29/11/2004 - 16:57 Redação InfoGuerra

Cinco das 31 pessoas presas durante a primeira Operação Cavalo de Tróia da Polícia Federal, realizada em novembro de 2003, tiveram seus pedidos de habeas-corpus negados pela Quinta Turma do Superior Tribunal de Justiça (STJ). Os réus são acusados de crimes de estelionato e formação de quadrilha.

O grupo aplicava golpes por meio de e-mails fraudulentos em nome de instituições idôneas com links de acesso para programas espiões, chamados de cavalos-de-tróia ou trojans. Quando instalados na máquina da vítima, estes programas monitoravam a navegação e dados sigilosos, como senhas bancárias e números de cartão de crédito, eram capturados e enviados aos golpistas para serem, posteriormente, usados para transferência de dinheiro da conta dos correntistas.

Conforme a assessoria de imprensa do STJ, a defesa alegou que estaria ocorrendo constrangimento ilegal devido ao excesso de prazo para o término da instrução criminal, que já dura quase um ano.

O STJ, no entanto, acatou a justificativa do Tribunal Regional Federal da 1ª Região, que já havia negado anteriormente o pedido de habeas-corpus. Por tratar-se de um processo complexo, com multiplicidade de réus e testemunhas residentes em diferentes comarcas, o ministro Arnaldo Esteves Lima, relator do recurso, considerou razoável e justificada a prorrogação do prazo para o encerramento da instrução criminal. Por unanimidade, a Quinta Turma do STJ acompanhou o voto do relator.

Leia também:

Golpista preso na Operação Cavalo de Tróia continuará detido

29/11/2004 - 14:48 Redação InfoGuerra

Foi descoberto um problema no Internet Explorer 6.0, que pode ser explorado para induzir um usuário a salvar arquivos maliciosos da Web sem que sua real extensão seja apresentada. A brecha de segurança, considerada moderadamente crítica pela Secunia, ainda não tem correção.

Conforme o alerta da Secunia, a falha ocorre no comando “Salvar imagem como". O navegador usa a extensão do nome do arquivo a ser salvo, mas descarta a última, caso existam múltiplas extensões.

A exploração bem-sucedida pode permitir que um site malicioso engane usuários ao fazerem o download de um aplicativo malicioso camuflado como uma imagem válida. Por exemplo, algo nomeado como "arquivo.jpg.hta" seria salvo apenas com o nome "arquivo.jpg". A exploração requer que a opção "Ocultar extensão de arquivos conhecidos" esteja ativada, mas esta é a configuração padrão do Windows.

A Microsoft já estava ciente de problemas neste comando e publicou um alerta sobre o assunto no dia 27 de setembro. No entanto, o boletim relaciona apenas o Internet Explorer 5.x.

A brecha de segurança foi descoberta pelo hacker conhecido como “cyber flash” e já existe uma prova de conceito disponível na Internet. Atinge o Internet Explorer 6.0, mesmo que o sistema operacional seja o Windows XP atualizado com o Service Pack 2.

Como não existe correção disponível para essa vulnerabilidade, a Secunia aconselha os usuários a desabilitarem a opção “Ocultar extensão de arquivos conhecidos”, que fica no menu “Ferramentas”, “Opção de Pastas” e “Modos de Exibição” do Windows Explorer.

26/11/2004 - 16:46 Redação InfoGuerra

A Rede Nacional de Ensino e Pesquisa (RNP) realiza a 10ª edição do Seminário de Capacitação e Inovação, que tem como objetivo principal capacitar e atualizar tecnicamente os profissionais das redes universitárias que formam os pontos de presença da RNP no Brasil. O encontro será realizado de 29 de novembro a 03 de dezembro, em Recife.

O seminário, que também conta com a participação de técnicos de diversos centros de pesquisa e instituições governamentais, apresentará diariamente palestras, debates e mesas redondas, sobre diversos temas técnicos ligados a redes de computadores.

Durante a semana haverá cursos com práticas em laboratório, abordando temas como “Uso do software Asterisk na implementação de um ambiente VoIP”, "Administração e uso de diretórios corporativos com OpenLDAP”, “Projeto, implantação e gerência da rede do campus com switching e roteamento” e “Tópicos especiais em segurança”.

No dia primeiro de dezembro, o jornalista Giordani Rodrigues, diretor-editor do site InfoGuerra, será mediador de uma mesa-redonda sobre crimes digitais, que contará ainda com a presença do advogado Omar Kaminski, do perito criminal federal Sérgio Luís Fava, do especialista em cultura hacker, Ariel Gomide Foina, e da gerente do CAIS (Centro de Atendimento a Incidentes de Segurança) da RNP, Liliana Velásquez Solha.

O evento será realizado na Associação Instituto Tecnológico do Estado de Pernambuco (ITEP), na Avenida Prof. Luiz Freire, 700, Cidade Universitária, em Recife. Outras informações podem ser obtidas no site do seminário.

24/11/2004 - 22:21 Redação InfoGuerra

O código malicioso conhecido como Exploit IFrame/Bofra, usado neste final de semana para contaminar máquinas de visitantes de sites que hospedam banners publicitários, pode estar sendo utilizado para formar uma botnet (rede de computadores zumbis). Conforme um alerta publicado pelo site de segurança Vitalsecurity.org, o propósito da rede ainda é desconhecido.

De acordo com o comunicado, um grupo de crackers estaria invadindo servidores Web e instalando ferramentas que injetassem códigos maliciosos nas páginas hospedadas. O código injetado serviria como uma “porta de entrada" para uma série de endereços eletrônicos controlados pelos crackers.

As páginas comprometidas estariam rodando um exploit (software para explorar brechas de segurança) que se aproveita da chamada vulnerabilidade IFRAME, descoberta recentemente no navegador Internet Explorer. O site Vitalsecurity informa que os exploits “podem instalar até 8 megabytes de códigos maliciosos na máquina do usuário", entre vírus, trojans, spywares e outros.

O site também afirma que esta estratégia serviria apenas para formar um conjunto de máquinas zumbis, prontas para serem usadas em ataques a alguma rede.

O Vitalsecurity compara o recente ataque ao do Download.Ject, com a diferença de que, desta vez, os servidores atingidos são Apache. A recomendação é para que os administradores de servidores Apache certifiquem-se de que o sistema está totalmente atualizado, especialmente os serviços que se utilizam de OpenSSL.

O ataque conhecido como Download.Ject surgiu em junho deste ano, quando vários sites foram comprometidos com a distribuição do código malicioso "Scob". Quando um usuário visitasse um site infectado utilizando o Internet Explorer, um arquivo javascript enviado à sua máquina era executado. As instruções do javascript descarregavam e executavam, a partir de outro site localizado na Rússia, um cavalo-de-tróia. O ataque explorava uma falha de segurança no servidor Microsoft Internet Information Server (IIS) versão 5, que permitia o acesso de terceiros às páginas nele hospedadas.

Ataque indireto

O site britânico The Register, um dos que foram comprometidos no final de semana, publicou um comunicado oficial da empresa Falk AG, especializada em distribuir publicidade em páginas Web, cujos banners estavam comprometidos com o Bofra ou IFrame Exploit.

De acordo com a empresa, seus servidores não sofreram uma invasão propriamente. Um ataque ao tráfego de seu site teria comprometido o sistema balanceador de carga. Este sistema é o responsável pela distribuição de tráfego entre vários hosts, de acordo com regras estabelecidas.

O excesso de tráfego teria redirecionado os pedidos feitos aos servidores de distribuição de seus banners para sites que hospedavam o código malicioso.

Leia também:

Banners maliciosos exploram falha do Internet Explorer

Falha grave no IE ainda não tem correção

Novo worm Bofra explora falhas recentes do IE

IE ganha novo pacote de correções críticas

Tudo sobre Scob e seu ataque a servidores da Internet

24/11/2004 - 20:54 Redação InfoGuerra

O crescente número de casos de roubo de identidade, fraude de cartão de crédito e, especificamente, golpes de phishing scam, com o qual impostores atraem as vítimas para capturar dados pessoais e financeiros, pode afetar as vendas via Internet durante os feriados de final de ano. Conforme recente pesquisa, cerca de seis em cada dez consumidores norte-americanos devem reduzir suas compras online em 2004, por questões de segurança e privacidade.

O segundo estudo anual de compras online, realizado pela certificadora de políticas de privacidade TRUSTe, em parceria com a empresa de publicidade TNS, foi realizado via Internet, entre os dias 15 e 20 de outubro deste ano, com um total de 1.071 entrevistados nos Estados Unidos.

A pesquisa indica que 46% dos consumidores via Internet compram apenas de sites de empresas que contêm uma declaração ou selo de privacidade. Pelo menos metade das pessoas entrevistadas planejam limitar a compra online. Oito por cento delas estão tão preocupadas que não planejam fazer compra alguma.

Dentre os principais motivos, o roubo de identidade foi apontado por 52% dos entrevistados em 2004, contra 35% em 2003. Quase metade (44%) teme pelo roubo de seus cartões de crédito. Preocupações com spywares que podem ser inseridos no computador atingem 44% dos pesquisados em 2004. O recebimento de spam após uma compra pela Internet também preocupa 42% das pessoas.

24/11/2004 - 15:48 Redação InfoGuerra

Foi descoberta uma vulnerabilidade no popular reprodutor de mídia Winamp, da NullSoft, que ao ser explorada pode dar acesso ao sistema do usuário. Considerada altamente crítica pela Secunia, a falha permite a execução remota de códigos arbitrários.

Conforme o boletim da Secunia, o problema ocorre devido a um erro de limite no arquivo “IN_CDDA.dll", um plugin que permite ao Winamp ler músicas diretamente de um CD ou cartão. A falha pode ser explorada de várias maneiras para provocar um estouro de memória (buffer overflow). Uma delas seria enganar um usuário para acessar um Web site que contém um arquivo malicioso especialmente preparado no formato .m3u, usado para armazenar listas de reprodução de músicas.

A brecha de segurança foi descoberta por Brett Moore, da empresa de produtos para segurança Security-Assessment.com. Atinge as versões 5.05 e 5.06, porém, versões anteriores também podem estar comprometidas.

De acordo com o alerta da Secunia, atualizado hoje, o problema ainda não foi corrigido na versão 5.06, ao contrário do que informou a NullSoft. Por enquanto, a recomendação é para que os usuários desassociem as extensões ".cda" e ".m3u" do Winamp.

24/11/2004 - 15:06 Redação InfoGuerra

A Universidade Anhembi Morumbi está promovendo o NetInfoSec 2004, um fórum de discussões sobre tecnologia da informação, voltado para os segmentos de redes e segurança da informação. O evento será realizado no dia primeiro de de dezembro, em São Paulo, das 8h às 18 horas.

O tema central do fórum será "Gestão de Segurança da Informação", e da programação constam painéis e palestras ministradas por profissionais da área e professores da universidade.

As inscrições podem ser feitas diretamente no site da universidade. A taxa é de R$10,00 e, no dia do evento, o participante deverá levar um quilo de alimento não-perecível.

O evento ocorrerá no Auditório Theatro Casa do Ator, no Campus Vila Olímpia, que fica na Rua Casa do Ator, 275, em São Paulo. Outras informações podem ser obtidas na página da NetInfosec.

23/11/2004 - 15:36 Redação InfoGuerra

Um novo cavalo-de-tróia, batizado de Skulls (caveiras, em inglês), foi desenvolvido para atacar telefones celulares e Smart Phones que rodem o sistema operacional aberto Symbian. O trojan desabilita todas as funções dos aparelhos, com exceção das chamadas.

A praga chega como um arquivo de nome “Extended theme.SIS”, disfarçado como um administrador de temas para aparelhos da série Nokia 7610. O programa teria sido desenvolvido por um certo "Tee-222".

Quando instalado, o trojan substitui todos os ícones de aplicativos do aparelho por imagens de uma caveira. Uma cópia dessa imagem pode ser vista abaixo:

Imagem: F-Secure

Os ícones perdem suas funções reais e nenhum dos aplicativos do sistema pode ser iniciado depois disso. Todas as funções que necessitem de algum aplicativo, como mensagens de SMS (Short Message Service) e de MMS (Multimedia Messaging Service), navegador Web e câmera, deixam de funcionar.

Conforme a F-Secure, o arquivo “Extended theme.SIS” em si não contém exatamente um código malicioso. Trata-se apenas de um arquivo de instalação do sistema Symbian, que substitui os arquivos da unidade C por arquivos binários críticos do sistema ROM, que possuírem os mesmos nomes e estiverem nas mesmas posições. Isto ocorre devido a uma característica do sistema operacional Symbian, que permite tal substituição. Assim, os arquivos de aplicativos instalados pelo Skulls são arquivos normais do sistema operacional, extraídos da unidade ROM do telefone.

A parte maliciosa está no arquivo AIF (Application Info and icon), que vem com os aplicativos e é responsável pelos ícones mostrados no aparelho. O trojan instala um arquivo AIF que contém a imagem de uma caveira com ossos cruzados como ícone. Ao contrário dos ícones normais, o novo ícone aponta para lugar nenhum, tornando os aplicativos inoperantes.

A F-Secure publicou instruções detalhadas para a remoção do cavalo-de-tróia do aparelho.

Leia também:

Ferramenta remove vírus de celular

Worm Cabir ataca celulares em Cingapura

Criado primeiro vírus para celulares

22/11/2004 - 17:39 Redação InfoGuerra

O worm Sober-I, detectado na última sexta-feira, está se espalhando rapidamente pela Internet. De acordo com a Sophos, 25% de todas as ocorrências de vírus reportadas à empresa foram causadas por este worm.

A praga chega em um arquivo anexo de e-mail, com assuntos e corpo de mensagem com textos variados, em inglês ou alemão. Ao ser executado, O Sober-I envia mensagens em massa para endereços eletrônicos encontrados nos sistemas infectados, deixando as máquinas mais lentas. Contém dois arquivos maliciosos, sendo que um funciona como backup, para o caso de o primeiro ser barrado pelo antivírus.

O consultor de tecnologia da Sophos, Graham Cluley, afirma que o Sober-I é o pior vírus detectado nos últimos meses. Segundo ele, existe o perigo de os usuários estarem despreocupados devido a um período de calmaria no aparecimento de vírus com este poder de infecção e isso pode ter contribuído para o sucesso da disseminação em massa do worm.

Leia também:

Nova variante do Sober está à solta

Sober.G se espalha rapidamente pela Europa

Sober.A usa nomes de antivírus para infectar PCs

22/11/2004 - 17:10 Redação InfoGuerra

O centro de segurança Internet Storm Center (ISC) recebeu notificações de que banners em alguns sites do Reino Unido, Holanda e Suécia estão sendo usados para contaminar os computadores dos internautas com um código malicioso semelhante ao utilizado pelo worm Bofra. Ao clicar em um banner inserido nas páginas desses sites o usuário é automaticamente redirecionado para um servidor Web que contém o código malicioso e seu sistema é infectado.

O Bofra explora uma vulnerabilidade do Internet Explorer considerada crítica e ainda não corrigida pela Microsoft, que também afeta outros programas, como Outlook e Outlook Express. A falha, que permite a terceiros executarem códigos arbitrários no sistema, ocorre no tratamento de alguns atributos dos elementos “FRAME” e “IFRAME”, utilizados em documentos no formato HTML.

O código malicioso do Bofra fica hospedado em servidores Web, localizados tanto em sites na Internet como em máquinas de usuários domésticos cujos sistemas foram infectados. Links que direcionam a estes códigos são inseridos em páginas Web ou em mensagens de e-mail. Assim que o usuário clica nos links oferecidos, é direcionado ao servidor contaminado, que explora a vulnerabilidade do Internet Explorer e contamina o sistema da máquina visitante.

O worm então cria um novo servidor Web em cada computador infectado, procura por endereços de e-mail no disco rígido da vítima e envia mensagens indicando com links estes novos servidores, para que possa dar continuidade ao ciclo e contaminar outros sistemas.

De acordo com o alerta do ISC, os relatos indicam um ataque difundido pela Europa e centenas de sites podem estar afetados. Uma suposição do centro de segurança é de que o código malicioso possa estar em servidores de empresas terceirizadas que enviam publicidade online, em vez de estar nos próprios sites em que os banners são exibidos.

O conhecido site britânico de tecnologia The Register foi um dos atingidos pelos banners maliciosos neste final de semana. O site publicou um comunicado sobre o ocorrido.

Conforme o esclarecimento, os administradores de The Register receberam no sábado uma notificação de que um banner da empresa Falk AG, especializada em distribuir publicidade em páginas Web, estava comprometido com o Bofra ou IFrame Exploit. O site afirma que suspendeu imediatamente o anúncio e aguarda uma resposta da empresa, que deverá ser feita ainda hoje.

“Se você visitou The Register no sábado, 20 de novembro, entre o período das 6 horas e 12:30h e usa qualquer sistema Windows, aconselhamos que confira sua máquina com um antivírus atualizado”, esclarece o alerta.

O ISC recomenda duas alternativas aos administradores de Web sites que hospedam banners de propaganda. Para contornar a situação e minimizar o risco acidental de infecção dos visitantes é necessário verificar se os banners contêm algum código que explore o “IFRAME” ou, então, desativar seu link de acesso.

Para os usuários, o centro também aconselha o uso de navegadores alternativos até que uma correção para a vulnerabilidade seja liberada pela Microsoft. Aparentemente, apenas os sistemas operacionais Windows XP com o Service Pack 2 instalados não são vulneráveis.

Leia também:

Falha grave no IE ainda não tem correção

Novo worm Bofra explora falhas recentes do IE

19/11/2004 - 21:51 Redação InfoGuerra

A Microsoft anunciou na semana passada uma mudança na política de proteção de propriedade intelectual de seus produtos. A estratégia é válida para usuários do mundo todo e faz parte da campanha Get the Facts, que procura mostrar as possíveis vantagens na adoção do sistema operacional Windows em relação ao Linux.

A nova política se refere às indenizações por questões de propriedade intelectual e tem por objetivo proteger os usuários de produtos da Microsoft contra qualquer reclamação legal que imponha custos, ou outra disputa relacionada à propriedade intelectual. A medida cobre as quatro formas principais de disputas por propriedade intelectual de software: patente, direito de cópia, segredo de mercado e marca registrada.

O programa já existia para clientes de grande volume de licenças e agora foi expandido para todos os usuários. A expansão deve beneficiar os usuários de produtos e versões menos recentes dos softwares da empresa, como o Windows Server System (que inclui SQL Server e Exchange Server), Microsoft Office System e Windows para desktops. A proteção inclui controles de processos de desenvolvimento, delimitação de licenças necessárias de terceiros, acordos de licenciamento cruzado com grandes empresas do setor de TI e proteção de novos produtos da Microsoft por patente e direito de cópia.

Com essa nova política, a Microsoft pretende diminuir as conseqüências para os usuários de eventuais processos por violação de direitos intelectuais contidos nos produtos adquiridos da empresa. A medida foi anunciada poucos dias antes de uma apresentação do CEO da Microsoft, Steve Ballmer, num fórum governamental realizado em Cingapura, em que ele apontava perigos de violação de propriedade intelectual para quem usa Linux, alegando que o sistema operacional estaria infringindo 228 patentes.

A campanha Get the Facts demonstra fôlego para ser uma das maiores investidas contra o Linux tentadas pela Microsoft. Entre ontem e hoje, usuários e veículos de informação, incluindo InfoGuerra, constataram links patrocinados pela Microsoft Brasil em buscas feitas no Google. Anúncios do Windows levando a páginas da Microsoft apareciam a usuários brasileiros que procurassem por conhecidas distribuições Linux, como Debian, Kurumin e outras. Nesta sexta-feira, tentamos mais de uma vez, sem sucesso, contato com a assessora de imprensa da Microsoft para esclarecer a publicidade.

Distribuições Linux se unem

Enquanto isso, distribuições Linux da Europa, Ásia e América do Sul e do Norte anunciam que se uniram para criar o Linux Core Consortium (LCC), cujos participantes adotarão o padrão LSB 2.0 (Linux Standard Base) para o desenvolvimento de seus produtos. Inicialmente fazem parte do LCC as empresas Linux Conectiva, Mandrakesoft, Progeny e Turbolinux.

Os produtos desenvolvidos com base nesse acordo estarão disponíveis no primeiro trimestre de 2005 e serão incorporados ao Conectiva Enterprise Server, Mandrakesoft Corporate Server, Progeny Componentized Linux e Turbolinux Enterprise Server. O LCC tem o apoio de empresas e organizações como Computer Associates, Free Standards Group, HP, Novell, Open Source Development Labs (OSDL), Red Hat e Sun Microsystems.

Leia também:

Microsoft lança campanha contra o Linux no Google

19/11/2004 - 18:07 Redação InfoGuerra

A Internet Security Systems (ISS) Brasil promove a conferência online “Sistema de Prevenção de Intrusos – IPS”, que abordará a eficiência de cada sistema disponível no mercado para a proteção de informações corporativas e segurança dos servidores e desktops. O evento é gratuito e será realizado no dia 24 de novembro, às 15 horas.

A conferência será apresentada por Marcelo Bezerra, diretor técnico da ISS Brasil e América Latina. Os elementos fundamentais para ordenar soluções de proteção IPS e melhorar o funcionamento das redes serão alguns dos temas abordados. Também serão avaliadas a atividade preventiva nas marcas desenvolvedoras, as regras de proteção e os produtos frente a soluções integradas.

As inscrições para o seminário devem ser feitas antecipadamente por meio
de um formulário disponível no site da empresa. Os interessados que não forem cadastrados poderão fazê-lo na hora.

19/11/2004 - 15:16 Redação InfoGuerra

Uma nova variante do worm Sober foi detectada hoje pelas empresas antivírus e já recebeu da maioria delas a classificação de médio risco, devido à sua rápida disseminação. O Sober.I envia mensagens em massa para endereços de e-mail encontrados nos sistemas infectados, deixando as máquinas mais lentas, além de congestionar a rede. Os países mais atingidos por enquanto, segundo estatísticas da Trend Micro, são França, Alemanha e Austrália.

Escrito em linguagem Visual Basic, o Sober.I chega por e-mail em um arquivo compactado e anexado às mensagens. O campo de assunto pode conter expressões como “FwD:”, “Re:”, “Oh God”, “Registration”, “Confirmation”, “Your Password”.

Os textos também são variados e podem conter uma falsa notificação de falha no envio do e-mail, por exemplo, ou de um erro ocorrido com a senha do usuário. Numa tentativa de ganhar a confiança da vítima, o e-mail inclui uma falsa certificação de que a mensagem teria sido verificada por antivírus.

De acordo com a Trend Micro, o que diferencia esta nova variante é o fato de carregar dois arquivos maliciosos, sendo que um funciona como backup, para o caso de o primeiro ser barrado pelo antivírus.

Ao ser executado, dispara falsas mensagens de erro como "WinZip Self-Extractor", conforme se vê na figura abaixo:

Imagem: Trend Micro

Ao mesmo tempo, cria uma série de arquivos na pasta System do Windows, sendo que um deles é usado para armazenar informações capturadas do disco rígido da vítima e outros contêm cópias criptografadas do próprio worm, como “sysmms32.lla”, “winroot64.dal”, “winsend32.dal”, “zippedsr.piz" etext-ascii”, entre outros. Em seguida, a praga faz uma cópia de si mesma como um arquivo executável (.EXE) com nomes variáveis contendo as palavras “run”, “log, 32”, “disc”, “data”, “smss32”, entre outros.

O Sober.I também cria entradas no registro para que seja ativado toda vez que o sistema for iniciado. Como seus antecessores, para conseguir os endereços eletrônicos de novas vítimas, vasculha diversos tipos de arquivos no HD do sistema infectado.

Leia também:

Sober.G se espalha rapidamente pela Europa

Sober.A usa nomes de antivírus para infectar PCs

Onda de e-mails falsos traz worm Sober.C

19/11/2004 - 10:47 Giordani Rodrigues

Quem for ao Google e digitar nomes de conhecidas distribuições Linux, incluindo a brasileira Kurumin, vai encontrar, junto dos resultados, links patrocinados pela Microsoft para promover o Windows. Basta colocar nomes como Debian, Suse, Kurumin e outros, para encontrar anúncios com as frases “Debian ou Windows?”, “Linux Kurumin ou Windows?” e assim por diante (veja imagem abaixo), levando a páginas da Microsoft.


Aparentemente, a campanha está sendo patrocinada pela Microsoft do Brasil, pois os resultados só ocorrem quando quem faz uma busca tem IP brasileiro. Usando IPs no exterior, os links patrocinados apresentados não têm necessariamente relação com a Microsoft. Ainda não foi possível falar com a assessoria de imprensa da empresa no país, mas ao que parece trata-se de um braço da campanha mundial Get the Facts, que contrapõe as vantagens que haveria do Windows sobre o Linux e utiliza outras estratégias para concorrer com o crescimento dessa plataforma.

A comunidade de software livre já está distribuindo, desde ontem, mensagens sobre o assunto em suas listas de discussão, e sites especializados em software livre também já publicam notas. O site BR-Linux.org publicou um texto citando não só essa estratégia, como as notícias a respeito de um discurso de Steve Ballmer, CEO da Microsoft, para empresários asiáticos, no qual ele alertava sobre os supostos perigos de violação de propriedade intelectual para quem usa Linux, que estaria infringindo 228 patentes.

O site comenta que Ballmer “não lembrou de avisar à platéia de que a legislação de patentes de software dos EUA não vale na Ásia, ou que os usuários de Linux correm tanto risco de ser processados pelo uso de softwares cobertos por patentes quanto os usuários da Microsoft, com a diferença de que os softwares da MS já estão sofrendo processos pela infração de mais de 30 patentes, enquanto o Linux não apenas não responde a nenhum, como o número de 228 patentes mencionado no discurso foi produzido por uma empresa cujo negócio é... vender seguros contra processos por patentes de software para usuários de Linux.”

Sobre a atual campanha da Microsoft no Google, um usuário do fórum do Kurumin escreveu: “O curioso é que há algum tempo atrás (sic), a Microsoft 'fazia-de-conta' que Linux não existia."

19/11/2004 - 0:46 Alexandre Freitas

Uma atual promoção da Coca-Cola está sendo usada como tema para um golpe de phishing. Sugerindo a possibilidade de participação no concurso, os golpistas tentam induzir os usuários a baixarem um cavalo-de-tróia para capturar suas senhas e dados financeiros.

Em formato HTML, a mensagem tem como remetente o endereço forjado "urgente@coca-cola.com.br" e usa a logomarca e as cores padrões da Coca-Cola. O e-mail se faz passar pela divulgação dos sorteados da promoção "Coca-Cola Amor à Mesa".

O texto informa “Você foi um dos nossos 70 escolhidos pela internet para participar da promoção Coca-Cola retornável 1 ano de mesa farta”. Em seguida sugere que seja feito o download de um "formulário" de cadastro a partir de um link indicado. Uma cópia do e-mail pode ser vista aqui.

Conforme análise do cabeçalho do e-mail, o envio aparentemente partiu de uma escola de informática de Sorocaba, no interior de São Paulo. InfoGuerra entrou em contato com os responsáveis pela escola, que alegaram desconhecer o fato e não deram retorno em tempo hábil.

Já o falso link (http://www.coca-cola.com.br/cadastro/formulario.scr) apresentado para a cópia do tal formulário remetia a um site pertencente a uma empresa de clichês de Valinhos, em São Paulo. Como normalmente acontece em golpes desse tipo, o arquivo "formulário.src" é um cavalo-de-tróia, desenvolvido para capturar dados bancários da vítima. O arquivo ainda estava no ar no momento de publicação desta matéria, apesar de a mensagem que o referencia ter sido enviada no feriado do dia 15 de novembro.

Uma análise do arquivo feita no site VirusTotal mostra que se trata do Trojan.Spy.Banbra.Q, também batizado como PWS-Bancos.Variant, dependendo da empresa antivírus. Este trojan foi projetado especificamente para imitar telas de acesso de alguns bancos brasileiros, como Banco do Brasil, Caixa Econômica Federal e Bradesco, e roubar senhas e outros dados dos clientes. Afeta o Windows e cria uma chave no registro para que seja ativado sempre que o sistema for iniciado.

A Coca-Cola já publicou um comunicado em seu site informando que o e-mail é fraudulento e que os procedimentos nele indicados podem causar danos ao usuário.

18/11/2004 - 23:15 Angela Ruiz

A Secunia reporta a descoberta de duas vulnerabilidades no Internet Explorer, da Microsoft, que poderiam ser exploradas por pessoas maliciosas para burlar as características de segurança do Windows XP SP2 e, desse modo, enganar o usuário para baixar arquivos perigosos.

O Windows XP SP2 possui uma característica de segurança que adverte o usuário quando este tenta descarregar certos tipos de arquivos. O problema ocorre quando o arquivo descarregado é enviado com um cabeçalho HTTP "Content-Location". Caso tenha sido maliciosamente modificado, nenhuma janela de alerta é mostrada ao usuário quando o arquivo é aberto.

Um erro ao gravar alguns documentos utilizando a função "execCommand()" da linguagem Javascript poderia ser explorado para falsificar a verdadeira extensão do arquivo na janela "Salvar página da Web". Para que haja uma exploracão bem-sucedida, é necessário que a opção "Ocultar as extensões para tipos de arquivos conhecidos" esteja habilitada (como está por padrão).

A combinação das vulnerabilidades, pode ser explorada por meio de um site malicioso para enganar o usuário e fazê-lo copiar um executável perigoso, camuflado como um documento HTML.

As vulnerabilidades foram confirmadas em sistemas com todos os patches instalados, com o Internet Explorer 6.0 e Microsoft Windows XP SP2.

Solução: desabilitar a opção "Seqüências de comandos ActiveX" (Active Scripting), e desmarcar a opção "Ocultar as extensões de arquivos para tipos de arquivo conhecidos", que está em "Meu Computador/Ferramentas/Opções de pasta/Visualizar".

Para desativar a opção "Seqüências de comandos ActiveX" e manter o Internet Explorer protegido, recomendamos a configuração sugerida no artigo de VSAntivirus (em espanhol):

Configuración personalizada para hacer más seguro el IE

Texto publicado sob autorização. URL original: http://www.vsantivirus.com/vul-ie-181104.htm. Tradução de Alexandre Freitas.

18/11/2004 - 18:20 Redação InfoGuerra

Eugene Suchkov, um dos integrantes do conhecido grupo internacional de escritores de vírus 29A, foi declarado culpado pelas autoridades russas após confessar a autoria de códigos maliciosos. De acordo com uma nota publicada no site da Sophos, Suchkov admitiu ter desenvolvido os vírus W32/Stepan e Gastropod e divulgado os códigos-fontes em sites para que fosse possível criar novas variantes. Ele foi condenado a pagar uma multa de 3 mil rublos (cerca de R$ 290,00) por suas atividades ilícitas.

Suchkov usa o apelido de "Whale” (Baleia) no grupo 29A , formado por integrantes de vários países. Também fazem parte do grupo "Z0MBiE", "The Mental Driller" e "Ratter".

"Uma multa de 3000 rublos é pouco, mas ele foi considerado culpado e isso encoraja as autoridades russas a entrarem em ação contra os escritores de vírus” disse Graham Cluley, consultor de tecnologia sênior da Sophos.

No final de 2003, em uma entrevista para uma revista de Internet britânica, "Whale” disse que um futuro "parque de diversões" para escritores de vírus poderia ser o .NET Framework, da Microsoft. No início de 2004, ele publicou artigos na Internet explicando como um vírus para esta tecnologia poderia ser escrito. Um dos textos ainda pode ser visto no cache do Google.

Alguns dias antes da condenação de Suchkov, outro integrante do 29A apareceu na mídia mundial. Na semana passada, foi publicado que "Benny", 22 anos, ex-integrante do grupo, trabalha atualmente na Zoner Software, uma empresa tcheca de produtos antivírus, como desenvolvedor e programador do Zoner Anti-Virus (ZAV). Benny mantém um blog na Internet, onde posta comentários e publica fotos pessoais.

"Nenhuma empresa de antivírus que se preze empregaria um escritor de vírus”, disse Cluley. "Além do problema em tentar explicar aos clientes o motivo de ter empregado uma pessoa vinculada a malware, existe a questão de como se poderia confiar em quem se comportou de forma tão imatura e sem ética no passado".

A opinião da F-Secure não é diferente. “A situação realmente surpreende, porque obviamente toda empresa de antivírus enfrentaria grandes problemas de credibilidade após ter tido um procedimento tão estúpido. No entanto, um fato similar ocorreu com o autor dos vírus Netsky e Sasser no início deste ano. Nós, da F-Secure, não empregamos criminosos”, disparou o executivo Mikko Hypponen no blog da empresa.

O grupo 29A é conhecido por criar vírus inovadores e seu nome é uma referência em notação hexadecimal ao número "666", conhecido como o número da Besta. Os integrantes do grupo desenvolveram vários "proof of concept" (provas de conceito), incluindo vírus recentes, como o Cabir, para celulares. Em 2002, o 29A lançou o Smile.D, primeiro vírus polimórfico capaz de contaminar sistemas Windows e Linux simultanemante. O W32.Donut, primeiro vírus para a plataforma Microsoft .NET, também recebeu sua assinatura.

Leia também:

Descoberto o primeiro trojan para Pocket PC

Criado primeiro vírus para celulares

Vírus complexo infecta Linux e Windows

Criado primeiro vírus para a arquitetura Microsoft .NET

18/11/2004 - 14:16 Redação InfoGuerra

Foi descoberto um cavalo-de-tróia que redireciona visitantes de sites com conteúdo pornográfico para sites de possíveis concorrentes, numa espécie de "guerra pornô".

O Delf-IT roda em background e monitora a barra de endereços do navegador Internet Explorer. Contém uma lista com mais de 50 expressões de identificação usadas para monitorar o acesso a determinados sites, na maioria de conteúdo pornográfico. Depois disso, tenta copiar e rodar um código malicioso adicional que redireciona o usuário para outro site de conteúdo adulto.

Algumas das expressões de identificação são “amateur”, “barely legal”, “lolita”, “ladyboy”, “lesbian” e “pornstars”. De acordo com a empresa Sophos, palavras como “outdoor” e “beauty”, incluídas na lista, que podem ser usadas comumente em outros gêneros de sites, também redirecionam o navegador para páginas pornográficas.

Quando executado, o trojan faz uma cópia de si mesmo como LAN.EXE para a pasta Windows e cria uma chave no registro para que entre em atividade sempre que o sistema for iniciado.

"É possível que o trojan Delf tenha sido deliberadamente criado para redirecionar os internautas que acessam sites de conteúdo adulto para o seu próprio site”, afirma Graham Cluley, consultor sênior de tecnologia da Sophos. "À medida que os criadores de sites pornográficos ganham rios de dinheiro com a Internet, existe a possibilidade de que alguns deles usem trojans, como o Delf, para conquistar uma vantagem competitiva”.

A Sophos informa que até agora foram registradas poucas ocorrências do Delf-IT. A empresa não informou como os primeiros PCs foram "infectados" com o trojan.

17/11/2004 - 16:18 Redação InfoGuerra

A Polícia Federal prendeu em flagrante, no dia 15, dois homens acusados de usar equipamentos para copiar dados e senhas de usuários de terminais bancários e clonar cartões magnéticos. O técnico em informática Lucas Ferreira Martins, de 19 anos, e o vendedor Antônio Washington Rodrigues Torres, de 24, foram detidos pela segurança da agência da Caixa Econômica Federal do Shopping Center Recife, no bairro de Boa Viagem.

O esquema usado pela dupla, conhecido como chupa-cabra, copia a trilha magnética dos cartões de clientes por meio de equipamentos especiais inseridos nos terminais eletrônicos. Uma câmera de vídeo acoplada ao terminal também filma a vítima digitando seus dados e senha.

Conforme os depoimentos prestados, os golpistas chegaram de Brasília há 15 dias e um outro integrante do grupo está preso na cidade de Goiânia pela prática do mesmo crime.

No hotel onde estavam hospedados foram apreendidos diversos materiais usados para a prática do golpe, como telefones celulares, disquetes, equipamentos de clonagem e baterias, entre outros.

A dupla foi autuada pelo crime previsto no artigo 171 parágrafo 3º (estelionato) do Código Penal Brasileiro, com penas que variam de um a cinco anos de reclusão, com o agravante de ter sido cometido em detrimento de entidade de direito público, o que pode aumentar a punição até um terço.

17/11/2004 - 16:00 Redação InfoGuerra

A divulgação de dez vulnerabilidades encontradas no Windows XP Service Pack 2 pela empresa de segurança Finjan Software gerou uma série de críticas por parte da Microsoft. A empresa de Redmond colocou em questionamento a “divulgação responsável”, pelo fato de que a informação de tais brechas de segurança foi levada a público sem que as vulnerabiliddades fossem previamente analisadas e confirmadas por sua equipe.

De acordo com o comunicado da Finjan “as falhas poderiam ser exploradas remota e silenciosamente apenas com o acesso a sites maliciosos”. Um atacante poderia ter acesso remoto aos arquivos locais do usuário; conseguir privilégios adicionais para a execução remota de códigos arbitrários e enganar o mecanismo de segurança para a verificação de arquivos copiados da Internet.

A atitude considerada ética por parte dos pesquisadores de segurança e que preserva os usuários contra ataques é reportar os problemas encontrados às empresas responsáveis pelos softwares vulneráveis e aguardar até que sejam confirmados e corrigidos. Só depois disso os alertas são divulgados ao público.

A Finjan afirma que forneceu à Microsoft todos os detalhes técnicos, incluindo provas de conceito sobre as brechas de segurança encontradas pelo seu centro de pesquisa, e que não liberará publicamente maiores informações até que as vulnerabilidades estejam totalmente corrigidas pela Microsoft. A empresa afirma também que quer evitar que as falhas sejam exploradas por pessoas mal-intencionadas.

A Microsoft, porém, não confirmou a existência dos problemas relatados e pôs em cheque as afirmações da empresa de segurança. "Nossa análise prévia indica que as alegações da Finjan são potencialmente enganadoras e possivelmente errôneas sobre a extensão e severidade das vulnerabilidades no Windows XP SP2,", disse um porta-voz da empresa ao site eWeek.

Já a diretora de marketing da unidade de segurança e tecnologia da Microsoft, Debby Fry Wilson, disse à CNet que a empresa considera o comunicado da Finjan um erro. "O que a Finjan está fazendo é prematuro e poderá gerar confusão no mercado".

Como resposta, Shlomo Touboul, CEO da Finjan, alegou que as pessoas devem ter conhecimento para se prevenir e isso é impossível sem as devidas informações. “Eu não diria que nós provocamos confusão. Não acredito no pânico e sim no comportamento muito calculado".

16/11/2004 - 16:20 Redação InfoGuerra

Uma brecha de segurança encontrada no programa Skype pode comprometer a segurança de sistemas Windows. Classificada como altamente crítica pela Secunia, a vulnerabilidade permite a execução remota de códigos arbitrários, o que poderia levar à invasão do PC.

O Skype tornou-se rapidamente um popular programa para comunicação e é usado principalmente para transmissão de voz e serviços de telefonia pela Internet. Segundo o site dos desenvolvedores, já foram feitas mais de 34 milhões de cópias do software.

Conforme o boletim da Secunia, o problema no Skype é causado por um erro na manipulação de argumentos passados ao programa por meio da linha de comando e pode ser explorado remotamente para provocar um estouro de memória. Terceiros poderiam, por exemplo, persuadir um usuário a visitar uma página Web maliciosa, que ofereça algum recurso com uma seqüência de caracteres excessivamente longa (mais de 4096 bytes) e assim se aproveitar da vulnerabilidade.

A falha afeta desde a versão 1.0.*.95 até a 1.0.*.98 desenvolvidas para sistemas operacionais Windows. A solução para o problema é atualizar o programa para a versão mais recente, 1.0.0.100.

12/11/2004 - 17:05 Redação InfoGuerra

Foi encontrada uma vulnerabilidade na forma como o sistema operacional Cisco Internetwork Operating System (IOS) processa os pacotes DHCP (Dynamic Host Configuration Protocol). Ao ser explorada, a brecha de segurança pode provocar situações de negação de serviço em dispositivos de redes. O alerta partiu da Equipe de Resposta a Emergências Computacionais dos Estados Unidos (US-CERT). As atualizações do sistema já estão disponíveis.

O protocolo DHCP (Dynamic Host Configuration Protocol ) fornece meios de distribuir informações de configuração às máquinas em uma rede TCP/IP. A brecha de segurança no IOS permite que pacotes DHCP malformados façam com que um dispositivo afetado pare de processar o tráfego de entrada de dados na rede.

De acordo com o alerta do US-CERT, a falha pode ser explorada remotamente, por um atacante não autenticado na rede. A exploração repetida da vulnerabilidade poderia provocar uma negação de serviço (denial of service) no dispositivo atacado. Para recuperar a funcionalidade, o dispositivo deve ser reiniciado para limpar a fila de requisições de entrada na interface administrativa.

O serviço DHCP é ativado por padrão no IOS e só pode ser desabilitado quando o comando “no service dhcp” é especificado na configuração do sistema. O processamento de pacotes DHCP pode ser feito por roteadores, switches e line cards (placas de interface de conexão) da Cisco.

Estão vulneráveis os produtos que rodem o IOS nas versões 12.2(18)EW, 12.2(18)EWA, 12.2(18)S, 12.2(18)SE, 12.2(18)SV, 12.2(18)SW e 12.2(14)SZ. A Cisco publicou informações detalhadas sobre os procedimentos que devem ser tomados para as atualizações.

12/11/2004 - 14:04 Redação InfoGuerra

A 4Linux, empresa especializada em serviços e treinamento baseados em software livre, está lançando o HackerTeen. Trata-se de um programa de formação técnica e ética sobre segurança da computação, voltado para jovens de 12 a 17 anos.

A metodologia do curso baseia-se em “desafios” a serem cumpridos em cinco etapas de aprendizado. O programa conta também com palestras, acompanhamento psicológico e pedagógico. Durante o curso, os alunos irão descobrir as diferenças entre um "hacker" e um "cracker" e receberão orientação sobre as conseqüências dos crimes digitais e atividades ilícitas no universo da computação.

Para prender a atenção dos adolescentes, o sistema operacional Linux foi personalizado para deixá-lo com uma imagem jovem, e o método empregado usa recursos como jogos RPG (Role Playing Game) e mangás (quadrinhos japoneses).

A IBM está apoiando o projeto por meio de seu programa “Reinventando a Educação”, com a participação de 24 jovens carentes que já preencheram as duas primeiras turmas, uma em Santo André e outra no Rio de Janeiro. O curso terá início no dia 29 de novembro, com um ano e meio de duração.

Ao final do curso o aluno poderá prestar provas para as certificações LPI (Linux Professional Institute) e Ethical Hacker. Outras informações podem ser obtidas no site www.hackerteen.com.br.

12/11/2004 - 13:34 Redação InfoGuerra

Uma nova variante de um cavalo-de-tróia usado para recolher dados financeiros de suas vítimas está circulando pelo Reino Unido. O Banker-AJ tem como alvo os usuários dos bancos Abbey, Barclays, Egg, HSBC, Lloyds TSB, Nationwide e NatWest.

De acordo com a Sophos, quando o usuário acessa um dos sites bancários relacionados numa lista usada pelo trojan e insere seus dados privados o programa captura senhas e imagens da transação financeira, caso esteja instalado na máquina. Em seguida, os dados são enviados aos golpistas para serem usados de forma ilícita.

Quando executado, o Banker-AJ cria uma cópia de si mesmo nas pastas Windows (“winuser.exe”) e System (“userhandler.exe”). Depois, passa a monitorar os acessos do usuário a determinados sites da Internet, registrando informações incorporadas em páginas que contenham palavras-chaves, como “anking”, “Digital Banking”, “HSBC Internet Banking”, “Online Service”, e outras.

Também verifica acessos a certos endereços, como https://online.lloydstsb.co.uk/logon.ibc e https://welcome3.smile.co.uk/servlet/Smile5Banking, entre outros que
fazem parte de uma extensa lista. As informações capturadas pelo trojan são enviadas, posteriormente, para um site remoto.

O Banker-AJ também cria entradas no registro do Windows para permanecer ativo toda vez que o usuário é "logado" ao sistema.

Há alguns meses, a Sophos monitorou o emprego das variantes Banker-AR e Banker-K em golpes de phishing para correntistas de alguns bancos brasileiros, como Bradesco, Itaú e Banco do Brasil.

11/11/2004 - 13:52 Redação InfoGuerra

O portal Terra realiza, nesta sexta-feira, 12 de novembro, um chat sobre spam e segurança da informação, com Élcio Ricardo de Carvalho. O encontro faz parte da série "Spam: limites da liberdade, informação e da privacidade". O bate-papo terá início às 19h30.

O convidado Élcio Ricardo de Carvalho é perito criminal federal do serviço de perícias em informática do Instituto Nacional de Criminalística da Polícia Federal (INC-PF) e integrou o comitê de programa técnico da Conferência Internacional de Perícias em Crimes Cibernéticos (ICCyber-2004).

Durante a ICCyber-2004 foram apresentadas as técnicas mais recentes e avançadas para o combate de crimes cibernéticos, incluindo os que envolvem spams, como os ataques de phishing scam.

Outros detalhes podem ser vistos na seção de chat do Terra. Os interessados também podem enviar perguntas prévias para o chat.

A série "Spam: limites da liberdade, informação e da privacidade" é uma iniciativa da advogada Eliane Saldan, consultora jurídica de InfoGuerra, e conta com o apoio do site de segurança e do portal Terra, que fornece a tecnologia para a realização dos bate-papos.

As próximas edições, com datas a serem marcadas, contarão com a participação dos convidados Renata Cicilini Teixeira, autora do livro “Combatendo o Spam”; do advogado paulistano Amaro Moares e Silva Neto, autor do livro "emails indesejados à luz do direito brasileiro"; e Cid Torquato, diretor-executivo da Camara-e.net e integrante do Comitê Brasil Antispam.

10/11/2004 - 15:32 Redação InfoGuerra

A Microsoft publicou nesta terça-feira seu boletim mensal de código MS04-039, corrigindo uma falha que facilita ataques de phishing scam, muito comuns atualmente. O problema, que afeta os servidores Internet Security and Acceleration (ISA) Server e Proxy Server 2.0, permite que um usuário mal-intencionado crie conteúdos falsos que sejam associados pelo servidor ao nome verdadeiro de um site legítimo.

De acordo com o boletim, o problema está na forma com que os resultados de buscas ou consultas de DNS reverso são armazenadas no cache (memória temporária) do servidor. O resultado de um DNS reverso ocorre quando se fornece um número IP (Internet Protocol) e o servidor devolve o domínio correspondente. Explorando a falha, um atacante poderia fornecer um IP sob seu controle, que retornaria o domínio “banco.com.br”, por exemplo.

O ataque consistiria em persuadir o usuário a acessar um site especialmente preparado, acreditando tratar-se de conteúdo confiável. Isso poderia ser feito por meio de um link oferecido em uma mensagem de e-mail ou banners de propagandas que, ao serem clicados, remetessem o usuário para o site malicioso.

A brecha de segurança afeta o Proxy Server 2.0 com SP1, o ISA Server 2000 com o SP1 e SP2 instalados, o Microsoft Small Business Server 2000 e o Microsoft Small Business Server 2003 Premium Edition (ambos incluem o ISA Server 2000).

O boletim deste mês não trouxe correções para outras falhas, incluindo uma do navegador Internet Explorer recentemente descoberta, que já está sendo explorada pelo worm Bofra.

Leia também:

Microsoft antecipa informações sobre boletins de segurança

10/11/2004 - 11:23 Redação InfoGuerra

Um grupo de crackers autodenominado Source Code Club está oferecendo pela Internet o código-fonte do firewall Cisco Pix versão 6.3.1, pela quantia de U$ 24 mil (cerca de R$ 68 mil). Em julho, o mesmo grupo já havia freqüentado o noticiário especializado por vender outros códigos proprietários.

Os crackers ofereceram o código do firewall em mensagens postadas em grupos da Usenet. "SCC se orgulha de anunciar que está disponível para o público em geral o código-fonte do Cisco Pix 6.3.1. Este lançamento é significativo porque Pix é vital à segurança de muitas redes ultra-seguras", lia-se no início das mensagens.

O grupo promete manter em segredo tanto a identidade do comprador quanto a do vendedor e a transação comercial seria feita via e-mail com mensagens criptografadas. Haveria ainda um incentivo para quem adquirir um código-fonte completo: a primeira compra registra os "clientes" como "membros privados", o que lhes daria acesso a códigos adicionais do produto, não disponíveis para o público em geral.

Apenas um hoax?

Para o diretor de pesquisa de códigos maliciosos da iDefense, Ken Dunham, provavelmente a oferta é apenas um hoax (trote). Em entrevista ao site e-Commerce Times ele disse: "Estes sujeitos estão apenas fazendo barulho para chamar a atenção e se divertirem ou estão tentando ganhar dinheiro ilicitamente. Poderia ser um pouco de ambos”.

De qualquer forma, ele acha que mesmo que a oferta seja verdadeira, o Source Code Club usa uma estratégia de venda pobre ao oferecer o código em listas pela Internet. Na opinião do executivo, a venda em canais do submundo seria muito mais segura.

Dunham, porém, não descarta a possibilidade de a Cisco ter perdido o seu código-fonte, já que nos últimos seis a 18 meses a iDefense registrou um aumento dramático de criminalidade em operações clandestinas. "Estamos nos distanciando dos 'script kiddies' que atacam por divertimento e entrando na fase de organizados e sofisticados ataques criminosos pela Internet”, afirmou.

9/11/2004 - 17:02 Redação InfoGuerra

O novo worm Bofra, descoberto ontem e já com duas variantes detectadas, explora a mais recente vulnerabilidade do navegador Internet Explorer, reportada há menos de uma semana. O problema, considerado crítico e ainda sem correção, está no tratamento de atributos dos elementos “FRAME” e “IFRAME”, utilizados em documentos no formato HTML e, se explorado com sucesso, permite a execução de códigos maléficos na máquina atingida.

As variantes A e B do Bofra utilizam-se de mensagens não solicitadas, contendo referências a imagens pornográficas ou informações sobre o serviço de pagamentos PayPal. O campo de assunto apresenta frases como “Hey”, “funny photos :)” e “Confirmation”, entre outras, e os textos indicam um link a ser acessado pelo usuário.

Após executado, o worm tenta fazer uma cópia de si mesmo para a pasta System32 ou Temp do Windows e cria uma entrada no registro do sistema para que entre em atividade sempre que o sistema for iniciado. A praga também vasculha o disco rígido da máquina em busca de endereços eletrônicos para os quais se enviar.

Um diagrama publicado pela Sophos mostra que, assim que o usuário abre os e-mails e clica nos links oferecidos, é direcionado para um servidor Web que roda no computador do remetente. Este servidor contém um código malicioso que explora a vulnerabilidade do Internet Explorer e contamina com o Bofra o sistema da máquina visitante.

O worm então cria um novo servidor Web em cada computador infectado, procura por endereços de e-mail no HD da vítima e envia mensagens pela Internet para que possa dar continuidade ao ciclo e contaminar outros sistemas.

Algumas empresas antivírus classificaram o Bofra como variantes do MyDoom. Entretanto, a Sophos explica que “análises detalhadas revelam que existem mais diferenças do que semelhanças” entre os dois worms. "O Bofra espalha-se entre usuários de forma completamente diversa do MyDoom, que chega por meio de arquivos anexos”, disse Graham Cluley, consultor-sênior de tecnologia da Sophos.

Leia também:

Falha grave no IE ainda não tem correção

9/11/2004 - 16:28 Redação InfoGuerra

A Microsoft passará a publicar informações antecipadas e resumidas sobre suas atualizações mensais de segurança. Já a partir deste mês, o site TechNet está publicando um resumo do boletim de segurança, divulgado na segunda terça-feira de cada mês.

O boletim que deverá ser publicado hoje ainda não está disponível no site, mas já se sabe que a Microsoft está planejando lançar uma correção, classificada como importante, para um bug que afeta o servidor Microsoft Internet Security and Acceleration (ISA).

O novo serviço Microsoft Security Bulletin Advance Notification incluirá o número de boletins que poderão ser publicados, as avaliações antecipadas de severidade dos problemas e os produtos afetados. De acordo com a Microsoft, o objetivo é auxiliar os todos os seus clientes com o recurso que já vinha sendo distribuído entre o setor corporativo, três dias antes da liberação do boletim mensal oficial.

Conforme o site BizReport, a companhia estava sendo criticada por antecipar informações apenas para seus maiores clientes, por isso resolveu lançar mão da mesma estratégia para o público em geral.

A partir de dezembro, todos os clientes poderão se inscrever e receber, por e-mail, as notificações prévias.

8/11/2004 - 18:05 Redação InfoGuerra

O Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa (CAIS/RNP) e o grupo de segurança do Comitê Gestor da Internet no Brasil (NBSO/CGI-BR) irão promover um workshop durante o 6º Simpósio de Segurança em Informática - SSI 2004, promovido pelo Instituto Tecnológico de Aeronáutica (ITA), em São José dos Campos.

O workshop “Tratamento de Incidentes de Segurança” discutirá a importância que um grupo de resposta a incidentes de segurança em computadores (CSIRTs – Computer Security Incident Response Teams) tem nas empresas, assim como o desempenho de grupos brasileiros e o cenário atual.

Para o dia 11 de novembro estão incluídas as apresentações das equipes de segurança da Universidade Federal do Rio Grande do Norte, do Serpro e da Marinha; palestras sobre iniciativas de padronização na área de segurança da informação, que refletem no processo de detecção de intrusão e de manutenção da segurança; e um microcurso no ramo da análise forense, ministrado pelo analista de segurança Jacomo Piccolini, da equipe do CAIS.

Já no dia 12, o NBSO apresentará temas que envolvem as atividades de um Centro de Tratamento de Incidentes de Segurança da Informação. Também serão abordados os aspectos das fraudes por e-mail que utilizam cavalos-de-tróia e clonagem de sites financeiros.

O SSI 2004 acontece entre os dias 9 e 12 de novembro, com atividades que incluem palestras, fórum de debates e microcursos. O evento é direcionado a pesquisadores, cientistas, estudantes de graduação e pós-graduação, empresários e profissionais de TI.

O simpósio será realizado no Centro Técnico Aeroespacial (CTA), na sede do ITA, localizado na Praça Marechal-do-Ar Eduardo Gomes, 50, em São José dos Campos, São Paulo. Outras informações podem ser obtidas pelo site www.ssi.org.br.

8/11/2004 - 17:02 Redação InfoGuerra

Foi descoberto um novo cavalo-de-tróia que propaga spams para telefones móveis via SMS (Short Message Service). Desenvolvido para Windows, o Delf-HA usa os sistemas infectados em PCs para se conectar a um site russo e copiar instruções para envio de mensagens não solicitadas.

De acordo com a Sophos, o trojan envia spams via mensagens SMS utilizando a funcionalidade "Envie uma mensagem de texto", oferecida por um grande número de operadoras de telefonia móvel da Rússia.

O Delf-HA chega em um arquivo compactado de auto-extração com o nome “inst.exe”. Ao ser instalado cria o arquivo “rundnm.exe” na pasta Windows System e, em seguida, uma entrada no registro para que entre em atividade sempre que o sistema operacional for iniciado.

O trojan tenta se conectar ao site www.vlasof1.narod.ru e fazer o download do arquivo sms.txt. Este arquivo que contém os detalhes sobre a mensagem SMS que deverá ser enviada aos usuários de celulares.

A Sophos informa que registrou poucas ocorrências do Delf-HA até o momento.

6/11/2004 - 19:37 Redação InfoGuerra

A Pontifícia Universidade Católica de São Paulo (PUC-SP) está com inscrições abertas para o MBA em Tecnologia da Informação (MBIS - Master Business Information Systems). O curso, dirigido a profissionais que atuam na área de informática e afins e se preparam para assumir cargos executivos, terá início em 18 de março de 2005, com duração de um ano e meio.

O programa possui carga horária total de 500 horas, distribuídas em aulas, palestras e seminários sobre construção de cenários e gerenciamento de projetos, dentre outros temas, e atividades de campo e monografia. A formação visa o desenvolvimento, implementação e gerenciamento de novas soluções tecnológicas capazes de ampliar a competitividade das empresas em seus negócios.

As aulas abordam temas como governança corporativa em TI, gerenciamento de equipes, inovação tecnológica e SLA (Service Level Agreement), e estudos em engenharia de software, comércio eletrônico, administração estratégica da informação, avaliação financeira de projetos, novas tecnologias, marketing dos negócios e recursos humanos.

Com vagas limitadas, o curso será ministrado às sextas-feiras, das 16 às 22 horas, e aos sábados, entre 9 horas e 15h30, no Departamento de Ciência da Computação do Centro das Ciências Exatas e Tecnológicas da PUC-SP, que fica na rua Marquês de Paranaguá, 111, no bairro Consolação, em São Paulo.

Outras informações podem ser obtidas pelos telefones (11) 3873-3155 e (11) 3124-7222, pelo e-mail mbis@pucsp.br, ou pelo site www.mbis.pucsp.br.

6/11/2004 - 19:22 Redação InfoGuerra

O Instituto Empreender Endeavor realiza o workshop “Segurança na Informática: prevenir para proteger”, que mostrará aos participantes como enfrentar os ataques virtuais que atingem desde grandes corporações até pequenas empresas e usuários domésticos. Com inscrições gratuitas, o evento será realizado no dia 10 de novembro, em São Paulo, a partir das 9 horas, e também será transmitido pela Internet, em tempo real.

O workshop será ministrado por Marçal Araújo, responsável pelo programa de marketing para canais da Computer Associates, empresa mundial de software de gerenciamento de sistemas para informática. Marçal é graduado em Administração de Empresas e tem MBA em marketing e vendas pela Universidade Federal de Monterey.

O encontro será realizado no Ibmec São Paulo, que fica na Rua Maestro Cardim, 1.170, em São Paulo. As inscrições podem ser feitas pelo email endeavor@ibmec.br ou pelo telefone (11) 3175-2300.

O evento também poderá ser visto diretamente do site do instituto e seu registro em vídeo ficará disponível por alguns dias, na seção "Videoteca".

5/11/2004 - 18:02 Redação InfoGuerra

Foi encontrada uma nova vulnerabilidade no navegador Internet Explorer que permite a terceiros executarem códigos arbitrários no sistema. Considerada como crítica pelas empresas de segurança, a falha pode afetar outros programas, como Outlook e Outlook Express.

O problema ocorre no tratamento de alguns atributos dos elementos “FRAME” e “IFRAME”, utilizados em documentos no formato HTML, e pode provocar um estouro de buffer (memória temporária) no Internet Explorer.

A falha pode ser explorada por meio de um programa JavaScript preparado especialmente para preencher a memória do sistema com um código malicioso inserido em páginas da Web ou mensagens de e-mail em formato HTML. De acordo com um alerta publicado pelo Centro de Atendimento a Incidentes de Segurança (CAIS), a utilização de uma longa cadeia de dados nos atributos de FRAME ou IFRAME pode levar a execução do código malicioso com os privilégios do usuário que estiver utilizando o navegador no momento do ataque.

A falha afeta o Internet Explorer 6.0 rodando em sistemas atualizados, como Windows 2000 e WindowsXP, inclusive com o Service Pack1 instalado. O problema não atinge o Windows XP com o Service Pack2.

Como ainda não existe correção disponível, o uso de navegadores alternativos, como o Mozilla, Opera e Netscape, é aconselhável. Para usuários do sistema Windows XP, o indicado seria aplicar o pacote de atualização SP2.

Outra medida paliativa seria desabilitar Active Scripting e ActiveX na Zona Internet e na Zona utilizada pelo Outlook, Outlook Express e qualquer outro software que use o controle WebBrowser ActiveX.

Não abrir endereços de Web não solicitados, configurar o cliente de e-mail para abrir os e-mails no formato texto puro e manter atualizado o programa antivírus também são recursos indicados.

4/11/2004 - 23:09 Redação InfoGuerra

O nome Rolex está se tornando referência quando o assunto é o envio de spam, assim como a marca Viagra, usada pela maioria dos e-mails não solicitados que circulou pela Internet no primeiro semestre de 2004. De acordo com a Sophos, o número de spams que comercializam imitações dos tradicionais relógios da marca Rolex aumentou 300% no último mês.

Os spammers já estão até se engajando numa guerra de preços. Algumas mensagens oferecem réplicas dos famosos relógios Rolex com valores 40% mais baratos do que as imitações dos concorrentes. A maior parte dos links oferecidos nos e-mails leva ao site “OnLine Replica Store”, que oferece diversos modelos copiados dos Rolex originais a partir de U$ 75 (pouco mais de R$ 200,00). Um relógio autêntico dessa marca pode custar milhares de dólares.

Como as pessoas ainda compram produtos vendidos por mensagens não solicitadas, essa prática ainda pode trazer lucro para os spammers. A Sophos aconselha os usuários a não comprarem por meio de spam, por mais vantajosa que a oferta possa parecer.

"Não é a primeira vez que uma grande marca foi usada e provavelmente não será a última, mas será interessante observar qual será a ação da Rolex para proteger seu nome do abuso de spammers”, disse Graham Cluley, consultor-sênior de tecnologia da Sophos.

Advogados confusos

Preocupada com a integridade de sua marca registrada, a Rolex já enviou uma notificação para o site OnLine Replica Store, e foi além. Após realizar buscas pela Internet, notificou também o responsável por uma lista na qual foi postada, por terceiros, uma mensagem oferecendo as réplicas dos relógios. Como as mensagens da lista são armazenadas no site FreeS/WAN, John Gilmore, responsável pelo site, recebeu uma notificação enviada pelos advogados da empresa alertando-o para o fato de que poderia ser considerado responsável por danos de até mil dólares por hospedar conteúdo que viola a marca registrada Rolex.

Os advogados, que aparentemente não conhecem o funcionamento da Internet, explicam no documento que, como operador do site que hospeda a lista http://lists.freeswan.org, Gilmore pode ser responsabilizado por falsificação, violação de marca registrada e diluição dos direitos de propriedade intelectual da Rolex.

Por causa disso, os advogados da empresa estão sendo criticados. Um colunista do site TidBITs escreveu sobre a questão: "É óbvio a qualquer pessoa acima de 13 anos (e provavelmente a muitas pessoas abaixo dessa idade) que o spam que aparece no arquivo da FreeS/WAN foi algo que acontceu à lista, não algo que a FreeS/WAN propagou intencionalmente. Foi um acidente, e um desafortunado acidente".

4/11/2004 - 21:00 Redação InfoGuerra

Os golpes de phishing mostram-se cada vez mais audaciosos e elaborados. De acordo com a empresa britânica MessageLabs, especializada em análise de mensagens eletrônicas maliciosas, foram detectados alguns e-mails capazes de capturar dados financeiros e privados de correntistas de bancos brasileiros sem que haja a necessidade de qualquer interação por parte do usuário. Bastaria abrir o e-mail para ter seus dados capturados.

Nas duas últimas semanas a MessageLabs monitorou um pequeno número de e-mails que conseguem arrecadar senhas, números de contas bancárias e cartões de crédito de correntistas, sem que o usuário clique em algum link disponível na mensagem, como geralmente ocorre em ataques de phishing. Conforme notícia do site The Register, a empresa interceptou cópias de e-mails que visam três bancos brasileiros. A Reuters complementou a informação com os nomes dos bancos: Caixa Econômica Federal, Unibanco e Bradesco.

Os e-mails contêm scripts que reescrevem os arquivos “hosts” das máquinas vítimas. Com isso, um usuário que tentar acessar sua conta bancária via Internet será automaticamente redirecionado para um site fraudulento e seus dados serão capturados.

"A maioria dos bancos aconselha que seus clientes sejam cautelosos com os e-mails que pedem detalhes bancários pessoais, mas neste caso tudo que eles têm de fazer é abrir um e-mail aparentemente inocente e seus dados bancários podem ser sabotados silenciosamente”, alertou Alex Shipp, tecnólogo-sênior da MessageLabs, em entrevista a The Register.

Para contornar a situação, a empresa aconselha os usuários a desabilitarem o Windows Scripting Host (WSH) de suas máquinas. O serviço WSH serve para executar scripts, independentemente de linguagem, em plataformas do sistema operacional Windows de 32 bits. Ativo por padrão, já foi bastante usado como porta de entrada para vírus em Visual Basic, como I Love You, Anna Kournikova, Haptime e Homepage.

Leia também:

Previna-se contra o vírus Homepage e outras pragas de VBS

Microsoft muda configuração padrão do Windows XP

3/11/2004 - 17:43 Redação InfoGuerra

Uma mensagem de e-mail oferecendo oportunidades de ganhos financeiros no Reino Unido é mais uma das armadilhas que envolvem golpes digitais. De acordo com a Sophos, os destinatários dessas mensagens podem ser recrutados inocentemente como “mulas”, para auxiliar gangues de fraudadores virtuais a executar operações ilícitas, como tranferências de dinheiro pela Internet.

O e-mail apresenta como título “Work From Home; Prepare to Succeed” (Trabalhe em Casa e Seja Bem-sucedido) e oferece ganhos tentadores àqueles que concordarem em movimentar dinheiro através de suas contas correntes.

Ao receberem o depósito em suas contas bancárias, os participantes poderão ficar com 10% do valor total e o restante será transferido para uma outra conta via Western Union, considerada a maior rede de serviço de transferência monetária e de mensagens. De acordo com o texto do e-mail serão feitas, em média, uma ou duas transferências por semana, cada uma variando entre 2 mil e 2,5 mil libras esterlinas (algo entre R$ 10,5 mil e pouco mais de R$ 13 mil). Uma cópia da mensagem fraudulenta pode ser vista aqui.

O objetivo dos fraudadores é construir um sistema de transferências complexo e à prova de detecção de possíveis pistas.

Para Graham Cluley, consultor sênior de tecnologia da Sophos, os participantes não estarão apenas auxiliando uma gangue de criminosos, como ta Novembro 2004

29/11/2004 - 16:57 Redação InfoGuerra

Cinco das 31 pessoas presas durante a primeira Operação Cavalo de Tróia da Polícia Federal, realizada em novembro de 2003, tiveram seus pedidos de habeas-corpus negados pela Quinta Turma do Superior Tribunal de Justiça (STJ). Os réus são acusados de crimes de estelionato e formação de quadrilha.

O grupo aplicava golpes por meio de e-mails fraudulentos em nome de instituições idôneas com links de acesso para programas espiões, chamados de cavalos-de-tróia ou trojans. Quando instalados na máquina da vítima, estes programas monitoravam a navegação e dados sigilosos, como senhas bancárias e números de cartão de crédito, eram capturados e enviados aos golpistas para serem, posteriormente, usados para transferência de dinheiro da conta dos correntistas.

Conforme a assessoria de imprensa do STJ, a defesa alegou que estaria ocorrendo constrangimento ilegal devido ao excesso de prazo para o término da instrução criminal, que já dura quase um ano.

O STJ, no entanto, acatou a justificativa do Tribunal Regional Federal da 1ª Região, que já havia negado anteriormente o pedido de habeas-corpus. Por tratar-se de um processo complexo, com multiplicidade de réus e testemunhas residentes em diferentes comarcas, o ministro Arnaldo Esteves Lima, relator do recurso, considerou razoável e justificada a prorrogação do prazo para o encerramento da instrução criminal. Por unanimidade, a Quinta Turma do STJ acompanhou o voto do relator.

Leia também:

Golpista preso na Operação Cavalo de Tróia continuará detido

29/11/2004 - 14:48 Redação InfoGuerra

Foi descoberto um problema no Internet Explorer 6.0, que pode ser explorado para induzir um usuário a salvar arquivos maliciosos da Web sem que sua real extensão seja apresentada. A brecha de segurança, considerada moderadamente crítica pela Secunia, ainda não tem correção.

Conforme o alerta da Secunia, a falha ocorre no comando “Salvar imagem como". O navegador usa a extensão do nome do arquivo a ser salvo, mas descarta a última, caso existam múltiplas extensões.

A exploração bem-sucedida pode permitir que um site malicioso engane usuários ao fazerem o download de um aplicativo malicioso camuflado como uma imagem válida. Por exemplo, algo nomeado como "arquivo.jpg.hta" seria salvo apenas com o nome "arquivo.jpg". A exploração requer que a opção "Ocultar extensão de arquivos conhecidos" esteja ativada, mas esta é a configuração padrão do Windows.

A Microsoft já estava ciente de problemas neste comando e publicou um alerta sobre o assunto no dia 27 de setembro. No entanto, o boletim relaciona apenas o Internet Explorer 5.x.

A brecha de segurança foi descoberta pelo hacker conhecido como “cyber flash” e já existe uma prova de conceito disponível na Internet. Atinge o Internet Explorer 6.0, mesmo que o sistema operacional seja o Windows XP atualizado com o Service Pack 2.

Como não existe correção disponível para essa vulnerabilidade, a Secunia aconselha os usuários a desabilitarem a opção “Ocultar extensão de arquivos conhecidos”, que fica no menu “Ferramentas”, “Opção de Pastas” e “Modos de Exibição” do Windows Explorer.

26/11/2004 - 16:46 Redação InfoGuerra

A Rede Nacional de Ensino e Pesquisa (RNP) realiza a 10ª edição do Seminário de Capacitação e Inovação, que tem como objetivo principal capacitar e atualizar tecnicamente os profissionais das redes universitárias que formam os pontos de presença da RNP no Brasil. O encontro será realizado de 29 de novembro a 03 de dezembro, em Recife.

O seminário, que também conta com a participação de técnicos de diversos centros de pesquisa e instituições governamentais, apresentará diariamente palestras, debates e mesas redondas, sobre diversos temas técnicos ligados a redes de computadores.

Durante a semana haverá cursos com práticas em laboratório, abordando temas como “Uso do software Asterisk na implementação de um ambiente VoIP”, "Administração e uso de diretórios corporativos com OpenLDAP”, “Projeto, implantação e gerência da rede do campus com switching e roteamento” e “Tópicos especiais em segurança”.

No dia primeiro de dezembro, o jornalista Giordani Rodrigues, diretor-editor do site InfoGuerra, será mediador de uma mesa-redonda sobre crimes digitais, que contará ainda com a presença do advogado Omar Kaminski, do perito criminal federal Sérgio Luís Fava, do especialista em cultura hacker, Ariel Gomide Foina, e da gerente do CAIS (Centro de Atendimento a Incidentes de Segurança) da RNP, Liliana Velásquez Solha.

O evento será realizado na Associação Instituto Tecnológico do Estado de Pernambuco (ITEP), na Avenida Prof. Luiz Freire, 700, Cidade Universitária, em Recife. Outras informações podem ser obtidas no site do seminário.

24/11/2004 - 22:21 Redação InfoGuerra

O código malicioso conhecido como Exploit IFrame/Bofra, usado neste final de semana para contaminar máquinas de visitantes de sites que hospedam banners publicitários, pode estar sendo utilizado para formar uma botnet (rede de computadores zumbis). Conforme um alerta publicado pelo site de segurança Vitalsecurity.org, o propósito da rede ainda é desconhecido.

De acordo com o comunicado, um grupo de crackers estaria invadindo servidores Web e instalando ferramentas que injetassem códigos maliciosos nas páginas hospedadas. O código injetado serviria como uma “porta de entrada" para uma série de endereços eletrônicos controlados pelos crackers.

As páginas comprometidas estariam rodando um exploit (software para explorar brechas de segurança) que se aproveita da chamada vulnerabilidade IFRAME, descoberta recentemente no navegador Internet Explorer. O site Vitalsecurity informa que os exploits “podem instalar até 8 megabytes de códigos maliciosos na máquina do usuário", entre vírus, trojans, spywares e outros.

O site também afirma que esta estratégia serviria apenas para formar um conjunto de máquinas zumbis, prontas para serem usadas em ataques a alguma rede.

O Vitalsecurity compara o recente ataque ao do Download.Ject, com a diferença de que, desta vez, os servidores atingidos são Apache. A recomendação é para que os administradores de servidores Apache certifiquem-se de que o sistema está totalmente atualizado, especialmente os serviços que se utilizam de OpenSSL.

O ataque conhecido como Download.Ject surgiu em junho deste ano, quando vários sites foram comprometidos com a distribuição do código malicioso "Scob". Quando um usuário visitasse um site infectado utilizando o Internet Explorer, um arquivo javascript enviado à sua máquina era executado. As instruções do javascript descarregavam e executavam, a partir de outro site localizado na Rússia, um cavalo-de-tróia. O ataque explorava uma falha de segurança no servidor Microsoft Internet Information Server (IIS) versão 5, que permitia o acesso de terceiros às páginas nele hospedadas.

Ataque indireto

O site britânico The Register, um dos que foram comprometidos no final de semana, publicou um comunicado oficial da empresa Falk AG, especializada em distribuir publicidade em páginas Web, cujos banners estavam comprometidos com o Bofra ou IFrame Exploit.

De acordo com a empresa, seus servidores não sofreram uma invasão propriamente. Um ataque ao tráfego de seu site teria comprometido o sistema balanceador de carga. Este sistema é o responsável pela distribuição de tráfego entre vários hosts, de acordo com regras estabelecidas.

O excesso de tráfego teria redirecionado os pedidos feitos aos servidores de distribuição de seus banners para sites que hospedavam o código malicioso.

Leia também:

Banners maliciosos exploram falha do Internet Explorer

Falha grave no IE ainda não tem correção

Novo worm Bofra explora falhas recentes do IE

IE ganha novo pacote de correções críticas

Tudo sobre Scob e seu ataque a servidores da Internet

24/11/2004 - 20:54 Redação InfoGuerra

O crescente número de casos de roubo de identidade, fraude de cartão de crédito e, especificamente, golpes de phishing scam, com o qual impostores atraem as vítimas para capturar dados pessoais e financeiros, pode afetar as vendas via Internet durante os feriados de final de ano. Conforme recente pesquisa, cerca de seis em cada dez consumidores norte-americanos devem reduzir suas compras online em 2004, por questões de segurança e privacidade.

O segundo estudo anual de compras online, realizado pela certificadora de políticas de privacidade TRUSTe, em parceria com a empresa de publicidade TNS, foi realizado via Internet, entre os dias 15 e 20 de outubro deste ano, com um total de 1.071 entrevistados nos Estados Unidos.

A pesquisa indica que 46% dos consumidores via Internet compram apenas de sites de empresas que contêm uma declaração ou selo de privacidade. Pelo menos metade das pessoas entrevistadas planejam limitar a compra online. Oito por cento delas estão tão preocupadas que não planejam fazer compra alguma.

Dentre os principais motivos, o roubo de identidade foi apontado por 52% dos entrevistados em 2004, contra 35% em 2003. Quase metade (44%) teme pelo roubo de seus cartões de crédito. Preocupações com spywares que podem ser inseridos no computador atingem 44% dos pesquisados em 2004. O recebimento de spam após uma compra pela Internet também preocupa 42% das pessoas.

24/11/2004 - 15:48 Redação InfoGuerra

Foi descoberta uma vulnerabilidade no popular reprodutor de mídia Winamp, da NullSoft, que ao ser explorada pode dar acesso ao sistema do usuário. Considerada altamente crítica pela Secunia, a falha permite a execução remota de códigos arbitrários.

Conforme o boletim da Secunia, o problema ocorre devido a um erro de limite no arquivo “IN_CDDA.dll", um plugin que permite ao Winamp ler músicas diretamente de um CD ou cartão. A falha pode ser explorada de várias maneiras para provocar um estouro de memória (buffer overflow). Uma delas seria enganar um usuário para acessar um Web site que contém um arquivo malicioso especialmente preparado no formato .m3u, usado para armazenar listas de reprodução de músicas.

A brecha de segurança foi descoberta por Brett Moore, da empresa de produtos para segurança Security-Assessment.com. Atinge as versões 5.05 e 5.06, porém, versões anteriores também podem estar comprometidas.

De acordo com o alerta da Secunia, atualizado hoje, o problema ainda não foi corrigido na versão 5.06, ao contrário do que informou a NullSoft. Por enquanto, a recomendação é para que os usuários desassociem as extensões ".cda" e ".m3u" do Winamp.

24/11/2004 - 15:06 Redação InfoGuerra

A Universidade Anhembi Morumbi está promovendo o NetInfoSec 2004, um fórum de discussões sobre tecnologia da informação, voltado para os segmentos de redes e segurança da informação. O evento será realizado no dia primeiro de de dezembro, em São Paulo, das 8h às 18 horas.

O tema central do fórum será "Gestão de Segurança da Informação", e da programação constam painéis e palestras ministradas por profissionais da área e professores da universidade.

As inscrições podem ser feitas diretamente no site da universidade. A taxa é de R$10,00 e, no dia do evento, o participante deverá levar um quilo de alimento não-perecível.

O evento ocorrerá no Auditório Theatro Casa do Ator, no Campus Vila Olímpia, que fica na Rua Casa do Ator, 275, em São Paulo. Outras informações podem ser obtidas na página da NetInfosec.

23/11/2004 - 15:36 Redação InfoGuerra

Um novo cavalo-de-tróia, batizado de Skulls (caveiras, em inglês), foi desenvolvido para atacar telefones celulares e Smart Phones que rodem o sistema operacional aberto Symbian. O trojan desabilita todas as funções dos aparelhos, com exceção das chamadas.

A praga chega como um arquivo de nome “Extended theme.SIS”, disfarçado como um administrador de temas para aparelhos da série Nokia 7610. O programa teria sido desenvolvido por um certo "Tee-222".

Quando instalado, o trojan substitui todos os ícones de aplicativos do aparelho por imagens de uma caveira. Uma cópia dessa imagem pode ser vista abaixo:

Imagem: F-Secure

Os ícones perdem suas funções reais e nenhum dos aplicativos do sistema pode ser iniciado depois disso. Todas as funções que necessitem de algum aplicativo, como mensagens de SMS (Short Message Service) e de MMS (Multimedia Messaging Service), navegador Web e câmera, deixam de funcionar.

Conforme a F-Secure, o arquivo “Extended theme.SIS” em si não contém exatamente um código malicioso. Trata-se apenas de um arquivo de instalação do sistema Symbian, que substitui os arquivos da unidade C por arquivos binários críticos do sistema ROM, que possuírem os mesmos nomes e estiverem nas mesmas posições. Isto ocorre devido a uma característica do sistema operacional Symbian, que permite tal substituição. Assim, os arquivos de aplicativos instalados pelo Skulls são arquivos normais do sistema operacional, extraídos da unidade ROM do telefone.

A parte maliciosa está no arquivo AIF (Application Info and icon), que vem com os aplicativos e é responsável pelos ícones mostrados no aparelho. O trojan instala um arquivo AIF que contém a imagem de uma caveira com ossos cruzados como ícone. Ao contrário dos ícones normais, o novo ícone aponta para lugar nenhum, tornando os aplicativos inoperantes.

A F-Secure publicou instruções detalhadas para a remoção do cavalo-de-tróia do aparelho.

Leia também:

Ferramenta remove vírus de celular

Worm Cabir ataca celulares em Cingapura

Criado primeiro vírus para celulares

22/11/2004 - 17:39 Redação InfoGuerra

O worm Sober-I, detectado na última sexta-feira, está se espalhando rapidamente pela Internet. De acordo com a Sophos, 25% de todas as ocorrências de vírus reportadas à empresa foram causadas por este worm.

A praga chega em um arquivo anexo de e-mail, com assuntos e corpo de mensagem com textos variados, em inglês ou alemão. Ao ser executado, O Sober-I envia mensagens em massa para endereços eletrônicos encontrados nos sistemas infectados, deixando as máquinas mais lentas. Contém dois arquivos maliciosos, sendo que um funciona como backup, para o caso de o primeiro ser barrado pelo antivírus.

O consultor de tecnologia da Sophos, Graham Cluley, afirma que o Sober-I é o pior vírus detectado nos últimos meses. Segundo ele, existe o perigo de os usuários estarem despreocupados devido a um período de calmaria no aparecimento de vírus com este poder de infecção e isso pode ter contribuído para o sucesso da disseminação em massa do worm.

Leia também:

Nova variante do Sober está à solta

Sober.G se espalha rapidamente pela Europa

Sober.A usa nomes de antivírus para infectar PCs

22/11/2004 - 17:10 Redação InfoGuerra

O centro de segurança Internet Storm Center (ISC) recebeu notificações de que banners em alguns sites do Reino Unido, Holanda e Suécia estão sendo usados para contaminar os computadores dos internautas com um código malicioso semelhante ao utilizado pelo worm Bofra. Ao clicar em um banner inserido nas páginas desses sites o usuário é automaticamente redirecionado para um servidor Web que contém o código malicioso e seu sistema é infectado.

O Bofra explora uma vulnerabilidade do Internet Explorer considerada crítica e ainda não corrigida pela Microsoft, que também afeta outros programas, como Outlook e Outlook Express. A falha, que permite a terceiros executarem códigos arbitrários no sistema, ocorre no tratamento de alguns atributos dos elementos “FRAME” e “IFRAME”, utilizados em documentos no formato HTML.

O código malicioso do Bofra fica hospedado em servidores Web, localizados tanto em sites na Internet como em máquinas de usuários domésticos cujos sistemas foram infectados. Links que direcionam a estes códigos são inseridos em páginas Web ou em mensagens de e-mail. Assim que o usuário clica nos links oferecidos, é direcionado ao servidor contaminado, que explora a vulnerabilidade do Internet Explorer e contamina o sistema da máquina visitante.

O worm então cria um novo servidor Web em cada computador infectado, procura por endereços de e-mail no disco rígido da vítima e envia mensagens indicando com links estes novos servidores, para que possa dar continuidade ao ciclo e contaminar outros sistemas.

De acordo com o alerta do ISC, os relatos indicam um ataque difundido pela Europa e centenas de sites podem estar afetados. Uma suposição do centro de segurança é de que o código malicioso possa estar em servidores de empresas terceirizadas que enviam publicidade online, em vez de estar nos próprios sites em que os banners são exibidos.

O conhecido site britânico de tecnologia The Register foi um dos atingidos pelos banners maliciosos neste final de semana. O site publicou um comunicado sobre o ocorrido.

Conforme o esclarecimento, os administradores de The Register receberam no sábado uma notificação de que um banner da empresa Falk AG, especializada em distribuir publicidade em páginas Web, estava comprometido com o Bofra ou IFrame Exploit. O site afirma que suspendeu imediatamente o anúncio e aguarda uma resposta da empresa, que deverá ser feita ainda hoje.

“Se você visitou The Register no sábado, 20 de novembro, entre o período das 6 horas e 12:30h e usa qualquer sistema Windows, aconselhamos que confira sua máquina com um antivírus atualizado”, esclarece o alerta.

O ISC recomenda duas alternativas aos administradores de Web sites que hospedam banners de propaganda. Para contornar a situação e minimizar o risco acidental de infecção dos visitantes é necessário verificar se os banners contêm algum código que explore o “IFRAME” ou, então, desativar seu link de acesso.

Para os usuários, o centro também aconselha o uso de navegadores alternativos até que uma correção para a vulnerabilidade seja liberada pela Microsoft. Aparentemente, apenas os sistemas operacionais Windows XP com o Service Pack 2 instalados não são vulneráveis.

Leia também:

Falha grave no IE ainda não tem correção

Novo worm Bofra explora falhas recentes do IE

19/11/2004 - 21:51 Redação InfoGuerra

A Microsoft anunciou na semana passada uma mudança na política de proteção de propriedade intelectual de seus produtos. A estratégia é válida para usuários do mundo todo e faz parte da campanha Get the Facts, que procura mostrar as possíveis vantagens na adoção do sistema operacional Windows em relação ao Linux.

A nova política se refere às indenizações por questões de propriedade intelectual e tem por objetivo proteger os usuários de produtos da Microsoft contra qualquer reclamação legal que imponha custos, ou outra disputa relacionada à propriedade intelectual. A medida cobre as quatro formas principais de disputas por propriedade intelectual de software: patente, direito de cópia, segredo de mercado e marca registrada.

O programa já existia para clientes de grande volume de licenças e agora foi expandido para todos os usuários. A expansão deve beneficiar os usuários de produtos e versões menos recentes dos softwares da empresa, como o Windows Server System (que inclui SQL Server e Exchange Server), Microsoft Office System e Windows para desktops. A proteção inclui controles de processos de desenvolvimento, delimitação de licenças necessárias de terceiros, acordos de licenciamento cruzado com grandes empresas do setor de TI e proteção de novos produtos da Microsoft por patente e direito de cópia.

Com essa nova política, a Microsoft pretende diminuir as conseqüências para os usuários de eventuais processos por violação de direitos intelectuais contidos nos produtos adquiridos da empresa. A medida foi anunciada poucos dias antes de uma apresentação do CEO da Microsoft, Steve Ballmer, num fórum governamental realizado em Cingapura, em que ele apontava perigos de violação de propriedade intelectual para quem usa Linux, alegando que o sistema operacional estaria infringindo 228 patentes.

A campanha Get the Facts demonstra fôlego para ser uma das maiores investidas contra o Linux tentadas pela Microsoft. Entre ontem e hoje, usuários e veículos de informação, incluindo InfoGuerra, constataram links patrocinados pela Microsoft Brasil em buscas feitas no Google. Anúncios do Windows levando a páginas da Microsoft apareciam a usuários brasileiros que procurassem por conhecidas distribuições Linux, como Debian, Kurumin e outras. Nesta sexta-feira, tentamos mais de uma vez, sem sucesso, contato com a assessora de imprensa da Microsoft para esclarecer a publicidade.

Distribuições Linux se unem

Enquanto isso, distribuições Linux da Europa, Ásia e América do Sul e do Norte anunciam que se uniram para criar o Linux Core Consortium (LCC), cujos participantes adotarão o padrão LSB 2.0 (Linux Standard Base) para o desenvolvimento de seus produtos. Inicialmente fazem parte do LCC as empresas Linux Conectiva, Mandrakesoft, Progeny e Turbolinux.

Os produtos desenvolvidos com base nesse acordo estarão disponíveis no primeiro trimestre de 2005 e serão incorporados ao Conectiva Enterprise Server, Mandrakesoft Corporate Server, Progeny Componentized Linux e Turbolinux Enterprise Server. O LCC tem o apoio de empresas e organizações como Computer Associates, Free Standards Group, HP, Novell, Open Source Development Labs (OSDL), Red Hat e Sun Microsystems.

Leia também:

Microsoft lança campanha contra o Linux no Google

19/11/2004 - 18:07 Redação InfoGuerra

A Internet Security Systems (ISS) Brasil promove a conferência online “Sistema de Prevenção de Intrusos – IPS”, que abordará a eficiência de cada sistema disponível no mercado para a proteção de informações corporativas e segurança dos servidores e desktops. O evento é gratuito e será realizado no dia 24 de novembro, às 15 horas.

A conferência será apresentada por Marcelo Bezerra, diretor técnico da ISS Brasil e América Latina. Os elementos fundamentais para ordenar soluções de proteção IPS e melhorar o funcionamento das redes serão alguns dos temas abordados. Também serão avaliadas a atividade preventiva nas marcas desenvolvedoras, as regras de proteção e os produtos frente a soluções integradas.

As inscrições para o seminário devem ser feitas antecipadamente por meio
de um formulário disponível no site da empresa. Os interessados que não forem cadastrados poderão fazê-lo na hora.

19/11/2004 - 15:16 Redação InfoGuerra

Uma nova variante do worm Sober foi detectada hoje pelas empresas antivírus e já recebeu da maioria delas a classificação de médio risco, devido à sua rápida disseminação. O Sober.I envia mensagens em massa para endereços de e-mail encontrados nos sistemas infectados, deixando as máquinas mais lentas, além de congestionar a rede. Os países mais atingidos por enquanto, segundo estatísticas da Trend Micro, são França, Alemanha e Austrália.

Escrito em linguagem Visual Basic, o Sober.I chega por e-mail em um arquivo compactado e anexado às mensagens. O campo de assunto pode conter expressões como “FwD:”, “Re:”, “Oh God”, “Registration”, “Confirmation”, “Your Password”.

Os textos também são variados e podem conter uma falsa notificação de falha no envio do e-mail, por exemplo, ou de um erro ocorrido com a senha do usuário. Numa tentativa de ganhar a confiança da vítima, o e-mail inclui uma falsa certificação de que a mensagem teria sido verificada por antivírus.

De acordo com a Trend Micro, o que diferencia esta nova variante é o fato de carregar dois arquivos maliciosos, sendo que um funciona como backup, para o caso de o primeiro ser barrado pelo antivírus.

Ao ser executado, dispara falsas mensagens de erro como "WinZip Self-Extractor", conforme se vê na figura abaixo:

Imagem: Trend Micro

Ao mesmo tempo, cria uma série de arquivos na pasta System do Windows, sendo que um deles é usado para armazenar informações capturadas do disco rígido da vítima e outros contêm cópias criptografadas do próprio worm, como “sysmms32.lla”, “winroot64.dal”, “winsend32.dal”, “zippedsr.piz" etext-ascii”, entre outros. Em seguida, a praga faz uma cópia de si mesma como um arquivo executável (.EXE) com nomes variáveis contendo as palavras “run”, “log, 32”, “disc”, “data”, “smss32”, entre outros.

O Sober.I também cria entradas no registro para que seja ativado toda vez que o sistema for iniciado. Como seus antecessores, para conseguir os endereços eletrônicos de novas vítimas, vasculha diversos tipos de arquivos no HD do sistema infectado.

Leia também:

Sober.G se espalha rapidamente pela Europa

Sober.A usa nomes de antivírus para infectar PCs

Onda de e-mails falsos traz worm Sober.C

19/11/2004 - 10:47 Giordani Rodrigues

Quem for ao Google e digitar nomes de conhecidas distribuições Linux, incluindo a brasileira Kurumin, vai encontrar, junto dos resultados, links patrocinados pela Microsoft para promover o Windows. Basta colocar nomes como Debian, Suse, Kurumin e outros, para encontrar anúncios com as frases “Debian ou Windows?”, “Linux Kurumin ou Windows?” e assim por diante (veja imagem abaixo), levando a páginas da Microsoft.


Aparentemente, a campanha está sendo patrocinada pela Microsoft do Brasil, pois os resultados só ocorrem quando quem faz uma busca tem IP brasileiro. Usando IPs no exterior, os links patrocinados apresentados não têm necessariamente relação com a Microsoft. Ainda não foi possível falar com a assessoria de imprensa da empresa no país, mas ao que parece trata-se de um braço da campanha mundial Get the Facts, que contrapõe as vantagens que haveria do Windows sobre o Linux e utiliza outras estratégias para concorrer com o crescimento dessa plataforma.

A comunidade de software livre já está distribuindo, desde ontem, mensagens sobre o assunto em suas listas de discussão, e sites especializados em software livre também já publicam notas. O site BR-Linux.org publicou um texto citando não só essa estratégia, como as notícias a respeito de um discurso de Steve Ballmer, CEO da Microsoft, para empresários asiáticos, no qual ele alertava sobre os supostos perigos de violação de propriedade intelectual para quem usa Linux, que estaria infringindo 228 patentes.

O site comenta que Ballmer “não lembrou de avisar à platéia de que a legislação de patentes de software dos EUA não vale na Ásia, ou que os usuários de Linux correm tanto risco de ser processados pelo uso de softwares cobertos por patentes quanto os usuários da Microsoft, com a diferença de que os softwares da MS já estão sofrendo processos pela infração de mais de 30 patentes, enquanto o Linux não apenas não responde a nenhum, como o número de 228 patentes mencionado no discurso foi produzido por uma empresa cujo negócio é... vender seguros contra processos por patentes de software para usuários de Linux.”

Sobre a atual campanha da Microsoft no Google, um usuário do fórum do Kurumin escreveu: “O curioso é que há algum tempo atrás (sic), a Microsoft 'fazia-de-conta' que Linux não existia."

19/11/2004 - 0:46 Alexandre Freitas

Uma atual promoção da Coca-Cola está sendo usada como tema para um golpe de phishing. Sugerindo a possibilidade de participação no concurso, os golpistas tentam induzir os usuários a baixarem um cavalo-de-tróia para capturar suas senhas e dados financeiros.

Em formato HTML, a mensagem tem como remetente o endereço forjado "urgente@coca-cola.com.br" e usa a logomarca e as cores padrões da Coca-Cola. O e-mail se faz passar pela divulgação dos sorteados da promoção "Coca-Cola Amor à Mesa".

O texto informa “Você foi um dos nossos 70 escolhidos pela internet para participar da promoção Coca-Cola retornável 1 ano de mesa farta”. Em seguida sugere que seja feito o download de um "formulário" de cadastro a partir de um link indicado. Uma cópia do e-mail pode ser vista aqui.

Conforme análise do cabeçalho do e-mail, o envio aparentemente partiu de uma escola de informática de Sorocaba, no interior de São Paulo. InfoGuerra entrou em contato com os responsáveis pela escola, que alegaram desconhecer o fato e não deram retorno em tempo hábil.

Já o falso link (http://www.coca-cola.com.br/cadastro/formulario.scr) apresentado para a cópia do tal formulário remetia a um site pertencente a uma empresa de clichês de Valinhos, em São Paulo. Como normalmente acontece em golpes desse tipo, o arquivo "formulário.src" é um cavalo-de-tróia, desenvolvido para capturar dados bancários da vítima. O arquivo ainda estava no ar no momento de publicação desta matéria, apesar de a mensagem que o referencia ter sido enviada no feriado do dia 15 de novembro.

Uma análise do arquivo feita no site VirusTotal mostra que se trata do Trojan.Spy.Banbra.Q, também batizado como PWS-Bancos.Variant, dependendo da empresa antivírus. Este trojan foi projetado especificamente para imitar telas de acesso de alguns bancos brasileiros, como Banco do Brasil, Caixa Econômica Federal e Bradesco, e roubar senhas e outros dados dos clientes. Afeta o Windows e cria uma chave no registro para que seja ativado sempre que o sistema for iniciado.

A Coca-Cola já publicou um comunicado em seu site informando que o e-mail é fraudulento e que os procedimentos nele indicados podem causar danos ao usuário.

18/11/2004 - 23:15 Angela Ruiz

A Secunia reporta a descoberta de duas vulnerabilidades no Internet Explorer, da Microsoft, que poderiam ser exploradas por pessoas maliciosas para burlar as características de segurança do Windows XP SP2 e, desse modo, enganar o usuário para baixar arquivos perigosos.

O Windows XP SP2 possui uma característica de segurança que adverte o usuário quando este tenta descarregar certos tipos de arquivos. O problema ocorre quando o arquivo descarregado é enviado com um cabeçalho HTTP "Content-Location". Caso tenha sido maliciosamente modificado, nenhuma janela de alerta é mostrada ao usuário quando o arquivo é aberto.

Um erro ao gravar alguns documentos utilizando a função "execCommand()" da linguagem Javascript poderia ser explorado para falsificar a verdadeira extensão do arquivo na janela "Salvar página da Web". Para que haja uma exploracão bem-sucedida, é necessário que a opção "Ocultar as extensões para tipos de arquivos conhecidos" esteja habilitada (como está por padrão).

A combinação das vulnerabilidades, pode ser explorada por meio de um site malicioso para enganar o usuário e fazê-lo copiar um executável perigoso, camuflado como um documento HTML.

As vulnerabilidades foram confirmadas em sistemas com todos os patches instalados, com o Internet Explorer 6.0 e Microsoft Windows XP SP2.

Solução: desabilitar a opção "Seqüências de comandos ActiveX" (Active Scripting), e desmarcar a opção "Ocultar as extensões de arquivos para tipos de arquivo conhecidos", que está em "Meu Computador/Ferramentas/Opções de pasta/Visualizar".

Para desativar a opção "Seqüências de comandos ActiveX" e manter o Internet Explorer protegido, recomendamos a configuração sugerida no artigo de VSAntivirus (em espanhol):

Configuración personalizada para hacer más seguro el IE

Texto publicado sob autorização. URL original: http://www.vsantivirus.com/vul-ie-181104.htm. Tradução de Alexandre Freitas.

18/11/2004 - 18:20 Redação InfoGuerra

Eugene Suchkov, um dos integrantes do conhecido grupo internacional de escritores de vírus 29A, foi declarado culpado pelas autoridades russas após confessar a autoria de códigos maliciosos. De acordo com uma nota publicada no site da Sophos, Suchkov admitiu ter desenvolvido os vírus W32/Stepan e Gastropod e divulgado os códigos-fontes em sites para que fosse possível criar novas variantes. Ele foi condenado a pagar uma multa de 3 mil rublos (cerca de R$ 290,00) por suas atividades ilícitas.

Suchkov usa o apelido de "Whale” (Baleia) no grupo 29A , formado por integrantes de vários países. Também fazem parte do grupo "Z0MBiE", "The Mental Driller" e "Ratter".

"Uma multa de 3000 rublos é pouco, mas ele foi considerado culpado e isso encoraja as autoridades russas a entrarem em ação contra os escritores de vírus” disse Graham Cluley, consultor de tecnologia sênior da Sophos.

No final de 2003, em uma entrevista para uma revista de Internet britânica, "Whale” disse que um futuro "parque de diversões" para escritores de vírus poderia ser o .NET Framework, da Microsoft. No início de 2004, ele publicou artigos na Internet explicando como um vírus para esta tecnologia poderia ser escrito. Um dos textos ainda pode ser visto no cache do Google.

Alguns dias antes da condenação de Suchkov, outro integrante do 29A apareceu na mídia mundial. Na semana passada, foi publicado que "Benny", 22 anos, ex-integrante do grupo, trabalha atualmente na Zoner Software, uma empresa tcheca de produtos antivírus, como desenvolvedor e programador do Zoner Anti-Virus (ZAV). Benny mantém um blog na Internet, onde posta comentários e publica fotos pessoais.

"Nenhuma empresa de antivírus que se preze empregaria um escritor de vírus”, disse Cluley. "Além do problema em tentar explicar aos clientes o motivo de ter empregado uma pessoa vinculada a malware, existe a questão de como se poderia confiar em quem se comportou de forma tão imatura e sem ética no passado".

A opinião da F-Secure não é diferente. “A situação realmente surpreende, porque obviamente toda empresa de antivírus enfrentaria grandes problemas de credibilidade após ter tido um procedimento tão estúpido. No entanto, um fato similar ocorreu com o autor dos vírus Netsky e Sasser no início deste ano. Nós, da F-Secure, não empregamos criminosos”, disparou o executivo Mikko Hypponen no blog da empresa.

O grupo 29A é conhecido por criar vírus inovadores e seu nome é uma referência em notação hexadecimal ao número "666", conhecido como o número da Besta. Os integrantes do grupo desenvolveram vários "proof of concept" (provas de conceito), incluindo vírus recentes, como o Cabir, para celulares. Em 2002, o 29A lançou o Smile.D, primeiro vírus polimórfico capaz de contaminar sistemas Windows e Linux simultanemante. O W32.Donut, primeiro vírus para a plataforma Microsoft .NET, também recebeu sua assinatura.

Leia também:

Descoberto o primeiro trojan para Pocket PC

Criado primeiro vírus para celulares

Vírus complexo infecta Linux e Windows

Criado primeiro vírus para a arquitetura Microsoft .NET

18/11/2004 - 14:16 Redação InfoGuerra

Foi descoberto um cavalo-de-tróia que redireciona visitantes de sites com conteúdo pornográfico para sites de possíveis concorrentes, numa espécie de "guerra pornô".

O Delf-IT roda em background e monitora a barra de endereços do navegador Internet Explorer. Contém uma lista com mais de 50 expressões de identificação usadas para monitorar o acesso a determinados sites, na maioria de conteúdo pornográfico. Depois disso, tenta copiar e rodar um código malicioso adicional que redireciona o usuário para outro site de conteúdo adulto.

Algumas das expressões de identificação são “amateur”, “barely legal”, “lolita”, “ladyboy”, “lesbian” e “pornstars”. De acordo com a empresa Sophos, palavras como “outdoor” e “beauty”, incluídas na lista, que podem ser usadas comumente em outros gêneros de sites, também redirecionam o navegador para páginas pornográficas.

Quando executado, o trojan faz uma cópia de si mesmo como LAN.EXE para a pasta Windows e cria uma chave no registro para que entre em atividade sempre que o sistema for iniciado.

"É possível que o trojan Delf tenha sido deliberadamente criado para redirecionar os internautas que acessam sites de conteúdo adulto para o seu próprio site”, afirma Graham Cluley, consultor sênior de tecnologia da Sophos. "À medida que os criadores de sites pornográficos ganham rios de dinheiro com a Internet, existe a possibilidade de que alguns deles usem trojans, como o Delf, para conquistar uma vantagem competitiva”.

A Sophos informa que até agora foram registradas poucas ocorrências do Delf-IT. A empresa não informou como os primeiros PCs foram "infectados" com o trojan.

17/11/2004 - 16:18 Redação InfoGuerra

A Polícia Federal prendeu em flagrante, no dia 15, dois homens acusados de usar equipamentos para copiar dados e senhas de usuários de terminais bancários e clonar cartões magnéticos. O técnico em informática Lucas Ferreira Martins, de 19 anos, e o vendedor Antônio Washington Rodrigues Torres, de 24, foram detidos pela segurança da agência da Caixa Econômica Federal do Shopping Center Recife, no bairro de Boa Viagem.

O esquema usado pela dupla, conhecido como chupa-cabra, copia a trilha magnética dos cartões de clientes por meio de equipamentos especiais inseridos nos terminais eletrônicos. Uma câmera de vídeo acoplada ao terminal também filma a vítima digitando seus dados e senha.

Conforme os depoimentos prestados, os golpistas chegaram de Brasília há 15 dias e um outro integrante do grupo está preso na cidade de Goiânia pela prática do mesmo crime.

No hotel onde estavam hospedados foram apreendidos diversos materiais usados para a prática do golpe, como telefones celulares, disquetes, equipamentos de clonagem e baterias, entre outros.

A dupla foi autuada pelo crime previsto no artigo 171 parágrafo 3º (estelionato) do Código Penal Brasileiro, com penas que variam de um a cinco anos de reclusão, com o agravante de ter sido cometido em detrimento de entidade de direito público, o que pode aumentar a punição até um terço.

17/11/2004 - 16:00 Redação InfoGuerra

A divulgação de dez vulnerabilidades encontradas no Windows XP Service Pack 2 pela empresa de segurança Finjan Software gerou uma série de críticas por parte da Microsoft. A empresa de Redmond colocou em questionamento a “divulgação responsável”, pelo fato de que a informação de tais brechas de segurança foi levada a público sem que as vulnerabiliddades fossem previamente analisadas e confirmadas por sua equipe.

De acordo com o comunicado da Finjan “as falhas poderiam ser exploradas remota e silenciosamente apenas com o acesso a sites maliciosos”. Um atacante poderia ter acesso remoto aos arquivos locais do usuário; conseguir privilégios adicionais para a execução remota de códigos arbitrários e enganar o mecanismo de segurança para a verificação de arquivos copiados da Internet.

A atitude considerada ética por parte dos pesquisadores de segurança e que preserva os usuários contra ataques é reportar os problemas encontrados às empresas responsáveis pelos softwares vulneráveis e aguardar até que sejam confirmados e corrigidos. Só depois disso os alertas são divulgados ao público.

A Finjan afirma que forneceu à Microsoft todos os detalhes técnicos, incluindo provas de conceito sobre as brechas de segurança encontradas pelo seu centro de pesquisa, e que não liberará publicamente maiores informações até que as vulnerabilidades estejam totalmente corrigidas pela Microsoft. A empresa afirma também que quer evitar que as falhas sejam exploradas por pessoas mal-intencionadas.

A Microsoft, porém, não confirmou a existência dos problemas relatados e pôs em cheque as afirmações da empresa de segurança. "Nossa análise prévia indica que as alegações da Finjan são potencialmente enganadoras e possivelmente errôneas sobre a extensão e severidade das vulnerabilidades no Windows XP SP2,", disse um porta-voz da empresa ao site eWeek.

Já a diretora de marketing da unidade de segurança e tecnologia da Microsoft, Debby Fry Wilson, disse à CNet que a empresa considera o comunicado da Finjan um erro. "O que a Finjan está fazendo é prematuro e poderá gerar confusão no mercado".

Como resposta, Shlomo Touboul, CEO da Finjan, alegou que as pessoas devem ter conhecimento para se prevenir e isso é impossível sem as devidas informações. “Eu não diria que nós provocamos confusão. Não acredito no pânico e sim no comportamento muito calculado".

16/11/2004 - 16:20 Redação InfoGuerra

Uma brecha de segurança encontrada no programa Skype pode comprometer a segurança de sistemas Windows. Classificada como altamente crítica pela Secunia, a vulnerabilidade permite a execução remota de códigos arbitrários, o que poderia levar à invasão do PC.

O Skype tornou-se rapidamente um popular programa para comunicação e é usado principalmente para transmissão de voz e serviços de telefonia pela Internet. Segundo o site dos desenvolvedores, já foram feitas mais de 34 milhões de cópias do software.

Conforme o boletim da Secunia, o problema no Skype é causado por um erro na manipulação de argumentos passados ao programa por meio da linha de comando e pode ser explorado remotamente para provocar um estouro de memória. Terceiros poderiam, por exemplo, persuadir um usuário a visitar uma página Web maliciosa, que ofereça algum recurso com uma seqüência de caracteres excessivamente longa (mais de 4096 bytes) e assim se aproveitar da vulnerabilidade.

A falha afeta desde a versão 1.0.*.95 até a 1.0.*.98 desenvolvidas para sistemas operacionais Windows. A solução para o problema é atualizar o programa para a versão mais recente, 1.0.0.100.

12/11/2004 - 17:05 Redação InfoGuerra

Foi encontrada uma vulnerabilidade na forma como o sistema operacional Cisco Internetwork Operating System (IOS) processa os pacotes DHCP (Dynamic Host Configuration Protocol). Ao ser explorada, a brecha de segurança pode provocar situações de negação de serviço em dispositivos de redes. O alerta partiu da Equipe de Resposta a Emergências Computacionais dos Estados Unidos (US-CERT). As atualizações do sistema já estão disponíveis.

O protocolo DHCP (Dynamic Host Configuration Protocol ) fornece meios de distribuir informações de configuração às máquinas em uma rede TCP/IP. A brecha de segurança no IOS permite que pacotes DHCP malformados façam com que um dispositivo afetado pare de processar o tráfego de entrada de dados na rede.

De acordo com o alerta do US-CERT, a falha pode ser explorada remotamente, por um atacante não autenticado na rede. A exploração repetida da vulnerabilidade poderia provocar uma negação de serviço (denial of service) no dispositivo atacado. Para recuperar a funcionalidade, o dispositivo deve ser reiniciado para limpar a fila de requisições de entrada na interface administrativa.

O serviço DHCP é ativado por padrão no IOS e só pode ser desabilitado quando o comando “no service dhcp” é especificado na configuração do sistema. O processamento de pacotes DHCP pode ser feito por roteadores, switches e line cards (placas de interface de conexão) da Cisco.

Estão vulneráveis os produtos que rodem o IOS nas versões 12.2(18)EW, 12.2(18)EWA, 12.2(18)S, 12.2(18)SE, 12.2(18)SV, 12.2(18)SW e 12.2(14)SZ. A Cisco publicou informações detalhadas sobre os procedimentos que devem ser tomados para as atualizações.

12/11/2004 - 14:04 Redação InfoGuerra

A 4Linux, empresa especializada em serviços e treinamento baseados em software livre, está lançando o HackerTeen. Trata-se de um programa de formação técnica e ética sobre segurança da computação, voltado para jovens de 12 a 17 anos.

A metodologia do curso baseia-se em “desafios” a serem cumpridos em cinco etapas de aprendizado. O programa conta também com palestras, acompanhamento psicológico e pedagógico. Durante o curso, os alunos irão descobrir as diferenças entre um "hacker" e um "cracker" e receberão orientação sobre as conseqüências dos crimes digitais e atividades ilícitas no universo da computação.

Para prender a atenção dos adolescentes, o sistema operacional Linux foi personalizado para deixá-lo com uma imagem jovem, e o método empregado usa recursos como jogos RPG (Role Playing Game) e mangás (quadrinhos japoneses).

A IBM está apoiando o projeto por meio de seu programa “Reinventando a Educação”, com a participação de 24 jovens carentes que já preencheram as duas primeiras turmas, uma em Santo André e outra no Rio de Janeiro. O curso terá início no dia 29 de novembro, com um ano e meio de duração.

Ao final do curso o aluno poderá prestar provas para as certificações LPI (Linux Professional Institute) e Ethical Hacker. Outras informações podem ser obtidas no site www.hackerteen.com.br.

12/11/2004 - 13:34 Redação InfoGuerra

Uma nova variante de um cavalo-de-tróia usado para recolher dados financeiros de suas vítimas está circulando pelo Reino Unido. O Banker-AJ tem como alvo os usuários dos bancos Abbey, Barclays, Egg, HSBC, Lloyds TSB, Nationwide e NatWest.

De acordo com a Sophos, quando o usuário acessa um dos sites bancários relacionados numa lista usada pelo trojan e insere seus dados privados o programa captura senhas e imagens da transação financeira, caso esteja instalado na máquina. Em seguida, os dados são enviados aos golpistas para serem usados de forma ilícita.

Quando executado, o Banker-AJ cria uma cópia de si mesmo nas pastas Windows (“winuser.exe”) e System (“userhandler.exe”). Depois, passa a monitorar os acessos do usuário a determinados sites da Internet, registrando informações incorporadas em páginas que contenham palavras-chaves, como “anking”, “Digital Banking”, “HSBC Internet Banking”, “Online Service”, e outras.

Também verifica acessos a certos endereços, como https://online.lloydstsb.co.uk/logon.ibc e https://welcome3.smile.co.uk/servlet/Smile5Banking, entre outros que
fazem parte de uma extensa lista. As informações capturadas pelo trojan são enviadas, posteriormente, para um site remoto.

O Banker-AJ também cria entradas no registro do Windows para permanecer ativo toda vez que o usuário é "logado" ao sistema.

Há alguns meses, a Sophos monitorou o emprego das variantes Banker-AR e Banker-K em golpes de phishing para correntistas de alguns bancos brasileiros, como Bradesco, Itaú e Banco do Brasil.

11/11/2004 - 13:52 Redação InfoGuerra

O portal Terra realiza, nesta sexta-feira, 12 de novembro, um chat sobre spam e segurança da informação, com Élcio Ricardo de Carvalho. O encontro faz parte da série "Spam: limites da liberdade, informação e da privacidade". O bate-papo terá início às 19h30.

O convidado Élcio Ricardo de Carvalho é perito criminal federal do serviço de perícias em informática do Instituto Nacional de Criminalística da Polícia Federal (INC-PF) e integrou o comitê de programa técnico da Conferência Internacional de Perícias em Crimes Cibernéticos (ICCyber-2004).

Durante a ICCyber-2004 foram apresentadas as técnicas mais recentes e avançadas para o combate de crimes cibernéticos, incluindo os que envolvem spams, como os ataques de phishing scam.

Outros detalhes podem ser vistos na seção de chat do Terra. Os interessados também podem enviar perguntas prévias para o chat.

A série "Spam: limites da liberdade, informação e da privacidade" é uma iniciativa da advogada Eliane Saldan, consultora jurídica de InfoGuerra, e conta com o apoio do site de segurança e do portal Terra, que fornece a tecnologia para a realização dos bate-papos.

As próximas edições, com datas a serem marcadas, contarão com a participação dos convidados Renata Cicilini Teixeira, autora do livro “Combatendo o Spam”; do advogado paulistano Amaro Moares e Silva Neto, autor do livro "emails indesejados à luz do direito brasileiro"; e Cid Torquato, diretor-executivo da Camara-e.net e integrante do Comitê Brasil Antispam.

10/11/2004 - 15:32 Redação InfoGuerra

A Microsoft publicou nesta terça-feira seu boletim mensal de código MS04-039, corrigindo uma falha que facilita ataques de phishing scam, muito comuns atualmente. O problema, que afeta os servidores Internet Security and Acceleration (ISA) Server e Proxy Server 2.0, permite que um usuário mal-intencionado crie conteúdos falsos que sejam associados pelo servidor ao nome verdadeiro de um site legítimo.

De acordo com o boletim, o problema está na forma com que os resultados de buscas ou consultas de DNS reverso são armazenadas no cache (memória temporária) do servidor. O resultado de um DNS reverso ocorre quando se fornece um número IP (Internet Protocol) e o servidor devolve o domínio correspondente. Explorando a falha, um atacante poderia fornecer um IP sob seu controle, que retornaria o domínio “banco.com.br”, por exemplo.

O ataque consistiria em persuadir o usuário a acessar um site especialmente preparado, acreditando tratar-se de conteúdo confiável. Isso poderia ser feito por meio de um link oferecido em uma mensagem de e-mail ou banners de propagandas que, ao serem clicados, remetessem o usuário para o site malicioso.

A brecha de segurança afeta o Proxy Server 2.0 com SP1, o ISA Server 2000 com o SP1 e SP2 instalados, o Microsoft Small Business Server 2000 e o Microsoft Small Business Server 2003 Premium Edition (ambos incluem o ISA Server 2000).

O boletim deste mês não trouxe correções para outras falhas, incluindo uma do navegador Internet Explorer recentemente descoberta, que já está sendo explorada pelo worm Bofra.

Leia também:

Microsoft antecipa informações sobre boletins de segurança

10/11/2004 - 11:23 Redação InfoGuerra

Um grupo de crackers autodenominado Source Code Club está oferecendo pela Internet o código-fonte do firewall Cisco Pix versão 6.3.1, pela quantia de U$ 24 mil (cerca de R$ 68 mil). Em julho, o mesmo grupo já havia freqüentado o noticiário especializado por vender outros códigos proprietários.

Os crackers ofereceram o código do firewall em mensagens postadas em grupos da Usenet. "SCC se orgulha de anunciar que está disponível para o público em geral o código-fonte do Cisco Pix 6.3.1. Este lançamento é significativo porque Pix é vital à segurança de muitas redes ultra-seguras", lia-se no início das mensagens.

O grupo promete manter em segredo tanto a identidade do comprador quanto a do vendedor e a transação comercial seria feita via e-mail com mensagens criptografadas. Haveria ainda um incentivo para quem adquirir um código-fonte completo: a primeira compra registra os "clientes" como "membros privados", o que lhes daria acesso a códigos adicionais do produto, não disponíveis para o público em geral.

Apenas um hoax?

Para o diretor de pesquisa de códigos maliciosos da iDefense, Ken Dunham, provavelmente a oferta é apenas um hoax (trote). Em entrevista ao site e-Commerce Times ele disse: "Estes sujeitos estão apenas fazendo barulho para chamar a atenção e se divertirem ou estão tentando ganhar dinheiro ilicitamente. Poderia ser um pouco de ambos”.

De qualquer forma, ele acha que mesmo que a oferta seja verdadeira, o Source Code Club usa uma estratégia de venda pobre ao oferecer o código em listas pela Internet. Na opinião do executivo, a venda em canais do submundo seria muito mais segura.

Dunham, porém, não descarta a possibilidade de a Cisco ter perdido o seu código-fonte, já que nos últimos seis a 18 meses a iDefense registrou um aumento dramático de criminalidade em operações clandestinas. "Estamos nos distanciando dos 'script kiddies' que atacam por divertimento e entrando na fase de organizados e sofisticados ataques criminosos pela Internet”, afirmou.

9/11/2004 - 17:02 Redação InfoGuerra

O novo worm Bofra, descoberto ontem e já com duas variantes detectadas, explora a mais recente vulnerabilidade do navegador Internet Explorer, reportada há menos de uma semana. O problema, considerado crítico e ainda sem correção, está no tratamento de atributos dos elementos “FRAME” e “IFRAME”, utilizados em documentos no formato HTML e, se explorado com sucesso, permite a execução de códigos maléficos na máquina atingida.

As variantes A e B do Bofra utilizam-se de mensagens não solicitadas, contendo referências a imagens pornográficas ou informações sobre o serviço de pagamentos PayPal. O campo de assunto apresenta frases como “Hey”, “funny photos :)” e “Confirmation”, entre outras, e os textos indicam um link a ser acessado pelo usuário.

Após executado, o worm tenta fazer uma cópia de si mesmo para a pasta System32 ou Temp do Windows e cria uma entrada no registro do sistema para que entre em atividade sempre que o sistema for iniciado. A praga também vasculha o disco rígido da máquina em busca de endereços eletrônicos para os quais se enviar.

Um diagrama publicado pela Sophos mostra que, assim que o usuário abre os e-mails e clica nos links oferecidos, é direcionado para um servidor Web que roda no computador do remetente. Este servidor contém um código malicioso que explora a vulnerabilidade do Internet Explorer e contamina com o Bofra o sistema da máquina visitante.

O worm então cria um novo servidor Web em cada computador infectado, procura por endereços de e-mail no HD da vítima e envia mensagens pela Internet para que possa dar continuidade ao ciclo e contaminar outros sistemas.

Algumas empresas antivírus classificaram o Bofra como variantes do MyDoom. Entretanto, a Sophos explica que “análises detalhadas revelam que existem mais diferenças do que semelhanças” entre os dois worms. "O Bofra espalha-se entre usuários de forma completamente diversa do MyDoom, que chega por meio de arquivos anexos”, disse Graham Cluley, consultor-sênior de tecnologia da Sophos.

Leia também:

Falha grave no IE ainda não tem correção

9/11/2004 - 16:28 Redação InfoGuerra

A Microsoft passará a publicar informações antecipadas e resumidas sobre suas atualizações mensais de segurança. Já a partir deste mês, o site TechNet está publicando um resumo do boletim de segurança, divulgado na segunda terça-feira de cada mês.

O boletim que deverá ser publicado hoje ainda não está disponível no site, mas já se sabe que a Microsoft está planejando lançar uma correção, classificada como importante, para um bug que afeta o servidor Microsoft Internet Security and Acceleration (ISA).

O novo serviço Microsoft Security Bulletin Advance Notification incluirá o número de boletins que poderão ser publicados, as avaliações antecipadas de severidade dos problemas e os produtos afetados. De acordo com a Microsoft, o objetivo é auxiliar os todos os seus clientes com o recurso que já vinha sendo distribuído entre o setor corporativo, três dias antes da liberação do boletim mensal oficial.

Conforme o site BizReport, a companhia estava sendo criticada por antecipar informações apenas para seus maiores clientes, por isso resolveu lançar mão da mesma estratégia para o público em geral.

A partir de dezembro, todos os clientes poderão se inscrever e receber, por e-mail, as notificações prévias.

8/11/2004 - 18:05 Redação InfoGuerra

O Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa (CAIS/RNP) e o grupo de segurança do Comitê Gestor da Internet no Brasil (NBSO/CGI-BR) irão promover um workshop durante o 6º Simpósio de Segurança em Informática - SSI 2004, promovido pelo Instituto Tecnológico de Aeronáutica (ITA), em São José dos Campos.

O workshop “Tratamento de Incidentes de Segurança” discutirá a importância que um grupo de resposta a incidentes de segurança em computadores (CSIRTs – Computer Security Incident Response Teams) tem nas empresas, assim como o desempenho de grupos brasileiros e o cenário atual.

Para o dia 11 de novembro estão incluídas as apresentações das equipes de segurança da Universidade Federal do Rio Grande do Norte, do Serpro e da Marinha; palestras sobre iniciativas de padronização na área de segurança da informação, que refletem no processo de detecção de intrusão e de manutenção da segurança; e um microcurso no ramo da análise forense, ministrado pelo analista de segurança Jacomo Piccolini, da equipe do CAIS.

Já no dia 12, o NBSO apresentará temas que envolvem as atividades de um Centro de Tratamento de Incidentes de Segurança da Informação. Também serão abordados os aspectos das fraudes por e-mail que utilizam cavalos-de-tróia e clonagem de sites financeiros.

O SSI 2004 acontece entre os dias 9 e 12 de novembro, com atividades que incluem palestras, fórum de debates e microcursos. O evento é direcionado a pesquisadores, cientistas, estudantes de graduação e pós-graduação, empresários e profissionais de TI.

O simpósio será realizado no Centro Técnico Aeroespacial (CTA), na sede do ITA, localizado na Praça Marechal-do-Ar Eduardo Gomes, 50, em São José dos Campos, São Paulo. Outras informações podem ser obtidas pelo site www.ssi.org.br.

8/11/2004 - 17:02 Redação InfoGuerra

Foi descoberto um novo cavalo-de-tróia que propaga spams para telefones móveis via SMS (Short Message Service). Desenvolvido para Windows, o Delf-HA usa os sistemas infectados em PCs para se conectar a um site russo e copiar instruções para envio de mensagens não solicitadas.

De acordo com a Sophos, o trojan envia spams via mensagens SMS utilizando a funcionalidade "Envie uma mensagem de texto", oferecida por um grande número de operadoras de telefonia móvel da Rússia.

O Delf-HA chega em um arquivo compactado de auto-extração com o nome “inst.exe”. Ao ser instalado cria o arquivo “rundnm.exe” na pasta Windows System e, em seguida, uma entrada no registro para que entre em atividade sempre que o sistema operacional for iniciado.

O trojan tenta se conectar ao site www.vlasof1.narod.ru e fazer o download do arquivo sms.txt. Este arquivo que contém os detalhes sobre a mensagem SMS que deverá ser enviada aos usuários de celulares.

A Sophos informa que registrou poucas ocorrências do Delf-HA até o momento.

6/11/2004 - 19:37 Redação InfoGuerra

A Pontifícia Universidade Católica de São Paulo (PUC-SP) está com inscrições abertas para o MBA em Tecnologia da Informação (MBIS - Master Business Information Systems). O curso, dirigido a profissionais que atuam na área de informática e afins e se preparam para assumir cargos executivos, terá início em 18 de março de 2005, com duração de um ano e meio.

O programa possui carga horária total de 500 horas, distribuídas em aulas, palestras e seminários sobre construção de cenários e gerenciamento de projetos, dentre outros temas, e atividades de campo e monografia. A formação visa o desenvolvimento, implementação e gerenciamento de novas soluções tecnológicas capazes de ampliar a competitividade das empresas em seus negócios.

As aulas abordam temas como governança corporativa em TI, gerenciamento de equipes, inovação tecnológica e SLA (Service Level Agreement), e estudos em engenharia de software, comércio eletrônico, administração estratégica da informação, avaliação financeira de projetos, novas tecnologias, marketing dos negócios e recursos humanos.

Com vagas limitadas, o curso será ministrado às sextas-feiras, das 16 às 22 horas, e aos sábados, entre 9 horas e 15h30, no Departamento de Ciência da Computação do Centro das Ciências Exatas e Tecnológicas da PUC-SP, que fica na rua Marquês de Paranaguá, 111, no bairro Consolação, em São Paulo.

Outras informações podem ser obtidas pelos telefones (11) 3873-3155 e (11) 3124-7222, pelo e-mail mbis@pucsp.br, ou pelo site www.mbis.pucsp.br.

6/11/2004 - 19:22 Redação InfoGuerra

O Instituto Empreender Endeavor realiza o workshop “Segurança na Informática: prevenir para proteger”, que mostrará aos participantes como enfrentar os ataques virtuais que atingem desde grandes corporações até pequenas empresas e usuários domésticos. Com inscrições gratuitas, o evento será realizado no dia 10 de novembro, em São Paulo, a partir das 9 horas, e também será transmitido pela Internet, em tempo real.

O workshop será ministrado por Marçal Araújo, responsável pelo programa de marketing para canais da Computer Associates, empresa mundial de software de gerenciamento de sistemas para informática. Marçal é graduado em Administração de Empresas e tem MBA em marketing e vendas pela Universidade Federal de Monterey.

O encontro será realizado no Ibmec São Paulo, que fica na Rua Maestro Cardim, 1.170, em São Paulo. As inscrições podem ser feitas pelo email endeavor@ibmec.br ou pelo telefone (11) 3175-2300.

O evento também poderá ser visto diretamente do site do instituto e seu registro em vídeo ficará disponível por alguns dias, na seção "Videoteca".

5/11/2004 - 18:02 Redação InfoGuerra

Foi encontrada uma nova vulnerabilidade no navegador Internet Explorer que permite a terceiros executarem códigos arbitrários no sistema. Considerada como crítica pelas empresas de segurança, a falha pode afetar outros programas, como Outlook e Outlook Express.

O problema ocorre no tratamento de alguns atributos dos elementos “FRAME” e “IFRAME”, utilizados em documentos no formato HTML, e pode provocar um estouro de buffer (memória temporária) no Internet Explorer.

A falha pode ser explorada por meio de um programa JavaScript preparado especialmente para preencher a memória do sistema com um código malicioso inserido em páginas da Web ou mensagens de e-mail em formato HTML. De acordo com um alerta publicado pelo Centro de Atendimento a Incidentes de Segurança (CAIS), a utilização de uma longa cadeia de dados nos atributos de FRAME ou IFRAME pode levar a execução do código malicioso com os privilégios do usuário que estiver utilizando o navegador no momento do ataque.

A falha afeta o Internet Explorer 6.0 rodando em sistemas atualizados, como Windows 2000 e WindowsXP, inclusive com o Service Pack1 instalado. O problema não atinge o Windows XP com o Service Pack2.

Como ainda não existe correção disponível, o uso de navegadores alternativos, como o Mozilla, Opera e Netscape, é aconselhável. Para usuários do sistema Windows XP, o indicado seria aplicar o pacote de atualização SP2.

Outra medida paliativa seria desabilitar Active Scripting e ActiveX na Zona Internet e na Zona utilizada pelo Outlook, Outlook Express e qualquer outro software que use o controle WebBrowser ActiveX.

Não abrir endereços de Web não solicitados, configurar o cliente de e-mail para abrir os e-mails no formato texto puro e manter atualizado o programa antivírus também são recursos indicados.

4/11/2004 - 23:09 Redação InfoGuerra

O nome Rolex está se tornando referência quando o assunto é o envio de spam, assim como a marca Viagra, usada pela maioria dos e-mails não solicitados que circulou pela Internet no primeiro semestre de 2004. De acordo com a Sophos, o número de spams que comercializam imitações dos tradicionais relógios da marca Rolex aumentou 300% no último mês.

Os spammers já estão até se engajando numa guerra de preços. Algumas mensagens oferecem réplicas dos famosos relógios Rolex com valores 40% mais baratos do que as imitações dos concorrentes. A maior parte dos links oferecidos nos e-mails leva ao site “OnLine Replica Store”, que oferece diversos modelos copiados dos Rolex originais a partir de U$ 75 (pouco mais de R$ 200,00). Um relógio autêntico dessa marca pode custar milhares de dólares.

Como as pessoas ainda compram produtos vendidos por mensagens não solicitadas, essa prática ainda pode trazer lucro para os spammers. A Sophos aconselha os usuários a não comprarem por meio de spam, por mais vantajosa que a oferta possa parecer.

"Não é a primeira vez que uma grande marca foi usada e provavelmente não será a última, mas será interessante observar qual será a ação da Rolex para proteger seu nome do abuso de spammers”, disse Graham Cluley, consultor-sênior de tecnologia da Sophos.

Advogados confusos

Preocupada com a integridade de sua marca registrada, a Rolex já enviou uma notificação para o site OnLine Replica Store, e foi além. Após realizar buscas pela Internet, notificou também o responsável por uma lista na qual foi postada, por terceiros, uma mensagem oferecendo as réplicas dos relógios. Como as mensagens da lista são armazenadas no site FreeS/WAN, John Gilmore, responsável pelo site, recebeu uma notificação enviada pelos advogados da empresa alertando-o para o fato de que poderia ser considerado responsável por danos de até mil dólares por hospedar conteúdo que viola a marca registrada Rolex.

Os advogados, que aparentemente não conhecem o funcionamento da Internet, explicam no documento que, como operador do site que hospeda a lista http://lists.freeswan.org, Gilmore pode ser responsabilizado por falsificação, violação de marca registrada e diluição dos direitos de propriedade intelectual da Rolex.

Por causa disso, os advogados da empresa estão sendo criticados. Um colunista do site TidBITs escreveu sobre a questão: "É óbvio a qualquer pessoa acima de 13 anos (e provavelmente a muitas pessoas abaixo dessa idade) que o spam que aparece no arquivo da FreeS/WAN foi algo que acontceu à lista, não algo que a FreeS/WAN propagou intencionalmente. Foi um acidente, e um desafortunado acidente".

4/11/2004 - 21:00 Redação InfoGuerra

Os golpes de phishing mostram-se cada vez mais audaciosos e elaborados. De acordo com a empresa britânica MessageLabs, especializada em análise de mensagens eletrônicas maliciosas, foram detectados alguns e-mails capazes de capturar dados financeiros e privados de correntistas de bancos brasileiros sem que haja a necessidade de qualquer interação por parte do usuário. Bastaria abrir o e-mail para ter seus dados capturados.

Nas duas últimas semanas a MessageLabs monitorou um pequeno número de e-mails que conseguem arrecadar senhas, números de contas bancárias e cartões de crédito de correntistas, sem que o usuário clique em algum link disponível na mensagem, como geralmente ocorre em ataques de phishing. Conforme notícia do site The Register, a empresa interceptou cópias de e-mails que visam três bancos brasileiros. A Reuters complementou a informação com os nomes dos bancos: Caixa Econômica Federal, Unibanco e Bradesco.

Os e-mails contêm scripts que reescrevem os arquivos “hosts” das máquinas vítimas. Com isso, um usuário que tentar acessar sua conta bancária via Internet será automaticamente redirecionado para um site fraudulento e seus dados serão capturados.

"A maioria dos bancos aconselha que seus clientes sejam cautelosos com os e-mails que pedem detalhes bancários pessoais, mas neste caso tudo que eles têm de fazer é abrir um e-mail aparentemente inocente e seus dados bancários podem ser sabotados silenciosamente”, alertou Alex Shipp, tecnólogo-sênior da MessageLabs, em entrevista a The Register.

Para contornar a situação, a empresa aconselha os usuários a desabilitarem o Windows Scripting Host (WSH) de suas máquinas. O serviço WSH serve para executar scripts, independentemente de linguagem, em plataformas do sistema operacional Windows de 32 bits. Ativo por padrão, já foi bastante usado como porta de entrada para vírus em Visual Basic, como I Love You, Anna Kournikova, Haptime e Homepage.

Leia também:

Previna-se contra o vírus Homepage e outras pragas de VBS

Microsoft muda configuração padrão do Windows XP

3/11/2004 - 17:43 Redação InfoGuerra

Uma mensagem de e-mail oferecendo oportunidades de ganhos financeiros no Reino Unido é mais uma das armadilhas que envolvem golpes digitais. De acordo com a Sophos, os destinatários dessas mensagens podem ser recrutados inocentemente como “mulas”, para auxiliar gangues de fraudadores virtuais a executar operações ilícitas, como tranferências de dinheiro pela Internet.

O e-mail apresenta como título “Work From Home; Prepare to Succeed” (Trabalhe em Casa e Seja Bem-sucedido) e oferece ganhos tentadores àqueles que concordarem em movimentar dinheiro através de suas contas correntes.

Ao receberem o depósito em suas contas bancárias, os participantes poderão ficar com 10% do valor total e o restante será transferido para uma outra conta via Western Union, considerada a maior rede de serviço de transferência monetária e de mensagens. De acordo com o texto do e-mail serão feitas, em média, uma ou duas transferências por semana, cada uma variando entre 2 mil e 2,5 mil libras esterlinas (algo entre R$ 10,5 mil e pouco mais de R$ 13 mil). Uma cópia da mensagem fraudulenta pode ser vista aqui.

O objetivo dos fraudadores é construir um sistema de transferências complexo e à prova de detecção de possíveis pistas.

Para Graham Cluley, consultor sênior de tecnologia da Sophos, os participantes não estarão apenas auxiliando uma gangue de criminosos, como também poderão ser indiciados por suspeita de fraude e terão de colaborar com as investigações policiais.