19/4/2005 - 14:37 Redação InfoGuerra

Muitos usuários de computador relaxam na segurança de suas máquinas sob o argumento de que não acessam o site do banco via Internet, não fazem compras online e não guardam informações críticas no sistema. Este argumento, no entanto, é falacioso. Se o seu computador está conectado à Internet, você deve considerá-lo como integrante de uma rede, que pode interagir com outros computadores (para o bem ou para o mal) e, se você não tomar cuidado, esta interação pode acontecer sem o seu próprio conhecimento.

Um computador comprometido por programas maliciosos e conectado à Internet pode ser prejudicial não só para o seu dono, como para muitas outras pessoas. E uma das formas comuns de comprometimento de computadores domésticos, atualmente, está relacionada aos chamados "bots", softwares maliciosos que formam redes de máquinas comandadas remotamente por alguém mal-intencionado.

A palavra "bot" provém de "robot" (robô) e se refere ao fato de que uma máquina comprometida por um desses programas pode ser controlada a distância e receber comandos de terceiros. Os computadores infectados por “bots” são chamados de zumbis, e as redes formadas por vários zumbis coordenados são chamadas de "botnets" (redes de robôs).

Segundo o Centro de Atendimento a Incidentes de Segurança (CAIS), que faz parte da Rede Nacional de Ensino e Pesquisa (RNP), as botnets cresceram visivelmente nos últimos anos e se tornaram o principal problema de segurança enfrentado por seus técnicos em 2004.

Tanto computadores domésticos quanto corporativos podem se tornar parte de uma botnet, mas os usuários domésticos têm sido alvos bastante freqüentes destes ataques, pelo simples fato de que suas máquinas normalmente não dispõem de uma segurança tão rígida. Quando um sistema é invadido por um bot, fica à mercê do invasor, que pode tomar várias atitudes prejudiciais ao usuário, desde acessar dados privados (como senhas), até usar a máquina comprometida para atacar outros computadores.

Portanto, cuidar para que seu sistema esteja sempre livre de qualquer ameaça é essencial. Mesmo que você julgue não ter nada de importante armazenado no computador, poderá ter dores de cabeça se sua máquina for usada sem o seu conhecimento em ataques a sistemas alheios. No próximo texto, você verá informações e orientações do CAIS, com detalhes sobre a forma de contaminação e propagação de bots e como evitar que seu computador se torne um zumbi, integrante de uma botnet.

Leia também:

Saiba mais e se proteja de botnets

19/4/2005 - 14:34 Redação InfoGuerra

Para esclarecer detalhes a respeito da propagação de bots e da formação de botnets (e como evitá-las), procuramos o Centro de Atendimento a Incidentes de Segurança (CAIS), que integra a Rede Nacional de Ensino e Pesquisa (RNP) e cuida da segurança da rede acadêmica brasileira. O CAIS monitora constantemente atividades maliciosas nos servidores desta rede e possui informações privilegiadas a respeito de padrões atuais de ataques. Veja as explicações de seus técnicos:

Pergunta: O que é e como é formada uma botnet?

Resposta: Uma botnet é uma rede de máquinas infectadas por bots. Bots são softwares maliciosos que se espalham de maneira autônoma (tal como um worm), aproveitando vulnerabilidades que podem ser exploradas remotamente, senhas fáceis de adivinhar, ou mesmo usuários mal informados que executam inadvertidamente arquivos recebidos pela Internet. Os bots se conectam por meio de um componente IRC (Internet Relay Chat, uma rede para comunicação online) a um determinado canal de um ou mais servidores IRC. Normalmente, o software usado para gerenciamento destes canais é modificado de forma que sirvam a mais bots e que não revelem a quantidade de bots associados. Assim está formada uma botnet, que o atacante controla por meio de comandos no canal IRC.

P: Que riscos as botnets representam para o usuário doméstico? E para as corporações?

R: Assim como os worms, os bots podem se propagar explorando remotamente vulnerabilidades nos sistemas. Mas de modo diferente dos worms, bots são ferramentas de ataque distribuído, que têm como usos mais comuns: ataques de negação de serviço distribuído (DDoS); envio de spam por meio de um componente do bot; captura de tráfego de rede no segmento comprometido com o bot; captura do que é digitado no teclado do computador comprometido; propagação de novos softwares maliciosos; instalação de hardware (software para exibição de publicidade).

Para um usuário doméstico, o risco está na captura de dados sigilosos, como senhas, nomes de usuários, números de cartões de crédito. Outro risco está no tipo de atividade com o qual seu computador colabora sem o seu conhecimento: ataques de phishing scam, envio de spam, parte integrante de um ataque DDoS, e outros.

Para as corporações, as botnets oferecem todos os riscos que oferecem a um usuário doméstico, o diferencial está no valor estratégico das informações contidas nas máquinas comprometidas. Por outro lado, as corporações podem ser alvo de ataques DDoS, com origem em dezenas de milhares de outros computadores, o que pode causar a interrupção dos serviços, insatisfação dos clientes e, não raro, perdas financeiras.

P: Qual é o tamanho médio, em quantidade de máquinas comprometidas, das botnets observadas?

R: É difícil estimar, porque os atacantes utilizam versões bem modificadas de servidores IRC (que dificultam a contagem de associações a um canal, por exemplo) e porque os bots são espalhados entre vários servidores, mas as redes variam de centenas a dezenas de milhares de bots. O projeto Honeynet Project & Research Alliance, que pesquisa padrões de ataques a redes, já monitorou botnets com até 50 mil máquinas.

P: Como um usuário comum pode se defender contra bots e botnets?

R: Há bots para Linux, mas a maioria esmagadora das botnets é formada por bots projetados para atacar sistemas Windows. Uma vez que bots se propagam por meio da exploração remota de vulnerabilidades, um usuário que mantém seu sistema com as últimas atualizações de segurança e possui (e sabe usar) um firewall pessoal (que evita que dados entrem ou saiam do sistema sem consentimento do usuário) tem pouca probabilidade de integrar uma botnet. Para se manter informado sobre atualizações de segurança em sistemas Windows, pode-se acessar a página de segurança da Microsoft Brasil. Os softwares antivírus também podem oferecer uma barreira à instalação de bots, mas eles só são eficazes contra arquivos recebidos pelos usuários, caso consigam identificá-los como bots. Já os bots com capacidade de se instalar explorando uma vulnerabilidade remota conseguem muitas vezes burlar e até desligar os antivírus.

Leia também:

O perigo das botnets

6/4/2005 - 15:42 Redação

A Microsoft lançou o primeiro pacote de atualizações para o servidor Windows Server 2003 e anunciou o lançamento do pacote para o Windows Small Business Server. O Service Pack 1 (SP1) para estes sistemas corrige vulnerabilidades já descobertas e traz aperfeiçoamentos de segurança para identificar e resolver problemas e ameaças.

Entre os recursos instalados com o Windows Server 2003 SP1, estão: um “wizard” (auxiliar) de configuração de segurança, que coleta informações para definir o perfil do servidor e bloqueia todos os serviços e portas não necessários para este perfil; o Windows Firewall, para controle dos recursos da rede por meio de uma política de grupo (Group Policy); e o Post-Setup Security Updates (PSSU), para proteger o servidor durante o tempo entre a instalação do sistema e a aplicação das últimas atualizações de segurança.

O pacote também traz melhorias, como o Internet Information Services (IIS) 6.0 Metabase Auditing, que permite que os administradores identifiquem potenciais usuários mal-intencionados, caso o repositório seja corrompido; redução de privilégio sobre os serviços, para estabelecer uma entrada de segurança mínima para aplicativos; e o acréscimo de componentes de Network Access Quarantine Control, para permitir que os administradores isolem ativos desatualizados de VPNs (Virtual Private Network ou Rede Privada Virtual).

A Microsoft garante ainda que, após a ativação do Windows Server 2003 SP1, os usuários poderão constatar um aumento no desempenho do sistema em até 50%, dependendo da carga de trabalho.

Os clientes que utilizam o Windows Server 2003 já podem fazer o download gratuito do SP1 no site Windows Update ou por meio do Microsoft Download Center. É possível também receber o pacote em um CD. Por enquanto, o pcaote só foi lançado em inglês. A expectativa é de que as versões em português e espanhol estejam disponíveis até o final de abril.

Clientes que utilizam o Windows Small Business Server 2003 poderão baixar gratuitamente o Service Pack 1 do produto dentro de 60 dias no site da Microsoft. A empresa oferece também uma página com informações adicionais sobre a atualização.

1/4/2005 - 18:28 Giordani Rodrigues

Mais um domínio internacional pertencente a uma grande empresa foi desviado de seus donos. Desta vez, o endereço seqüestrado foi nada menos do que americanas.com, que há anos representa um dos maiores sites de comércio eletrônico do Brasil. Durante aproximadamente dez dias, o site www.americanas.com manteve-se exibindo apenas uma página em construção, hospedada em servidores da empresa de registros Network Solutions, conforme se vê nesta cópia. O endereço só voltou ao normal na noite desta quarta-feira (30/03), quando a empresa Americanas.com conseguiu recuperar o domínio e direcioná-lo para seus próprios servidores.

Tudo aconteceu devido a uma conjunção de fatores: uma fraude, que tirou proveito de uma brecha nas novas regras do ICANN (Internet Corporation For Assigned Names and Numbers) lançadas no ano passado, e uma falha operacional da Americanas.com.

Em contato com InfoGuerra, a empresa explicou que uma pessoa forjou formulários e declarações em nome da Americanas.com e solicitou a transferência do contato administrativo do domínio. A Network Solutions, responsável pela transferência, enviou um e-mail à empresa pedindo confirmação da transação. Como a mensagem não foi respondida a tempo, o contato foi transferido e o endereço redirecionado para servidores nos Estados Unidos.

De acordo com uma nova regra do ICANN, organismo internacional que controla a atribuição de nomes de domínios na Internet, caso seja solicitada a transferência de um domínio e o responsável pelo endereço não se manifestar em contrário em cinco dias úteis, o endereço será automaticamente transferido a quem o requereu.

Foi o que aconteceu no caso do americanas.com, com o agravante de que o solicitante do domínio usou documentos falsos para facilitar o processo de transferência, passando-se por alguém ligado à empresa. No dia 21 de março, o cadastro do domínio foi atualizado com as novas informações e passou a apresentar como contatos administrativo e técnico alguém identificado apenas como “Web Master”, que usava o endereço de e-mail americanas@samerica.com. A pessoa também retirou o domínio dos servidores da Americanas.com e redirecionou-o a um servidor DNS da Worldnic.com, pertencente à Network Solutions. O resto do cadastro parecia legítimo (veja cópia).

Depois que isso aconteceu, a Americanas.com passou vários dias em contato com a Network Solutions, argumentando e apresentando documentos, até convencer a empresa de regsitros de que a transferência tinha sido feita de forma irregular. Na noite do dia 30, o endereço voltou aos servidores da Americanas.com e o cadastro foi novamente atualizado com os dados corretos (veja cópia). A empresa ainda não identificou o responsável pela ação, mas afirma que está fazendo todo o possível para chegar até ele e que, depois do episódio, abriu um canal de comunicação com a Network Solutions.

A Americanas.com admite que cometeu uma falha ao deixar apenas uma pessoa responsável pelo recebimento dos e-mails associados ao seu domínio, mas também critica a nova regra do ICANN, dizendo que ela tem pontos frágeis que permitem o tipo de ação que ocorreu contra a empresa. Afirma ainda que o episódio serviu de lição e que, atualmente, já existe um grupo de pessoas responsável por receber as mensagens enviadas para o endereço de e-mail cadastrado para o domínio internacional. Caso uma pessoa, por algum motivo, não possa responder a mensagem, outra o fará.

Durante todo o tempo em que o domínio americanas.com esteve nas mãos de outro contato, o site associado ao domínio brasileiro (americanas.com.br), para o qual o endereço internacional é redirecionado, permaneceu ativo e funcionando normalmente. A empresa garante que não houve prejuízo em suas vendas nesse período.

Não é a primeira vez que uma grande empresa tem um domínio seu seqüestrado depois da publicação da nova regra do ICANN. Em janeiro deste ano, o provedor Panix.com, de Nova Iorque, também teve seu domínio transferido indevidamente durante um final de semana. No início de fevereiro, o domínio Brturbo.com, pertencente à Brasil Telecom, passou uma semana nas mãos de um pequeno revendedor de registros na Alemanha, mas a empresa não deu explicações sobre o que houve, por isso não se sabe se a transferência teve ligação com a regra do ICANN ou ocorreu por outro motivo. Seja como for, esta regra vem causando polêmica e alguns especialistas no assunto afirmam que ela tem mais pontos negativos do que positivos.

Leia também:

O que aconteceu ao endereço Brturbo.com?