| Destaque |
Evento discute melhores práticas de segurança da informação
29/3/2005 - 18:55 Redação InfoGuerra
Começou nesta segunda-feira, dia 28, e se estende até o dia 31, em São Paulo, a 4a edição da Securitiy Week, evento que aborda as melhores práticas de segurança da informação para empresas de diversos segmentos, públicas e privadas. Profissionais de segurança da informação de grandes empresas com sede no Brasil e também convidados do exterior falarão da sua experiência e das tendências na área durante o evento.
Entre os palestrantes brasileiros estão: André Diamand, presidente da Future Security, que falará sobre "Novos desafios da infra-estrutura de segurança digital"; Carlos Carnevali, vice-presidente da Cisco, com o tema "A rede com auto-defesa"; Fernando Nery, presidente do Conselho de Administração da Modulo Security Solutions, com a palestra "Como convencer a alta administração a investir em Segurança da Informação"; Alexandre Mathias, diretor da ESPM-RJ, na conferência "O fator 'serviços' como diferencial competitivo nas empresas"; e Jorge Fornari, diretor executivo de Talentos Humanos e Qualidade da Claro, com o tema "A terceira competência - um convite à revisão do seu modelo de gestão."
Os especialistas estrangeiros apresentam novidades tecnológicas para acelerar o processo de combate à criminalidade digital no Brasil. Entre as novas atrações da Security Week deste ano, a Via Forum, promotora do evento, apresenta a 1a conferência do ISSA Brasil, trazendo como keynote um membro da vice-presidência mundial do consórcio (ISC)2, responsável por uma das mais cobiçadas certificações do mercado de segurança, a CISSP.
Haverá ainda a “Olimpíada da Segurança”, com workshops, jogos e palestras dirigidas a CSOs (Chief Security Officers) e suas equipes, além de cursos e treinamentos e uma área de exposição, com stands de várias empresas.
Mais informações podem ser obtidas no site www.securityweek.com.br. As inscrições também podem ser feitas pelo site ou diretamente na Via Forum, pelo telefone (21) 2266-3130. Para visitar a exposição paralela, o ingresso custa R$ 50,00.
| Artigos |
Produzindo redes seguras
24/3/2005 - 14:26 Edward Amoroso
A segurança das redes de computadores está novamente em evidência, principalmente pelas constantes quebras de sigilos que freqüentemente ocorrem. Os criminosos cibernéticos conseguem acesso ilegal a redes e bases de dados corporativos, permitindo que os mesmos explorem as informações pessoais de milhares de clientes. Estas quebras de sigilo também causam um impacto devastador nas empresas-alvo, dão um prejuízo de milhões de dólares em custos com os tribunais, perda de negócios, e ainda causam outros estragos.
A indústria manufatureira também está suscetível a quebras de sigilo. Os vírus e worms podem comprometer seriamente as aplicações críticas da indústria manufatureira, como a cadeia de suprimento, onde qualquer interrupção é crítica. A perda de conectividade à rede pode causar uma catastrófica falta de peças que interrompem a produção. Uma empresa manufatureira pode facilmente ter uma rápida perda potencial de milhões de dólares.
Os fabricantes que possuem uma boa presença na Web estão ainda mais vulneráveis. Uma empresa com vendas diretas pela Web poderia perder uma quantidade significativa de vendas de produtos online se o seu site fosse fechado, mesmo que por algumas horas. Imagine o estrago que causaria um vírus que retirasse o site por 24 horas? Mesmo assim, muitos fabricantes conduzem seus negócios com parceiros e fornecedores através das redes. Um ataque de vírus poderia incapacitar aplicações online críticas, como por exemplo, o controle de estoque, e informações de rastreamento de seus pedidos.
Estratégias de segurança reativa
Infelizmente, a maioria das medidas de segurança utilizadas atualmente são do estilo reativo. Os fabricantes de software oferecem caminhos para consertar as vulnerabilidades de seus sistemas após os mesmos serem identificados. As empresas de antivírus correm para construir filtros depois que os vírus aparecem. E, é claro, os times de TI corporativos precisam trabalhar horas extras para limpar as redes e instalar os corretivos após a ocorrência destas quebras.
Os “autores” dos vírus estão sendo cada vez mais ágeis em explorar as vulnerabilidades dos softwares assim que as suas novas versões são lançadas. O que acontecerá em alguns anos, quando os códigos mal-intencionados poderão limpar os discos rígidos dos computadores em questão de segundos?
Claramente, o estilo reativo de segurança não será suficiente. Embora os caminhos de correção sejam sempre uma tarefa essencial de segurança, eles não são suficientes para proteger as empresas das rápidas ações do “autores” de vírus. A solução consiste em identificar e neutralizar de modo pró-ativo os autores dos vírus antes que os mesmos se infiltrem nas redes corporativas. Nos próximos anos, os provedores líderes de serviços desenvolverão estratégias para tornar essas medidas de segurança pró-ativas uma realidade.
Os provedores de soluções utilizarão a segurança pró-ativa
Os provedores de serviços de rede criarão algumas iniciativas para prover a solução de segurança cibernética mais pró-ativa e poderosa da história. O primeiro passo é entender que a segurança pró-ativa significa mudar a segurança para a rede versus ter a batalha no perímetro.
Com suas avançadas capacidades de monitoramento, a AT&T descobriu que as anomalias no tráfico de Internet oferecem uma vantagem estratégica aos criminosos cibernéticos. Os autores dos vírus ― assim como a maioria das empresas de softwares ― escrevem códigos falhos que precisam ser testados e, freqüentemente, corrigidos antes de seus lançamentos. Através do monitoramento do tráfico global, a AT&T consegue identificar estes riscos potenciais antes que os mesmos ocorram.
Os provedores de serviços com capacidades de monitoramento, e fortemente treinados em análise de segurança cibernética, podem ajudar a proteger as redes corporativas. Os clientes são notificados de potenciais ameaças antes que as redes sejam atingidas, permitindo que os engenheiros de rede bloqueiem as portas alvo de um novo ataque de worms. Esta tendência representa uma mudança no paradigma da segurança cibernética ― de reativa para pró-ativa ― mas é somente a primeira fase de mudança da estratégia de segurança cibernética.
As redes e a segurança no futuro
Anos atrás, quando os engenheiros do Vale do Silício começaram a colocar os computadores em rede, eles previram uma rede de computadores na qual o usuário final trabalhasse em máquinas que não eram nada mais do que periféricos e cabos conectados a servidores em um local distante. É claro que a tecnologia disponível naquele momento tornou a previsão impossível de se colocar em prática. Atualmente, com os avanços da tecnologia de banda larga, esses conceitos estão ativos novamente.
Os provedores líderes de serviços de redes buscam oferecer redes de aplicativos, onde aplicativos críticos para o seu negócio são armazenados e entregues a partir de um data center central no mundo. Os recursos de redes são, desta forma, manipulados mais facilmente, indiferentemente se forem, por exemplo, armazenagem on-demand, banda para vários projetos ou ainda priorização instantânea para maior segurança.
Ainda mais importante, estes provedores serão capazes de administrar os corretivos dos softwares em vez de o departamento de TI ter que administrá-los individualmente nos computadores de cada usuário final. Com aplicativos hospedados em data centers, os provedores poderão utilizar suas capacidades de monitoramento para encontrar vírus antes que se tornem um problema e, desta forma, aplicar os filtros necessários para que os vírus nunca atinjam as redes corporativas de seus clientes. As empresas economizarão milhões em custos relativos a segurança de TI, e ganharão a confiança por desviar os ataques cibernéticos antes que afetem suas operações.
As empresas devem agradecer a nova era de segurança cibernética, a qual permite que as redes identifiquem e protejam, de maneira pró-ativa, os ataques cibernéticos antes que os mesmos afetem sistemas críticos. A segurança baseada na rede provê uma solução com custos mais baixos para garantir que os sistemas críticos da cadeia de fornecimento mantenha-se funcionando e proteger os dados de sua rede. Para maximizar a proteção da rede, os fabricantes devem procurar provedores de serviços que irão oferecer este nível de segurança baseada na rede no futuro.
Edward Amoroso é Chief Information Security Officer da AT&T e lidera as iniciativas da empresa na área de segurança e proteção global de redes.
| Destaque |
Trojan para roubar senhas é hospedado no site da Abrinq
17/3/2005 - 21:47 Giordani Rodrigues
Mais um golpe eletrônico projetado para roubar senhas bancárias circulou neste último final de semana. A isca, desta vez, foi uma suposta campanha da Associação Brasileira dos Fabricantes de Brinquedos (Abrinq) para arrecadar fundos que seriam destinados a crianças. Este phishing scam, porém, tinha um agravante: os golpistas conseguiram hospedar dentro do site da própria Abrinq o cavalo-de-tróia usado no e-mail fraudulento. O programa maléfico esteve no ar durante pelo menos cinco dias, desde o sábado, dia 12 de março, até o final da tarde desta quinta-feira, 17.
A falsa mensagem trazia o logotipo da Abrinq e o seguinte texto: “Faça uma criança feliz! Baixe a nossa proteção de tela e ajude-nos a dar um pouco mais de alegria para as crianças brasileiras! Baixando a nossa proteção de tela você estará ajudando-nos a arrecadar fundos com os anunciantes”. A suposta proteção de tela, na verdade um trojan, estava em www.abrinq.com.br/tela-ABRINQ.exe.
Este detalhe tornava mais fácil enganar um internauta leigo, fazendo-o crer que se tratasse de uma campanha legítima da Abrinq. Na maioria dos outros scams que apresentam um endereço aparentemente legítimo de uma empresa ou instituição, basta colocar o mouse sobre o link para perceber que o endereço aponta para um site completamente diferente do informado.
InfoGuerra baixou o arquivo “tela-ABRINQ.exe” e o submeteu para análise no site VirusTotal.com. O resultado foi a detecção do cavalo-de-tróia PWS-Bancban.gen.b, também chamado de Trojan-Spy.Win32.Banker.ju ou Win32/Bancos.Variant!PWS!Trojan por algumas empresas antivírus. Variantes desse trojan vêm circulando há meses no país.
Quando o arquivo é instalado na máquina, falsas telas de acesso a serviços de Internet Banking são abertas toda vez que o usuário tenta acessar sua conta corrente em sites de grandes bancos brasileiros, como Banco do Brasil, Itaú, Bradesco, Caixa Econômica Federal e outros. As informações capturadas, como número da conta e senhas, são então enviadas diretamente ao golpista, por meio da própria conexão do internauta.
Na quarta-feira, dia 16, InfoGuerra entrou em contato com a Abrinq para saber como o trojan tinha ido parar no site da associação. A funcionária Priscila Finotelli, que se identificou como responsável pelo site, não esclareceu esse ponto, mas disse que estavam sendo tomadas providências para resolver o caso.
A partir daquele momento, quem acessasse o site da Abrinq veria um pop-up com o seguinte aviso: “ATENÇÃO ! Para conhecimento. A ABRINQ não está divulgando e-mail com downloands (sic). Obs.: Vírus” (veja cópia do alerta). O arquivo maléfico, porém, permaneceu ainda mais um dia no ar, e só foi retirado no final da tarde de quinta-feira, 17. Neste momento, todo o site da Abrinq está indisponível, com um aviso de que está "em atualização". A única coisa que continua acessível é o pop-up com o alerta, em www.abrinq.com.br/popup.html.
Uma cópia da mensagem fraudulenta em nome da associação pode ser vista aqui.
| Destaque |
Scam usa nome de ex-marido de Margareth Thatcher
16/3/2005 - 19:53 Giordani Rodrigues
A empresa britânica Sophos está alertando os usuários de computador sobre um novo scam (golpe) enviado por e-mail, que tenta enganar os destinatários usando o nome de sir Denis Thatcher, que foi casado com a ex-primeira-ministra da Inglaterra, Margareth Thatcher. A falsa mensagem promete uma parte da fortuna de Thatcher, morto aos 88 anos em 2003, mas o objetivo real da fraude é roubar informações pessoais e dinheiro das vítimas.
O golpe é uma variante do famigerado esquema da Nigéria. O e-mail, que afirma ser proveniente dos advogados de Thatcher, alega que o destinatário está listado como beneficiário no testamento de sir Denis e por isso receberá 950 mil libras esterlinas (quase R$ 5 milhões) como compensação por trabalhos prestados aos menos favorecidos em seu país de origem. O e-mail afirma também que Denis Thatcher acumulou esse dinheiro em sua longa e bem-sucedida carreira empresarial.
Para ganhar a herança, a mensagem pede que o internauta forneça informações pessoais, como números de documentos, endereço e números de telefone e fax, os quais seriam exigência da legislação britânica. Quem acreditar na mensagem e fornecer os dados. será requisitado depois a enviar dinheiro para liberar a suposta herança. Este dinheiro, obviamente, nunca será devolvido, muito menos a fortuna será entregue.
Uma cópia da mensagem fraudulenta, em inglês, pode ser vista no site da Sophos.
| Noticias |
Projeto de honeypots divulga estatísticas de potenciais ataques
10/3/2005 - 14:38 Redação InfoGuerra
O Consórcio Brasileiro de Honeypots - Projeto Honeypots Distribuídos, coordenado pelo Grupo de Resposta a Incidentes de Segurança para a Internet Brasileira (NBSO) e pelo Centro de Pesquisas Renato Archer (CenPRA), começou este mês a divulgar as estatísticas diárias dos dados coletados nas máquinas que fazem parte do projeto.
Honeypots, que em inglês significa potes de mel, são ambientes especialmente preparados para atrair atacantes de sistemas e, dessa forma, poder estudar seu comportamento e ajudar a combater os ataques. Por causa disso, todo tráfego direcionado a honeypots é potencialmente malicioso. Com as estatísticas, o Consórcio espera auxiliar administradores de redes e profissionais de segurança a manter seus sistemas seguros, além de usuários finais que possuam conhecimento avançado de redes e tenham interesse em acompanhar que atividades maliciosas estão sendo monitoradas no espaço brasileiro da Internet.
As estatísticas disponíveis mostram um resumo das atividades observadas diariamente por todos os honeypots do projeto nos últimos sete dias. Os dados incluem os pacotes e bytes enviados às dez portas TCP mais freqüentes e às dez portas UDP mais freqüentes, os dez países que mais originam tráfego, e os sistemas operacionais que mais originam tráfego, tudo distribuído em gráficos que mostram os horários do dia com maior concentração de atividade. Os dados coletados também serão utilizados pelo NBSO para identificar atividades maliciosas partindo de redes brasileiras e alertar seus responsáveis.
O Consórcio Brasileiro de Honeypots reúne mais de 20 instituições que abrigam diversos honeypots em suas redes e compartilham os dados coletados com a coordenação. Os participantes do projeto são: ANSP, Brasil Telecom, CBPF, CERT-RS, Diveo, Durand, Fiocruz, HP Brasil, INPE, ITA, LNCC, PUC-RIO, RedeRio, TCU, UFRJ, UFRN, Unesp, Unicamp, Unitau, USP e UnB.
A página com as estatísticas pode ser acessada a partir do endereço http://www.honeypots-alliance.org.br/stats/.
| Destaque |
Descoberto primeiro vírus de celular a se espalhar por mensagens multimídia
8/3/2005 - 18:04 Giordani Rodrigues
A empresa antivírus finlandesa F-Secure anunciou a descoberta do primeiro vírus para celular capaz de infectar aparelhos por meio de mensagens MMS (Multimedia Messaging Service). O serviço MMS é usado para enviar mensagens multimídia, isto é, que contêm não só texto, mas também sons e imagens, como vídeos, fotos e animações.
Batizada de Commwarrior.A, a praga, que também pode se propagar usando a tecnologia Bluetooth como os outros vírus de celular surgidos até agora, é considerada pela F-Secure um avanço na popularização desse tipo de ameaça. O motivo é que o Bluetooth ― que permite a comunicação direta de um dispositivo móvel com outro ― tem um alcance limitado a algumas dezenas de metros, enquanto o alcance do serviço MMS é, teoricamente, global.
Um problema adicional é que, com o MMS, também se pode receber e enviar mensagens multimídia entre celulares e contas de e-mail. A primeira indicação de um código maléfico como o Commwarrior ocorreu em janeiro, na Sérvia, em um fórum de discussão no qual se alertava para um vírus que se espalhava entre celulares com o sistema Symbian Series 60, enviando aleatoriamente mensagens MMS para toda a lista de contatos de um aparelho infectado.
De acordo com a F-Secure, as primeiras indicações sugerem que o Commwarrior.A é de origem russa. A companhia informa que a praga contém o texto "OTMOP03KAM HET!" e que uma tradução aproximada disto, em russo, seria “não para estúpidos”. Apesar da potencial ameaça representada pelo Commwarrior, a F-Secure informa que o vírus se replica lentamente e que a empresa está investigando o porquê.
“A situação não é crítica, já que não recebemos muitos relatos de nossos clientes, mas o Commwarrior pode criar uma despesa indesejada aos usuários de celulares infectados, ao enviar mensagens MMS sem sua interação”, afirma Antti Vihavainen, diretor de soluções para operações móveis da companhia finlandesa. E acrescenta: “Os telefones podem ser facilmente protegidos usando o senso comum. Nenhum dos vírus para celular atuais tem capacidade de instalar a si mesmo sem que o usuário quebre os padrões contidos nos alertas de segurança”.
Características do Commwarior
Tecnicamente, o Commwarrior é classificado como um worm, isto é, um código maléfico com capacidade própria de replicação, sem necessidade de infectar um outro arquivo para isso. Opera em dispositivos Symbian Series 60, infectando via Bluetooth e serviço MMS.
Ao infectar um aparelho, procura por outros telefones que possuam tecnologia Bluetooth na área de alcance e tenta lhes enviar um arquivo com extensão .SIS e nome aleatório, dificultando seu reconhecimento.
Para se enviar por MMS, o worm lê a agenda telefônica do aparelho infectado e envia mensagens a este números contendo um texto variável e o arquivo commw.sis, que é uma cópia da praga. A reprodução de uma mensagem infectada pode ser vista abaixo:
|
| Destaque |
Falhas do RealPlayer que permitem invasão são corrigidas
3/3/2005 - 19:42 Giordani Rodrigues
A RealNetworks publicou novas versões do seu reprodutor de mídia RealPlayer, que resolvem vulnerabilidades encontradas em várias versões do programa, para Windows, Mac e Linux. As brechas de segurança permitem que um invasor rode códigos de sua escolha num sistema alheio a partir de um ataque ao RealPlayer.
Há duas possibilidades básicas de ataque: com o uso de arquivos maliciosos nos formatos WAV ou SMIL (sigla de Synchronized Multimedia Integration Language, que permite a sincronização de vários tipos de arquivos de mídia na Web). A falha, do tipo estouro de buffer, dá a terceiros acesso remoto ao computador no qual o programa afetado esteja instalado.
A relação das várias versões do RealPlayer atingidas, bem como as orientações para atualização do software, podem ser encontradas, em português, na página http://service.real.com/help/faq/security/050224_player/PT-BR/
| Noticias |
2º ISSA Day reúne profissionais de segurança da informação em Campinas
2/3/2005 - 21:19 Redação InfoGuerra
A ISSA (Information Systems Security Association) Brasil-SP, com o apoio da Faculdade IBTA, Unidade Campinas, e patrocínio da Security Week Brasil, está promovendo o 2º ISSA Day, que reunirá profissionais de Segurança da Informação de Campinas e região. O encontro ocorre no próximo sábado, 5 de março, das 9 horas às 12h30, na sede da IBTA.
As palestras darão continuidade ao primeiro evento do gênero, ocorrido em outubro de 2004, e abordarão temas como segurança em ambientes Windows, segurança em redes wireless e crimes digitais. As apresentações serão feitas por especialistas destas áreas.
A Faculdade IBTA em Campinas fica no Colégio Notre Dame, na Rua Egberto Ferreira de Arruda Camargo, 151. Os valores do evento são: R$ 40,00 para profissionais, R$ 20,00 para estudantes e gratuito para associados da ISSA. As inscrições e a programação completa podem ser encontradas na página www.issabrasil.org/eventos_marco2005.asp.
| Noticias |
Brasil é um dos países mais atingidos pelo novo Bagle
2/3/2005 - 20:49 Giordani Rodrigues
Empresas antivírus estão emitindo alertas devido à ampla distribuição de uma nova variante do worm Bagle. Batizada com nomes como Bagle.BE ou BagleDl-L, a praga já está sendo classificada como de médio risco pela Trend Micro, F-Secure e outras. Segundo as estatísticas da Trend Micro, o Brasil já é o segundo país mais atingido por esta variante, atrás dos Estados Unidos, que estão bem à frente dos demais países em quantidade de infecções.
As primeiras levas do Bagle.BE foram enviadas deliberadamente por meio de spam a uma grande quantidade de internautas no mundo inteiro. A maioria dos e-mails traz a linha de assunto em branco, e a expressão “price” ou “new price” no corpo das mensagens, além de um anexo comprimido no formato ZIP (08_price.zip, new__price.zip, e outros).
Quando aberto, o anexo libera um programa malicioso (malware) que tenta se conectar a vários sites e baixar mais códigos maléficos. De acordo com a Sophos, o malware também tenta interromper vários aplicativos de segurança, como antivírus e firewalls, renomeando alguns de seus arquivos ou, conforme a F-Secure, deletando chaves de registro. Ainda tenta bloquear, modificando o arquivo HOSTS do Windows, o acesso a uma série de sites relacionados à segurança, incluindo os de atualizações de softwares de proteção.
Apresentando componentes de worm e trojan, o novo Bagle instala ainda o arquivo windlhhl.exe na pasta System do Windows e altera o registro do sistema para se executar a cada reinício da máquina. De acordo com a F-Secure, a praga também instala uma porta oculta (backdoor) que “escuta” na porta 80 e está codificada por uma senha. O “dono” do malware que souber a senha pode se conectar ao computador afetado e executar programas de sua escolha no sistema.
| Noticias |
Pragas Zafi.D e Sdbot dominam listas de fevereiro
1/3/2005 - 21:26 Redação InfoGuerra
As empresas antivírus Sophos e McAfee divulgaram hoje seus rankings com os vírus mais ativos de fevereiro. Na lista da McAfee, que se refere ao total de contaminações registradas pela empresa na América Latina, a praga mais reportada no mês que passou foi o worm Sdbot e suas variantes. Na da Sophos, cujas estatísticas se referem aos casos reportados em todo o mundo, o Zafi.D ocupou a primeira posição no mesmo período.
No ranking da McAfee, o Sdbot e suas variantes ficaram com 20% dos casos na América Latina. Em seguida, vem o worm Gaobot e suas variantes, que responderam por 17% dos ataques. Em terceiro lugar, aparece o Mydoom.bb, responsável por 15% das infecções, seguido pelo trojan StartPage-DU, com 13%.
Segundo a empresa, os cavalos-de-tróia PWS-Bancos e PWS-Bancban, usados em golpes que atingem clientes de Internet Banking de instituições brasileiras, ocuparam a quinta e a sexta posições no ranking de fevereiro, com 10% e 8% dos casos, respectivamente.
Já na lista da Sophos, o Zafi-D, surgido no final de 2004, está em primeiro lugar pelo terceiro mês consecutivo. Em fevereiro, foi responsável por 30,8% dos casos detectados pela empresa no mundo. Em segundo lugar, com 22,3% dos casos, vem o Netsky-P, um worm também do ano passado. No ranking da Sophos dominam os vírus antigos, com apenas duas novas pragas: o Bagle-BK e o Sober-K.
De acordo com pesquisa da empresa, mais de 3,5%, ou um em cada 28 e-mails que circularam no mês de fevereiro, tinham conteúdo virulento. Isto significa uma redução em comparação ao mês anterior, quando um em cada 23 e-mails estava corrompido.
Veja o ranking completo das duas empresas:
McAfee
1. W32/Sdbot.worm (e variantes) - 20%
2. W32/Gaobot.worm.gen (e variantes) - 17%
3. W32/Mydoom.bb@MM - 15%
4. StartPage-DU - 13%
5. PWS-Bancos - 10%
6. PWS-Bancban - 8%
7. W
| Destaque |
Evento discute melhores práticas de segurança da informação
29/3/2005 - 18:55 Redação InfoGuerra
Começou nesta segunda-feira, dia 28, e se estende até o dia 31, em São Paulo, a 4a edição da Securitiy Week, evento que aborda as melhores práticas de segurança da informação para empresas de diversos segmentos, públicas e privadas. Profissionais de segurança da informação de grandes empresas com sede no Brasil e também convidados do exterior falarão da sua experiência e das tendências na área durante o evento.
Entre os palestrantes brasileiros estão: André Diamand, presidente da Future Security, que falará sobre "Novos desafios da infra-estrutura de segurança digital"; Carlos Carnevali, vice-presidente da Cisco, com o tema "A rede com auto-defesa"; Fernando Nery, presidente do Conselho de Administração da Modulo Security Solutions, com a palestra "Como convencer a alta administração a investir em Segurança da Informação"; Alexandre Mathias, diretor da ESPM-RJ, na conferência "O fator 'serviços' como diferencial competitivo nas empresas"; e Jorge Fornari, diretor executivo de Talentos Humanos e Qualidade da Claro, com o tema "A terceira competência - um convite à revisão do seu modelo de gestão."
Os especialistas estrangeiros apresentam novidades tecnológicas para acelerar o processo de combate à criminalidade digital no Brasil. Entre as novas atrações da Security Week deste ano, a Via Forum, promotora do evento, apresenta a 1a conferência do ISSA Brasil, trazendo como keynote um membro da vice-presidência mundial do consórcio (ISC)2, responsável por uma das mais cobiçadas certificações do mercado de segurança, a CISSP.
Haverá ainda a “Olimpíada da Segurança”, com workshops, jogos e palestras dirigidas a CSOs (Chief Security Officers) e suas equipes, além de cursos e treinamentos e uma área de exposição, com stands de várias empresas.
Mais informações podem ser obtidas no site www.securityweek.com.br. As inscrições também podem ser feitas pelo site ou diretamente na Via Forum, pelo telefone (21) 2266-3130. Para visitar a exposição paralela, o ingresso custa R$ 50,00.
| Artigos |
Produzindo redes seguras
24/3/2005 - 14:26 Edward Amoroso
A segurança das redes de computadores está novamente em evidência, principalmente pelas constantes quebras de sigilos que freqüentemente ocorrem. Os criminosos cibernéticos conseguem acesso ilegal a redes e bases de dados corporativos, permitindo que os mesmos explorem as informações pessoais de milhares de clientes. Estas quebras de sigilo também causam um impacto devastador nas empresas-alvo, dão um prejuízo de milhões de dólares em custos com os tribunais, perda de negócios, e ainda causam outros estragos.
A indústria manufatureira também está suscetível a quebras de sigilo. Os vírus e worms podem comprometer seriamente as aplicações críticas da indústria manufatureira, como a cadeia de suprimento, onde qualquer interrupção é crítica. A perda de conectividade à rede pode causar uma catastrófica falta de peças que interrompem a produção. Uma empresa manufatureira pode facilmente ter uma rápida perda potencial de milhões de dólares.
Os fabricantes que possuem uma boa presença na Web estão ainda mais vulneráveis. Uma empresa com vendas diretas pela Web poderia perder uma quantidade significativa de vendas de produtos online se o seu site fosse fechado, mesmo que por algumas horas. Imagine o estrago que causaria um vírus que retirasse o site por 24 horas? Mesmo assim, muitos fabricantes conduzem seus negócios com parceiros e fornecedores através das redes. Um ataque de vírus poderia incapacitar aplicações online críticas, como por exemplo, o controle de estoque, e informações de rastreamento de seus pedidos.
Estratégias de segurança reativa
Infelizmente, a maioria das medidas de segurança utilizadas atualmente são do estilo reativo. Os fabricantes de software oferecem caminhos para consertar as vulnerabilidades de seus sistemas após os mesmos serem identificados. As empresas de antivírus correm para construir filtros depois que os vírus aparecem. E, é claro, os times de TI corporativos precisam trabalhar horas extras para limpar as redes e instalar os corretivos após a ocorrência destas quebras.
Os “autores” dos vírus estão sendo cada vez mais ágeis em explorar as vulnerabilidades dos softwares assim que as suas novas versões são lançadas. O que acontecerá em alguns anos, quando os códigos mal-intencionados poderão limpar os discos rígidos dos computadores em questão de segundos?
Claramente, o estilo reativo de segurança não será suficiente. Embora os caminhos de correção sejam sempre uma tarefa essencial de segurança, eles não são suficientes para proteger as empresas das rápidas ações do “autores” de vírus. A solução consiste em identificar e neutralizar de modo pró-ativo os autores dos vírus antes que os mesmos se infiltrem nas redes corporativas. Nos próximos anos, os provedores líderes de serviços desenvolverão estratégias para tornar essas medidas de segurança pró-ativas uma realidade.
Os provedores de soluções utilizarão a segurança pró-ativa
Os provedores de serviços de rede criarão algumas iniciativas para prover a solução de segurança cibernética mais pró-ativa e poderosa da história. O primeiro passo é entender que a segurança pró-ativa significa mudar a segurança para a rede versus ter a batalha no perímetro.
Com suas avançadas capacidades de monitoramento, a AT&T descobriu que as anomalias no tráfico de Internet oferecem uma vantagem estratégica aos criminosos cibernéticos. Os autores dos vírus ― assim como a maioria das empresas de softwares ― escrevem códigos falhos que precisam ser testados e, freqüentemente, corrigidos antes de seus lançamentos. Através do monitoramento do tráfico global, a AT&T consegue identificar estes riscos potenciais antes que os mesmos ocorram.
Os provedores de serviços com capacidades de monitoramento, e fortemente treinados em análise de segurança cibernética, podem ajudar a proteger as redes corporativas. Os clientes são notificados de potenciais ameaças antes que as redes sejam atingidas, permitindo que os engenheiros de rede bloqueiem as portas alvo de um novo ataque de worms. Esta tendência representa uma mudança no paradigma da segurança cibernética ― de reativa para pró-ativa ― mas é somente a primeira fase de mudança da estratégia de segurança cibernética.
As redes e a segurança no futuro
Anos atrás, quando os engenheiros do Vale do Silício começaram a colocar os computadores em rede, eles previram uma rede de computadores na qual o usuário final trabalhasse em máquinas que não eram nada mais do que periféricos e cabos conectados a servidores em um local distante. É claro que a tecnologia disponível naquele momento tornou a previsão impossível de se colocar em prática. Atualmente, com os avanços da tecnologia de banda larga, esses conceitos estão ativos novamente.
Os provedores líderes de serviços de redes buscam oferecer redes de aplicativos, onde aplicativos críticos para o seu negócio são armazenados e entregues a partir de um data center central no mundo. Os recursos de redes são, desta forma, manipulados mais facilmente, indiferentemente se forem, por exemplo, armazenagem on-demand, banda para vários projetos ou ainda priorização instantânea para maior segurança.
Ainda mais importante, estes provedores serão capazes de administrar os corretivos dos softwares em vez de o departamento de TI ter que administrá-los individualmente nos computadores de cada usuário final. Com aplicativos hospedados em data centers, os provedores poderão utilizar suas capacidades de monitoramento para encontrar vírus antes que se tornem um problema e, desta forma, aplicar os filtros necessários para que os vírus nunca atinjam as redes corporativas de seus clientes. As empresas economizarão milhões em custos relativos a segurança de TI, e ganharão a confiança por desviar os ataques cibernéticos antes que afetem suas operações.
As empresas devem agradecer a nova era de segurança cibernética, a qual permite que as redes identifiquem e protejam, de maneira pró-ativa, os ataques cibernéticos antes que os mesmos afetem sistemas críticos. A segurança baseada na rede provê uma solução com custos mais baixos para garantir que os sistemas críticos da cadeia de fornecimento mantenha-se funcionando e proteger os dados de sua rede. Para maximizar a proteção da rede, os fabricantes devem procurar provedores de serviços que irão oferecer este nível de segurança baseada na rede no futuro.
Edward Amoroso é Chief Information Security Officer da AT&T e lidera as iniciativas da empresa na área de segurança e proteção global de redes.
| Destaque |
Trojan para roubar senhas é hospedado no site da Abrinq
17/3/2005 - 21:47 Giordani Rodrigues
Mais um golpe eletrônico projetado para roubar senhas bancárias circulou neste último final de semana. A isca, desta vez, foi uma suposta campanha da Associação Brasileira dos Fabricantes de Brinquedos (Abrinq) para arrecadar fundos que seriam destinados a crianças. Este phishing scam, porém, tinha um agravante: os golpistas conseguiram hospedar dentro do site da própria Abrinq o cavalo-de-tróia usado no e-mail fraudulento. O programa maléfico esteve no ar durante pelo menos cinco dias, desde o sábado, dia 12 de março, até o final da tarde desta quinta-feira, 17.
A falsa mensagem trazia o logotipo da Abrinq e o seguinte texto: “Faça uma criança feliz! Baixe a nossa proteção de tela e ajude-nos a dar um pouco mais de alegria para as crianças brasileiras! Baixando a nossa proteção de tela você estará ajudando-nos a arrecadar fundos com os anunciantes”. A suposta proteção de tela, na verdade um trojan, estava em www.abrinq.com.br/tela-ABRINQ.exe.
Este detalhe tornava mais fácil enganar um internauta leigo, fazendo-o crer que se tratasse de uma campanha legítima da Abrinq. Na maioria dos outros scams que apresentam um endereço aparentemente legítimo de uma empresa ou instituição, basta colocar o mouse sobre o link para perceber que o endereço aponta para um site completamente diferente do informado.
InfoGuerra baixou o arquivo “tela-ABRINQ.exe” e o submeteu para análise no site VirusTotal.com. O resultado foi a detecção do cavalo-de-tróia PWS-Bancban.gen.b, também chamado de Trojan-Spy.Win32.Banker.ju ou Win32/Bancos.Variant!PWS!Trojan por algumas empresas antivírus. Variantes desse trojan vêm circulando há meses no país.
Quando o arquivo é instalado na máquina, falsas telas de acesso a serviços de Internet Banking são abertas toda vez que o usuário tenta acessar sua conta corrente em sites de grandes bancos brasileiros, como Banco do Brasil, Itaú, Bradesco, Caixa Econômica Federal e outros. As informações capturadas, como número da conta e senhas, são então enviadas diretamente ao golpista, por meio da própria conexão do internauta.
Na quarta-feira, dia 16, InfoGuerra entrou em contato com a Abrinq para saber como o trojan tinha ido parar no site da associação. A funcionária Priscila Finotelli, que se identificou como responsável pelo site, não esclareceu esse ponto, mas disse que estavam sendo tomadas providências para resolver o caso.
A partir daquele momento, quem acessasse o site da Abrinq veria um pop-up com o seguinte aviso: “ATENÇÃO ! Para conhecimento. A ABRINQ não está divulgando e-mail com downloands (sic). Obs.: Vírus” (veja cópia do alerta). O arquivo maléfico, porém, permaneceu ainda mais um dia no ar, e só foi retirado no final da tarde de quinta-feira, 17. Neste momento, todo o site da Abrinq está indisponível, com um aviso de que está "em atualização". A única coisa que continua acessível é o pop-up com o alerta, em www.abrinq.com.br/popup.html.
Uma cópia da mensagem fraudulenta em nome da associação pode ser vista aqui.
| Destaque |
Scam usa nome de ex-marido de Margareth Thatcher
16/3/2005 - 19:53 Giordani Rodrigues
A empresa britânica Sophos está alertando os usuários de computador sobre um novo scam (golpe) enviado por e-mail, que tenta enganar os destinatários usando o nome de sir Denis Thatcher, que foi casado com a ex-primeira-ministra da Inglaterra, Margareth Thatcher. A falsa mensagem promete uma parte da fortuna de Thatcher, morto aos 88 anos em 2003, mas o objetivo real da fraude é roubar informações pessoais e dinheiro das vítimas.
O golpe é uma variante do famigerado esquema da Nigéria. O e-mail, que afirma ser proveniente dos advogados de Thatcher, alega que o destinatário está listado como beneficiário no testamento de sir Denis e por isso receberá 950 mil libras esterlinas (quase R$ 5 milhões) como compensação por trabalhos prestados aos menos favorecidos em seu país de origem. O e-mail afirma também que Denis Thatcher acumulou esse dinheiro em sua longa e bem-sucedida carreira empresarial.
Para ganhar a herança, a mensagem pede que o internauta forneça informações pessoais, como números de documentos, endereço e números de telefone e fax, os quais seriam exigência da legislação britânica. Quem acreditar na mensagem e fornecer os dados. será requisitado depois a enviar dinheiro para liberar a suposta herança. Este dinheiro, obviamente, nunca será devolvido, muito menos a fortuna será entregue.
Uma cópia da mensagem fraudulenta, em inglês, pode ser vista no site da Sophos.
| Noticias |
Projeto de honeypots divulga estatísticas de potenciais ataques
10/3/2005 - 14:38 Redação InfoGuerra
O Consórcio Brasileiro de Honeypots - Projeto Honeypots Distribuídos, coordenado pelo Grupo de Resposta a Incidentes de Segurança para a Internet Brasileira (NBSO) e pelo Centro de Pesquisas Renato Archer (CenPRA), começou este mês a divulgar as estatísticas diárias dos dados coletados nas máquinas que fazem parte do projeto.
Honeypots, que em inglês significa potes de mel, são ambientes especialmente preparados para atrair atacantes de sistemas e, dessa forma, poder estudar seu comportamento e ajudar a combater os ataques. Por causa disso, todo tráfego direcionado a honeypots é potencialmente malicioso. Com as estatísticas, o Consórcio espera auxiliar administradores de redes e profissionais de segurança a manter seus sistemas seguros, além de usuários finais que possuam conhecimento avançado de redes e tenham interesse em acompanhar que atividades maliciosas estão sendo monitoradas no espaço brasileiro da Internet.
As estatísticas disponíveis mostram um resumo das atividades observadas diariamente por todos os honeypots do projeto nos últimos sete dias. Os dados incluem os pacotes e bytes enviados às dez portas TCP mais freqüentes e às dez portas UDP mais freqüentes, os dez países que mais originam tráfego, e os sistemas operacionais que mais originam tráfego, tudo distribuído em gráficos que mostram os horários do dia com maior concentração de atividade. Os dados coletados também serão utilizados pelo NBSO para identificar atividades maliciosas partindo de redes brasileiras e alertar seus responsáveis.
O Consórcio Brasileiro de Honeypots reúne mais de 20 instituições que abrigam diversos honeypots em suas redes e compartilham os dados coletados com a coordenação. Os participantes do projeto são: ANSP, Brasil Telecom, CBPF, CERT-RS, Diveo, Durand, Fiocruz, HP Brasil, INPE, ITA, LNCC, PUC-RIO, RedeRio, TCU, UFRJ, UFRN, Unesp, Unicamp, Unitau, USP e UnB.
A página com as estatísticas pode ser acessada a partir do endereço http://www.honeypots-alliance.org.br/stats/.
| Destaque |
Descoberto primeiro vírus de celular a se espalhar por mensagens multimídia
8/3/2005 - 18:04 Giordani Rodrigues
A empresa antivírus finlandesa F-Secure anunciou a descoberta do primeiro vírus para celular capaz de infectar aparelhos por meio de mensagens MMS (Multimedia Messaging Service). O serviço MMS é usado para enviar mensagens multimídia, isto é, que contêm não só texto, mas também sons e imagens, como vídeos, fotos e animações.
Batizada de Commwarrior.A, a praga, que também pode se propagar usando a tecnologia Bluetooth como os outros vírus de celular surgidos até agora, é considerada pela F-Secure um avanço na popularização desse tipo de ameaça. O motivo é que o Bluetooth ― que permite a comunicação direta de um dispositivo móvel com outro ― tem um alcance limitado a algumas dezenas de metros, enquanto o alcance do serviço MMS é, teoricamente, global.
Um problema adicional é que, com o MMS, também se pode receber e enviar mensagens multimídia entre celulares e contas de e-mail. A primeira indicação de um código maléfico como o Commwarrior ocorreu em janeiro, na Sérvia, em um fórum de discussão no qual se alertava para um vírus que se espalhava entre celulares com o sistema Symbian Series 60, enviando aleatoriamente mensagens MMS para toda a lista de contatos de um aparelho infectado.
De acordo com a F-Secure, as primeiras indicações sugerem que o Commwarrior.A é de origem russa. A companhia informa que a praga contém o texto "OTMOP03KAM HET!" e que uma tradução aproximada disto, em russo, seria “não para estúpidos”. Apesar da potencial ameaça representada pelo Commwarrior, a F-Secure informa que o vírus se replica lentamente e que a empresa está investigando o porquê.
“A situação não é crítica, já que não recebemos muitos relatos de nossos clientes, mas o Commwarrior pode criar uma despesa indesejada aos usuários de celulares infectados, ao enviar mensagens MMS sem sua interação”, afirma Antti Vihavainen, diretor de soluções para operações móveis da companhia finlandesa. E acrescenta: “Os telefones podem ser facilmente protegidos usando o senso comum. Nenhum dos vírus para celular atuais tem capacidade de instalar a si mesmo sem que o usuário quebre os padrões contidos nos alertas de segurança”.
Características do Commwarior
Tecnicamente, o Commwarrior é classificado como um worm, isto é, um código maléfico com capacidade própria de replicação, sem necessidade de infectar um outro arquivo para isso. Opera em dispositivos Symbian Series 60, infectando via Bluetooth e serviço MMS.
Ao infectar um aparelho, procura por outros telefones que possuam tecnologia Bluetooth na área de alcance e tenta lhes enviar um arquivo com extensão .SIS e nome aleatório, dificultando seu reconhecimento.
Para se enviar por MMS, o worm lê a agenda telefônica do aparelho infectado e envia mensagens a este números contendo um texto variável e o arquivo commw.sis, que é uma cópia da praga. A reprodução de uma mensagem infectada pode ser vista abaixo:
|
| Destaque |
Falhas do RealPlayer que permitem invasão são corrigidas
3/3/2005 - 19:42 Giordani Rodrigues
A RealNetworks publicou novas versões do seu reprodutor de mídia RealPlayer, que resolvem vulnerabilidades encontradas em várias versões do programa, para Windows, Mac e Linux. As brechas de segurança permitem que um invasor rode códigos de sua escolha num sistema alheio a partir de um ataque ao RealPlayer.
Há duas possibilidades básicas de ataque: com o uso de arquivos maliciosos nos formatos WAV ou SMIL (sigla de Synchronized Multimedia Integration Language, que permite a sincronização de vários tipos de arquivos de mídia na Web). A falha, do tipo estouro de buffer, dá a terceiros acesso remoto ao computador no qual o programa afetado esteja instalado.
A relação das várias versões do RealPlayer atingidas, bem como as orientações para atualização do software, podem ser encontradas, em português, na página http://service.real.com/help/faq/security/050224_player/PT-BR/
| Noticias |
2º ISSA Day reúne profissionais de segurança da informação em Campinas
2/3/2005 - 21:19 Redação InfoGuerra
A ISSA (Information Systems Security Association) Brasil-SP, com o apoio da Faculdade IBTA, Unidade Campinas, e patrocínio da Security Week Brasil, está promovendo o 2º ISSA Day, que reunirá profissionais de Segurança da Informação de Campinas e região. O encontro ocorre no próximo sábado, 5 de março, das 9 horas às 12h30, na sede da IBTA.
As palestras darão continuidade ao primeiro evento do gênero, ocorrido em outubro de 2004, e abordarão temas como segurança em ambientes Windows, segurança em redes wireless e crimes digitais. As apresentações serão feitas por especialistas destas áreas.
A Faculdade IBTA em Campinas fica no Colégio Notre Dame, na Rua Egberto Ferreira de Arruda Camargo, 151. Os valores do evento são: R$ 40,00 para profissionais, R$ 20,00 para estudantes e gratuito para associados da ISSA. As inscrições e a programação completa podem ser encontradas na página www.issabrasil.org/eventos_marco2005.asp.
| Noticias |
Brasil é um dos países mais atingidos pelo novo Bagle
2/3/2005 - 20:49 Giordani Rodrigues
Empresas antivírus estão emitindo alertas devido à ampla distribuição de uma nova variante do worm Bagle. Batizada com nomes como Bagle.BE ou BagleDl-L, a praga já está sendo classificada como de médio risco pela Trend Micro, F-Secure e outras. Segundo as estatísticas da Trend Micro, o Brasil já é o segundo país mais atingido por esta variante, atrás dos Estados Unidos, que estão bem à frente dos demais países em quantidade de infecções.
As primeiras levas do Bagle.BE foram enviadas deliberadamente por meio de spam a uma grande quantidade de internautas no mundo inteiro. A maioria dos e-mails traz a linha de assunto em branco, e a expressão “price” ou “new price” no corpo das mensagens, além de um anexo comprimido no formato ZIP (08_price.zip, new__price.zip, e outros).
Quando aberto, o anexo libera um programa malicioso (malware) que tenta se conectar a vários sites e baixar mais códigos maléficos. De acordo com a Sophos, o malware também tenta interromper vários aplicativos de segurança, como antivírus e firewalls, renomeando alguns de seus arquivos ou, conforme a F-Secure, deletando chaves de registro. Ainda tenta bloquear, modificando o arquivo HOSTS do Windows, o acesso a uma série de sites relacionados à segurança, incluindo os de atualizações de softwares de proteção.
Apresentando componentes de worm e trojan, o novo Bagle instala ainda o arquivo windlhhl.exe na pasta System do Windows e altera o registro do sistema para se executar a cada reinício da máquina. De acordo com a F-Secure, a praga também instala uma porta oculta (backdoor) que “escuta” na porta 80 e está codificada por uma senha. O “dono” do malware que souber a senha pode se conectar ao computador afetado e executar programas de sua escolha no sistema.
| Noticias |
Pragas Zafi.D e Sdbot dominam listas de fevereiro
1/3/2005 - 21:26 Redação InfoGuerra
As empresas antivírus Sophos e McAfee divulgaram hoje seus rankings com os vírus mais ativos de fevereiro. Na lista da McAfee, que se refere ao total de contaminações registradas pela empresa na América Latina, a praga mais reportada no mês que passou foi o worm Sdbot e suas variantes. Na da Sophos, cujas estatísticas se referem aos casos reportados em todo o mundo, o Zafi.D ocupou a primeira posição no mesmo período.
No ranking da McAfee, o Sdbot e suas variantes ficaram com 20% dos casos na América Latina. Em seguida, vem o worm Gaobot e suas variantes, que responderam por 17% dos ataques. Em terceiro lugar, aparece o Mydoom.bb, responsável por 15% das infecções, seguido pelo trojan StartPage-DU, com 13%.
Segundo a empresa, os cavalos-de-tróia PWS-Bancos e PWS-Bancban, usados em golpes que atingem clientes de Internet Banking de instituições brasileiras, ocuparam a quinta e a sexta posições no ranking de fevereiro, com 10% e 8% dos casos, respectivamente.
Já na lista da Sophos, o Zafi-D, surgido no final de 2004, está em primeiro lugar pelo terceiro mês consecutivo. Em fevereiro, foi responsável por 30,8% dos casos detectados pela empresa no mundo. Em segundo lugar, com 22,3% dos casos, vem o Netsky-P, um worm também do ano passado. No ranking da Sophos dominam os vírus antigos, com apenas duas novas pragas: o Bagle-BK e o Sober-K.
De acordo com pesquisa da empresa, mais de 3,5%, ou um em cada 28 e-mails que circularam no mês de fevereiro, tinham conteúdo virulento. Isto significa uma redução em comparação ao mês anterior, quando um em cada 23 e-mails estava corrompido.
Veja o ranking completo das duas empresas:
McAfee
1. W32/Sdbot.worm (e variantes) - 20%
2. W32/Gaobot.worm.gen (e variantes) - 17%
3. W32/Mydoom.bb@MM - 15%
4. StartPage-DU - 13%
5. PWS-Bancos - 10%
6. PWS-Bancban - 8%
7. W32/Bropia.worm - 6%
8. W32/Mydoom.bd@MM - 5%
9.W32/Mydoom.bc@MM - 5%
10. Downloader-VA - 1%
Sophos
1. W32/Zafi-D - 30,8%
2. W32/Netsky-P- 22,3%
3. W32/Zafi-B - 9,7%
4. W32/Bagle-BK - 5,2%
5. W32/Netsky-D - 4,2%
6. W32/Netsky-Z - 3,8%
7. W32/Sober-K - 3,4%
8. W32/Sobig-F - 2,5%
9. W32/Netsky-B - 2,4%
10. W32/MyDoom-O - 1,5%
Outros - 14,2%