| Destaque |
Resenha: Fundamentos de Direito Penal Informático
22/12/2003 - 17:03 Bernardo Menicucci Grossi
|
| Artigos |
Tecnologias wireless demandam cuidados extras
22/12/2003 - 0:00 Rodney de Castro Peixoto
Na área de tecnologia, os holofotes estão agora apontados para a mobilidade, aplicações e dispositivos que dispensam o uso de fios e cabos, com a formatação das chamadas redes wireless. Conceito já amplamente difundido nos Estados Unidos (exemplos como a rede de coffe shops Starbucks, que possui mais de 2000 hotspots em suas lojas, a um custo de 6 dólares a hora), em parte da Ásia e em alguns países europeus, começamos a perceber seus passos aqui no Brasil. Recentemente, um provedor de Internet começou a fornecer conexão sem fio, e uma rede de restaurantes também começou a transformar suas unidades em hotspots, ou seja, pontos de conexão à Internet com uso de aplicativos wireless. Além disso, iniciativas semelhantes em aeroportos, hotéis, centros de eventos e convenções demonstram o interesse e usabilidade das redes sem fio em terras brasileiras. Apesar das barreiras de infra-estrutura, custos e dos baixos níveis de inclusão digital, percebemos uma demanda crescente no meio corporativo na adoção das chamadas wireless networks.
A tecnologia de comunicação wireless é composta de padrões estabelecidos pelo Institute of Electrical and Electronics Engineers (IEEE), uma associação sem fins lucrativos que reúne aproximadamente 380.000 membros, em 150 países. Composto de engenheiros das áreas de telecomunicações, computação, eletrônica e ciências aeroespaciais, entre outras, o IEEE definiu algo em torno de 900 padrões tecnológicos (standards) ativos e utilizados pela indústria, e conta com mais 700 em desenvolvimento.
Os standards que recebem mais atenção ultimamente correspondem à família de especificações batizada de 802.11. Estes padrões especificam a interconexão de computadores, impressoras, dispositivos de vídeo e demais aplicações através do conceito over-the air, ou seja, proporciona o estabelecimento de redes e comunicações entre um aparelho cliente e uma estação ou ponto de acesso, com o uso de microondas de frequência de rádio. Estas redes são conhecidas como Wireless Local Area Network (WLAN), e atualmente são estabelecidas quatro especificações na família 802.11: 802.11, 802.11 a, 802.11 b, 802.11 g. Estes standards utilizam-se do protocolo conhecido como Ethernet, comum em computadores pessoais e portáteis. Outro termo bastante utilizado é o Wi-Fi, acrômio de Wireless Fidelity, correspondendo ao padrão 802.11 b.
Redes de computadores são, por sua própria natureza, passíveis de ataques e invasões, como temos observado em intensa prática do chamado hackerismo, nas variantes de conotação maléfica da palavra. Em recente pesquisa divulgada pela consultoria mi2g Intelligence Unit, o Brasil abrange sete dos dez mais ativos grupos responsáveis por invasão de sites no mês de outubro último. Mesmo passível de questionamentos, tais números indicam ser o Brasil território fértil de mentes brilhantes capazes de causar prejuízos a redes de computadores. Tais atitudes podem ser ampliadas e facilitadas com o uso de redes wireless, pois é sabido que o quesito segurança nestas aplicações ainda deixa muito a desejar. Temos, assim, práticas típicas concernentes a redes sem fio, sejam estas comerciais ou não, conhecidas como wardriving e warchalking.
Wardriving
O termo wardriving foi escolhido por Peter Shipley para batizar a atividade de dirigir um automóvel à procura de redes sem fio abertas, passíveis de invasão. Para efetuar a prática do wardriving, são necessários um automóvel, um computador, uma placa Ethernet configurada no modo “promíscuo” (o dispositivo efetua a interceptação e leitura dos pacotes de comunicação de maneira completa), e um tipo de antena, que pode ser posicionada dentro ou fora do veículo (uma lata de famosa marca de batatas fritas norte-americana costuma ser utilizada para a construção de antenas). Tal atividade não é danosa em si, pois alguns se contentam em encontrar a rede wireless desprotegida, enquanto outros efetuam loginuso destas redes, o que já ultrapassa o escopo da atividade. Tivemos notícia, no ano passado, da verificação de desproteção de uma rede wireless pertencente a um banco internacional na zona Sul de São Paulo mediante wardriving, entre outros casos semelhantes. Os aficionados em wardriving consideram a atividade totalmente legítima.
Warchalking
Inspirado em prática surgida na Grande Depressão norte-americana, quando andarilhos desempregados (conhecidos como hobos) criaram uma linguagem de marcas de giz ou carvão em cercas, calçadas e paredes, indicando assim uns aos outros o que esperar de determinados lugares, casas ou instituições onde poderiam conseguir comida e abrigo temporário, o warchalking é a prática de escrever símbolos indicando a existência de redes wireless e informando sobre suas configurações. As marcas usualmente feitas em giz (chalk) em calçadas indicam a posição de redes sem fio, facilitando a localização para uso de conexões alheias pelos simpatizantes da idéia.
Tais símbolos são descritos na figura abaixo:
 |
| Destaque |
O que fazer ao receber um falso e-mail de banco?
18/12/2003 - 14:09 Giordani Rodrigues
Muita gente já está a par das tentativas de golpes contra clientes de Internet Banking, que têm proliferado no Brasil e no mundo nos últimos meses. Mas pouca gente sabe como proceder quando recebe uma mensagem fraudulenta usada nos golpes. Para orientar os internautas, a equipe de segurança em sistemas e redes da Universidade Estadual de Campinas (Unicamp) publicou uma página ― atualizada hoje ― com dicas úteis para estas situações.
Entre as orientações, estão a de nunca clicar em links pré-prontos que chegam em mensagens de correio eletrônico, principalmente se se tratar de supostos links de sites de instituições bancárias em mensagens não solicitadas. Em vez disso, quando se deseja acessar o site do banco, deve-se digitar diretamente o endereço na barra adequada do navegador, pois isso evita que o correntista caia em truques que usam links com URLs e comandos de linguagem HTML maliciosos. A equipe da Unicamp avisa também que nem mesmo a existência do teclado virtual em um site que supostamente pertence a um banco é garantia de que a página seja verdadeira, pois já foram constatados casos de sites falsos com teclados virtuais.
Uma das maiores dúvidas dos internautas ao perceberem que receberam uma mensagem fraudulenta é para quem denunciar o golpe. Esta informação foi inserida hoje, como atualização das dicas na página da Unicamp. Além de avisar o banco visado pelos estelionatários, o internauta deve enviar uma cópia da mensagem fraudulenta, com cabeçalho completo, para os endereços ctr@dpf.gov.br, pertencente à Polícia Federal, e nbso@nic.br, usado pelo Grupo de Resposta a Incidentes de Segurança para a Internet brasileira, que vem acompanhando estes casos, principalmente para fins estatísticos. As autoridades garantem que as denúncias serão mantidas em sigilo e que nenhuma informação pessoal dos internautas será divulgada. Caso você não saiba o que é ou como acessar o cabeçalho completo de um e-mail, veja informações aqui.
Outra boa recomendação para quem quiser denunciar os golpes é especificar, na mensagem remetida às autoridades, o endereço em que está hospedado o arquivo suspeito ou o site falso. Às vezes, na conversão de mensagens em formato HTML (normalmente usado nos golpes) para formato TXT (texto puro), usado por alguns programas de e-mail, os links desaparecem ao serem enviadas as denúncias.
Quem se sentir confortável com a manipulação de arquivos maliciosos também pode fazer o download do arquivo suspeito e enviá-lo para os endereços divulgados acima. Isto serve para garantir que o programa malicioso será analisado pelas equipes de segurança, mesmo que a página em que ele estava hospedado já tenha sido retirada do ar quando a denúncia chegar. O arquivo deve ser enviado compactado ("zipado"), para evitar que produtos antivírus presentes nos servidores de e-mail o interceptem.
As outras dicas fornecidas pela Unicamp podem ser vistas aqui.
| Noticias |
Crackers brasileiros atacam sites da FAB e da Nasa
18/12/2003 - 4:49 Giordani Rodrigues
Os defacers, grupos que se dedicam a desfigurar páginas Web, há anos são bastante ativos no Brasil, portanto não causa mais surpresa suas ações. Mas nos últimos dias, algumas páginas atacadas por defacers brasileiros chamaram a atenção devido à importância das instituições atingidas. No Brasil, crackers desfiguraram a página principal do site da Força Aérea Brasileira (FAB) e, nos EUA, foram alterados 13 sites da Nasa, a agência espacial norte-americana.
O ataque à FAB ocorreu na madrugada desta quinta-feira e ainda podia ser constatado no momento em que esta notícia ia ao ar. InfoGuerra tentou contato telefônico com o órgão, mas a chamada não foi respondida. Os atacantes fizeram uma pichação tradicional na página e tripudiaram da segurança do servidor escrevendo que o bug que permitiu o defacement era “podre”. Segundo bancos de dados online, o site da FAB roda um servidor Windows 2000 e servidor Web Microsoft IIS/5.0. O grupo de intrusos assinou a página com o nome de “Mowber”. Uma cópia do site alterado pode ser vista aqui.
O ataque aos sites da Nasa aconteceu na quarta-feira, 17, segundo o site de segurança Zone-H. Os crackers, identificados por "drwxr", substituíram as páginas iniciais de 13 sites de vários departamentos da Nasa por um protesto contra o conflito no Iraque. Uma frase mal construída em inglês, significando aproximadamente “Na guerra do Iraque, matar é uma diversão”, serve como link para um vídeo atribuído à CNN. O filme mostra um soldado norte-americano fazendo uma espécie de tiro ao alvo contra um iraquiano já ferido e depois comemorando quando consegue acertá-lo e matá-lo. O filme pode ser visto aqui e uma cópia das páginas alteradas, aqui.
Analisando o servidor (um Linux com Apache) e os serviços que rodam nos sites da Nasa, o Zone-H supõe que as máquinas foram comprometidas remotamente por meio de uma vulnerabilidade num script PHP, e depois invadidas com privilégios de administrador (root) com a ajuda de um exploit (programa) lançado há alguns dias para explorar um bug descoberto no kernel do Linux. Recentemente, esta mesma falha foi responsável pelo comprometimento de importantes servidores da comunidade de software livre, como o Projeto Debian.
| Destaque |
Boato do cartão de natal com vírus é golpe
17/12/2003 - 19:31 Helena Nacinovic
Um novo hoax (boato) está circulando pela Internet na forma de um alerta contra um suposto vírus recebido como um arquivo com o nome "cartão de natal". O vírus mencionado na mensagem não existe, como é comum na disseminação deste tipo de boato eletrônico. Mas, desta vez, os criadores do hoax incluíram um link para download de um suposto antivírus e transformaram o boato em um golpe perigoso, já que há uma grande probabilidade de que esse arquivo baixado seja um cavalo de Tróia ou mesmo um vírus.
O criador da falsa mensagem conta com a inocência e boa vontade de internautas preocupados com vírus "natalinos", comuns nesta época do ano, para espalhar o golpe, pedindo que os destinatários "o enviem para o máximo de pessoas possível". À primeira vista, o e-mail se parece com uma variação de hoaxes comuns que também alertam sobre vírus inexistentes. Tem até as frases em letras maiúsculas e o tom alarmista deste tipo de mensagem. No boato do cartão de natal, no entanto, a falsa informação se une ao golpe de forma engenhosa, já que as próprias vítimas colaboram com o truque repassando a mensagem para os amigos e, de quebra, fazendo com que seja mais difícil rastrear o golpista que enviou a mensagem maliciosa original.
O e-mail foi encaminhado a InfoGuerra por um leitor para que seu conteúdo fosse analisado. Porém, na mudança de formato da mensagem original, em HTML, para TXT no computador do leitor, o link contendo o arquivo se perdeu, e não foi possível baixá-lo e analisar seus efeitos. Quem receber a mensagem, no entanto, não deve repassá-la e muito menos baixar e instalar o arquivo, assim como não deve instalar nenhum outro arquivo desconhecido em seu computador.
Veja abaixo a íntegra da mensagem maliciosa:
ALERTA !!
Por favor compartilhem com todas as pessoas que por ventura acessam a Internet. Alguem está distribuindo um "Protetor de Tela" com o nome de: Cartao de Natal. No entanto, se você carregá-lo, estará sendo vitima de um VÍRUS que após ser instalado em sua máquina, irá roubar todas as suas informações pessoais e bancárias. Além disso o VÍRUS tem a capacidade de se espalhar em uma rede e de anular o anti-vírus que estiver usando, por isso coloquei um link logo abaixo para verificar e desinfectar o seu computador dessa ameaça!! POR FAVOR, ISSO NÃO É BRINCADEIRA!!
NÃO CARREGUE ESSE ARQUIVO EM HIPÓTESE ALGUMA !!! TENHA CUIDADO!!
POR FAVOR DISTRIBUA ESTA INFORMAÇÃO PARA O MAIOR NÚMERO DE PESSOAS POSSÍVEL.
Mais uma vez, passe esta informação a todas as pessoas constantes de seu livro de endereços de maneira que possamos contê-lo, e NUNCA carregue o arquivo CARTAONATAL.SCR.
Este é um virus muito devastador e poucas pessoas estão informadas sobre ele.
FAÇA O DOWNLOAD DO SCAN E TESTE SE VOCÊ ESTÁ INFECTADO COM ESSE VÍRUS, MESMO QUE VOCÊ TENHA UM ANTI-VÍRUS E PROTEJA O SEU COMPUTADOR DESSA PRAGA!!
CLIQUE AQUI PARA O DOWNLOAD
DEPOIS DO DOWNLOAD, BASTA EXECUTAR O VERIFICADOR E SEGUIR AS INSTRUÇÕES.
Boa Sorte!
| Noticias |
Lei dos EUA vai estimular o envio de spam, dizem especialistas
17/12/2003 - 19:22 Helena Nacinovic
Especialistas norte-americanos temem que a lei anti-spam assinada na última terça-feira pelo presidente George W. Bush consiga apenas lotar as caixas de e-mails dos internautas com tipos diferentes de spam, em vez de eliminá-lo. Apesar da aprovação da lei americana e da lei européia anti-spam, a MessageLabs prevê que o spam representará cerca de 70% de todos os e-mails enviados em abril de 2004, o que significa um aumento de 55% em relação ao volume atual.
Em matéria do jornal Washington Post, os críticos da lei americana a condenam por se sobrepor a leis estaduais mais restritivas e conter vários pontos que, potencialmente, podem abrir portas para o spam. O consenso geral é que, caso seja aplicada corretamente, a lei permita a eliminação dos spammers que enviam pornografia, vendedores de Viagra e golpes, como o famoso hoax nigeriano. Mas o spam enviado de empresas vai continuar a existir e alguns críticos acreditam que vai aumentar com o aval da lei.
O problema é parecido com o que acontece no Brasil: muitos criticam o código de ética anti-spam por apenas regulamentar o envio de mensagens comerciais não solicitadas ao invés de tentar impedir que sejam enviadas. Desta forma, internautas norte-americanos e brasileiros temem o crescimento do spam, só que agora regularizado.
Outro ponto polêmico da lei norte-americana é a criação de uma lista de pessoas que não querem receber nenhum spam. Nos EUA, já existe um sistema semelhante para pessoas que não querem receber telefonemas de marketing não-solicitados. Para fazer parte da versão digital, as pessoas precisam pedir para serem incluídas nessas listas e os spammers estão livres para mandar e-mails para todas as pessoas que estão de fora. Outro detalhe é que a maioria dos spammers que infernizam os internautas não são empresas legítimas, portanto não é provável que eles sigam tal recomendação da lei.
Os especialistas de todo o mundo argumentam que a medida é prejudicial, por presumir que todas as pessoas querem receber spam, menos aquelas que puseram seu nome na lista. O melhor método seria o contrário: uma lista de pessoas que desejam receber mensagens comerciais. Esse foi o método adotado pela União Européia, cuja lei foi considerada superior à dos EUA por ter mais probabilidade de conseguir resultados na luta contra o spam.
| Noticias |
Falha no Mensageiro é mais perigosa do que se pensava
17/12/2003 - 18:31 Angela Ruiz
Segundo a Symantec, um potencial exploit (programa) para uma vulnerabilidade no serviço Menssageiro do Windows (Microsoft Windows Messenger Service) pode ter conseqüências muito mais graves do que se esperava. Enquanto o worm Slammer teve de atacar cada sistema de forma individual, o exploit do Mensageiro permite aos piratas informáticos enviar apenas um pacote de dados para atacar todos os sistemas de uma rede.
O serviço Windows Messenger faz parte do Windows (NT, 2000, XP e Server 2003) e permite que os usuários enviem mensagens para outro computador na mesma rede usando uma janela pop-up. Isso também pode ser feito com qualquer outra máquina conectada à Internet que use os mesmos sistemas operacionais.
Existe uma vulnerabilidade neste serviço que permite a execução arbitrária de código no sistema afetado, por meio de um estouro de buffer. Segundo os investigadores da Symantec, foi encontrada uma grande quantidade de métodos diferentes que podem ser usados para explorar o problema. Isso o torna muito mais grave do que parecia quando foi descoberto.
Oliver Friedrichs, responsável pela equipe de resposta de segurança da Symantec, disse que cada sistema vulnerável em uma rede poderia potencialmente ser atacado ou ser infectado se o exploit for desenvolvido e usado como um worm. O exploit do serviço Mensageiro também poderia ser usado para atacar servidores de banco de dados, como aconteceu com o Slammer, assim como qualquer máquina que use o Windows 2000, XP, NT ou Server 2003.
Para explorar o problema, um cracker precisa se conectar a qualquer sistema vulnerável, pela Internet ou pela rede local. O Mensageiro usa as portas TCP 135, 139, 445 e 593; UDP 135, 137 e 138; e outras portas UDP no intervalo de 1025 a 1035.
A Symantec recomenda quatro maneiras de se proteger contra essa vulnerabilidade:
1) É possível instalar um patch de correção disponível no site da
Microsoft, junto com o boletim MS03-043.
2) Os administradores de redes podem bloquear as portas afetadas,
indicadas acima.
3) Os usuários individuais podem instalar um firewall para uso pessoal, como o que existe embutido no XP, ou de fornecedores especializados.
4) É possível desabilitar o serviço Messenger desta forma:
Windows XP
a. Clique em "Iniciar" - "Painel de Controle"
b. Selecione "Ferramentas administrativas"
c. Clique duas vezes em "Serviços"
d. Selecione "Messenger" ou "Mensageiro"
e. Clique com o botão direito do mouse e selecione "Propriedades"
f. Clique no botão "Parar" (ou "Stop")
g. Selecione a opção para desabilitar ou tornar o serviço manual
h. Clique em "OK" para aceitar as alterações
Windows 2000
a. Clique em "Iniciar" - "Programas" - "Ferramentas administrativas" -
"Serviços"
b. Selecione "Messenger" ou "Mensageiro"
c. Clique com o botão direito do mouse e selecione "Propriedades"
d. Clique no botão "Parar" (ou "Stop")
e. Selecione a opção para desabilitar ou tornar o serviço manual
f. Clique em "OK" para aceitar as alterações
Windows NT
a. Clique em "Iniciar" - "Painel de Controle"
b. Selecione "Serviços"
c. Selecione "Messenger" ou "Mensageiro"
d. Clique com o botão direito do mouse e selecione "Propriedades"
e. Clique no botão "Parar" (ou "Stop")
f. Selecione a opção para desabilitar ou tornar o serviço manual
g. Clique em "OK" para aceitar as alterações
Angela Ruiz é colaboradora do site VSantivirus. Texto publicado sob autorização. URL original: http://www.vsantivirus.com/17-12-03.htm.
Tradução de Helena Nacinovic
Leia também:
Microsoft muda configuração padrão do Windows XP
Spam está sendo enviado por meio do Mensageiro do Windowsa
Spam via Windows já é uma realidade
Não dê dinheiro a spammers
| Destaque |
LocaWeb está em lista negra anti-spam há 2 meses
16/12/2003 - 23:24 Redação InfoGuerra
A Locaweb, um dos maiores provedores de hospedagem de sites do Brasil, está na lista RBL (Realtime Blackhole List) de bloqueio a spam desde outubro deste ano. A RBL relaciona endereços IP de provedores de todo o mundo que não respondem às denúncias de spam provenientes de suas redes e, portanto, são considerados fontes de mensagens indesejadas.
A RBL pertence ao MAPS (Mail Abuse Prevention System) e é uma das principais "listas-negras" da Internet. Muitos administradores de redes a adotam como parâmetro para filtrar mensagens eletrônicas e barrar a entrada de spam em seus servidores. A inclusão da LocaWeb na lista significa que o endereço do provedor será bloqueado por estes administradores, o que pode causar o bloqueio também de mensagens legítimas dos seus usuários.
Segundo o relatório da RBL, a organização tentou entrar em contato com os endereços abuse@locaweb.com.br, postmaster@locaweb.com.br e info@locaweb.com.br, da LocaWeb, e abuse@embratel.net.br, pertencente ao grupo de segurança Internet da Embratel, que consta como contato para abusos no cadastro da rede usada pelo provedor. As mensagens enviadas para postmaster@locaweb.com.br e abuse@embratel.net.br deram "bounce", ou seja, voltaram porque os endereços não puderam ser contatados.
O diretor de qualidade da LocaWeb, Francisco Zapata, disse a InfoGuerra que “a informação de que a RBL não teve resposta é falsa”. Ele garante que os e-mails foram respondidos, assim como o são para outras organizações anti-spam, mas que, “especificamente com a RBL”, a empresa encontrou “dificuldades no tempo de resposta”. Zapata afirmou que o último e-mail foi enviado no dia 8 de dezembro e o provedor ainda aguarda algum retorno.
O diretor de qualidade afirmou ainda que a LocaWeb está “em conversação com RBL para saber o que mais precisa fazer para ser liberada na lista deles”.
A informação de inclusão da LocaWeb na RBL circulou na mesma semana em que a assessoria de imprensa do provedor divulgou a adoção de “políticas rígidas” para controlar o spam em sua rede. Segundo a nota divulgada, o contrato previa até a “suspensão imediata da prestação de serviços contratados independente de aviso ou notificação” em casos de spam.
| Noticias |
Bugbear.B foi campeão de infecções em 2003
16/12/2003 - 20:20 Redação InfoGuerra
O Bugbear.B foi o código maléfico que mais fez vítimas em 2003, afirmou a empresa antivírus Panda Software. A afirmação é parte dos resultados de uma análise dos dados coletados pelo programa antivírus online da empresa, que registrou 11,21% de casos do Bugbear.B entre as ocorrências detectadas. O worm se distribui por e-mail e compartilhamento de rede, instala um cavalo de Tróia, rouba informações digitadas, infecta arquivos e danifica softwares de segurança.
O Klez.I (Klez.H na classificação de outras empresas) ficou em segundo lugar na lista dos piores de 2003, sendo responsável por 8,59 % dos casos detectados. O worm, que foi descoberto em 2002, continua a causar problemas e se espalhar automaticamente usando vários disfarces para enganar os internautas desavisados. O terceiro lugar ficou com o cavalo de Tróia PSW.Bugbear.B, que foi instalado em 6,45 % das máquinas dos usuários da Panda. Esse trojan é parte do worm Bugbear.B e pode ser usado para furtar informações confidenciais.
Em seguida está o worm Blaster, que trouxe dor de cabeça para 5,32 % dos usuários. O Blaster causou problemas no mundo inteiro em agosto deste ano e explora uma vulnerabilidade no componente RPC do Windows. Em quinto lugar está o Parite.B, uma praga poliforme que atingiu 5,10% dos usuários. Ele existe desde 2001 e, segundo a Panda, continua a infectar de modo “discreto, mas persistente”.
No sexto lugar está o worm Mapson, com 4,73 % dos casos. Ele se espalha de forma rápida usando e-mail, MSN Messenger e programas de troca de arquivos peer-to-peer (P2P). O worm Enerkaz está em sétimo lugar com 4,42 %, seguido pelo cavalo de Tróia NoClose, com 3,59 % dos casos de infecção. O nono e décimo lugares ficaram com o Bugbear.A, com 3,43%, e o Bugbear.B.Dam, com 2,52%, respectivamente.
Em 2003 proliferaram vários vírus de computador com grande capacidade de disseminação, por isso não é de se estranhar se outras empresas antivírus fornecerem estatísticas diferentes das divulgadas pela Panda. A Sophos, por exemplo, atribuiu ao Sobig.F, que nem aparece entre os dez mais da Panda, o título de pior worm de 2003. De acordo com as informações da empresa britânica, o Sobig.f foi responsável por quase um quinto de todas as infecções do ano.
Leia também:
2003, o ano dos vírus
Sobig-F é o pior worm de 2003
Bugbear.B foi a pior praga de junho
| Noticias |
eBay proíbe venda de software livre em CDs
A NewsForge, site de notícias da comunidade de software livre, afirmou que os usuários do site de leilões eBay estão tendo problemas ao tentar vender CDs graváveis com cópias de software disponível sob a licença aberta. O site tem a política de proibir a venda de software pirata, como CDs gravados com cópias do Windows, por exemplo.
O eBay já removeu vários leilões de produtos da Microsoft, pois, segundo a NewsForge, a empresa de Redmond acredita que os consumidores não têm direito de revender os produtos com o nome Microsoft. Mas o software livre não deveria ser incluído nesta categoria, já que, em geral, está disponível para download gratuito pela Internet e sua licença permite a redistribuição do software e até mesmo a cobrança pelo serviço.
O usuário Russ Phillips tentou vender no eBay cópias em CDs graváveis do software OpenOffice, que está disponível gratuitamente na Internet. Segundo Phillips, o objetivo era poupar os compradores do download de cerca de 70MB. Mas seu produto foi retirado do ar depois da primeira venda, realizada com sucesso. Segundo o aviso que ele recebeu do eBay, o produto violava a política contra cópias não autorizadas.
Apesar de entrar em contato com o eBay e ressaltar que o OpenOffice é um software livre e gratuito, com uma licença que permite a cópia e distribuição, o site de leilões não respondeu nem colocou o produto novamente no ar. A NewsForge entrou em contato com o eBay, mas afirma que também não obteve uma resposta. Entre os itens proibidos pelo eBay estão cópias de backup e arquivos de software, independentemente dos termos da licença deste software.
| Destaque |
2003, o ano dos vírus
15/12/2003 - 17:50 Helena Nacinovic
No ano em que os vírus comemoraram 20 anos de existência, eles dominaram a Internet no mundo inteiro: 2003 foi o pior ano da história dos vírus. Essa é a conclusão do estudo feito pela F-Secure, que fez um balanço geral de todas as pragas presentes na Internet durante o ano. 2003 também foi o ano de novas tendências no comportamento dos vírus, que foram usados pelos spammers como ferramentas de disseminação. O número de vírus conhecidos chegou este ano a 90 mil pragas e só reforça a recomendação de especialistas de equipar todas as máquinas, corporativas ou domésticas, com firewalls e outros programas de proteção.
A análise da F-Secure também afirmou que 2003 teve o maior número de vírus graves da história. Sete pragas receberam a classificação mais alta de perigo, mas cinco delas foram os reais vilões do ano: Slammer, Bugbear.B, Blaster, Sobig.F e Swen. O Slammer foi considerado o pior ataque que a Internet já sofreu. Apesar de o worm infectar relativamente poucas máquinas, já que seu alvo era apenas os sistemas que usavam o banco de dados Microsoft SQL, o Slammer causou um engarrafamento imenso na Internet enquanto procurava, com uma velocidade surpreendente, todas as máquinas vulneráveis.
Já o worm Bugbear.B se concentrou no furto de informações de bancos. A praga tem como alvo principal as redes de cerca de 1300 bancos de todo o mundo, numa tentativa de infectar usuários e roubar senhas e informações confidenciais das instituições financeiras. A F-Secure afirmou que, apesar de o worm ter se distribuído rapidamente em meados do ano, os danos causados por ele não são conhecidos.
O worm Blaster, com um funcionamento semelhante ao Slammer, conseguiu infectar uma grande quantidade de sistemas Windows 2000 e XP em todo o mundo. Apesar de se espalhar de forma mais lenta do que o Slammer, ele também se espalhava por conexões de rede diretas e foi bem mais rápido do que os vírus comuns que se espalham por e-mail. O worm, além de causar muitos problemas para os donos das máquinas infectadas, usou as vítimas para fazer ataques de negação de serviço contra o site windowsupdate.com, que disponibilizava a correção para a vulnerabilidade no módulo RPC de que o Blaster se aproveitava. O worm Nachi, ou Welchi, foi criado para remover o Blaster e instalar as correções da vulnerabilidade. Mas o vírus "bom" acabou causando tantos problemas quanto a praga anterior, já que o tráfego de rede aumentou bruscamente e derrubou os sistemas de muitas empresas no meio do ano.
O worm Swen é mais tradicional e se espalha por e-mail, mas usava o disfarce de boletim de segurança da Microsoft, usando inclusive layout semelhante ao do site oficial da empresa. O maior impacto do worm não foi para os usuários domésticos, mas sim para as provedoras de Internet, já que o Swen muitas vezes tentava atacar endereços de e-mails inexistentes, criando um volume imenso de mensagens de erro e e-mails retornados nas redes das operadoras.
O SoBig.F apareceu apenas uma semana depois do Blaster e é considerado o pior worm de todos os tempos por enviar mais de 300 milhões de e-mails infectados em todo o mundo. O worm transformava as máquinas infectadas em servidores proxy de e-mail, permitindo que spammers usassem essas máquinas para enviar suas mensagems indesejadas sem serem rastreados. A família de worms SoBig parece ser fruto de um grupo de criadores de vírus que tinham um objetivo comercial, em vez dos comuns crackers ousados que apenas querem provar conhecimento. Os worms, desde sua primeira "versão", tinham data para expirar e foram ficando mais sofisticados até chegar à versão F, que criava bases de envio de spam.
A união entre vírus e spam não parou por aí. Em 2003, os internautas sofreram com worms que coletavam endereços de e-mail, criavam servidores de envio de mensagens em suas máquinas, atacavam sites anti-spam e transformavam computadores comuns em servidores Web para anunciar produtos ilegais. Outra novidade no comportamento dos vírus foi a gravidade do impacto causado por eles. Além de prejudicar a Internet e redes corporativas e financeiras, os vírus afetaram também redes de caixas eletrônicos, tráfego aéreo, redes telefônicas e até uma usina nuclear nos EUA.
| Noticias |
Ataque ao site da SCO foi confirmado por analistas
15/12/2003 - 15:21 Helena Nacinovic
O ataque que derrubou o site oficial da SCO, desenvolvedora do sistema operacional Unix, realmente aconteceu, segundo um relatório divulgado recentemente pela Cooperative Association for Internet Data Analysis (CAIDA). A associação analisou os dados coletados e confirmou que o site da empresa ficou fora do ar devido a mais de 700 milhões de pacotes de dados durante 32 horas, ou seja, um ataque de negação de serviço no último dia 11 de dezembro.
O relato original da SCO sobre o ataque foi questionado por várias comunidades de segurança e tecnologia da informação, incluindo o Slashdot e o Groklaw, pois aparentemente o site de FTP da empresa, ftp.sco.com, estava funcionando perfeitamente. O relatório da CAIDA ajudou a reforçar as alegações da SCO, mas ainda há polêmica e dúvidas, como no fórum da NewsForge, site de notícias voltado para a comunidade open-source.
O resultado da análise descobriu também que, no começo do ataque, os servidores Web da SCO foram alvo de 34 mil solicitações por segundo em ataques "SYN Flood", que entopem a conexão com solicitações do protocolo TCP geralmente vindas de endereços IP falsos. Segundo a nota publicada pela Netcraft, os sites www.sco.com e ftp.sco.com sofreram, juntos, ataques com mais de 50 mil solicitações deste tipo por segundo.
Este não é o primeiro ataque do gênero que derruba o site da SCO. Em agosto, o site ficou fora do ar durante 3 dias. A empresa é alvo de polêmica devido ao processo que está movendo contra a IBM pelo o uso de parte do seu código no sistema operacional Linux. Caso a SCO consiga provar que tem direito a receber direitos autorais por essas partes de código, a comunidade Linux pode se ver obrigada a pagar multas pesadas pelo o uso do sistema operacional.
| Destaque |
Melzinha ataca novamente
15/12/2003 - 0:52 Giordani Rodrigues
 |
| Destaque |
Brasil é o quarto país em volume de spam
13/12/2003 - 4:01 Redação InfoGuerra
O Brasil já é o quarto país no mundo em circulação de mensagens indesejadas e a expectativa é que o volume de spam cresça no país com a proximidade das festas de Natal e Ano novo. Essas foram as conclusões de um levantamento da Conferência das Nações Unidas para o Comércio e o Desenvolvimento/ União Internacional de Telecomunicações (UNCTAD/ITU), divulgado pela empresa antivírus Symantec. A pesquisa revelou também que a Internet no Brasil é responsável por 4,9% do tráfego mundial de spam, ficando atrás dos EUA, China e Reino Unido.
Uma análise feita pela consultoria Ferris Research sobre o problema no mundo mostra que as empresas perdem US$ 10 bilhões por ano na luta contra o spam em suas redes e devido à perda de produtividade de funcionários. Além disso, o spam está vindo acompanhado de vírus e outros códigos maléficos que exploram vulnerabilidades das máquinas.
A Insight Express, empresa de pesquisas online, fez um estudo a pedido da Symantec com 500 empresas pequenas e médias nos EUA e descobriu que o spam faz 42% delas cogitaram o fim do uso de e-mail para correspondências corporativas. Exatamente metade dos entrevistados também cogitam mudar todos os e-mails corporativos e 56% têm intenção de adotar filtros de mensagens em suas redes. Das empresas entrevistadas, 32% afirmaram que já investiram na criação de listas negras de e-mails, mas o problema só tende a se agravar.
Para tentar educar os usuários, a Symantec lançou, há alguns meses, o site Spam Watch Response Center, que oferece conselhos para evitar spam, informações sobre software pirata, fraudes de cartões de crédito e assuntos relacionados.
| Noticias |
Empresas antivírus alertam para o worm Scold
12/12/2003 - 18:26 Helena Nacinovic
Um novo worm descoberto nesta semana tem provocado alertas das empresas antivírus devido à relativa velocidade com que tem se espalhado desde o dia 10 de dezembro. O W32/Scold-MM se distribui por e-mail com um texto que induz o usuário a abrir uma "linda foto" anexa. Além disso, inclui uma falsa informação de que o arquivo anexo não contém vírus.
A linha de assunto da mensagem traz sempre o texto "When It's Cold Outside She Gives Me Warm Inside" (Algo como, “Quando está frio lá fora, ela me esquenta por dentro”). O arquivo anexo possui nomes variados, mas sempre tem a extensão .SRC, que designa arquivos usados como protetores de tela.
Uma vez aberto, o Scold se copia para a pasta "System" do Windows com o nome "Warm.scr", além de criar uma entrada no registro do sistema: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Warm.exe. Desta forma, a rotina do worm é iniciada sempre que o computador for ligado. O Scold coleta endereços de e-mail dos catálogos e páginas HTML armazenados na máquina infectada e envia cópias de si mesmo para tais endereços.
Segundo a MessageLabs, foram interceptadas 5.415 cópias do Scold desde o dia 10 de dezembro, principalmente no Reino Unido, Austrália e Egito.
| Noticias |
Filtro de conteúdo Web ganha nova versão
A SonicWALL, empresa de segurança da informação, anunciou nesta semana o lançamento de uma nova edição do serviço de filtragem de conteúdo Content Filtering Service (CFS) Premium para os setores educacional, corporativo e governamental. Celso Hummel, engenheiro de sistemas da empresa, afirmou que o serviço, que já existe em outros países, foi adequado ao contexto brasileiro, incluindo sites locais em suas listas de categorias.
O CFS Premium permite que os administradores da rede bloqueiem até 56 categorias de sites com conteúdo inadequado, além de sites que interferem na produtividade dos usuários. O CFS Premium também oferece personalização de políticas de filtragem e a atualização constante do banco de dados de classificação de mais de 4,3 milhões de sites. O serviço roda no novo sistema operacional da SonicWall, o SonicOS Enhanced, e está disponível no firewall PRO 4060, além de servir de atualização nos firewalls PRO 3060 e TZ 170.
O serviço usa um banco de dados dinâmico de URLs, endereços IP e domínios para bloquear o conteúdo inadequado encontrado na Web. Os administradores controlam a aplicação em suas redes com a interface de gerenciamento. Também há um mecanismo de cache de sites que armazena as classificações de sites localmente no dispositivo da SonicWALL, reduzindo o tempo de resposta aos sites visitados com maior freqüência. O serviço pode ser adquirido com uma assinatura anual e os preços variam de cerca de R$4 mil até cerca de R$ 2 mil, de acordo com as plataformas usadas pelo cliente.
| Noticias |
Mozilla também está vulnerável a falha que atinge o IE
12/12/2003 - 15:32 Helena Nacinovic
A falha na correta exibição de URLs (endereços) encontrada no Internet Explorer também atinge o navegador Mozilla Firebird, de maneira menos grave. A vulnerabilidade permite que, no Internet Explorer (IE), sejam criados links em DHTML (HTML Dinâmico) que enganam os internautas, exibindo uma URL falsa na barra de endereços enquanto o navegador carrega uma página maliciosa.
Segundo a empresa de segurança Secunia, foi descoberto mais um detalhe no IE: além da barra de endereços, a barra de status do navegador também exibe a URL falsa, completando o golpe. Isto significa que quando se pousa o mouse sobre o link preparado para se observar o real endereço, apenas a URL que o atacante quer que apareça é exibido na barra inferior esquerda no navegador.
No Mozilla Firebird, um dos programas da Mozilla.org, o problema atinge apenas a barra de status, mas não deixa de ser preocupante. A vulnerabilidade foi constatada no IE 6.0 e no Mozzila Firebird 0.7 e talvez outras versões dos navegadores também estejam afetadas.
A Secunia oferece um link de teste em que usuários de ambos os navegadores podem verificar se estão vulneráveis.
Leia também:
Brecha do IE faz site falso parecer verdadeiro
| Destaque |
Brecha do IE faz site falso parecer verdadeiro
11/12/2003 - 21:43 Redação InfoGuerra
Um designer britânico de 18 anos divulgou esta semana uma nova técnica para se aproveitar de uma brecha de segurança antiga no navegador Internet Explorer (IE), que pode causar dor de cabeça aos internautas. Usando o método descrito, pode-se levar os usuários do programa a visitarem sites falsos, acreditando estarem em sites verdadeiros.
A falha acontece quando um código DHTML (HTML Dinâmico) causa problemas de depuração de URLs (endereços) no navegador, o que permite que o criador do código determine que URL será exibida na barra de endereços do IE. A URL maliciosa pode ser reconhecida pela presença do código "%01" juntamente com o sinal "@" (arroba), que marca o fim do endereço falso e o começo do verdadeiro.
O sinal de arroba é normalmente usado em URLs para indicar a autenticação de usuários e senhas, no seguinte formato: http://usuario:senha@dominio/pagina ou simplesmente http://usuario@dominio/pagina. Substituindo-se o nome do usuário pelo endereço de um site é possível criar um truque bastante conhecido, que faz uma página falsa parecer legítima, assim: http://endereco_falso@endreco_verdadeiro.
Mas a técnica atual vai um passo além, ao inserir o código “%01” antes da arroba. Isto faz com que o endereço verdadeiro (do atacante) simplesmente desapareça na barra do navegador e o usuário veja apenas o endereço do site que se quer imitar. Segundo o site de segurança VSAntivirus, a falha só acontece em navegadores que têm o recurso ActiveX ativado. Caso contrário, o usuário verá a URL maliciosa da seguinte forma: http://endereco_falso%01@endereco_verdadeiro.
O designer, que usa o apelidado de "Zap The Dingbat", forneceu uma página para que os usuários possam testar seu navegador. Para saber se o seu IE está vulnerável, clique aqui e depois no botão "Test Exploit". Feito isso, os navegadores que estiverem com a vulnerabilidade mostrarão um site com o endereço http://www.microsoft.com contendo uma página que obviamente não pertence à Microsoft. Navegadores não vulneráveis, exibirão a verdadeira URL: http://www.microsoft.com%01@zapthedingbat.com/security/ex01/vun2.htm.
O truque pode ser especialmente perigoso se for usado em conjunto com golpes que se utilizam de sites clonados de bancos, por exemplo, para furtar dados de conta corrente ou de cartão de crédito. Este tipo de golpe está em alta ultimamente e um dos indícios que podem alertar os usuários é a URL não convencional. Com um endereço que pareça autêntico, tais golpes podem ser ainda mais eficientes e fazer mais vítimas.
Por isso, mais do que nunca, deve-se ter cuidado com e-mails não solicitados em nome de bancos e outras empresas conhecidas, que orientam os usuários a recadastrar seus dados ou participar de uma promoção imperdível. Tais mensagens devem ser ignoradas. Além disso, ao acessar o site do seu banco para fazer transações financeiras, o melhor é digitar o endereço da página diretamente na barra do navegador em vez de clicar em links presentes em e-mails ou outros sites.
Leia também:
A Microsoft comprou a Red Hat?
Grandes companhias são enganadas por falsas otícias
| Noticias |
Patch misterioso aparece no site da Microsoft
A Microsoft emitiu na última quarta-feira uma correção de segurança (patch) pelo serviço Windows Update. O procedimento, que não causaria espanto em uma situação normal, deixou a empresa preocupada já que, no dia anterior, ela declarou que não iria disponibilizar o seu boletim mensal de segurança em dezembro. O patch misterioso, já lançado anteriormente no boletim de novembro, corrige uma falha crítica nas extensões do Microsoft FrontPage que permite a execução remota de código.
A Microsoft disse que está investigando por que e como o patch foi novamente publicado, já que ele não faria parte do boletim de dezembro, que deveria ter sido publicado no último dia 9. A empresa adotou em outubro deste ano a política de boletins mensais de segurança, no lugar da prática anterior de lançar boletins semanais. O boletim de dezembro deveria trazer, além do conjunto habitual de correções para falhas descobertas no último mês, uma apresentação que explicaria detalhes das correções.
O gerente de segurança de programas da Microsoft Iain Mulholland declarou que não há nenhuma correção que tenha atingido a qualidade necessária para a publicação em dezembro. Ele frisou que a empresa se comprometeu a fornecer apenas correções de qualidade. Mulholland afirmou também que a Microsoft vai abrir execeções à programação de boletins caso surja alguma ameaça crítica.
Segundo o site de notícias Hispasec, esta é primeira vez em cinco anos que a Microsoft passa um mês inteiro sem publicar boletins de segurança, mas a decisão não foi tomada por falta de falhas a serem corrigidas. As mais perigosas, e que já estão sendo exploradas de forma maliciosa, são falhas descobertas no navegador Internet Explorer que permitem a execução remota de código. A empresa declarou que está trabalhando para produzir as correções, mas aparentemente não houve tempo para terminá-las antes da data prevista para a publicação do boletim. A Microsoft não informou quando pretende divulgar essas correções, mas o próximo boletim geral está programado para sair no começo de janeiro.
Leia também:
Divulgadas cinco novas falhas graves no IE
| Noticias |
ISS lança software de segurança tudo em um
A Internet Security Systems (ISS) anunciou nesta semana o lançamento do Proventia M50, um software de segurança "tudo em um", que reune proteção contra vírus, acesso não autorizado, ataques a redes, invasões e ataques híbridos, como os realizados pelas pragas SQL Slammer, Code Red e Blaster.
O software executa as funções de firewall, gateway, antivírus e VPN para as redes onde é instalado. A empresa anunciou também que pretende incluir, futuramente, filtros de conteúdo e anti-spam no Proventia M50.
| Noticias |
Variante do Yaha usa patches e senhas pornô como disfarce
11/12/2003 - 4:36 Helena Nacinovic
Uma variante do worm Yaha, o W32/Yaha-Y está circulando pela Internet, tentando atrair vítimas com vários disfarces, que incluem falsas atualizações de segurança da Microsoft, falsas correções para o worm Blaster e falsas senhas de acesso a sites pronográficos. Segundo a empresa antivírus Sophos, que afirma ter recebido vários relatos sobre o worm, o Yaha-Y está "in the wild" (à solta), espalhando-se por redes de compartilhamento de arquivos e como anexo de e-mails.
O worm contém instruções para que, ao ser transmitido via rede de compartilhamento de arquivos, seja executado assim que o usuário abrir qualquer arquivo com a extensão .exe, .src, .com ou .bat. Ao ser executado, o Yaha-Y se copia para a pasta Windows da máquina infectada com os nomes de EXE32.EXE e MSMGR32.EXE, mantendo esses arquivos ocultos. Ele também cria entradas no registro do Windows que garantem sua execução sempre que a máquina for reiniciada. Estando ativo, o worm tenta fechar programas antivírus e de segurança, alterando o registro da máquina para que eles não voltem a ser abertos quando o sistema for reiniciado.
Veja alguns dos disfarces mais comuns do Yaha-Y:
Assunto: Fix for the New Worm Threat
Texto da mensagem: Dear customer, We are enclosing Fix for W32.Blaster.Z as per your request.
Arquivo anexo: Fixblastz.zip
Assunto: Critical Updates
Texto da mensagem: Dear customer, Thanks for using Microsoft products. Recent viruses have prompted microsoft to issue patches to all its customers worldwide.
Arquivo anexo: MS-Q3526.com
Assunto: Crack for Porn sites
Texto da mensagem: Hi, This is a new crack for porn site. Please download and check program. Bye.
Arquivo anexo: porncrack.zip
É bom lembrar que o worm Yaha possui muitas variantes e que as empresas antivírus continuam com o hábito de nomear os vírus de formas diferentes. Assim, o Yaha-Y descrito pela Sophos esta semana não é o mesmo que o worm surgido em setembro e batizado de Yaha-Y por algumas empresas (e de Yaha-U por outras).
| Noticias |
Workshop em Florianópolis discute protocolação eletrônica
Acontece em Florianópolis, amanhã, dia 11 de dezembro, o I Workshop de Protocolação de Documentos Eletrônicos. O evento pretende discutir métodos e infra-estrutura necessária para protocolação de documentos digitais, incluindo também as práticas de segurança envolvidas.
O workshop vai ser realizado pelo Laboratório de segurança em computação da Universidade Federal de Santa Catarina (LabSEC/UFSC) e vai contar com uma apresentação do Instituto Nacional de Tecnologia da Informação (ITI), representado pelo diretor de Infra-estrutura de Chaves Públicas Renato Martini, sobre carimbos de tempo, parte fundamental de sistemas que usam tramitação eletrônica de documentos.
Entre as outras palestras que serão apresntadas no evento estão temas como "Infra-estrutura de protocolação digital de documentos eletrônicos" e "Análise da confiança do sistema de protocolação digital de documentos eletrônicos", além do painel de discussão sobre "Proposta de um sistema nacional para protocolação de documentos eletrônicos".
Para participar do evento, que dura o dia inteiro, é preciso entrar em contato com Camile pelo e-mail camile@inf.ufsc.br ou telefone (48) 331-7546. O workshop vai acontecer no Auditório do Centro de Convenções da FIESC, que fica na Rodovia Admar Gonzaga, 2765, em Itacorubi, Florianópolis.
| Noticias |
Golpistas atacam usuários do Registro.br
9/12/2003 - 23:23 Giordani Rodrigues
Os golpistas da Internet resolveram atacar esta semana pessoas que supostamente possuem domínios registrados no Registro.br. De acordo com um alerta enviado por e-mail pelo órgão e publicado em seu site, usuários do Registro.br sofreram um "ataque de engenharia social" nas últimas horas. O objetivo principal do golpe provavelmente era obter a senha de acesso aos domínios registrados e assim poder controlar os sites ligados aos endereços cadastrados.
Para quem desconhece o termo, engenharia social é a técnica de ludibriar uma pessoa para que esta forneça informações privilegiadas, rode programas maliciosos ou execute outras ações de interesse de um atacante. É o velho conto do vigário com uma roupagem tecnológica.
O golpe está em alta nos últimos meses, principalmente contra clientes de Internet Banking, que têm recebido e-mails fraudulentos imitando mensagens de bancos e de outras empresas conhecidas. Os correntistas são induzidos a rodar programas espiões ou cadastrar seus dados bancários, incluindo senhas, em sites falsos, geralmente clones dos sites bancários hospedados em provedores gratuitos ou em domínios registrados no exterior.
O ataque aos usuários do Registro.br segue a mesma linha. Conforme o alerta publicado no site, os usuários receberam falsas mensagens de e-mail contendo o endereço de um site que imitava quase que fielmente a página de autenticação do Registro.br e solicitava o recadastramento dos usuários devido a uma suposta atualização do sistema do órgão. A diferença em relação à página original, além do endereço fraudulento, era a presença de um banner publicitário e a ausência do símbolo do cadeado fechado, indicando uma transmissão segura dos dados, usada no site autêntico do Registro.br.
O site falso já foi retirado do ar e, de acordo com o coordenador técnico do Registro.br, Frederico Neves, "existem outras medidas em andamento para a identificação dos responsáveis". Neves não quis revelar qual era o endereço fraudulento e preferiu não fornecer outros detalhes sobre o golpe. "Neste momento a divulgação de qualquer um destes dados pode vir a comprometer as investigações que estamos efetuando", justificou.
O coordenador do órgão não soube dizer se os golpistas enviaram mensagens a internautas aleatoriamente ou se visaram especificamente quem tinha domínios registrados. "Não possuímos cópias suficientes das mensagens para que se possa retirar alguma correlação da origem dos dados para o scam (esquema fraudulento)", afirmou. Neves, porém, garantiu que "não ocorreu comprometimento algum da segurança das informações do Registro.br".
Ele acha que uma das alternativas para evitar este tipo de golpe, além da educação dos usuários, é a adoção de certificados digitais pessoais. O problema deste procedimento em uma base de usuários grande como a do Registro.br é a complexidade da medida, explica. Além disso, a certificação também não garante totalmente a segurança do sistema, pois está subordinada à segurança das máquinas dos usuários, as quais podem ser comprometidas. "No momento nenhum método de autenticação alternativo está descartado para adoção no futuro", esclarece.
O Registro.br está orientando os usuários que acham que foram induzidos a fornecer seus dados de forma fraudulenta a entrar em contato com o órgão o quanto antes, preferencialmente pelo e-mail hostmaster@registro.br, ou pelo telefone (11) 5509-3500.
| Noticias |
Firewall baseado em Linux ganha nova versão
9/12/2003 - 21:02 Helena Nacinovic
Já está disponível na Internet o SmoothWall 2.0, nova versão do sistema operacional com função de firewall baseado em Linux. O SmoothWall permite que máquinas antigas e ultrapassadas se tornem firewalls modernos. A nova versão traz um novo kernel (parte central do sistema operacional), correções de bugs e conexões de rede aprimoradas.
O SmoothWall é voltado para usuários domésticos ou empresas pequenas que não podem pagar por um roteador sofisticado. Baseado no código do Linux, é um sistema operacional com código aberto totalmente voltado para proteger pequenas redes. O site oficial do software oferece o download do programa, o código-fonte e manuais de uso.
| Noticias |
Brecha no Websense permite rodar scripts maliciosos
Foi divulgada em listas de segurança da informação uma vulnerabilidade em várias versões do Websense Enterprise, software usado para filtrar conteúdo no acesso à Internet em redes corporativas. A vulnerabilidade acontece porque o Websense Enterprise exibe páginas de erro no lugar de sites bloqueados sem verificar de forma completa o código HTML e os scripts do site bloqueado.
Isso permite a realização de ataques com scripts de sites maliciosos, caso a vítima tente visitar uma página proibida que inclua script mal intencionados. O atacante poderia, então, furtar informações de cookies. As versões vulneráveis do Websense Enterprise são: 4.3, 4.4, 5.0.1 e 5.1.
Já existem correções disponíveis para as versões 5.01 and 5.1 nas plataformas Windows, Solaris e Linux. Para os usuário de outras versões, é recomendável a criação de páginas de erro personalizadas, o que evita a exibição de código ou scripts do site bloqueado.
| Noticias |
Módulo lança curso de segurança online
A Módulo Security anunciou hoje o lançamento de um centro virtual de ensino que vai oferecer cursos online para profissionais que não têm tempo para fazer cursos tradicionais. O primeiro curso disponível será o Básico de Segurança da Informação, que vai apresentar conceitos básicos e princípios gerais da segurança da informação.
O curso dura 16 horas e deve ser concluído em até 30 dias, nos horários mais convenientes para os alunos. Os estudantes também terão contato com tutores e professores online ― instrutores dos cursos presenciais da Módulo que vão tirar as dúvidas durante o período de aprendizado. A Módulo vai desenvolver os cursos em parceria com a Eschola, empresa especializada em e-learning.
O Curso Básico de Segurança da Informação terá sua primeira turma a partir do dia 02 de fevereiro de 2004 e já é possível fazer a pré-inscrição pelo telefone 0800-7070853 ou nos sites www.securityshopping.com.br e www.modulo.com.br. O curso custa R$373,00 e quem fizer inscrição até 31 de dezembro vai ganhar um desconto de 20%. O pagamento pode ser feito com boleto bancário ou com cartões de crédito.
| Noticias |
Três falhas de segurança afetam produtos Oracle
9/12/2003 - 15:27 Helena Nacinovic
A Oracle divulgou um alerta de segurança sobre três vulnerabilidades encontradas na implementação do protocolo SSL (Secure Socket Layer), usado para comunicação segura na Internet. As brechas de segurança afetam o Oracle9i Application Server, os servidores de banco de dados Oracle9i e Oracle8i e o servidor HTTP Oracle.
Os bugs podem ser usados para lançar ataques de negação de serviço e promover execução remota de código não autorizado. Segundo o alerta da Oracle, todos os clientes que têm acesso ao servidores afetados têm o potencial de explorar essas vulnerabilidades. Duas delas podem ser exploradas com certificados X.509 falsos apresentados pelos clientes, mesmo quando essa função não estiver habilitada no servidor. A terceira vulnerabilidade do SSL só existe quando o processamento de certificados X.509 de clientes está habilitado, permitindo que um atacante use um certificado falso para ganhar controle do servidor.
Já existem correções disponíveis para essas falhas, mas a Oracle alertou que não ainda existe uma solução completa para os problemas. A empresa recomendou o uso de firewall, além da leitura do guia de melhores práticas do Oracle9i Application Server e Oracle91 Dabatase Server.
| Destaque |
Uol tenta desviar tráfego da Internet
9/12/2003 - 1:41 Giordani Rodrigues
Todo mundo ficou sabendo que a Verisign configurou seus servidores DNS (usados na resolução de nomes de domínios) para responder a todas as requisições para endereços .COM e .NET inexistentes e redirecioná-las para sua própria página de busca. Mas o que pouca gente fora dos círculos especializados ficou sabendo, é que o Universo On-Line (Uol) tomou uma decisão semelhante, só que um pouco pior, do ponto de vista do desvio de padrão das redes que compõem a Internet. Mesmo depois de toda a polêmica causada pela decisão da Verisign, e após a empresa ter sido processada por concorrentes e obrigada pela ICANN a voltar atrás em sua decisão, o Uol criou um redirecionamento para suas páginas ainda mais radical.
Enquanto a Verisign mexeu apenas nos domínios .COM e .NET, que estão sob sua responsabilidade final, o provedor brasileiro configurou seus servidores DNS para redirecionar a uma página de busca do Radar Uol todas as requisições que seus clientes fizessem para virtualmente qualquer endereço inexistente no mundo. Isso incluía até mesmo os endereços inexistentes de domínios existentes, como http://uol.infoguerra.com.br ou http://uol.terra.com.br, por exemplo, sobre os quais o Uol não deveria ter autoridade. Tal configuração seria sentida por todos os usuários de conexão discada do Uol ou pelos usuários de conexão banda larga de qualquer provedor que configurassem seus servidores DNS usando os IPs dos servidores do Uol.
Se um cliente do provedor tentasse acessar http://uol.terra.com.br, por exemplo, em vez de receber uma mensagem de erro padrão ou especialmente preparada pelo Terra, um dos principais concorrentes do Uol, seria levado à página http://e.indice.uol.com.br/d/?q=uol.terra.com.br. Neste endereço veria a seguinte mensagem: “Nenhuma página encontrada para uol.terra.com.br. Tente encontrar novamente a página que você procura digitando o endereço correto na caixa de busca no Radar Uol ou na barra de endereço do seu navegador”. E por fim, havia o link para uma seção de sites escolhidos pelo Uol e a frase: “Veja também mais sites selecionados pelos editores do Uol”. É possível ver uma cópia dessa página aqui.
A situação durou pouco mais de dois meses, desde aproximadamente o final de setembro ou início de outubro até a semana passada. A Verisign só conseguiu resistir à pressão por 18 dias, pois sua decisão foi anunciada no dia 15 de setembro e, após muitas críticas e ameaças, cancelada oficialmente em 3 de outubro.
A atitude do Uol foi primeiramente denunciada no dia primeiro de outubro pelo gerente de segurança de redes Hermann Wecke, numa lista do Grupo de Engenharia e Operações de Redes (GTER) do Comitê Gestor. Wecke, com seu característico sarcasmo, mostrava que domínios como "santaacefaliabatman!" ou "queroveroregistroenchermeusaco.registro.br" apontavam, sob certas circunstâncias, para os servidores do Uol.
Dois dias depois, em 3 de outubro, Frederico Neves, coordenador técnico do Registro.br, postou uma mensagem em várias listas, reproduzindo o anúncio oficial da Verisign em que a empresa informava que desistia do redirecionamento. Neves comentou que "as 'forças do bem' prevaleceram, ao menos temporariamente" e criticou o Uol por ter adotado "uma solução que fere fortemente o standard DNS através da reescrita de uma resposta autoritativa".
Ele se referia ao fato de que o Uol estava nitidamente desviando tráfego da Internet para suas páginas, ao redirecionar as requisições que as pessoas faziam a sites regularmente registrados, mas tentando acessar uma página daquele site que não existisse. "É extremamente importante que a hierarquia do espaço de nomes da Internet seja respeitada a todo custo. Este comportamento é fundamental para a estabilidade dos serviços que existem hoje", escreveu.
Na mesma mensagem, Neves também informava que, após alertado sobre a situação, o Uol estava conversando com o Registro.br e prometera uma solução para o problema até a quinta-feira da semana seguinte, que seria o dia 9 de outubro. O Uol, porém, não cumpriu sua promessa.
No final de outubro, InfoGuerra entrou em contato com Hermann Wecke, que afirmava que a situação continuava inalterada e revelava que estava com vontade de processar o Uol. "Já pensei em mandar uma notificação extrajudicial pedindo que eles parem de responder pelos meus domínios", disse.
Mais um mês se passou e nada foi feito, então InfoGuerra entrou em contato com o Registro.br e com o Uol a fim de obter informações sobre o que estava sendo feito e publicar uma matéria sobre o assunto. O Registro.br respondeu, mas nem o Uol, nem a assessoria de imprensa do provedor responderam. Porém, logo depois desse contato, o Uol voltou atrás e removeu a configuração polêmica de seus servidores. Em 4 de dezembro, Frederico Neves postou outra mensagem na lista do GTER, informando do retorno do Uol para os padrões habituais da Internet e comentando que "a normalidade na hierarquia DNS" tinha voltado.
Críticas de todos os lados
A atitude do Uol, que servia para aumentar o número de cliques em suas páginas ao desviar o tráfego de outros sites e páginas padões de erro, provocou apenas críticas na comunidade de engenharia de redes. Hermann Wecke acusou o Uol de estar "falido" e chamou a atitude do provedor de "desespero de causa". "Sem falar no fato de que eles copiaram uma péssima idéia que já provou ser repudiada por toda a comunidade da Internet mundial" disse o gerente de redes. E completou: “Lembrando a velha máxima de que no mundo nada se cria, tudo se copia, até mesmo as péssimas idéias alheias".
Frederico Neves classificou a decisão do Uol de uma "falha gravíssima", mas disse que não havia como obrigar ninguém a aderir corretamente a um protocolo. "A Internet é uma rede colaborativa e a aderência aos protocolos conforme definido pelo IETF (Internet Engineering Task Force) é o que garante o correto funcionamento, e conseqüentemente o seu grande sucesso até hoje. Mas além de se informar o público desta falha gravíssima, não vejo mais nada que possa ser feito".
Já o advogado Omar Kaminski, que atuou em casos importantes envolvendo disputas de domínios na Internet, considera que a decisão do Uol mostra que, cada vez mais, "os provedores estão 'fechando' suas redes e com isso aumentando seus domínios virtuais com o auxílio de estratagemas técnicos aplicados diretamente nos protocolos".
Kaminski afirma ainda que tais atitudes podem trazer problemas legais aos provedores que as utilizarem. "Juridicamente, cabe discutir se há indução a erro, resultando em ato ilícito. Caberia, então, pedido de indenização a quem provar o prejuízo, ou até mesmo crime de concorrência desleal, na modalidade de desvio de clientela, caso o redirecionamento de páginas para aumentar os cliques possa ser considerado fraudulento".
| Noticias |
Novo software gerencia a aplicação de patches
A LANDesk Software anunciou hoje o lançamento do LANDesk Patch Manager 8, programa que gerencia e aplica correções de segurança (patches) nos softwares monitorados. O programa, que pode ser integrado ao LANDesk Management Suite 8, monitora softwares determinados pelos administradores dos sistemas e verifica as correções disponíveis para as vulnerabilidades encontradas. Além disso, ele testa os patches antes de instalá-los e os audita posteriormente, verificando se as correções foram aplicadas corretamente.
Para Andy Nosal da Raymond James Financial, cliente da LANDesk, a crescente ameaça de ataques de vírus torna o gerenciamento de patches essencial para proteger uma infra-estrutura de computadores. Nosal contou que, ao saber do worm Blaster, usou o LANDesk Management Suite para identificar as máquinas que precisavam do patch e, em apenas uma hora, implantou a correção em 300 desktops. A versão anterior do produto exigia que o administrador da rede enviasse os patches manualmente para as máquinas, mas no Patch Manager 8 o programa faz isso automaticamente.
O software pode ser adquirido como produto adicional do LANDesk Management Suite pela rede autorizada da LANDesk Software no Brasil. O preço sugerido para o varejo é de US$ 12,00 (cerca de R$ 35) por nó ou entroncamento de rede. Mais informações estão disponíveis pelo telefone (11) 5503-6501 ou no site da empresa.
| Destaque |
Cuidado com discadores maliciosos
Discadores ou dialers são pequenos programas usados para ligar automaticamente para números de telefone que permitem o acesso a determinados serviços por computador. Ultimamente, tem crescido o uso desses programas de forma fraudulenta, ao serem utilizados para discar para números pagos sem o conhecimento dos usuários. O boletim Oxygen3 da Panda Software desta segunda-feira oferece mais detalhes sobre os discadores usados de forma maliciosa.
Originalmente, esses aplicativos eram distribuídos por provedores de Internet para ajudar seus clientes a se conectar com os servidores. Logo depois, outros serviços acessíveis por computadores também foram desenvolvidos, geralmente relacionados à pornografia disponível via números de telefone com taxas altas de uso por minuto. Para facilitar o acesso, esses serviços desenvolveram discadores próprios. Não demorou até que usuários maliciosos percebessem que, se usados de determinada forma, os discadores para acessar esses serviços poderiam ser altamente lucrativos. Foi assim que os discadores passaram a ser inseridos em páginas da Web criadas para fazer o download, instalar e executar os programas sem que os usuários afetados percebessem a mudança.
Discadores só causam problemas em computadores que se conectam à Internet usando as redes telefônicas comuns, já que as conexões de banda larga e a cabo funcionam de formas diferentes e não precisam de uma conexão discada. Um ataque com um dialer é iniciado normalmente quando o usuário visita determinadas páginas da Web, como as que têm conteúdo pornográfico, hacker, cracks de programas e downloads ilegais. Recentemente, no entanto, estão aumentando os relatos de usuários afetados por ataques com discadores depois de acessar páginas que pareciam ser inofensivas.
Segundo a Panda, as principais conseqüências dos ataques com discadores são a criação de uma nova conexão discada, que será usada como o número padrão para se conectar à Internet e a mudança da conexão discada que o usuário utiliza normalmente de forma que, sempre que ele tentar fazer a conexão, esse número não vai se conectar ao provedor de Internet do usuário, mas sim a um número com altas tarifas para uso.
A Panda recomenda que os usuários se protejam contra esses golpes usando um programa que detecte quando o computador ligar para um número de telefone diferente, informando o usuário da mudança. Além disso, como existem vírus que são programados para instalar discadores sem que o usuário perceba, a melhor solução é usar um programa de detecção de discadores junto com um antivírus atualizado. Atualizar o sistema operacional e o navegador também é essencial para evitar a instalação automática destes programas maliciosos.
| Noticias |
Spam tenta atacar central telefônica da polícia britânica
Um e-mail fraudulento em forma de spam está circulando na Internet, numa aparente tentativa de sobrecarregar os telefones da polícia de Cambridgeshire, na Grã-Bretanha. O alerta foi dado nesta semana pela Sophos, depois que a empresa antivírus recebeu relatos de internautas sobre débitos indevidos em seus cartões de crédito relacionados à compra de um player de mp3 iPod da Apple com 40GB de espaço.
O e-mail falso afirma que o valor de 399,99 libras esterlinas (cerca de R$ 2 mil) foi debitado do cartão de crédito do usuário e que, em caso de perguntas, o suposto comprador deve entrar em contato com o vendedor por telefone. O número de telefone fornecido, no entanto, é o número geral da sede da polícia de Cambridgeshire.
Segundo a Sophos, a polícia de Cambridgeshire declarou que está alertando a população do país sobre o golpe e prendeu hoje um suspeito de 21 anos. Na verdade, nenhum débito é feito no cartão de crédito das pessoas e o objetivo parece ser apenas entupir as linhas telefônicas da polícia local. A empresa que teoricamente vendeu o aparelho e cujos dados são citados no spam não existe.
| Noticias |
Seminário aborda bases de dados em software livre
A Livraria Tempo Real e a CTT-Maxwell promovem, no dia 12 de dezembro, em Porto Alegre, o 1º Seminário de Base de Dados em Software Livre. Durante o evento, serão apresentadas diversas soluções gratuitas e comerciais de sistemas gerenciadores de bases de dados rodando sobre o sistema operacional Linux, como MySQL, PostgreSL e Oracle. Os temas serão abordados por representantes da CTT-Maxwell, Netcom Informática, Hitec Informática e Fontoura Education.
As palestras irão destacar o MySQL, um popular banco de dados recentemente integrado com a base de dados da empresa alemã SAP; a base PostgreSL, conhecida pelas funcionalidades como transações e pelo baixo custo; e a base Oracle, com pontos positivos e problemas para a configuração no ambiente Linux. A última palestra do dia fala sobre Segurança em Servidores Linux, com o coordenador da equipe de suporte ao sistema Linux no Banrisul, Vanderlei Pollon.
O seminário será realizado das 9 às 17 horas, no Molinos Flat, na rua 24 de Outubro, 1611, em Porto Alegre, no Rio Grande do Sul. O evento tem vagas limitadas e as inscrições custam R$ 15. Informações podem ser obtidas pelos telefones 51-3029-0044 (Livraria Tempo Real) ou 51-3215-1495 (CTT-Maxwell).
| Noticias |
Governo é o primeiro a adotar nova licença de software livre
Foi anunciado nesta semana, durante a II Rodada de Compartilhamento de Software Livre, a adoção da licença CC-GPL para o software TerraCrime, programa voltado para a segurança pública que utiliza o geoprocessamento para analisar os dados estatísticos dos boletins de ocorrência. Esse software foi desenvolvido para o Ministério da Justiça, pela Universidade Federal de Minas Gerais e pelo Instituto Nacional de Pesquisas Espaciais.
Esse é o primeiro programa no mundo a adotar esse tipo de licença, que reúne as características de duas entidades distintas. A primeira é uma das mais populares licenças para software livre, a GPL (General Public License) da Free Software Foundation, caracterizada por assegurar as quatro liberdades básicas, ou seja, usar, estudar, melhorar e redistribuir o código. Essa licença alinhou-se às premissas da Creative Commons, entidade sem fins lucrativos que defende o equilíbrio entre a propriedade intelectual e a garantia que essa prerrogativa não se transforme em um inibidor para a criatividade e a inovação.
A união das duas entidades permitiu que fosse anexada à licença GPL uma cartilha em linguagem menos técnica e uma versão portuguesa adequada às normas brasileiras.
Em nota encaminhada aos participantes do evento, o professor de direito da Universidade de Standford e presidente da Creative Commons, Lawrence Lessig, afirmou a importância de o Brasil adotar a licença, uma vez que "introduziu algumas mostras de sanidade em um debate que tornou-se extremamente irracional".
O professor da Escola de Direito de Columbia e conselheiro geral da Free Software Foundation, Eben Moglen, afirmou que este é um dia excepcional para a liberdade das idéias e para a liberdade tecnológica, por propiciar às pessoas em todo o mundo oportunidade de desenvoler software juntas, dando vazão às necessidades humanas e não às necessidades de corporações de serem proprietárias das idéias.
O presidente do Instituto Nacional de Tecnologia da Informação, Sérgio Amadeu, comentou que o Comitê Técnico de Implementação do Software Livre contribuiu para a união dessas duas entidades e propôs a redação em português. A partir de agora, informou Amadeu, os softwares brasileiros desenvolvidos pelo governo federal poderão adotar esse modelo de licenciamento.
Fonte: ITI
Leia também:
Lançada no Brasil primeira música sob licença Creative Commons
Novas licenças de direito autoral chegam ao Brasil
| Noticias |
Falha no Yahoo Messenger permite instalar programas maléficos
Foi descoberta uma falha no serviço de mensagens instantâneas Yahoo Instant Messenger, que permite que um atacante instale códigos maléficos no computador vulnerável, como um cavalo de Tróia ou outros. A falha, do tipo estouro de buffer (memória temporária), encontra-se no arquivo YAUTO.DLL, um componente ActiveX/COM do programa de mensagens.
Para explorar o bug, é preciso criar um site com a identidade CLSID (Class Identifier) correta usada pelo ActiveX para causar o estouro de buffer do componente. O ActiveX é um tipo de programa desenvolvido pela Microsoft que se agrega a páginas Web para executar tarefas em uma máquina. Usando o estouro de buffer, um atacante poderia se aproveitar desse serviço para instalar qualquer tipo de código malicioso no sistema afetado.
A falha foi descoberta por Tri Huynh, da empresa SentryUnion. As versões vulneráveis são a 5.6.0.1347 e todas as anteriores. O Yahoo publicou ontem uma página com informações sobre o problema, afirmando que apenas os usuários que mudaram o nível de segurança padrão do Internet Explorer, de médio para baixo, correm perigo. Na mesma página se encontra um teste para saber se o programa usado pelo usuário está ou não vulnerável e também uma correção para a falha.
| Destaque |
Mais servidores de software livre são atacados
5/12/2003 - 17:44 Helena Nacinovic
Mais dois servidores de importantes projetos da comunidade de software livre foram atacados. Um dos servidores de sincronização do Gentoo e os servidores de serviços do Savannah foram comprometidos por ataques que alteraram as permissões de acesso aos sistemas e deram privilégios de usuário "root" (equivalente a administrador, que dá plenos poderes ao usuário na máquina em questão) para os atacantes. As invasões aconteceram poucas semanas depois da descoberta de uma tentativa de colocar uma backdoor (porta de comunicação oculta) nos servidores de desenvolvimento do novo kernel do Linux e da invasão dos servidores do Projeto Debian.
O servidor público rsync.gentoo.org, parte dos serviços da distribuição Linux Gentoo, foi comprometido com a exploração de uma vulnerabilidade no serviço rsync, usado para sincronizar arquivos, como no caso de criação de mirrors (espelhos) de sites. O ataque aconteceu no dia 2 de dezembro e deixou o servidor vulnerável durante cerca de uma hora. Segundo o alerta de segurança publicado no site do rsync, as investigações sobre o ataque ainda não foram concluídas, mas já é possível afirmar que o atacante explorou uma vulnerabilidade de estouro de heap (um erro de estouro da memória reservada a determinado programa) do rsync 2.5.6 e versões anteriores para executar remotamente código arbitrário com privilégios de usuário "root".
A equipe do rsync afirmou que a vulnerabilidade de heap não poderia ser usada sozinha para obter acesso como "root" em um servidor rsync. Para fazer isso, é provável que o atacante tenha usado a vulnerabilidade do kernel do Linux, descoberta recentemente após o comprometimento de alguns servidores do Projeto Debian. A equipe do rsync anunciou também o lançamento de uma nova versão do programa, a 2.5.7, para corrigir a vulnerabilidade encontrada. A equipe de desenvolvimento do kernel do Linux disponibilizou a correção do problema do kernel no final de novembro.
Segundo o alerta divulgado, o ataque ao servidor do Gentoo foi descoberto uma hora depois de ter acontecido e logo que constatado o problema o sistema foi "retirado do ar", mas cerca de 20 usuários tinham utilizado o serviço neste intervalo de tempo. A equipe responsável pelas análises disse que a verificação de integridade dos arquivos revelou que eles não foram afetados pelo ataque.
A notícia do comprometimento do servidor Gentoo foi dada logo após a retirada do ar do site do Savannah, um servidor da Free Software Foundation usado para desenvolvimento de projetos da fundação. O sistema foi atacado no dia 2 de novembro deste ano, mas o comprometimento só foi descoberto nesta semana. Segundo o anúncio oficial divulgado, o ataque é semelhante ao sofrido pelos servidores do Projeto Debian em novembro. O atacante usou o rootkit (ferramenta que, instalada na primeira invasão, permite que o atacante volte a entrar na máquina sem ser detectado) "SucKIT" para obter acesso às máquinas como "root. A extensão dos danos do ataque ainda não foi divulgada, nem mesmo se sabe se os arquivos do Savannah foram alterados ou danificados durante o período.
Programa brasileiro ajuda a descobrir ataques
Uma das ferramentas fundamentais para a descoberta e identificação dos ataques foi o chkrootkit, programa que verifica um sistema local procurando por sinais de inserção de rootkits. O software foi criado pelo brasileiro Nelson Murilo, diretor da empresa de segurança Pangéia, e também foi usado pelo Projeto Debian para identificar o ataque aos servidores que aconteceu em novembro deste ano.
Murilo acredita que o ataque ao servidor Gentoo também foi feito com o "sucKIT", o mesmo programa identificado no comprometimento das máquinas Debian. Ele comentou que, apesar das constantes verificações por arquivos alterados nos servidores de desenvolvimento dos projetos, é possível que essa e outras invasões possam passar despercebidas por meses. Isso acontece pois os programas como o sucKIT apenas alteram o comportamento do sistema, mas não os arquivos armazenados neles. "Sem o chkrootkit, é muito difícil de encontrar (esse tipo de problema) mesmo", disse ele.
Já há páginas mostrando como verificar e limpar sistemas Debian comprometidos nos quais o uso da ferramenta brasileira é indicado. No site oficial do chkrootkit, cujo código é aberto e a distribuição é gratuita, também é possível encontrar um tutorial com mais informações sobre o uso do software.
| Noticias |
Associação de segurança da informação chega ao Brasil
A Information Systems Security Association (ISSA) vai lançar sua ramificação brasileira nesta sexta-feira, dia 05 de dezembro, em São Paulo, com apresentações e palestras. O evento vai acontecer no hotel Holiday Inn de Jaraguá e vai contar com a presença do ministro de Segurança Institucional da Casa Civil da Presidência da República, o General Jorge Armando Félix.
A ISSA é uma associcação internacional sem fins lucrativos voltada a profissionais e praticantes da segurança da informação. O objetivo principal da entidade é promover a disseminação das melhores práticas que garantam a confidencialidade, a integridade e a disponibilidade dos recursos de informação.
As palestras apresentadas durante o lançamento do braço brasileiro da ISSA serão oferecidas por empresas como a Internet Security Systems, Serasa e Certisign, a partir das 16 horas. É possível se inscrever para o evento pelo e-mail info@viaforum.com.br ou pelo telefone (11) 3059-2448, com Daniela. O hotel fica na Rua Martins Fontes, 71, no centro histórico de São Paulo.
| Noticias |
Variante do Mimail usa pornografia e ataca sites anti-spam
Foi descoberta uma nova variante do Mimail, o Mimail.L, que usa um texto pornográfico para atrair as vítimas. Segundo a empresa antivírus Sophos, uma vez instalado, o worm lança ataques de negação de seviço contra sites anti-spam, alguns dos quais bastante conhecidos, como Spamcop, Spamhaus e SPEWS.
O Mimail.L chega num e-mail em inglês, cujo remetente seria uma mulher chamada Wendy, que conta um susposto encontro erótico e oferece fotos pornográficas para a vítima. A mensagem tem um arquivo anexo chamado "wendy.zip", que contém um arquivo executável chamado for_greg_with_love.jpg.exe". Caso esse arquivo seja executado, o worm se instala na pasta Windows do computador com o nome de "xu39reu.tmp" e cria uma cópia do "wendy.zip" com o nome de "x8wui12s.tmp".
Veja o texto da mensagem falsa:
"Hi Greg its Wendy.
I was shocked, when I found out that it wasn't you but your twin brother!!! That's amazing, you're as like as two peas. No one in bed is better than you Greg. I remember, I remember everything very well, that promised you to tell how it was, I'll give you a call today after 9." (O resto da mensagem não foi divulgado pela Sophos, sob o argumento de que é altamente pornográfico).
Após ser executado, o worm coleta os endereços de e-mail encontrados na máquina infectada e os salva na pasta Windows, em um arquivo com o nome "xu298da.tmp". Além disso, cria uma chave ("HKLM\Software\Microsoft\Windows\CurrentVersion\Run\France") no registro do Windows para iniciar o worm sempre que o computador for ligado. Usando os e-mails coletados, o Mimail.L se autodistribui. Caso o envio dos e-mails infectados falhe, ele tenta enviar outro lote de mensagens sem o arquivo anexo.
Essa segunda mensagem afirma que o cartão de crédito da pessoa foi usado para comprar pornografia infantil. A mensagem fornece e-mails de contato de sites anti-spam como a única forma de cancelar a "oferta imperdível" e o falso débito no cartão de crédito das vítimas, numa aparente tentativa de inundar os sites anti-spam com pedidos de cancelamento de assinatura.
Veja o texto da segunda mensagem:
"Good afternoon, We are going to bill your credit card for amount of $22.95 on a weekly basis. Free pack of child porn CDs is already on the way to your billing address. If you want to cancel membership and your CD pack please email order and credit card details to security@europe.spamhaus.org.
Are you ready for all types of underage porn? We have the best selection for every taste! Just click the secret links below and have fun:
http://www.spamhaus.org
http://www.spews.org
http://www.register.com
http://www.cardcops.com
http://www.carderplanet.net
http://www.spamcop.net
http://disney.go.com
http://www.authorizenet.com/
Nude boys under 16! Nude girls under 16! Incest, a daddy & a daughter!
We have everything you have ever dreamed for!"
Os alvos dos ataques de negação de serviço feitos pelo Mimail.L são os sites citados na mensagem acima, parte deles de páginas que são contra o envio de spam. O worm Mimail já tem mais de dez variantes circulando na Internet e algumas delas entraram nas listas de worms mais perigosos de 2003.
Leia também:
Mimail, Swen e Sober são os vírus mais ativos de novembro
| Destaque |
Sobig-F é o pior worm de 2003
4/12/2003 - 17:54 Helena Nacinovic
A não ser que haja uma supresa nos últimos dias do ano, o Sobig.F vai ocupar a posição de pior worm de 2003, segundo a lista divulgada nesta quarta-feira pela empresa antivírus Sophos. A empresa afirmou que o worm estava presente em cerca de um quinto dos relatos de infecção durante o ano, com 19,9% dos casos encontrados por seus produtos antivírus. Enquanto esteve ativo, o Sobig.F se autodistribuiu sob a forma de spam, criando um remetente falso, o que tornava mais difícil descobrir a máquina que estava realmente infectada.
De acordo com a Sophos, ironicamente os spammers estiveram entre os mais afetados pelo Sobig.F, já que o worm estava entupindo os gateways de e-mail usados para o envio de mensagens não-solicitadas. A Microsoft recentemente anunciou que vai pagar US$ 500 mil para quem der informações concretas à polícia sobre os criadores do Sobig.F e do Blaster.
O Sobig.F conseguiu a façanha de superar o worm Blaster, que usa uma vulnerabilidade do recurso RPC do Windows para infectar automaticamente o sistema e estava programado para lançar ataques de negação de serviço usando as máquinas infectadas. O Blaster foi detectado em 15,1% dos casos de infecção relatados à Sophos durante o ano e concentrou seus esforços para derrubar um site para atualizações de produtos da Microsoft, o windowsupdate.com. A empresa, que foi alvo dos criadores dos piores malwares (códigos maléficos) do ano, teve de retirar o site do ar para evitar mais ataques.
Os dois worms mais ativos de 2003, além do worm Nachi que ficou em terceiro lugar na lista, atingiram a Internet a partir de agosto de 2003, que foi, segundo a Sophos, o pior mês de toda a história dos malwares. O Nachi também explorava vulnerabilidades no RPC, como o Blaster, e se autodistribuía usando um erro de estouro de buffer (memória temporária) em várias versões do Windows. O worm atingiu 8,4% dos clientes da Sophos.
Entre os malwares na lista dos 10 piores do ano estão os worms Gibe.F, Dumaru.A, Sober.A e Mimail.A. O ranking também incluiu o Bugbear.B, Sobig.E e o Klez.H. Todos os 10 malwares foram criados para explorar vulnerabilidades e atacar produtos da Microsoft. A Sophos disse ter detectado 7.064 novos vírus, worms e cavalos-de-Tróia em 2003.
Novas tendências para spam e malware
O relatório da Sophos também apontou novas tendências que os vírus e spams do futuro devem seguir. A base para a análise foram as novas pragas que surgiram em 2003. A empresa notou o aumento dos trojans "backdoors", cavalos-de-Tróia que abrem portas para a instalação de ferramentas de acesso remoto. Essas ferramentas permitem que os atacantes controlem as máquinas infectadas.
Além disso, a cooperação entre spammers e criadores de vírus se tornou realidade neste ano com os worms Mimail.E e Mimail.H, que transformaram as máquinas infectadas em peças de ataques de negação de serviço voltados para sites anti-spam. A Sophos avalia que cerca de 30% do spam que circula no mundo é enviado a partir de máquinas cuja segurança foi comprometida por algum malware ou outro problema.
Leia também:
Mimail, Swen e Sober são os vírus mais ativos de novembro
Blaster infectou mais que o Sobig.F em agosto
Agosto, o mês do worm louco
| Destaque |
Perito da PF fala sobre os crimes pela Internet
3/12/2003 - 19:26 Helena Nacinovic
"Crime virtual" é uma denominação errada para indicar os crimes cometidos pela Internet. A afirmação é do perito da Polícia Federal Jorilson Rodrigues, que deu palestra hoje no último dia da reunião conjunta do Grupo de Trabalho de Engenharia e Operação de Redes (GTER) e do Grupo de Trabalho em Segurança de Redes (GTS), que aconteceu no Rio de Janeiro.
Para o perito, o termo "crime virtual" está errado por dar a impressão equivocada de que não é um crime "real". Em sua opinião, são detalhes como esse que ajudam a manter a distância entre as comunidades técnica e jurídica, prejudicando a aplicação das leis aos crimes cometidos online. Rodrigues disse também que a Internet brasileira se beneficiaria muito da aproximação de advogados e técnicos de informática, já que muitas vezes os advogados não entendem o funcionamento de vírus, trojans e outras pragas digitais.
O perito afirmou que existem leis no Código Penal que podem ser aplicadas a alguns crimes por computador, como o artigo 171, que se refere ao crime de estelionado, típico nos casos de fraudes bancárias feitas com cavalos de Tróia. Rodrigues disse que, como o nível de conhecimento necessário para cometer crimes pela Internet diminui cada vez mais, a tendência é que eles se tornem mais freqüentes. Daí a importância de uma legislação aplicada corretamente nos casos descobertos. A coleta de provas e a compreensão, pela comunidade jurídica, de que provas representadas digitalmente são tão aceitáveis como as provas em papel, são igualmente importantes.
Durante a palestra, Rodrigues frisou que a desfiguração de sites na Web já é crime desde 2000 (artigo 296 do Código Penal), mas engloba apenas sites do governo que usem siglas na URL. A desfiguração de páginas privadas não está enquadrada, mas pode causar um processo civil de danos morais. A escuta telemática, seja para a captura de dados de indentidade, cartão de crédito, senhas de banco, entre outros, também é crime previsto no Código Penal. Para Rodrigues, a lei, do jeito que está hoje, já é suficiente para amparar boa parte dos problemas na Internet, desde que a comunidade jurídica compreenda o ambiente computacional.
Operação Cavalo de Tróia
Na segunda parte da palestra, Rodrigues falou sobre a "Operação Cavalo de Tróia", ação policial que culminou com a recente prisão, em novembro, de um grupo de fraudadores, principalmente da região norte do país. A quadrilha usava um trojan enviado em mensagens fraudulentas com o nome de bancos brasileiros e outras empresas para atrair os correntistas e capturar as informações bancárias dessas pessoas. O perito contou também que a quadrilha era liderada pelas mesmas pessoas presas em 2001 pelo mesmo delito, que foram soltas na época, pois o prazo da prisão preventiva expirou antes que as provas necessárias fossem encontradas.
Rodrigues contou ainda que, após aperfeiçoar os golpes, um dos líderes da quadrilha, Ataíde Evangelista de Araújo, já estava até vendendo um "pacote", composto por um notebook com todo o sistema de captura e análise dos dados furtados pelo trojan. O suspeito, preso em Goiânia em novembro, pela segunda vez, também ensinava seus clientes sobre os melhores métodos para aplicar o golpe. Desta vez, no entanto, Rodrigues acredita que existem provas suficientes para a condenação das pessoas presas, que incluem "laranjas", programadores, comerciantes do Pará e analistas de dados.
O perito afirmou que a Polícia Federal está ciente da existência de outras quadrilhas que praticam fraudes semelhantes e que o trabalho de investigação e coleta de provas continua. Ele frisou que a ajuda da comunidade de segurança e a troca de informações em listas de discussão sobre o assunto foi fundamental para o trabalho da polícia.
| Destaque |
Software espião deixa de ser fabricado por causa de golpes
3/12/2003 - 7:18 Giordani Rodrigues
A BlazingTools, fabricante do software Perfect Keylogger (PK), anunciou que vai deixar de desenvolver o produto. O PK é um poderoso keylogger e screenlogger, isto é, ao ser instalado em um computador, tem a capacidade de registrar, sorrateiramente, tudo o que o usuário digitar, as páginas que visitar e a área em torno dos cliques do mouse. O anúncio não esclareceu o porquê da decisão, mas a empresa afirmou, em entrevista por e-mail, que estava tendo “problemas legais” com o software, pois ele estava sendo usado para aplicar golpes pela Internet.
O software era oferecido por US$ 34,95 (em torno de R$ 100,00) com a finalidade declarada de auxiliar cônjuges enciumados, empresários desconfiados dos sócios, ou pais que queriam monitorar a navegação dos filhos. Na prática, porém, o programa estava sendo largamente utilizado por golpistas, inclusive brasileiros, para roubar senhas de Internet Banking, números de cartões de crédito e outras informações privadas.
As características do PK caíram como uma luva entre os criminosos da Internet. O software podia ser embutido em outros aplicativos válidos e assim ser executado em segundo plano quando o usuário, inadvertidamente, instalasse esse aplicativo; podia ser configurado para enviar as informações gravadas por e-mail ou através de um servidor de transferência de arquivos (FTP); e também tinha um arquivo de configuração, chamado “mc.dat”, no qual se podia gravar palavras ou expressões que dariam início à ação do programa espião toda vez que fossem digitadas pelo usuário ou acessadas pelo navegador.
Clicando aqui, você poderá ver o exemplo real de uma configuração feita no arquivo mc.dat, encontrado no golpe da falsa raspadinha virtual em nome das lojas Americanas, que circulou no Brasil há alguns meses (o arquivo isolado é inofensivo e pode ser aberto diretamente no navegador; nele é possível ver nomes e expressões relacionados a conhecidos bancos brasileiros).
Alex Kurov, diretor-executivo da BlazingTools – uma empresa criada em meados de 2002, cujo site é registrado na Alemanha –, disse a InfoGuerra que não chegou a receber contato da polícia, mas afirma que sua empresa “teve um diálogo” com a empresa antivírus McAfee, sem esclarecer qual foi o teor da conversa. Há meses a McAfee já atualizou seus produtos de segurança para detectarem o Perfect Keylogger e classificá-lo como um "programa potencialmente indesejado".
Kurov também admitiu que as fraudes tiveram peso na decisão de interromper o desenvolvimento do programa. Ele disse que estava ciente de que seu software estava sendo usado de forma ilegal no Brasil e que, obviamente, não aprova esse uso.
Para o especialista em segurança Nelson Murilo, diretor da empresa Pangéia, a interrupção na fabricação do PK não muda muita coisa para as vítimas dos golpes. "As funcionalidades básicas para montar keyloggers ou screenloggers estão disponíveis em várias linguagens – C, C++ e Delphi, por exemplo – e como estão em vários sites, o trabalho de montar um trojan se resume a montar pedaços de códigos já prontos", afirma.
O próprio Alex Kurov revela que o Perfect Keylogger pode voltar ao mercado, porém com outro esquema de venda que possibilite mais controle. "Sabemos que os produtos dos nossos competidores também já foram usados em fraudes", disse. "Programas espiões são algo muito ambíguo, às vezes é difícil distinguir os limites entre legalidade e ilegalidade, e provavelmente em breve o tempo do 'software espião legal' fará parte do passado. Sabemos que o governo dos EUA irá tomar medidas a esse respeito, mas não queremos ter nenhum problema com a lei".
Curiosamente, a BlazingTools retirou o anúncio – de 26 de novembro – que estava presente em seu site até o início desta semana e voltou a fazer publicidade do PK na página inicial, mas uma cópia da página anterior, com o anúncio, pode ser vista aqui. A seção de downloads do site, no entanto, continua sem o Perfect Keylogger e o fórum sobre software espião continua discutindo sobre a decisão que a empresa tomou de interromper a produção do programa.
Atualização - 05/12/2003: menos de 24 horas depois que a notícia acima foi ao ar, a empresa voltou a diponibilizar o PK para download.
Leia também:
Raspadinha virtual em nome da Americanas.com é golpe
Como remover o arquivo enviado em falso e-mail
Falsa notícia da CNN é usada para roubar senhas
| Noticias |
Divulgada falha grave no kernel do Linux
2/12/2003 - 15:41 Helena Nacinovic
Os responsáveis pelo Projeto Debian, que desenvolve uma das distribuições Linux mais bem conceituadas, alertaram nesta segunda-feira que a falha explorada durante a invasão de seus servidores, ocorrida em novembro, é na verdade uma falha do kernel do Linux, a base do sistema operacional. A falha permitiu que o atacante alterasse a configuração de permissões de acesso ao servidor afetado, dando o privilégio de "root" (semelhante a administrador da máquina) a usuários simples já inscritos no sistema vulnerável.
A equipe de desenvolvimento do kernel do Linux já havia descoberto a falha em setembro e a corrigiu na versão mais recente do kernel, mas a correção só foi disponibilizada alguns dias depois da invasão dos servidores do Debian. Como a falha está na parte central do Linux, ela afeta praticamente todas as distribuições Linux baseadas nas versões 2.4.0 até 2.5.69 do kernel. As versões 2.4.23-pre7 e 2.6.0-test6 já foram corrigidas.
Apesar do Projeto Debian ter anunciado que a invasão não teve grandes conseqüências, já que os arquivos são assinados digitalmentente e verificados com base em cópias seguras fora da web, a falha coloca em risco milhares de servidores no mundo inteiro que usam as diversas distribuições do Linux. A Red Hat e o Projeto Debian divulgaram alertas depois da descoberta da falha, mas outras distribuições, como Mandrake e SuSE também podem estar vulneráveis.
Segundo a Symantec, que analisou a invasão do Projeto Debian, o exploit (programa) para explorar a falha não está disponível publicamente, mas parece estar circulando pela comunidade cracker. A empresa alertou também que a falha, junto com vulnerabilidades remotas, permitiria que os atacantes tivessem acesso e controle total das máquinas vulneráveis.
Leia também:
Servidores do Projeto Debian são atacados
| Destaque |
Mimail, Swen e Sober são os vírus mais ativos de novembro
1/12/2003 - 19:23 Helena Nacinovic
O worm Mimail está entre os 10 malwares mais perigosos do mês de novembro, mas ainda não foi tão perigoso quanto o Swen ou o Sober.A, segundo algumas empresas de segurança. MessageLabs, Sophos e Kaspersky divulgaram hoje suas listas de vírus mais ativos dos últimos 30 dias. As diversas variantes do Mimail encheram as listas e dividem o ranking com malwares mais antigos, como o Klez e o Swen.
Em novembro, a MessageLabs interceptou mais de 600 mil cópias do Swen.A, o que o torna o worm mais ativo do mês. Logo em seguida, estão o Dumaru.A e o Klez, que foram interceptados mais de 300 mil e 200 mil vezes, respectivamente. Na sequência estão os worms Mimail.C, Mimail.A, Mimail.J, Mimail.E e Mimail.I, lista que inclui variantes do golpe projetado para furtar dados de cartão de crédito de usuários do PayPal. A lista termina com os worms Yaha.E e Sobig.F, este último considerado recentemente pela MessageLabs o malware que se espalhou de forma mais rápida na história dos vírus.
A lista da Sophos é ligeiramente diferente da da MessageLabs. A pesquisa foi baseada nos relatos de infecção capturados pelo antivírus da empresa e traz o Sober.A no topo da lista, com 32.6% dos casos de infecção em novembro.O segundo lugar foi para o Mimail.C, que ficou bem abaixo do Sober.A, com apenas 9,5% dos casos de infecção. O worm Dumaru.A ficou em quarto lugar, com 8% dos casos registrados, seguido pelo Mimail.A, que infectou 5,1% dos clientes da Sophos. A lista é completada pelos worms Gibe.F, Nachi.A, Mimail.J, Klez.H e Mimail.E, todos com menos de 5% dos casos de infecção.
Já a empresa antivírus russa Kaspersky abriu sua lista com o Mimail.C e o Mimail.G, em primeiro e segundo lugar, respectivamente. A lista também inclui outras variantes do Mimail, o Swen, o Sober, o Klez e o Dumaru.
Leia também:
Mimail está entre as maiores ameaças do trimestre
Bugbear e Gibe são as pragas mais perigosas de outubro
| Noticias |
Aker lança nova versão de firewall
A Aker Security Solutions, empresa de segurança da informação, anunciou nesta semana o lançamento do Firewall Aker 5.0, a nova versão de seu sistema de firewall. O produto, que está disponível em português, inglês e russo, protege redes corporativas contra invasões e ataques de crackers. O novo firewall traz uma interface nova e, segundo a Aker, está 20% mais rápido devido às mudanças técnicas.
Entre elas está a função de balanceamento de links, que é um recurso para otimizar a utilização da largura de banda disponível na rede e que permite o uso de dois ou mais links diferentes de acesso à Internet, mesmo que esses links sejam fornecidos por operadoras diferentes; e a função de cluster ativo, que permite a criação de grupos de firewalls para otimizar o tráfego de dados na rede.
Além disso, o programa tem suporte a antivírus para a verificação e limpeza de arquivos anexados em e-mails ou acessados através da Web ou FTP. Ele também oferece suporte a criptografia de 256 bits no padrão IPSEC, o que traz segurança em trocas de dados na rede e entre filiais da empresa. O Firewall Aker 5.0 está disponível para as plataformas Windows, Linux e FreeBSD. A Aker disse também que, caso haja necessidade, é possível criar versões para outros sistemas Unix ou Macintosh.
| Noticias |
Microsoft mostra Windows XP e Server 2003 em 6 capitais
A Microsoft Brasil vai começar amanhã, dia 02 de dezembro, uma série de apresentações da TechNet especialmente voltada para a implantação dos sistemas operacionais Windows Server 2003 e Windows XP. Os eventos, que serão realizados em Belo Horizonte, Brasília, Curitiba, Porto Alegre, Recife e São Paulo, pretendem mostrar exemplos de implementação dos sistemas operacionais e ensinar práticas que podem garantir o melhor desempenho dos produtos.
Em cada cidade, a Microsoft vai oferecer um dia com palestras pela manhã e demonstrações técnicas na parte da tarde. Os temas abordados serão as vantagens da migração dos servidores NT para linha Windows 2003 Server e dicas práticas para fazer a implementação com menor impacto para o cliente. Além disso, no período da tarde a empresa vai oferecer explicações passo-a-passo sobre a transição das versões 9x para a versão Windows XP e dados sobre o System Management Server 2003.
Os eventos são gratuitos e, para participar, é possível se inscrever no site ou pelo telefone 0800-704-4081. As datas e locais do evento em cada cidade também podem ser encontradas no site da Microsoft.
| Destaque |
Resenha: Fundamentos de Direito Penal Informático
22/12/2003 - 17:03 Bernardo Menicucci Grossi
|
| Artigos |
Tecnologias wireless demandam cuidados extras
22/12/2003 - 0:00 Rodney de Castro Peixoto
Na área de tecnologia, os holofotes estão agora apontados para a mobilidade, aplicações e dispositivos que dispensam o uso de fios e cabos, com a formatação das chamadas redes wireless. Conceito já amplamente difundido nos Estados Unidos (exemplos como a rede de coffe shops Starbucks, que possui mais de 2000 hotspots em suas lojas, a um custo de 6 dólares a hora), em parte da Ásia e em alguns países europeus, começamos a perceber seus passos aqui no Brasil. Recentemente, um provedor de Internet começou a fornecer conexão sem fio, e uma rede de restaurantes também começou a transformar suas unidades em hotspots, ou seja, pontos de conexão à Internet com uso de aplicativos wireless. Além disso, iniciativas semelhantes em aeroportos, hotéis, centros de eventos e convenções demonstram o interesse e usabilidade das redes sem fio em terras brasileiras. Apesar das barreiras de infra-estrutura, custos e dos baixos níveis de inclusão digital, percebemos uma demanda crescente no meio corporativo na adoção das chamadas wireless networks.
A tecnologia de comunicação wireless é composta de padrões estabelecidos pelo Institute of Electrical and Electronics Engineers (IEEE), uma associação sem fins lucrativos que reúne aproximadamente 380.000 membros, em 150 países. Composto de engenheiros das áreas de telecomunicações, computação, eletrônica e ciências aeroespaciais, entre outras, o IEEE definiu algo em torno de 900 padrões tecnológicos (standards) ativos e utilizados pela indústria, e conta com mais 700 em desenvolvimento.
Os standards que recebem mais atenção ultimamente correspondem à família de especificações batizada de 802.11. Estes padrões especificam a interconexão de computadores, impressoras, dispositivos de vídeo e demais aplicações através do conceito over-the air, ou seja, proporciona o estabelecimento de redes e comunicações entre um aparelho cliente e uma estação ou ponto de acesso, com o uso de microondas de frequência de rádio. Estas redes são conhecidas como Wireless Local Area Network (WLAN), e atualmente são estabelecidas quatro especificações na família 802.11: 802.11, 802.11 a, 802.11 b, 802.11 g. Estes standards utilizam-se do protocolo conhecido como Ethernet, comum em computadores pessoais e portáteis. Outro termo bastante utilizado é o Wi-Fi, acrômio de Wireless Fidelity, correspondendo ao padrão 802.11 b.
Redes de computadores são, por sua própria natureza, passíveis de ataques e invasões, como temos observado em intensa prática do chamado hackerismo, nas variantes de conotação maléfica da palavra. Em recente pesquisa divulgada pela consultoria mi2g Intelligence Unit, o Brasil abrange sete dos dez mais ativos grupos responsáveis por invasão de sites no mês de outubro último. Mesmo passível de questionamentos, tais números indicam ser o Brasil território fértil de mentes brilhantes capazes de causar prejuízos a redes de computadores. Tais atitudes podem ser ampliadas e facilitadas com o uso de redes wireless, pois é sabido que o quesito segurança nestas aplicações ainda deixa muito a desejar. Temos, assim, práticas típicas concernentes a redes sem fio, sejam estas comerciais ou não, conhecidas como wardriving e warchalking.
Wardriving
O termo wardriving foi escolhido por Peter Shipley para batizar a atividade de dirigir um automóvel à procura de redes sem fio abertas, passíveis de invasão. Para efetuar a prática do wardriving, são necessários um automóvel, um computador, uma placa Ethernet configurada no modo “promíscuo” (o dispositivo efetua a interceptação e leitura dos pacotes de comunicação de maneira completa), e um tipo de antena, que pode ser posicionada dentro ou fora do veículo (uma lata de famosa marca de batatas fritas norte-americana costuma ser utilizada para a construção de antenas). Tal atividade não é danosa em si, pois alguns se contentam em encontrar a rede wireless desprotegida, enquanto outros efetuam loginuso destas redes, o que já ultrapassa o escopo da atividade. Tivemos notícia, no ano passado, da verificação de desproteção de uma rede wireless pertencente a um banco internacional na zona Sul de São Paulo mediante wardriving, entre outros casos semelhantes. Os aficionados em wardriving consideram a atividade totalmente legítima.
Warchalking
Inspirado em prática surgida na Grande Depressão norte-americana, quando andarilhos desempregados (conhecidos como hobos) criaram uma linguagem de marcas de giz ou carvão em cercas, calçadas e paredes, indicando assim uns aos outros o que esperar de determinados lugares, casas ou instituições onde poderiam conseguir comida e abrigo temporário, o warchalking é a prática de escrever símbolos indicando a existência de redes wireless e informando sobre suas configurações. As marcas usualmente feitas em giz (chalk) em calçadas indicam a posição de redes sem fio, facilitando a localização para uso de conexões alheias pelos simpatizantes da idéia.
Tais símbolos são descritos na figura abaixo:
|
| Destaque |
O que fazer ao receber um falso e-mail de banco?
18/12/2003 - 14:09 Giordani Rodrigues
Muita gente já está a par das tentativas de golpes contra clientes de Internet Banking, que têm proliferado no Brasil e no mundo nos últimos meses. Mas pouca gente sabe como proceder quando recebe uma mensagem fraudulenta usada nos golpes. Para orientar os internautas, a equipe de segurança em sistemas e redes da Universidade Estadual de Campinas (Unicamp) publicou uma página ― atualizada hoje ― com dicas úteis para estas situações.
Entre as orientações, estão a de nunca clicar em links pré-prontos que chegam em mensagens de correio eletrônico, principalmente se se tratar de supostos links de sites de instituições bancárias em mensagens não solicitadas. Em vez disso, quando se deseja acessar o site do banco, deve-se digitar diretamente o endereço na barra adequada do navegador, pois isso evita que o correntista caia em truques que usam links com URLs e comandos de linguagem HTML maliciosos. A equipe da Unicamp avisa também que nem mesmo a existência do teclado virtual em um site que supostamente pertence a um banco é garantia de que a página seja verdadeira, pois já foram constatados casos de sites falsos com teclados virtuais.
Uma das maiores dúvidas dos internautas ao perceberem que receberam uma mensagem fraudulenta é para quem denunciar o golpe. Esta informação foi inserida hoje, como atualização das dicas na página da Unicamp. Além de avisar o banco visado pelos estelionatários, o internauta deve enviar uma cópia da mensagem fraudulenta, com cabeçalho completo, para os endereços ctr@dpf.gov.br, pertencente à Polícia Federal, e nbso@nic.br, usado pelo Grupo de Resposta a Incidentes de Segurança para a Internet brasileira, que vem acompanhando estes casos, principalmente para fins estatísticos. As autoridades garantem que as denúncias serão mantidas em sigilo e que nenhuma informação pessoal dos internautas será divulgada. Caso você não saiba o que é ou como acessar o cabeçalho completo de um e-mail, veja informações aqui.
Outra boa recomendação para quem quiser denunciar os golpes é especificar, na mensagem remetida às autoridades, o endereço em que está hospedado o arquivo suspeito ou o site falso. Às vezes, na conversão de mensagens em formato HTML (normalmente usado nos golpes) para formato TXT (texto puro), usado por alguns programas de e-mail, os links desaparecem ao serem enviadas as denúncias.
Quem se sentir confortável com a manipulação de arquivos maliciosos também pode fazer o download do arquivo suspeito e enviá-lo para os endereços divulgados acima. Isto serve para garantir que o programa malicioso será analisado pelas equipes de segurança, mesmo que a página em que ele estava hospedado já tenha sido retirada do ar quando a denúncia chegar. O arquivo deve ser enviado compactado ("zipado"), para evitar que produtos antivírus presentes nos servidores de e-mail o interceptem.
As outras dicas fornecidas pela Unicamp podem ser vistas aqui.
| Noticias |
Crackers brasileiros atacam sites da FAB e da Nasa
18/12/2003 - 4:49 Giordani Rodrigues
Os defacers, grupos que se dedicam a desfigurar páginas Web, há anos são bastante ativos no Brasil, portanto não causa mais surpresa suas ações. Mas nos últimos dias, algumas páginas atacadas por defacers brasileiros chamaram a atenção devido à importância das instituições atingidas. No Brasil, crackers desfiguraram a página principal do site da Força Aérea Brasileira (FAB) e, nos EUA, foram alterados 13 sites da Nasa, a agência espacial norte-americana.
O ataque à FAB ocorreu na madrugada desta quinta-feira e ainda podia ser constatado no momento em que esta notícia ia ao ar. InfoGuerra tentou contato telefônico com o órgão, mas a chamada não foi respondida. Os atacantes fizeram uma pichação tradicional na página e tripudiaram da segurança do servidor escrevendo que o bug que permitiu o defacement era “podre”. Segundo bancos de dados online, o site da FAB roda um servidor Windows 2000 e servidor Web Microsoft IIS/5.0. O grupo de intrusos assinou a página com o nome de “Mowber”. Uma cópia do site alterado pode ser vista aqui.
O ataque aos sites da Nasa aconteceu na quarta-feira, 17, segundo o site de segurança Zone-H. Os crackers, identificados por "drwxr", substituíram as páginas iniciais de 13 sites de vários departamentos da Nasa por um protesto contra o conflito no Iraque. Uma frase mal construída em inglês, significando aproximadamente “Na guerra do Iraque, matar é uma diversão”, serve como link para um vídeo atribuído à CNN. O filme mostra um soldado norte-americano fazendo uma espécie de tiro ao alvo contra um iraquiano já ferido e depois comemorando quando consegue acertá-lo e matá-lo. O filme pode ser visto aqui e uma cópia das páginas alteradas, aqui.
Analisando o servidor (um Linux com Apache) e os serviços que rodam nos sites da Nasa, o Zone-H supõe que as máquinas foram comprometidas remotamente por meio de uma vulnerabilidade num script PHP, e depois invadidas com privilégios de administrador (root) com a ajuda de um exploit (programa) lançado há alguns dias para explorar um bug descoberto no kernel do Linux. Recentemente, esta mesma falha foi responsável pelo comprometimento de importantes servidores da comunidade de software livre, como o Projeto Debian.
| Destaque |
Boato do cartão de natal com vírus é golpe
17/12/2003 - 19:31 Helena Nacinovic
Um novo hoax (boato) está circulando pela Internet na forma de um alerta contra um suposto vírus recebido como um arquivo com o nome "cartão de natal". O vírus mencionado na mensagem não existe, como é comum na disseminação deste tipo de boato eletrônico. Mas, desta vez, os criadores do hoax incluíram um link para download de um suposto antivírus e transformaram o boato em um golpe perigoso, já que há uma grande probabilidade de que esse arquivo baixado seja um cavalo de Tróia ou mesmo um vírus.
O criador da falsa mensagem conta com a inocência e boa vontade de internautas preocupados com vírus "natalinos", comuns nesta época do ano, para espalhar o golpe, pedindo que os destinatários "o enviem para o máximo de pessoas possível". À primeira vista, o e-mail se parece com uma variação de hoaxes comuns que também alertam sobre vírus inexistentes. Tem até as frases em letras maiúsculas e o tom alarmista deste tipo de mensagem. No boato do cartão de natal, no entanto, a falsa informação se une ao golpe de forma engenhosa, já que as próprias vítimas colaboram com o truque repassando a mensagem para os amigos e, de quebra, fazendo com que seja mais difícil rastrear o golpista que enviou a mensagem maliciosa original.
O e-mail foi encaminhado a InfoGuerra por um leitor para que seu conteúdo fosse analisado. Porém, na mudança de formato da mensagem original, em HTML, para TXT no computador do leitor, o link contendo o arquivo se perdeu, e não foi possível baixá-lo e analisar seus efeitos. Quem receber a mensagem, no entanto, não deve repassá-la e muito menos baixar e instalar o arquivo, assim como não deve instalar nenhum outro arquivo desconhecido em seu computador.
Veja abaixo a íntegra da mensagem maliciosa:
ALERTA !!
Por favor compartilhem com todas as pessoas que por ventura acessam a Internet. Alguem está distribuindo um "Protetor de Tela" com o nome de: Cartao de Natal. No entanto, se você carregá-lo, estará sendo vitima de um VÍRUS que após ser instalado em sua máquina, irá roubar todas as suas informações pessoais e bancárias. Além disso o VÍRUS tem a capacidade de se espalhar em uma rede e de anular o anti-vírus que estiver usando, por isso coloquei um link logo abaixo para verificar e desinfectar o seu computador dessa ameaça!! POR FAVOR, ISSO NÃO É BRINCADEIRA!!
NÃO CARREGUE ESSE ARQUIVO EM HIPÓTESE ALGUMA !!! TENHA CUIDADO!!
POR FAVOR DISTRIBUA ESTA INFORMAÇÃO PARA O MAIOR NÚMERO DE PESSOAS POSSÍVEL.
Mais uma vez, passe esta informação a todas as pessoas constantes de seu livro de endereços de maneira que possamos contê-lo, e NUNCA carregue o arquivo CARTAONATAL.SCR.
Este é um virus muito devastador e poucas pessoas estão informadas sobre ele.
FAÇA O DOWNLOAD DO SCAN E TESTE SE VOCÊ ESTÁ INFECTADO COM ESSE VÍRUS, MESMO QUE VOCÊ TENHA UM ANTI-VÍRUS E PROTEJA O SEU COMPUTADOR DESSA PRAGA!!
CLIQUE AQUI PARA O DOWNLOAD
DEPOIS DO DOWNLOAD, BASTA EXECUTAR O VERIFICADOR E SEGUIR AS INSTRUÇÕES.
Boa Sorte!
| Noticias |
Lei dos EUA vai estimular o envio de spam, dizem especialistas
17/12/2003 - 19:22 Helena Nacinovic
Especialistas norte-americanos temem que a lei anti-spam assinada na última terça-feira pelo presidente George W. Bush consiga apenas lotar as caixas de e-mails dos internautas com tipos diferentes de spam, em vez de eliminá-lo. Apesar da aprovação da lei americana e da lei européia anti-spam, a MessageLabs prevê que o spam representará cerca de 70% de todos os e-mails enviados em abril de 2004, o que significa um aumento de 55% em relação ao volume atual.
Em matéria do jornal Washington Post, os críticos da lei americana a condenam por se sobrepor a leis estaduais mais restritivas e conter vários pontos que, potencialmente, podem abrir portas para o spam. O consenso geral é que, caso seja aplicada corretamente, a lei permita a eliminação dos spammers que enviam pornografia, vendedores de Viagra e golpes, como o famoso hoax nigeriano. Mas o spam enviado de empresas vai continuar a existir e alguns críticos acreditam que vai aumentar com o aval da lei.
O problema é parecido com o que acontece no Brasil: muitos criticam o código de ética anti-spam por apenas regulamentar o envio de mensagens comerciais não solicitadas ao invés de tentar impedir que sejam enviadas. Desta forma, internautas norte-americanos e brasileiros temem o crescimento do spam, só que agora regularizado.
Outro ponto polêmico da lei norte-americana é a criação de uma lista de pessoas que não querem receber nenhum spam. Nos EUA, já existe um sistema semelhante para pessoas que não querem receber telefonemas de marketing não-solicitados. Para fazer parte da versão digital, as pessoas precisam pedir para serem incluídas nessas listas e os spammers estão livres para mandar e-mails para todas as pessoas que estão de fora. Outro detalhe é que a maioria dos spammers que infernizam os internautas não são empresas legítimas, portanto não é provável que eles sigam tal recomendação da lei.
Os especialistas de todo o mundo argumentam que a medida é prejudicial, por presumir que todas as pessoas querem receber spam, menos aquelas que puseram seu nome na lista. O melhor método seria o contrário: uma lista de pessoas que desejam receber mensagens comerciais. Esse foi o método adotado pela União Européia, cuja lei foi considerada superior à dos EUA por ter mais probabilidade de conseguir resultados na luta contra o spam.
| Noticias |
Falha no Mensageiro é mais perigosa do que se pensava
17/12/2003 - 18:31 Angela Ruiz
Segundo a Symantec, um potencial exploit (programa) para uma vulnerabilidade no serviço Menssageiro do Windows (Microsoft Windows Messenger Service) pode ter conseqüências muito mais graves do que se esperava. Enquanto o worm Slammer teve de atacar cada sistema de forma individual, o exploit do Mensageiro permite aos piratas informáticos enviar apenas um pacote de dados para atacar todos os sistemas de uma rede.
O serviço Windows Messenger faz parte do Windows (NT, 2000, XP e Server 2003) e permite que os usuários enviem mensagens para outro computador na mesma rede usando uma janela pop-up. Isso também pode ser feito com qualquer outra máquina conectada à Internet que use os mesmos sistemas operacionais.
Existe uma vulnerabilidade neste serviço que permite a execução arbitrária de código no sistema afetado, por meio de um estouro de buffer. Segundo os investigadores da Symantec, foi encontrada uma grande quantidade de métodos diferentes que podem ser usados para explorar o problema. Isso o torna muito mais grave do que parecia quando foi descoberto.
Oliver Friedrichs, responsável pela equipe de resposta de segurança da Symantec, disse que cada sistema vulnerável em uma rede poderia potencialmente ser atacado ou ser infectado se o exploit for desenvolvido e usado como um worm. O exploit do serviço Mensageiro também poderia ser usado para atacar servidores de banco de dados, como aconteceu com o Slammer, assim como qualquer máquina que use o Windows 2000, XP, NT ou Server 2003.
Para explorar o problema, um cracker precisa se conectar a qualquer sistema vulnerável, pela Internet ou pela rede local. O Mensageiro usa as portas TCP 135, 139, 445 e 593; UDP 135, 137 e 138; e outras portas UDP no intervalo de 1025 a 1035.
A Symantec recomenda quatro maneiras de se proteger contra essa vulnerabilidade:
1) É possível instalar um patch de correção disponível no site da
Microsoft, junto com o boletim MS03-043.
2) Os administradores de redes podem bloquear as portas afetadas,
indicadas acima.
3) Os usuários individuais podem instalar um firewall para uso pessoal, como o que existe embutido no XP, ou de fornecedores especializados.
4) É possível desabilitar o serviço Messenger desta forma:
Windows XP
a. Clique em "Iniciar" - "Painel de Controle"
b. Selecione "Ferramentas administrativas"
c. Clique duas vezes em "Serviços"
d. Selecione "Messenger" ou "Mensageiro"
e. Clique com o botão direito do mouse e selecione "Propriedades"
f. Clique no botão "Parar" (ou "Stop")
g. Selecione a opção para desabilitar ou tornar o serviço manual
h. Clique em "OK" para aceitar as alterações
Windows 2000
a. Clique em "Iniciar" - "Programas" - "Ferramentas administrativas" -
"Serviços"
b. Selecione "Messenger" ou "Mensageiro"
c. Clique com o botão direito do mouse e selecione "Propriedades"
d. Clique no botão "Parar" (ou "Stop")
e. Selecione a opção para desabilitar ou tornar o serviço manual
f. Clique em "OK" para aceitar as alterações
Windows NT
a. Clique em "Iniciar" - "Painel de Controle"
b. Selecione "Serviços"
c. Selecione "Messenger" ou "Mensageiro"
d. Clique com o botão direito do mouse e selecione "Propriedades"
e. Clique no botão "Parar" (ou "Stop")
f. Selecione a opção para desabilitar ou tornar o serviço manual
g. Clique em "OK" para aceitar as alterações
Angela Ruiz é colaboradora do site VSantivirus. Texto publicado sob autorização. URL original: http://www.vsantivirus.com/17-12-03.htm.
Tradução de Helena Nacinovic
Leia também:
Microsoft muda configuração padrão do Windows XP
Spam está sendo enviado por meio do Mensageiro do Windowsa
Spam via Windows já é uma realidade
Não dê dinheiro a spammers
| Destaque |
LocaWeb está em lista negra anti-spam há 2 meses
16/12/2003 - 23:24 Redação InfoGuerra
A Locaweb, um dos maiores provedores de hospedagem de sites do Brasil, está na lista RBL (Realtime Blackhole List) de bloqueio a spam desde outubro deste ano. A RBL relaciona endereços IP de provedores de todo o mundo que não respondem às denúncias de spam provenientes de suas redes e, portanto, são considerados fontes de mensagens indesejadas.
A RBL pertence ao MAPS (Mail Abuse Prevention System) e é uma das principais "listas-negras" da Internet. Muitos administradores de redes a adotam como parâmetro para filtrar mensagens eletrônicas e barrar a entrada de spam em seus servidores. A inclusão da LocaWeb na lista significa que o endereço do provedor será bloqueado por estes administradores, o que pode causar o bloqueio também de mensagens legítimas dos seus usuários.
Segundo o relatório da RBL, a organização tentou entrar em contato com os endereços abuse@locaweb.com.br, postmaster@locaweb.com.br e info@locaweb.com.br, da LocaWeb, e abuse@embratel.net.br, pertencente ao grupo de segurança Internet da Embratel, que consta como contato para abusos no cadastro da rede usada pelo provedor. As mensagens enviadas para postmaster@locaweb.com.br e abuse@embratel.net.br deram "bounce", ou seja, voltaram porque os endereços não puderam ser contatados.
O diretor de qualidade da LocaWeb, Francisco Zapata, disse a InfoGuerra que “a informação de que a RBL não teve resposta é falsa”. Ele garante que os e-mails foram respondidos, assim como o são para outras organizações anti-spam, mas que, “especificamente com a RBL”, a empresa encontrou “dificuldades no tempo de resposta”. Zapata afirmou que o último e-mail foi enviado no dia 8 de dezembro e o provedor ainda aguarda algum retorno.
O diretor de qualidade afirmou ainda que a LocaWeb está “em conversação com RBL para saber o que mais precisa fazer para ser liberada na lista deles”.
A informação de inclusão da LocaWeb na RBL circulou na mesma semana em que a assessoria de imprensa do provedor divulgou a adoção de “políticas rígidas” para controlar o spam em sua rede. Segundo a nota divulgada, o contrato previa até a “suspensão imediata da prestação de serviços contratados independente de aviso ou notificação” em casos de spam.
| Noticias |
Bugbear.B foi campeão de infecções em 2003
16/12/2003 - 20:20 Redação InfoGuerra
O Bugbear.B foi o código maléfico que mais fez vítimas em 2003, afirmou a empresa antivírus Panda Software. A afirmação é parte dos resultados de uma análise dos dados coletados pelo programa antivírus online da empresa, que registrou 11,21% de casos do Bugbear.B entre as ocorrências detectadas. O worm se distribui por e-mail e compartilhamento de rede, instala um cavalo de Tróia, rouba informações digitadas, infecta arquivos e danifica softwares de segurança.
O Klez.I (Klez.H na classificação de outras empresas) ficou em segundo lugar na lista dos piores de 2003, sendo responsável por 8,59 % dos casos detectados. O worm, que foi descoberto em 2002, continua a causar problemas e se espalhar automaticamente usando vários disfarces para enganar os internautas desavisados. O terceiro lugar ficou com o cavalo de Tróia PSW.Bugbear.B, que foi instalado em 6,45 % das máquinas dos usuários da Panda. Esse trojan é parte do worm Bugbear.B e pode ser usado para furtar informações confidenciais.
Em seguida está o worm Blaster, que trouxe dor de cabeça para 5,32 % dos usuários. O Blaster causou problemas no mundo inteiro em agosto deste ano e explora uma vulnerabilidade no componente RPC do Windows. Em quinto lugar está o Parite.B, uma praga poliforme que atingiu 5,10% dos usuários. Ele existe desde 2001 e, segundo a Panda, continua a infectar de modo “discreto, mas persistente”.
No sexto lugar está o worm Mapson, com 4,73 % dos casos. Ele se espalha de forma rápida usando e-mail, MSN Messenger e programas de troca de arquivos peer-to-peer (P2P). O worm Enerkaz está em sétimo lugar com 4,42 %, seguido pelo cavalo de Tróia NoClose, com 3,59 % dos casos de infecção. O nono e décimo lugares ficaram com o Bugbear.A, com 3,43%, e o Bugbear.B.Dam, com 2,52%, respectivamente.
Em 2003 proliferaram vários vírus de computador com grande capacidade de disseminação, por isso não é de se estranhar se outras empresas antivírus fornecerem estatísticas diferentes das divulgadas pela Panda. A Sophos, por exemplo, atribuiu ao Sobig.F, que nem aparece entre os dez mais da Panda, o título de pior worm de 2003. De acordo com as informações da empresa britânica, o Sobig.f foi responsável por quase um quinto de todas as infecções do ano.
Leia também:
2003, o ano dos vírus
Sobig-F é o pior worm de 2003
Bugbear.B foi a pior praga de junho
| Noticias |
eBay proíbe venda de software livre em CDs
A NewsForge, site de notícias da comunidade de software livre, afirmou que os usuários do site de leilões eBay estão tendo problemas ao tentar vender CDs graváveis com cópias de software disponível sob a licença aberta. O site tem a política de proibir a venda de software pirata, como CDs gravados com cópias do Windows, por exemplo.
O eBay já removeu vários leilões de produtos da Microsoft, pois, segundo a NewsForge, a empresa de Redmond acredita que os consumidores não têm direito de revender os produtos com o nome Microsoft. Mas o software livre não deveria ser incluído nesta categoria, já que, em geral, está disponível para download gratuito pela Internet e sua licença permite a redistribuição do software e até mesmo a cobrança pelo serviço.
O usuário Russ Phillips tentou vender no eBay cópias em CDs graváveis do software OpenOffice, que está disponível gratuitamente na Internet. Segundo Phillips, o objetivo era poupar os compradores do download de cerca de 70MB. Mas seu produto foi retirado do ar depois da primeira venda, realizada com sucesso. Segundo o aviso que ele recebeu do eBay, o produto violava a política contra cópias não autorizadas.
Apesar de entrar em contato com o eBay e ressaltar que o OpenOffice é um software livre e gratuito, com uma licença que permite a cópia e distribuição, o site de leilões não respondeu nem colocou o produto novamente no ar. A NewsForge entrou em contato com o eBay, mas afirma que também não obteve uma resposta. Entre os itens proibidos pelo eBay estão cópias de backup e arquivos de software, independentemente dos termos da licença deste software.
| Destaque |
2003, o ano dos vírus
15/12/2003 - 17:50 Helena Nacinovic
No ano em que os vírus comemoraram 20 anos de existência, eles dominaram a Internet no mundo inteiro: 2003 foi o pior ano da história dos vírus. Essa é a conclusão do estudo feito pela F-Secure, que fez um balanço geral de todas as pragas presentes na Internet durante o ano. 2003 também foi o ano de novas tendências no comportamento dos vírus, que foram usados pelos spammers como ferramentas de disseminação. O número de vírus conhecidos chegou este ano a 90 mil pragas e só reforça a recomendação de especialistas de equipar todas as máquinas, corporativas ou domésticas, com firewalls e outros programas de proteção.
A análise da F-Secure também afirmou que 2003 teve o maior número de vírus graves da história. Sete pragas receberam a classificação mais alta de perigo, mas cinco delas foram os reais vilões do ano: Slammer, Bugbear.B, Blaster, Sobig.F e Swen. O Slammer foi considerado o pior ataque que a Internet já sofreu. Apesar de o worm infectar relativamente poucas máquinas, já que seu alvo era apenas os sistemas que usavam o banco de dados Microsoft SQL, o Slammer causou um engarrafamento imenso na Internet enquanto procurava, com uma velocidade surpreendente, todas as máquinas vulneráveis.
Já o worm Bugbear.B se concentrou no furto de informações de bancos. A praga tem como alvo principal as redes de cerca de 1300 bancos de todo o mundo, numa tentativa de infectar usuários e roubar senhas e informações confidenciais das instituições financeiras. A F-Secure afirmou que, apesar de o worm ter se distribuído rapidamente em meados do ano, os danos causados por ele não são conhecidos.
O worm Blaster, com um funcionamento semelhante ao Slammer, conseguiu infectar uma grande quantidade de sistemas Windows 2000 e XP em todo o mundo. Apesar de se espalhar de forma mais lenta do que o Slammer, ele também se espalhava por conexões de rede diretas e foi bem mais rápido do que os vírus comuns que se espalham por e-mail. O worm, além de causar muitos problemas para os donos das máquinas infectadas, usou as vítimas para fazer ataques de negação de serviço contra o site windowsupdate.com, que disponibilizava a correção para a vulnerabilidade no módulo RPC de que o Blaster se aproveitava. O worm Nachi, ou Welchi, foi criado para remover o Blaster e instalar as correções da vulnerabilidade. Mas o vírus "bom" acabou causando tantos problemas quanto a praga anterior, já que o tráfego de rede aumentou bruscamente e derrubou os sistemas de muitas empresas no meio do ano.
O worm Swen é mais tradicional e se espalha por e-mail, mas usava o disfarce de boletim de segurança da Microsoft, usando inclusive layout semelhante ao do site oficial da empresa. O maior impacto do worm não foi para os usuários domésticos, mas sim para as provedoras de Internet, já que o Swen muitas vezes tentava atacar endereços de e-mails inexistentes, criando um volume imenso de mensagens de erro e e-mails retornados nas redes das operadoras.
O SoBig.F apareceu apenas uma semana depois do Blaster e é considerado o pior worm de todos os tempos por enviar mais de 300 milhões de e-mails infectados em todo o mundo. O worm transformava as máquinas infectadas em servidores proxy de e-mail, permitindo que spammers usassem essas máquinas para enviar suas mensagems indesejadas sem serem rastreados. A família de worms SoBig parece ser fruto de um grupo de criadores de vírus que tinham um objetivo comercial, em vez dos comuns crackers ousados que apenas querem provar conhecimento. Os worms, desde sua primeira "versão", tinham data para expirar e foram ficando mais sofisticados até chegar à versão F, que criava bases de envio de spam.
A união entre vírus e spam não parou por aí. Em 2003, os internautas sofreram com worms que coletavam endereços de e-mail, criavam servidores de envio de mensagens em suas máquinas, atacavam sites anti-spam e transformavam computadores comuns em servidores Web para anunciar produtos ilegais. Outra novidade no comportamento dos vírus foi a gravidade do impacto causado por eles. Além de prejudicar a Internet e redes corporativas e financeiras, os vírus afetaram também redes de caixas eletrônicos, tráfego aéreo, redes telefônicas e até uma usina nuclear nos EUA.
| Noticias |
Ataque ao site da SCO foi confirmado por analistas
15/12/2003 - 15:21 Helena Nacinovic
O ataque que derrubou o site oficial da SCO, desenvolvedora do sistema operacional Unix, realmente aconteceu, segundo um relatório divulgado recentemente pela Cooperative Association for Internet Data Analysis (CAIDA). A associação analisou os dados coletados e confirmou que o site da empresa ficou fora do ar devido a mais de 700 milhões de pacotes de dados durante 32 horas, ou seja, um ataque de negação de serviço no último dia 11 de dezembro.
O relato original da SCO sobre o ataque foi questionado por várias comunidades de segurança e tecnologia da informação, incluindo o Slashdot e o Groklaw, pois aparentemente o site de FTP da empresa, ftp.sco.com, estava funcionando perfeitamente. O relatório da CAIDA ajudou a reforçar as alegações da SCO, mas ainda há polêmica e dúvidas, como no fórum da NewsForge, site de notícias voltado para a comunidade open-source.
O resultado da análise descobriu também que, no começo do ataque, os servidores Web da SCO foram alvo de 34 mil solicitações por segundo em ataques "SYN Flood", que entopem a conexão com solicitações do protocolo TCP geralmente vindas de endereços IP falsos. Segundo a nota publicada pela Netcraft, os sites www.sco.com e ftp.sco.com sofreram, juntos, ataques com mais de 50 mil solicitações deste tipo por segundo.
Este não é o primeiro ataque do gênero que derruba o site da SCO. Em agosto, o site ficou fora do ar durante 3 dias. A empresa é alvo de polêmica devido ao processo que está movendo contra a IBM pelo o uso de parte do seu código no sistema operacional Linux. Caso a SCO consiga provar que tem direito a receber direitos autorais por essas partes de código, a comunidade Linux pode se ver obrigada a pagar multas pesadas pelo o uso do sistema operacional.
| Destaque |
Melzinha ataca novamente
15/12/2003 - 0:52 Giordani Rodrigues
|
| Destaque |
Brasil é o quarto país em volume de spam
13/12/2003 - 4:01 Redação InfoGuerra
O Brasil já é o quarto país no mundo em circulação de mensagens indesejadas e a expectativa é que o volume de spam cresça no país com a proximidade das festas de Natal e Ano novo. Essas foram as conclusões de um levantamento da Conferência das Nações Unidas para o Comércio e o Desenvolvimento/ União Internacional de Telecomunicações (UNCTAD/ITU), divulgado pela empresa antivírus Symantec. A pesquisa revelou também que a Internet no Brasil é responsável por 4,9% do tráfego mundial de spam, ficando atrás dos EUA, China e Reino Unido.
Uma análise feita pela consultoria Ferris Research sobre o problema no mundo mostra que as empresas perdem US$ 10 bilhões por ano na luta contra o spam em suas redes e devido à perda de produtividade de funcionários. Além disso, o spam está vindo acompanhado de vírus e outros códigos maléficos que exploram vulnerabilidades das máquinas.
A Insight Express, empresa de pesquisas online, fez um estudo a pedido da Symantec com 500 empresas pequenas e médias nos EUA e descobriu que o spam faz 42% delas cogitaram o fim do uso de e-mail para correspondências corporativas. Exatamente metade dos entrevistados também cogitam mudar todos os e-mails corporativos e 56% têm intenção de adotar filtros de mensagens em suas redes. Das empresas entrevistadas, 32% afirmaram que já investiram na criação de listas negras de e-mails, mas o problema só tende a se agravar.
Para tentar educar os usuários, a Symantec lançou, há alguns meses, o site Spam Watch Response Center, que oferece conselhos para evitar spam, informações sobre software pirata, fraudes de cartões de crédito e assuntos relacionados.
| Noticias |
Empresas antivírus alertam para o worm Scold
12/12/2003 - 18:26 Helena Nacinovic
Um novo worm descoberto nesta semana tem provocado alertas das empresas antivírus devido à relativa velocidade com que tem se espalhado desde o dia 10 de dezembro. O W32/Scold-MM se distribui por e-mail com um texto que induz o usuário a abrir uma "linda foto" anexa. Além disso, inclui uma falsa informação de que o arquivo anexo não contém vírus.
A linha de assunto da mensagem traz sempre o texto "When It's Cold Outside She Gives Me Warm Inside" (Algo como, “Quando está frio lá fora, ela me esquenta por dentro”). O arquivo anexo possui nomes variados, mas sempre tem a extensão .SRC, que designa arquivos usados como protetores de tela.
Uma vez aberto, o Scold se copia para a pasta "System" do Windows com o nome "Warm.scr", além de criar uma entrada no registro do sistema: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Warm.exe. Desta forma, a rotina do worm é iniciada sempre que o computador for ligado. O Scold coleta endereços de e-mail dos catálogos e páginas HTML armazenados na máquina infectada e envia cópias de si mesmo para tais endereços.
Segundo a MessageLabs, foram interceptadas 5.415 cópias do Scold desde o dia 10 de dezembro, principalmente no Reino Unido, Austrália e Egito.
| Noticias |
Filtro de conteúdo Web ganha nova versão
A SonicWALL, empresa de segurança da informação, anunciou nesta semana o lançamento de uma nova edição do serviço de filtragem de conteúdo Content Filtering Service (CFS) Premium para os setores educacional, corporativo e governamental. Celso Hummel, engenheiro de sistemas da empresa, afirmou que o serviço, que já existe em outros países, foi adequado ao contexto brasileiro, incluindo sites locais em suas listas de categorias.
O CFS Premium permite que os administradores da rede bloqueiem até 56 categorias de sites com conteúdo inadequado, além de sites que interferem na produtividade dos usuários. O CFS Premium também oferece personalização de políticas de filtragem e a atualização constante do banco de dados de classificação de mais de 4,3 milhões de sites. O serviço roda no novo sistema operacional da SonicWall, o SonicOS Enhanced, e está disponível no firewall PRO 4060, além de servir de atualização nos firewalls PRO 3060 e TZ 170.
O serviço usa um banco de dados dinâmico de URLs, endereços IP e domínios para bloquear o conteúdo inadequado encontrado na Web. Os administradores controlam a aplicação em suas redes com a interface de gerenciamento. Também há um mecanismo de cache de sites que armazena as classificações de sites localmente no dispositivo da SonicWALL, reduzindo o tempo de resposta aos sites visitados com maior freqüência. O serviço pode ser adquirido com uma assinatura anual e os preços variam de cerca de R$4 mil até cerca de R$ 2 mil, de acordo com as plataformas usadas pelo cliente.
| Noticias |
Mozilla também está vulnerável a falha que atinge o IE
12/12/2003 - 15:32 Helena Nacinovic
A falha na correta exibição de URLs (endereços) encontrada no Internet Explorer também atinge o navegador Mozilla Firebird, de maneira menos grave. A vulnerabilidade permite que, no Internet Explorer (IE), sejam criados links em DHTML (HTML Dinâmico) que enganam os internautas, exibindo uma URL falsa na barra de endereços enquanto o navegador carrega uma página maliciosa.
Segundo a empresa de segurança Secunia, foi descoberto mais um detalhe no IE: além da barra de endereços, a barra de status do navegador também exibe a URL falsa, completando o golpe. Isto significa que quando se pousa o mouse sobre o link preparado para se observar o real endereço, apenas a URL que o atacante quer que apareça é exibido na barra inferior esquerda no navegador.
No Mozilla Firebird, um dos programas da Mozilla.org, o problema atinge apenas a barra de status, mas não deixa de ser preocupante. A vulnerabilidade foi constatada no IE 6.0 e no Mozzila Firebird 0.7 e talvez outras versões dos navegadores também estejam afetadas.
A Secunia oferece um link de teste em que usuários de ambos os navegadores podem verificar se estão vulneráveis.
Leia também:
Brecha do IE faz site falso parecer verdadeiro
| Destaque |
Brecha do IE faz site falso parecer verdadeiro
11/12/2003 - 21:43 Redação InfoGuerra
Um designer britânico de 18 anos divulgou esta semana uma nova técnica para se aproveitar de uma brecha de segurança antiga no navegador Internet Explorer (IE), que pode causar dor de cabeça aos internautas. Usando o método descrito, pode-se levar os usuários do programa a visitarem sites falsos, acreditando estarem em sites verdadeiros.
A falha acontece quando um código DHTML (HTML Dinâmico) causa problemas de depuração de URLs (endereços) no navegador, o que permite que o criador do código determine que URL será exibida na barra de endereços do IE. A URL maliciosa pode ser reconhecida pela presença do código "%01" juntamente com o sinal "@" (arroba), que marca o fim do endereço falso e o começo do verdadeiro.
O sinal de arroba é normalmente usado em URLs para indicar a autenticação de usuários e senhas, no seguinte formato: http://usuario:senha@dominio/pagina ou simplesmente http://usuario@dominio/pagina. Substituindo-se o nome do usuário pelo endereço de um site é possível criar um truque bastante conhecido, que faz uma página falsa parecer legítima, assim: http://endereco_falso@endreco_verdadeiro.
Mas a técnica atual vai um passo além, ao inserir o código “%01” antes da arroba. Isto faz com que o endereço verdadeiro (do atacante) simplesmente desapareça na barra do navegador e o usuário veja apenas o endereço do site que se quer imitar. Segundo o site de segurança VSAntivirus, a falha só acontece em navegadores que têm o recurso ActiveX ativado. Caso contrário, o usuário verá a URL maliciosa da seguinte forma: http://endereco_falso%01@endereco_verdadeiro.
O designer, que usa o apelidado de "Zap The Dingbat", forneceu uma página para que os usuários possam testar seu navegador. Para saber se o seu IE está vulnerável, clique aqui e depois no botão "Test Exploit". Feito isso, os navegadores que estiverem com a vulnerabilidade mostrarão um site com o endereço http://www.microsoft.com contendo uma página que obviamente não pertence à Microsoft. Navegadores não vulneráveis, exibirão a verdadeira URL: http://www.microsoft.com%01@zapthedingbat.com/security/ex01/vun2.htm.
O truque pode ser especialmente perigoso se for usado em conjunto com golpes que se utilizam de sites clonados de bancos, por exemplo, para furtar dados de conta corrente ou de cartão de crédito. Este tipo de golpe está em alta ultimamente e um dos indícios que podem alertar os usuários é a URL não convencional. Com um endereço que pareça autêntico, tais golpes podem ser ainda mais eficientes e fazer mais vítimas.
Por isso, mais do que nunca, deve-se ter cuidado com e-mails não solicitados em nome de bancos e outras empresas conhecidas, que orientam os usuários a recadastrar seus dados ou participar de uma promoção imperdível. Tais mensagens devem ser ignoradas. Além disso, ao acessar o site do seu banco para fazer transações financeiras, o melhor é digitar o endereço da página diretamente na barra do navegador em vez de clicar em links presentes em e-mails ou outros sites.
Leia também:
A Microsoft comprou a Red Hat?
Grandes companhias são enganadas por falsas otícias
| Noticias |
Patch misterioso aparece no site da Microsoft
A Microsoft emitiu na última quarta-feira uma correção de segurança (patch) pelo serviço Windows Update. O procedimento, que não causaria espanto em uma situação normal, deixou a empresa preocupada já que, no dia anterior, ela declarou que não iria disponibilizar o seu boletim mensal de segurança em dezembro. O patch misterioso, já lançado anteriormente no boletim de novembro, corrige uma falha crítica nas extensões do Microsoft FrontPage que permite a execução remota de código.
A Microsoft disse que está investigando por que e como o patch foi novamente publicado, já que ele não faria parte do boletim de dezembro, que deveria ter sido publicado no último dia 9. A empresa adotou em outubro deste ano a política de boletins mensais de segurança, no lugar da prática anterior de lançar boletins semanais. O boletim de dezembro deveria trazer, além do conjunto habitual de correções para falhas descobertas no último mês, uma apresentação que explicaria detalhes das correções.
O gerente de segurança de programas da Microsoft Iain Mulholland declarou que não há nenhuma correção que tenha atingido a qualidade necessária para a publicação em dezembro. Ele frisou que a empresa se comprometeu a fornecer apenas correções de qualidade. Mulholland afirmou também que a Microsoft vai abrir execeções à programação de boletins caso surja alguma ameaça crítica.
Segundo o site de notícias Hispasec, esta é primeira vez em cinco anos que a Microsoft passa um mês inteiro sem publicar boletins de segurança, mas a decisão não foi tomada por falta de falhas a serem corrigidas. As mais perigosas, e que já estão sendo exploradas de forma maliciosa, são falhas descobertas no navegador Internet Explorer que permitem a execução remota de código. A empresa declarou que está trabalhando para produzir as correções, mas aparentemente não houve tempo para terminá-las antes da data prevista para a publicação do boletim. A Microsoft não informou quando pretende divulgar essas correções, mas o próximo boletim geral está programado para sair no começo de janeiro.
Leia também:
Divulgadas cinco novas falhas graves no IE
| Noticias |
ISS lança software de segurança tudo em um
A Internet Security Systems (ISS) anunciou nesta semana o lançamento do Proventia M50, um software de segurança "tudo em um", que reune proteção contra vírus, acesso não autorizado, ataques a redes, invasões e ataques híbridos, como os realizados pelas pragas SQL Slammer, Code Red e Blaster.
O software executa as funções de firewall, gateway, antivírus e VPN para as redes onde é instalado. A empresa anunciou também que pretende incluir, futuramente, filtros de conteúdo e anti-spam no Proventia M50.
| Noticias |
Variante do Yaha usa patches e senhas pornô como disfarce
11/12/2003 - 4:36 Helena Nacinovic
Uma variante do worm Yaha, o W32/Yaha-Y está circulando pela Internet, tentando atrair vítimas com vários disfarces, que incluem falsas atualizações de segurança da Microsoft, falsas correções para o worm Blaster e falsas senhas de acesso a sites pronográficos. Segundo a empresa antivírus Sophos, que afirma ter recebido vários relatos sobre o worm, o Yaha-Y está "in the wild" (à solta), espalhando-se por redes de compartilhamento de arquivos e como anexo de e-mails.
O worm contém instruções para que, ao ser transmitido via rede de compartilhamento de arquivos, seja executado assim que o usuário abrir qualquer arquivo com a extensão .exe, .src, .com ou .bat. Ao ser executado, o Yaha-Y se copia para a pasta Windows da máquina infectada com os nomes de EXE32.EXE e MSMGR32.EXE, mantendo esses arquivos ocultos. Ele também cria entradas no registro do Windows que garantem sua execução sempre que a máquina for reiniciada. Estando ativo, o worm tenta fechar programas antivírus e de segurança, alterando o registro da máquina para que eles não voltem a ser abertos quando o sistema for reiniciado.
Veja alguns dos disfarces mais comuns do Yaha-Y:
Assunto: Fix for the New Worm Threat
Texto da mensagem: Dear customer, We are enclosing Fix for W32.Blaster.Z as per your request.
Arquivo anexo: Fixblastz.zip
Assunto: Critical Updates
Texto da mensagem: Dear customer, Thanks for using Microsoft products. Recent viruses have prompted microsoft to issue patches to all its customers worldwide.
Arquivo anexo: MS-Q3526.com
Assunto: Crack for Porn sites
Texto da mensagem: Hi, This is a new crack for porn site. Please download and check program. Bye.
Arquivo anexo: porncrack.zip
É bom lembrar que o worm Yaha possui muitas variantes e que as empresas antivírus continuam com o hábito de nomear os vírus de formas diferentes. Assim, o Yaha-Y descrito pela Sophos esta semana não é o mesmo que o worm surgido em setembro e batizado de Yaha-Y por algumas empresas (e de Yaha-U por outras).
| Noticias |
Workshop em Florianópolis discute protocolação eletrônica
Acontece em Florianópolis, amanhã, dia 11 de dezembro, o I Workshop de Protocolação de Documentos Eletrônicos. O evento pretende discutir métodos e infra-estrutura necessária para protocolação de documentos digitais, incluindo também as práticas de segurança envolvidas.
O workshop vai ser realizado pelo Laboratório de segurança em computação da Universidade Federal de Santa Catarina (LabSEC/UFSC) e vai contar com uma apresentação do Instituto Nacional de Tecnologia da Informação (ITI), representado pelo diretor de Infra-estrutura de Chaves Públicas Renato Martini, sobre carimbos de tempo, parte fundamental de sistemas que usam tramitação eletrônica de documentos.
Entre as outras palestras que serão apresntadas no evento estão temas como "Infra-estrutura de protocolação digital de documentos eletrônicos" e "Análise da confiança do sistema de protocolação digital de documentos eletrônicos", além do painel de discussão sobre "Proposta de um sistema nacional para protocolação de documentos eletrônicos".
Para participar do evento, que dura o dia inteiro, é preciso entrar em contato com Camile pelo e-mail camile@inf.ufsc.br ou telefone (48) 331-7546. O workshop vai acontecer no Auditório do Centro de Convenções da FIESC, que fica na Rodovia Admar Gonzaga, 2765, em Itacorubi, Florianópolis.
| Noticias |
Golpistas atacam usuários do Registro.br
9/12/2003 - 23:23 Giordani Rodrigues
Os golpistas da Internet resolveram atacar esta semana pessoas que supostamente possuem domínios registrados no Registro.br. De acordo com um alerta enviado por e-mail pelo órgão e publicado em seu site, usuários do Registro.br sofreram um "ataque de engenharia social" nas últimas horas. O objetivo principal do golpe provavelmente era obter a senha de acesso aos domínios registrados e assim poder controlar os sites ligados aos endereços cadastrados.
Para quem desconhece o termo, engenharia social é a técnica de ludibriar uma pessoa para que esta forneça informações privilegiadas, rode programas maliciosos ou execute outras ações de interesse de um atacante. É o velho conto do vigário com uma roupagem tecnológica.
O golpe está em alta nos últimos meses, principalmente contra clientes de Internet Banking, que têm recebido e-mails fraudulentos imitando mensagens de bancos e de outras empresas conhecidas. Os correntistas são induzidos a rodar programas espiões ou cadastrar seus dados bancários, incluindo senhas, em sites falsos, geralmente clones dos sites bancários hospedados em provedores gratuitos ou em domínios registrados no exterior.
O ataque aos usuários do Registro.br segue a mesma linha. Conforme o alerta publicado no site, os usuários receberam falsas mensagens de e-mail contendo o endereço de um site que imitava quase que fielmente a página de autenticação do Registro.br e solicitava o recadastramento dos usuários devido a uma suposta atualização do sistema do órgão. A diferença em relação à página original, além do endereço fraudulento, era a presença de um banner publicitário e a ausência do símbolo do cadeado fechado, indicando uma transmissão segura dos dados, usada no site autêntico do Registro.br.
O site falso já foi retirado do ar e, de acordo com o coordenador técnico do Registro.br, Frederico Neves, "existem outras medidas em andamento para a identificação dos responsáveis". Neves não quis revelar qual era o endereço fraudulento e preferiu não fornecer outros detalhes sobre o golpe. "Neste momento a divulgação de qualquer um destes dados pode vir a comprometer as investigações que estamos efetuando", justificou.
O coordenador do órgão não soube dizer se os golpistas enviaram mensagens a internautas aleatoriamente ou se visaram especificamente quem tinha domínios registrados. "Não possuímos cópias suficientes das mensagens para que se possa retirar alguma correlação da origem dos dados para o scam (esquema fraudulento)", afirmou. Neves, porém, garantiu que "não ocorreu comprometimento algum da segurança das informações do Registro.br".
Ele acha que uma das alternativas para evitar este tipo de golpe, além da educação dos usuários, é a adoção de certificados digitais pessoais. O problema deste procedimento em uma base de usuários grande como a do Registro.br é a complexidade da medida, explica. Além disso, a certificação também não garante totalmente a segurança do sistema, pois está subordinada à segurança das máquinas dos usuários, as quais podem ser comprometidas. "No momento nenhum método de autenticação alternativo está descartado para adoção no futuro", esclarece.
O Registro.br está orientando os usuários que acham que foram induzidos a fornecer seus dados de forma fraudulenta a entrar em contato com o órgão o quanto antes, preferencialmente pelo e-mail hostmaster@registro.br, ou pelo telefone (11) 5509-3500.
| Noticias |
Firewall baseado em Linux ganha nova versão
9/12/2003 - 21:02 Helena Nacinovic
Já está disponível na Internet o SmoothWall 2.0, nova versão do sistema operacional com função de firewall baseado em Linux. O SmoothWall permite que máquinas antigas e ultrapassadas se tornem firewalls modernos. A nova versão traz um novo kernel (parte central do sistema operacional), correções de bugs e conexões de rede aprimoradas.
O SmoothWall é voltado para usuários domésticos ou empresas pequenas que não podem pagar por um roteador sofisticado. Baseado no código do Linux, é um sistema operacional com código aberto totalmente voltado para proteger pequenas redes. O site oficial do software oferece o download do programa, o código-fonte e manuais de uso.
| Noticias |
Brecha no Websense permite rodar scripts maliciosos
Foi divulgada em listas de segurança da informação uma vulnerabilidade em várias versões do Websense Enterprise, software usado para filtrar conteúdo no acesso à Internet em redes corporativas. A vulnerabilidade acontece porque o Websense Enterprise exibe páginas de erro no lugar de sites bloqueados sem verificar de forma completa o código HTML e os scripts do site bloqueado.
Isso permite a realização de ataques com scripts de sites maliciosos, caso a vítima tente visitar uma página proibida que inclua script mal intencionados. O atacante poderia, então, furtar informações de cookies. As versões vulneráveis do Websense Enterprise são: 4.3, 4.4, 5.0.1 e 5.1.
Já existem correções disponíveis para as versões 5.01 and 5.1 nas plataformas Windows, Solaris e Linux. Para os usuário de outras versões, é recomendável a criação de páginas de erro personalizadas, o que evita a exibição de código ou scripts do site bloqueado.
| Noticias |
Módulo lança curso de segurança online
A Módulo Security anunciou hoje o lançamento de um centro virtual de ensino que vai oferecer cursos online para profissionais que não têm tempo para fazer cursos tradicionais. O primeiro curso disponível será o Básico de Segurança da Informação, que vai apresentar conceitos básicos e princípios gerais da segurança da informação.
O curso dura 16 horas e deve ser concluído em até 30 dias, nos horários mais convenientes para os alunos. Os estudantes também terão contato com tutores e professores online ― instrutores dos cursos presenciais da Módulo que vão tirar as dúvidas durante o período de aprendizado. A Módulo vai desenvolver os cursos em parceria com a Eschola, empresa especializada em e-learning.
O Curso Básico de Segurança da Informação terá sua primeira turma a partir do dia 02 de fevereiro de 2004 e já é possível fazer a pré-inscrição pelo telefone 0800-7070853 ou nos sites www.securityshopping.com.br e www.modulo.com.br. O curso custa R$373,00 e quem fizer inscrição até 31 de dezembro vai ganhar um desconto de 20%. O pagamento pode ser feito com boleto bancário ou com cartões de crédito.
| Noticias |
Três falhas de segurança afetam produtos Oracle
9/12/2003 - 15:27 Helena Nacinovic
A Oracle divulgou um alerta de segurança sobre três vulnerabilidades encontradas na implementação do protocolo SSL (Secure Socket Layer), usado para comunicação segura na Internet. As brechas de segurança afetam o Oracle9i Application Server, os servidores de banco de dados Oracle9i e Oracle8i e o servidor HTTP Oracle.
Os bugs podem ser usados para lançar ataques de negação de serviço e promover execução remota de código não autorizado. Segundo o alerta da Oracle, todos os clientes que têm acesso ao servidores afetados têm o potencial de explorar essas vulnerabilidades. Duas delas podem ser exploradas com certificados X.509 falsos apresentados pelos clientes, mesmo quando essa função não estiver habilitada no servidor. A terceira vulnerabilidade do SSL só existe quando o processamento de certificados X.509 de clientes está habilitado, permitindo que um atacante use um certificado falso para ganhar controle do servidor.
Já existem correções disponíveis para essas falhas, mas a Oracle alertou que não ainda existe uma solução completa para os problemas. A empresa recomendou o uso de firewall, além da leitura do guia de melhores práticas do Oracle9i Application Server e Oracle91 Dabatase Server.
| Destaque |
Uol tenta desviar tráfego da Internet
9/12/2003 - 1:41 Giordani Rodrigues
Todo mundo ficou sabendo que a Verisign configurou seus servidores DNS (usados na resolução de nomes de domínios) para responder a todas as requisições para endereços .COM e .NET inexistentes e redirecioná-las para sua própria página de busca. Mas o que pouca gente fora dos círculos especializados ficou sabendo, é que o Universo On-Line (Uol) tomou uma decisão semelhante, só que um pouco pior, do ponto de vista do desvio de padrão das redes que compõem a Internet. Mesmo depois de toda a polêmica causada pela decisão da Verisign, e após a empresa ter sido processada por concorrentes e obrigada pela ICANN a voltar atrás em sua decisão, o Uol criou um redirecionamento para suas páginas ainda mais radical.
Enquanto a Verisign mexeu apenas nos domínios .COM e .NET, que estão sob sua responsabilidade final, o provedor brasileiro configurou seus servidores DNS para redirecionar a uma página de busca do Radar Uol todas as requisições que seus clientes fizessem para virtualmente qualquer endereço inexistente no mundo. Isso incluía até mesmo os endereços inexistentes de domínios existentes, como http://uol.infoguerra.com.br ou http://uol.terra.com.br, por exemplo, sobre os quais o Uol não deveria ter autoridade. Tal configuração seria sentida por todos os usuários de conexão discada do Uol ou pelos usuários de conexão banda larga de qualquer provedor que configurassem seus servidores DNS usando os IPs dos servidores do Uol.
Se um cliente do provedor tentasse acessar http://uol.terra.com.br, por exemplo, em vez de receber uma mensagem de erro padrão ou especialmente preparada pelo Terra, um dos principais concorrentes do Uol, seria levado à página http://e.indice.uol.com.br/d/?q=uol.terra.com.br. Neste endereço veria a seguinte mensagem: “Nenhuma página encontrada para uol.terra.com.br. Tente encontrar novamente a página que você procura digitando o endereço correto na caixa de busca no Radar Uol ou na barra de endereço do seu navegador”. E por fim, havia o link para uma seção de sites escolhidos pelo Uol e a frase: “Veja também mais sites selecionados pelos editores do Uol”. É possível ver uma cópia dessa página aqui.
A situação durou pouco mais de dois meses, desde aproximadamente o final de setembro ou início de outubro até a semana passada. A Verisign só conseguiu resistir à pressão por 18 dias, pois sua decisão foi anunciada no dia 15 de setembro e, após muitas críticas e ameaças, cancelada oficialmente em 3 de outubro.
A atitude do Uol foi primeiramente denunciada no dia primeiro de outubro pelo gerente de segurança de redes Hermann Wecke, numa lista do Grupo de Engenharia e Operações de Redes (GTER) do Comitê Gestor. Wecke, com seu característico sarcasmo, mostrava que domínios como "santaacefaliabatman!" ou "queroveroregistroenchermeusaco.registro.br" apontavam, sob certas circunstâncias, para os servidores do Uol.
Dois dias depois, em 3 de outubro, Frederico Neves, coordenador técnico do Registro.br, postou uma mensagem em várias listas, reproduzindo o anúncio oficial da Verisign em que a empresa informava que desistia do redirecionamento. Neves comentou que "as 'forças do bem' prevaleceram, ao menos temporariamente" e criticou o Uol por ter adotado "uma solução que fere fortemente o standard DNS através da reescrita de uma resposta autoritativa".
Ele se referia ao fato de que o Uol estava nitidamente desviando tráfego da Internet para suas páginas, ao redirecionar as requisições que as pessoas faziam a sites regularmente registrados, mas tentando acessar uma página daquele site que não existisse. "É extremamente importante que a hierarquia do espaço de nomes da Internet seja respeitada a todo custo. Este comportamento é fundamental para a estabilidade dos serviços que existem hoje", escreveu.
Na mesma mensagem, Neves também informava que, após alertado sobre a situação, o Uol estava conversando com o Registro.br e prometera uma solução para o problema até a quinta-feira da semana seguinte, que seria o dia 9 de outubro. O Uol, porém, não cumpriu sua promessa.
No final de outubro, InfoGuerra entrou em contato com Hermann Wecke, que afirmava que a situação continuava inalterada e revelava que estava com vontade de processar o Uol. "Já pensei em mandar uma notificação extrajudicial pedindo que eles parem de responder pelos meus domínios", disse.
Mais um mês se passou e nada foi feito, então InfoGuerra entrou em contato com o Registro.br e com o Uol a fim de obter informações sobre o que estava sendo feito e publicar uma matéria sobre o assunto. O Registro.br respondeu, mas nem o Uol, nem a assessoria de imprensa do provedor responderam. Porém, logo depois desse contato, o Uol voltou atrás e removeu a configuração polêmica de seus servidores. Em 4 de dezembro, Frederico Neves postou outra mensagem na lista do GTER, informando do retorno do Uol para os padrões habituais da Internet e comentando que "a normalidade na hierarquia DNS" tinha voltado.
Críticas de todos os lados
A atitude do Uol, que servia para aumentar o número de cliques em suas páginas ao desviar o tráfego de outros sites e páginas padões de erro, provocou apenas críticas na comunidade de engenharia de redes. Hermann Wecke acusou o Uol de estar "falido" e chamou a atitude do provedor de "desespero de causa". "Sem falar no fato de que eles copiaram uma péssima idéia que já provou ser repudiada por toda a comunidade da Internet mundial" disse o gerente de redes. E completou: “Lembrando a velha máxima de que no mundo nada se cria, tudo se copia, até mesmo as péssimas idéias alheias".
Frederico Neves classificou a decisão do Uol de uma "falha gravíssima", mas disse que não havia como obrigar ninguém a aderir corretamente a um protocolo. "A Internet é uma rede colaborativa e a aderência aos protocolos conforme definido pelo IETF (Internet Engineering Task Force) é o que garante o correto funcionamento, e conseqüentemente o seu grande sucesso até hoje. Mas além de se informar o público desta falha gravíssima, não vejo mais nada que possa ser feito".
Já o advogado Omar Kaminski, que atuou em casos importantes envolvendo disputas de domínios na Internet, considera que a decisão do Uol mostra que, cada vez mais, "os provedores estão 'fechando' suas redes e com isso aumentando seus domínios virtuais com o auxílio de estratagemas técnicos aplicados diretamente nos protocolos".
Kaminski afirma ainda que tais atitudes podem trazer problemas legais aos provedores que as utilizarem. "Juridicamente, cabe discutir se há indução a erro, resultando em ato ilícito. Caberia, então, pedido de indenização a quem provar o prejuízo, ou até mesmo crime de concorrência desleal, na modalidade de desvio de clientela, caso o redirecionamento de páginas para aumentar os cliques possa ser considerado fraudulento".
| Noticias |
Novo software gerencia a aplicação de patches
A LANDesk Software anunciou hoje o lançamento do LANDesk Patch Manager 8, programa que gerencia e aplica correções de segurança (patches) nos softwares monitorados. O programa, que pode ser integrado ao LANDesk Management Suite 8, monitora softwares determinados pelos administradores dos sistemas e verifica as correções disponíveis para as vulnerabilidades encontradas. Além disso, ele testa os patches antes de instalá-los e os audita posteriormente, verificando se as correções foram aplicadas corretamente.
Para Andy Nosal da Raymond James Financial, cliente da LANDesk, a crescente ameaça de ataques de vírus torna o gerenciamento de patches essencial para proteger uma infra-estrutura de computadores. Nosal contou que, ao saber do worm Blaster, usou o LANDesk Management Suite para identificar as máquinas que precisavam do patch e, em apenas uma hora, implantou a correção em 300 desktops. A versão anterior do produto exigia que o administrador da rede enviasse os patches manualmente para as máquinas, mas no Patch Manager 8 o programa faz isso automaticamente.
O software pode ser adquirido como produto adicional do LANDesk Management Suite pela rede autorizada da LANDesk Software no Brasil. O preço sugerido para o varejo é de US$ 12,00 (cerca de R$ 35) por nó ou entroncamento de rede. Mais informações estão disponíveis pelo telefone (11) 5503-6501 ou no site da empresa.
| Destaque |
Cuidado com discadores maliciosos
Discadores ou dialers são pequenos programas usados para ligar automaticamente para números de telefone que permitem o acesso a determinados serviços por computador. Ultimamente, tem crescido o uso desses programas de forma fraudulenta, ao serem utilizados para discar para números pagos sem o conhecimento dos usuários. O boletim Oxygen3 da Panda Software desta segunda-feira oferece mais detalhes sobre os discadores usados de forma maliciosa.
Originalmente, esses aplicativos eram distribuídos por provedores de Internet para ajudar seus clientes a se conectar com os servidores. Logo depois, outros serviços acessíveis por computadores também foram desenvolvidos, geralmente relacionados à pornografia disponível via números de telefone com taxas altas de uso por minuto. Para facilitar o acesso, esses serviços desenvolveram discadores próprios. Não demorou até que usuários maliciosos percebessem que, se usados de determinada forma, os discadores para acessar esses serviços poderiam ser altamente lucrativos. Foi assim que os discadores passaram a ser inseridos em páginas da Web criadas para fazer o download, instalar e executar os programas sem que os usuários afetados percebessem a mudança.
Discadores só causam problemas em computadores que se conectam à Internet usando as redes telefônicas comuns, já que as conexões de banda larga e a cabo funcionam de formas diferentes e não precisam de uma conexão discada. Um ataque com um dialer é iniciado normalmente quando o usuário visita determinadas páginas da Web, como as que têm conteúdo pornográfico, hacker, cracks de programas e downloads ilegais. Recentemente, no entanto, estão aumentando os relatos de usuários afetados por ataques com discadores depois de acessar páginas que pareciam ser inofensivas.
Segundo a Panda, as principais conseqüências dos ataques com discadores são a criação de uma nova conexão discada, que será usada como o número padrão para se conectar à Internet e a mudança da conexão discada que o usuário utiliza normalmente de forma que, sempre que ele tentar fazer a conexão, esse número não vai se conectar ao provedor de Internet do usuário, mas sim a um número com altas tarifas para uso.
A Panda recomenda que os usuários se protejam contra esses golpes usando um programa que detecte quando o computador ligar para um número de telefone diferente, informando o usuário da mudança. Além disso, como existem vírus que são programados para instalar discadores sem que o usuário perceba, a melhor solução é usar um programa de detecção de discadores junto com um antivírus atualizado. Atualizar o sistema operacional e o navegador também é essencial para evitar a instalação automática destes programas maliciosos.
| Noticias |
Spam tenta atacar central telefônica da polícia britânica
Um e-mail fraudulento em forma de spam está circulando na Internet, numa aparente tentativa de sobrecarregar os telefones da polícia de Cambridgeshire, na Grã-Bretanha. O alerta foi dado nesta semana pela Sophos, depois que a empresa antivírus recebeu relatos de internautas sobre débitos indevidos em seus cartões de crédito relacionados à compra de um player de mp3 iPod da Apple com 40GB de espaço.
O e-mail falso afirma que o valor de 399,99 libras esterlinas (cerca de R$ 2 mil) foi debitado do cartão de crédito do usuário e que, em caso de perguntas, o suposto comprador deve entrar em contato com o vendedor por telefone. O número de telefone fornecido, no entanto, é o número geral da sede da polícia de Cambridgeshire.
Segundo a Sophos, a polícia de Cambridgeshire declarou que está alertando a população do país sobre o golpe e prendeu hoje um suspeito de 21 anos. Na verdade, nenhum débito é feito no cartão de crédito das pessoas e o objetivo parece ser apenas entupir as linhas telefônicas da polícia local. A empresa que teoricamente vendeu o aparelho e cujos dados são citados no spam não existe.
| Noticias |
Seminário aborda bases de dados em software livre
A Livraria Tempo Real e a CTT-Maxwell promovem, no dia 12 de dezembro, em Porto Alegre, o 1º Seminário de Base de Dados em Software Livre. Durante o evento, serão apresentadas diversas soluções gratuitas e comerciais de sistemas gerenciadores de bases de dados rodando sobre o sistema operacional Linux, como MySQL, PostgreSL e Oracle. Os temas serão abordados por representantes da CTT-Maxwell, Netcom Informática, Hitec Informática e Fontoura Education.
As palestras irão destacar o MySQL, um popular banco de dados recentemente integrado com a base de dados da empresa alemã SAP; a base PostgreSL, conhecida pelas funcionalidades como transações e pelo baixo custo; e a base Oracle, com pontos positivos e problemas para a configuração no ambiente Linux. A última palestra do dia fala sobre Segurança em Servidores Linux, com o coordenador da equipe de suporte ao sistema Linux no Banrisul, Vanderlei Pollon.
O seminário será realizado das 9 às 17 horas, no Molinos Flat, na rua 24 de Outubro, 1611, em Porto Alegre, no Rio Grande do Sul. O evento tem vagas limitadas e as inscrições custam R$ 15. Informações podem ser obtidas pelos telefones 51-3029-0044 (Livraria Tempo Real) ou 51-3215-1495 (CTT-Maxwell).
| Noticias |
Governo é o primeiro a adotar nova licença de software livre
Foi anunciado nesta semana, durante a II Rodada de Compartilhamento de Software Livre, a adoção da licença CC-GPL para o software TerraCrime, programa voltado para a segurança pública que utiliza o geoprocessamento para analisar os dados estatísticos dos boletins de ocorrência. Esse software foi desenvolvido para o Ministério da Justiça, pela Universidade Federal de Minas Gerais e pelo Instituto Nacional de Pesquisas Espaciais.
Esse é o primeiro programa no mundo a adotar esse tipo de licença, que reúne as características de duas entidades distintas. A primeira é uma das mais populares licenças para software livre, a GPL (General Public License) da Free Software Foundation, caracterizada por assegurar as quatro liberdades básicas, ou seja, usar, estudar, melhorar e redistribuir o código. Essa licença alinhou-se às premissas da Creative Commons, entidade sem fins lucrativos que defende o equilíbrio entre a propriedade intelectual e a garantia que essa prerrogativa não se transforme em um inibidor para a criatividade e a inovação.
A união das duas entidades permitiu que fosse anexada à licença GPL uma cartilha em linguagem menos técnica e uma versão portuguesa adequada às normas brasileiras.
Em nota encaminhada aos participantes do evento, o professor de direito da Universidade de Standford e presidente da Creative Commons, Lawrence Lessig, afirmou a importância de o Brasil adotar a licença, uma vez que "introduziu algumas mostras de sanidade em um debate que tornou-se extremamente irracional".
O professor da Escola de Direito de Columbia e conselheiro geral da Free Software Foundation, Eben Moglen, afirmou que este é um dia excepcional para a liberdade das idéias e para a liberdade tecnológica, por propiciar às pessoas em todo o mundo oportunidade de desenvoler software juntas, dando vazão às necessidades humanas e não às necessidades de corporações de serem proprietárias das idéias.
O presidente do Instituto Nacional de Tecnologia da Informação, Sérgio Amadeu, comentou que o Comitê Técnico de Implementação do Software Livre contribuiu para a união dessas duas entidades e propôs a redação em português. A partir de agora, informou Amadeu, os softwares brasileiros desenvolvidos pelo governo federal poderão adotar esse modelo de licenciamento.
Fonte: ITI
Leia também:
Lançada no Brasil primeira música sob licença Creative Commons
Novas licenças de direito autoral chegam ao Brasil
| Noticias |
Falha no Yahoo Messenger permite instalar programas maléficos
Foi descoberta uma falha no serviço de mensagens instantâneas Yahoo Instant Messenger, que permite que um atacante instale códigos maléficos no computador vulnerável, como um cavalo de Tróia ou outros. A falha, do tipo estouro de buffer (memória temporária), encontra-se no arquivo YAUTO.DLL, um componente ActiveX/COM do programa de mensagens.
Para explorar o bug, é preciso criar um site com a identidade CLSID (Class Identifier) correta usada pelo ActiveX para causar o estouro de buffer do componente. O ActiveX é um tipo de programa desenvolvido pela Microsoft que se agrega a páginas Web para executar tarefas em uma máquina. Usando o estouro de buffer, um atacante poderia se aproveitar desse serviço para instalar qualquer tipo de código malicioso no sistema afetado.
A falha foi descoberta por Tri Huynh, da empresa SentryUnion. As versões vulneráveis são a 5.6.0.1347 e todas as anteriores. O Yahoo publicou ontem uma página com informações sobre o problema, afirmando que apenas os usuários que mudaram o nível de segurança padrão do Internet Explorer, de médio para baixo, correm perigo. Na mesma página se encontra um teste para saber se o programa usado pelo usuário está ou não vulnerável e também uma correção para a falha.
| Destaque |
Mais servidores de software livre são atacados
5/12/2003 - 17:44 Helena Nacinovic
Mais dois servidores de importantes projetos da comunidade de software livre foram atacados. Um dos servidores de sincronização do Gentoo e os servidores de serviços do Savannah foram comprometidos por ataques que alteraram as permissões de acesso aos sistemas e deram privilégios de usuário "root" (equivalente a administrador, que dá plenos poderes ao usuário na máquina em questão) para os atacantes. As invasões aconteceram poucas semanas depois da descoberta de uma tentativa de colocar uma backdoor (porta de comunicação oculta) nos servidores de desenvolvimento do novo kernel do Linux e da invasão dos servidores do Projeto Debian.
O servidor público rsync.gentoo.org, parte dos serviços da distribuição Linux Gentoo, foi comprometido com a exploração de uma vulnerabilidade no serviço rsync, usado para sincronizar arquivos, como no caso de criação de mirrors (espelhos) de sites. O ataque aconteceu no dia 2 de dezembro e deixou o servidor vulnerável durante cerca de uma hora. Segundo o alerta de segurança publicado no site do rsync, as investigações sobre o ataque ainda não foram concluídas, mas já é possível afirmar que o atacante explorou uma vulnerabilidade de estouro de heap (um erro de estouro da memória reservada a determinado programa) do rsync 2.5.6 e versões anteriores para executar remotamente código arbitrário com privilégios de usuário "root".
A equipe do rsync afirmou que a vulnerabilidade de heap não poderia ser usada sozinha para obter acesso como "root" em um servidor rsync. Para fazer isso, é provável que o atacante tenha usado a vulnerabilidade do kernel do Linux, descoberta recentemente após o comprometimento de alguns servidores do Projeto Debian. A equipe do rsync anunciou também o lançamento de uma nova versão do programa, a 2.5.7, para corrigir a vulnerabilidade encontrada. A equipe de desenvolvimento do kernel do Linux disponibilizou a correção do problema do kernel no final de novembro.
Segundo o alerta divulgado, o ataque ao servidor do Gentoo foi descoberto uma hora depois de ter acontecido e logo que constatado o problema o sistema foi "retirado do ar", mas cerca de 20 usuários tinham utilizado o serviço neste intervalo de tempo. A equipe responsável pelas análises disse que a verificação de integridade dos arquivos revelou que eles não foram afetados pelo ataque.
A notícia do comprometimento do servidor Gentoo foi dada logo após a retirada do ar do site do Savannah, um servidor da Free Software Foundation usado para desenvolvimento de projetos da fundação. O sistema foi atacado no dia 2 de novembro deste ano, mas o comprometimento só foi descoberto nesta semana. Segundo o anúncio oficial divulgado, o ataque é semelhante ao sofrido pelos servidores do Projeto Debian em novembro. O atacante usou o rootkit (ferramenta que, instalada na primeira invasão, permite que o atacante volte a entrar na máquina sem ser detectado) "SucKIT" para obter acesso às máquinas como "root. A extensão dos danos do ataque ainda não foi divulgada, nem mesmo se sabe se os arquivos do Savannah foram alterados ou danificados durante o período.
Programa brasileiro ajuda a descobrir ataques
Uma das ferramentas fundamentais para a descoberta e identificação dos ataques foi o chkrootkit, programa que verifica um sistema local procurando por sinais de inserção de rootkits. O software foi criado pelo brasileiro Nelson Murilo, diretor da empresa de segurança Pangéia, e também foi usado pelo Projeto Debian para identificar o ataque aos servidores que aconteceu em novembro deste ano.
Murilo acredita que o ataque ao servidor Gentoo também foi feito com o "sucKIT", o mesmo programa identificado no comprometimento das máquinas Debian. Ele comentou que, apesar das constantes verificações por arquivos alterados nos servidores de desenvolvimento dos projetos, é possível que essa e outras invasões possam passar despercebidas por meses. Isso acontece pois os programas como o sucKIT apenas alteram o comportamento do sistema, mas não os arquivos armazenados neles. "Sem o chkrootkit, é muito difícil de encontrar (esse tipo de problema) mesmo", disse ele.
Já há páginas mostrando como verificar e limpar sistemas Debian comprometidos nos quais o uso da ferramenta brasileira é indicado. No site oficial do chkrootkit, cujo código é aberto e a distribuição é gratuita, também é possível encontrar um tutorial com mais informações sobre o uso do software.
| Noticias |
Associação de segurança da informação chega ao Brasil
A Information Systems Security Association (ISSA) vai lançar sua ramificação brasileira nesta sexta-feira, dia 05 de dezembro, em São Paulo, com apresentações e palestras. O evento vai acontecer no hotel Holiday Inn de Jaraguá e vai contar com a presença do ministro de Segurança Institucional da Casa Civil da Presidência da República, o General Jorge Armando Félix.
A ISSA é uma associcação internacional sem fins lucrativos voltada a profissionais e praticantes da segurança da informação. O objetivo principal da entidade é promover a disseminação das melhores práticas que garantam a confidencialidade, a integridade e a disponibilidade dos recursos de informação.
As palestras apresentadas durante o lançamento do braço brasileiro da ISSA serão oferecidas por empresas como a Internet Security Systems, Serasa e Certisign, a partir das 16 horas. É possível se inscrever para o evento pelo e-mail info@viaforum.com.br ou pelo telefone (11) 3059-2448, com Daniela. O hotel fica na Rua Martins Fontes, 71, no centro histórico de São Paulo.
| Noticias |
Variante do Mimail usa pornografia e ataca sites anti-spam
Foi descoberta uma nova variante do Mimail, o Mimail.L, que usa um texto pornográfico para atrair as vítimas. Segundo a empresa antivírus Sophos, uma vez instalado, o worm lança ataques de negação de seviço contra sites anti-spam, alguns dos quais bastante conhecidos, como Spamcop, Spamhaus e SPEWS.
O Mimail.L chega num e-mail em inglês, cujo remetente seria uma mulher chamada Wendy, que conta um susposto encontro erótico e oferece fotos pornográficas para a vítima. A mensagem tem um arquivo anexo chamado "wendy.zip", que contém um arquivo executável chamado for_greg_with_love.jpg.exe". Caso esse arquivo seja executado, o worm se instala na pasta Windows do computador com o nome de "xu39reu.tmp" e cria uma cópia do "wendy.zip" com o nome de "x8wui12s.tmp".
Veja o texto da mensagem falsa:
"Hi Greg its Wendy.
I was shocked, when I found out that it wasn't you but your twin brother!!! That's amazing, you're as like as two peas. No one in bed is better than you Greg. I remember, I remember everything very well, that promised you to tell how it was, I'll give you a call today after 9." (O resto da mensagem não foi divulgado pela Sophos, sob o argumento de que é altamente pornográfico).
Após ser executado, o worm coleta os endereços de e-mail encontrados na máquina infectada e os salva na pasta Windows, em um arquivo com o nome "xu298da.tmp". Além disso, cria uma chave ("HKLM\Software\Microsoft\Windows\CurrentVersion\Run\France") no registro do Windows para iniciar o worm sempre que o computador for ligado. Usando os e-mails coletados, o Mimail.L se autodistribui. Caso o envio dos e-mails infectados falhe, ele tenta enviar outro lote de mensagens sem o arquivo anexo.
Essa segunda mensagem afirma que o cartão de crédito da pessoa foi usado para comprar pornografia infantil. A mensagem fornece e-mails de contato de sites anti-spam como a única forma de cancelar a "oferta imperdível" e o falso débito no cartão de crédito das vítimas, numa aparente tentativa de inundar os sites anti-spam com pedidos de cancelamento de assinatura.
Veja o texto da segunda mensagem:
"Good afternoon, We are going to bill your credit card for amount of $22.95 on a weekly basis. Free pack of child porn CDs is already on the way to your billing address. If you want to cancel membership and your CD pack please email order and credit card details to security@europe.spamhaus.org.
Are you ready for all types of underage porn? We have the best selection for every taste! Just click the secret links below and have fun:
http://www.spamhaus.org
http://www.spews.org
http://www.register.com
http://www.cardcops.com
http://www.carderplanet.net
http://www.spamcop.net
http://disney.go.com
http://www.authorizenet.com/
Nude boys under 16! Nude girls under 16! Incest, a daddy & a daughter!
We have everything you have ever dreamed for!"
Os alvos dos ataques de negação de serviço feitos pelo Mimail.L são os sites citados na mensagem acima, parte deles de páginas que são contra o envio de spam. O worm Mimail já tem mais de dez variantes circulando na Internet e algumas delas entraram nas listas de worms mais perigosos de 2003.
Leia também:
Mimail, Swen e Sober são os vírus mais ativos de novembro
| Destaque |
Sobig-F é o pior worm de 2003
4/12/2003 - 17:54 Helena Nacinovic
A não ser que haja uma supresa nos últimos dias do ano, o Sobig.F vai ocupar a posição de pior worm de 2003, segundo a lista divulgada nesta quarta-feira pela empresa antivírus Sophos. A empresa afirmou que o worm estava presente em cerca de um quinto dos relatos de infecção durante o ano, com 19,9% dos casos encontrados por seus produtos antivírus. Enquanto esteve ativo, o Sobig.F se autodistribuiu sob a forma de spam, criando um remetente falso, o que tornava mais difícil descobrir a máquina que estava realmente infectada.
De acordo com a Sophos, ironicamente os spammers estiveram entre os mais afetados pelo Sobig.F, já que o worm estava entupindo os gateways de e-mail usados para o envio de mensagens não-solicitadas. A Microsoft recentemente anunciou que vai pagar US$ 500 mil para quem der informações concretas à polícia sobre os criadores do Sobig.F e do Blaster.
O Sobig.F conseguiu a façanha de superar o worm Blaster, que usa uma vulnerabilidade do recurso RPC do Windows para infectar automaticamente o sistema e estava programado para lançar ataques de negação de serviço usando as máquinas infectadas. O Blaster foi detectado em 15,1% dos casos de infecção relatados à Sophos durante o ano e concentrou seus esforços para derrubar um site para atualizações de produtos da Microsoft, o windowsupdate.com. A empresa, que foi alvo dos criadores dos piores malwares (códigos maléficos) do ano, teve de retirar o site do ar para evitar mais ataques.
Os dois worms mais ativos de 2003, além do worm Nachi que ficou em terceiro lugar na lista, atingiram a Internet a partir de agosto de 2003, que foi, segundo a Sophos, o pior mês de toda a história dos malwares. O Nachi também explorava vulnerabilidades no RPC, como o Blaster, e se autodistribuía usando um erro de estouro de buffer (memória temporária) em várias versões do Windows. O worm atingiu 8,4% dos clientes da Sophos.
Entre os malwares na lista dos 10 piores do ano estão os worms Gibe.F, Dumaru.A, Sober.A e Mimail.A. O ranking também incluiu o Bugbear.B, Sobig.E e o Klez.H. Todos os 10 malwares foram criados para explorar vulnerabilidades e atacar produtos da Microsoft. A Sophos disse ter detectado 7.064 novos vírus, worms e cavalos-de-Tróia em 2003.
Novas tendências para spam e malware
O relatório da Sophos também apontou novas tendências que os vírus e spams do futuro devem seguir. A base para a análise foram as novas pragas que surgiram em 2003. A empresa notou o aumento dos trojans "backdoors", cavalos-de-Tróia que abrem portas para a instalação de ferramentas de acesso remoto. Essas ferramentas permitem que os atacantes controlem as máquinas infectadas.
Além disso, a cooperação entre spammers e criadores de vírus se tornou realidade neste ano com os worms Mimail.E e Mimail.H, que transformaram as máquinas infectadas em peças de ataques de negação de serviço voltados para sites anti-spam. A Sophos avalia que cerca de 30% do spam que circula no mundo é enviado a partir de máquinas cuja segurança foi comprometida por algum malware ou outro problema.
Leia também:
Mimail, Swen e Sober são os vírus mais ativos de novembro
Blaster infectou mais que o Sobig.F em agosto
Agosto, o mês do worm louco
| Destaque |
Perito da PF fala sobre os crimes pela Internet
3/12/2003 - 19:26 Helena Nacinovic
"Crime virtual" é uma denominação errada para indicar os crimes cometidos pela Internet. A afirmação é do perito da Polícia Federal Jorilson Rodrigues, que deu palestra hoje no último dia da reunião conjunta do Grupo de Trabalho de Engenharia e Operação de Redes (GTER) e do Grupo de Trabalho em Segurança de Redes (GTS), que aconteceu no Rio de Janeiro.
Para o perito, o termo "crime virtual" está errado por dar a impressão equivocada de que não é um crime "real". Em sua opinião, são detalhes como esse que ajudam a manter a distância entre as comunidades técnica e jurídica, prejudicando a aplicação das leis aos crimes cometidos online. Rodrigues disse também que a Internet brasileira se beneficiaria muito da aproximação de advogados e técnicos de informática, já que muitas vezes os advogados não entendem o funcionamento de vírus, trojans e outras pragas digitais.
O perito afirmou que existem leis no Código Penal que podem ser aplicadas a alguns crimes por computador, como o artigo 171, que se refere ao crime de estelionado, típico nos casos de fraudes bancárias feitas com cavalos de Tróia. Rodrigues disse que, como o nível de conhecimento necessário para cometer crimes pela Internet diminui cada vez mais, a tendência é que eles se tornem mais freqüentes. Daí a importância de uma legislação aplicada corretamente nos casos descobertos. A coleta de provas e a compreensão, pela comunidade jurídica, de que provas representadas digitalmente são tão aceitáveis como as provas em papel, são igualmente importantes.
Durante a palestra, Rodrigues frisou que a desfiguração de sites na Web já é crime desde 2000 (artigo 296 do Código Penal), mas engloba apenas sites do governo que usem siglas na URL. A desfiguração de páginas privadas não está enquadrada, mas pode causar um processo civil de danos morais. A escuta telemática, seja para a captura de dados de indentidade, cartão de crédito, senhas de banco, entre outros, também é crime previsto no Código Penal. Para Rodrigues, a lei, do jeito que está hoje, já é suficiente para amparar boa parte dos problemas na Internet, desde que a comunidade jurídica compreenda o ambiente computacional.
Operação Cavalo de Tróia
Na segunda parte da palestra, Rodrigues falou sobre a "Operação Cavalo de Tróia", ação policial que culminou com a recente prisão, em novembro, de um grupo de fraudadores, principalmente da região norte do país. A quadrilha usava um trojan enviado em mensagens fraudulentas com o nome de bancos brasileiros e outras empresas para atrair os correntistas e capturar as informações bancárias dessas pessoas. O perito contou também que a quadrilha era liderada pelas mesmas pessoas presas em 2001 pelo mesmo delito, que foram soltas na época, pois o prazo da prisão preventiva expirou antes que as provas necessárias fossem encontradas.
Rodrigues contou ainda que, após aperfeiçoar os golpes, um dos líderes da quadrilha, Ataíde Evangelista de Araújo, já estava até vendendo um "pacote", composto por um notebook com todo o sistema de captura e análise dos dados furtados pelo trojan. O suspeito, preso em Goiânia em novembro, pela segunda vez, também ensinava seus clientes sobre os melhores métodos para aplicar o golpe. Desta vez, no entanto, Rodrigues acredita que existem provas suficientes para a condenação das pessoas presas, que incluem "laranjas", programadores, comerciantes do Pará e analistas de dados.
O perito afirmou que a Polícia Federal está ciente da existência de outras quadrilhas que praticam fraudes semelhantes e que o trabalho de investigação e coleta de provas continua. Ele frisou que a ajuda da comunidade de segurança e a troca de informações em listas de discussão sobre o assunto foi fundamental para o trabalho da polícia.
| Destaque |
Software espião deixa de ser fabricado por causa de golpes
3/12/2003 - 7:18 Giordani Rodrigues
A BlazingTools, fabricante do software Perfect Keylogger (PK), anunciou que vai deixar de desenvolver o produto. O PK é um poderoso keylogger e screenlogger, isto é, ao ser instalado em um computador, tem a capacidade de registrar, sorrateiramente, tudo o que o usuário digitar, as páginas que visitar e a área em torno dos cliques do mouse. O anúncio não esclareceu o porquê da decisão, mas a empresa afirmou, em entrevista por e-mail, que estava tendo “problemas legais” com o software, pois ele estava sendo usado para aplicar golpes pela Internet.
O software era oferecido por US$ 34,95 (em torno de R$ 100,00) com a finalidade declarada de auxiliar cônjuges enciumados, empresários desconfiados dos sócios, ou pais que queriam monitorar a navegação dos filhos. Na prática, porém, o programa estava sendo largamente utilizado por golpistas, inclusive brasileiros, para roubar senhas de Internet Banking, números de cartões de crédito e outras informações privadas.
As características do PK caíram como uma luva entre os criminosos da Internet. O software podia ser embutido em outros aplicativos válidos e assim ser executado em segundo plano quando o usuário, inadvertidamente, instalasse esse aplicativo; podia ser configurado para enviar as informações gravadas por e-mail ou através de um servidor de transferência de arquivos (FTP); e também tinha um arquivo de configuração, chamado “mc.dat”, no qual se podia gravar palavras ou expressões que dariam início à ação do programa espião toda vez que fossem digitadas pelo usuário ou acessadas pelo navegador.
Clicando aqui, você poderá ver o exemplo real de uma configuração feita no arquivo mc.dat, encontrado no golpe da falsa raspadinha virtual em nome das lojas Americanas, que circulou no Brasil há alguns meses (o arquivo isolado é inofensivo e pode ser aberto diretamente no navegador; nele é possível ver nomes e expressões relacionados a conhecidos bancos brasileiros).
Alex Kurov, diretor-executivo da BlazingTools – uma empresa criada em meados de 2002, cujo site é registrado na Alemanha –, disse a InfoGuerra que não chegou a receber contato da polícia, mas afirma que sua empresa “teve um diálogo” com a empresa antivírus McAfee, sem esclarecer qual foi o teor da conversa. Há meses a McAfee já atualizou seus produtos de segurança para detectarem o Perfect Keylogger e classificá-lo como um "programa potencialmente indesejado".
Kurov também admitiu que as fraudes tiveram peso na decisão de interromper o desenvolvimento do programa. Ele disse que estava ciente de que seu software estava sendo usado de forma ilegal no Brasil e que, obviamente, não aprova esse uso.
Para o especialista em segurança Nelson Murilo, diretor da empresa Pangéia, a interrupção na fabricação do PK não muda muita coisa para as vítimas dos golpes. "As funcionalidades básicas para montar keyloggers ou screenloggers estão disponíveis em várias linguagens – C, C++ e Delphi, por exemplo – e como estão em vários sites, o trabalho de montar um trojan se resume a montar pedaços de códigos já prontos", afirma.
O próprio Alex Kurov revela que o Perfect Keylogger pode voltar ao mercado, porém com outro esquema de venda que possibilite mais controle. "Sabemos que os produtos dos nossos competidores também já foram usados em fraudes", disse. "Programas espiões são algo muito ambíguo, às vezes é difícil distinguir os limites entre legalidade e ilegalidade, e provavelmente em breve o tempo do 'software espião legal' fará parte do passado. Sabemos que o governo dos EUA irá tomar medidas a esse respeito, mas não queremos ter nenhum problema com a lei".
Curiosamente, a BlazingTools retirou o anúncio – de 26 de novembro – que estava presente em seu site até o início desta semana e voltou a fazer publicidade do PK na página inicial, mas uma cópia da página anterior, com o anúncio, pode ser vista aqui. A seção de downloads do site, no entanto, continua sem o Perfect Keylogger e o fórum sobre software espião continua discutindo sobre a decisão que a empresa tomou de interromper a produção do programa.
Atualização - 05/12/2003: menos de 24 horas depois que a notícia acima foi ao ar, a empresa voltou a diponibilizar o PK para download.
Leia também:
Raspadinha virtual em nome da Americanas.com é golpe
Como remover o arquivo enviado em falso e-mail
Falsa notícia da CNN é usada para roubar senhas
| Noticias |
Divulgada falha grave no kernel do Linux
2/12/2003 - 15:41 Helena Nacinovic
Os responsáveis pelo Projeto Debian, que desenvolve uma das distribuições Linux mais bem conceituadas, alertaram nesta segunda-feira que a falha explorada durante a invasão de seus servidores, ocorrida em novembro, é na verdade uma falha do kernel do Linux, a base do sistema operacional. A falha permitiu que o atacante alterasse a configuração de permissões de acesso ao servidor afetado, dando o privilégio de "root" (semelhante a administrador da máquina) a usuários simples já inscritos no sistema vulnerável.
A equipe de desenvolvimento do kernel do Linux já havia descoberto a falha em setembro e a corrigiu na versão mais recente do kernel, mas a correção só foi disponibilizada alguns dias depois da invasão dos servidores do Debian. Como a falha está na parte central do Linux, ela afeta praticamente todas as distribuições Linux baseadas nas versões 2.4.0 até 2.5.69 do kernel. As versões 2.4.23-pre7 e 2.6.0-test6 já foram corrigidas.
Apesar do Projeto Debian ter anunciado que a invasão não teve grandes conseqüências, já que os arquivos são assinados digitalmentente e verificados com base em cópias seguras fora da web, a falha coloca em risco milhares de servidores no mundo inteiro que usam as diversas distribuições do Linux. A Red Hat e o Projeto Debian divulgaram alertas depois da descoberta da falha, mas outras distribuições, como Mandrake e SuSE também podem estar vulneráveis.
Segundo a Symantec, que analisou a invasão do Projeto Debian, o exploit (programa) para explorar a falha não está disponível publicamente, mas parece estar circulando pela comunidade cracker. A empresa alertou também que a falha, junto com vulnerabilidades remotas, permitiria que os atacantes tivessem acesso e controle total das máquinas vulneráveis.
Leia também:
Servidores do Projeto Debian são atacados
| Destaque |
Mimail, Swen e Sober são os vírus mais ativos de novembro
1/12/2003 - 19:23 Helena Nacinovic
O worm Mimail está entre os 10 malwares mais perigosos do mês de novembro, mas ainda não foi tão perigoso quanto o Swen ou o Sober.A, segundo algumas empresas de segurança. MessageLabs, Sophos e Kaspersky divulgaram hoje suas listas de vírus mais ativos dos últimos 30 dias. As diversas variantes do Mimail encheram as listas e dividem o ranking com malwares mais antigos, como o Klez e o Swen.
Em novembro, a MessageLabs interceptou mais de 600 mil cópias do Swen.A, o que o torna o worm mais ativo do mês. Logo em seguida, estão o Dumaru.A e o Klez, que foram interceptados mais de 300 mil e 200 mil vezes, respectivamente. Na sequência estão os worms Mimail.C, Mimail.A, Mimail.J, Mimail.E e Mimail.I, lista que inclui variantes do golpe projetado para furtar dados de cartão de crédito de usuários do PayPal. A lista termina com os worms Yaha.E e Sobig.F, este último considerado recentemente pela MessageLabs o malware que se espalhou de forma mais rápida na história dos vírus.
A lista da Sophos é ligeiramente diferente da da MessageLabs. A pesquisa foi baseada nos relatos de infecção capturados pelo antivírus da empresa e traz o Sober.A no topo da lista, com 32.6% dos casos de infecção em novembro.O segundo lugar foi para o Mimail.C, que ficou bem abaixo do Sober.A, com apenas 9,5% dos casos de infecção. O worm Dumaru.A ficou em quarto lugar, com 8% dos casos registrados, seguido pelo Mimail.A, que infectou 5,1% dos clientes da Sophos. A lista é completada pelos worms Gibe.F, Nachi.A, Mimail.J, Klez.H e Mimail.E, todos com menos de 5% dos casos de infecção.
Já a empresa antivírus russa Kaspersky abriu sua lista com o Mimail.C e o Mimail.G, em primeiro e segundo lugar, respectivamente. A lista também inclui outras variantes do Mimail, o Swen, o Sober, o Klez e o Dumaru.
Leia também:
Mimail está entre as maiores ameaças do trimestre
Bugbear e Gibe são as pragas mais perigosas de outubro
| Noticias |
Aker lança nova versão de firewall
A Aker Security Solutions, empresa de segurança da informação, anunciou nesta semana o lançamento do Firewall Aker 5.0, a nova versão de seu sistema de firewall. O produto, que está disponível em português, inglês e russo, protege redes corporativas contra invasões e ataques de crackers. O novo firewall traz uma interface nova e, segundo a Aker, está 20% mais rápido devido às mudanças técnicas.
Entre elas está a função de balanceamento de links, que é um recurso para otimizar a utilização da largura de banda disponível na rede e que permite o uso de dois ou mais links diferentes de acesso à Internet, mesmo que esses links sejam fornecidos por operadoras diferentes; e a função de cluster ativo, que permite a criação de grupos de firewalls para otimizar o tráfego de dados na rede.
Além disso, o programa tem suporte a antivírus para a verificação e limpeza de arquivos anexados em e-mails ou acessados através da Web ou FTP. Ele também oferece suporte a criptografia de 256 bits no padrão IPSEC, o que traz segurança em trocas de dados na rede e entre filiais da empresa. O Firewall Aker 5.0 está disponível para as plataformas Windows, Linux e FreeBSD. A Aker disse também que, caso haja necessidade, é possível criar versões para outros sistemas Unix ou Macintosh.
| Noticias |
Microsoft mostra Windows XP e Server 2003 em 6 capitais
A Microsoft Brasil vai começar amanhã, dia 02 de dezembro, uma série de apresentações da TechNet especialmente voltada para a implantação dos sistemas operacionais Windows Server 2003 e Windows XP. Os eventos, que serão realizados em Belo Horizonte, Brasília, Curitiba, Porto Alegre, Recife e São Paulo, pretendem mostrar exemplos de implementação dos sistemas operacionais e ensinar práticas que podem garantir o melhor desempenho dos produtos.
Em cada cidade, a Microsoft vai oferecer um dia com palestras pela manhã e demonstrações técnicas na parte da tarde. Os temas abordados serão as vantagens da migração dos servidores NT para linha Windows 2003 Server e dicas práticas para fazer a implementação com menor impacto para o cliente. Além disso, no período da tarde a empresa vai oferecer explicações passo-a-passo sobre a transição das versões 9x para a versão Windows XP e dados sobre o System Management Server 2003.
Os eventos são gratuitos e, para participar, é possível se inscrever no site ou pelo telefone 0800-704-4081. As datas e locais do evento em cada cidade também podem ser encontradas no site da Microsoft.