBof e Exploit.Win32.MS05-002.Gen, dependendo da empresa antivírus.

De acordo com o site VSAntivirus, o trojan é escrito em linguagem JavaScript e inserido em arquivos HTML que usem cursores animados (aquivos com extensão .ani), criados especialmente para provocar um estouro de memória (stack overflow) e executar códigos maliciosos.

Ao entrar em atividade, o trojan abre a porta TCP/28876 para que atacantes possam executar remotamente comandos não autorizados e, dessa forma, comprometer o sistema.

18/1/2005 - 17:56 Redação InfoGuerra

A agência de notícias árabe Al-Jazeera teve sua rede de computadores comprometida no final de semana por trojans que instalaram um mecanismo para envio não autorizado de e-mails. De acordo com a empresa britânica de segurança mi2g, a partir de sexta-feira, 14, centenas de mensagens eletrônicas foram enviadas a cada hora de contas específicas de e-mail, provocando ataques de negação de serviço (DoS) nas redes dos destinatários.

A mi2g afirma que descobriu o problema quando um de seus e-mails, enviado na sexta-feira pela manhã a um contato de negócios da empresa, retornou com o aviso de "caixa postal cheia" e, por telefone, o contato informou que estava sob ataque DoS vindo do canal de televisão. A empresa de segurança garante também que alertou a Al-Jazeera sobre o incidente, mas não obteve retorno até terça-feira pela manhã.

A situação persistiu por todo o final de semana e, na segunda-feira, estava quase normalizada, diz a mi2g. A empresa afirma que os ataques foram confirmados por fontes nos Estados Unidos, Reino Unido e Austrália, em mensagens de e-mail, canais de IRC e boletins privados. E lembra que os governos dos três países estão juntos na luta contra grupos terroristas e na guerra do Iraque, fazendo crer que os trojans inseridos na rede da Al-Jazeera foram usados com fins políticos.

Para a mi2g, os eventos demonstram que a rede de computadores da Al-Jazeera não possui um sistema adequado de segurança, quando comparado ao das agências ocidentais. Segundo a empresa britânica, as políticas de segurança da agência árabe estão atrasadas entre seis e oito anos.

Em março de 2003, quando a Al-Jazeera retransmitiu imagens dos soldados americanos capturados por forças iraquianas durante a guerra, seu site tornou-se inacessível devido a um ataque distribuído de negação de serviço (Distributed Denial of Service ou DDoS).

18/1/2005 - 14:21 Redação InfoGuerra

Um trojan projetado para roubar senhas bancárias está hospedado no site da Vasp desde o final de dezembro. O cavalo-de-tróia foi usado por golpistas em mensagens fraudulentas simulando o envio de cartões virtuais.

O falso e-mail, enviado em nome do site VoxCards, usava as mesmas cores e a logomarca do site verdadeiro, alegando que uma pessoa com endereço eletrônico lais_sinto@bol.com.br tinha enviado um cartão ao destinatário. O texto da mensagem afirmava que para visualizar o cartão seria necessário acessar um determinado link. O falso endereço remetia a vítima para http://www.agentes.vasp.com.br/sitef/images/mensagem.scr, uma página interna do site da Vasp. Como se vê pelo endereço, o trojan foi nomeado como “mensagem.scr” e armazenado em uma pasta chamada "sitef". Uma cópia da mensagem fraudulenta, datada de primeiro de janeiro, pode ser vista aqui.

O nome da pasta na qual o programa malicioso foi hospedado é um detalhe importante. Sitef significa Solução Inteligente para Transferência Eletrônica de Fundos e é o nome de um software desenvolvido para integração de empresas comerciais com as administradoras de cartões de crédito e de débito em Transferência Eletrônica de Fundos (TEF). Como o site da Vasp possivelmente foi comprometido para inserção do trojan na pasta, informações de cartões de crédito de clientes da empresa também podem ter sido acessadas pelos golpistas.

Na sexta-feira, dia 14, InfoGuerra fez contato por telefone com o gerente de sistemas da Vasp, que se identificou apenas como Carlos Alberto. Informado sobre a existência do trojan no site da empresa, ele disse que desconhecia o assunto e não pôde dar mais detalhes a respeito. Alguns minutos depois, ele retornou a ligação afirmando que o gerente-geral de informática da Vasp, Pedro Mantovani, tinha sido alertado sobre o problema, mas não poderia dar declarações, pois não estava se sentindo bem e não tinha ido trabalhar naquele dia. Disse ainda que na segunda-feira, dia 17, Mantovani iria entrar em contato para esclarecer a situação, mas isso não aconteceu. Até o momento de publicação desta matéria o trojan continuava no ar. Uma cópia da caixa de diálogo para download do arquivo pode ser vista aqui.

Além deste contato, um participante da lista de discussão do Grupo de Trabalho sobre Segurança de Redes, mantido pelo Comitê Gestor da Internet no Brasil, afirma que, no dia 29 de dezembro de 2004, comunicou a empresa aérea sobre o problema, por meio de seu site. Também diz que enviou um e-mail ao administrador do domínio vasp.com.br, cujo endereço eletrônico está cadastrado no site do Registro.br. Ele informa, no entanto, que não obteve resposta da empresa.

Uma análise feita no site VirusTotal indica que o arquivo malicioso inserido no site da Vasp corresponde ao Trojan.Spy.Banbra.Q, criado especialmente para imitar telas de acesso de alguns bancos brasileiros, como Banco do Brasil, Caixa Econômica Federal e Bradesco, com o objetivo de roubar senhas e outros dados de seus correntistas.

Atualização - 19/01/2004 - 17h30: Algumas horas após a publicação desta matéria, o trojan foi finalmente retirado do site da Vasp e, à noite, quem tentasse acessar o endereço receberia o aviso de "página não encontrada". A assessoria de imprensa da companhia aérea também foi contatada por telefone, ontem, e solicitou que as informações e perguntas fossem enviadas por e-mail. Isto foi feito, mas até este momento não houve resposta.

17/1/2005 - 17:34 Redação InfoGuerra

Um código malicioso batizado pela Trend Micro como EXPL_DHTML.GEN está sendo usado para explorar uma brecha de segurança existente no controle ActiveX DHTML Edit usado pelo navegador Internet Explorer. A vulnerabilidade, descoberta em dezembro de 2004 e ainda não corrigida pela Microsoft, permite forjar sites falsos para que pareçam verdadeiros, ou o seqüestro de sessões cuja autenticação se baseia em cookies.

De acordo com a Trend Micro, o exploit é inserido geralmente em sites maliciosos ou que servem como prova de conceito. O programa usa o arquivo DHTMLED.OCX, ligado ao controle ActiveX DHTML Edit, para inserir um conteúdo malicioso em campo editável de um site. Dessa forma, pode capturar informações inseridas pelo usuário em um formulário forjado e também executar scripts (pequenos programas) em máquinas que estejam vulneráveis.

Segundo estatísticas publicadas pela empresa, desde a detecção do exploit, na sexta-feira, 14 de janeiro, mais de 4 mil computadores já foram atacados. Os países mais atingidos são os Estados Unidos, com 3.705, e a Inglaterra, com 165 máquinas atacadas. No Brasil, a vulnerabilidade já permitiu um grande ataque contra comunidades da rede de relacionamentos Orkut. No início de janeiro, 26 das maiores comunidades brasileiras foram seqüestradas e depois devolvidas pelo atacante, que alegou estar apenas querendo chamar atenção para o problema.

A vulnerabilidade atinge o Internet Explorer 6.0, mesmo em sistemas atualizados com o Windows XP Service Pack 2. A Microsoft não forneceu correção para o bug em seu boletim de segurança mensal lançado em janeiro. Como ainda não existe correção para o problema, a Trend Micro aconselha aos usuários a checarem seus sistemas e, caso seja encontrado um arquivo com o nome EXPL_DHTMLEDIT.A, basta apagá-lo. A empresa já atualizou seu programa antivírus para que possa detectar o exploit.

Outra forma de se proteger contra os ataques é aumentar o nível de segurança padrão do navegador, de "médio" para "alto", no menu "Ferramentas", "Opções da Internet", "Segurança". Quem possui o Windows XP SP2 deve desativar especificamente o controle ActiveX DHTML Edit, em "Ferramentas", "Gerenciar Complementos".

Leia também:

Microsoft lança primeiras correções de segurança do ano

O grande roubo das comunidades do Orkut

Sites falsos parecem verdadeiros com nova falha do IE

13/1/2005 - 20:13 Túlio Vianna

Se houvesse um prêmio para o hacker brasileiro do ano, o troféu de 2004, sem dúvida, iria para Vinicius K-Max que, na última semana do ano, conseguiu usurpar a moderação de cerca de 26 das maiores comunidades do Orkut.

É claro que muitos diriam que Vinicius não é propriamente um hacker, pois usou um velho truque, explorando uma vulnerabilidade do Internet Explorer que possibilita a interceptação por terceiros dos cookies armazenados no navegador.

A habilidade de um hacker, porém, não pode ser medida tão-somente pela sofisticação de suas técnicas, mas por sua criatividade e principalmente pelos efeitos de suas ações. Basta dizer que muitos conheciam a vulnerabilidade, mas somente Vinicius teve a idéia de explorá-la conjugando-a com falhas de segurança do Orkut.

Valendo-se da velha, mas efetiva tática do phishing scam, Vinicius enviou mensagem aos moderadores das maiores comunidades do Orkut, incitando-os a clicar em um link de uma página especialmente elaborada para apropriar-se dos cookies das vítimas. De posse dos cookies, Vinicius transfeririu provisoriamente a moderação das comunidades para seu perfil e inseriu na descrição de cada uma delas uma mensagem alertando para as fragilidades de segurança do navegador Internet Explorer e convidando a todos a migrarem para o Mozilla Firefox.

Não tardou para que os expertos em Direito Informático iniciassem as discussões sobre qual crime Vinicius teria praticado.

Em princípio, necessário se faz definir a natureza jurídica das comunidades do Orkut, objeto material do suposto delito.

Seriam elas mero objeto de direito e, portanto, propriedade de seu moderador-fundador? Ou verdadeiras instituições, das quais o moderador-fundador seria não proprietário, mas diretor-presidente?

Há na verdade, dois elementos a serem levados em conta:

1. o conjunto de pessoas associadas com o fim de debater sobre determinado assunto que, quando ingressaram na comunidade, aceitaram a liderança do moderador e aderiram às normas impostas por ele, o que constitui uma associação cultural sem fins lucrativos, portanto, um ente sujeito de direitos.

2. o produto intelectual desta instituição consistente no conjunto dos textos escritos na comunidade e armazenados no servidor do Orkut que constitui patrimônio intelectual organizado pelo autor e, portanto, objeto de tutela pelos direitos autorais;

Se tomarmos o primeiro elemento como objeto material do delito, só se poderia cogitar em crime caso o Orkut fosse um site estatal, pois, nesta hipótese, caracterizaria o crime do artigo 328 do Código Penal, já que ao assumir a moderação das comunidades, o hacker teria usurpado o exercício de uma função pública .

O Orkut, porém, é um site privado e, diante da ausência de tipificação do crime de “usurpação do exercício de função privada”, solução outra não há senão fixarmos nossa análise no aspecto objetivo das comunidades do Orkut.

Resta-nos amparar nossa tipificação no elemento objetivo das comunidades do Orkut, pois é evidente que o conjunto de textos resultantes das discussões são inequivocamente produção intelectual a ser resguardada pelo Direito Autoral.

Tal como em uma obra coletiva na qual vários autores escrevem capítulos de um livro que é publicado com créditos em destaque para seu organizador, as comunidades do Orkut têm como co-autores todos os seus membros e como organizadores os seus moderadores. Estes são responsáveis não só por apagarem conteúdo ofensivo, repetitivo e desviado do tema da comunidade, mas também pela seleção dos co-autores da obra que mesmo em comunidades abertas podem ser banidos pelos moderadores, caso estejam perturbando o processo de criação dos demais co-autores.

Conclui-se, pois, que a usurpação da moderação de comunidades do Orkut constitui verdadeira violação de direito autoral do organizador da obra e, portanto, punível nos termos do artigo 184 do Código Penal Brasileiro. Vinicius, no entanto, ao devolver as comunidades a seus legítimos moderadores, demonstrou não ter efetivo dolo de violar direitos autorais, tornando assim atípica sua conduta.

O episódio, porém, demonstrou as fragilidades do Orkut a seus usuários e, principalmente, fez a comunidade jurídica atentar para as inúmeras repercussões jurídicas da proliferação de redes de relacionamento no estilo do Orkut.

Túlio Lima Vianna é professor de Direito Penal da PUC Minas, Doutorando (UFPR) e Mestre (UFMG) em Direito. Autor do livro "Fundamentos de Direito Penal Informático" e editor do site www.tuliovianna.org.

13/1/2005 - 18:45 Redação InfoGuerra

Criadores de vírus estão tirando vantagem de uma polêmica tecnologia criada pela Microsoft para controle de direitos de propriedade intelectual em arquivos multimídia. A tecnologia, chamada de Digital Rights Management (DRM), está sendo aproveitada para enganar usuários e fazê-los instalar cavalos-de-tróia em computadores que possuam certas versões do Windows Media Player.

Segundo a Panda Software, os trojans detectados são duas variantes (A e B) do Trj/WmvDownloader e estão sendo disseminados em redes P2P (peer-to-peer) como arquivos de vídeo (.wmv).

Quando um usuário tenta tocar um arquivo protegido por direitos autorais, a tecnologia DRM solicita uma licença válida. Caso esta licença não esteja armazenada no computador, o aplicativo tenta localizá-la em alguns sites específicos para que seja adquirida e instalada. Esta nova tecnologia é incorporada ao sistema por meio do Windows XP Service Pack 2 junto com a atualização do Windows Media Player 10.

De acordo com a Panda, os arquivos de vídeo infectados pelos trojans estão protegidos por licenças de direitos autorais supostamente emitidos por duas empresas de nomes overpeer e protectedmedia. Quando executados, eles simulam o download das respectivas licenças, oriundas de certas páginas. Mas, na verdade, o usuário é redirecionado, sem que perceba, a endereços que hospedam adwares (programas que exibem propagandas na tela), spywares, dialers (discadores) e outros códigos maliciosos, que são copiados para a máquina.

As variantes foram detectadas em arquivos de vídeo com variados nomes. A Panda alerta os usuários que possuam a tecnologia DRM em seus sistemas para que fiquem atentos, já que os arquivos maliciosos também podem ser distribuídos de outras formas além das redes P2P, como anexos de e-mails e downloads feitos normalmente pela Internet.

13/1/2005 - 16:23 Redação InfoGuerra

A Microsoft lançou a versão beta do Windows AntiSpyware, uma ferramenta de segurança para auxiliar seus clientes na prevenção e remoção de algumas pragas digitais, como spywares e outros programas maliciosos. O programa é o primeiro resultado da compra da empresa Giant Company Software, fornecedora de produtos de segurança para Internet, anunciada pela Microsoft no mês passado.

Spywares são programas usados para monitorar as atividades do usuário de computador enquanto conectado à Internet e, geralmente, instalados sem que tenha conhecimento. Podem alterar a página inicial do navegador, exibir propagandas por meio de janelas do tipo pop-up, e capturar informações confidenciais, dentre outras atividades.

Ao detectar a presença de um programa espião no computador, a ferramenta de segurança fornece informações detalhadas, como descrição, localização, riscos oferecidos e procedimentos adequados a serem seguidos. A praga pode ser colocada em “quarentena”, isto é, ser temporariamente incapacitada, ou removida permanentemente do sistema. O software também oferece proteção em tempo real, por meio de uma lista contendo mais de 50 endereços de sites e programas que podem instalar o spyware no computador da vítima, bloqueando-os automaticamente.

Embora não exista suporte técnico para a versão beta, a empresa criou um fórum de discussão para auxiliar os usuários. Segundo a Microsoft, o download do programa, que pode ser feito gratuitamente, está disponível apenas para sistemas operacionais Windows originais. As atualizações são feitas por meio do Windows Update. Por enquanto, só há versão do software em inglês.

Ferramenta remove outras pragas

A Microsoft também lançou, nesta semana, a Ferramenta de Remoção de Softwares Maliciosos. Ela verifica se o sistema operacional está infectado por alguns softwares maliciosos específicos e atuantes, como vírus, cavalos-de-troia e worms, e auxilia em sua remoção. Conforme a empresa, na segunda terça-feira de cada mês será lançada uma nova versão do programa, junto com as outras atualizações mensais.

A cada atualização será incluída a detecção de novos vírus com níveis de periculosidade classificados entre moderado e crítico. Atualmente, fazem parte da lista o Berbewerbew, Doomjuice, Gaobot, MSBlast, Mydoom, Nachi, Sasser e Zindos.

Depois de executada, a ferramenta fornece um relatório sobre a checagem e cria uma cópia com o nome mrt.log no diretório de instalação do Windows. Apesar de detectar alguns tipos de malware, a empresa aconselha que o usuário mantenha um antivírus ativo em sua máquina, já que esta ferramenta não previne o sistema contra as pragas. Sua função é apenas localizar um programa malicioso já instalado e removê-lo.

O download pode ser feito diretamente do site da Microsoft ou por meio do Windows Update. Também foi criada uma versão online para checagem.

O software é compatível com o Windows 2000, Windows XP e Windows Server 2003. A Microsoft recomenda aos usuários de Windows XP que recorram ao Windows Update para baixar a ferramenta e habilitem a atualização automática do sistema. A versão instalada pelo Windows Update roda em modo invisível (background) e depois é deletada por si própria.

Leia também:

Windows terá anti-spyware

13/1/2005 - 9:19 Alexandre Freitas

A empresa britânica Netcraft desenvolveu uma barra de ferramentas para auxiliar os internautas a se precaverem contra golpes do tipo phishing. A Netcraft Toolbar, como é chamada, fornece informações sobre os sites visitados, como localização, tempo de hospedagem e popularidade de acesso, alertando o visitante sobre possíveis fraudes.

Nos golpes de phishing os usuários de computador são direcionados para páginas forjadas, que têm a finalidade de coletar informações financeiras pessoais, como senhas bancárias e números de cartão de crédito. Os golpistas também podem induzir suas vítimas a instalarem códigos maliciosos nos computadores, como trojans, para monitorar suas atividades online.

Para emitir as informações sobre um site, a barra de ferramentas usa como base o extenso banco de dados da Netcraft, especializada em monitorar servidores Web. É possível, por exemplo, conhecer o endereço de e-mail para contato dos administradores do site, data de registro do domínio, país em que está hospedado e o número IP (Internet Protocol) do servidor. Dessa forma, um falso link de acesso, oferecido em um e-mail fraudulento, pode ser detectado.

Com o utilitário de segurança, os usuários também poderão relatar à empresa os endereços eletrônicos suspeitos, normalmente recebidos por meio de mensagens não solicitadas (spam). A partir disso, o acesso é bloqueado para os demais usuários, evitando que possíveis fraudes sejam bem-sucedidas.

A versão disponível para download é compatível com os sistemas operacionais Windows 2000, XP e superiores, que utilizem o navegador Internet Explorer. A Netcraft promete lançar uma versão para o Firefox em breve.

A empresa também publicou um tutorial (em inglês) para a instalação do programa e explicações detalhadas sobre cada um de seus recursos.

12/1/2005 - 19:49 Redação InfoGuerra

A Microsoft publicou seus primeiros boletins de segurança do ano, com duas correções para falhas que atingem várias versões do sistema operacional Windows e outra para o Internet Explorer 6.0. A empresa, no entanto, não ofereceu correção para uma falha considerada grave no seu navegador e que já está sendo explorada.

O boletim MS05-001 corrige um problema de segurança classificado como crítico, que afeta o controle ActiveX HTML Help (sistema de ajuda padrão do Windows). O bug permite a divulgação de informações ou execução remota de códigos arbitrários nos sistemas afetados. Um atacante poderia explorar esta vulnerabilidade remotamente, construindo um site malicioso que, ao ser visitado por um usuário com privilégios administrativos, rodaria o código maléfico e daria controle total do sistema ao invasor.

O problema afeta os sistemas Windows 2000 com Service Pack 3 e 4 instalados; Windows XP com SP1 e SP2 e versões 64-Bit Edition com SP1 e Edition Version 2003; Windows Server 2003 e versão 64-Bit Edition; Windows 98 e Second Edition (SE); e Windows Millennium Edition (ME).

O boletim MS05-002 refere-se a duas falhas, também consideradas críticas pela Microsoft, descobertas recentemente no tratamento de arquivos de cursores de mouse e ícones. O problema também permite a execução remota de códigos maliciosos e dão a um atacante o controle total do sistema afetado.

Estão comprometidos os sistemas Windows NT Server 4.0 com Service Pack 6A e a versão NT Server 4.0 Terminal Server Edition SP6; Windows 2000
com SP3 e SP4; Windows XP SP1, versões 64-Bit Edition SP1 e Edition Version 2003; Windows Server 2003 e versão 64-Bit Edition; Windows 98 e SE; e Windows ME.

O último boletim publicado é o MS05-003, que corrige uma vulnerabilidade classificada como importante, descoberta no Serviço de Indexação (Indexing Service) do Windows. Ao ser explorada, pode provocar uma negação de serviço (DoS) e execução remota de código arbitrário, que permitiria a um atacante apagar, modificar e visualizar arquivos do sistema.

Afeta os sistemas Windows 2000 com Service Pack 3 e 4 instalados; Windows XP SP1 e versões 64-Bit Edition SP1 e Edition Version 2003; Windows Server 2003 e versão 64-Bit Edition.

Havia a expectativa de que uma vulnerabilidade encontrada no controle ActiveX DHTML Edit do Internet Explorer 6.0 fosse corrigida com o lançamento dos boletins de segurança deste mês, mas isso não aconteceu. Descoberta em dezembro de 2004, a falha permite ataques do tipo cross site scripting, com possibilidades de forjar sites falsos para que pareçam verdadeiros, ou o seqüestro de sessões cuja autenticação se baseia em cookies.

A exploração desta brecha de segurança já foi usada no ínício de janeiro para o seqüestro de várias comunidades brasileiras do Orkut, cujos donos tiveram seus dados de autenticação capturados.

Leia também:

Sites falsos parecem verdadeiros com nova falha do IE

O grande roubo das comunidades do Orkut

12/1/2005 - 11:15 Nelson Murilo

Redes sem fio (wireless) abrangem uma gama enorme de tecnologias ― as diferenças vão desde freqüências utilizadas, distâncias alcançadas, até protocolos envolvidos ― mas a de maior popularidade é, inegavelmente, a rede Wi-Fi (sigla em inglês resultante da expressão Wireless Fidelity). Mas será que as redes Wi-Fi provêm mecanismos que garantem a segurança do usuário? E será que, existindo estes mecanismos, eles são adotados? Quais seriam as dificuldades para sua adoção?

É com o objetivo de responder a estes questionamentos que iremos discorrer sobre as características, os riscos e as possibilidades de uso mais seguro de redes Wi-Fi.

Características

Este padrão de rede pode funcionar em dois modelos distintos. O primeiro e mais simples é conhecido como Ad-Hoc, no qual um usuário se comunica diretamente com outro(s). Pensado para conexões pontuais, só recentemente este modelo passou a prover mecanismos robustos de segurança, por conta do fechamento de padrões mais modernos (802.11i). Porém, estes novos padrões exigem placas também mais modernas e que ainda não são a maioria no mercado.

O outro modelo, conhecido como Infra-estrutura, necessita de um ponto de convergência, um concentrador (Access Point, em inglês), e permite maior flexibilidade dos mecanismos de autenticação, criptografia dos dados e demais aspectos de gerenciamento e segurança.

Redes sem fio utilizam freqüências de rádio. No caso de redes Wi-Fi, estas freqüências podem cobrir distâncias por volta de 500 metros, em ambientes abertos e no modelo Infra-estrutura, com clientes e um concentrador. E este é um aspecto a ser levado em consideração, pois o alcance da rede pode ser um fator de risco. Um usuário acessando em um aeroporto, por exemplo, pode ter seu tráfego capturado por um atacante posicionado em um local visualmente distante mas ainda assim suficiente para captar os sinais transmitidos.

Por conta dos vários padrões atuais de redes Wi-Fi, alguns deles não são compatíveis entre si. Notadamente, os padrões 802.11b e 802.11a usam freqüências diferentes, e uma placa de um padrão não funciona com um concentrador ou placa de outro, da mesma maneira que um rádio AM não tem recursos para sintonizar estações FM. Por outro lado, os padrões 802.11b e 802.11g compartilham a mesma freqüência. Sendo o último mais recente, possibilita maior velocidade e modelos de segurança mais robustos. Felizmente, vários fabricantes têm lançado placas que podem usar qualquer um dos três padrões, facilitando a mobilidade do usuário.

Os métodos criptográficos disponíveis atualmente são conhecidos genericamente por WEP, WPA e WPA2, listados em ordem de idade e qualidade dos algoritmos utilizados. A base do método WEP é uma senha conhecida pelos participantes da rede, quer sejam máquinas clientes conectadas diretamente ou através de um concentrador (que também deverá ter conhecimento da senha). O mesmo princípio de senha compartilhada é usado em um dos modo de operação do WPA, com a vantagem de usar mecanismos mais resistentes a ataques do que o seu antecessor WEP. Um outro modo de operação do WPA, e também do WPA2, exige uma infra-estrutura bem mais complexa, incluindo um servidor de autenticação, que pode ainda se reportar a outros servidores, como controladores de domínio, bancos de dados contendo a base de usuários, etc.

Riscos

Como as informações neste tipo de rede trafegam pelo ar, podem ser capturadas por qualquer pessoa que tenha um equipamento compatível. Com o barateamento dos equipamentos e lançamento de placas multipadrão, a compatibilidade deixou de ser um problema.

Portanto, a primeira coisa que o usuário deve ter em mente é que qualquer tráfego não criptografado pode ser facilmente capturado. E aí entra o primeiro problema: muitas pessoas simplesmente não habilitam ou reivindicam aos respectivos adminstradores a implementação de métodos criptográficos. Mesmo o WEP, que é mais simples de ser quebrado (com programas apropridados), é melhor que não usar nenhuma proteção ao conteúdo do tráfego.

Em ambientes públicos, como aeroportos e centros de compras, é muito comum a existência de serviços de conexão à Internet via redes sem fio, conceito conhecido pelo nome de hotspot. Um dos problemas de segurança mais comuns, neste caso, está ligado à autenticação do usuário, normalmente feita por uma página Web usando o protocolo HTTP e não HTTPS, portanto sem criptografia, passível de captura e utilização posterior não autorizada.

Outro problema diz respeito à inexistência de mecanismos de criptografia no tráfego. Mesmo que no momento da autenticação seja usado o protocolo HTTPS ou similar, se não houver um método para cifrar os dados durante o uso do serviço, o usuário poderá ter sua privacidade comprometida, ainda mais se acessar informações sensíveis via correio eletrônico através de webmail ou POP3, por exemplo.

Um usuário assinante de um serviço Wi-Fi, em geral liga o computador, informa suas credenciais (normalmente usuário e senha), estabelece conexão com um concentrator e está apto a navegar. Porém, qual a garantia que este usuário tem de estar conectado por um concentrator legítimo? Com a sofisticação e barateamento dos equipamentos, forjar um concentrador passou a ser uma tarefa factível, até mesmo com equipamentos simples, como PDAs ou notebooks. Um concentrador falso pode ser montado para simplesmente coletar usuários e senhas válidos para uso posterior ou, nos casos mais sofisticados, redirecionar o tráfego para o concentrador real, mas tendo acesso ao conteúdo das informações trafegadas.

Possibilidades de ataques podem existir nos protocolos de rede, nos concentradores e também, claro, nos clientes. Um ataque direto a um cliente conectado possibilita obter dados sobre configurações de rede, incluindo senhas previamente compartilhadas pelos padrões WEP ou WPA. Obtendo domínio sobre o equipamento do usuário legítimo, o atacante pode ainda usar uma conexão estabelecida para fazer uso da rede, ou seja, o usuário acessa a Internet ou rede local, e o atacante também.

Prevenção

Os ataques podem ocorrer em vários níveis, então os métodos preventivos devem se dar em todos eles. O usuário deve cobrar do administrador ou provedor que as soluções adotadas sejam as mais seguras possíveis, porém um modelo eficiente e seguro em um ambiente certamente não será em outro.

Em redes pequenas pode ser razoável usar senhas WEP ou WPA previamente compatilhadas, mas isso não é factível em redes pagas em locais públicos (hotspots), onde não existe condições de contatar todos os usuários do serviço para uma eventual troca da senhas. Neste caso, a autenticação usando HTTPS, por exemplo, pode garantir uma segurança adicional, e ainda maior se o usuário confirmar o certificado digital da empresa provedora do serviço, evitando acessar concentradores falsos.

Sinais suspeitos de conexão com concentradores clonados são:

- Após autenticação a navegação não funciona
- Navegação intermitente
- Sinal do concentrador variando, por vezes sumindo e reaparecendo

Os novos padrões, notadamente o 802.11i, possibilitam métodos de autenticação bastante robustos, com os quais o administrador pode montar ambientes que, por exemplo, usem uma base centralizada de usuários para qualquer necessidade de autenticação, quer seja uma aplicação, acesso a recursos da rede (cabeada, sem fio ou ambas), uso de VPNs (Redes Privadas Virtuais), etc.

Esse tipo de solução pode ser interessante para empresas com muitos funcionários, pois reduz bastante as chamadas para troca de senhas, permite um maior controle dos usuários ativos e facilita a criação e manutenção das aplicações e sistemas da empresa, pois a parte de autenticação é a mesma para todos. Esse método também pode ser usado sem maiores problemas por serviços pagos de acesso à Internet, pois o usuário teria de fornecer as mesmas informações a que ele já está acostumado: usuário e senha.

Entretanto, esses padrões necessitam de equipamentos mais recentes e, em princípio, o fornecedor do serviço não poderia exigir que seus assinantes estejam atualizados em termos de placas e equipamentos (alguns notebooks e PDAs têm placas sem fio integradas, por exemplo). E a despeito da possibilidade de a empresa prestadora do serviço fazer convênios com fabricantes de equipamentos, oferencendo linhas de crédito ou descontos para aquisição de dispositivos compatíveis com o serviço, esta idéia (convênio) pode ser melhor aproveitada por empresas, que têm maior poder de, digamos, convencimento sobre seus funcionários.

É importante saber que acessos públicos (pagos ou não) são, em princípio, um risco, por isso não se deve usar equipamentos de terceiros para acessar informações pessoais ou empresariais sensíveis. E isso vale para equipamentos de infra-estrutura também (link, roteadores, concentradores, servidores etc.). O uso de criptografia é essencial para aumentar a segurança das informações trafegadas, e isso pode ser conseguido através de VPNs, HTTPS, SPOP3 (acesso POP3 seguro) ou protocolos convencionais acrescidos da camada SSL, por exemplo. Verifique com o suporte da sua empresa ou provedor a existência desses mecanimos e como configurá-los.

E, por fim, para evitar ataques aos computadores, notebooks e PDAs, devem ser seguidos os mesmos procedimentos conhecidos para redes cabeadas, como atualizar o sistema operacional, aplicativos, antivírus, firewall pessoal, anti-spyware e anti-spam. Da mesma maneira que um carro sem manutenção, um computador desatualizado é dor-de-cabeça na certa.

Nelson Murilo é analista de segurança e diretor da Pangéia Informática

11/1/2005 - 18:47 Redação InfoGuerra

Câmeras para vigilância privada acessíveis via Internet podem estar desprotegidas dos olhares de internautas curiosos, sem que seus proprietários tenham conhecimento do fato. Segundo informações publicadas pela coluna do ex-hacker Kevin Poulsen, no site da SecurityFocus, uma simples busca no Google pode fornecer dados para o acesso remoto às câmeras, permitindo que locais e pessoas sejam monitorados por terceiros.

Os curiosos estão usando este conhecimento para monitorar locais espalhados pelo mundo todo, como interiores de escritórios e restaurantes. No final de semana foram postadas algumas mensagens sobre o assunto no blog BoingBoing. A pesquisa no Google é feita por meio de determinadas strings (conjunto de caracteres) específicas para produtos com interface Web, que são inseridas em um endereço eletrônico. A busca bem-sucedida permite a visualização remota.

De acordo com Poulsen, uma busca no Google resulta uma lista de quase mil câmeras fabricadas pela empresa sueca Axis Communications e cerca de 500 câmeras da Panasonic.

Os Web sites das empresas informam que podem ser habilitadas senhas de proteção para as câmeras, mas não explicam se tais recursos são configurados por padrão. Um FAQ publicado no site da Panasonic inclui o aviso de que colocar suas câmeras em rede para “aplicações sensíveis” pode não ser o mais indicado, informa a notícia.

8/1/2005 - 0:06 Giordani Rodrigues

Atualizado em 09/01/2005, às 11h31

Mal começou o ano e o conhecido site humorístico Cocadaboa aprontou mais uma das suas, honrando o slogan “Orgulho de ser polêmico!”. Em um texto intitulado “Tem Orkut? Perdeu, Playboy!”, publicado no dia 2 de janeiro, o site afirma que se associou a “um grande leitor”, de pseudônimo Vinicius K-Max, para seqüestrar várias das maiores comunidades brasileiras da rede de relacionamentos Orkut. De acordo com o site, o seqüestro foi obtido explorando “uma falha do Internet Explorer, combinada com um buraco na segurança” do próprio Orkut, e o objetivo seria alertar os usuários dessa rede para o perigo que correm.

Comunidades como “Eu amo chocolate”, que possuía quase 150 mil integrantes, e “Só mais 5 minutinhos...”, com mais de 113 mil integrantes, simplesmente deixaram de ser controladas por seus fundadores e, de uma hora para outra, passaram ao controle de um usuário fictício de nome “Firefox Rules”.

Aqui entra outro ingrediente da história: Wagner Martins, o MrManson, responsável pelo Cocadaboa, e Vinicius K-Max, ambos criadores do falso usuário, aproveitaram o ensejo para fazer propaganda do navegador Mozilla Firefox, que estaria imune à falha explorada no Internet Explorer. Em todas as comunidades desviadas também foi incluído um link para o site Cocadaboa. No total, foram 26 comunidades seqüestradas e mais de 700 mil usuários atingidos.

Apesar das alegadas boas intenções de MrManson e Vinicius K-Max, muita gente criticou suas atitudes. “Não preciso invadir e roubar uma casa para mostrar que a segurança dela não é boa. Havia outros meios de fazer isso”, dispara Jaqueline Brandão, fundadora da comunidade “Eu amo chocolate” e uma das que mais lutou para reaver o que perdeu.

O Cocadaboa também foi acusado de ter se associado aos ataques apenas para se autopromover e alavancar o donwload do Mozilla Firefox, já que é um dos afiliados do programa Spread Firefox, criado para disseminar o uso do navegador entre os internautas e tomar fatias do mercado do Internet Explorer. Usuários do Orkut insatisfeitos chegaram a denunciar o Cocadaboa ao programa de afiliação por atitude abusiva. Outros inundaram os scrapbooks (lista de recados deixados por integrantes do Orkut no perfil de outros integrantes) de MrManson e Vinicus K-Max com centenas de mensagens geradas automaticamente.

Até o grupo Mozilla/Brasil, que promove o Firefox no país, chegou a publicar uma nota afirmando que nem a organização nem a Mozilla Foundation tiveram qualquer ligação com os ataques e condenando o ato. Um representante da comunidade do Firefox também postou um recado a MrManson afirmando que sua atitude estava denegrindo a imagem do navegador ao associar o nome do programa aos seqüestros das comunidades.

Wagner Martins admite que o seu site ganhou projeção e milhares de visitas extras com os ataques, mas questiona usando um jogo de palavras: “O Cocadaboa faz isso para ser bem visitado, ou o Cocadaboa é bem visitado porque é o único que faz isso?”. Quanto ao programa de afiliação, ele garante que o site não recebe absolutamente nada pelo download do Firefox. “Como muitas pessoas e empresas ao redor do mundo, resolvemos aderir à campanha voluntária de divulgação do Firefox desde seu início porque acreditamos que é necessário haver opções. A competição vai fazer com que o Internet Explorer tenha que melhorar e sanar seus problemas para continuar no mercado, e isso é bom para todos”.

De fato, o programa Spread Firefox não remunera seus afiliados, mas quem consegue estimular o maior número de downloads acumula pontos, que podem ser trocados depois por brindes, que vão de uma conta de e-mail personalizada até um reprodutor de música digital iPod, da Apple. Por outro lado, atitudes consideradas abusivas para induzir ao download do software podem ser punidas com a eliminação dos pontos ou o cancelamento da conta de afiliado.

Como foram feitos os ataques

O Cocadaboa é famoso por pregar trotes em internautas e na imprensa, mas dessa vez o site não estava mentindo. Porém, para não perder o hábito, exagerou na história. O que o site chamou de “estarrecedora descoberta”, de fato não era nenhuma novidade. A falha do Internet Explorer, principal responsável pelos ataques, já era conhecida há dias e já havia sido divulgada pelas principais empresas de segurança. O site InfoGuerra e seu parceiro Terra também já tinham noticiado tal descoberta. Já o chamado bug no Orkut não passou de uma implementação que facilitava a vida dos usuários da rede, mas que, por isso mesmo, foi aproveitada pelo atacante.

A vulnerabilidade no navegador da Microsoft, descoberta por um hacker de nome Paul e ainda sem correção definitiva, permite ataques do tipo cross site scripting e injeção de scripts, com possibilidades de forjar sites falsos para que pareçam verdadeiros, ou o seqüestro de sessões cuja autenticação se baseia em cookies. Esta segunda técnica foi aproveitada por Vinicius K-Max.

Outro ponto convenientemente omitido pelo Cocadaboa foi o de que, apesar da atual ausência de patches para a falha do IE, não é realmente necessário chegar ao ponto de trocar de navegador, pois é possível se proteger dos ataques apenas alterando uma configuração do programa. Quem possui o Windows XP SP2 deve desativar especificamente um componente chamado controle ActiveX DHTML Edit, no qual se encontra a vulnerabilidade. Para isso, basta abrir o IE, acessar o item "Ferramentas" e depois "Gerenciar Complementos". Usuários de outras versões do Windows devem desabilitar a execução geral dos controles ActiveX aumentando o nível de segurança padrão do navegador, de "médio" para "alto". Isto é feito no menu "Ferramentas", "Opções da Internet", "Segurança".

Pouca gente sabe, mas Vinicius K-Max é a mesma pessoa que usava o apelido de VîÞ no grupo de defacers (desfiguradores de sites) Man in Hack (MIH), que esteve bastante ativo durante o ano de 2001 e chegou a “pichar” o site do Exército Brasileiro.

Para seqüestrar as comunidades do Orkut, ele criou uma página (já fora do ar) contendo um código malicioso que explorava a falha do IE. Este código usava um javascript para roubar as informações do cookie usado pelo Orkut para autenticar seus usuários. As informações eram redirecionadas para uma página PHP que, por sua vez, enviava os dados para uma conta de e-mail do atacante. De posse desse cookie, Vinicius K-Max injetava-o em seu próprio navegador e acessava o site do Orkut, que reconhecia o cookie. Assim, ele se fazia passar pelo dono das comunidades atacadas e, em seguida, transferia a responsabilidade pelas comunidades para o usuário Firefox Rules, criado por ele e por MrManson.

Para induzir os moderadores legítimos a acessarem a página com o código malicioso, ele usou de engenharia social. Criou um falso usuário, de nome Antonio Bitencourt e, com este perfil, deixou um recado no scrapbook dos moderadores contendo o seguinte texto:

“Parabens pela comunidade Fulano!
Conheci sua comunidade nesta reportagem
http://www.precisa-se.com.br/rir/noticias.asp?id=0234
Nao sei c vc ja conhecia, mas ai esta a dica!
Parabens!!"

O truque funcionou porque vários moderadores clicaram no link e porque o cookie do Orkut demora algumas horas para expirar. Esta demora evita que os usuários tenham de fazer a autenticação repetidas vezes num curto espaço de tempo, mas também facilitou o seqüestro da sessão de acesso à rede. “O Orkut tem um péssimo gerenciamento de cookies”, afirma o atacante. “Eles demoram a expirar, além de não serem devidamente validados quando chegam ao servidor. Poderiam ser restritos ao número IP que os criou, por exemplo, mas não têm restrição alguma”.

Só depois que os ataques tiveram sucesso é que o Cocadaboa entrou na história, segundo Jaqueline Brandão, da comunidade “Eu amo chocolate”. “Todos os moderadores roubados viram a mensagem do 'ladrão' no scrapbook do dono do Cocadaboa, pedindo para que a notícia do roubo das comunidades fosse comentada no site. O Cocadaboa se apoderou da história e está agindo como se eles tivessem tido a idéia”, afirma.

Ela também culpa o Orkut de descaso no incidente. “Os moderadores roubados entraram em contato com o Orkut diversas vezes e eles apenas disseram para pedirmos as comunidades de volta”.

Problemas na devolução

Desde o dia 5 de janeiro, as comunidades começaram a ser devolvidas por Vinicius K-Max, mas agora ele está enfrentando um problema. Para que uma comunidade seja transferida, a pessoa que irá tomar posse precisa clicar em um link aceitando a ação. E alguns moderadores estão ausentes há dias.

Para piorar ainda mais a situação, Vinicius K-Max esqueceu de anotar quem era moderador de qual comunidade, e agora não consegue lembrar de todos. Assim, teve de passar pela situação um tanto vexatória de postar um pedido de ajuda na comunidade “Panelite – SuperModeradores”, que reúne os responsáveis por algumas das maiores comunidades do Orkut, para que eles o auxiliem a encontrar todos os antigos “donos”. Cerca de 10 comunidades ainda não foram devolvidas.

O incidente gerado teve uma repercussão tão grande, que a administração do Orkut resolveu mudar as regras e agora está exigindo, também desde o dia 5, que aquele que irá fazer a transferência insira sua senha. Isto evita transferências baseadas apenas na sessão de quem está “logado” no momento.

Perguntado se não teme que os advogados do Google ou Orkut o processem por seus atos, Wagner Martins não se abala: “Não fiz nada de errado. Acho que quem merecia ser processado eram eles, que negligenciam descaradamente a segurança de seus usuários. Quem disse que administração de sua vida social ou seus gostos pessoais não é algo importante? É mais importante do que dados bancários! Invadindo o perfil de Orkut de alguém , uma pessoa mal-intencionada pode causar um imenso transtorno, enviando mensagens falsas para amigos, namorada, chefe... Enfim, o que fizemos foi um ato inofensivo, não feriu ninguém. Se tivéssemos sido mais 'corretinhos', a coisa nunca atingiria as mesmas proporções para alertar tanta gente”.

6/1/2005 - 18:14 Redação InfoGuerra

A imaginação dos vigaristas da Internet não tem limites. Até mesmo a tragédia provocada pelo tsunami em alguns países asiáticos no final de dezembro está sendo usada como tema em golpes de phishing. A intenção é obter senhas e informações financeiras de internautas bem-intencionados que queiram prestar ajuda às vítimas.

No Brasil, os golpistas estão enviando um e-mail fraudulento em nome do ministro da Saúde, Humberto Costa, usando como isca uma suposta campanha para a arrecadação de donativos. A mensagem recebida por InfoGuerra trazia como remetente o falso endereço arrecadacoes@saude.gov.br e o assunto “Ajuda Internacional”.

O texto apresenta erros crassos de português, como normalmente acontece nesse tipo de golpe. Um deles, é a palavra "minístro", escrita assim mesmo, com acento agudo no "i". Outros erros ocorrem quando a mensagem tenta sensibilizar as possíveis vítimas da fraude, no trecho: “portanto pedimos a todos os cidadões (sic) brasileiros a colaboração e a soliedariedade (sic) que existe entre nós”.

Conforme as instruções do falso e-mail, um arquivo contendo um formulário deve ser baixado, preenchido e enviado pela Internet para que o Ministério da Saúde possa arrecadar os donativos diretamente das residências dos doadores. O texto também alega que o arquivo “funciona em todos os Sistemas Operacionais Windows”. Uma cópia da mensagem fraudulenta pode ser vista aqui.

Na verdade, o tal “formulario.src”, indicado para download, é o trojan Win32.PSW.Bancos.JI, de acordo com uma análise feita no site VirusTotal. O programa foi desenvolvido para registrar informações financeiras e sigilosas do usuário e enviá-las posteriormente aos golpistas para que sejam usadas ilicitamente.

O Ministério da Saúde já publicou um alerta em seu site oficial sobre as falsas mensagens que estão circulando pela Internet. De acordo com o comunicado, o ministério não está arrecadando qualquer espécie de donativos ou recrutando voluntários. Também orienta que “essas mensagens sejam apagadas imediatamente porque podem conter vírus ou permitir o acesso de pessoas desonestas aos computadores de quem as recebe”.

Nos Estados Unidos, o FBI (Federal Bureau of Investigation) também divulgou um alerta para os golpes que estão sendo praticados na Internet em nome de organizações empenhadas na campanha de auxílio às vítimas asiáticas.

De acordo com o comunicado, já existem vários sites falsos que se passam por organizações legítimas e pedem donativos aos internautas. Alguns deles hospedam trojans que podem comprometer o computador de seus visitantes.

Também foi detectada uma grande quantidade de spams (mensagens não solicitadas) pedindo depósitos bancários para a "campanha", cujo objetivo, na verdade, é capturar dados confidenciais e financeiros de pessoas dispostas a colaborar com os países vítimas da tragédia.

O FBI recomenda que os usuários não respondam e-mails não solicitados de remetentes que alegam ser sobreviventes do tsunami ou governos estrangeiros que pedem ajuda por meio de depósitos bancários. A legitimidade dos sites também deve ser verificada, assim como evitar o acesso a links indicados nos e-mails recebidos, já que podem hospedar arquivos maliciosos.