8/12/2004 - 14:35 Redação InfoGuerra

Um e-mail contendo uma falsa cópia do protetor de telas “Make Love Not Spam” (Faça Amor, não Spam), desenvolvido pela Lycos Europe para combater o envio de mensagens não solicitadas, está sendo distribuído pela Internet. O falso programa, na verdade, é um cavalo-de-tróia usado para registrar tudo o que é digitado no computador da vítima.

O e-mail chega com o assunto “Be the first to fight spam with Lycos screen saver” (Seja o primeiro a lutar contra o spam com o screensaver da Lycos) e o arquivo anexo recebe o nome de “Lycos screensaver to fight spam.zip”. De acordo com a Sophos, esse arquivo contém o Troj/Mdrop-IT, um keylogger (programa que monitora e registra a digitação) que pode enviar mensagens a um endereço de e-mail na Indonésia. O falso protetor de telas oferecido, ao ser executado, exibe uma tela em branco.

Desde seu lançamento, no final de novembro, o site “Make Love Not Spam” gerou uma série de controvérsias. O protetor de tela gratuito surgiu da idéia de contra-atacar locais reconhecidos como distribuidores de spam, como sites e provedores. Ele usava o tempo ocioso dos computadores conectados à Internet para gerar excesso de tráfego contra tais locais previamente listados no programa, tornando-os lentos e com possibilidade de deixá-los inacessíveis.

Considerado como um ataque de negação de serviço (DoS), algumas empresas de segurança questionaram a sua legalidade e aconselharam os usuários a não instalarem o programa em suas máquinas.

Como uma possível resposta dos spammers, o site teve sua página inicial desfigurada, conforme cópia publicada no blog da F-Secure. Depois disso, a Lycos retirou o acesso para o download de seu protetor de telas.

8/12/2004 - 14:05 Redação InfoGuerra

A Microsoft publicou na semana passada o boletim MS04-040, contendo a correção para uma vulnerabilidade no navegador Internet Explorer 6, descoberta em novembro e considerada crítica. O problema, que permite a execução remota de códigos arbitrários no sistema, foi explorado pelo worm Bofra e em recentes ataques a visitantes de sites que hospedavam banners publicitários em suas páginas.

A brecha de segurança ocorre no tratamento de alguns atributos dos elementos “FRAME” e “IFRAME”, utilizados em documentos no formato HTML, e pode provocar um estouro de buffer (memória temporária) no Internet Explorer. Ao ser explorada, por meio de páginas da Web ou mensagens de e-mail em formato HTML, permite a execução do código malicioso com os privilégios do usuário que estiver utilizando o navegador no momento do ataque.

A falha foi usada no início de novembro pelas variantes A e B do worm Bofra, disseminadas por meio de mensagens não solicitadas, contendo referências a imagens pornográficas ou informações sobre o serviço de pagamentos PayPal.

Já no final de novembro, um código malicioso conhecido como Exploit IFrame/Bofra foi usado para contaminar máquinas de visitantes de sites que hospedam banners. Quando o usuário clicava em um desses banners, era automaticamente redirecionado para um servidor Web contendo o código malicioso e seu sistema era infectado. Na época, a empresa de segurança Vitalsecurity.org declarou que o ataque poderia estar sendo usado para formar uma botnet (rede de computadores zumbis) para ataques posteriores.

Conforme o boletim MS04-040, a atualização corrige o problema existente no Internet Explorer 6 e é cumulativa, isto é, contém todas as correções publicadas anteriormente para o navegador. Sistemas Windows XP com o Service Pack 2 instalados não são afetados pela vulnerabilidade. A Microsoft aconselha a atualização imediata.

Leia também:

Falha grave no IE ainda não tem correção

Novo worm Bofra explora falhas recentes do IE

Banners maliciosos exploram falha do Internet Explorer

Ataques recentes podem estar criando rede de PCs zumbis

7/12/2004 - 19:01 Redação InfoGuerra

O jovem Guilherme Amorim de Oliveira Alves, de 19 anos, condenado pela Justiça Federal a mais de seis anos de prisão por aplicar golpes contra correntistas de bancos com o auxílio da Internet, foi um dos aprovados no curso de Direito da Universidade Católica Dom Bosco (UCDB), no Mato Grosso do Sul.

Conforme nota do jornal Correio do Estado, de Campo Grande, o jovem, que cumpre pena no presídio de Corumbá, recebeu autorização da Justiça para prestar as provas de seleção, mediante escolta ao local dos exames. A informação foi confirmada por InfoGuerra junto ao Fórum de Corumbá e à comissão do vestibular da UCDB. Na lista de aprovados do concurso, divulgada ontem pela universidade, consta o nome de Guilherme, para o curso de Direito, período noturno, na unidade de Corumbá.

O juiz federal Roberto Ferreira Filho, do Fórum de Corumbá, que emitiu a autorização, disse, por intermédio de sua assessora, que só permitiu que o preso prestasse vestibular para não cercear seu direito aos estudos, mas afirmou que não poderá autorizar o jovem a cursar a universidade normalmente enquanto ele cumprir pena em regime fechado. Guilherme só poderá continuar os estudos caso consiga autorização do Tribunal de Justiça de São Paulo para comutar a pena para regime semi-aberto.

Guilherme Amorim foi detido pelas autoridades federais no dia 20 de fevereiro de 2003, em Petrópolis, no Rio de Janeiro. No último dia do ano, foi condenado por crimes contra o sistema financeiro nacional, estelionato e formação de quadrilha. Apontado como líder da quadrilha, ele e os demais integrantes enganavam os correntistas criando falsas páginas bancárias.

A técnica principal consistia em invadir provedores vulneráveis e redirecionar, no servidor de nomes do provedor, o endereço eletrônico de um banco para o IP de uma máquina sob controle dos golpistas. Informações da época indicavam que a quadrilha teria roubado mais de R$ 3 milhões de contas do Banco do Brasil, Caixa Econômica Federal, Itaú e Bradesco. Com os golpistas também foram encontradas senhas de cartões de crédito de mais de 3,5 mil clientes.

Em junho de 2002, o adolescente já havia sido preso por fraudes contra o sistema bancário e sites de leilões, mas foi solto pouco tempo depois, beneficiado por um habeas-corpus.

Leia também:

Líder de quadrilha na Internet é condenado a 6 anos de prisão

Presa quadrilha que fraudava contas bancárias pela Internet

7/12/2004 - 4:32 Redação InfoGuerra

A página principal do serviço Picasa, usado para gerenciamento de imagens digitais e adquirido em meados deste ano pelo grupo Google, foi alterada no sábado, por um defacer (desfigurador de sites) brasileiro, de acordo com o site Zone-H. Uma cópia do ataque mostra a página "picasa.google.com/picasa" com fundo branco e os dizeres: “Xfaulz again!”

O Zone-H afirma que Xfaulz usou um dos exploits (programas) disponíveis na Internet para explorar uma vulnerabilidade existente no software phpBB2, usado para administração de fóruns de discussão online. O bug, relatado no início de outubro, permite que terceiros injetem comandos SQL (Structured Query Language) nos campos dos formulários usados pelo banco de dados do programa e executem códigos PHP, como uma página, por exemplo.

Em 18 de novembro, a equipe de desenvolvimento do phpBB publicou uma atualização do programa, a versão 2.0.11, que corrige o problema. O anúncio alertava administradores de Web sites para que atualizassem rapidamente a versão usada.

Este foi o primeiro ataque digital bem-sucedido registrado pelo Zone-H contra a Google Inc. O site afirma, porém, que o servidor que hospeda o Picasa não faz parte da rede da empresa.

1/12/2004 - 13:18 Redação InfoGuerra

A página principal do site da fabricante de software SCO Group foi duplamente desfigurada no final de semana, durante o feriado de Ação de Graças nos Estados Unidos. A empresa tornou-se alvo constante de ataques desde que iniciou uma batalha judicial contra o Linux por violação de direitos autorais.

Na primeira alteração, que podia ser vista no domingo à noite, o título “Red Hat v. SCO" (Red Hat contra SCO), normalmente exibido no site, foi substituído por "SCO vs World" (SCO contra o Mundo), seguido de um falso comunicado em nome da companhia. O texto afirmava que a empresa teria encontrado parte de seu código-fonte em vários programas desenvolvidos pela Microsoft e que seu departamento jurídico já estaria tomando providências legais sobre o assunto. Uma cópia da imagem, registrada pelo site Zone-H, pode ser visto aqui.

No entanto, na manhã de segunda-feira, a página principal do site da SCO apresentava novas modificações. Uma imagem contendo o texto "WE OWN ALL YOUR CODE. Pay us all your money" (Nós possuímos todos os seus códigos. Pague-nos com todo o seu dinheiro) substituiu o texto anterior. Como plano de fundo, a mesma imagem usada no site oficial da SCO, mas desta vez havia a figura de uma professora escrevendo em um quadro-negro a frase “Hacked by realloc”, indicando a autoria do ataque. Uma cópia da imagem deste ataque pode ser vista aqui.

Conforme a NetCraft, ainda não se sabe se o ataque deste final de semana está relacionado com recentes instabilidades constatadas no site da SCO. Em 22 de novembro, o site principal do grupo esteve inacessível por um longo período de tempo, afetando tamém diversos domínios relacionados à empresa.

A página principal do endereço www.sco.com só voltou ao normal com a reativação do domínio alternativo www.thescogroup.com. Este mesmo endereço foi usado durante o ataque de negação de serviço provocado pelo worm MyDoom.A, em fevereiro de 2004, que manteve o endereço oficial da empresa fora do ar durante um mês. Na época, a SCO chegou a oferecer uma recompensa de US$ 250 mil pela identificação dos autores do worm.

Leia também:

Vírus mais rápido de 2004 ataca site da SCO

SCO oferece US$ 250 mil por criadores do MyDoom

1/12/2004 - 13:14 Redação InfoGuerra

Foi encontrada uma vulnerabilidade no Microsoft Windows Internet Naming Service (WINS), que pode permitir que um atacante remoto execute um código arbitrário ou cause uma condição de negação de serviço (DoS) no sistema afetado. A Microsoft emitiu um comunicado com instruções para contornar o problema até que seja lançada uma correção.

O WINS é um serviço que gerencia a resolução de nomes dos computadores colocados em rede, associando-os aos seus respectivos endereços IP (Internet Protocol). De acordo com um boletim da US-CERT, o protocolo de replicação do serviço contém uma vulnerabilidade que permite a terceiros obterem o controle de um servidor de WINS. Caso um atacante remoto envie um pacote especialmente preparado, poderia escrever dados arbitrários no processo de memória do servidor e, então, executar códigos arbitrários maliciosos com os mesmos privilégios do usuário, ou causar negação do serviço.

A brecha de segurança, descoberta por Nicolas Waisman, da empresa ImmunitySec, afeta o Microsoft Windows Server 2003 nas versões Standard Edition, Web Edition, Enterprise Edition e Datacenter Edition. Também foi comprovada no Windows 2000 versões Advanced Server, Datacenter Server e Server e no Windows NT Server 4.0 Terminal Server e 4.0 Standard Edition.

Como ainda não existe correção para o problema, a Microsoft aconselha os usuários do serviço a filtrarem o acesso remoto das portas TCP/42 e UDP/42, usadas para a conexão com os servidores WINS. Outra alternativa seria desativar o serviço ou usar IPsec (Internet Protocol security). A empresa também Dezembro 2004

30/12/2004 - 13:49 Renata Cicilini Teixeira

Com a sabedoria dos poetas, Carlos Drummond de Andrade escreveu:

Para ganhar um Ano Novo
que mereça este nome,
você, meu caro, tem de merecê-lo,
tem de fazê-lo novo, eu sei que não é fácil,
mas tente, experimente, consciente.
É dentro de você que o Ano Novo
cochila e espera desde sempre.
(Trecho extraído de "Receita de Ano Novo")


As últimas semanas de 2004, como em todo final de ano, despertam aquele sentimento de revisão e retrospectiva. O ano que passou fica marcado por mais alguns milhares de vírus, códigos maliciosos, phishing scams, spams e pelas botnets.

O mercado negro do underground se tornou manchete, chegou na mídia e causou espanto, à medida em que grande parte dos usuários da Internet atentou para o fato de que a rede mais uma vez imita a vida. Ou seja, no mundo virtual nada se cria, tudo se recria. Os golpes e fraudes da vida real tornam-se realidade no mundo virtual. Existe, sim, mercado negro de senhas, máquinas comprometidas (zombies), redes de máquinas comprometidas e remotamente controladas (botnets) por grupos ou por apenas uma pessoa.

O crime organizado se aproxima dos hackers, ou, simplesmente, daquele "rapaz que conhece tudo de computador", para arquitetar roubos de cartões de crédito, senhas de banco e assim por diante.

O fato de estas histórias sinistras e teorias da conspiração terem sido temas na mídia não-especializada no ano de 2004 tem seu lado positivo, pois trouxe a preocupação com segurança da informação para aqueles que ainda não tinham percebido a gravidade da situação.

Outro efeito colateral das últimas semanas do ano é fazer as famosas promessas de ano novo. Aqueles que acompanharam as listas de discussão e eventos da área de segurança no ano que termina em breve puderam testemunhar vários aspirantes à formação em segurança da informação. Somam-se a estes, nós, que já atuamos na área e sabemos que a educação continuada e a busca pelo aperfeiçoamento são primordiais, transformam-se em hábito, muito mais do que em dever.

Neste momento, algumas listas de promessas para 2005 devem conter: matrícula na academia, natação, aulas de espanhol, reforço de inglês, curso de especialização em segurança da informação, certificação na área de segurança, estudar criptografia, ou ainda: "I will be CISSP in 2005!" ;-)

A certificação CISSP (Certified Information Systems Security Professional) é uma das certificações mais consolidadas na área. É mantida pelo (ISC)2 (International Information Systems Security Certification Consortium, Inc), o mesmo organismo que publicou recentemente em seu site uma nota aclamando 2005 como o "Ano do Profissional da Segurança da Informação". O que isto significa? Ainda não sabemos ao certo, mas admito que nos faz refletir um pouco sobre nossa profissão.

Tomara que o ano de 2005 chegue com mais investimentos em segurança e, principalmente, com uma maior conscientização de todos os que atuam e utilizam a Internet. Mais do que isto, tomara que a conscientização sobre segurança seja disseminada entre todos aqueles que lidam com a informação: o ativo mais precioso, corporativo ou particular, e, como tal, deve ser preservado e assegurado.

Então, aspirantes e profissionais de segurança da informação, sigam os sábios conselhos do poeta: tentem, experimentem conscientemente e façam um Ano Novo que realmente mereça ser chamado de "Ano do Profissional da Segurança da Informação". Registro aqui, os meus sinceros votos de um feliz 2005 aos nobres e estimados colegas!

Renata Cicilini Teixeira é especialista em segurança da informação e autora do livro "Combatendo o Spam". Maiores informações sobre seu trabalho podem ser obtidas no site www.cicilini.com.br.

23/12/2004 - 20:34 Redação InfoGuerra

Foram detectados dois novos cavalos-de-tróia e duas novas variantes de worms desenvolvidos para celulares que usam o sistema operacional Symbiam. O trojan MGDropper.A descarrega no aparelho infectado o worm Cabir.G, enquanto o trojan Skulls.C traz em seu arquivo uma cópia do worm Cabir.F.

O MGDropper.A, que chega por meio de um arquivo com o nome METAL_GEAR.SIS, tenta desabilitar programas gerenciadores de arquivos e antivírus que estejam instalados em celulares, como Cabirfix, Decabir, F-Cabir, F-Secure Mobile Anti-Virus e Simworks Anti-Virus.

O trojan ainda instala a nova variante Cabir.G em outro diretório, que também incapacita o menu de aplicativos do aparelho. Assim que o MGDropper é instalado, o Cabir.G entra em atividade automaticamente e tenta se propagar para outros celulares por meio de um arquivo .SIS que contém apenas sua cópia.

Já o cavalo-de-tróia Skulls.C chega como um arquivo de nome "Skull.sis". O programa é uma variante do SymbOS/Skulls.A e tem capacidade de desabilitar todas as funções dos aparelhos, com exceção das chamadas. Também bloqueia a ação de programas de segurança que estejam instalados no dispositivo para dificultar sua remoção. Além disso, o trojan descarrega uma cópia do worm Cabir.F no sistema operacional.

Ao contrário da variante A, o Skulls.C não exibe nenhuma mensagem do tipo pop-up durante sua instalação, a não ser o alerta normalmente mostrado pelo sistema operacional. Quando instalado, o trojan substitui por imagens de uma caveira todos os ícones de aplicativos do aparelho, que perdem suas funções reais.

Os worms Cabir.F e Cabir.G são semelhantes à variante B. Atingem dispositivos móveis que utilizem a tecnologia Bluetooth e o sistema operacional Symbian. Os worms não são destrutivos, mas provocam o gasto excessivo de baterias ao tentarem localizar outros possíveis alvos de infecção.

As poucas diferenças destas novas variantes do Cabir em relação à versão anterior estão relacionadas aos nomes dos arquivos e mensagens exibidas enquanto são executadas. Enquanto o Cabir.F chega como um arquivo de nome Tee222.SIS e mostra o texto "Tee222" ao ser executado, a versão G tem o nome SEXXXY.SIS e mostra o texto “Caribe”.

Leia também:

Novo trojan desabilita funções de celulares

Vírus para celular ganham novas versões

23/12/2004 - 18:37 Redação InfoGuerra

Se você se deparar com um site de nome SigiloBancario.com, cuidado. Apesar do nome, trata-se de um site malicioso, criado para ludibriar os internautas. Na página inicial (e única) é oferecido para download um programa executável, com a promessa de ser a solução contra ataques do tipo phishing, mas o software, na verdade, serve para capturar dados sigilosos de quem o instala.

O tal programa de proteção nada mais é do que um cavalo-de-tróia, capaz de registrar senhas, números de contas bancárias e cartões de crédito dos correntistas que realizam transações financeiras via Internet.

Os textos apresentados no site contêm erros crassos de português, típicos dos que aparecem em mensagens usadas em phishing scam. Um desses textos afirma que o programa oferecido "impede que terceiros veja (sic) seus dados, portanto, garantindo total sigilo e privavidade". Outro, alega que o site está prestando serviços aos maiores bancos e lojas online do país "a (sic) mais de quatro anos".

Quem se der ao trabalho de verificar as informações do domínio sigilobancario.com, no entanto, verá que foi registrado na semana passada, dia 15 de dezembro de 2004. Além disso, o site está hospedado num servidor gratuito, de nome FreeSuperHost.com.

Vários links presentes no site remetem ao programa “Pivacidade.exe”. Isto inclui o link junto ao logotipo, que deveria conduzir o visitante para a página inicial, como normalmente ocorre em Web sites. Este tipo de situação é comumente observada em ataques de phishing scam.

Uma análise do arquivo Privacidade.exe, feita no site Virustotal, indica que o executável é um trojan batizado como Trojan.Spy.Banbra.Q, Win32/PWS.Bancos.Variant ou TrojanSpy.Win32.Banbra.q, dependendo da empresa antivírus. Este programa foi projetado especificamente para imitar telas de acesso de alguns bancos brasileiros, como Banco do Brasil, Caixa Econômica Federal e Bradesco, e roubar senhas e outros dados dos clientes. Afeta o Windows e cria uma chave no registro para que seja ativado sempre que o sistema for iniciado.

Ironicamente, alguns textos apresentados no site contêm orientações legítimas de como se proteger de ataques de phishing, mas isto também já foi visto em outros golpes e serve apenas como isca para ganhar a confiança dos usuários e fazê-los baixar o "programa de proteção".

Caso o site venha ser tirado do ar, uma cópia pode ser vista aqui.

23/12/2004 - 16:24 Redação InfoGuerra

Durante as festas de final de ano, o volume de trabalho tende a diminuir e os funcionários passam a se preocupar com suas férias e assuntos relacionados à época. A Websense divulgou uma lista com os dez Web sites mais visitados pelos funcionários para matar o tempo durante o trabalho.

Segundo a Websense, a Internet pode sevir como uma grande distração e provocar a redução de produtividade dos funcionários. A companhia afirma que o mau uso da Internet no trabalho custa mundialmente às empresas mais de US$ 85 bilhões ao ano em perda de produtividade. Um terço do tempo gasto online não seria relacionado ao trabalho em si.

Para matar o tempo durante a jornada de trabalho já existe até um grupo específico de sites, que oferecem humor, jogos, romance, música, esportes e entretenimento. Muitos deles possuem recursos chamados de "botões de pânico", que exibem uma planilha falsa ou alguma página de aparência mais inocente caso o chefe apareça.

A lista dos dez mais apresentada pela Websense tem como base a quantidade de entretenimento oferecido, sua criatividade, e a capacidade de incentivar a distração dos funcionários. Eles exibem uma enorme coleção de links, charadas, idéias para pregar peças no escritório, citações e quadros de mensagens. Confira:

1. Ishouldbeworking.com – “Vagabundos Sejam Bem-Vindos”
2. Corporatedump.com – “A arte de desperdiçar dinheiro da empresa”
3. Wasteoftime.com - “Porque produtividade é um saco”
4. Officediversions.com – “Centro de estudos da redução da produtividade”
5. Bored.com – “Para aqueles 15 minutos de descanso no escritório”
6. Gotboredom.com – “…conhecido por curar casos leves e graves de tédio”
7. Procrastination.com – “Aqui a procrastinação é uma boa coisa”
8. Slackersguild.com – “O que você quer fazer mal-feito hoje?”
9. Officeboredom.com – “Jogos online para os estressados crônicos”
10. Boredatwork.com – “O trabalho é o flagelo das classes bebedoras”.

22/12/2004 - 18:11 Redação InfoGuerra

Um incidente ocorrido no Orkut, envolvendo o diretor de teatro Gerald Thomas, está gerando confusão. Em novembro, um usuário “adotou” o nome “Gerald Thomas” para se cadastrar na comunidade virtual, e manteve contato com vários outros usuários fazendo-se passar pelo diretor. Thomas não gostou e diz em seu blog que vai levar o caso à justiça norte-americana.

Thomas reproduziu uma mensagem irada que ele teria enviado ao departamento jurídico do Orkut pedindo providências por "violação de copyright". “Agora esse VIGARISTA que assina gerald_thomas@hotmail.com está EXPOSTO. Vou acabar com a vida desse IMBECIL”, escreveu em seu blog.

Logo que informado sobre o assunto, o diretor publicou em seu blog imagens do perfil do "bogus" (termo referente a falsos usuários do Orkut) que contém uma imagem de Thomas e dados pessoais. Outra imagem, do scrapbook (registro de recados enviados dos usuários aos seus amigos da rede virtual), mostra que vários outros usuários do Orkut fizeram contato com o falso Gerald Thomas.

Thomas, que já demonstrava insatisfação com o seu blog, chegou a cogitar o fim da página. Em sua última postagem, dia 20, ele chama, equivocadamente, a pessoa que criou o falso perfil de "hacker", um termo inadequado, já que qualquer pessoa pode criar um “bogus” sem a necessidade de ser um especialista no assunto. Com uma dose de ironia, desabafa: “Hackers: OBRIGADO. Com tudo isso tenho tido tempo pra escrever e enjoy life, respirar ar puro, me voltar pro meu trabalho real, ao invés de ficar grudado no computador. Obrigado hackers, vocês me fizeram um enorme favor! Thanks. Back to reality!”

Também ataca o Orkut: “Essas organizações meio ocultas são UMA MENTIRA. Agora vocês entenderam a diferença entre o que eh estar escondido, protegido por um pseudônimo e estar exposto, ser celebridade e ter a sua identidade roubada. Quero que esse cara (nem sei se eh homem ou mulher) vá para Justiça e hei de conseguir. Entenderam que a Internet nao eh BRINQUEDINHO?”

Uma mensagem recebida por e-mail assinada por Carlos Henrique (Quique Joe), o suposto “bogus”, foi postada no blog. Dizendo-se fã do diretor, e lamentando o ocorrido, Carlos pede desculpas e justifica seu ato dizendo tratar-se apenas de uma homenagem, sem intenção de ofensa. “Descobri em um site sobre o orkut que, atualmente, um terço dos usuários do orkut são personagens fictícios. Achei que faltava o Gerald Thomas”, diz a mensagem.

O link indicado como o do perfil do bogus exibe atualmente a mensagem de "page not found" (página não encontrada). Também não há mais nenhum outro perfil com o nome Gerald Thomas no Orkut.

21/12/2004 - 20:39 Redação InfoGuerra

Um worm batizado de Santy, que contamina apenas servidores Web, está se espalhando rapidamente pela Internet. A praga realiza ataques de defacement (desfiguração de páginas Web) em sites que rodem versões vulneráveis do phpBB, um popular programa para gerenciamenteo de fóruns de discussão online. De acordo com a empresa F-Secure, o worm localiza alvos aleatórios por meio de uma busca no Google, e os atingidos já chegam a milhares.

Escrito na linguagem Perl, o worm explora vulnerabilidades existentes no programa phpBB. Ao entrar em atividade, sobrescreve vários arquivos que contenham extensões PHP e HTML armazenados nos servidores. Como resultado, tais arquivos são substituídos com o texto “This site is defaced!!! NeverEverNoSanity WebWorm generation X” (Este site está disfigurado!!! Geração NeverEverNoSanity WebWorm X). A letra “X” indicaria o número de sites contaminados. A reprodução de uma página desfigurada, que ainda estava alterada no momento de publicação deste texto, pode ser vista abaixo:


O resultado de uma pesquisa realizada no site de buscas MSN, tendo o texto "This site is defaced!!!" NeverEverNoSanity como referência, indica que mais de 37 mil sites já foram atingidos pela praga.

O Santy ainda está sendo analisado pela F-Secure, mas a empresa informou em seu blog que, aparentemente, a falha explorada pelo worm é a chamada vulnerabilidade "viewtopic.php highlight", divulgada pela SecuriTeam. Para encontrar sites que serão atacados, o Santy faz buscas no Google usando, entre outras, a expressão "viewtopic.php".

Ao que tudo indica, a versão 2.0.11 do phpBB não está vulnerável ao worm. Usuários de versões anteriores devem checar as dicas postadas no fórum do phpBB, no qual também se encontram mensagens sobre os ataques.

A F-Secure afirma que o Google poderia cessar os defacements simplesmente deixando de responder as buscas feitas pelo Santy. "Isto não iria prejudicar nenhum usuário final e poderia, até mesmo, diminuir a carga sobre os servidores do Google", escreveu Mikko Hyponnen, diretor de pesquisa antivírus da F-Secure, no blog da empresa. Ele também afirma que sua equipe está tentando contatar as pessoas certas para isso no Google, mas até o momento não teve sucesso.

Leia também:

Serviço Picasa, do Google, é atacado por brasileiro

21/12/2004 - 19:22 Redação InfoGuerra

Foi descoberta uma nova brecha de segurança no navegador Internet Explorer, da Microsoft, que permite que cópias fraudulentas de páginas Web sejam usadas em sofisticados ataques do tipo phishing, sem que a vítima consiga detectar o golpe. A falha atinge o Internet Explorer 6.0, mesmo em sistemas atualizados com o Windows XP Service Pack 2.

Conforme alerta da empresa Secunia, a vulnerabilidade, do tipo cross-site scripting, ocorre devido a um erro no controle ActiveX DHTML Edit, ao manipular a execução de scripts em determinadas situações.

O problema pode ser explorado remotamente por terceiros para que sejam executados scripts com o intuito de forjar a URL e o certificado de segurança (SSL) de uma página que aparenta ser segura, mas possui conteúdo malicioso. Dessa forma, um usuário poderia acessar o suposto site de um banco, por exemplo, sem conseguir identificar que se trata de uma cópia fraudulenta, e ter seus dados financeiros capturados.

A Secunia desenvolveu um teste que pode ser usado para verificar se o navegador está vulnerável. Ao acessar o link indicado na página, uma nova janela do navegador será aberta.

Caso o Internet Explorer esteja vulnerável, o endereço mostrado será https://www.paypal.com -- pertencente a um conhecido serviço de transferência de dinheiro pela Internet e apresentando o protocolo "https", que indica um site seguro. Para piorar o cenário, no canto inferior direito da janela pode ser visto o ícone de um cadeado fechado que, após clicado, exibe um certificado digital emitido pela VeriSign para a PayPal e considerado válido pelo navegador. O conteúdo da página, no entanto, pertence à Secunia.

Como ainda não existe correção para a falha, a empresa de segurança recomenda que os usuários desabilitem a execução de controles ActiveX no Internet Explorer, aumentando o nível de segurança padrão do navegador de "médio" para "alto". Para isso, deve-se abrir o navegador e acessar "Ferramentas", "Opções da Internet" e "Segurança". Quem possui o Windows XP SP2 pode desativar especificamente o controle ActiveX DHTML Edit, acessando "Ferramentas" e "Gerenciar Complementos".

Apesar das conseqüências potencialmente graves, a falha foi considerada pela Secunia como moderadamente crítica, pois não permite a invasão de sistemas.

21/12/2004 - 15:34 Redação InfoGuerra

Um juiz federal dos Estados Unidos condenou três empresas consideradas como spammers a pagarem juntas uma indenização de mais de U$1 bilhão a um pequeno provedor de serviços de e-mail do estado de Iowa. A decisão faz parte de um julgamento que inclui 300 acusados e é considerado o maior já realizado contra pessoas ou empresas que enviam grande quantidade de mensagens não solicitadas.

Conforme a versão online do jornal local QC Times, na sexta-feira, dia 17, o juiz federal Charles R. Wolle proferiu a sentença para três dos acusados, com base em leis federais e do estado de Iowa.

A empresa Cash Link Systems Inc., da Flórida, foi sentenciada a pagar U$ 360 milhões. A AMP Dollar Savings Inc, com base no Arizona, deverá pagar U$ 720 milhões e a TEI Marketing Group Inc., da Fórida, terá que arcar com U$ 140 mil de indenização ao provedor CIS Internet Services.

Estabelecido na cidade de Clinton, o CIS opera desde 1996 e possui cerca de 5 mil clientes de e-mail. Seu proprietário, Robert Kramer, entrou com uma ação judicial contra 300 spammers após receber em seus servidores 10 milhões de mensagens de spam em apenas um dia, no ano de 2000. A empresa alega que gastou milhares de dólares para atualizar seu sistema e conter o tráfego provocado pelo grande volume de mensagens recebidas.

Kramer e seu advogado, Kelly Wallace, disseram ao QC Time que identificaram os spammers fazendo exatamente o que era solicitado nos e-mails: comprando softwares e produtos anunciados. Como resultado, apresentaram cerca de 1,4 mil evidências, incluindo milhares de CD-ROMs com registros de logs e arquivos do computador, comprovando o grande número de e-mails recebidos.

Conforme Wallace, também foram apresentados vários CDs vendidos pelos spammers, contendo um manual de como enviar spam. Neles, foram encontrados milhares de endereços eletrônicos falsos, de empresas como America Online, Microsoft, Hotmail e Earthlink, para serem usados como destinatários das mensagens.

Atualmente considerando-se como um especialista no assunto, Kramer declarou ao jornal local que a decisão é uma grande vitória para todos que abrem diariamente a caixa de e-mails e encontram mensagens maliciosas e fraudulentas. "Também penso em todos nós, provedores de serviços de Internet, que sempre temos de enfrentar problemas de spam. Estamos processando outros e ainda vamos pegá-los”, afirmou o
proprietário do CIS.

17/12/2004 - 17:57 Redação InfoGuerra

Foi inaugurado ontem, em Brasília, o novo site do sistema Infoseg, uma rede de dados criminais que interligará todos os estados brasileiros, em tempo real, via Internet. Por meio dele, órgãos de Segurança Pública e de Justiça terão acesso às informações sobre processos, inquéritos, mandados de prisão e envolvimento com narcotráfico.

O Infoseg, que já vinha sendo usado na prática há alguns anos, foi criado a partir de um decreto assinado pelo ex-presidente Fernando Henrique Cardoso. O sistema também fornece dados do Superior Tribunal de Justiça, do Renavan (para consultas de dados nacionais de veículos), do Renach (informações sobre condutores), do banco de dados do Sistema Nacional de Controle de Armas da Polícia Federal e do Sistema Nacional de Identificação Criminal.

Para fazer consultas ao sistema de informações criminais é necessário ser usuário cadastrado e possuir uma senha de acesso. Já existem 30 mil usuários cadastrados em mais de 200 órgãos federais e estaduais. Conforme a assessoria de imprensa do Ministério da Justiça, uma delegacia, por exemplo, poderá verificar em poucos segundos se um suspeito sob custódia está sendo procurado em outros estados. A rede pode ser consultada via celular, desktops ou computadores em viaturas, conectados por rádio ou satélite.

Atualmente, 14 estados fazem parte do programa e, até janeiro de 2005, todos os estados brasileiros deverão estar com seus dados interligados. O sistema de informações criminais tem parceria com o Escritório das Nações Unidas contra Drogas e Crime (UNODC) e conta com o apoio da Associação Brasileira de Empresas Públicas Estaduais de Processamento de Dados (ABEP).

Ao ser acessado hoje, o site oficial do Infoseg apresentou problemas em seus links da página inicial. Ao serem clicados permanecem inacessíveis ou remetem a páginas em que são exibidas mensagens de erro. InfoGuerra tentou contato telefônico com o Ministério da Justiça, mas as ligações feitas por volta das 17 horas não foram atendidas.

17/12/2004 - 17:11 Redação InfoGuerra

A Microsoft anunciou a aquisição da Giant Company Software Inc., fornecedora de produtos de segurança para Internet. Com a propriedade intelectual e os produtos adquiridos da Giant, a empresa pretende oferecer aos usuários de Windows novas ferramentas para proteger seus PCs de ameaças digitais, como spywares e outros softwares maliciosos.

Spywares são programas usados para monitorar as atividades do usuário de computador enquanto conectado à Internet e, geralmente, instalados sem que o usuário tenha conhecimento do fato. Podem alterar a página inicial do navegador, exibir propagandas por meio de janelas do tipo pop-up, e até mesmo furtar informações privadas, dentre outras atividades.

Segundo estudo do IDC divulgado em novembro, 67% dos PCs existentes estão infectados por algum tipo de spyware. Mike Nash, vice-presidente corporativo da unidade de tecnologia e segurança corporativa da Microsoft, disse que a necessidade de soluções para combater o spyware surgiu dessa crescente ameaça aos usuários.

A Microsoft declarou que dentro de um mês uma versão beta da nova ferramenta, baseada no software Giant AntiSpyware, deverá estar disponível. Compatível com as versões Windows 2000 e superiores, o software poderá ser configurado para bloquear também a instalação de arquivos nocivos já conhecidos e programas indesejados. A tecnologia complementará ainda os recursos de segurança do pacote de atualizações Windows XP Service Pack 2.

A Microsoft não revelou os termos da aquisição, nem outros detalhes da nova ferramenta, como projetos, preços e data de lançamento da versão definitiva.

17/12/2004 - 16:36 Giordani Rodrigues

Durante boa parte de 2004, os internautas foram atormentados por vírus com mais freqüência do que o normal. A causa principal é que, para disseminar seus programas maléficos mais facilmente, os criadores de vírus usaram técnicas aprendidas com os spammers, pessoas que enviam grande quantidade de mensagens não solicitadas. Além disso, um truque já conhecido ― o de forjar o endereço eletrônico do remetente nas mensagens contaminadas ― foi levado ao extremo. Isto teve dois efeitos colaterais imediatos.

O primeiro deles é que os computadores efetivamente infectados passaram a disparar mensagens com cópias dos vírus numa quantidade nunca vista. O vírus Sobig.F, por exemplo, descoberto em agosto do ano passado, fazia o sistema infectado enviar mensagens a cada 10 segundos, para todos os endereços de e-mail que conseguia encontrar na máquina. Por causa disso, muita gente passou a receber várias mensagens contaminadas todos os dias e alguns servidores de e-mail ficaram congestionados. Vírus mais recentes, como MyDoom, Bagle, Netsky e Zafi, surgidos nos primeiros meses de 2004 e cujas variantes continuam a ser criadas, também apresentaram comportamento semelhante e congestionaram algumas redes.

O segundo efeito, e talvez o mais perturbador para os internautas em geral, é a capacidade que tais "vírus-spammers" têm de enviar mensagens com endereços eletrônicos forjados. Para isso utilizam seu próprio mecanismo de envio, chamado de SMTP. O truque funciona da seguinte forma:

• Os vírus vasculham o sistema em busca de arquivos com prováveis endereços de e-mail, como arquivos do catálogo de endereços do Windows, mensagens do Outlook Express, páginas HTML, documentos .doc e .txt, entre outros.
  
  
• Dois desses endereços são escolhidos de forma aleatória. Um é colocado no campo do remetente ("De:" ou "From:"), o outro é posto no campo do destinatário ("Para:" ou "To:") na mensagem que servirá para disseminar a praga.

17/12/2004 - 16:32 Giordani Rodrigues

O aviso já se tornou conhecido. Geralmente em inglês, mas às vezes também em português, o texto dispara: "Sua mensagem para (um endereço de e-mail qualquer) não pôde ser enviada porque nosso sistema detectou o vírus X". As palavras variam de sistema para sistema, mas a conclusão é sempre a mesma: sua máquina está infectada com um vírus e enviando mensagens sem que você saiba.

Quem recebe este tipo de alerta geralmente entra em desespero. Mas normalmente não há motivo para pânico, principalmente se os vírus detectados tiverem nomes como MyDoom, Bagle, Netsky, ou Zafi. Como já foi visto, tais vírus, que dominaram as listas de pragas virtuais durante boa parte de 2004, possuem capacidade de se disfarçar forjando o endereço do remetente, em mensagens contaminadas enviadas com seus próprios recursos. Se você tem certeza de que sua máquina está "limpa", provavelmente o vírus partiu da máquina de algum conhecido seu, ou até mesmo de alguém com quem você nunca falou, mas que, de alguma forma, possui seu endereço de e-mail armazenado no disco rígido do computador infectado.

O problema tem ocorrido porque os sistemas antivírus instalados em servidores de correio eletrônico normalmente analisam apenas os endereços aparentes do remetente e do destinatário das mensagens contaminadas. Com isso, enviam um alerta para pessoas inocentes, causando mais confusão do que gerando soluções para o problema das máquinas infectadas. Para piorar, aumentam desnecessariamente o tráfico de e-mails na Internet, podendo agravar o congestionamento de redes, que já sofrem com as mensagens em massa enviadas pelos próprios "vírus-spammers".

Alguns alertas são tão contundentes que nem se referem ao endereço do suposto remetente da mensagem contaminada, e sim ao próprio usuário. Neste caso, os avisos assumem formas mais ou menos assim: "Nosso sistema detectou que você enviou uma mensagem contaminada com o vírus (nome do vírus) para a pessoa (endereço de e-mail de outro usuário)".

Devido ao grande número de "falsos positivos" (detecção inadequada de vírus, spams e outros problemas em sistemas informatizados), alguns especialistas já sugeriram que se desabilitasse dos sistemas antivírus instalados em servidores de e-mail o envio de alertas para supostos remetentes de mensagens contaminadas. O argumento é de que "a cura acaba saindo pior do que a doença".

Alguns críticos mais radicais chegaram a acusar as empresas de estarem se beneficiando da confusão. Ao enviarem, conscientemente, milhares de mensagens sobre máquinas que não estão contaminadas, estariam alimentando a estratégia conhecida como FUD (medo, incerteza e dúvida, na sigla em inglês) e ao mesmo tempo divulgando seus serviços e produtos. Isto faria com que mais usuários gastassem dinheiro na proteção de sistemas pessoais e corporativos.

Até mesmo os scammers, como são conhecidos os golpistas da Internet, aproveitaram-se da situação caótica para induzir os internautas menos prevenidos a instalarem programas espiões em suas máquinas. Há alguns meses, circulou pela Internet uma falsa mensagem imitando um desses alertas sobre vírus. Após afirmar que um sistema antivírus detectou que a máquina do usuário estava infectada, o e-mail fraudulento mostrava um link para "atualizar o antivírus" e "remover o vírus" do computador. Mas tudo não passava de um truque e o link, na verdade, levava a um cavalo-de-tróia para roubar senhas bancárias e outras informações privadas.

Não se deve desprezar alertas sobre vírus, mas antes de sair clicando em qualquer link ou perder a cabeça achando que seu computador está infectado, é bom se certificar da veracidade das informações recebidas. A boa notícia é que isso é possível.

Leia também:

"Vírus-spammers": quais são e como agem?

O que fazer ao receber um alerta de vírus

17/12/2004 - 16:30 Giordani Rodrigues

Avisos de que sua máquina está contaminada por um vírus nunca devem ser completamente desprezados, mas dada a atual prevalência de falsos-positivos (alertas baseados em premissas enganosas) enviados por sistemas antivírus em servidores de e-mail, deve-se evitar conclusões e atitudes precipitadas. Caso receba uma mensagem afirmando que seu sistema está infectado por um vírus, siga os passos abaixo:

• Preste atenção ao nome do vírus que supostamente contaminou sua máquina. Se for uma variante do MyDoom, Bagle, Netsky ou Zafi, há grandes chances de que o alerta seja um falso-positivo. Nos últimos dias, surgiu uma nova variante do Netsky, que tem provocado um grande número de falsos alertas.
  
  
• Muitos desses avisos trazem uma cópia da mensagem contaminada e seu cabeçalho completo. Analisando o cabeçalho, é possível saber com certeza se a mensagem partiu de sua máquina ou de outra. Não é raro descobrir que o vírus partiu, na verdade, de uma máquina localizada na mesma rede interna do sistema que está emitindo o alerta. Para saber como analisar o cabeçalho de um e-mail, leia este artigo.
  
  
• Se mesmo após as análises anteriores, você ainda ficar em dúvida sobre a segurança de sua máquina, atualize seu programa antivírus e faça um rastreamento completo do sistema.
  
  
• Caso o aviso sobre vírus tenha partido de um amigo ou conhecido e não de um sistema antivírus, peça à pessoa que, se possível, envie-lhe uma cópia do cabeçalho completo da mensagem contaminada para que você possa analisá-lo. De qualquer forma, avise-lhe que não é possível tirar uma conclusão definitiva da situação apenas porque recebeu uma mensagem contaminada com o seu endereço de e-mail, pois os vírus atuais estão programados para forjar o endereço dos remetentes destas mensagens.

16/12/2004 - 19:23 Redação InfoGuerra

Foram encontradas múltiplas vulnerabilidades em versões da linguagem PHP (Hypertext Preprocessor), que colocam em risco a integridade de Web sites. Ao todo, são dez falhas de segurança, classificadas como altamente críticas pela Secunia.

PHP é uma linguagem de programação baseada em scripts, amplamente utilizada no desenvolvimento de Web sites dinâmicos, e com capacidade de interagir com o formato HTML. O PHP pode ser rodado em vários servidores Web, como Apache, IIS, Caudium, Netscape e iPlanet, OmniHTTPd e outros.

Conforme alerta da Secunia, as vulnerabilidades podem ser exploradas remotamente para contornar determinadas limitações de segurança, escalar privilégios de usuários, obter acesso à informações sensíveis, ou comprometer um sistema vulnerável.

Seis delas foram descobertas e relatadas pelo programador alemão Stefan Esser, responsável pelo Projeto Hardened-PHP, que pretende aumentar a segurança do PHP. As falhas foram constatadas durante a implementação do projeto. Em outras ocasiões, o pesquisador já foi responsável pela descoberta de importantes vulnerabilidades no PHP.

Esser afirma que as falhas detectadas por ele podem atingir vários aplicativos construídos com a linguagem PHP, entre os quais: phpBB2, Invision Board, vBulletin, Woltlab Burning Board 2.x, Serendipity Weblog, phpAds, o outros.

Três outras falhas foram divulgadas no boletim 4.3.10, emitido pela equipe de desenvolvimento do PHP. O pesquisador Martin Eiszner foi responsável por outra das descobertas.

Estão vulneráveis as versões PHP 5.0.x e PHP 4.3.x. A recomendação é que os administradores atualizem rapidamente suas versões para 4.3.10 ou 5.0.3. O download pode ser feito no site oficial do PHP.


Leia também:

Falhas no PHP deixam milhares de sites em perigo

16/12/2004 - 17:58

Segurança de redes dominou a tarde do terceiro dia do 10º SCI

A tarde do terceiro dia do 10º Seminário de Capacitação e Inovação da Rede Nacional de Ensino e Pesquisa (RNP), realizado em Recife, de 29 de novembro a 3 de dezembro, foi toda dedicada à área de segurança de redes. Anualmente, o Centro de Atendimento a Incidentes de Segurança da RNP (CAIS) faz um panorama do setor e elege um vilão. Em 2004, as maiores pragas da Internet, segundo os técnicos do CAIS, foram as botnets.

Traduzindo ao pé da letra, botnet é uma rede de robôs. Através de um programa malicioso (cavalo-de-tróia ou trojan, em inglês) instalado em diversos computadores, um cracker pode criar um exército de máquinas infectadas (robôs), usando-as para enviar spams ou capturar senhas, por exemplo. Segundo o CAIS, para o bom funcionamento da Internet, é importante descobrirem-se as botnets e desmontá-las.

Outros vilões que se destacam todos os anos são os vírus e worms. O CAIS registrou que, em 2004, o número de variantes destas pragas virtuais cresceu assustadoramente. Foi-se o tempo em que as versões paravam na letra b. Hoje, alguns vírus e worms chegam a ter mais variantes do que existem letras no alfabeto. Um dos últimos alerta do CAIS, por exemplo, publicado na semana passada, trata da nona versão do worm Sober, cuja primeira variante foi descoberta em 24 de outubro de 2003.

Parece que o melhor caminho para se proteger dos perigos da rede é conscientizar-se. Em alguns casos, como nas fraudes bancárias feitas pela Internet, os usuários caem em golpes não porque seus computadores estejam vulneráveis, mas por pura ingenuidade. Em outros casos, como nos ataques de vírus, worms e trojans, um antivírus atualizado e um bom firewall ajudam, mas também é fundamental que os internautas tomem cuidado com arquivos anexados às mensagens. Jacomo Piccolini, analista de segurança sênior do CAIS, sugere que os técnicos e especialistas dêem mais palestras e cursos a fim de conscientizar os usuários quanto às questões de segurança da rede.

Mesa redonda reúne policial, advogado, especialista em cultura hacker e analista de segurança

Após a palestra do CAIS, foi montada uma mesa redonda com o objetivo de discutirem-se os crimes digitais sob o ponto de vista de vários profissionais. Sob o comando do jornalista Giordani Rodrigues, editor do site InfoGuerra, especializado em notícias sobre segurança e privacidade na Internet, a mesa reuniu o advogado Omar Kaminski, membro suplente do Comitê Gestor da Internet no Brasil e diretor de Internet do Instituto Brasileiro de Política e Direito da Informática; o perito criminal Sérgio Luís Fava, lotado no Instituto Nacional de Criminalística da Polícia Federal; a gerente do CAIS e diretora do Forum of Incident Response Teams (First), Liliana Velásquez Solha; e o pesquisador Ariel Gomide Foina, especialista em cultura hacker.

Omar Kaminski mostrou diversos artigos e leis que podem ser usados na punição de crimes na Internet, como em casos de estelionato, formação de quadrilha e outros. Na falta de uma legislação específica, são justamente estes expedientes que a Polícia Federal tem usado para combater os "cibercriminosos", complementou Sérgio Luís Fava.

Foram citados alguns projetos de lei em tramitação, como o PL 89/03, do deputado federal Luiz Piauhylino (sem partido - PE). O projeto, que hoje está na Comissão de Educação do Senado Federal para apreciação, caracteriza como crime "os ataques praticados por hackers e crackers, em especial as alterações de home-pages e a utilização indevida de senhas".

A percepção de que a legislação precisa ser alterada ou de que novas leis precisam ser criadas para melhor responder aos crimes relacionados à informática e à Internet é ponto pacífico, no entanto, o processo legislativo é lento, como lembrou Kaminski. O projeto do deputado Piauhylino, por exemplo, foi apresentado ao plenário da Câmara dos Deputados em 24 de fevereiro de 1999 e, apenas em 5 de novembro de 2003, foi aprovado, sendo encaminhada ao Senado sete dias depois.

Respaldo para atuar

Fava e Kaminski ressaltaram a importância de que todo o processo de investigação de um crime digital (como de qualquer outro crime) seja documentado. É bom que haja respaldo de instâncias superiores, de algum contrato prévio ou judicial para que sejam tomadas ações, tanto no sentido investigativo como punitivo.

Esta foi uma preocupação que perpassou a platéia. No caso de o criminoso estar usando equipamentos de uma instituição, como poderia agir o administrador da rede da mesma instituição? Tanto o policial como o advogado afirmaram que, se houver um acordo prévio por escrito, assinado pelo usuário que comete o crime, há um relativo respaldo para que o administrador da rede atue no sentido de coibir a prática criminosa. Também pode-se apelar para a denúncia à força pública, a fim de que a investigação possa resultar em um processo judicial.

Seguindo a alternativa de se apelar para os contratos com os usuários, Liliana Solha lembrou que existe uma política de uso da rede RNP2 e que ela deve ser observada. A gerente do CAIS defende que os administradores de redes nos pontos de presença da RNP e nas instituições conectadas valham-se das condições de uso previstas nesta política para restringir o acesso ou bloquear máquinas e sistemas que estejam sendo usadas com fins ilícitos.

Liliana lembrou também a importância dos grupos de segurança (CSIRTs, do nome em inglês Computer Security Incident Response Teams), no sentido de atuarem de forma consistente na prevenção e controle das ameaças digitais. A gerente do CAIS tem colaborado na formação de grupos de segurança no Brasil e em países da América Latina, desafio ao qual se impôs em virtude do cargo que exerce no First, um importante fórum internacional de equipes de segurança. Liliana disse que os CSIRTs têm a responsabilidade de prestar atendimento a incidentes de segurança e fazer a intermediação com outros grupos de interesse (polícia, governo, Poder Judiciário etc.).

Em sessão posterior, Liliana e os analistas Jacomo Piccolini e Guilherme Vênere apresentaram algumas ferramentas que o CAIS pretende implantar a partir de 2005 para prevenção, detecção e controle de incidentes de segurança.

O pesquisador Ariel Foina acredita no trabalho de conscientização das pessoas. Ele afirmou que de nada adianta punir-se um cracker isoladamente, principalmente se ele não for um líder, pois outras pessoas surgem para substituí-lo. "A rede não cai atacando-se um indivíduo semelhante", disse Foina.

Segurança em redes sem fio

Na primeira palestra do dia 1º de dezembro, o engenheiro Ewerton Madruga, da PUC do Rio de Janeiro, falou sobre segurança em redes sem fio. Ele contou a experiência da rede wi-fi da PUC-Rio e discorreu sobre aspectos relevantes como WEP (wired equivalent privacy, um protocolo de segurança para redes sem fio locais), IEEE 802.1x, certificados digitais e uso de chaves públicas e privadas.

Madruga disse que, para se ter acesso à rede sem fio da PUC-Rio, é preciso que o usuário tenha um certificado, gerado pelos administradores da rede de forma dinâmica. Com isso, amplia-se a segurança da rede, uma vez que ela não é aberta a qualquer máquina com placa wireless. O diretor de Operações da RNP, Alexandre Grojsgold, questionou se esta limitação é desejável, uma vez que complica o acesso de pesquisadores visitantes. Madruga explicou que, no caso de visitantes, são gerados certificados temporários, a pedido de um professor ou funcionário responsável.

Fonte: Assessoria de Comunicação da RNP

16/12/2004 - 13:19 Redação InfoGuerra

Atualizada às 17h21

Foram detectadas três novas variantes do worm Cabir, que tenta infectar celulares Nokia da série 60 rodando o sistema operacional Symbian e habilitados com a tecnologia Bluetooth. As novas versões C, D e E possuem as mesmas características das anteriores.

Os worms tentam se disseminar por meio da tecnologia Bluetooth para outros dispositivos compatíveis, mas os usuários precisam confirmar o recebimento para que sejam infectados. A contaminação provoca apenas o consumo excessivo de bateria do aparelho.

A únicas diferenças significativas das novas versões do Cabir em relação às antecessoras são o nome de cada um de seus arquivos (.SIS) e o texto exibido na tela do aparelho atingido. Quando ativo, o Cabir.C mostra o texto "Mytiti" e a versão D exibe “YUAN” na lista de aplicativos do celular. Já a versão Cabir.E apresenta o texto “ni&ai-”.

A Sophos aconselha os usuários a desativarem a opção "visível a outros Bluetooth" existente em seus aparelhos para se protegerem contra programas maliciosos. No entanto, InfoGuerra recebeu a informação de um especialista em segurança de que tal procedimento não impede completamente a ação destes programas.

Na opinião dele, burlar a "invisibilidade" do usuário de Bluetooth é só uma questão de tempo para os novos vírus de dispositivos móveis. Além disso, ele apresentou uma demonstração de que, se o aparelho infectado tiver feito contato anterior com o aparelho alvo, o endereço deste estará gravado na memória do dispositivo afetado, que poderá facilmente encontrar a "vítima", mesmo no estado "invisível". A solução atual seria, sempre que estas opções estiverem disponíveis, desativar a função Bluetooth quando não estiver em uso e, caso o usuário a deixe ligada, configurar o dispositivo para não aceitar conexão de origem desconhecida.

As empresas antivírus já começaram a lançar produtos específicos para celulares, devido ao crescente uso desses dispositivos e à possibilidade de tornarem-se novos alvos de contaminação. A Trend Micro lançou recentemente uma versão que pode ser usada gratuitamente até junho de 2005.

Leia também:

Novo antivírus para celular pode ser usado gratuitamente até junho

Criado primeiro vírus para celulares

Novo trojan desabilita funções de celulares

Descoberto o primeiro trojan para Pocket PC

Worm Cabir ataca celulares em Cingapura

16/12/2004 - 10:44 Giordani Rodrigues

Final de ano é época de confraternizações, compras e presentes. Inclusive compras pela Internet. Mas, por isso mesmo, é também a época em que os golpistas ficam ouriçados para enganar consumidores incautos e receber seu próprio "13° salário" para as festividades que se aproximam. Assim como é importante ficar atento a assaltantes e punguistas nas ruas das cidades durante as compras em lojas físicas nesta época do ano, deve-se também tomar cuidado especial com as compras em lojas virtuais.

Apesar do receio de muita gente, fazer compras online pode ser tão ou mais seguro do que fazer compras em um shopping center, mas deve-se seguir os passos abaixo para diminuir os riscos a um grau mínimo:

Não forneça seus dados a qualquer um
Não coloque o número de seu cartão de crédito, conta bancária ou outros dados privados em sites de lojas desconhecidas. Prefira as redes das maiores e mais conhecidas lojas online, que costumam investir em segurança.

Procure o certificado digital
Verifique, sempre, se a loja possui um certificado digital de segurança. Este certificado tem dois fins: indicar que o site em que você se encontra é verdadeiro e não apenas uma cópia do original; e garantir que os dados privados trocados entre seu computador e o servidor da loja sejam criptografados no caminho, o que impede que sejam decifrados mesmo se forem capturados. Se o site não possuir um certificado digital, não faça compras nele.

Certifique-se de que o site é seguro
Os indicativos visuais de um site seguro, isto é, que possui um certificado digital, são a expressão "https" na barra de endereços do navegador e o símbolo do cadeado fechado em algum ponto da barra inferior do programa. No entanto, isto não basta, pois já foram detectados golpes que imitam estes indicativos usando imagens estáticas. Para se certificar da segurança do site, você deve clicar no cadeado e exibir seu certificado digital. Neste documento constam o endereço do site para o qual o certificado foi emitido, a empresa que o emitiu, a data de validade e o status do mesmo (se é válido ou não), e outras informações relevantes. Também é possível exibir o documento clicando com o botão direito do mouse sobre a página a ser verificada e, em seguida, em "Propriedades". Caso haja alguma irregularidade, seu navegador emitirá um alerta. Se, ao clicar no cadeado, este não exibir um certificado, cuidado: você provavelmente está num site forjado.

Mantenha navegador e sistema atualizados
A autenticidade de um certificado digital é verificada pelo seu próprio navegador, que já traz embutida uma lista de empresas certificadoras e de padrões confiáveis. No entanto, há bugs (falhas de programação) que possibilitam forjar um site falso de modo que pareça legítimo. Para evitar estes bugs é essencial que você mantenha seu navegador rigidamente atualizado, não importa qual seja o fabricante do programa. Igualmente importante é manter o sistema operacional atualizado com as últimas correções de segurança.

Não compre produto anunciado em spam
Não compre em lojas online que anunciam seus produtos por meio de spam (mensagens não solicitadas enviadas em massa). Já foram detectados sites de lojas online criadas por golpistas em provedores legítimos especializados nestes serviços, e que serviam única e exclusivamente para capturar os dados de crédito dos consumidores. Para atrair os internautas, os golpistas enviavam spams a milhares deles, com ofertas tentadoras. A compra, aparentemente, era feita normalmente, mas os produtos não eram entregues e, mesmo que fossem, a técnica servia apenas para reunir números de cartões de crédito e documentos em geral, que seriam posteriormente usados de forma fraudulenta. Mesmo se o spam se referir a uma loja autêntica, esta é uma prática comercial condenada entre os defensores da ética e privacidade online, por isso tais mensagens devem ser desconsideradas.

Diga não a lojas desconhecidas
Os provedores de lojas online, como os citados no item acima, fornecem toda a infra-estrutura para que um lojista monte sua loja virtual rapidamente e com baixo custo, mediante pagamento de uma taxa mensal. Alguns destes provedores, inclusive no Brasil, pertencem a empresas de Internet conhecidas e os endereços das lojas aparecem numa forma aproximadamente assim: www.nomedaloja.nomedoprovedor.com.br. Os provedores também costumam fornecer certificados digitais para as transações de compra. Mesmo assim, tais lojas não podem ser consideradas sempre seguras. O motivo é que qualquer pessoa, inclusive um golpista, poderia facilmente abrir uma loja online usando estes serviços. A checagem dos dados dos lojistas feita pelos provedores normalmente não é suficiente para garantir a autenticidade do cadastro, que pode ser forjado. Neste caso, leve em conta a loja e não o provedor de hospedagem, e siga a primeira regra: não faça compras online em lojas virtuais desconhecidas.

Como a loja trata seus dados?
Quanto ao armazenamento dos dados dos clientes, há dois tipos de lojas virtuais: aquelas que armazenam em seu sistema as informações de cartão de crédito e bancárias, e aquelas em que, a cada compra, estas informações têm de ser novamente digitadas. As primeiras oferecem mais comodidade; as segundas, mais segurança, e devem ser preferidas.

Direito do consumidor
E por último, algumas recomendações do Procon: preste atenção às taxas e despesas com frete, redobre o cuidado ao fazer compras em sites internacionais, informe-se ao máximo sobre o produto e as condições do negócio antes de comprá-lo, tenha toda a documentação da compra e exija, sim, a nota fiscal.

16/12/2004 - 7:09 Redação InfoGuerra

O final do ano requer cuidados não só com vírus disfarçados de cartões natalinos e outros motivos da época, como também com a atualização dos softwares instalados numa máquina nova. Neste período, muitas pessoas costumam ganhar computadores novos de presente e é preciso estar atento a essa questão, já que nem sempre os sistemas instalados nestas máquinas contêm as mais recentes correções de brechas de segurança, alerta a empresa Sophos.

"Há a suposição de que um computador que acabou de sair da prateleira está pronto para liugar e usar, mas muitas pessoas não percebem que a primeira tarefa após desembrulhar um PC novo deveria ser checar se o sistema está devidamente protegido contra uma grande quantidade de ameaças: os últimos patches de segurança estão instalados? Há um firewall em ação? O computador está rodando um software antivírus atualizado?", questiona Carole Theriault, consultora de segurança da Sophos. Sem estes cuidados, um computador pode se tornar um alvo fácil de ataques os mais variados, assim que conectado à Internet ou a um sistema de correio eletrônico.

“Presenciamos casos em que os usuários tiveram de baixar 38 MB de patches de segurança para um novo PC, operação que pode levar várias horas com conexão discada”, continua Theriault. “Mas a atualização dos softwares de segurança é vital para o usuário se precaver contra um presente de Natal indesejável, na forma de um vírus ou um ataque de phishing”, explica a executiva.

Os softwares antivírus, que freqüentemente vêm incorporados aos computadores domésticos, também não costumam oferecer garantia de proteção contra os vírus mais recentes. Conforme a Sophos, mais de 1,3 mil novos vírus foram identificados apenas em novembro e um programa desatualizado pode agora comprometer seriamente a segurança do computador.

A empresa também aconselha os usuários a não se descuidarem com a segurança durante o período de festas e ficarem atentos ao recebimento de cartões, mensagens de felicitações e programas enviados por e-mail.

Leia também:

Vírus Zafi.D se disfarça de cartão de Natal

15/12/2004 - 21:17 Redação InfoGuerra

A Microsoft publicou nesta terça-feira seus boletins mensais de segurança, com correções para falhas que atingem várias versões do Windows. Todas foram classificadas como importantes pela empresa, sendo que quatro delas, ao serem exploradas, permitem a execução remota de códigos, e outra, a escalada de privilégios de usuários. Entre as correções está uma para a vulnerabilidade no WINS (serviço que gerencia a resolução de nomes dos computadores colocados em rede) descoberta no início de dezembro. Veja, abaixo, um resumo de cada boletim, com o respectivo link:

MS04-041: Corrige duas brechas de segurança no aplicativo WordPad. Ao serem exploradas, permitem a execução remota de códigos no sistema afetado, desde que haja a interação do usuário. Um atacante teria de persuadir um usuário a acessar, por exemplo, uma página da Internet preparada especialmente para explorar a falha. Caso seja bem-sucedida, terceiros podem obter o controle total do sistema e instalar programas, visualizar, modificar ou deletar dados armazenados e ainda criar novas contas com os mesmos privilégios dos usuários conectados. As falhas afetam o produto instalado nos sistemas Windows NT Server 4.0 (Service Pack 6a); NT Server 4.0 Terminal Server Edition (SP 6); Windows 2000 (SP 3 e 4); Windows XP (Service Pack 1 e 2); Windows XP 64-Bit Edition Service Pack e Versão 2003; e Windows Server 2003, também na versão 64-Bit Edition.

MS04-042: Corrige duas vulnerabilidades no serviço DHCP (Dynamic Host Configuration Protocol). A mais severa delas, ao ser explorada, pode permitir o controle do sistema por terceiros e a execução remota de códigos na máquina afetada. Sucessivas tentativas de exploração das falhas também podem provocar um ataque de negação de serviço no protocolo DHCP. As vulnerabilidades afetam os sistemas Windows NT Server 4.0 (Service Pack 6a) e o NT Server Terminal Server Edition (SP 6).

MS04-043: Uma vulnerabilidade no HyperTerminal (programa da Microsoft para conectar dois computadores em rede) que também permite a execução de códigos, casa seja explorada. Porém, é necessária a interação do usuário. Um atacante poderia construir um arquivo de sessão malicioso de HyperTerminal e persuadir o usuário a abri-lo. Atinge os sistemas Windows NT Server 4.0 (Service Pack 6a); Microsoft NT Server 4.0 Terminal Server Edition (SP 6); Windows 2000 (SP3 e 4); Windows XP (SP1 e 2); Windows XP 64-Bit Edition (SP1) e versão 2003, Windows Server 2003 e versão 64-Bit Edition.

MS04-044: Corrige duas falhas encontradas no kernel (núcleo) do Windows e no serviço LSASS (Local Security Authority Subsystem Service), que permitem a elevação de privilégios dos usuários. A exploração bem-sucedida permitiria que um atacante local adquirisse privilégios acima dos que lhe foram fornecidos pelo administrador e conseguisse obter o controle total do sistema afetado. O problema atinge os sistemas Windows NT Server 4.0 (Service Pack 6a); NT Server 4.0 Terminal Server Edition (SP 6); Windows 2000 (SP 3 e 4); Windows XP (SP 1 e 2 ); Windows XP 64-Bit Edition (SP 1) e versão 2003; Windows Server 2003 e versão 64-Bit Edition.

MS04-045: Corrige duas brechas de segurança no serviço WINS (Windows Internet Naming Service), que permitem o controle do sistema por terceiros e a execução remota de códigos. O problema reside no gerenciamento de validação de nomes e pode ser explorado com o envio de um pacote especialmente preparado por um atacante, com possibilidades ainda de um ataque de negação de serviço no sistema. Estão comprometidos os sistemas Windows NT Server 4.0 (Service Pack 6a); Windows NT Server 4.0 Terminal Server Edition (SP 6); Windows 2000 Server (SP 3 e 4); Windows Server 2003 e versão 64-Bit Edition.

A Microsoft recomenda que os administradores de sistemas apliquem as atualizações rapidamente.

Leia também:

Descoberta falha em serviço de redes da Microsoft

14/12/2004 - 21:45 Redação InfoGuerra

Aproveitando-se das festividades de final de ano, uma nova variante do worm Zafi está se espalhando pela Internet. O Zafi.D chega como um arquivo anexo em e-mails contendo mensagens natalinas em variados idiomas. Além de desativar várias ferramentas do sistema operacional, contém uma backdoor (porta oculta) que permite a instalação e execução remota de arquivos na máquina da vítima.

O e-mail contaminado traz no campo de assunto a frase “Feliz Natal!”, em idiomas como português, inglês, espanhol e russo, dentre outros. No texto da mensagem, as felicitações pelo Natal vêm acompanhadas de smileys, caracteres usados na Internet para representar um sorriso.

Para se enviar por e-mail, o worm utiliza um mecanismo SMTP próprio. Os endereços eletrônicos dos destinatários são coletados de arquivos com variadas extensões, incluindo wab, eml, htm, txt. dbx, asp, php, e outras. O idioma das mensagens depende do sufixo do país presente no endereço de e-mail. Assim, um endereço terminado em .pt, receberá uma mensagem em português, enquanto um terminado em .es receberá uma mensagem em espanhol. De acordo com a F-Secure, a lista inclui 19 países, principalmente da Europa.

O arquivo anexo, com nomes variados, possui extensões do tipo .pif, .cmd, .bat, .com ou .zip. O corpo da mensagem possui ainda uma pequena imagem gif em forma de dois sorrisos. Abaixo está a reprodução de uma dessas mensagens, em inglês:


Ao ser executado, o worm mostra uma falsa mensagem de erro em, que se lê: "Error in packed file!". Enquanto isso, faz cópias de si mesmo para a pasta System do Windows com nomes variados de arquivos .dll e também como "Norton Update.exe". Em seguida, cria uma chave no registro do Windows para ser executado sempre que o sistema for iniciado. Além disso, vasculha todos os diretórios existentes no computador da vítima e lança outras cópias com os nomes “winamp 5.7 new!.exe” ou “ICQ 2005a new!.exe” em pastas que contenham as palavras “share”, “upload” ou “music” em seus nomes.

O Zafi.D ainda desativa todos os aplicativos que contenham as palavras “firewall” e “virus”. Várias ferramentas do Windows, como o Gerenciador de Tarefas (Task Manager) e o Editor de Registro (Registry Editor), também são desabilitados assim que o worm é ativado. Como se não bastasse, ainda instala uma backdoor que fica "escutando" na porta 8181 e tem capacidade de executar arquivos.

Zafi-B ataca firewalls e antivírus e em vários idiomas

Zafi-B e Netsky-P são os piores vírus pelo quarto mês

Zafi.C ataca site do primeiro-ministro da Hungria

13/12/2004 - 17:35 Redação InfoGuerra

A partir de 2005, a Câmara dos Deputados contará com um programa de certificação digital para garantir a autenticidade e o sigilo das informações que trafegam em sua rede interna e as enviadas para os demais órgãos do governo brasileiro. A medida visa também garantir a privacidade entre a comunicação dos deputados federais com suas bases em todos os estados brasileiros.

O projeto foi feito pelo Centro de Informática da Câmara dos Deputados (Cenin) e sua primeira etapa foi a modelagem de uma solução que viabilizasse a assinatura digital das mensagens eletrônicas da Câmara e ao mesmo tempo estivesse integrada à Infra-Estrutura de Chaves Públicas Brasileira (ICP-Brasil).

A solução escolhida foi baseada em produtos da Microsoft, apesar de já existirem alguns projetos de lei que tramitam na Câmara priorizando o uso de software livre no governo, e o próprio Congresso Nacional ter realizado no ano passado a Semana do Software Livre. De acordo com Patrícia Almeida, gerente de infra-estrutura e serviços de rede do Cenin, a escolha se deve a uma questão de economia.

Para uso dos 513 deputados federais e da administração da Câmara, 900 certificados foram emitidos por uma autoridade externa afiliada à ICP-Brasil, garantindo o necessário caráter oficial. Contudo, de acordo com Patrícia, esse processo seria incompatível com a realidade orçamentária da Câmara, para atender à demanda de certificados para toda a base de 15 mil usuários. Estes ganharão certificados emitidos por três servidores Windows Server 2003, usando os serviços disponíveis no próprio sistema operacional, que tem capacidade de emissão ilimitada.

Além destes três servidores, outros nove servidores com Microsoft Exchange Server 2003 destinam-se aos serviços de e-mail e caixa postal para cerca de 10 mil usuários da Câmara, que já utilizam o Microsoft Outlook 2003 como software-cliente de correio eletrônico. Também está sendo conduzido um projeto-piloto para uma parcela restrita de usuários que já está utilizando a certificação digital com os serviços de correio.

Durante o ano de 2005, todos os usuários da Câmara receberão certificados para assinar digitalmente suas mensagens e a certificação será adotada no controle de tarefas administrativas e no apoio à proposição de leis. Dentre as novas medidas, também será lançado um portal para que os deputados possam acompanhar remotamente os processos nas comissões temáticas por meio de tokens (dispositivos físicos, como uma espécie de chaveiro, que armazenam os certificados digitais). Com esse portal as atividades nos gabinetes não precisam parar com a ausência do deputado, que poderá tomar decisões remotamente e com identificação certificada.

Também está sendo preparada uma campanha que, além de outros tópicos relacionados à Segurança da Informação, orientará os usuários sobre o uso e os benefícios da certificação digital. A campanha incluirá palestras, cartilhas, filmes e cursos.

Leia também:

Congresso Nacional promove semana do software livre

13/12/2004 - 16:07 Redação InfoGuerra

A Trend Micro anunciou o lançamento do Mobile Security, software antivírus e anti-spam para o serviço de mensagens curtas (SMS, na sigla em inglês) em telefones móveis e PDAs data-centric (centrados em dados). Para estimular o uso, e devido às compras de fim de ano, quando muitos usuários trocam de celular, a empresa está oferecendo o software a seus clientes gratuitamente até junho de 2005.

O produto está disponível para dispositivos que utilizam o sistema operacional Microsoft Windows Mobile 2003. Em janeiro de 2005, a empresa oferecerá suporte para os produtos que rodam o sistema operacional Symbian OS v7.0 (com interface UIQ v2.0/2.1), Microsoft Windows Mobile 2003 para Pocket PC (Phone Edition e Segunda Edição). Para a empresa, o crescente uso desses dispositivos, torna-os alvos atraentes para desenvolvedores de vírus e spam via SMS.

Em junho de 2004 foi detectado o Cabir, primeiro vírus para telefone celulares, que atinge os telefones Nokia, Série 60, com sistema operacional aberto Symbian, e habilitados para a tecnologia Bluethooth. Considerada como uma “prova de conceito”, a praga causa o consumo excessivo de baterias dos aparelhos enquanto procura localizar celulares para sua disseminação.

Já em agosto, foi lançado o Brador.A, primeiro cavalo-de tróia para Pocket PC, desenvolvido para dispositivos com o sistema operacional WinCE 2.0 ou superior, da Microsoft, e processadores padrão ARM. Ao ser executado, o trojan envia um e-mail ao seu autor e informa o IP da vítima. Também abre a porta TCP 2989, para que um atacante remoto assuma o controle do equipamento comprometido.

Em novembro, surgiu o cavalo-de-tróia Skulls, criado para atacar telefones celulares e Smart Phones também com o Symbian. Quando instalado, substitui todos os ícones de aplicativos do aparelho por imagens de uma caveira, desabilitando todas as funções dos aparelhos, com exceção das chamadas. O surgimento desses vírus já está fazendo com que as empresas antivírus se apressem em explorar esse novo mercado.

Para outras informaçõs e download gratuito do Mobile Security acesse o site http://www.trendmicro.com/mobilesecurity.

Leia também:

Novo trojan desabilita funções de celulares

Criado primeiro vírus para celulares

Descoberto o primeiro trojan para Pocket PC

10/12/2004 - 19:11 Redação InfoGuerra

Foi detectada uma variante ― a C ― do worm W32/Maslan, usada para lançar um ataque de negação de serviço (DoS) contra Web sites dos rebeldes separatistas da Chechênia. O Maslan.C se propaga por e-mail e por redes que utilizem senhas consideradas fracas. Também explora vulnerabilidades em sistemas Windows não atualizados, já exploradas por worms como Sasser e Blaster.

Conforme a Sophos, a praga chega por e-mail com o assunto “123” e a mensagem contém textos como “Hello” e “Best regards”, seguidos do nome do remetente. Contém ainda um anexo com o nome “Playgirls2.exe”. Quando este arquivo é executado, o sistema é infectado e usado para disseminar o worm entre outros usuários que participarão do ataque DoS.

Para se propagar por e-mail, o worm captura endereços eletrônicos armazenados no sistema da vítima. Também se aproveita de sistemas que apresentem vulnerabilidades no protocolo RPC/DCOM) e no serviço LSASS (Local Security Authority Subsystem Service), já corrigidas pela Microsoft.

A praga faz uma cópia de si mesma para a pasta System do Windows e cria outros arquivos com seus componentes. Também instala o worm W32/Sdbot-RW, que permite o acesso remoto ao sistema infectado.

Em seguida, cria uma entrada no registro do Windows para que entre em atividade toda vez que o sistema for iniciado. O worm também copia todos os executáveis existentes na máquina da vítima para um novo local, nomeado como "___b", e coloca cópias de si mesmo onde estavam os arquivos originais.

O Maslan.C age no primeiro dia de cada mês e ataca Web sites ligados ao movimento rebelde da Chechênia, como “kavkazcenter.com”, "kavkaz.tv”, “chechenpress.com” e “chechenpress.info”.

Leia também:

Surge primeiro worm a explorar falhas recentes do Windows

Vírus explora falhas recentes do Windows

10/12/2004 - 16:54 Redação InfoGuerra

Representantes da indústria e agências do governo norte-americano anunciaram a criação da organização Digital PhishNet. O objetivo é auxiliar na execução das leis e punir os responsáveis por aplicar golpes de phishing, uma forma crescente de furto de identidade online.

Fazem parte da associação órgãos como a Agência Federal de Investigação (FBI), a Comissão Federal de Comércio (FTC), o serviço secreto norte-americano (USSS) e o serviço de inspeção postal dos Estados Unidos (USPIS). Entre o setor corporativo estão Microsoft, America On-line, VeriSign, Network Solutions, Lycos, EarthLink e Digital River.

Phishing é uma emergente ameaça online, particularmente prejudicial e enganosa, em que usuários de computador são direcionados para falsos Web sites, normalmente por meio de spam recebidos. Tais sites são forjados ou seqüestrados, com a finalidade de receber informações financeiras pessoais, como senhas e números de cartão de crédito. Em muitos casos, os phishers também induzem os usuários a instalar códigos maliciosos nos computadores, como trojans, para rastrear suas atividades online.

Enquanto outros grupos procuram identificar os sites usados nesse tipo de golpe e compartilhar informações sobre a prática, a Digital PhishNet foi criada para estabelecer uma linha de comunicação entre a indústria e a justiça. O grupo auxiliará na execução das leis criminais, colhendo e fornecendo dados para processar os responsáveis.

Uma das funções da associação é localizar os Web sites usados e identificar a origem dos e-mails em forma de spam. Também foi criada uma aliança entre os governos estaduais e federal e agências de execução de leis locais para identificar e prender rapidamente os suspeitos de fraudes do tipo phishing.

Para evitar que sejam detectados, normalmente os phishers mantêm os sites fraudulentos, que armazenam as informações de suas vítimas, por dois dias, em média. "A chave para parar a ação dos fraudadores e trazê-los à justiça é identificá-los e agir rapidamente”, disse Dan Larkin, chefe de unidade do Crime Complaint Center (IC3) do FBI.

Para ele e outros envolvidos na associação, a Digital PhishNet é uma resposta a este tipo de fraude online, já que facilita a coleta de dados e estabelece uma ligação direta com a execução da lei, antes que o phisher tenha tempo de recorrer ao anonimato da Internet.

9/12/2004 - 17:52 Redação InfoGuerra

O banco norte-americano SunTrust foi novamente usado em golpes de phishing devido a uma brecha em seu site. O problema foi explorado de forma a que os clientes acessassem, a partir do site legítimo do banco, um falso formulário hospedado preparado para capturar detalhes das autenticações bancárias.

De acordo com a NetCraft, pelo menos um fraudador já explorou este erro e enviou um grande número de e-mails em nome da instituição bancária, solicitando que o cliente confirmasse seus dados no formulário.

Como o endereço eletrônico acessado corresponde ao legítimo, é mais convincente que os normalmente aplicados em golpes de phishing. Uma das páginas do banco possui uma falha, que permite inserir parâmetros indevidamente codificados e injetar códigos HTML arbitrários, os quais serão processados pelo navegador.

O golpe é sofisticado. Depois que o cliente acessa o endereço especialmente preparado, fornecido numa mensagem e executado no site do SunTrust Bank, é carregado um programa Javascript criado pelos golpistas e hospedado em um servidor coreano. O Javascript altera o título da página para “Suntrust Online Banking - Account Verification” e ajusta a barra de status do navegador para “Suntrust Online Banking”, impedindo, que URLs suspeitas sejam visualizadas quando a vítima apontar o cursor do mouse sobre um link.

Um elemento “IFRAME” (usado em documentos no formato HTML), então, introduz um formulário na página. Nele, o cliente deve digitar dados pessoais, como número do seguro social e operação bancária. Assim que o usuário envia o formulário, este é processado por um script PHP, que permite ao atacante capturar os detalhes do cliente.

Em setembro, o Web Site do banco SunTrust também foi usado para um ataque similiar. Uma brecha no site permitiu que phishers explorassem um frame (quadro) em sua estrutura HTML para mostrar o texto de uma página desenvolvida para capturar os dados sigilosos de suas vítimas.

Leia também:

Brecha em site de banco possibilita ataque de phishing

Phishing scams podem usar falhas de programação de sites

Grandes sites da Internet estão vulneráveis a ataques

9/12/2004 - 16:59 Redação InfoGuerra

Foi encontrada uma vulnerabilidade que atinge múltiplos navegadores, incluindo os mais populares entre os usuários. Classificada como crítica moderada pela Secunia, a falha pode ser usada para ludibriar o internauta ao apresentar falsas informações em sites considerados seguros.

Conforme os alertas da Secunia, a falha pode ser explorada remotamente quando um usuário estiver com mais de uma aba ativa em seu navegador. Caso uma delas pertença a um site malicioso, este poderia seqüestrar e injetar um determinado conteúdo em janelas do tipo pop-up pertencentes a um site legítimo, sem que o usuário perceba o ocorrido.

Estão vulneráveis os navegadores Microsoft Internet Explorer (versões 5.01, 5.5 e 6, mesmo com o XP Service Pack 1 e 2 instalados); Mozilla (1.7.x e anteriores); Firefox (todas as versões), Opera (7.x); Netscape (7.x); Konqueror (3.x); e Safari (1.x).

A Secunia preparou uma demonstração de exploração desta vulnerabilidade, inclusive para navegadores que estejam com bloqueador de pop-ups habilitado. A demonstração simula uma ação maliciosa no site do Citibank. O site brasileiro TotalSecurity adaptou esta simulação para o português usando o site da Globo.com como exemplo.

Como ainda não existem correções disponíveis, o conselho é para que os usuários desabilitem a função Javascript dos navegadores, ou evitem acessar sites confiáveis e duvidosos ao mesmo tempo.

9/12/2004 - 15:07 Redação InfoGuerra

Dois importantes sites do governo sofreram um ataque nesta semana e foram desfigurados, segundo imagens registradas por Zone-H.org. As páginas iniciais dos sites do Ministério Público da União e da Procuradoria Geral da República foram substituídas por outras com fundo branco, pichadas com críticas às promessas feitas por políticos brasileiros.

Os ataques partiram do grupo de defacers (desfiguradores de sites) brasileiro Perfect.Br. Os atacantes afirmam, em mensagem enviada a InfoGuerra, que após a alteração das páginas a brecha de segurança foi "fechada" e os administradores dos sites foram notificados por e-mail. O grupo, porém, não informou qual foi a vulnerabilidade explorada.

A imagem do ataque contra o site da da Procuradoria Geral da República pode ser vista aqui. Já a do que atingiu o site do Ministério Público da União está registrada aqui aqui.

8/12/2004 - 15:45 Redação InfoGuerra

Fazer download de arquivos da Internet é uma tarefa corriqueira e muitas vezes necessária para muitos usuários de computador, mas requer alguns cuidados para não se inserir na máquina arquivos indesejados ou maléficos. E quanto mais arquivos você baixar e instalar, maior será a chance de que, no meio deles, haja algum perigoso. Para reduzir os riscos ao mínimo, você encontra, abaixo, um roteiro com os principais cuidados ao se fazer donwloads:

8/12/2004 - 14:35 Redação InfoGuerra

Um e-mail contendo uma falsa cópia do protetor de telas “Make Love Not Spam” (Faça Amor, não Spam), desenvolvido pela Lycos Europe para combater o envio de mensagens não solicitadas, está sendo distribuído pela Internet. O falso programa, na verdade, é um cavalo-de-tróia usado para registrar tudo o que é digitado no computador da vítima.

O e-mail chega com o assunto “Be the first to fight spam with Lycos screen saver” (Seja o primeiro a lutar contra o spam com o screensaver da Lycos) e o arquivo anexo recebe o nome de “Lycos screensaver to fight spam.zip”. De acordo com a Sophos, esse arquivo contém o Troj/Mdrop-IT, um keylogger (programa que monitora e registra a digitação) que pode enviar mensagens a um endereço de e-mail na Indonésia. O falso protetor de telas oferecido, ao ser executado, exibe uma tela em branco.

Desde seu lançamento, no final de novembro, o site “Make Love Not Spam” gerou uma série de controvérsias. O protetor de tela gratuito surgiu da idéia de contra-atacar locais reconhecidos como distribuidores de spam, como sites e provedores. Ele usava o tempo ocioso dos computadores conectados à Internet para gerar excesso de tráfego contra tais locais previamente listados no programa, tornando-os lentos e com possibilidade de deixá-los inacessíveis.

Considerado como um ataque de negação de serviço (DoS), algumas empresas de segurança questionaram a sua legalidade e aconselharam os usuários a não instalarem o programa em suas máquinas.

Como uma possível resposta dos spammers, o site teve sua página inicial desfigurada, conforme cópia publicada no blog da F-Secure. Depois disso, a Lycos retirou o acesso para o download de seu protetor de telas.

8/12/2004 - 14:05 Redação InfoGuerra

A Microsoft publicou na semana passada o boletim MS04-040, contendo a correção para uma vulnerabilidade no navegador Internet Explorer 6, descoberta em novembro e considerada crítica. O problema, que permite a execução remota de códigos arbitrários no sistema, foi explorado pelo worm Bofra e em recentes ataques a visitantes de sites que hospedavam banners publicitários em suas páginas.

A brecha de segurança ocorre no tratamento de alguns atributos dos elementos “FRAME” e “IFRAME”, utilizados em documentos no formato HTML, e pode provocar um estouro de buffer (memória temporária) no Internet Explorer. Ao ser explorada, por meio de páginas da Web ou mensagens de e-mail em formato HTML, permite a execução do código malicioso com os privilégios do usuário que estiver utilizando o navegador no momento do ataque.

A falha foi usada no início de novembro pelas variantes A e B do worm Bofra, disseminadas por meio de mensagens não solicitadas, contendo referências a imagens pornográficas ou informações sobre o serviço de pagamentos PayPal.

Já no final de novembro, um código malicioso conhecido como Exploit IFrame/Bofra foi usado para contaminar máquinas de visitantes de sites que hospedam banners. Quando o usuário clicava em um desses banners, era automaticamente redirecionado para um servidor Web contendo o código malicioso e seu sistema era infectado. Na época, a empresa de segurança Vitalsecurity.org declarou que o ataque poderia estar sendo usado para formar uma botnet (rede de computadores zumbis) para ataques posteriores.

Conforme o boletim MS04-040, a atualização corrige o problema existente no Internet Explorer 6 e é cumulativa, isto é, contém todas as correções publicadas anteriormente para o navegador. Sistemas Windows XP com o Service Pack 2 instalados não são afetados pela vulnerabilidade. A Microsoft aconselha a atualização imediata.

Leia também:

Falha grave no IE ainda não tem correção

Novo worm Bofra explora falhas recentes do IE

Banners maliciosos exploram falha do Internet Explorer

Ataques recentes podem estar criando rede de PCs zumbis

7/12/2004 - 19:01 Redação InfoGuerra

O jovem Guilherme Amorim de Oliveira Alves, de 19 anos, condenado pela Justiça Federal a mais de seis anos de prisão por aplicar golpes contra correntistas de bancos com o auxílio da Internet, foi um dos aprovados no curso de Direito da Universidade Católica Dom Bosco (UCDB), no Mato Grosso do Sul.

Conforme nota do jornal Correio do Estado, de Campo Grande, o jovem, que cumpre pena no presídio de Corumbá, recebeu autorização da Justiça para prestar as provas de seleção, mediante escolta ao local dos exames. A informação foi confirmada por InfoGuerra junto ao Fórum de Corumbá e à comissão do vestibular da UCDB. Na lista de aprovados do concurso, divulgada ontem pela universidade, consta o nome de Guilherme, para o curso de Direito, período noturno, na unidade de Corumbá.

O juiz federal Roberto Ferreira Filho, do Fórum de Corumbá, que emitiu a autorização, disse, por intermédio de sua assessora, que só permitiu que o preso prestasse vestibular para não cercear seu direito aos estudos, mas afirmou que não poderá autorizar o jovem a cursar a universidade normalmente enquanto ele cumprir pena em regime fechado. Guilherme só poderá continuar os estudos caso consiga autorização do Tribunal de Justiça de São Paulo para comutar a pena para regime semi-aberto.

Guilherme Amorim foi detido pelas autoridades federais no dia 20 de fevereiro de 2003, em Petrópolis, no Rio de Janeiro. No último dia do ano, foi condenado por crimes contra o sistema financeiro nacional, estelionato e formação de quadrilha. Apontado como líder da quadrilha, ele e os demais integrantes enganavam os correntistas criando falsas páginas bancárias.

A técnica principal consistia em invadir provedores vulneráveis e redirecionar, no servidor de nomes do provedor, o endereço eletrônico de um banco para o IP de uma máquina sob controle dos golpistas. Informações da época indicavam que a quadrilha teria roubado mais de R$ 3 milhões de contas do Banco do Brasil, Caixa Econômica Federal, Itaú e Bradesco. Com os golpistas também foram encontradas senhas de cartões de crédito de mais de 3,5 mil clientes.

Em junho de 2002, o adolescente já havia sido preso por fraudes contra o sistema bancário e sites de leilões, mas foi solto pouco tempo depois, beneficiado por um habeas-corpus.

Leia também:

Líder de quadrilha na Internet é condenado a 6 anos de prisão

Presa quadrilha que fraudava contas bancárias pela Internet

7/12/2004 - 4:32 Redação InfoGuerra

A página principal do serviço Picasa, usado para gerenciamento de imagens digitais e adquirido em meados deste ano pelo grupo Google, foi alterada no sábado, por um defacer (desfigurador de sites) brasileiro, de acordo com o site Zone-H. Uma cópia do ataque mostra a página "picasa.google.com/picasa" com fundo branco e os dizeres: “Xfaulz again!”

O Zone-H afirma que Xfaulz usou um dos exploits (programas) disponíveis na Internet para explorar uma vulnerabilidade existente no software phpBB2, usado para administração de fóruns de discussão online. O bug, relatado no início de outubro, permite que terceiros injetem comandos SQL (Structured Query Language) nos campos dos formulários usados pelo banco de dados do programa e executem códigos PHP, como uma página, por exemplo.

Em 18 de novembro, a equipe de desenvolvimento do phpBB publicou uma atualização do programa, a versão 2.0.11, que corrige o problema. O anúncio alertava administradores de Web sites para que atualizassem rapidamente a versão usada.

Este foi o primeiro ataque digital bem-sucedido registrado pelo Zone-H contra a Google Inc. O site afirma, porém, que o servidor que hospeda o Picasa não faz parte da rede da empresa.

1/12/2004 - 13:18 Redação InfoGuerra

A página principal do site da fabricante de software SCO Group foi duplamente desfigurada no final de semana, durante o feriado de Ação de Graças nos Estados Unidos. A empresa tornou-se alvo constante de ataques desde que iniciou uma batalha judicial contra o Linux por violação de direitos autorais.

Na primeira alteração, que podia ser vista no domingo à noite, o título “Red Hat v. SCO" (Red Hat contra SCO), normalmente exibido no site, foi substituído por "SCO vs World" (SCO contra o Mundo), seguido de um falso comunicado em nome da companhia. O texto afirmava que a empresa teria encontrado parte de seu código-fonte em vários programas desenvolvidos pela Microsoft e que seu departamento jurídico já estaria tomando providências legais sobre o assunto. Uma cópia da imagem, registrada pelo site Zone-H, pode ser visto aqui.

No entanto, na manhã de segunda-feira, a página principal do site da SCO apresentava novas modificações. Uma imagem contendo o texto "WE OWN ALL YOUR CODE. Pay us all your money" (Nós possuímos todos os seus códigos. Pague-nos com todo o seu dinheiro) substituiu o texto anterior. Como plano de fundo, a mesma imagem usada no site oficial da SCO, mas desta vez havia a figura de uma professora escrevendo em um quadro-negro a frase “Hacked by realloc”, indicando a autoria do ataque. Uma cópia da imagem deste ataque pode ser vista aqui.

Conforme a NetCraft, ainda não se sabe se o ataque deste final de semana está relacionado com recentes instabilidades constatadas no site da SCO. Em 22 de novembro, o site principal do grupo esteve inacessível por um longo período de tempo, afetando tamém diversos domínios relacionados à empresa.

A página principal do endereço www.sco.com só voltou ao normal com a reativação do domínio alternativo www.thescogroup.com. Este mesmo endereço foi usado durante o ataque de negação de serviço provocado pelo worm MyDoom.A, em fevereiro de 2004, que manteve o endereço oficial da empresa fora do ar durante um mês. Na época, a SCO chegou a oferecer uma recompensa de US$ 250 mil pela identificação dos autores do worm.

Leia também:

Vírus mais rápido de 2004 ataca site da SCO

SCO oferece US$ 250 mil por criadores do MyDoom

1/12/2004 - 13:14 Redação InfoGuerra

Foi encontrada uma vulnerabilidade no Microsoft Windows Internet Naming Service (WINS), que pode permitir que um atacante remoto execute um código arbitrário ou cause uma condição de negação de serviço (DoS) no sistema afetado. A Microsoft emitiu um comunicado com instruções para contornar o problema até que seja lançada uma correção.

O WINS é um serviço que gerencia a resolução de nomes dos computadores colocados em rede, associando-os aos seus respectivos endereços IP (Internet Protocol). De acordo com um boletim da US-CERT, o protocolo de replicação do serviço contém uma vulnerabilidade que permite a terceiros obterem o controle de um servidor de WINS. Caso um atacante remoto envie um pacote especialmente preparado, poderia escrever dados arbitrários no processo de memória do servidor e, então, executar códigos arbitrários maliciosos com os mesmos privilégios do usuário, ou causar negação do serviço.

A brecha de segurança, descoberta por Nicolas Waisman, da empresa ImmunitySec, afeta o Microsoft Windows Server 2003 nas versões Standard Edition, Web Edition, Enterprise Edition e Datacenter Edition. Também foi comprovada no Windows 2000 versões Advanced Server, Datacenter Server e Server e no Windows NT Server 4.0 Terminal Server e 4.0 Standard Edition.

Como ainda não existe correção para o problema, a Microsoft aconselha os usuários do serviço a filtrarem o acesso remoto das portas TCP/42 e UDP/42, usadas para a conexão com os servidores WINS. Outra alternativa seria desativar o serviço ou usar IPsec (Internet Protocol security). A empresa também explica em seu relatório que o serviço não vem instalado por padrão em nenhum dos sistemas afetados e o problema ocorre apenas entre servidores.