28/3/2001 - 2:00 Giordani Rodrigues

Hoje inauguramos uma série especial de InfoGuerra. Iremos chamá-la simplesmente de "Submundo". Os "episódios" da série não têm freqüência fixa, nem número exato de chamadas, mas alguns artigos já estão previstos. Traremos, digamos, curiosidades do mundo hacker: páginas do governo que estão invadidas há meses sem modificação, domínios "hackeados" que chamaremos de "falsos cognatos" (parecem ser uma coisa, mas são outra), concurso dos "melhores defacements", e outras.

Para começar a seção, apresentamos Evil Angelica. Não sei exatamente de que país ela é, mas possui algumas particularidades. A começar pelo fato de (aparentemente) ser mulher, o que é raro entre os grupos. Mas ela também tem uma característica marcante: o bom humor, beirando o cinismo.

Na segunda-feira mesmo, fez mais uma das suas. Desfigurou um site de segurança de sistemas chamado Security Cameras Online e publicou uma brincadeira com "Bob, the 'ethical' burglar", ou "Bob, o arrombador ético". Ele não gosta do termo arrombador e prefere ser chamado de "verificador de segurança". A exemplo dos hackers que penetram em um sistema sob o pretexto de alertar para a falha de segurança, Bob penetra nas casas com o mesmo intuito.

"Primeiro eu arrumo a bagunça que fiz, então deixo uma nota aos moradores da casa dizendo o quanto eu lamento por arrombá-la e que eu não olhei nenhum de seus objetos pessoais. Então eu dou a eles meu número de telefone, caso eles queiram saber como proteger seu lar. Ao sair, eu coloco uma nova tranca na porta por onde entrei." Mesmo assim, Bob é incompreendido. "É a vida", ironiza Evil Angelica. O espelho do Attrition pode ser visto aqui.

É claro que isso não é um protesto. É, como disse, uma atitude cinicamente bem-humorada. Angelica tem outros exemplos: no mesmo dia, desfigurou um site de uma lavanderia e brincou com os orientais, escrevendo várias palavras com letras trocadas, coisas como "I liek (like) milk". Veja.

No final do ano passado, ela desfigurou o site de uma empresa de hospedagem de domínios, Easy Hosts, e fez piada com um conhecido grupo hacker brasileiro. Diz o texto, em tradução livre:

"Eu estava pensando... não seria uma boa idéia codificar um vírus para se espalhar pelo Windows dos PCs, checando cada drive à procura de index.htm, então automaticamente mudando-o para sua própria versão com uma logo simples e texto aleatório de seu pequeno banco de dados interno? Um programa que passa desperbebido, sendo eficaz, poderia varrer milhares de Windows por dia. Talvez pudesse até mandar um e-mail para o Attrition toda vez que mudasse uma página. Oh, meu Deus, mas claro! Isto já foi feito. O worm Prime Suspectz!!" Veja o espelho.

No último Natal, ela fez uma oferta especial. Daria uma chance a qualquer script kid que quisesse fazer um defacement, mas que não possuísse talento para tanto ou tivesse medo de ser preso. Era só escrever-lhe, mandando uma página pronta, com assinatura e tudo o mais, que ela invadiria um site e colocaria tal página no lugar. O "lamer" poderia vangloriar-se do ato como se fosse seu e ninguém ficaria sabendo. Não se sabe também se isso aconteceu. Veja seu presente de Natal.

Um de seus protestos políticos refere-se à disputa da região de Caxemira, envolvendo os indianos. Na página da Hope Recordings ela colocou a figura de um índio americano e os dizeres, em inglês, "indianos saiam de Caxemira!". O espelho está aqui. Quem quiser conferir outros espelhos dessa hacker bem-humorada, pode acessar o arquivo de Alldas.

27/3/2001 - 2:00 Giordani Rodrigues

No mês passado, o site de segurança brasileiro Securenet foi invadido e desfigurado. O fato foi noticiado e muita gente soube do ocorrido. Mereceu até uma nota do Attrition, que comentou que "é sempre irônico quando uma companhia ou site de segurança é desfigurado" e que a equipe "aguarda o dia em que fará o mirror do próprio defacement". O que permaneceu longe do conhecimento do grande público foi o que se seguiu ao ato — uma guerra no "underground".

Psaux, o jovem responsável pela desfiguração, deixou uma mensagem na página principal do Securenet, acusando os "hackers" brasileiros de serem incompetentes. Apesar de também ser brasileiro, ele faz parte de um grupo composto por americanos, canadenses e europeus, o Hackweiser. Isto gerou um conflito que dura até hoje.

Desde o episódio, páginas foram publicadas com uma (suposta) foto sua, ofensas foram escritas contra ele. Mas Psaux não deixou por menos e invadiu outros endereços, publicando mais críticas, dirigidas a seus detratores. Até uma nova mensagem foi deixada para o Securenet ("espero que vocês parem de blefar, e nos esqueçam. Isso é caso perdido, e se vocês continuarem com a guerra, só vocês têm a perder).

InfoGuerra publica com exclusividade uma entrevista feita com Psaux, uma figura um tanto arredia, que mora em Salvador. Ele já foi chamado de "hacker apaixonado" em algumas reportagens, porque invadiu centenas de sites de uma só vez, deixando uma mensagem de amor para sua namorada.

Foi difícil encontrá-lo (ao contrário da maioria, ele não deixa seu e-mail nas desfigurações). Mas, a partir do momento em que resolveu dar a entrevista online, em um canal de IRC, não poupou respostas e autorizou a publicação de todas elas.

Leia abaixo sua opinião sobre os chamados grupos hackers nacionais, seus motivos ao desfigurar o Securenet, e uma surpreendente auto-análise (ele próprio não se considera hacker, e sim um "pichador virtual").

Atenção: alguns endereços citados nesta estrevista contêm palavrões. Se você se incomoda com eles, não clique nos links.

InfoGuerra - Por que você desfigurou o Securenet?

Psaux - Porque eu quis. Muitos pensavam que era impossível e eu mostrei que não era.

InfoGuerra - Havia algum problema pessoal com o Thiago Zaninotti (editor do site)? Você o citou nominalmente, pelo seu apelido, c0nd0r, e ainda colocou uma mensagem oculta no código da página dizendo que tinha feito isso porque ele era lamer (gíria que tem o sentido de "amador" no mundo hacker) e gay.

Psaux - Não, não houve motivos pessoais. Quanto à mensagem oculta, aquilo foi uma brincadeira, até porque não tenho nada contra gays.

InfoGuerra - Por que você chamou os hackers brasileiros de incompetentes? Você escreveu: "so, ‘brazilian hackers’ don't have skill".

Psaux - Eu chamei [de incompetentes] os pseudo-hackers brasileiros. Aqueles que se autodenominam "brazilian hackers" nos sites de mirrors. Para isso usei aspas.

InfoGuerra - Mas o pessoal ficou bastante ofendido, tanto que foram publicadas mensagens ofensivas a você, ironias em sites como Insecurenet, páginas foram desfiguradas nos EUA, falando mal dos americanos e de seu grupo, etc.

Psaux - Se a carapuça serviu, é porque são lamers mesmo.

InfoGuerra - Defacements desse tipo continuam acontecendo. Um dos mais recentes foi a invasão ao Instituto de Planejamento Urbano de Florianópolis, feito por Reflux.

Psaux – Normal. E eu não sei quem é esse Reflux.

InfoGuerra – Mas ele citou um endereço em que consta uma foto sua, dados pessoais, etc.

Psaux - Eu pensei que eles estivessem falando mal do g0t-milk. Porque vi a foto do g0t-milk numa página aí, dizendo que era eu.

InfoGuerra - A foto não é sua?

Psaux - Essa foto não é minha, não. É do g0t-milk da Efnet, líder do ph33r the b33r.

InfoGuerra - E o telefone também não é seu?

Psaux – Não, se quiser comprovar pode telefonar, o código de Salvador é 71, ali é 75, código do interior.

InfoGuerra - E o nome Igor Pereira?

Psaux - Também não. Igor é o nome do Kewron, e nem é Pereira, eu acho. Houve alguma confusão.

InfoGuerra - Você tem idéia de quem foi o autor dessa página?

Psaux – Não, ninguém assinou, portanto nem dei atenção.

InfoGuerra - Dizem que o Kewron não queria que você colocasse o nome dele no defacement do Securenet e você colocou. Isso é verdade?

Psaux - Não. Se ele não quisesse, não sairia falando do defacement para todo mundo.

InfoGuerra - Você não se incomodou com as críticas?

Psaux - Quanto aos protestos, fiquei feliz, porque isso mostra a todos que não somos iguais. Críticas vindas de quem não tem habilidade? Não, não. Por que me incomodaria?

InfoGuerra - Porque você desfigurou um site brasileiro e colocou várias mensagens falando do Insecurenet, do f0ul e do KTX (do grupo Silver Lords) e novamente do Securenet. O mirror está em http://defaced.alldas.de/mirror/2001/03/03/www.coopera1.com.br.

Psaux - Porque eles estavam falando asneiras a meu respeito. O Insecurenet, quando desfigurei o Securenet, pediu uma entrevista, eu não cedi. Esse deve ter sido o problema deles. Sem contar que alguns membros do Insecurenet são os mesmos do Anti-Security Hackers. Eles vestiram a carapuça. Quanto aos outros, disse aquilo porque são lamers e estavam falando asneiras também.

InfoGuerra - O Securenet enviou um e-mail depois do defacement, desculpando-se pela interrupção dos serviços e dando algumas explicações, entre elas, a seguinte: "após todo o procedimento de ‘forensics’, detectamos as evidências necessárias para uma investigação criminal, entregando as informações consolidadas às autoridades". Você não teme um processo judicial por causa disso, ou mesmo ser preso?

Psaux - Não. Primeiro porque eles não têm prova alguma. Não têm como provar que fui eu. Segundo porque no Brasil não há leis específicas que poderiam enquadrar alguém por esse ato. E se eu disser agora que eu não fiz o defacement no Securenet? Pronto. Não fui eu que fiz.

InfoGuerra – Bem, o pessoal do Inferno.br foi preso no ano passado...

Psaux - Não, eles foram encontrados, não foram presos.

InfoGuerra - Mas estão respondendo a um processo.

Psaux - Eu não sabia disso, mas mesmo assim não tenho medo. Menor ser preso no Brasil é novidade pra mim.

InfoGuerra - Qual é a sua idade?

Psaux - Eu sou menor.

InfoGuerra - Você não gostaria de dizer sua idade?

Psaux - Seria necessário?

InfoGuerra - Necessário, não, mas não vejo problema em você dizer.

Psaux - Eu sou menor. Isso basta.

InfoGuerra - Você se considera melhor do que os outros hackers brasileiros, já que você desfigurou o Securenet, que parecia impossível? Ao menos você afirmou que os outros achavam impossível.

Psaux - Hackers? Quais hackers? Melhor em que sentido? Do que os verdadeiros hackers brasileiros ou os pseudos? Os pseudos são aqueles que aparecem nos sites de mirrors, geralmente em grupinhos, desfigurando caixas NT ou explorando vulnerabilidades idiotas de Linux e não sabem sequer recompilar um kernel. Eu acho que esses aí não teriam capacidade para desfigurar o Securenet e se o fizessem já teriam sido descobertos. Eu não questiono se eles desfiguram muitas páginas. Questiono se eles têm mesmo conhecimento do sistema.

InfoGuerra - Existe alguém ou algum grupo no Brasil que você considera hackers verdadeiros?

Psaux - Sim, existem alguns brasileiros muito bons, como é o caso do prórprio c0nd0r, do Securenet. Existem muitos que não são "hackers" mas têm muito conhecimento.

InfoGuerra - O c0ndor é hacker ou um especialista em segurança?

Psaux - Isso não importa. Eu sei que ele tem conhecimentos profundos na área de segurança e sistemas operacionais. Não gosto muito do termo "hacker". Isso é coisa para filmes de ficção. Há dois tipos de pessoas: as que "conhecem" e as que "não conhecem". Alguns "conhecem", outros não (a maioria).

InfoGuerra - Você se considera um verdadeiro hacker? Você "conhece"?

Psaux - Eu não sou hacker. Eu trabalho na área e acho que tenho o conhecimento necessário para trabalhar e não ficar atrás no mercado.

InfoGuerra - Você trabalha na área de segurança de sistemas? Em uma empresa?

Psaux - Sim.

InfoGuerra - E você estuda também?

Psaux - Estudo sim.

InfoGuerra - Você disse que não gosta muito do termo hacker. Como você chamaria quem desfigrua páginas na internet?

Psaux - Defacer, "desfigurador" ou "pichador virtual", tanto faz.

InfoGuerra - Então você é um defacer, ou um pichador virtual?

Psaux - Se eu desfiguro páginas, eu sou.

InfoGuerra - De onde vem o seu nick? o que é psaux?

Psaux - Pode ser de /dev/psaux ou a junção de ps aux. /dev/psaux é o device de mouses ps2 no Linux; ps é o comando para listar processos ativos e aux uma sintaxe.

InfoGuerra - Por falar nisso, qual foi a brecha de segurança que você encontrou no Securenet e o exploit usado?

Psaux - Não sei. Como eu disse, eu não invadi o servidor do Securenet.

InfoGuerra - O pessoal está chamando você de psux ("sux" é uma gíria que significa que algo não presta). Isso não o incomoda?

Psaux - Incomodar? Por quê? Acho que ser "sux" para eles é uma coisa legal. Mostra que sou o oposto deles.

InfoGuerra - Em nenhum momento você se arrependeu do defacement do Securenet? Se por um lado você demonstrou capacidade, por outro ganhou vários inimigos no Brasil, não é?

Psaux - Não me arrependi não. Hoje meus inimigos não têm força e eu só me divirto.

InfoGuerra – Você já conversou com o c0nd0r depois disso? Aliás, você conversava com ele antes? Você o conhece?

Psaux - Eu não conversei, e não tenho amizade com ele, não.

InfoGuerra - Há rumores de que você foi expulso do Hackweiser e que estaria com planos de entrar para o Silver Lords. Isso é verdade?

Psaux - Mentira. Eu ainda estou no Hackweiser. Estou querendo sair, vou me afastar de defacements. Vou usar meu tempo para outra coisa. Eu nunca entraria no Silver Lords.

InfoGuerra - O Hackweiser só tem você e o Igor, digo, Kewron, de brasileiro, não é? O resto do pessoal é formado por canadenses, americanos e europeus. É isso? Quantas pessoas fazem parte do grupo?

Psaux – Sim, é isso. E 11 pessoas fazem parte do grupo.

InfoGuerra - Por que alguém desfigura páginas, ou melhor, porque você o faz? Qual o objetivo e a sensação ao se fazer isso? É uma viagem de poder?

Psaux - Eu desfiguro porque gosto que as pessoas leiam o que eu quero falar. Se você me der um programa no horário nobre da TV ou uma página numa revista para eu escrever, eu paro de desfigurar.

InfoGuerra - Então você não usa a desculpa de alertar para a segurança dos sistemas?

Psaux - Claro que não. Se eu quisesse alertar eu não enviava os defacements para sites de mirrors. Somente o administrador precisaria saber.

25/3/2001 - 2:00 Rodrigo Sais

Para ler outros capítulos, clique nos links abaixo:

Capítulo 1

Capítulo 2

Capítulo 4

Aquela noite, Lila teve dificuldades para pegar no sono. Sua cabeça queimava tanto quanto os lençóis, e passou várias horas rolando de um lado para outro na cama, alternando entre a vigília e o sono. Via-se andando por um longo corredor, com a parede pintada de lilás, pichada com nomes de estranhos. Sabia que estava sendo perseguida, mas não sabia por quem ou o quê. Todas as portas a sua frente estavam trancadas, e a cada vez que ela tentava abri-las, ouvia a voz de Leonardo gritando: "Lila, você não é bem-vinda aqui!" Várias vozes estridentes faziam coro à dele, e Lila sentou-se na cama, num sobressalto. Eram 9h30, e a algazarra da criançada da escola ao lado soava forte nos seus ouvidos.

Estendeu a mão, e bebeu um pouco da água. Aquele arremedo de sono havia deixado Lila ainda mais cansada do que antes. Deitou-se com os braços paralelos ao corpo, e tentou relaxar, com alguns movimentos simples de Yoga. Quando o sinal da escola anunciou o fim da diversão da molecada, Lila conseguiu finalmente adormecer, e logo já estava embarcada em um sono profundo.

***

Quando Lila despertou de sonhos irrequietos, percebeu que havia se transformado em um tenebroso bug. Tentou mover-se, mas suas pernas não obedeciam. Forçou a vista para ver o que acontecia, e ficou apavorada. Suas pernas haviam se atrofiado, e as suas belas coxas haviam se transformado em pouco mais que um fiapo de carne sobre os ossos. De suas mãos saíam aparatos semelhantes a luvas, com cerca de dez tentáculos de metal em cada, que ela conseguia mover apenas com o pensamento. Tentou gritar, mas parecia que sua boca havia sido cimentada (e se Lila pudesse ver seu rosto, veria que suas pupilas estavam extremamente dilatadas, e que não havia vestígio nenhum de sua boca — apenas uma carne mole e enrugada). Sentia que de sua cabeça pendiam fios, que se espalhavam e emaranhavam pela sala, conectando-se à televisão, ao seu aparelho de som, ao abajur, enfim, a qualquer aparato eletrônico nas redondezas. Não podia ver, mas um cabo elétrico grosso saía de sua nuca e conectava-se à tomada através de um no-break. Tentou arrancar os fios, mas, à menor menção de movimento, seus braços reagiram com dores, como se seus tendões estivessem sendo rasgados e suas articulações esmagadas a marteladas.

Depois de alguns momentos de desespero e choro, Lila acalmou-se. Apesar de não sentir suas pernas, sentia claramente os aparelhos eletrônicos, como se fossem parte dela mesma. Esforçou-se mentalmente e conseguiu ligar a televisão, mas quando tentou mudar de canal, um clarão tomou conta da tela, e um estranho cheiro de queimado encheu o quarto. A cena repetiu-se várias vezes: abajur, som, despertador, tudo entrava em pane quando Lila concentrava sua atenção sobre eles.

Foi quando percebeu que na sua barriga repousava... um laptop. Totalmente no escuro, Lila concentrou-se, e hábeis tentáculos abriram e ligaram o computador. Uma iluminação esverdeada tomou conta da sala, e as pupilas de Lila voltaram ao tamanho normal. Uma sensação de calma e conforto tomou conta de Lila, enquanto ela digitava a uma velocidade impressionante os dados pedidos pelo computador.


Quando o sistema incializou-se, Lila observou com espanto que o papel de parede exibido era, na verdade, uma réplica perfeita da Lila original. O papel de parede parecia mover-se conforme os desejos de Lila; se ela tentava mexer seus resquícios de pernas, seu alter ego virtual começava a andar. Mexeu os braços, imaginou-se pulando, e ficou feliz. Mas, no momento em que Lila preparava-se para dar uma gargalhada, uma estranha mensagem iluminou o computador.


Lila sentiu uma dor lancinante percorrendo-lhe toda a espinha, e um zumbido estridente vindo de sua nuca. O laptop desligou automaticamente, e Lila sentiu um frio apoderar-se de todo o seu corpo até que, finalmente, desmaiou.

Quando Lila voltou a si, percebeu que estava em sua cama, sentada com as mãos atrás da cabeça, e ainda podia ouvir os ecos de seu próprio grito reverberando pela casa. Deveria ser cerca de cinco e meia da tarde, e as buzinas misturavam-se aos gritos dos alunos da tarde, que comemoravam o fim das torturas que o sistema público de ensino lhes administrava.

Lila levantou-se de um pulo, e sentiu uma vertigem, além de formigamento nas pernas. Precisava comer algo, e com certa urgência. Tinha a nítida sensação de que seu estômago decidiu agir por conta própria e que estava atacando os órgãos vizinhos com voracidade. Mas, antes de mais nada, precisava falar com alguém. Sentia o coração pesado como pedra. Seu primeiro instinto foi ligar para Leonardo, mas as lembranças do dia anterior encheram sua mente. De pedra, seu coração passou para chumbo, pressionando ainda mais seu estômago e aumentando sua vertigem.

Quase sem perceber, já havia se trocado e estava indo bater à porta de Shira. Podia sentir um cheiro de comida, e se alegrou. Isso queria dizer que Shira estava ali, e, melhor ainda, tinha comida pra ela. Talvez shitakes, que ela adorava. Ou tempurá. Depois de alguns segundos batendo, Shira abriu a porta, vestindo um roupão. Quando viu Lila, um sorriso se abriu, mas logo fez uma cara estranha.

— Lila! Nossa, que cara...

— Nossa, Shira, preciso te contar de um sonho que eu tive...

— Só um pouquinho. Tenho que desligar o fogão. Tô fazendo um missô.

— Pô, Shira, só tem sopa? Não tem nada mais sólido pra comer?

— Tem aqui umas torradas...

— Ah, quero sim. Traz com a sopa, por favor?

Shira voltou pra cozinha, e Lila sentou-se em um pufe. Gostava muito de Shira, que sempre a ajudava quando ela estava em apuros, fato que ocorria com mais freqüência do que ela gostaria. Mas essa mania de comida saudável irritava Lila sobremaneira. Olhando o que se passava na cozinha, viu que Shira estava arrumando seu roupão, e preparando-se para pegar os pratos.

— Ô, Shira, você tava cozinhando pelado?

— Claro que não! - respondeu Shira.

E depois, acrescentou:

— Eu estava de cuecas.

Lila deu a sua primeira risada após o pesadelo, e quando viu sua terrina vindo com a sopa, ficou ainda mais contente. Começou a comer e contar seu sonho a Shira, que havia se sentado numa esteira perto à janela.

Lila contava as coisas atropeladamente, repetindo descrições e explicando tudo com muitos detalhes, pois o sonho ainda estava fresco em sua mente. Parava só para morder as torradas, ou tomar um pouco da sopa, ou os dois ao mesmo tempo. Shira ouvia tudo, com olhos fixos nela. Parecia estar pensativo e preocupado.

Quando Lila finalmente terminou seu relato, olhou ansiosa para seu amigo. Ele permanecia em silêncio, mas ela sabia que em breve ele falaria algumas palavras amigas para confortá-la. Alguma filosofia oriental, decerto.

— Porra, Lila, você tá ficando maluca.

Lila não escondeu a decepção do seu rosto. De certa forma, esperava que Shira pudesse decifrar o significado do seu sonho, ou apenas acalmá-la. Mas, lembrou-se que Shira não era nenhum super-herói, e só era alguns anos mais velho que ela, apesar de já ter alguns cabelos brancos, que lhe davam a impressão de ser alguém vivido e sábio. Shira continuou.

— Você só pensa em computador o dia inteiro, e agora está até sonhando com isso. Você precisa fazer alguma coisa diferente, menina! Sair de casa, sei lá... aliás, sei sim. Amanhã, você não vai trabalhar à noite. Nós vamos sair com alguns amigos esquisitões meus e fazer um negócio muito massa.

— Fazer o quê, Shira? Não me venha com aquele negócio de assistir mangá de novo, que eu tenho mais pesadelos ainda.

— Não. Acho que você vai gostar. Chama-se Espeleologia Urbana.

— Espeleologia Urbana?

Se o amigo leitor quiser saber mais sobre o assunto antes do próximo conto, acesse www.infiltration.org. Site em inglês.

Para ler outros capítulos, clique nos links abaixo:

Capítulo 1

Capítulo 2

Capítulo 4

Rodrigo Sais, o Groo, é jornalista. Esta é uma peça de ficção. Qualquer semelhança com fatos envolvendo pessoas ou empresas reais terá sido mera coincidência.

25/3/2001 - 2:00 Giordani Rodrigues

O esquadrão contra crimes de invasão de computadores e propriedade intelectual do FBI prendeu na última quarta-feira, em Nova Iorque, um ex-funcionário da companhia de cartões de crédito Mastercard International, acusado de roubar segredos da empresa e tentar vendê-los para sua concorrente, Visa International.

Segundo as acusações, em fevereiro deste ano, usando o pseudônimo de Cagliostro, Fausto Estrada enviou para o escritório da Visa na Califórnia um pacote com informações confidenciais roubadas da Mastercard. Entre os itens que ele oferecia para venda, constava uma proposta comercial de mais de US$ 1 bilhão entre a Mastercard e uma grande corporação de entretenimento dos Estados Unidos.

Estrada também se ofereceu para gravar encontros de alto nível dentro da Mastercard, caso a Visa concordasse em pagar e providenciasse o equipamento necessário.

O FBI foi avisado e enviou um de seus agentes, disfarçado como representante da Visa, para fazer as negociações. Durante um encontro secreto para a compra dos documentos, marcado em um quarto de hotel, o ex-funcionário foi preso.

A corte federal de Manhatan indiciou Fausto Estrada por roubo de segredos comerciais, transporte de propriedade roubada e fraude de correspondência. Se for condenado, ele pode pegar até dez anos de prisão e multa de US$ 250 mil ou o dobro do ganho ou da perda bruta resultante do crime em cada uma das duas primeiras acusações, e cinco anos de prisão e multa de US$ 250 mil ou o dobro do ganho ou da perda bruta resultante do crime na acusação de fraude de correspondência.

23/3/2001 - 2:00 Giordani Rodrigues

Um jovem argentino ganhou espaço recentemente na mídia por causa de um programa que criou, o VBS Worm Generator (VBSWG). Como o próprio nome diz, a ferramenta serve para gerar um tipo de vírus que se espalha usando recursos da rede, o worm, e infecta as máquinas utilizando o Visual Basic Script (VBS), comandos que, a exemplo das macros, automatizam tarefas no computador.

Com a versão 1.5b de tal programa, o holandês apelidado de OnTheFly criou e distribuiu o worm Anna Kournikova que, em poucas horas, congestionou os programas de e-mail de milhares de computadores pelo mundo, segundo as empresas antivírus. Na época, o argentino tinha o apelido de Kalamar, em homenagem a um time de futebol de seu país.

Desde então, ele mudou seu nome para [K], incluindo os colchetes, e é assim que prefere ser chamado atualmente. Isto porque, depois de toda a publicidade em torno de si, muita gente adotou o apelido de Kalamar e quis se fazer passar por ele.

Há duas semanas, ele lançou a versão 2.0 de seu VBSWG, bem mais poderosa e facílima de usar. Poucos dias depois, surpreendentemente, retirou todas as versões de seu site e deixou uma nota explicativa, dizendo que algumas pessoas queriam prendê-lo.

Em entrevista exclusiva a InfoGuerra, [K] explica quem são essas pessoas e porque retirou seus programas do ar, fala sobre sua ferramenta, as atividades de criação de vírus e sobre o Kournikova, além de esclarecer alguns mal-entendidos publicados por sites e jornais. Confira:

InfoGuerra – Qual a sua idade? Onde você mora.

[K] – Tenho dezoito anos e moro em um bairro próximo da capital federal, Buenos Aires.

InfoGuerra – Por que, entre tantas atividades possíveis relacionadas a computadores, você resolveu se dedicar a criar vírus?

[K] – Não me dedico exclusivamente aos vírus. A verdade é que isso é o que menos faço. Eu me dedico mais à programação na Web.

InfoGuerra – Você trabalha em uma empresa de web design?

[K] – Não, não estou trabalhando no momento.

InfoGuerra - Por que você retirou seus programas do ar no dia 16 de março?

[K] – Eu ouvi dizer que algumas pessoas de empresas antivírus queriam me colocar na cadeia, então decidi tirar todos eles do ar.

InfoGuerra – As empresas antivírus? Quais?

[K]- Não sei.

InfoGuerra – Quem disse isso a você?

[K] – Um cara que eu conheço.

InfoGuerra – Como ele poderia saber disso?

[K] – Ele tem um site de informações sobre vírus.

InfoGuerra – Que site?

[K] – Desculpe, eu não posso dizer, não sei se ele quer.

InfoGuerra – O que seu amigo disse exatamente?

[K] – "Eu não quero assustá-lo, mas algumas companhias antivírus estão dizendo que você deveria ir para a cadeia".

InfoGuerra – Você não pediu mais detalhes a ele?

[K] – Sim, mas ele não sabia muito sobre isso, porque foi outra pessoa que falou para ele.

InfoGuerra – Que pessoa?

[K] – Seu sócio.

InfoGuerra – Isso é muito estranho. Você não tirou seu programa do ar nem na época em que o vírus Kournikova estava em alta e todo mundo estava mencionando o seu nome. E agora você fez isso apenas porque você "ouviu falar" que algumas pessoas queriam colocá-lo na cadeia? Você realmente não sabe mais detalhes sobre a história das companhias antivírus quererem prender você?

[K] – Realmente não sei, mas esta foi a última coisa que eu precisava ouvir. Eu já tive o suficiente com tudo que os sites falaram sobre a nova versão e eu percebi que não tinha sido uma boa idéia lançá-la. Você pode achar estranho. O que me fez tirar o programa do ar foi essa história das companhias de antivírus, mas eu também já estou cansado de toda essa exposição. Isso aconteceu da primeira vez e agora, quando eu lancei a segunda versão. Eu não quero fazer um programa do qual todo mundo fica falando toda vez que eu lanço uma nova versão. Eu não gosto disso.

InfoGuerra - Os hackers que desfiguram sites alegam que seu objetivo é alertar sobre falhas na segurança dos sistemas, fazer protestos políticos, etc. Mas no caso dos vírus, o que leva uma pessoa a criar e distribui-los? Isso pode ajudar a sociedade de alguma forma?

[K] – Eu creio que os vírus não destrutivos ajudam as companhias de antivírus a aperfeiçoarem suas ferramentas frente ao ataque de vírus mais danosos.

InfoGuerra – Mas se não houvesse vírus, nem seria necessário haver programas antivírus e muitas pessoas não gastariam dinheiro para arrumar seus computadores, certo?

[K] – Mas eu falo dos vírus não destrutivos, que são os que eu faço. Eu não sei porque os outros fazem vírus destrutivos. A mim, não me parece algo correto. Então, ante a necessidade de fazer antivírus para os vírus destrutivos, os não destrutivos podem ajudar os antivírus, não digo 100%, mas de alguma maneira ajudam.

InfoGuerra - Você cria seus próprios vírus apenas para estudá-los ou você também os distribui eventualmente para testar seu comportamento "em campo"?

[K]- Não me lembro de ter visto nenhum dos vírus criados por mim mesmo "in the wild", já que eu não os espalho, apenas coloco nos meus sites na Internet.

InfoGuerra - Você diz no manual de instruções do VBS Worm Generator 2.0 Beta que seu programa serve para fins educacionais apenas. Não seria melhor escrever textos explicando como os vírus agem, em vez de criar um programa que possibilita que qualquer pessoa crie um vírus capaz de se espalhar pelo mundo em poucas horas?

[K] – São formas diferentes de ver as coisas. Eu, por exemplo, aprendi com um criador de vírus de macro, por isso decidi criar um gerador de vírus por mim mesmo.

InfoGuerra – Então, seguindo essa idéia, as pessoas que aprendem com o seu VBSWG poderiam criar seus próprios programas. Em pouco tempo existiriam mais criadores de vírus e muitos mais vírus pelo mundo, não?

[K] – Não sei, pode ser, mas a maior parte dos que começam com um criador de vírus não segue adiante. São muito poucos os que se interessam pelos vírus por muito tempo.

InfoGuerra - Você acredita realmente que as pessoas usam o seu kit apenas para aprender e não para criar e distribuir vírus?

[K] – Creio que a maioria das pessoas não sabe distribuir um vírus.

InfoGuerra – Mas com a versão 2.0 até pessoas com pouco conhecimento em computadores poderiam criar e distribuir um vírus em poucos minutos. Eu vi o programa e ele é impressionante. Além disso, você disse em uma entrevista a Ken Dunham que OnTheFly não era um expert em computadores, e mesmo assim ele criou e distribuiu o Kournikova, que se espalhou pelo mundo em apenas algumas horas. O que você acha disso?

[K] – Creio que isso foi uma grande casualidade, senão teríamos visto worms desse mesmo tipo desde agosto de 2000, já que nessa data saiu a versão 1.5b, com a qual se criou o "OntheFly" (outro nome do Kournikova). Então, o que aconteceu é que ele infectou apenas as máquinas que não estavam atualizadas com antivírus. Acredito que isso não vai acontecer novamente.

InfoGuerra - Segundo algumas fontes, a Trend Micro disse que o criador da ferramenta usada para gerar o Anna Kournikova foi você, mas a Aladdin publicou uma nota dizendo que a ferramenta que criou o Kournikova foi produzida por um grupo brasileiro chamado Senna. O que você tem a dizer sobre isso?

[K] – Senna Spy é um programador brasileiro, ele fez uma ferramenta parecida com a minha, mas não tão boa. O Kournikova foi assinado com o meu programa e criptografado de uma forma que só o meu programa poderia fazer.

InfoGuerra – Você viu o worm Kournikova? Você o analisou?

[K] – Sim, e ele foi feito com o VBSWG 1.50b. E tem um erro no método "antideletar".

InfoGuerra - Quanto ao episódio do Anna Kournikova, você não se sente de alguma forma responsável com o que aconteceu já que você criou a ferramenta que possibilitou desenvolver o vírus?

[K] – No VBSWG se esclarecia muito bem que essa era uma ferramenta educativa e que eu não teria responsabilidade pelos problemas causados. Até OnTheFly admitiu que eu não tive culpa pelo vírus chamado Kournikova, que na realidade se chamava OnTheFly.

InfoGuerra – O prefeito da cidade de Sneek disse que estava disposto a dar um emprego a OnTheFly. Alguém já lhe ofereceu emprego depois de toda a publicidade gerada com o Anna Kournikova?

[K] – Não me ofereceram nada de concreto, mas eu também decidi ficar no anonimato e não aceitar trabalhos por esta razão. Se eu conseguir um trabalho será por minhas capacidades e não por um pequeno programa que se tornou famoso. Não me agrada a idéia de conseguir um trabalho por ser um escritor de vírus.

InfoGuerra - O que você acha dessa publicidade? Isso aumentou a visitação a seus sites?

[K] – Hoje em dia estou cansado de que se fale tanto de mim. Sim, a publicidade aumentou as visitas. Virii.com.ar e kvirii.com.ar receberam muitíssimas visitas além do comum.

InfoGuerra - Algumas reportagens trouxeram a informação de que sua mãe se sentia orgulhosa pela sua capacidade com os computadores. Essas reportagens são verdadeiras?

[K] – Essas reportagens não foram feitas comigo, e foi isso que me fez falar, já que eu não iria fazê-lo.

InfoGuerra – Então elas não são verdadeiras? Sua mãe nunca falou com os jornalistas?

[K] – Não, nunca. Essas entrevistas não foram feitas comigo, nem com nenhum dos meus familiares. Talvez os repórteres tenham sido enganados por alguém fazendo-se passar por mim.

InfoGuerra – À propósito, a CNet tem uma reportagem dizendo que você havia tirado sua ferramenta do ar na época do Kournikova. Você disse a Ken Dunham que isso não era verdade e que possivelmente tenha sido alguém tentando levar os créditos pelo seu programa. Hoje, o que você acha que realmente aconteceu?

[K]- A verdade é que não sei o que aconteceu, mas também já não me importa.

InfoGuerra – Nessa mesma entrevista a Ken Dunham, você disse que não iria mais criar novas versões do seu VBS Worm Generator. O que o fez mudar de idéia e publicar a versão 2.0 Beta?

[K] – Eu já estava trabalhando em uma nova versão antes do problema do Kournikova, e quando falei com ele não iria publicar o programa, mas depois mudei de idéia.

InfoGuerra - Quais são seus projetos atuais? Você tem planos de criar novas ferramentas num futuro próximo?

[K] – Meus projetos são procurar trabalho e estudar. Não creio que faça outros aplicativos relacionados com vírus.

InfoGuerra - Você diz que sua nova versão do VBSWG produz vírus imunes aos programas de detecção, mas as empresas antivírus estão dizendo que isso não é verdade. O que você tem a dizer sobre isso?

[K] – No dia em que publiquei a versão 2.0, nem o AVP, nem o Norton 2001, nem o McAfee detectaram nenhuma das variantes dos worms criados com esse programa. É lógico que dois ou três dias depois, com toda a publicidade que teve, já podiam dectetar e foi isso que fizeram.

InfoGuerra - A nova versão do seu programa tem características que podem produzir vírus bem mais poderosos do que os da versão anterior, que produziu o Kournikova. Estas características incluem a possibilidade de os vírus carregarem arquivos executáveis, o que pode fazer com que alguém destrua o sistema de uma máquina. Ao mesmo tempo, você afirma que não gosta de vírus destrutivos. Você não teme que seu novo kit possa provocar uma epidemia ainda maior do que a do Kournikova e bem mais prejudicial do que congestionar as redes de e-mail?

[K] – Creio que as empresas de antivírus desta vez se encarregaram de que nenhum worm criado com meu programa possa se espalhar novamente.

InfoGuerra – Como isto é possível? Provavelmente muita gente já tem uma cópia de seu programa e poderia distribuí-lo. Como as companhias podem evitar que os vírus sejam criados?

[K] – As companhias hoje em dia detectam os worms criados com meu programa, por isso eles não se espalhariam tanto.

InfoGuerra – Quando se fala em hacker, hoje, as pessoas se lembram destes grupos que realizam desfigurações. Como você vê a cena hacker mundial atualmente?

[K] – Não sou um hacker, sou um programador. E a verdade é que não sei muito sobre hacking, por isso não poderia responder bem a essa pergunta.

InfoGuerra – Alguns jornais e sites chamam você de hacker. Isso o incomoda?

[K] Sim, isso me incomoda, porque me parece que não somos a mesma coisa, não porque me pareça bom ou mal, apenas porque não é o que sou. É como se me chamassem de mexicano, sendo eu argentino.

Tradução da entrevista para o espanhol de Bruno Magne.
Colaboração de Eva Mothci.

22/3/2001 - 2:00 Giordani Rodrigues

Durante a madrugada de hoje, o grupo de hackers brasileiros Prime Suspectz, "figurinha carimbada" da cena underground, invadiu e desfigurou dois endereços de conhecidas empresas — o site de leilões eBay e o fabricante de produtos de informática Compaq.

O endereço do eBay atacado (www.qa.ebay.com) leva a uma página idêntica à do site principal. Às 13h30, estava fora do ar. O endereço da Compaq desfigurado (http://lotus.carepaq.emea.compaq.com) é específico do pacote de desenvolvimento Lotus para a Europa, Oriente Médio e África. Se for digitado diretamente, leva ao site da companhia na Irlanda.

Nos dois casos, as páginas originais foram substituídas por outra com fundo preto trazendo uma fígura com o nome do grupo, exclamações comemorando os feitos e uma frase: "Brazil rlz" (o Brasil domina). Na página do eBay, os piratas também escreveram, em inglês, "temam-nos".

Considerando a intensa atividade dos brasileiros, que são os que mais desfiguram sites no mundo, há uma certa razão para serem temidos. Por outro lado, o hacker canadense Mafia Boy foi condenado justamente por ter atacado, no ano passado, o site do eBay, entre outras companhias de grande porte. Portanto, não se sabe quem deve ter medo de quem.

O Prime Suspectz já havia invadido o eBay de Taiwan, em novembro último. O grupo tem predileção por empresas multinacionais. Em um comentário publicado por Attrition, trazendo vários sites de empresas de alto perfil desfigurados, o Prime Suspectz é, de longe, o grupo que mais aparece.

Para ver os espelhos das invasões de hoje, registradas por Attrition, clique nos links eBay e Compaq.

Hoje, outro endereço da Compaq, de serviços online para aquisição de software, (http://www.ols2.software-acq.compaq.com), também foi invadido pelo grupo Antihackerlink. Os hackers deixaram uma mensagem em inglês na página, dizendo que a empresa "deveria usar camisinha" para se proteger. O ataque foi registrado pelo site alemão Alldas e o espelho pode ser visto aqui.

21/3/2001 - 2:00 Giordani Rodrigues

A página principal do site da Associated Press (AP), uma das maiores agências de notícias do mundo, foi desfigurado por um grupo de hackers brasileiros denominado HFury, na madrugada de hoje. O ataque foi noticiado pelo site Dotcom Scoop que, como o nome diz, pretende trazer "furos" jornalísticos relacionados a empresas ligadas à Internet. Além da informação, o site traz um registro da invasão.

No lugar da página original, os hackers colocaram outra, com fundo branco e letras pretas. A mensagem deixada no site traz apenas "owned by HFury" (propriedade de HFury), saudações aos amigos e críticas aos desafetos.

O HFury possui um site com informações sobre o grupo e suas ações. As páginas informam que há dez integrantes no grupo, todos brasileiros, e que o ataque à AP foi executado por um dos fundadores, de apelido "t0rl3y".

Os hackers atribuem-se 134 invasões, entre elas a da Parkinson’s Disease Foundation, organização americana para pesquisa sobre o mal de Parkinson, atacada também na madrugada de hoje.

Segundo informações da Reuters, Dominic Perella, supervisor da AP em Nova York, disse que não iria comentar a notícia da invasão à agência. O registro feito pelo Dotcom Scoop pode ser visto aqui.

20/3/2001 - 2:00 Giordani Rodrigues

A Módulo Security Solutions, principal empresa nacional do setor de segurança de sistemas, foi vítima de um incidente constrangedor, considerando suas atividades. Informações sigilosas de 12 de seus clientes foram roubadas e os principais suspeitos são três ex-funcionários seus. A descoberta do caso se deu há cerca de 45 dias, segundo informações da empresa, que desde então vem tentando esclarecer as implicações do episódio e punir os responsáveis.

Há cerca de um mês, InfoGuerra vem mantendo contato com a Módulo, que pediu que o caso não fosse divulgado até a conclusão das investigações internas e policiais. No entanto, as informações vazaram e, no domingo, a revista Veja publicou uma nota sobre o assunto.

No texto da revista são citadas grandes empresas brasileiras, como os bancos Bradesco, Itaú, Santander e Safra, além da Ford e da Alcoa, para as quais a Módulo presta serviços. Jaime Araújo, vice-presidente de marketing e desenvolvimento de negócios da Módulo, contesta a nota. "Existem erros, além de indiscrições que vão contra o segredo de justiça". Os erros seriam a data informada na revista — cerca de uma semana — e a atribuição do fato a um hacker. A revelação do segredo de justiça seria a citação dos nomes das empresas clientes, não divulgados pela Módulo.

Na verdade, as informações sigilosas foram roubadas há mais de um mês e o fato já tinha sido divulgado em pelo menos um site, o Hacker ISS. Uma nota publicada no site, em 16 de fevereiro, cita o episódio e informa que entre os atingidos está o Banco Pan-Americano.

A nota diz que "vários itens do relatório intitulado RARR (Relatório de Análise de Risco e Recomendações), que contém todas as vulnerabilidades e as recomendações da Módulo para o Banco Pan-Americano", foram detalhadamente descritos. Jaime Araújo confirmou que o banco foi uma das vítimas, mas não entrou em detalhes. Ele também se negou a divulgar os nomes dos outros clientes.

A assessoria de imprensa do Bradesco informou que o banco solicitou à Módulo um estudo de aplicações que serviria como padrão de segurança para notebooks, utilizados internamente pela empresa. Os serviços não envolviam negócios com seus clientes e correntistas. O Bradesco não soube informar se tal estudo fazia parte dos dados que foram desviados.

A Módulo nega a ação de hackers. A versão oficial dá conta de que ex-funcionários da empresa — três deles são suspeitos — teriam copiado indevidamente arquivos confidenciais de 12 clientes, aos quais tinham acesso. Com os dados em mãos, eles entravam em contato com as vítimas, demonstrando ter conhecimento de seus sistemas. O objetivo seria denegrir a imagem da Módulo no mercado de segurança.

Araújo diz que "um dos ex-funcionários estava insatisfeito por vários motivos" e não descartou a hipótese de que estivesse envolvido com sabotagem por parte de concorrentes. Ele garante, no entanto, que nenhum sistema foi comprometido, pois os dados eram antigos, alguns com mais de um ano, e já não correspondiam à situação atual.

Para garantir a segurança de seus clientes, a Módulo ofereceu gratuitamente equipes que prestaram consultoria e fizeram análises dos sistemas envolvidos, constatando que todos estavam fora de perigo. Uma sindicância interna foi estabelecida, os departamentos jurídicos das empresas envolvidas foram acionados e inquéritos policiais foram abertos.

Araújo informou que todos os passos dos três suspeitos foram monitorados. Com um mandado de busca e apreensão foi feita uma vistoria no computador do principal deles, mas nenhuma prova foi encontrada. As investigações continuam.

O presidente do Conselho de Administração da Módulo, Fernando Nery, lamenta que no Brasil ainda não haja leis específicas para crimes de informática. Em sua opinião, "os processos são morosos demais, a legislação ordinária não é adequada para crimes de computador e precisa ser adaptada".

"As pessoas me perguntam por que eu não chamei a Polícia Federal. Por um simples motivo: porque no Brasil a PF só se ocupa de crimes federais, o que exclui muitos dos crimes de computador. Nos Estados Unidos, o FBI está envolvido em todos os casos de crimes de computador, pois lá eles são considerados como uma questão federal. Em seis meses, um hacker pode estar atrás das grades", conclui.

19/3/2001 - 2:00 Giordani Rodrigues

Grupos de piratas digitais brasileiros invadiram e desfiguraram duas vezes o site da presidência do México neste final de semana. O endereço atacado aparentemente serve a que funcionários internos do órgão acessem o sistema. No sábado, o responsável pela desfiguração foi o grupo Prime Suspectz e, ontem, um grupo autodenominado "Demonios".

O Prime Suspectz deixou mensagens irônicas, em português, ao administrador do sistema, sugerindo que ele fosse trabalhar em outro lugar: "arruma mala ae, pq Prime Suspectz rotou dnovo Presidencia do México".

O grupo também escreveu um poema, colocado abaixo de uma foto em que aparece um homem esquálido, e ainda deixou um link para a página original. Por esse link, pode-se perceber que o site serve para acesso privado, com espaço para se cadastrar nome de usuário e senha.

Os "Demonios" fizeram o que se chama de "redefacement", ou seja, aproveitaram a brecha de outro grupo para colocar sua própria marca, o que é muito mal visto no submundo hacker. Eles deixaram uma imagem em fundo preto com os dizeres "welcome to paradise" (bem-vindo ao paraíso). Na imagem vê-se dois esqueletos rodeados por fogo, ao lado de um portal, sugerindo o "inferno" e não o paraíso. Além disso, apenas as habituais saudações a outros integrantes do "underground".

Não é a primeira vez que a presidência do México é atacada. Em novembro do ano passado, o mesmo grupo "Prime Suspectz" desfigurou o endereço principal do órgão. Os sites mexicanos, por sinal, estão entre os mais invadidos do mundo e os grupos brasileiros são presença freqüente nestes episódios.

Até as 11 horas da manhã de hoje o endereço da presidência continuava desfigurado. Ainda não se sabe se os crackers roubaram senhas ou outros dados confidenciais do sistema. Para ver as imagens dos ataques, clique nos links abaixo:

Primeira invasão (registrada por Attrition)

Segunda invasão (registrada por Alldas)

18/3/2001 - 2:00 Redação InfoGuerra

Artigo de Mary Landesman, originalmente publicado em http://antivirus.about.com/compute/antivirus/library/weekly/aa031001a.htm

Tradução de Luiz Fernando Spósito

Eu vejo vírus! Quando um antivírus anuncia que um arquivo está infectado mas, na verdade, não está, consideramos como sendo uma contaminação falso positiva, ou alarme falso. Esses casos, porém, não estão confinados apenas aos programas de antivírus, como relatado por Scott Berinato em recente artigo. Os alarmes falsos, em qualquer programa de segurança, podem ser mais do que simples aborrecimento. Um argumento bastante comum é o de que usuários que constantemente se deparam com alarmes falsos acabam deixando de dar a devida importância e subestimam um alerta real. Em outros casos, os falsos positivos podem levar a problemas ainda piores: um falso senso de segurança.

Em dezembro de 1999, o Norton Antivírus® começou a dar alarmes falsos no Macromedia® Flash Player e arquivos criados pelo Flash™. Naquela época, a Symantec®, fabricante do Norton Antivirus ®, e a Macromedia® uniram esforços para confirmar que se tratava de alarme falso. Logo a seguir, foi publicada uma declaração na qual, em suma, ambas as empresas confirmaram não existir vírus no Flash, ou em arquivos criados pelo mesmo. Essa declaração ainda pode ser encontrada no site da Macromedia® por meio de uma pesquisa pelo termo 'virus'.

Mas, por que alguém faria uma pesquisa usando o termo 'virus' no site da Macromedia®? Para saber que a resposta dada tem relação com um vírus recém descoberto, o Naked Wife. Apesar de não ser realmente do tipo Flash, pelo modo como se comporta, o arquivo nakedwife.exe se parece muito com tal - de seu ícone à tela exibida. Assim, para muitos usuários comuns, o nakedwife.exe poderia ser considerado um arquivo do tipo Flash.

Podemos assumir que o Norton Antivírus tem-se precavido, uma vez que pararam os alarmes falsos em relação aos arquivos do tipo Flash. Mas, e aquele usuário que ouve falar de um novo "Flash" vírus, visita a página da Macromedia, e faz a pesquisa do termo 'virus'? Irá deparar com a declaração da Symantec® de que o Norton Antivírus™ estava gerando alarmes falsos em relação a arquivos Flash e que os mesmos são seguros.

Para um usuário que tiver passado pela experiência de alarmes falsos, uma declaração como essa pode ser o suficiente para ele acreditar que o arquivo 'nakedwife.exe' é seguro e pode ser aberto. Como, depois de um conflito de informações como esse, você conseguiria determinar se um alarme é realmente verdadeiro ou falsos?

Se o alerta diz que o arquivo é suspeito, ou não pode ser limpo e que você deve apagá-lo, pode ser interessante fazer algumas pesquisas antes de acreditar nas afirmações do programa. Primeiro, consulte as listas de sites que publicam descobertas de vírus para saber se aquele vírus existe realmente. Caso não o encontre, procure pelo nome do vírus informado no alerta. Ele termina em .gen, refere-se a Bloodhound, ou é identificado, simplesmente, como sendo suspeito? Dependendo da ferramenta usada, qualquer uma indicações pode estar relacionada a um vírus desconhecido ou a um falso alarme. Atualize o seu programa de antivírus e faça a pesquisa novamente. O alerta continua aparecendo? Em caso afirmativo, envie o arquivo para o fabricante do seu antivírus para que ele seja analisado.

O mais importante é sempre verificar, mais de uma vez, as informações conseguidas pela Internet para saber se são realmente aplicáveis. Por exemplo, o documento da Macromedia mencionado acima traz datas especificando que os falsos alarmes ocorreram em dezembro de 1999. Caso um arquivo suspeito em seu computador seja de muito tempo depois da publicação da matéria, siga os passos citados acima antes de declarar que um arquivo é ou não seguro para ser usado.

16/3/2001 - 2:00 Giordani Rodrigues

O PatchWork é gratuito e possui apenas 30 Kbytes

O roubo de mais de um milhão de números de cartões de crédito por hackers russos e ucranianos, anunciado há poucos dias pelo FBI, trouxe pelo menos dois benefícios: alertou outras empresas contra o golpe e estimulou a criatividade de pessoas ligadas à segurança de sistemas. Uma dessas pessoas é o engenheiro de computação Steve Gibson, que acaba de lançar uma ferramenta gratuita para proteção contra os hackers.

Batizado de PatchWork, o programa funciona baseado em uma idéia simples, mas eficiente. Instalado em máquinas rodando Windows NT ou 2000 — os sistemas atingidos pelos hackers — a ferramenta verifica instantaneamente se os servidores estão vulneráveis aos ataques e se possuem os arquivos listados pelo FBI que evidenciam invasões anteriores. Se a resposta for positiva, o programa aponta diretamente para as correções da Microsoft e depois determina se elas foram instaladas corretamente.

Gibson criou o PatchWork após ser contatado pelo SANS Institute e pelo Center for Internet Security, que lhe encomendaram um programa com tais características. Como todas as suas criações, esta também é feita em linguagem de máquina, por isso seu tamanho é incrivelmente reduzido — apenas 30 Kbytes. Como se não bastasse, possui ainda um atrativo irresistível: é gratuito.

Steve Gibson é conhecido por suas pesquisas na área de segurança e por ser um ferrenho defensor da privacidade online. Ficou famosa sua briga feroz contra a Radiate e outras empresas, denunciadas pelo uso de programas espiões, chamados de "spyware", embutidos em software gratuitos que utilizam publicidade para pagar os custos de produção.

No site de seu centro de pesquisas, o Gibson Research Center, encontram-se informações, programas e testes úteis para quem se preocupa com segurança. Uma de suas últimas criações, o LeakTest, lançado em dezembro do ano passado, golpeou a reputação de alguns conhecidos "firewalls". O programa possibilitou encontrar brechas em firewalls antes considerados seguros e obrigou seus fabricantes a criarem correções para as falhas.

Quem quiser baixar ou saber mais sobre o Patchwork, deve ir ao endereço http://grc.com/pw/patchwork.htm.

Symantec também atualiza programa

Preocupada com os recentes ataques, a Symantec também tomou medidas para evitar a ação dos hackers. No dia 14, a empresa anunciou a atualização de sua ferramenta Enterprise Security Manager (ESM), para avaliação de vulnerabilidades. Voltada a usuários corporativos, o ESM ganhou novas linhas de programação planejadas para detectar especificamente as quatro principais brechas encontradas em servidores NT que permitiram as invasões.

"Oitenta por cento dos ataques poderiam ser evitados se os sites se certificassem de manter suas correções atualizadas e se suas senhas não fossem tão fáceis de adivinhar", garantiu Rob Clyde, vice-presidente e chefe de tecnologia da Divisão para Soluções Corporativas da Symantec.

A atualização do ESM pode ser encontrada em http://www.symantec.com/avcenter/sirc/ecommerce.vulnerabilities.html. Para saber mais sobre as vulnerabilidades e baixar suas correções diretamente do site da Microsoft, clique em http://www.microsoft.com/technet/security/nipc.asp.

16/3/2001 - 2:00 Giordani Rodrigues

The Argentinian known as [K] has just taken off from his site the VBS Worm Generator (VBSWG), a toolkit of his own making for the generation of viruses. It was used to create the infamous Anna Kournikova worm and had received a powerful new version last week. According to [K], he decided to take the kit off the Internet as soon as he understood he was running the risk of being arrested.

"I've decided to stop the develop of Vbswg, because i've heard that some people wanna put me in jail, and i don't wanna goto jail, so, i'lls top the program and delete the linsk to it until i know i'm safe. Maybe i'll release the code. Sorry" (sic), he said in a note he published today, March 16th, in his site. [K] must have been really afraid about getting arrested and in a hurry, since he did not pause to correct typing errors in his message.

Just last friday (March 9th), the 18-year-old Argentinian released the 2.0 Beta version for VBSWG. According to him, the viruses that were created using the new version were not detected by any antivirus program available. Now [K] took off other versions of the tool as well, including the 1.5 version, which was used by the Dutch known as OnTheFly (a nickname that maybe pays homage to the pirate legend of the Flying Dutch) to generate the Kournikova worm. Last February, this virus infected thousands of computer systems worldwide in a few hours.

The worms created using the new version were randomly coded with ten letters. That made it almost impossible for two of them to receive the same code. And more, they would be programmed with the following aspects: self-copying, when deleted; the use of two encryption methods to diminish the risk of being detected by antivirus programs; and the capability to carry executable file with them.

This last device was specially threatening since files could execute damaging tasks in attacked computers. What is most impressing in this kit is the ease of use. Its being free and having a user-friendly interface allows any minimally computer-wise person to create his or her own virtual plagues. Viruses could infect e-mail messages, IRC chat rooms and files.

On february 15, Cnet reported that [K] had taken off the version from which Kournikova was created. A few days later, in an interview with Ken Dunham, he denied that. He said someone else had set up and then taken off a copy of his program in another site, and that this person was trying to get all credit for his invention.

The fact that now [K] has really taken the tools off his site does not mean that people will no longer have access to them. Some programs were probably downloaded somewhere and might still be offered in other addresses. Besides, [K] has made it clear that some day he might publish the source-codes.

For the time being at least, the news will serve as a temporary release of tension for common users. A kit like VBSWG 2.0 Beta would make it possible for any creative brat to flood the world with many more viruses than the ones that are operative nowadays.

Translated by Jaques Brand and Luiz Fernando Spósito.

*Giordani Rodrigues is a Brazilian journalist and the editor of InfoGuerra, a web site specialized in security and privacy news. Currently, InfoGuerra is written in Portuguese only. But it has an English section with the latest security related news around the world. Click here to see it.

Jaques Brand is journalist.

Luiz Fernando Spósito is translator.

16/3/2001 - 2:00 Giordani Rodrigues

Imagem de abertura do programa VBS Worm Generator

O argentino que atende pelo apelido de [K] retirou de seu site a ferramenta para geração de vírus chamada de VBS Worm Generator (VBSWG), criada por ele. O programa foi usado para produzir o famigerado vírus Anna Kournikova e recebeu uma nova versão na semana passada, bem mais poderosa. A explicação dada por [K] para retirar a ferramenta do ar é de que estava correndo o risco de ir preso.

"Decidi parar o desenvolvimento do VBSWG porque ouvi falar que algumas pessoas querem me pôr na cadeia, e eu não quero ir preso, então irei parar o programa e deletar os links até que eu esteja a salvo. Talvez eu publique o código. Desculpem", diz a nota com data de hoje (16/03), publicada, em inglês, em seu site. [K] devia mesmo estar com medo e pressa, pois nem os erros de digitação da mensagem ele corrigiu.

No último dia 9, o argentino de 18 anos disponibilizou a versão 2.0 Beta do VBSWG. Segundo suas próprias afirmações, os vírus criados pelo novo programa ainda não eram detectados pelos antivírus mais conhecidos. Além desta, todas as outras versões foram retiradas, incluindo a 1.5, que permitiu ao holandês conhecido como OnTheFly criar o Kournikova. Em fevereiro, este vírus infectou milhares de computadores pelo mundo em apenas algumas horas.

Os vírus gerados pela nova versão, do tipo worm, eram codificados aleatoriamente com dez letras, o que tornava praticamente impossível que dois deles fossem iguais. Além disso, podiam ser programados para incluir as seguintes características: possibilidade de se recriarem, caso fossem deletados; uso de dois métodos de criptografia para dificultar a detecção pelos programas antivírus e possibilidade de carregarem arquivos executáveis junto com eles.

Esta última característica era especialmente perigosa, pois os arquivos poderiam executar tarefas destrutivas no computador da vítima. O mais impressionante do kit era a facilidade de uso. Gratuito e com uma interface amigável, permitia que qualquer pessoa com um mínimo de desenvoltura com computadores criasse suas próprias pragas virtuais. Os vírus podiam infectar mensagens de e-mail, salas de bate-papo de IRC e arquivos.

No dia 15 de fevereiro, a CNet publicou uma reportagem afirmando que [K] havia indisponibilizado a versão que criou o Kournikova. Dias depois, ele negou o fato. Disse que alguém havia colocado e depois retirado uma cópia de seu programa em outro site, e que esta pessoa estava tentando levar o crédito por sua invenção.

O fato de agora [K] ter realmente retirado as ferramentas de seu site não elimina a possibilidade de algumas pessoas terem acesso a elas. É possível que alguns programas já baixados sejam oferecidos em outros endereços. Além disso, segundo suas próprias palavras, ele poderá publicar os códigos-fonte futuramente.

A notícia, no entanto, serve como um alívio temporário aos usuários comuns. Um kit como o VBSWG 2.0 Beta poderia fazer com que qualquer garoto com criatividade inundasse rapidamente o mundo com mais vírus de computador do que os que já existem.

15/3/2001 - 2:00 Giordani Rodrigues

Menos de uma semana depois de ter invadido e desfigurado a página principal do portal Cidade Internet, o hacker denominado DeVoN_DCLXVI voltou a atacar o mesmo endereço, na madrugada de hoje. Dessa vez, porém, ele deixou uma mensagem aos empresários argentinos que comandam a empresa.

"Tinha q ser de argentino mesmo isso aki!! e mesmo depois de tudo ainda querem discutir sobre segurança no cidadebiz... vcs só sao especialistas em uma coisa: nas verdinhas q vcs arrancam das pessoas!!!", dizia a mensagem. Cidade Biz é um site de negócios que faz parte do Cidade Internet e também foi invadido. As páginas já voltaram ao normal

Pela manhã, InfoGuerra entrou em contato com o portal, que ainda não tinha maiores detalhes sobre os ataques. Segundo sua assessoria de imprensa, no final da tarde a empresa divulgará uma nota oficial sobre o assunto.

Na invasão da semana passada, o Cidade Internet informou que havia uma falha de segurança em seu servidor Microsoft IIS/4.0, mas "como o portal já estava em processo de migração para IIS/5.0" tal providência iria "neutralizar qualquer novo ataque dessa natureza".

De acordo com o Attrition, que registrou a desfiguração, o servidor usado pela empresa continua sendo o IIS/4.0. Mesmo a mudança para a versão superior não garante a invulnerabilidade do sistema sem que as devidas correções sejam feitas.

DeVoN_DCLXVI, um personagem desconhecido da cena hacker até a semana passada, desfigurou várias páginas desde então. Por causa das mensagens deixadas, sabe-se agora que se trata de um brasileiro. Entre os sites mais conhecidos que invadiu, constam o da companhia telefônica do Rio Grande do Sul — CRT — e o da Abradif, Associação Brasileira dos Distribuidores Ford.

O hacker também atacou dois subdomínios pertencentes ao UOL. Os endereços estão registrados em nome do provedor, mas ainda hospedam páginas da VCampus, que mantém cursos pela Internet e vendeu o domínio uol.com para que a empresa brasileira expandisse seus negócios internacionais.

Para ver o espelho da invasão de hoje ao Cidade Internet, clique aqui.

Atualização: Conforme foi divulgado, o Cidade Internet enviou no final da tarde uma nota de esclarecimento sobre o ataque. A exemplo da semana anterior, a empresa informa que a desfiguração não comprometeu qualquer tipo de serviço ou conteúdo e que não houve acesso ao banco de dados do portal. A nota informa ainda que as providências legais foram tomadas e seguirão os trâmites da lei.

14/3/2001 - 2:00 Giordani Rodrigues

Um adolescente de 15 anos foi preso ontem no estado de Michigan, nos Estados Unidos, sob a acusação de ter penetrado em sistemas da Nasa e desfigurado pelo menos três de seus sites. O rapaz está detido em um centro juvenil, aguardando julgamento, marcado para o próximo dia 28. Se for condenado, ele pode pegar até cinco anos de prisão.

As autoridades acusam o garoto, cujo nome não foi revelado devido à sua idade, de ter invadido e alterado páginas do Laboratório de Propulsão a Jato e Goddard Space Flight Center, ambos pertencentes à estrutura da Nasa, além do Laboratório Nacional Sandia, que faz parte do Departamento de Energia dos Estados Unidos. As desfigurações ocorreram em janeiro e são creditadas a um grupo hacker chamado ElectronicSouls, do qual o jovem faria parte.

Segundo o Attrition, site especializado em registrar este tipo de invasão, o ElectronicSouls também desfigurou vários outros sites comerciais, dentro e fora dos Estados Unidos. Países como Alemanha, China e Japão fazem parte da lista.

Nas acusações, constam dois ataques ao Goddard Space Flight Center. Ambos ocorreram em janeiro deste ano e foram registrados por Attrition. O grupo deixou mensagens provocativas nos sites, afirmando que a segurança dos sistemas era falha, ofendendo o administrador da rede e dizendo que faria seu trabalho de graça.

A prisão é significativa, pois segundo Stephen Nesbitt, que investiga invasões a computadores da Nasa, o jovem não teve acesso a informações confidenciais dos sistemas. O crime pelo qual ele pode ser punido foi apenas a desfiguração das páginas, o que ocorre dezenas de vezes todos os dias ao redor do mundo. Nesbitt recusou-se a dar maiores detalhes das investigações para não fornecer pistas a outros hackers.

As duas invasões ao Goddard Space Flight Center são idênticas. Para ver o registro feito por Attrition, clique aqui.

14/3/2001 - 2:00 Giordani Rodrigues

Um víus de origem sueca está se espalhando pela Internet como uma mensagem de julgamento, cuja condenação é a infecção dos computadores de usuários desprevenidos. Trata-se do W32/Magistr@MM, um worm criptografado que infecta arquivos e se auto-envia para endereços armazenados em diversos lugares.

"Após alguns minutos da execução do vírus, são criadas rotinas de envio do worm. Dessa forma, ele é enviado para e-mails cadastrados no Windows Address Book, Outlook Express e Netscape", explica Patrícia Ammirabile, representante do AVERT (Anti Virus Emergency Response Team), da McAfee, unidade de negócios da Network Associates.

Esse vírus guarda arquivos denominados WG-SKYF.DAT no diretório Windows. Os assuntos (subjects) são variados, existe corpo da mensagem e arquivos anexados. Também pode ser enviado mais de um anexo no e-mail.

O vírus infecta arquivos executáveis, encontrados dentro do diretório WINDOWS/SYSTEM e subdiretórios. O corpo da mensagem, será apresentado com os seguintes comentários:

ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The Judges Disemboweler. written in Malmo (Sweden)

Os sintomas serão apresentados por meio do aumento do tamanho de aproximadamente 28KB em arquivos executáveis (.EXE), presença de arquivos WG-SKYF.DAT no diretório Windows e chave de registro criada, carregando o worm na inicialização da máquina. O registro passa a apresentar a seguinte chave:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AppName(varies)=C:\WINDOS\SYSTEM\(App).EXE (varies).

Segundo a empresa antivírus britânica Sophos, o vírus apresenta uma lista de palavras, todas relacionadas a julgamento e condenação, como "sentences you", "ordered to prison", "guilty plea" e outras. As frases também podem vir em francês e em espanhol.

No site da McAfee, o vírus é considerado de risco médio. Tanto a McAfee quanto a Sophos já possuem "vacina" para o vírus, disponível nos sites das empresas.

14/3/2001 - 2:00 Giordani Rodrigues

Você já recebeu uma oferta para comprar listas de endereços eletrônicos? Saiba que existe um "mercado de mailing" solidamente estabelecido, com várias empresas vendendo seus produtos pela Internet. Essas companhias oferecem e-mails de pessoas físicas e jurídicas, aos milhões. Isso mesmo, milhões. São listagens "ideais para quem quer divulgar uma marca, um serviço ou um website", apregoam seus vendedores. E as ofertas se multiplicam: são CDs, programas espertos, pedidos de visitas a sites, oferecimentos diversos. Pensou em spam? Acertou!

São mensagens não desejadas, não autorizadas, simplesmente "aparecem" na caixa postal. Isso é spam. E, pior: além de invadir a privacidade, enganam os internautas dizendo estarem protegidos por lei. Muitos desses e-mails trazem, ao final, um alerta: "Conforme nova legislação sobre correio eletrônico, Seção 301, Parágrafo (a) (2) (c) Decreto S. 1618, Título Terceiro aprovado pelo "105 Congresso Base das Normativas Internacionais sobre o SPAM". Este email não poderá ser considerado SPAM, pois inclui uma forma de ser removido.Para ser removido de futuros correios, simplesmente responda indicando no assunto: Remover".

De acordo com o advogado Roberto Roland Junior, coordenador do Curso de Pós-Graduação em Direito e Internet da Universidade Gama Filho, no Rio de Janeiro, essa alegação é falsa. "Não temos ainda, no Brasil, legislação específica para a Internet. O que temos são leis que podem ser aplicadas por analogia, como as de proteção ao consumidor", explica. Mas, então, a que lei se referem esses spammers?

Na verdade, a lei existe, mas não se aplica ao território brasileiro. Trata-se de uma legislação do senado americano, uma emenda ao ato de 1934 relativo às telecomunicações. Apesar de mencionar como uma obrigação a forma de remoção de um endereço eletrônico em mensagens comerciais não solicitadas, a lei é bem mais complexa. Em suma, os spammers brasileiros citam apenas a parte que lhes interessa e como lhes convêm.

A continuação da emenda, na seção 305 (2) (c), por exemplo, diz que o fato de haver uma forma de remoção do endereço eletrônico não constitui autorização para o envio de mensagens não solicitadas. A página do Movimento Anti-Spam Brasileiro, possui até um texto sobre a questão, com o irônico título de "105º Congresso Mundial dos Spammers Brasileiros".

Ou seja, a propalada lei, além de não se aplicar ao Brasil, ainda pune os spammers – em alguns estados norte-americanos enviar spam dá cadeia, segundo Roland Junior – e não os autoriza a enviar correspondência não desejada para ninguém. Além disso, a forma de remoção funciona simplesmente como um sinal, para o spammer, de que o endereço está ativo. Assim, se você se sentir tentado a responder o spam, só estará mostrando que a caixa é usada...seu endereço passa a valer "ouro".

Para ter uma idéia dos valores envolvidos, uma das empresas que vende listagens oferece 2 milhões de de e-mails de pessoas físicas por R$ 250, 200 mil e-mails de pessoas jurídicas por R$ 150 e a possibilidade de fazer "pacotes": um milhão de endereços de pessoas físicas + 900 mil de pessoas jurídicas por R$ 450.

O advogado Roland Junior também leva a questão um pouco mais adiante. "Há uma quase histeria a respeito de spam, mas ninguém fica incomodado com as toneladas de malas-diretas que são depositadas todos os dias nas nossas caixas de correio físicas", argumenta. Para ele, o respeito à privacidade é um direito a ser defendido não só na Internet, mas principalmente fora dela. Afinal, endereço eletrônico altera-se ou cria-se um novo com um clique, já mudar de residência não é assim tão fácil.

Com colaboração de Eva Mothci

14/3/2001 - 2:00 Giordani Rodrigues

Quem desfigura páginas na Internet tem sempre uma boa desculpa para fazê-lo. Alertar o administrador do sistema sobre falhas na segurança, fazer crítica social ou política, lutar contra o sistema são as principais alegações. Será assim tão simples? O site belga SecurityWatch.com publicou há alguns dias um artigo sobre o assunto com um interessante ponto de vista. InfoGuerra entrou em contato com o site e solicitou permissão para traduzir e publicar o texto, que você pode ler abaixo:

Desfigurações de crackers contribuem para uma interessante leitura. Freqüentemente alegres, muitas vezes vulgares, às vezes tripudiam alardeando seu sucesso sobre uma companhia ou grupo. Há dois pontos principais que freqüentemente vêm à tona, ou desculpas se você quiser, pelo ataque: a esperteza do hacker pela exposição, e a ignorância ou preguiça do site ou companhia em relação à segurança. Ao ler tais desfigurações alguém pode pensar que devemos aplausos aos hackers e crackers por nos mostrar as falhas de segurança no "wide world" de websites da Internet. Mas quantos entre estes nossos amigos mascarados e secretos merecem a sorte dos elogios que clamam?

Nós da SecurityWatch conhecemos bem quão inseguras são as companhias, em sua maioria. Hackers éticos, e até os menos éticos crackers, são um importante incentivo a que pessoas e companhias reforcem sua segurança. É benéfico à companhia ou pessoa se um hacker malicioso bater à porta de seu sistema bancário na Internet. No entanto, o "hacking" útil ultrapassa tais situações. Por quê?

Há um apelo do tipo "Davi e Golias" na história de um garoto de 16 anos que derruba uma grande companhia apenas usando o cérebro. Não será democracia se não houver expressões de desaprovação contra o status quo (embora ilegal, nesse caso). Mas encaremos o fato, este garoto provavelmente acabará trabalhando para a dita companhia e se tornará exatamente como todo mundo na estrutura corporativa. Isso não é bem uma revolução social.

Outra razão comum para a atividade "hacking", de acordo com muitos hackers e crackers, é que as pessoas que não estão protegidas merecem isso. Não é um pouco injusto? Não é que a população online seja cabeça-dura, de forma alguma. Ao contrário do mago da computação de 16 anos, a maioria não tem tempo ou energia para freqüentemente atualizar seus computadores ou sistemas. Uma avó pode não saber como proteger os arquivos de seu computador, mas sua gramática é muito superior à de um cracker médio. Quem é estúpido, então?

No Sri Lanka há uma estação de TV chamada Young Asia Television. Eles promovem a paz e a cultura por meio de documentários curtos e estão trabalhando para o entendimento entre Tâmis e Singaleses envolvidos em um sangrento conflito étnico no Sri Lanka. Digamos que o site da empresa seja desfigurado, não por um Tâmil ou Singalês, mas por um garoto americano. A companhia tem tempo e dinheiro suficientes para gastar com (caros e muitas vezes raros no Sudeste Asiático) especialistas em computador? Não. Eles têm coisas mais importantes com que se concentrar. Estão tentando levar uma mensagem, mas um hacker preocupado está convencido a lhes mostrar seus problemas de segurança. As pessoas no Sri Lanka conhecem seus problemas de segurança. Eles têm passado por uma guerra cruel em seu país nos últimos 20 anos, com ondas de confusão por toda a Ilha. Neste caso, um hacker traz algum tipo de benefício?

Há hackers éticos, pessoas que querem expor falhas de segurança de modo a proteger a população em geral. Alguns hackers, ou crackers, realmente são revolucionários e inspirados por uma causa política. Eles querem criar problemas e não pretendem outra coisa. Todavia, para a maioria dos hackers, e particularmente para os crackers, parece que "hackear" é principalmente uma viagem de poder e uma forma de fazer micagens para o mundo com a petulância de quem prega uma peça. Afinal, se você está realmente tentando ajudar a segurança, pode arrombar um lugar e informar os proprietários por telefone, em vez de pichar.

Então, hackers e crackers do mundo, de script kiddies a estrelas da programação, o site Pizza Pizza "merece" ser hackeado? Vocês estão fazendo isso por eles?

Eu pensei que sim.


Obs.: Pizza Pizza é o site de uma pizzaria canadense que foi desfigurado no dia 24 de fevereiro deste ano. Segundo a autora do texto, tal desfiguração é o exemplo perfeito de um ato cujo único propósito foi enaltecer as atividades do cracker. Não houve discurso político, nenhum gigante do capitalismo foi atingindo, nem houve qualquer tipo de ganho financeiro.O registro do ataque foi feito pelo Attrition e pode ser visto aqui.

Artigo originalmente publicado no endereço http://www.securitywatch.com/newsforward/default.asp?AID=6006

Tradução de Giordani Rodrigues.

13/3/2001 - 2:00 Giordani Rodrigues

Duas instituições financeiras internacionais foram vítimas de hackers brasileiros neste domingo: o Banco da Mongólia e o Banco do Estado do Texas. No primeiro caso, o invasor identificado como f0ul, do grupo Silver Lords, desfigurou a página principal do site do banco, colocou a foto de seu presidente, O. Chuluunbat, e afirmou que havia transferido alguns dólares para sua conta no Brasil.

Ele também escreveu várias outras coisas na página. Usando uma gíria em inglês, chamou o administrador do sistema de incompetente, reproduziu alguns detalhes da invasão, disse que os hackers brasileiros dominavam e perguntou qual dos integrantes do grupo musical Backstreet Boys é gay — para em seguida reponder que "todos".

No caso do Banco do Texas, o hacker conhecido como McM4nus desfigurou o site apenas parcialmente. Aproveitando um dos frames da página, ironizou: "essa segurança é muito boa como podemos ver". Em seguida, também exaltou os piratas cibernéticos nacionais, afirmando que o "Brazil Rulez", isto é, que o Brasil domina a cena underground. Os dois sites já estão restabelecidos.

Para ver o espelho da invasão ao Banco da Mongólia, fornecido por Alldas, clique aqui. O ataque ao Banco do Texas foi registrado por Attrition e pode ser visto aqui.

13/3/2001 - 2:00 Giordani Rodrigues

O programa usado para desenvolver o vírus Anna Kournikova, chamado de VBS Worm Generator, ganhou uma nova versão com um detalhe alarmante — está bem mais poderoso. A versão 2.0 Beta da ferramenta foi lançada na última sexta-feira e ontem recebeu uma correção para uma falha de programação.

Segundo seu criador, um argentino de 18 anos que antes tinha o apelido de Kalamar e agora prefere ser chamado de [K] (incluindo os colchetes), a nova versão é capaz de criar worms que não são filtrados pelos programas antivírus, pelo menos até agora. [K] afirma que testou suas "criações" com os antivírus da Symantec, Kaspersky, McAfee e F-Secure e nenhum deles foi capaz de detectar os códigos maliciosos gerados pelo seu programa.

O VBS Worm Generator cria worms de Visual Basic Script que infectam mensagens de e-mail, arquivos e salas de bate-papo de IRC. Também é possível adicioná-los ao registro do Windows para que sejam ativados a cada vez que o computador é reiniciado. Os arquivos são gerados com códigos aleatórios de 10 letras, o que faz com que seja praticamente impossível gerar dois vírus iguais.

O mais impressionante da ferramenta é a facilidade de uso. Praticamente qualquer pessoa que tenha um mínimo de desenvoltura com um computador é capaz de criar suas próprias pragas virtuais. O programa vem com um manual de instruções e possui uma interface amigável, como se vê abaixo:


Basta escolher as opções e apertar o botão "generate". Na opção "E-mail", por exemplo, é possível escolher o assunto e o corpo da mensagem infectada e também se o vírus será enviado como arquivo anexado ou como código HTML.


No manual do programa, [K] avisa: "com esta opção (e-mail) o worm poderá percorrer o mundo em poucas horas, portanto, tenha cuidado".

Além das alternativas normais, o programa inclui uma seção de "extras", com características preocupantes. É possível fazer os vírus se recriarem, caso sejam deletados, usarem dois métodos de criptografia para dificultar sua detecção e carregarem programas executáveis junto com eles. Esta última opção pode fazer com que as pragas executem tarefas destrutivas no computador da vítima.

O VBS Worm Generator está disponível em alguns sites, inclusive no de [K]. Ao contrário do que foi publicado em uma reportagem da Cnet, o argentino não retirou de seu site a versão 1.5 do programa, que permitiu ao holandês conhecido como OnTheFly criar o Kournikova.

Apesar de todas as características citadas, [K] avisa que o propósito de sua invenção é apenas educacional. O manual de instruções traz o seguinte texto: "os arquivos criados com este programa têm a capacidade de se espalhar rapidamente pelo mundo através de e-mail, e podem travar alguns servidores de mensagens. Os worms servem apenas para aprendizado, não para propagação".

Como o programa é gratuito e está disponível para quem quiser baixá-lo, resta esperar que ninguém queira "aprender" em um computador alheio, o que é bem pouco provável.

12/3/2001 - 2:00 Giordani Rodrigues

A mesma página branca, a mesma pergunta — o homem realmente andou na Lua? — e novamente em um site da Nasa. Mas desta vez, os hackers do grupo Prime Suspectz, que na semana passada já haviam invadido com as mesmas características a agência espacial americana, deixaram também uma mensagem de adeus ao governador falecido Mário Covas.

"Mário Covas, descanse em paz", escreveram, em inglês, no site do "Space Environments and Effects Program", um programa da Nasa que estuda os efeitos do ambiente espacial sobre as naves. Detalhe: os hackers já declararam em uma entrevista que moram em São Paulo. A invasão aconteceu na madrugada de sábado e na manhã desta segunda-feira a página já tinha voltado ao normal.

Durante o final de semana, o grupo também desfigurou o endereço www.euro.gov.uk, site do governo britânico com informações sobre o Euro, e um subdomínio da Novell que realiza cursos pela Internet. Nas mensagens, os piratas deixaram uma de sua marcas registradas — o inglês macarrônico.

Os textos têm toda a aparência de serem escritos em português e depois traduzidos por tradutores eletrônicos. Quem já usou, sabe. Tais programas não conseguem alcançar as nuances da linguagem humana. Com algum esforço é possível entender o que os hackers quiseram dizer.

Na invasão ao site da Novell, por exemplo, o grupo escreveu, entre outras coisas ininteligíveis, "twirling a server". Provavelmente quiseram dizer "rodando um servidor", o que deve ser escrito como "running a server". Da forma como está, o sentido é de "fazer o servidor girar".

O site alemão Alldas registrou os ataques (e os textos). Confira-os, clicando no links abaixo:

Nasa

Euro

Novell

9/3/2001 - 2:00 Giordani Rodrigues

Alguns usuários do portal da Cidade Internet devem ter levado um susto ao tentar acessar o site na madrugada de hoje. Em vez do conteúdo normal encontraram a página principal desfigurada com um fundo branco e a frase "Hacked By DeVoN_DCLXVI" ("hackeado" por DeVoN_DCLXVI). DCLXVI é a representação em algarismos romanos para 666, o número da Besta do Apocalipse.

InfoGuerra fez vários contatos com o portal e sua assessoria de imprensa, por e-mail e telefone. A assessoria confirmou a invasão, mas até as 16 horas ainda não tinha uma versão oficial da empresa. Não se sabe, portanto, se só ocorreu a desfiguração do site, ou houve comprometimento de informações sensíveis, como senhas e dados de usuários.

Segundo o site alemão especializado Alldas, o ataque ocorreu em um servidor Microsoft IIS/4.0, um dos campeões de invasões. Os piratas cibernéticos costumam explorar uma vulnerabilidade em tal servidor, chamada de "Unicode" e que já tem correção desde o ano passado.

Cidade Internet é um portal com serviços variados, que também oferece acesso gratuito à Internet a assinantes de São Paulo, Rio de Janeiro, Belo Horizonte, Porto Alegre e Brasília. A empresa faz parte do grupo argentino Clarín e, de acordo com o próprio portal, recebeu investimentos de US$ 500 milhões do banco Goldman Sachs. No Brasil, também tem como sócio o grupo de comunicação O Dia, do Rio de Janeiro.

O hacker (ou grupo) identificado por DeVoN_DCLXVI é desconhecido. Conforme as estatísticas do site Alldas, que registou o ataque, a invasão dessa madrugada é a única em seu "currículo". Para ver como ficou o Cidade Internet, que rapidamente voltou ao normal, clique aqui.

9/3/2001 - 2:00 Giordani Rodrigues

O portal Cidade Internet, por meio de sua assessoria de imprensa, entrou em contato com InfoGuerra dando maiores detalhes do ataque de hackers sofrido pela empresa na madrugada de hoje. Conforme o e-mail enviado, a invasão não atingiu conteúdos, serviços ou informações do banco de dados do provedor. A nota afirma também que a origem do ataque já foi identificada. Leia, abaixo, a íntegra da mensagem:

"Informamos que o nível do comprometimento do ataque dos hackers ao portal Cidade Internet foi baixo, ocorrendo apenas a modificação da home page do portal na web, o que não comprometeu qualquer tipo de serviço, conteúdo ou acesso a banco de dados da Cidade Internet.

O ataque atingiu um bug de segurança no Microsoft IIS/4.0 e, como o portal já estava em processo de migração para IIS/5.0, essa providência irá neutralizar qualquer novo ataque dessa natureza.

Informamos, também, que a origem do ataque já foi localizada e que as providências legais estão em andamento."

9/3/2001 - 0:00 Giordani Rodrigues

O FBI revelou que vários grupos de crackers da Europa Oriental, especialmente da Rússia e da Ucrânia, roubaram mais de um milhão de números de cartões de crédito nos Estados Unidos, nos últimos meses. As principais vítimas foram empresas ligadas ao comércio e bancos eletrônicos. Mais de 40 companhias, em 20 estados americanos, foram lesadas. O golpe já está sendo considerado como o maior ataque criminoso da história da Web.

As investigações mostraram que os crackers exploraram vulnerabilidades não corrigidas em sistemas operacionais Windows NT usados pelas empresas. Depois de ganharem acesso aos sistemas, os criminosos baixaram informações confidenciais, como dados de clientes e números de cartões de crédito das vítimas.

Posteriormente, entraram em contato com as empresas, por fax, e-mail ou telefone, notificando as invasões. Então, tentavam extorqui-las, oferecendo serviços de segurança para evitar ataques de outros grupos. Diziam que, sem seus serviços, não podiam garantir que outros crackers não acessassem as redes e publicassem os dados na Internet.

Se a vítima não quisesse colaborar pagando pelos seus serviços, as correspondências tornavam-se mais ameaçadoras. Os investigadores acreditam que, em alguns casos, as informações foram vendidas a grupos do crime organizado e há evidências de que os dados roubados estejam em risco, independemente da colaboração das empresas.

O Centro Nacional de Proteção à Infra-estrutura dos Estados Unidos (NIPC) publicou um alerta com informações sobre as vulnerabilidades exploradas. O texto inclui links para correções das brechas de segurança e nomes de arquivos que podem indicar se um sistema foi invadido.

A Microsoft, que produz o Windows NT, também publicou um boletim, demonstrando sua preocupação com os ataques e exortando seus clientes a se manterem atualizados na correção das vulnerabilidades. Todas as falhas são conhecidas e possuem solução. Explicações detalhadas sobre como proceder podem ser encontradas no documento divulgado pela companhia. Clique aqui para acessá-lo.

7/3/2001 - 2:00 Giordani Rodrigues

"O homem realmente andou na Lua?" Esta foi a pergunta que os hackers do grupo brasileiro Prime Suspectz deixaram, em inglês, na página principal de um site da Nasa, a agência espacial americana. O endereço atacado, de um projeto chamado Geostationary Operational Environmental Satellite Project, estava fora do ar às 13 horas de hoje.

Além da frase, ironizando o feito dos americanos na década de 60, os hackers também escreveram "BRAZIL RLZ". "RLZ" é a sigla para a palavra inglesa "rules", e a frase quer dizer que os hackers do Brasil "dominam" a cena underground, uma provável referência ao fato de os grupos nacionais serem os mais ativos do mundo quando o assunto é desfiguração de sites.

O mais irônico da invasão é o fato de os endereços pertencentes à Nasa continuarem vulneráveis aos ataques dos piratas cibernéticos. A agência americana é um alvo extremamente visado por hackers do mundo inteiro, pois quem consegue invadir um de seus sites ganha "status" no submundo da Internet.

Mesmo assim, a atualização de brechas de segurança nos servidores do órgão continua falhando. Vários de seus endereços já foram desfigurados. O próprio Prime Suspectz já havia invadido, em novembro do ano passado, um site de informações técnicas e logísticas do Laboratório de Propulsão a Jato da Nasa.

Hoje, os hackers de outro grupo brasileiro, o Agressive Boys, também invadiram o site principal da Hewlett-Packard de Taiwan (www.hp.com.tw). Na desfiguração, deixaram frases como "Sempre existira alguém que fará um produto um pouco pior, para vender um pouco mais barato, e as vítimas são aquelas que, vem o preço e não a qualidade do produto" (sic) e "A sua inveja faz a minha fama".

Nas últimas semanas, vários endereços da HP, uma das maiores empresas de tecnologia do mundo, foram atacados. Uma das últimas invasões ocorreu no dia 18 de fevereiro, quando o grupo nacional Insanity Zine C0rp desfigurou o site Openview Solutions da companhia. No momento, o site da HP de Taiwan está fora do ar, mas até próximo das 13 horas ainda era possível vê-lo adulterado.

Os espelhos das invasões, registrados pelo site alemão Alldas, podem ser vistos nos links abaixo:

Nasa

HP Taiwan

7/3/2001 - 2:00 Giordani Rodrigues

"O homem realmente andou na Lua?" Esta foi a pergunta que os hackers do grupo brasileiro Prime Suspectz deixaram, em inglês, na página principal de um site da Nasa, a agência espacial americana. O endereço atacado, de um projeto chamado Geostationary Operational Environmental Satellite Project, estava fora do ar às 13 horas de hoje.

Além da frase, ironizando o feito dos americanos na década de 60, os hackers também escreveram "BRAZIL RLZ". "RLZ" é a sigla para a palavra inglesa "rules", e a frase quer dizer que os hackers do Brasil "dominam" a cena underground, uma provável referência ao fato de os grupos nacionais serem os mais ativos do mundo quando o assunto é desfiguração de sites.

O mais irônico da invasão é o fato de os endereços pertencentes à Nasa continuarem vulneráveis aos ataques dos piratas cibernéticos. A agência americana é um alvo extremamente visado por hackers do mundo inteiro, pois quem consegue invadir um de seus sites ganha "status" no submundo da Internet.

Mesmo assim, a atualização de brechas de segurança nos servidores do órgão continua falhando. Vários de seus endereços já foram desfigurados. O próprio Prime Suspectz já havia invadido, em novembro do ano passado, um site de informações técnicas e logísticas do Laboratório de Propulsão a Jato da Nasa.

Hoje, os hackers de outro grupo brasileiro, o Agressive Boys, também invadiram o site principal da Hewlett-Packard de Taiwan (www.hp.com.tw). Na desfiguração, deixaram frases como "Sempre existira alguém que fará um produto um pouco pior, para vender um pouco mais barato, e as vítimas são aquelas que, vem o preço e não a qualidade do produto" (sic) e "A sua inveja faz a minha fama".

Nas últimas semanas, vários endereços da HP, uma das maiores empresas de tecnologia do mundo, foram atacados. Uma das últimas invasões ocorreu no dia 18 de fevereiro, quando o grupo nacional Insanity Zine C0rp desfigurou o site Openview Solutions da companhia. No momento, o site da HP de Taiwan está fora do ar, mas até próximo das 13 horas ainda era possível vê-lo adulterado.

Os espelhos das invasões, registrados pelo site alemão Alldas, podem ser vistos nos links abaixo:

Nasa

HP Taiwan

6/3/2001 - 2:00 Giordani Rodrigues

"Minha mulher nunca apareceu assim". Tal é a mensagem, em inglês, que está enganando muitos usuários de computador desprevenidos pelo mundo. Trata-se do novo vírus Troj_NakedWife ou W32/Naked, cujo número de ataques está se ampliando rapidamente, segundo as principais empresas antivírus do mercado.

O vírus tenta ludibriar as pessoas com um arquivo que se faz passar por um vídeo pornô, aparentemente mostrando a esposa do remetente nua. A praga chega por e-mail com as seguintes características:

Assunto: FW: Naked Wife (Esposa Nua)

Corpo da mensagem: My wife never look like that :)
Best Regards,


(Em tradução livre, "Minha mulher nunca apareceu assim", seguido de cumprimentos e o nome do remetente)

Anexo: NakedWife.exe (EsposaNua.exe)

Se o usuário cair na tentação e clicar no arquivo anexado, este mostrará a seguinte animação em Flash:



Nesse momento, a praga passa a destruir os arquivos com extensões DLL, INI, EXE, BMP e COM presentes na pasta Windows e nos diretórios de sistema. Caso a infecção seja bem sucedida, a única forma de ter o computador funcionando de forma adequada novamente é reinstalando o sistema operacional.

O NakedWife também se propaga através do Microsoft Outlook para todos os contatos da lista de e-mail do usuário afetado. Depois de se auto-enviar, o vírus mostra uma janela com o título de "Flash" e uma mensagem mal-educada assinada por BGK (Bill Gates Killer).

A Trend Micro está classificando a praga como de risco médio, a McAfee como de alto risco, a Symantec como de alto risco de destruição e médio de disseminação e a Sophos informa que já recebeu vários relatos de ataques do vírus.

Casos como este demonstram que o método de enganar os usuários com fotos e mensagens atraentes, usados por vírus como I Love You e o recente Anna Kournikova, continuam sendo eficientes. Por mais que as empresas alertem as pessoas sobre os riscos de abrir anexos de e-mails suspeitos, a curiosidade continua "matando o gato". Pense: você acha que alguém realmente lhe mandaria um vídeo da própria esposa nua?

1/3/2001 - 2:00 Giordani Rodrigues

A empresa britânica Sophos acaba de divulgar seu ranking mensal de ataques de vírus de computador. Entre as dez pragas mais ativas do mês de fevereiro, o primeiro lugar ficou com o worm VBS/SST-A, que se tornou famoso no mundo pelo apelido de Anna Kournikova. O vírus tenta enganar o usuário com uma suposta foto da bela tenista russa.

A classificação do vírus no ranking não chega a causar espanto, já que ele se tornou uma epidemia durante alguns dias. O que chama a atenção é o número divulgado. Quase 40% do total de infeções no mês passado foi devido ao Kournikova.

"O Kournikova não é trabalho de um gênio, no entanto conseguiu enganar centenas de milhares de pessoas ao redor do mundo", afirmou Graham Cluley, consultor de tecnologia da Sophos. "Vamos lá, pessoal, acordem! Não sejam ludibriados pelo próximo vírus igual a este. Usem programas antivírus atualizados, obedeçam às regras básicas de computação segura e, acima de tudo, pensem antes de clicarem em algo", alertou.

Em segundo lugar no relatório, com 11,7% das infecções, vem o Apology-B, também chamado de W32/MTX e, em terceiro, o Hybris-B, uma das variantes do "Branca de Neve pornô", com 7,8%. Segundo a Sophos, foram descobertos 875 novos vírus em fevereiro.

Veja abaixo o gráfico com os "dez mais" do mês:

1/3/2001 - 2:00 Giordani Rodrigues

Como se não bastasse a intensa atividade dos hackers brasileiros, que colocam o país na lamentável liderança mundial quando o assunto é invasão de sites, agora aparece mais um grupo. E começou invadindo o site da filial da Petrobras na Colômbia, além de outros de alto perfil.

Os hackers identificam-se como "Supreme Entity". Apesar do nome em inglês, provavelmente são brasileiros, levando-se em conta um pequeno poema escrito em português e deixado nos sites invadidos, incluindo o da Petrobras: "As crianças ficam em calçadas tão geladas/ quanto o coração daqueles que prometem ajudar,/ mas nunca estendem as mãos".

Supreme Entity era um nome desconhecido da cena hacker nacional até este carnaval. Composto aparentemente por apenas dois integrantes — databoy e carnivore — o grupo teve uma estréia ambiciosa. Nos últimos dois dias, desfigurou páginas da Sony da Coréia, Faber-Castell da Austrália e Nintendo da Grécia.

O site da Petrobras foi atacado hoje e nesse momento (14 horas) está fora do ar. De acordo com as imagens de cache do mecanismo de busca Google, pelo endereço invadido é possível acessar a rede interna da empresa na Colômbia. O espelho do ataque, registrado por Attrition, pode ser visto aqui.

Canon do Brasil também é atacada

E por falar em empresas de alto perfil, o site da Canon do Brasil também foi desfigurado, na madrugada de hoje, pelo grupo Silver Lords, figurinha carimbada do underground brasileiro. Em vez de máquinas fotográficas, impressoras e copiadoras, o endereço www.canon.com.br passou a apresentar a imagem de uma personagem de desenho japonês. O ataque foi assinado pelo integrante ScorpionKTX.

No alto da página lia-se a inscrição "Silver Lords... lol =)". Lol é uma expressão usada na Internet e significa "lots of laughs" ou "laughing out loud" e quer dizer "rir muito" ou "rir alto". O símbolo =) é um dos muitos tipos de sorrisos usados em salas de bate-papo.

Na parte de baixo da página podia-se ler "ScorpioKTX was here...in another NT =)))" (ScorpionKTX esteve aqui...em outro NT), uma ironia à segurança do sistema operacional Windows NT. E também "Drain S.T.H rule!! Those girls are sooo sexy! =))" (Drain S.T.H. domina!! Aquelas garotas são tããão sexies"). Provavelmente a frase é uma referência ao grupo musical Drain S.T.H., que possui algumas mulheres em sua formação.

O site da Canon já voltou ao normal, mas a imagem da invasão pode ser vista aqui.