30/5/2003 - 17:53 Redação InfoGuerra

Um grupo de golpistas da Internet enviou, na madrugada de ontem, uma mensagem fraudulenta simulando ter partido do site InfoGuerra. A mensagem, enviada em forma de spam para uma grande quantidade de pessoas, trazia o logotipo do site e trechos de um texto verdadeiro, publicado há dois meses, porém com alterações no conteúdo, inclusive com links para um arquivo maléfico. Quem receber o falso e-mail não deve baixar e muito menos executar o arquivo, sob o risco de ter suas senhas bancárias e outras informações sigilosas roubadas.

Este é mais um dos muitos golpes eletrônicos que surgiram nos últimos meses, vários dos quais foram denunciados pelo próprio InfoGuerra. "Neste caso, parece que os criminosos tiveram dois objetivos principais: vingar-se das denúncias publicadas por InfoGuerra, e ao mesmo tempo aproveitar a credibilidade que, felizmente, o site conquistou junto ao público, para induzir usuários inocentes a instalarem um software espião em suas máquinas", opina o jornalista Giordani Rodrigues, diretor-editor do site.

A mensagem enviada como spam trazia títulos como "Não seja invadido hoje" e "Corrigindo" e o conteúdo era uma deturpação da matéria "Nova máquina virtual Java evita invasões do PC", publicada originalmente em 11 de abril deste ano e que pode ser lida aqui. O endereço aparente do e-mail era noticias@infoguerra.com.br, mas esta conta sequer existe. Quem se dispusesse a abrir o cabeçalho do e-mail veria que ele tinha sido enviado por servidores de terceiros, provavelmente invadidos pelos estelionatários. Outro detalhe que chamava a atenção eram os erros gramaticais no texto, como é comum neste tipo de golpe, denunciando que quem está por trás dos crimes possui um baixo nível cultural.

O arquivo maléfico, batizado pelos golpistas de msjavx86.exe, foi identificado pela McAfee como sendo o keylogger Perfect, um programa que registra tudo o que o usuário digita e capta as telas das páginas que ele visita, enviando as informações para um endereço de e-mail ou por um servidor de transferência de arquivos (FTP). O laboratório de segurança de redes de computadores ACME!, da Universidade Estadual Paulista (Unesp), está analisado o arquivo com mais detalhes.

O provedor onde o arquivo foi instalado já foi contatado e as autoridades competentes também já foram acionadas para dar início a uma investigação e posterior responsabilização criminal dos golpistas. Veja uma cópia da mensagem fraudulenta aqui.

Leia também:

Como evitar fraudes no acesso a bancos online

Programas roubam senhas de teclados virtuais

A sua cultura em segurança contra fraudes

Unibanco é o novo alvo de golpe pela Internet

Falsa notícia da CNN é usada para roubar senhas

Ferramentas, sites e serviços viram armadilhas para internautas

As armadilhas para internautas - parte 2

As armadilhas para internautas - como se proteger

30/5/2003 - 7:29 Giordani Rodrigues

Um membro do Movimento Anti-Spam Brasileiro acusa a empresa de telecomunicações Telefônica de ter enviado spam esta semana, oferecendo linhas de telefonia fixa. O episódio serviu como a gota d'água que faltava para o copo da Telefônica transbordar, pois no seio do Movimento a fama da operadora é de ser "o maior gerador de spams do hemisfério ocidental", devido à grande quantidade de mensagens não solicitadas enviadas por intermédio de sua rede IP e da aparente falta de disposição da empresa em tomar medidas contra seus clientes spammers.

No dia 26, uma quantidade indeterminada de pessoas recebeu um email (veja a reprodução aqui) com o assunto "Imperdível!" e as palavras "Linha Telefônica" no campo do remetente. O corpo da mensagem trazia o logotipo da Telefônica e uma oferta para assinatura de linhas da operadora. Abrindo-se o cabeçalho da mensagem, percebia-se que o endereço relativo ao remetente era "nao_responder_esse_email@telesp.com.br" e o IP do servidor usado para enviar o spam foi 200.205.95.10. Uma consulta ao banco de dados do Registro.br mostra que esse IP pertence a Telecomunicações de São Paulo S.A., empresa estatal adquirida pelo grupo Telefónica, da Espanha.

Um dos destinatários da mensagem, porém, foi o gerente de segurança de redes Hermann Wecke, crítico ferrenho da posição da Telefônica. Wecke é membro do Movimento Anti-Spam Brasileiro (www.antispam.org.br) e do grupo SpamBR (www.spambr.org), no qual mantém uma lista de bloqueio de spammers. O grupo possui ainda uma lista de discussão fechada, na qual Wecke postou uma mensagem irada contra a atitude da Telefônica ao enviar, ela própria, um spam, o que gerou uma acalorada discussão.

"A Telefônica é hoje a soma do pior que um dia já existiu em matéria de spam no Brasil: a soma da Embratel, iG, UOL, BOL e todos os provedores gratuitos juntos", disse Hermann Wecke a InfoGuerra, em uma entrevista por e-mail. "A Telefônica vem há anos recusando-se a tomar qualquer providência efetiva contra os problemas originados em sua rede, e essa despreocupação deve-se principalmente ao fato de que ela não será punida individualmente pela incompetência, pois o Comitê Gestor da Internet Brasil, através do CANIP (Comissão de Alocação de Números IP), continuará entregando novos blocos de IP para que ela possa entregar aos seus clientes, que por sua vez inundarão a Internet com spams e servidores inseguros. A punição, muito pelo contrário, será contra todo o Brasil e virá do exterior, como acontece hoje em dia com a rede .mil, dos Estados Unidos", completa, referindo-se ao bloqueio que os militares americanos (domínios .mil) impuseram a IPs provindos do Brasil. Desde o ano passado, a maioria dos internautas com IP brasileiro não consegue acessar a maioria dos sites militares dos EUA, fato pouco divulgado entre o público em geral.

A fama da Telefônica realmente já alcançou o exterior. Em um estudo recente feito pela Universidade de Oregon, foram listados mais de 250 mil servidores usados para enviar spam. As máquinas possuíam uma grave vulnerabilidade chamada de open proxy, muito usada por crackers e spammers, que permite a qualquer pessoa se conectar anonimamente a um servidor e a partir dele lançar ataques ou enviar mensagens em massa. De acordo com o estudo, a Telefônica é responsável por mais de 5% dos 250 mil servidores pesquisados, ocupando o primeiro lugar da lista.

A operadora também abriga spammers notórios há muito tempo e não faz nada contra seus clientes, apesar das inúmeras denúncias enviadas por administradores de redes e usuários em geral. O site Econoshop.com.br, por exemplo, figurinha carimbada na caixa postal de todo internauta que costuma receber spam, até hoje é hospedado em um servidor da Telefônica. Outro que possui vários sites hospedados na rede da operadora é a Tecstar Informática. Os domínios dessa empresa, apesar de serem registrados no Brasil, possuem nomes em inglês, como bridgewater.com.br, feelfree.com.br e lookinggood.com.br, e têm a reputação de serem usados por spammers estrangeiros para vender produtos para aumentar o tamanho do pênis e outros medicamentos "milagrosos".

Jerônimo Barros, diretor técnico do provedor Seven, de Minas Gerais, e também um ativo combatente do spam, relembra um episódio que presenciou durante um encontro reservado do Grupo de Trabalho de Engenharia de Redes, ocorrido em São Paulo, no ano passado. "Após um técnico da Telefônica dizer que a mesma iria passar a tomar jeito, uma outra pessoa, também da operadora, levantou-se, cortou a fala do técnico e, dizendo ser da área comercial, falou que as coisas não eram assim tão 'simples' e nas entrelinhas ficou evidente que a Telefônica não iria, em definitivo, fazer nada contra os spammers e hackers".

Há três dias, InfoGuerra enviou para vários endereços do departamento de segurança da Telefônica um e-mail solicitando esclarecimentos sobre os assuntos citados acima. No dia seguinte, um técnico de nome Eric Andrés Bertini disse que as perguntas estavam respondidas, mas precisava da anuência de sua coordenadora para enviar as respostas. Depois disso, não houve mais contato por parte da empresa.

30/5/2003 - 2:28 Giordani Rodrigues

As empresas de segurança estão alertando os internautas para o surgimento do vírus Holar.H, uma praga que chega por e-mail e tem capacidade de destruir arquivos. O Holar.H utiliza truques de engenharia social para enganar os usuários e fazê-los executar o anexo que contém o vírus. Entre estes truques está o endereço de e-mail usado como remetente da mensagem contaminada ― Dispatch@McAfee.com ― fazendo crer que partiu da McAfee, uma das mairoes empresas antivírus do mundo.

Toda vez que o computador infectado é iniciado, o vírus envia uma cópia de si mesmo para todos os contatos do catálogo de endereços do Windows, segundo a Panda Software. Já de acordo com a F-Secure, o vírus recolhe endereços encontrados em arquivos com as extensões .htm, .html, .txt e .dbx. O Holar.H também está programado para se espalhar através da rede usada pelo KaZaA, um software para troca de arquivos.

Ao infectar um PC, o worm lança os arquivos explore.exe e SMTP.ocx na pasta System do Windows. Também modifica o registro para ser executado toda vez que o sistema é iniciado. Caso a máquina seja reiniciada 30 vezes, o vírus tentará apagar todos os arquivos do drive C.

O assunto, o texto e nome do arquivo anexado no e-mail usada pelo vírus podem variar. As palavras são selecionadas aleatoriamente de uma longa lista de possibilidades. Esta lista pode ser encontrada aqui. Apesar disso, é razoavelmente simples reconhecer o Holar.H, pois segundo a Panda, as mensagens que o carregam sempre trazem dois anexos e um dos arquivos tem a extensão PIF.

Além disso, se o vírus chegar a infectar um sistema, antes de apagar todos os arquivos da máquina apresentará uma série de mensagens na tela. As imagens são mostradas uma após a outra, à medida que o usuário clica no botão "OK". Veja abaixo a seqüência das mensagens:








A seqüência das palavras significa: "Amor, paz, lar, felicidade. Estas coisas nunca vão ser encontradas enquanto Bush e os judeus viverem. Feito por Zacker em 30/03/2003". Zacker é um apelido conhecido das empresas antivírus, pois vários códigos maléficos têm essa assinatura. Empresas como F-Secure e Panda estão classificando o Holar.H como de médio risco de infecção.

Vírus altamente destrutivo ganha nova versão

Vírus se espalha por e-mail, redes, MSN Messenger e KaZaA

29/5/2003 - 17:04 Giordani Rodrigues

Uma oferta inusitada está presente no site de leilões Mercado Livre. Um usuário de nome Bento Souto colocou à venda no site um automóvel Blazer (foto ao lado), que ele afirma ter sido roubado da Polícia Militar do Rio de Janeiro. As informações do Mercado Livre dão conta de que a venda foi finalizada no dia 24 de maio, por R$ 4.200,00.

Pode ser apenas um trote de alguém, mas também pode ser verdade. Em ambos os casos, serve para mostrar como é fácil inserir uma oferta fraudulenta ou enganosa num site de leilões.

O advogado Omar Kaminski aponta um outro detalhe. Nos termos de utilização do Mercado Livre, há o seguinte aviso: "Está absolutamente proibida pelos Termos e Condições Gerais a venda de propriedade ou produtos roubados". No entanto, o título da oferta é explícito -- "Raridade!!!!! Blazer roubada da PM!" --, o que faz supor que as ofertas inseridas no site não são revisadas por sua equipe.

O advogado também questiona a cláusula que afirma que o Mercado Livre "não é responsável pela existência, quantidade, qualidade, estado, integridade ou legitimidade dos produtos oferecidos, adquiridos ou alienados pelos usuários, assim como pela capacidade para contratar dos usuários ou pela veracidade dos dados pessoais por eles inseridos" no cadastro. "É uma questão muito séria, que pode ser questionada na Justiça frente aos dispositivos do Novo Código Civil e do Código de Defesa do Consumidor", opina.

A página que serviu para a suposta negociação do produto ainda está no ar e pode ser vista aqui. O texto que descreve a Blazer é uma pérola e está reproduzido abaixo (os erros de português foram mantidos):

ELA É LINDA. FOI MEU TIO QUE ROUBOU NA GARAGEM DOS PM NO RIO DE JANEIRO E ME DEU DE ANIVERSÁRIO. SÓ ESTOU VENDENDO PORQUE PRECISO DE GRANA PRA CAMPRAR OUTRAS COISAS...POR ISSO NÃO ACEITO TROCAS!

VOCÊ NÃO IRÁ SE ARREPENDER! ELA ESTÁ REBAIXADA, COM PNEUS SEMI-NOVOS, 90.000KM, POSSUI RADIO AMADOR, SIRENE, GRADES NO PORTA-MALAS, MOTOR 6CC, MANDEI FAZER UMA REVISÃO NA CONCESSIONÁRIA GM HÁ 2 MESES.

VC VAI TIRAR MUITA ONDA COM UM CARRO DESSES! OS PLAYBOY VÃO SAIR DE FININHO SEMPRE QUE VC CHEGAR! VC AINDA PODE TIRAR UMA ONDA DE CORONEL E FATURAR UMA GRANA COM SUBORNOS, É MUITO LEGAL!!

NÃO PRECISA SE PREOCUPAR COM DOCUMENTAÇÃO!!!!NÃO TEM QUE PAGAR IPVA. NINGUÉM TE PARA EM BLITZ COM UM CARRO DESTES!!!!

SÓ DÊ O LANCE SE TIVER INTERESSADO. DISPENSO CURIOSOS E, ANTES QUE ME PERGUNTEM, ELA FAZ 7 KM/L.

LEMBREM-SE, LEILÃO É COISA SÉRIA.

26/5/2003 - 17:44 Giordani Rodrigues

Um estudante de Ciência da Computação lançou, há um mês, o Projeto ORBL (Open Relay Black List, ou Lista Negra de Open Relay), que está sendo divulgado como o primeiro MAPS (Mail Abuse Prevention System, ou Sistema de Prevenção de Abuso de E-mail) do Brasil.

Segundo a definição presente no site do projeto, trata-se de "um banco de dados que armazena endereços IP (Internet Protocol) de servidores de correio eletrônico mal configurados (open relays), os quais são, ou provavelmente serão, utilizados para o envio de mensagens não autorizadas (spam)". Os servidores com "relay aberto" permitem a autenticação de qualquer endereço de e-mail que passe por seu sistema e não apenas daqueles que fazem parte dos domínios gerenciados pelo servidor.

O site explica que "nos primeiros anos de operação da Internet, permitir relay de terceiros era necessário e aceito como maneira de rotear mensagens", mas que tal necessidade foi suplantada pelos avanços tecnológicos. Mesmo assim, muitos administradores continuam mantendo seus servidores com relay aberto, supondo estar colaborando para o "espírito cooperativo" da rede.

"O que eles não sabem, é que um open relay hoje cai na categoria arrumar sarna pra se coçar", define o texto, pois a facilidade de se utilizar servidores alheios para enviar e-mail é um prato cheio na mão de spammers que querem disfarçar a origem de suas mensagens não solicitadas.

Um dos principais objetivos do projeto é oferecer um suporte mais adequado do que o prestado por listas negras estrangeiras aos adminstradores de redes brasileiros, evitando situações comuns em que usuários são indevidamente bloqueados. De acordo com uma mensagem sobre o projeto postada hoje pela lista Dicas-L, da Unicamp, os sites estrangeiros de combate ao spam "não têm conhecimento de como são comercializados os produtos Internet em nosso país", e muitos deles chegam a "banir" injustamente classes inteiras de IPs, sem analisar cada caso.

A mesma mensagem informa que, inicialmente, o Projeto ORBL visa apenas o bloqueio de servidores com relay aberto, mas devido ao grande número de solicitações, em breve o serviço deverá aceitar também denúncias de spam propriamente.

No site do projeto não há o nome do estudante responsável pela iniciativa, mas InfoGuerra enviou um e-mail solicitando informações e acabou de receber a resposta. Quem está por trás do projeto é Jozenóbio de Melo Brasil, conhecido na Internet por Jozeph Brasil. Ele reside em Recife, estuda Ciência da Computação na Faculdade dos Guararapes, em Jaboatão dos Guararapes, Pernambuco, e irá completar 22 anos na próxima semana.

"Não quis vincular o meu nome ao projeto por questões éticas, por isso optei pelo anonimato", explica Jozeph. "Não quero que as pessoas pensem que estou querendo me promover. O projeto é o projeto e eu sou eu, ambos caminham com o mesmo objetivo (combater o spam), mas com pernas diferentes, isto é, o projeto tem suas próprias pernas", ressalta.

26/5/2003 - 14:08 Redação

O Microsoft Outlook Express (OE) permite a instalacão remota de programas sem nosso conhecimento, utilizando arquivos multimídia. Isto pode acontecer no momento de abrir uma mensagem eletrônica em formato HTML especialmente preparada.

O impacto desta falha é que qualquer pessoa poderia modificar o sistema operacional ou ter acesso ao computador mediante a instalação de alguma classe de código maligno. São afetadas a versão 6.0 do OE com Windows Media Player (WMP) 7.1 ou 8.

O perigo é que a descarga e execução do código malicioso se produz mesmo com a opção "Zona de sites restritos (mais segura)" marcada (no Outlook Express 6, na zona de proteção contra vírus).

Um usuário remoto pode criar um arquivo HTML que carregue um arquivo .ASF (Advanced Streaming Format, ou Formato Avançado de Streaming, criado pela Microsoft para seu reprodutor de mídia). Esse .ASF pode ser modificado para automaticamente descarregar outro arquivo de um servidor remoto. É necessário utilizar um arquivo .ASF para burlar a proteção da "Zona de sites restritos" do OE.

A falha foi testada com êxito no Outlook Express 6.00.2800.1123 com os últimos patches instalados e usando tanto Windows Media Player 7.01 como o 8. Não funciona com Windows Media Player 9. Não há solução disponível no momento, a não ser instalar o Windows Media Player 9, ou recusar arquivos com formato HTML de procedência desconhecida.

Um comentário é que alguns alertas sobre esta falha aconselham como medida preventiva desativar a função "scripting" no WMP. No entanto, o usuário pode desativar o scripting tanto do Outlook como do Internet Explorer, mas não pode fazê-lo com o Media Player. Segundo a Microsoft, não se pode desativar esta função no reprodutor já que é "uma importante funcionalidade para a criação de apresentações multimídia sincronizadas, e novos tipos de serviços de streaming (transmissão de conteúdos de áudio e vídeo pela Internet) para rádio online, assim como para a publicidade online".

Outra solução seria desinstalar totalmente o WMP. A falha parece estar relacionada com uma anunciada em março de 2002 (ver "Ejecución automática de adjuntos en Eudora e IE", em espanhol) que afetava o Outlook Express, o Eudora 5.1 e todas as aplicações que utilizem o controle WebBrowser para visualizar mensagens em formato HTML.

Extraído do site VSantivirus e publicado sob autorização. URL do texto original: http://www.vsantivirus.com/vul-oe-asf.htm.

Tradução InfoGuerra

26/5/2003 - 12:29 Omar Kaminski

O estado do Paraná será o próximo a utilizar preferencialmente programas abertos de computador no âmbito da administração pública. O plenário da Assembléia Legislativa aprovou projeto de lei nesse sentido, que já foi encaminhado à sanção governamental. Roberto Requião terá a oportunidade de aprová-lo amanhã (27/05), durante cerimônia de lançamento do Projeto Software Livre Paraná, em Curitiba.

São dois os deputados que apresentaram projetos de lei em 2003 sobre a adoção do software livre pelo governo paranaense: Pastor Edson (PL) e Tadeu Veneri (PT). Veneri afirma em sua justificativa que "é dever de ofício do administrador público buscar uma solução financeiramente mais viável no que diz respeito a este tema, sem, entretanto prejudicar a qualidade e a segurança do serviço público". E para o Pastor Edson, "o Estado, como fomentador do desenvolvimento tecnológico e da democratização do acesso a novas tecnologias para a sociedade, não pode se furtar da sua responsabilidade de priorizar a utilização de programas abertos ou os free software/open source".

As prefeituras de Porto Alegre, Belo Horizonte e Recife já utilizam o software livre, bem como o governo do Rio Grande do Sul. São Paulo contou com um projeto de lei protocolado recentemente, de autoria do deputado estadual Simão Pedro (PT), e também Mato Grosso do Sul, por iniciativa do parlamentar Pedro Kemp (PT).

A íntegra do projeto aprovado no Paraná pode ser vista aqui.

Omar Kaminski é advogado especializado em Direito da Informática e responsável pelo site Internet Legal.


Leia também:

Assembléia de Minas implanta software livre OpenOffice

Adoção do software livre pelo governo volta à discussão

Software livre mobiliza órgãos governamentais no país

23/5/2003 - 19:41 Giordani Rodrigues

De ontem para hoje, muita gente recebeu uma mensagem com um "cartão virtual" do provedor BOL. Acontece que o link para o suposto cartão era falso e, embutido no código HTML da mensagem, havia o endereço de um arquivo executável hospedado na Kit.Net. Quem rodasse o arquivo, corria o risco de ter suas senhas roubadas.

Trata-se de mais uma entre as dezenas de tentativas de se apoderar de senhas de internautas, principalmente as bancárias, que golpistas estão aplicando nos últimos meses. Os endereços com os arquivos maléficos ainda estão no ar, e podem ser vistos em www.cartoesbol.kit.net/bol/, www.cartoeslove.kit.net/cartao/, e outros.

InfoGuerra enviou o arquivo "Cartao.exe" para análise pelo serviço WebImmune, da McAfee, que identificou um trojan de nome PWS-Shub, capaz de roubar senhas armazenadas na máquina em que for executado.

No ínicio de maio já haviam circulado mensagens semelhantes, com falsos cartões do BOL e de outros sites. Um deles, com o nome "Desejos.exe", trazia um programa capaz de registrar não só as teclas que o usuário digita, mas também as imagens do monitor ao redor dos cliques do mouse. O objetivo principal é captar as senhas clicadas pelos usuários em teclados virtuais de bancos online. Golpes nesse estilo têm se repetido à exaustão ultimamente, portanto é bom ficar alerta.

Leia também:

Programas roubam senhas de teclados virtuais

Como evitar fraudes no acesso a bancos online

23/5/2003 - 13:13 Giordani Rodrigues

A Kaspersky lançou um alerta esta semana sobre o aparecimento de um programa maléfico, batizado de StartPage, o primeiro a explorar uma falha do Internet Explorer (IE) ainda não solucionada pela Microsoft. A falha, chamada "Exploit.SelfExecHtml", permite que um arquivo executável seja rodado na máquina atingida sem a interferência do usuário.

De acordo com a empresa, o StartPage é um cavalo de Tróia clássico, isto é, não possui por si só rotinas de execução automática e nem capacidade de autopropagação. É enviado para as vítimas diretamente por seu autor, ou pela pessoa que pretende fazer uso maléfico do programa. Trata-se de um arquivo compactado em formato ZIP, contendo dois outros arquivos ― um HTML e um executável (EXE).

Se o usuário abrir o arquivo HTML, o códifo do StartPage é liberado e passa a explorar a vulberabilidade "Exploit.SelfExecHtml". Isto faz com que o arquivo executável, que é o próprio trojan, seja implantado na máquina da vítima.

A Karspersky afirma que no dia 20 de maio o StartPage foi enviado para centenas de milhares de usuários na Rússia, em mensagens em forma de spam. O texto que acompanha o programa indica que a praga foi criada naquele país.

A ação do StartPage não é danosa, limitando-se a mudar a página inicial do IE. O problema, segundo Eugene Kaspersky, presidente da companhia antivírus russa, é que o programa "abriu um precedente ao usar uma vulnerabilidade para a qual ainda não há correção". Isto significa que outros programas mais perigosos podem vir no rastro do trojan.

As estatísticas da Kaspersky dão conta de que no ano passado mais de 85% dos incidentes com arquivos maléficos foram causados por vírus como o Klez ou o Yaha, que também exploram um bug do Internet Explorer, conhecido como vulnerabilidade de IFrame. E, para piorar, há um outro detalhe: esta falha já tem correção há dois anos. Um código danoso que se aproveite de brechas de segurança não corrigidas pode levar a epidemias ainda maiores do que a observada com o Klez, alerta a empresa.

O bug explorado pelo StartPage afeta apenas o Internet Explorer 5.0 em plataformas Windows 95, 98, NT 4.0 e 2000. Apesar de não ser a mais recente, esta versão do IE ainda é largamente usada no mundo. Como a Microsoft ainda desenvolveu uma solução para o problema, uma alternativa seria atualizar o navegador para a última versão, a 6.0 SP1.

22/5/2003 - 11:39 Nelson Murilo

O acesso aos serviços bancários pela Internet vem crescendo rapidamente no Brasil. A inexistência de filas (ok, às vezes existe uma certa lentidão), a maior flexbilidade de horário para pagamentos, estão entre as principais vantagens, mas inegavelmente a quantidade de fraudes vem crescendo numa velocidade ainda maior. Já que acessar diretamente os computadores dos bancos não é tarefa trivial, na maioria dos casos os fraudadores tem se concentrado em explorar vulnerabilidades do lado do usuário. Desta maneira, este artigo objetiva examinar os mecanismos que compõem um acesso aos serviços bancários, para identificar os pontos de falha e quais as formas de proteção possíveis.

Identificação das vulnerabilidades

Para que seja estabelecida uma conexão entre um correntista e seu banco, é necessário que exista um cenário que contenha, ao menos, os componentes abaixo:

Usuário
Teclado
Monitor
Navegador (browser)
Provedor de acesso
Provedor de acesso do banco
Servidor WEB do banco
Servidor de banco de dados com informações sobre correntistas e contas.

Vários elementos foram omitidos, por não serem relevantes no contexto, e outros foram destacados separamente (como “teclado”, “monitor”), em vez de simplesmente “computador”, mas adiante iremos entender a razão para este destaque.

Primeiro ponto de falha: o usuário

Este pode ser levado a acreditar em um e-mail (ou numa ligação telefônica) de um suposto funcionário do banco, solicitando o recadastramento de seus dados bancários, mas também a executar um programa, passado por um “amigo”, que permite acesso mais rápido ou obter informações detalhadas sobre sua conta ou de terceiros. Também pode ser induzido a acessar seu banco por meio de um link em uma página, ou que chegou via e-mail.

Os ataques acima são conhecidos por “engenharia social”, ou seja, o atacante se faz passar por outra pessoa ou faz o usuário crer que o programa que ele irá executar fará as ações por ele (atacante) descritas.

Porém os ataques não se limitam a estes. O usuário pode também acessar seu banco usando máquinas de terceiros (cibercafés, por exemplo), que podem estar monitorando suas ações, via programas ou mesmo com câmeras de vídeo. Está sujeito ainda a fragilidades mais conhecidas, como usar senhas simples de serem adivinhadas tais como datas de nascimento, placas de carro e assemelhados.

Outra tática comum dos atacantes é fazer uma página que abre várias janelas, no meio delas enviar um programa com um cavalo de Tróia, e o usuário, ocupado em fechar as janelas, acaba por clicar em “OK”, sem se dar conta do conteúdo da mensagem de aviso.

Claro que não foram elencadas todas as possibilidades de ataque diretamente ligadas ao usuário, mas a maior porte delas passa por alguns dos itens vistos aqui.

Teclado

Sendo a interface natural para informar os dados de acesso ao sistema, pode ser alvo de captura ou monitoramento. Basicamente existem três possibilidades para captura das teclas digitadas: a primeira através de programas embutidos em vírus ou cavalos de Tróia, sendo que neste caso o usuário deverá ser induzido a executar o programa infectado no seu computador, ou executar sem saber, por causa de uma falha no leitor de e-mail ou navegador (veremos esta possibilidade de forma mais detalhada no item “Navegador”). Outra possibilidade é monitoramento através de cameras de video, que podem ser, desde a própria webcam do usuário (controlada remotamente por um cavalo de troia, tipo NETBUS ou BACKORIFICE), ou fixa no local (em cibercafés, por exemplo). A terceira possibilidade é através de dispositivos especificos para este fim, que podem ser acoplados no teclado de forma imperceptível (ou quase, dependendo do modelo e tamanho).

Monitor

Tendo em vista que a captura de teclado tem sido um ataque comum, alguns bancos adotaram alternativas para que as informações (ou pelo menos as mais críticas, como a senha) sejam digitadas em um teclado virtual no monitor. Não resta dúvida que esta medida aumenta o nível de segurança, no sentido de que torna inócua a captura das teclas, porém não resolve o problema, visto que, se é possível capturar informações do teclado, o mesmo princípio pode ser empregado, por um programa, para obter dados de outros dispositivos como mouse e monitor. Por exemplo, combinando os dados de movimentação e clique do mouse com resolução e conteúdo do vídeo, ainda que o teclado virtual varie a disposição das teclas e o posicionamento na tela, o atacante conseguria obter as informações desejadas. E é claro que também os ataques de monitoramento via câmeras de vídeo e webcam continuam possíveis neste caso.

Navegador

Os principais pontos de entrada de vírus e cavalos de Tróia são os leitores de e-mail e o navegador. São comuns e recorrentes as falhas descobertas nesses programas, que permitem a execução de programas no computador do usuário sem que ele se dê conta, pelo simples fato de acessar uma página ou ler um determinado e-mail. De uma maneira geral, activeX, javascript e outras linguagens embutidas no navegador têm sido responsáveis pela maioria das vulnerabilidades que têm sido divulgadas. Porém, mesmo que o usuário esteja em dia com as atualizações do navegador, ainda assim está sujeito a problemas, caso seja levado a clicar em um link que parece remeter ao site do banco, mas que leva a uma página falsa que reproduz fielmente (ou quase) o site original do banco. Esses links são usados principalmente em ocasiões de promoções verdadeiras dos bancos (para ganhar descontos em passagens aéreas, sorteios de carros, etc), as quais podem ser confirmadas antes ou depois de o usuário ter passado informações para o site falso.

É a partir deste momento (quando a informação sai do navegador) que os dados passam a ser criptografados. Por esta razão a forma mais prática de conseguir as informações é desviar o usuario para um local falso, sob controle do atacante.

Portanto, dependendo do nível de paranóia do usuário, ele pode confirmar o certificado que o banco envia no início do acesso ao site, bastando clicar no cadeado ou símbolo que indique conexão com criptografia (normalmente um cadeado fechado ou chave em fundo azul).

O cadeado simboliza o transporte criptografado dos dados

Existe a possibilidade de quebra de uma sessão criptografada, mas o custo dessa ação normalmente não vale o investimento, tanto em máquinas quanto em tempo despendido.

Provedor de acesso

Salvo raras exceções, o acesso ao site do banco é conduzido pelo provedor de acesso ao qual o usuário ou empresa estão ligados, e é este provedor o responsável pela resolução do nome do site do banco, ou seja, é ele quem transforma o “www.banco.com.br” em endereço IP, que o navegador internamente irá usar para se comunicar com o banco. Desta forma, um atacante pode, com maior ou menor grau de habilidade (e dependendo da segurança do ambiente a ser atacado), invadir o servidor de nomes do provedor ou da empresa, e fazer com que o www.banco.com.br, passe a apontar para um endereço IP sob seu controle e contendo uma cópia falsa, tão próxima quanto possível, do site original.

Possibilidades de prevenção

A maior parte dos ataques pode ser evitada com práticas assustadoramente simples, como por exemplo evitar acessar serviços bancários, ou fazer compras de produtos ou serviços através de computadores de terceiros ou de acesso público. Lembrando que estão incluídos nestes casos os, cada vez mais comuns, serviços “pré-pagos” para acesso à Internet, em que um cartão recarregável dá direito a algumas horas de uso. Outra ação muito eficaz é não se utilizar de links em páginas de terceiros. Em vez disso, sempre digitar o endereço desejado no local destinado para esta finalidade no seu nagevador.

Contra ataques de cavalos de Tróia vale a regra de nunca executar nenhum programa recebido pela Internet. Mesmo que o remetente seja conhecido, o antivírus ou firewall dele podem estar desatualizados e não identificar determinado código malicioso. Desativar a webcam durante o acesso ao banco ou compras com cartão pode também colaborar para reduzir as chances do roubo de informações por monitoramento do teclado.

Para evitar ser surpreendido por um cavalo de Tróia que explore alguma vulnerabilidade recente no navegador ou leitor de e-mail procure manter o seu sistema de proteção sempre atualizado, e da mesma forma o sistema operacional. Os principais fabricantes mantêm informações em seus sites sobre como podem ser feitas atualizações de segurança, e alguns até podem ser configurados para fazer atualizações do sistema automaticamente.

Alguns navegadores permitem aumentar o nível de segurança da navegação. Se for este o seu caso, dê atenção especial aos scripts e execução de plugins. Uma configuração mais restritiva pode trazer alguns transtornos, como confirmações para execução ou perda de alguma funcionalidade utilizada por alguns sites. O ideal é tentar manter um equilíbrio entre permissividade e segurança, mesmo que isso implique em uns cliques a mais, em alguns sites. Abaixo exemplos da área de configuração de dois populares navegadores, Internet Explorer e Mozilla.

Ferramentas –> Opções da Internet –> Segurança –> Nível personalizado

Edit->Preferences->Advanced->Scripts & Plugins

Alguns ataques são mais difíceis de serem detectados à primeira vista, mas ainda assim podem ser evitados com uma observação mais detalhada das informações da página. A regra básica é usar uma rotina de observação do ambiente; da mesma forma que ao nos aproximarmos de um terminal de auto-atendimento observamos se existe pessoas próximas em atitude suspeita, ou se alguém está observando no momento de digitarmos a senha, devemos observar alguns procedimentos de verificação de “ambiente”, para aumentar a margem de segurança em transações comerciais via Internet. Os mais importantes são:

- Existência de conexão criptografada (icone cadeado fechado ou chave destacada)
- Tamanho da chave (128 bits ou superior)

Atualmente, recomenda-se uma chave criptográfica de pelo menos 128 bits

- Verificar se o certificado foi emitido para a empresa ou banco que está sendo acessado e a data de validade do certificado.

Clicando-se na figura do cadeado é possível ver para quem o certificado foi emitido

Uma última recomendação, que se justifica em sites de comércio eletrônico: evite deixar informações de cartão cadastradas nos sites de compra, alguns permitem informar os dados do cartão a cada compra, em vez de armazená-los na base de dados do site. A vantagem deste procedimento é garantir que suas informações não constarão em um eventual roubo das informações do banco de dados do site, a despeito da repetição a cada compra. Este procedimento também evita a obrigação de cadastramento, portanto é menos um usuário/senha a ser lembrado ou reutilizado.

Todas estas medidas podem parecer trabalhosas à primeira vista, mas se passarem a fazer parte dos procedimentos rotineiros de acesso a bancos e demais transações financeiras, certamente surpresas, contratempos e até mesmo prejuízos poderão ser evitados.

Nelson Murilo é diretor da empresa de segurança Pangéia Informática; autor do livro Segurança Nacional - Técnicas e ferramentas de ataque e defesa; administrador do Centro de Tratamento e Resposta a Incidentes Computacionais da Polícia Federal e palestrante.

Leia também:

Programas roubam senhas de teclados virtuais

A sua cultura em segurança contra fraudes

Unibanco é o novo alvo de golpe pela Internet

Falsa notícia da CNN é usada para roubar senhas

Ferramentas, sites e serviços viram armadilhas para internautas

As armadilhas para internautas - parte 2

As armadilhas para internautas - como se proteger

21/5/2003 - 23:27 Marcos Sêmola

Capa do livro de Marcos Sêmola, professor da FGV e consultor sênior da Schlumberger, de cuja obra foi retirado o texto desta página. Leitura recomendada por InfoGuerra (veja seção de Livros)

É inevitável falar de criptografia quando o assunto é privacidade das comunicações. A criptografia é uma ciência que estuda os princípios, meios e métodos para proteger a confidencialidade das informações através da codificação ou processo de cifração e que permite a restauração da informação original através do processo de decifração. Largamente aplicada na comunicação de dados, esta ciência se utiliza de algoritmos matemáticos e da criptoanálise, para conferir maior ou menor proteção de acordo com sua complexidade e estrutura de desenvolvimento. Quando vemos softwares de criptografia de mensagem ou por exemplo, aplicações que adotam criptografia, estamos diante de situações em que a ciência foi empregada e materializada em forma de programas de computador. Existem duas técnicas principais de criptografia.

Simétrica ou de chave privada

Técnica criptográfica que utiliza uma única senha, ou chave, para cifrar informações na origem e decifrá-las no destino. Apesar de sua excelente performance, entre outras coisas pela existência de uma única chave que confere velocidade aos processos matemáticos de cálculo, este método tem uma vulnerabilidade nativa presente no processo de envio ou compartilhamento da chave simétrica com o destinatário. Usando um exemplo hipotético em que se quer enviar uma mensagem criptografada do usuário A para o usuário B, o primeiro passo seria criar uma chave simétrica e enviar uma cópia da mesma ao destinatário para que ele pudesse decriptografar a mensagem após recebê-la. O risco ocorre justamente no momento do envio da cópia da chave ao destinatário por não ter sido adotado nenhum processo de proteção. Se, exatamente neste momento frágil, apesar da pequena janela de tempo da operação, a confidencialidade da chave for quebrada, todo o processo de criptografia fica comprometido; afinal, qualquer um que conheça a chave simétrica poderá decriptografar a mensagem interceptada.

Um dos algoritmos de chave simétrica mais utilizados no mundo é o DES – Data Encryption Standard, criado em 1977, com chave criptográfica de 56 bits, além do 3DES, RC2, RC4 e Blowfish. O tamanho da chave criptográfica está diretamente ligada ao nível de segurança do algoritmo devido ao aumento exponencial de possibilidades e tentativas necessárias para “quebrar”, ou seja, para descobrir a chave certa que decifre a proteção.

Assimétrica ou de chave pública

Técnica criptográfica que utiliza um par de chaves para cada um dos interlocutores, mais especificamente uma chave privada e outra pública para o remetente, e o destinatário. Desta forma, com a criptografia assimétrica criada em 1976 por Diffie e Hellman, os interlocutores não precisam mais compartilhar uma chave única e secreta. Baseado no conceito de que para decifrar a criptografia é necessário possuir as duas chaves matematicamente relacionadas, pública e privada, o remetente só precisa da chave pública do destinatário para garantir a confidencialidade da mensagem e para permitir que o destinatário consiga decifrar a mensagem.

Como o próprio nome diz, a chave privada pertence exclusivamente ao seu proprietário e deve ser mantida em segredo. A pública, por sua vez, pode e deve ser compartilhada e estar disponível a qualquer interessado em enviar uma mensagem a você de forma criptografada. Este técnica ainda reserva recursos complementares, como a assinatura digital, obtida pela utilização da chave privada para fazer uma “marca binária” na mensagem, sinalizando ter sido escrita e enviada pelo proprietário da própria. O certificado digital é um instrumento eletrônico que atesta a veracidade da chave pública do usuário, conferindo autenticidade ao documento assinado digitalmente.

Não podemos nos esquecer, também, da função HASH, que confere a possibilidade de verificar a integridade de uma mensagem a partir da comparação, no destino, do resultado obtido pela aplicação da função. Quando os resultados obtidos pela função na origem não coincidem com os resultados obtidos no destino, tem-se a indicação de que a mensagem sofreu qualquer tipo de alteração, mesmo que muito pequena.

Aparentemente esta técnica se mostra perfeita, se não fosse pelo fato de possuir baixa performance, chegando a consumir centenas ou milhares de vezes mais tempo para ser processada se compararmos com a técnica simétrica.

Devido aos problemas presentes em ambas as técnicas, foi encontrada uma solução híbrida a partir da união de técnicas que permitiu usufruir da performance da simétrica e da segurança e funções satélites de assinatura digital e validação de integridade proporcionadas pela técnica assimétrica. De posse do par de chaves pública e privada, o remetente gera a chave simétrica e insere um cópia em uma nova mensagem, método este que se convencionou chamar de envelopamento, criptografando-a com a chave pública do destinatário. Este por sua vez, ao receber a mensagem confidencial, lança mão de sua chave privada para decifrá-la, obtendo acesso à cópia da chave simétrica. A partir deste momento, em que ambos estão de posse da chave simétrica enviada e recebida em segurança, o processo de comunicação criptografada pode ser reiniciado adotando esta mesma chave simétrica que irá conferir a velocidade necessária para viabilizar a troca de informações.

Virtual Private Network

Esta solução, comumente chamada pelo acrônimo VPN, é fruto da aplicação de criptografia entre dois pontos distintos através de uma rede pública ou de propriedade de terceiros. O resultado da adoção de criptografia é a criação de um túnel seguro que garante a confidencialidade das informações sem, no entanto, absorver os riscos nativos de uma rede que transcende seus limites de controle. Desta forma, a empresa passa a ter uma rede virtual privada, ou seja, a tecnologia viabiliza o uso de uma rede nativamente insegura como se parte dela fosse privada pela segurança agregada pelo tunelamento. Para cumprir o papel de extensão de sua rede corporativa, a VPN precisa garantir o mínimo de performance a fim de viabilizar conexões com filiais e parceiros, usufruindo, assim, dos benefícios de capilaridade e redundância que a Internet, por exemplo, oferece. Assim, são implementadas por software e hardware especializados e capazes de processar a codificação e a decodificação dos pacotes de dados com extrema velocidade e competência.

É importante lembrar que surgiu uma categoria de virtual private network destinada ao usuário final, chamada personal VPN, com o propósito de permitir conexões remotas seguras. Obviamente são recursos de software com baixa performance, mas adequadamente proporcionais, na maioria das situações, ao volume de dados trafegados em uma conexão desse gênero.

Public Key Infrastruture

É possível notar a grande aplicabilidade do certificado digital em processos de autenticação e criptografia, seja na publicação de informações, acessos a ambientes físicos, aplicações e equipamentos, envio de mensagens eletrônicas, redes virtuais privadas, ou na troca eletrônica de informações em geral. Sua versatilidade e potencial de crescimento trazem à tona um potencial problema: o gerenciamento do processo de emissão, revogação, guarda e distribuição; afinal, para que os documentos e processos possam assumir a credibilidade do agente ou usuário do dispositivo, a mesma dever ter sido herdada do processo de gerenciamento do dispositivo. Por conta dessa necessidade, a tecnologia PKI, ou Infra-estrutura de Chaves Públicas em português, reúne recursos de software e serviços para suportar a montagem de um processo de gestão de certificados. Buscando um exemplo que privilegie a didática, podemos fazer uma analogia com os cartórios tradicionais. Para que a compra de um bem seja concretizada, muitos documentos precisam ser autenticados por uma estrutura que tenha fé pública ou, no mínimo, confiança das partes envolvidas na transação. Este processo requer a presença física para identificação das partes através de documentos, comprovação visual da autenticidade dos documentos originais para, então, estender a originalidade às cópias.

De forma similar, o processo de certificação digital implementado com a infra-estrutura de PKI requer a identificação prévia das partes para, só então, emitir o instrumento digital. Além disso, essa mesma estrutura tem de estar orientada por uma política específica e ser capaz de reemitir, revogar, distribuir e, principalmente, manter sob altos critérios de confidencialidade, integridade e disponibilidade o segredo do processo: a chave privada e seus critérios de concepção.

A percepção da importância técnica do assunto e, principalmente, dos fatores legais que envolvem a responsabilização de pessoas e empresas pela relação eletrônica de informações reconhecidas como legítimas, já chegou ao setor público. O interesse do governo é orientar e subsidiar uma base comum de construção de infra-estruturas de chaves pública para, no primeiro momento, garantir o reconhecimento mútuo das empresas e a administração pública federal dentro do país e, em um segundo momento, viabilizar o reconhecimento por outras estruturas internacionais integradas, que fomentarão o comércio eletrônico, as relações governamentais e empresariais. O reflexo desse movimento se materializou em agosto de 2001, através da medida provisória MP2200-2, que institui uma infra-estrutura de chaves públicas do Brasil, ou ICP-Brasil.

Esteganografia

Existem outras técnicas voltadas à privacidade no envio de informações. Esta, em especial, ganhou o conhecimento público através dos filmes de agentes secretos e do triste atentado terrorista de setembro de 2001. A técnica propõe o uso de métodos de camuflagem de informações sigilosas em mensagens e arquivos aparentemente inofensivos que só poderiam ser extraídas pelo destinatário, que detém o conhecimento do mapa de camuflagem. Esses métodos podem ser aplicados a arquivos binários, voz analógica, imagens eletrônicas e até mesmo a vídeo, em que os gestos aparentemente comuns podem esconder mensagens ocultas. Esse método mostra um ponto positivo, devido ao fato de não sinalizar a potenciais atacantes que uma determinada mensagem carrega informações notoriamente sigilosas, diferente da criptografia que, por estar cifrada, já denuncia sua condição e classificação.

Trecho reproduzido do livro Gestão da Segurança da Informação, de Marcos Sêmola/Módulo Security. Copyright 2003, Editora Campus. Para comprar o livro, clique aqui.

21/5/2003 - 16:12 Redação

A McAfee está alertando o mercado para a descoberta de um novo vírus, batizado de W32/Naco@MM. As características do vírus que mais chamam a atenção são a sua capacidade de destruir programas de proteção da máquina atingida e a tentativa de enganar os usuários fazendo-se passar por informações sobre a rede terrorista Al-Qaeda.

Segundo a McAfee, o Naco possui uma carga destrutiva que interrompe os processos de aplicações de segurança ― como antivírus e firewalls ―, deletando os arquivos associados a estes programas. O vírus também pode funcionar como um cavalo de Tróia, permitindo a um intruso acessar a máquina da vítima remotamente.

Escrito em Visual Basic, a praga se dissemina através da lista de contatos do Outlook, por compartilhamentos da rede local ou através de pastas compartilhadas de programas para troca de arquivos (P2P), como KaZaA, Morpheus e outros. Na rotina de propagação por e-mail, o Naco utiliza vários formatos de mensagens, incluindo assuntos referentes à Al-Qaeda, a Osama bin Laden e até a Saddam Hussein e ao Iraque. Alguns exemplos destes assuntos são os seguintes:

Riyadh Issue: Al-Qaeda vs FBI
Al-Qaeda News: Bombing Mission Success!
Al-Qaeda Team Entertainment News
Osama Bin Laden Come Back!
Saddam Hussein Still alive
Iraqi people don't want US Control.
Let's Iraqi people build their country.

Apesar disso, o corpo do e-mail traz um texto romântico, escrito em mau inglês. A mensagem refere-se a alguém que se apaixonou por outra pessoa na primeira vez que a viu. Veja a reprodução do texto, abaixo:

Hi dear, Once I was first saw you, I was fall in love! Even you are already has special friend!

Fall In Love,
Rekcahlem ~=~ Anacon

A mensagem traz um anexo de nome ANAKON.JPG, que contém o vírus. Apesar da extensão JPG, não se trata de um arquivo gráfico puro, ressalta Patrícia Ammirabile, analista do AVERT (Anti-Virus Emergency Response Team) da McAfee no Brasil. Segundo ela, trata-se de um arquivo forjado, que traz em seu interior um executável maléfico.

"Atualmente, os arquivos JPG, que costumeiramente eram considerados seguros, já não são mais confiáveis", alerta a executiva. Ela lembra que a primeira tentativa razoavelmente bem-sucedida de infectar computadores a partir de um arquivo gráfico surgiu no ano passado, com o vírus Perrun.

Para se espalhar por redes P2P, o Naco também usa artimanhas com o objetivo de enganar os usuários. Os arquivos que contêm o vírus trazem nomes sugestivos, incluindo um chamado "The Matrix Reloaded.jpg.exe", na tentativa de aproveitar o grande interesse do público pela mais nova seqüência do filme Matrix.

Outro nome utilizado pelo vírus é "jdbgmgr.exe", um arquivo legítimo do Windows, usado como tema de um boato sobre um falso vírus surgido no ano passado e que ficou conhecido como "vírus do ursinho". Neste caso, provavelmente o criador do vírus pensou em atingir as pessoas que acreditaram no boato e agora estão tentando recuperar o arquivo do Windows em redes P2P.

Ao ser executado, o Naco se instala no diretório System do Windows e cria algumas chaves de registro para que seja carregado automaticamente na inicialização do sistema. O registro também é modificado com o objetivo de compartilhar o drive C local.

Apesar do poder destrutivo do W32/Naco@MM, essa nova ameaça está sendo considerada pela McAfee como de baixo risco de infecção, devido ao pequeno número de casos reportados no Brasil e no mundo. Mais informações (em inglês) sobre o vírus podem ser encontradas aqui.

Leia também:

Autor de vírus para JPG se identifica

Falso vírus jdbgmgr.exe é variante do boato Sulfnbk.exe

21/5/2003 - 7:50 Omar Kaminski

O projeto de lei 256/03, o único a dispor de forma específica sobre requisitos e condições para o registro de nomes de domínio na Internet brasileira, já aprovado no Senado Federal, recebeu ontem (20/05) parecer favorável do deputado Jairo Carneiro, relator da Comissão de Economia, Indústria, Comércio e Turismo (CEICT) da Câmara dos Deputados.

Segundo o relatório apresentado pelo parlamentar baiano, as normas trazidas pelo projeto mantêm o critério da precedência de registro, mas estabelecem condições adicionais para a concessão do direito de uso e requisitos mínimos para que isso ocorra. O projeto também pretende classificar algumas palavras, nomes e expressões como não registráveis, e outras cuja utilização fica reservada ao respectivo titular ou legítimo interessado.

Como preocupação adicional do projeto de autoria do senador Waldeck Ornélas, o deputado destaca a previsão dos casos em que o registro será cancelado pelo órgão concedente e a garantia, ao seu titular, de um prazo para opor impugnação e regularizar o registro.

No voto, o relator observou que a importância da rede mundial de computadores para as atividades econômicas é, hoje, "inquestionável". Para ele, a Internet adquiriu tal importância para as transações econômicas que passou a exigir, dos órgãos reguladores, uma atenção especial. "Torna-se fundamental a adoção de regras que garantam os direitos de seus usuários e evitem, na medida do possível, a ocorrência de fraudes contra todos aqueles que, de boa fé, sintam-se atraídos pelo fascínio e conforto que esse ambiente eletrônico proporciona", defendeu.

Sob esse prisma particular, Carneiro entende que o projeto veio aperfeiçoar as regras atualmente em uso, "que são falhas na proteção dos interessados legítimos no registro de domínios". Ele menciona que a prática do "cybersquatting" - registro de domínio por terceiros, cujo nome seria naturalmente utilizado pelos detentores das marcas de produtos ou serviços conhecidos no mercado - tem se espalhado pelo mundo com incidências significativas também no Brasil. "Esses terceiros, verdadeiros piratas cibernéticos, antecipam o registro e depois oferecem-nos aos detentores das marcas, tirando vantagem financeira desta ação", disse.

O deputado acredita que a proposição de autoria de seu correligionário, ao coibir tal prática sem eliminar o princípio básico de que o registro pertence a quem primeiro o requereu, "vem ao encontro dos anseios do mercado e coaduna-se com a melhor prática internacional".

O projeto está tramitando em regime de prioridade, e segue para aprovação conclusiva da Comissão e, após, às Comissões de Ciência e Tecnologia, Comunicação e Informática (CCTCI) e de Constituição e Justiça e de Redação (CCJR).


Omar Kaminski é advogado especializado em Direito da Informática e responsável pelo site Internet Legal.

Leia também:

Senado aprova novo projeto para registro de domínios

Senador quer criar regras para registro de domínios

20/5/2003 - 10:23 Giordani Rodrigues

Se seu computador foi infectado pelo novo vírus Palyh, não se desespere. Baixe uma das várias ferramentas de desinfecção gratuitas lançadas nas últimas 24 horas pelas empresas antivírus e limpe sua máquina do modo mais seguro e prático.

O Palyh, que vem sendo cada vez mais chamado de Sobig.B devido a semelhanças com a variante A deste worm, foi descoberto no último domingo, dia 18, e rapidamente ganhou a atenção da mídia e das empresas especializadas devido a sua velocidade de propagação. A MessageLabs informa que até agora já foram interceptadas mais de 95 mil mensagens contaminadas com o Palyh em 128 países. Os mais atingidos foram Reino Unido e Estados Unidos, responsáveis por 75% de todas os casos detectados pela empresa.

O worm se espalha por compartilhamento de redes e por e-mail, com assuntos e textos variados, mas as mensagens sempre trazem o endereço forjado support@microsoft.com no campo do remetente, conforme se vê na imagem abaixo:

Uso da imagem autorizado pela F-Secure

O Palyh foi programado com capacidade de auto-atualização. O vírus possui em seu código comandos para se conectar a quatro páginas Web hospedadas no Geocities e fazer download de novas funcionalidades. Segundo o site VSAntivirus, as páginas usadas pela praga, todas já desativadas pelo provedor, são as seguintes:

http://www.geocities.com/fjgoplsnjs/jane.txt
http://www.geocities.com/lfhcpsnfs/mdero.txt
http://www.geocities.com/dnggobhytc/nbvhf.txt
http://www.geocities.com/bntdfkghvq/nbdcf.txt

Esta característica faz parte de um conjunto de quatro processos ativados pelo vírus sob certas circunstâncias, de acordo com o VSAntivirus. Dependendo do conteúdo dos dados baixados, o worm tenta descarregar e executar certos arquivos de outros endereços indicados em seu código. Isto daria possiblidade ao vírus de executar outros programas maléficos, como trojans ou spyware. Este processo ocorre a cada duas horas, aproximadamente. Um dos arquivos baixados também tenta se conectar a uma página pornográfica.

Para se disseminar por e-mail, o worm usa um mecanismo SMTP próprio e envia mensagens com anexos infectados. Os endereços dos destinatários são recolhidos do catálogo do Windows e de alguns outros tipos de arquivos, como páginas HTML e documentos TXT armazenados na máquina atingida. A rotina de propagação do Palyh está programada para se encerrar em 31 de maio de 2003, mas esta data se baseia no relógio do sistema infectado, por isso a atividade do worm pode perdurar em máquinas cujo sistema esteja com a data em atraso.

Como se proteger

O Palyh não tem capacidade de auto-execução. Para um sistema ser infectado o usuário precisa clicar no arquivo anexo. Portanto, a melhor forma de se proteger, não só deste como de muitos outros vírus, é usar o bom senso e não executar arquivos não solicitados. A Microsoft informa que nunca envia arquivos anexados a suas mensagens aos clientes. A empresa lembra que seus softwares são distribuídos por CD-ROM ou disquetes, que as atualizações de seus programas são feitas por download diretamente de suas páginas (nunca de outros sites), e que suas mensagens sempre são assinadas digitalmente.

Como as mensagens que carregam o worm sempre trazem o endereço support@microsoft.com no campo do remetente, na tentativa de enganar os usuários, uma boa maneira de evitar o vírus é configurar seu programa de e-mail para bloquear as mensagens vindas deste remetente.

A lista de endereços coletados no computador infectado para os quais o Palyh envia cópias de si mesmo fica armazenada no diretório de instalação do Windows, em um arquivo de nome "hnks.ini". Caso a máquina tenha sido contaminada, a F-Secure sugere que os usuários abram este arquivo e enviem uma mensagem de alerta a todos os endereços encontrados nesta lista, para tentar evitar que outras pessoas sejam vítimas da praga.

As ferramentas de desinfecção automática lançadas pelas empresas eliminam os processos do vírus da memória do computador, removem as chaves de registro criadas pela praga e também as cópias inseridas em pastas do menu Iniciar. Recomenda-se que as máquinas ligadas em rede sejam desconectadas umas das outras e desinfectadas isoladamente, para evitar reinfecção por meio de pastas compartilhadas. Abaixo está a lista de empresas que lançaram as ferramentas, com os respectivos links para download:

Symantec

BitDefender

F-Secure

Panda

Mais detalhes sobre o Palyh podem ser encontrados aqui.

20/5/2003 - 5:30 Redação

A Websense, produtora de soluções de gerenciamento de Internet para funcionários (ou EIM – Employee Internet Management) anunciou um acordo de integração e distribuição com a Cisco Systems. O acordo envolve a incorporação do software Websense Enterprise ao Cisco Application and Content Networking System (ACNS).

A integração do software da Websense ao Cisco ACNS tem por objetivo aumentar a segurança e o desempenho da rede. A Cisco revenderá soluções da Websense que fornecem capacidades EIM para gerenciar o compartilhamento de arquivos P2P e utilização de programas de mensagens instantâneas, impedindo ainda infecção por códigos móveis maliciosos e spyware.

O Websense Enteprise armazena aplicativos Web, arquivos e streaming media numa memória cache das páginas mais visitadas, agilizando o tempo de carregamento das mesmas. Além disso, o software restringe o acesso a sites que exijam alto consumo de banda e representem risco de segurança, por infecção com vírus ou outros tipos de conteúdo malicioso. Um recurso adicional do banco de dados da Websense, chamado de WebCatcher, permite que Web sites novos ou ainda não classificados sejam categorizados quando são visitados pelos funcionários.

No momento, o Websense Enterprise versão 4.4.1 está disponível com o Cisco Content Engine 7300 Series, que opera com o Cisco ACNS Software 5.0.3 ou versão superior. A Websense promete que seu software será suportado em plataformas adicionais do Cisco Content Engine nas versões futuras do Cisco ACNS. Para obter mais informações sobre a parceria das duas empreas, visite a página www.websense.com/cisco.

20/5/2003 - 4:26 Redação

A IDC Brasil, empresa especializada em estudos de mercado e análises para os setores de TI e Comunicações realiza, em parceria com a companhia de segurança de TI Computer Associates (CA), a apresentação “Enterprise Security Forum”. Trata-se de um seminário gratuito sobre soluções corporativas de segurança, que será realizado na próxima quinta-feira, dia 22, no Hotel Royal Savassi, em Belo Horizonte.

O “Enterprise Security Forum”, que também contará com palestra de executivo da PricewaterhouseCoopers, tem por objetivo atualizar as empresas localizadas em Belo Horizonte e na região com informações essenciais para a implementação da segurança da informação em processos de negócio.

Entre os tópicos de destaque das apresentações estão questões como: as conseqüências de não se ter uma política adequada de segurança; os principais agentes responsáveis por ataques e invasões na rede; o percentual do orçamento que as empresas direcionam a soluções de segurança; o estágio atual de adoção de tais soluções na indústria brasileira e de que forma habilitar e proteger acesso para funcionários, parceiros e terceiros de maneira realmente segura.

O evento terá início às 9 horas, com o tema "Segurança das Informações nas Empresas Brasileiras", apresentado por Ivair Rodrigues, gerente de pesquisas da IDC Brasil. Às 9h45 será a vez do especialista em Segurança da Informação da PricewaterhouseCoopers, Antonio Gesteira, apresentar a palestra "Segurança da Inclusão: Como Habilitar os Usuários". Depois de um intervalo, o consultor-sênior da CA Alexander Martins fala sobre "A Visão eTrust", referente aos produtos de segurança eTrust desenvolvidos por sua empresa. Às 11h30 serão mostrados casos de sucesso na implantação de soluções de segurança corporativa.

Para participar do evento, os interessados devem inscrever-se antecipadamente pelo telefone (11) 3371-0025 ou pelo e-mail eventos@idcresearch.com.br , incluindo na mensagem nome completo, empresa, cargo, endereço, telefone, fax e e-mail. O Hotel Royal Savassi fica na Rua Alagoas, 699, no bairro Savassi, em Belo Horizonte.

20/5/2003 - 3:58 Redação

Com informações do boletim Dicas-L

O Senac-SP está convidando os interessados em conhecer os benefícios do uso do Software Livre em corporações para assistir a um ciclo de palestras sob sua responsabilidade. As palestras serão ministradas por profissionais conceituados no mercado, que também são instrutores da série de cursos "Redução de Custos de TI usando software livre", do Senac.

As apresentações serão abertas ao público, sendo necessária uma pré-inscrição, pois há um número limitado de 50 vagas para cada palestra. Como taxa de inscrição simbólica, será pedido que os participantes levem uma peça ou placa de computador que não é mais usada, mas que ainda funcione, a qual será doada para projetos de inclusão digital. O Senac informa ainda que "um brinde surpresa aguarda todos os participantes".

As palestras ocorrerão sempre aos sábados, das 8h30 às 11 horas, com meia hora de intervalo. Às 8 horas, os participantes serão recebidos para um café da manhã. As pré-inscrições devem ser feitas pessoalmente na Faculdade Senac de Ciências Exatas e Tecnologia, na Rua Tito, 54, Vila Romana, em São Paulo, ou pelo telefone (11) 3868-6900. Veja abaixo a programação do ciclo:

31/05/03 - Redução de Custos de Propriedade usando Software Livre -
Edgard Lemos (ED Consultoria)

14/06/03 - Desenvolvimento de aplicações corporativas com Software Livre -
Felipe Waltrick (CMA, G&P)

21/06/03 - Análise de riscos na migração para Software Livre -
Gustavo Mazzariol (Metrô de SP)

28/06/03 - Infra-estrutura e segurança de redes usando Software Livre -
Eduardo Maçan (Debian-BR)

20/5/2003 - 3:22 Redação

Durante o Congresso Fenasoft 2003 um espaço chamará a atenção dos profissionais focados em sistemas Linux e softwares abertos. Trata-se do Primeiro Congresso Linux e Open Source Software, que será realizado de 27 a 30 de maio, na Sala 7 do Congresso Fenasoft, no Transamérica Expo Center.

O objetivo do evento é debater o desenvolvimento e os avanços tecnológicos do ambiente GNU/Linux, esclarecendo os princípios e a filosofia do Software Livre. Na grade de palestras também estão casos de sucesso com a utilização de Linux, além de temas como Web Services com Linux, Segurança e os Desafios do Administrador de Sistemas e Aspectos Legais do Software Livre.

A plataforma Java também será contemplada no evento. Bruno Souza, conhecido como JavaMan, veterano da tecnologia Java e um dos líderes do movimento Java no Brasil, foi convidado para falar sobre "Desenvolvimento de Software no Governo Brasileiro". Em sua apresentação estão previstas exposições sobre os principais desafios no desenvolvimento de software do governo, como o governo brasileiro pode evitar problemas futuros garantindo a soberania em suas estratégias tecnológicas, e como a sociedade brasileira pode se organizar para garantir uma maior participação nas decisões tecnológicas que afetam o Brasil. Essa apresentação é baseada em casos de sucesso reais dos usos das idéias de código livre, desenvolvimento baseado em padrões e ambientes multiplataforma dentro das diversas esferas do governo.

Ainda para mostrar o uso Softwares Livre como solução para informatização em administrações públicas haverá o estudo de caso "O uso de Software Livre na Administração Pública", que será apresentado por André Marcelo Panhan, assessor de Informática da Prefeitura de Amparo, em São Paulo. A palestra mostrará a experiência da prefeitura, que tem obtido bons resultados com a reorganização, como maior autonomia e automação dos serviços e melhoria no apoio ao cidadão.

A iniciativa privada será tratada em palestras como "Soluções Linux para o Mercado Corporativo", apresentada por Marcos André Freitas, diretor da Linux Associates, e outras. As questões de segurança também não faltarão, em temas como "Ambiente Corporativo Seguro na era do Software Aberto", apresentada por Marcelo de Araújo Piuma, diretor de Tecnologia da Duet Tech, e "Footprint - A arte cracker de levantar dados do alvo, seu perigo e contra-medidas" e "Implementando Projetos de Segurança de Redes usando Software Livre", por Sandro Melo, Chief Security Officer da 4Linux.

A participação no Primeiro Congresso Linux e Open Source Software custa R$ 400,00 para todos os dias do evento e as inscrições podem ser feitas no site www.fenasoft.com.br. A programação completa do congresso, com dias e horários, descrição das palestras e currículo dos palestrantes, pode ser vista aqui.

19/5/2003 - 13:34 Giordani Rodrigues

O Grupo de Resposta a Incidentes para a Internet Brasileira (NBSO), mantido pelo Comitê Gestor, lançou na última sexta-feira a mais nova versão (1.2) do guia "Práticas de Segurança para Administradores de Redes Internet". O documento é dirigido ao pessoal técnico, especialmente aos administradores de redes, e reúne um conjunto de boas práticas em configuração, administração e operação segura de redes conectadas à Internet.

Entre as inovações do documento estão uma versão HTML ― além do formato PDF já existente anteriormente ―, uma seção exclusiva sobre segurança em redes wireless (sem fio), alterações nas seções sobre DNS, logs e redes reservadas, educação dos usuários e inclusões de novas referências nas sessões de livros e links de interesse.

O guia para administradores pode ser encontrado aqui. Recentemente, o NBSO havia lançado também uma cartilha de segurança destinada a usuários de Internet em geral, a qual pode ser acessada aqui.

Manual do CERT

Há cerca de 10 dias, o conhecido centro de segurança americano CERT/CC também lançou uma nova versão do seu "Handbook for Computer Security Incident Response Teams". O documento serve como um guia para a formação e operação de uma Equipe de Resposta a Incidentes de Segurança de Computadores (CSIRT, na sigla em inglês).

O manual tem o obetivo de auxiliar tanto as equipes em formação quanto as já existentes. Esta é a segunda edição do documento (a primeira foi lançada em 1998). Por enquanto, o manual está disponível apenas em inglês e pode ser acessado em formato PDF, aqui.

Leia também:

Nova cartilha sobre segurança já está na Internet

19/5/2003 - 11:44 Giordani Rodrigues

Várias empresas antivírus estão distribuindo alertas sobre um vírus descoberto ontem, dia 18, e batizado de Palyh, Mankx e também de Sobig.B, devido a algumas semelhanças com o W32/Sobig@MM. O vírus chega em uma falsa mensagem que simula ser da Microsoft e está se espalhando com rapidez por vários países.

A F-Secure afirma que recebeu muitos exemplares do vírus, principalmente dos Estados Unidos, Reino Unido, Dinamarca e Nova Zelândia. A empresa já está classificando o Palyh como de nível 1, o que significa alto risco de infecção de acordo com seus critérios. A MessageLabs, que oferece um serviço de análise de e-mails antes que cheguem aos destinatários, informa que já interceptou mais de 11 mil mensagens contaminadas pelo vírus em 69 países. A primeira delas veio da Holanda e atualmente os países mais atingidos são Reino Unido, Estados Unidos e Hong Kong, segundo as estatísticas da companhia.

Em sua versão atual, o Palyh não tem capacidade de destruir arquivos da máquina infectada, mas de acordo com a F-Secure a praga tem capacidade de se conectar a quatro diferentes Web sites e fazer download de novas funcionalidades para seu código. "Como resultado, o worm é capaz de atualizar a si mesmo e instalar outros aplicativos, tais como trojans", alerta o comunicado da empresa.

O Palyh é escrito em linguagem Microsoft Visual C++ e comprimido com o utilitário UPX. O worm se propaga por compartilhamentos de redes ou chega como um anexo de e-mail, cujo tamanho pode variar entre aproximadamente 49 KB e 54 KB. Ao ser descompactado, o arquivo tem aproximadamente 110 KB de tamanho. As mensagens que o carregam trazem no campo do remetente o endereço support@microsoft.com (obviamente forjado) e no corpo o texto "All information is in the attached file" (Todas as informações estão no arquivo anexo). Como assunto e nome do anexo há uma série de combinações possíveis, conforme se vê abaixo:

Assuntos:
Your details
Approved (Ref: 38446-263)
Re: Approved (Ref: 3394-65467)
Your password
Screensaver
Re: My details
Cool screensaver
Re: Movie
Re: My application

Anexos:
your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
application.pif

A McAfee, que considera o vírus como de médio risco de infecção, informa que, de modo similar ao Sobig, as mensagens construídas pelo Palyh podem ter uma aspa final omitida no nome do arquivo anexo. Isto pode fazer com que alguns programas de e-mail removam um caracter do nome do arquivo, de modo que a extensão "PIF" se torne "PI".

As mensagens infectadas são enviadas por meio de um serviço SMTP próprio do Palyh. Os endereços para os quais o worm se auto-envia são retirados do catálogo do Windows (arquivos com extensão WAB), de mensagens do Outlook e Outlook Express (extensões DBX e EML), de páginas HTML e de arquivos de texto (TXT) armazenados no computador infectado.

De acordo com a F-Secure, o worm está programado para se espalhar apenas até 31 de maio de 2003, após o que cessará suas tentativas de propagação. A companhia avisa, porém, que a capacidade de atualização do worm continua após esta data, portanto a praga poderá incorporar novos comandos e voltar a se replicar. Além disso, a data é baseada na contagem de tempo do sistema local, por isso se o relógio do sistema estiver atrasado o worm continuará se espalhando até que o processador registre o dia 31 de maio de 2003.

Quando executado, o Palyh lança três arquivos no diretório de instalação do Windows. Um deles tem o nome "msccn32.exe" e é uma cópia do próprio vírus, os outros dois são arquivos de configuração de nomes "hnks.ini" e "mdbrr.ini". O worm também rastreia os compartilhamentos de rede e tenta se copiar para as seguintes pastas, se o caminho estiver acessível:
\Documents and Settings\All Users\Start Menu\Programs\Startup\
\Windows\All Users\Start Menu\Programs\Startup\

Finalmente, chaves de registro são adicionadas ao sistema, para que o Palyh tenha seu código carregado na inicialização da máquina. As chaves são as seguintes:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"System Tray" = %WinDir%\msccn32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"System Tray" = %WinDir%\msccn32.exe

Foi detectado um bug em algumas amostras do vírus, que faz com que os arquivos maléficos às vezes sejam copiados para pastas diferentes das planejadas pelo criador da praga. Nestes casos, o código do vírus não será carregado na próxima inicialização do sistema. Várias empresas antivírus já dispõem de atualizações capazes de detectar e eliminar o Palyh.

18/5/2003 - 4:27 Giordani Rodrigues

A segurança do site estava precisando de uma ajuda

O site do Ajuda Brasil, uma das maiores iniciativas filantrópicas surgidas no país nos últimos anos, estava com um furo de segurança da mesma proporção. Até este sábado, uma falha básica de autenticação no site permitia que qualquer usuário cadastrado acessasse todos os dados de outro usuário, sem necessidade de saber login ou senha.

A falha foi detectada por um leitor de InfoGuerra, que enviou um e-mail, na sexta-feira, alertando para o problema. "Eu me cadastrei e recebi um link para confirmação, em que constava a minha ID (número de indentificação)", explica o leitor, que prefere que seu nome não seja divulgado. "Como sou curioso, resolvi fazer um teste colocando outro número, por exemplo, 3500. Acontece que o sistem aceitou! Sem pedir login, senha, nem nada. E ainda pude ver todos os dados da pessoa, a instituição que a mesma ajudou e tudo o mais", espanta-se. Para provar o que disse, ele enviou a cópia de um cadastro escolhido ao acaso.

Seguindo-se os procedimentos citados pelo leitor, podia-se constatar que tudo acontecia exatamente como descrito. A brecha permitia não só acessar dados como nome, endereço, telefone e e-mail de qualquer pessoa cadastrada, como também as doações feitas por ela ― em dinheiro, bens ou como ações voluntárias ― e para qual entidade beneficiada pela campanha.

No sábado à tarde, enviamos um e-mail para a assessoria de imprensa do Ajuda Brasil, alertando para a falha e solicitando esclarecimentos sobre o problema. Algumas horas depois, o furo de segurança foi fechado, mas não houve respostas por parte da associação.

Ajuda Brasil é o nome dado, segundo o próprio site, à ação cujo objetivo é "facilitar o encontro entre quem quer ajudar e as entidades que precisam de ajuda, usando a Internet como principal meio". O endereço do site ― ajudabrasil.org ― está registrado em nome de Marcos Wettreich, presidente do iBest e também da associação sem fins lucrativos que coordena a campanha.

Uma visita ao site impressiona pela quantidade (e poder) das personalidades e empresas que estão por trás da iniciativa. Além de Wettreich, compõem o quadro executivo Matinas Suzuki, vice-presidente do iG (e da associação) e Rubem César Fernandes, presidente do Viva Rio. No conselho da entidade estão nomes como José Roberto Marinho, um dos sócios das Organizações Globo, o apresentador Luciano Huck, a atriz Malu Mader, o publicitário Washington Olivetto e Pedro Moreira Salles, presidente do Unibanco. Além disso, grandes portais nacionais, concorrentes entre si, estão juntos apoiando a ação.

Como as Organizações Globo são uma das envolvidas na ação, durante a semana que passou o Ajuda Brasil foi tema de matérias no Jornal Nacional e no Jornal Hoje. Na sexta-feira terminaram os lances online para o leilão beneficente que pretende levantar o Instituto Criar de TV e Cinema, iniciativa de Luciano Huck para formar jovens interessados em carreiras nestes meios. Pouco mais de duas dezenas de pessoas ofereceram lances de alguns milhares de reais, que se tranformarão em encontros com celebridades ― como Xuxa, Ronaldinho e Caetano Veloso ―, obras de artes e objetos autografados. Os lances e os prêmios podem ser vistos aqui.

16/5/2003 - 7:54 Giordani Rodrigues

Teclado virtual: nem tão seguro assim

Nos últimos meses, vários bancos brasileiros aderiram ao chamado teclado virtual. Trata-se de uma nova forma de inserir senhas em transações de Internet Banking. Em vez de o usuário digitar os números, clica com o mouse sobre um teclado numérico (veja figura ao lado) visível na tela do computador. O objetivo é aumentar a segurança das transações bancárias, mas a prática tem demonstrado que tal proteção já está sendo quebrada.

O surgimento de teclados virtuais coincide com a avalanche de falsas mensagens de e-mail, que começou a assolar a Internet brasileira a partir de meados do ano passado. Os e-mails são distribuídos aos milhares trazendo nomes de bancos e outras empresas conhecidas, mas com um programa-espião "de brinde". Um dos bancos que adotou o teclado virtual afirma que "com ele, você fica protegido contra vírus ou programas de captura de senha que possam existir no computador que você está utilizando".

Isto é válido para os keyloggers tradicionais, que registram apenas o que usuário digita. Mas já estão sendo distribuídos programas de captura não só das teclas, mas também da tela do computador. Isso significa que mesmo os teclados virtuais estão vulneráveis à espionagem.

Nesta semana, circulou pela segunda vez (pelo menos) uma mensagem atribuída à Verisign (veja uma cópia aqui), uma das maiores empresas de certificação digital do mundo, induzindo o usuário a instalar um falso certificado, cujo link estava disfarçadamente hospedado no provedor Kit.Net, da Globo.com. Obviamente, tratava-se de um arquivo maléfico, que posteriormente foi analisado pelo laboratório ACME! de segurança de redes da Unesp.

Segundo o resultado da análise, o arquivo "certificado_digital.exe" gera outro, de nome MSNBC32.EXE, que por sua vez cria um arquivo texto para guardar "os pressionamentos de teclas, bem como os títulos das janelas ativas". Estas teclas são correlacionadas com snapshots (registros da tela) feitos ao redor do mouse. Outros arquivos "armazenam imagens de 25x25 pixels em 16 milhões de cores ao redor do cursor, quando o botão esquerdo do mouse é pressionado".

De acordo com os pesquisadores, "o programa capta imagens e o comportamento do sistema por aproximadamente 400 segundos". O mesmo comportamento foi encontrado em um arquivo de nome "Desejos.exe", baixado de um link numa mensagem que também circulou intensamente há alguns dias, contendo falsos cartões virtuais.

O analista de segurança Nelson Murilo confirma que programas com tais capacidades já estão circulando há semanas. Ontem mesmo circulou um spam atribuído à Embratel e que leva a uma página do hpG, cópia fiel da mensagem fraudulenta. A página ainda está no ar e pode ser vista em www.contafacil21.hpg.ig.com.br (ou aqui, caso seja tirada do ar). Segundo Murilo, o falso programa "Conta Fácil 21" oferecido na página, teoricamente "para consulta de extrato telefônico direto da Embratel", contém um arquivo capaz de capturar teclados virtuais.

Há mais de dois meses, o programador Marcos Velasco já havia publicado em seu site um artigo com explicações ilustradas de como funciona um captador de imagens usado para roubar senhas de teclados virtuais. O artigo, em formato RTF, pode ser aberto por qualquer editor de textos, e baixado aqui.

O que se vê, portanto, é que segurança não depende apenas de tecnologia, pois esta pode ser quebrada. Segurança é também uma questão de postura. É necessário que o usuário fique atento a e-mails não solicitados, downloads e arquivos desconhecidos em geral e mantenha sempre atualizados programas de proteção (como antivírus, antitrojans e firewall pessoal), além de aplicar as correções periódicas para brechas de seguranças nos softwares do sistema operacional, de navegação e de correio.

Leia também:

A sua cultura em segurança contra fraudes

16/5/2003 - 3:23 Omar Kaminski

O deputado Paulo Marinho, integrante da Comissão de Ciência e Tecnologia, Comunicação e Informática (CCTCI) da Câmara e designado relator do projeto de lei nº 5.403/01, que "dispõe sobre o acesso a informações da Internet e dá outras providências", apresentou parecer favorável com substitutivo na quarta-feira, 14 de maio. O deputado entendeu que o projeto merece aperfeiçoamentos, incorporando as idéias oferecidas nos oito projetos de lei apensados.

O projeto principal, originário do Senado Federal, que tramita em regime de urgência e está sujeito à apreciação do Plenário, determina aos provedores da Internet que mantenham, por um ano, registro das conexões realizadas por seus clientes, vedando às empresas telefônicas fornecer linhas aos que não demonstrarem capacidade técnica para tal. Já o substitutivo apresentado por Marinho obriga que os provedores de acesso preservem dados pessoais dos usuários responsáveis pelas conexões pelo prazo de três anos.

Segundo o parecer do relator, a matéria revela-se oportuna diante do elevado número de infrações cometidas pela rede. "Nem todos os provedores de acesso, que somam várias centenas de empresas em nosso País, têm a preocupação de manter essa informação de forma consistente, prejudicando a segurança de seus usuários e do ambiente virtual como um todo", afirmou o parlamentar.

Marinho observou que há milhares de provedores de informações ou de armazenamento registrados sob o domínio brasileiro na Internet, e muitos limitam-se a fornecer informações publicitárias, textos, lazer ou área de armazenamento, não cabendo exigir-lhes um controle das transações efetuadas por terceiros. Assim, as exigências previstas no texto principal devem ser restritas aos provedores de acesso à Internet.

O deputado também não concordou com a atribuição de função fiscalizadora às empresas de telefonia sobre os provedores de acesso. "Além de ser uma exigência que extrapola o escopo da concessão do serviço de telefonia, propicia à operadora, hoje em quase todos os casos ela própria acionista ou proprietária de provedores, uma estratégia de limitação da capacidade dos concorrentes", relatou.

Ele demonstrou, ainda, preocupação com a preservação da privacidade do usuário de Internet, em especial com a cessão de seus dados pessoais, observando que só pode ocorrer diante de investigação conduzida por autoridade competente e diante de requisição por meio de mandado judicial.

O deputado estabeleceu no substitutivo que a divulgação de informações de usuários em desacordo com o disposto no artigo 5º constitui crime, a ser punido com detenção de um a quatro anos e multa. A multa prevista por infração é de dois mil a cinco mil reais por ocorrência, acrescida de um terço no caso de reincidência.

Projetos de lei apensados

O deputado Paulo Marinho votou pela aprovação de todos as proposições apensadas, mas ofereceu diversas considerações:

- PL nº 3.016/00, do deputado Antonio Carlos Pannunzio, que dispõe sobre o registro de transações de acesso à Internet. Deste, Marinho incorporou a limitação das disposições aos provedores de acesso e a previsão de pena pelo descumprimento das determinações estabelecidas. O deputado preferiu não acatar a definição de provedor de acesso oferecida, por entender que a Internet sofrerá ainda rápida evolução tecnológica, oferecendo novas alternativas eventualmente não previstas no momento.

- PL nº 3.303/00, do deputado Antônio Feijão, que dispõe sobre normas de operação e uso da Internet no Brasil, avançando em aspectos do registro de nomes de domínio e obrigações dos usuários. Marinho entendeu que tal regulamentação é prematura. "Preferimos que tais disposições permaneçam, por enquanto, no âmbito normativo das instituições que hoje administram a Internet brasileira, dando à sociedade mais tempo para avaliar o grau de regulação a ser implementado em lei".

- PL nº 3.891/00, do deputado Júlio Semeghini, que obriga os provedores de serviço de acesso à Internet a manter registro das transações efetuadas por seus usuários. "Dele acatamos, em especial, a concepção de provedor de acesso e as disposições quanto à preservação de registros de transações efetuadas através do provedor".

- PL nº 4.972/01, do deputado José Carlos Coutinho, que dispõe sobre o acesso à informação da internet e dá outras providências. Oferece enfoque similar ao da proposição principal.

- PL nº 5.977/01, do deputado Divaldo Suruagy, que disciplina o acesso e uso dos serviços de Internet por estabelecimentos de ensino e órgãos públicos. Ficarão abrangidos pelas disposições previstas no substitutivo.

- PL nº 6.557/02, do deputado Valdemar Costa Neto, que obriga os participantes de salas de encontro virtual e troca de imagens a identificar-se. O relator incorporou algumas disposições quanto ao registro e identificação dos usuários junto a seus provedores.

- PL nº 7.461/02, do deputado Eni Voltolini, obriga os provedores de acesso à Internet a manter cadastro de usuários e registro de transações realizadas. Marinho opinou por sua aprovação, na forma do substitutivo.

- PL nº 18/03, da deputada Iara Bernardi, que veda o anonimato dos responsáveis por páginas na Internet e endereços eletrônicos registrados no País. O deputado relator preferiu os termos sugeridos pela proposição principal e pelos demais projetos de lei apensados, que preservam a privacidade dos usuários de serviços da Internet.

O PL nº 480/03, de autoria do deputado Pompeo de Mattos e que dispõe sobre o cadastramento dos usuários de serviços de Internet, disponibilização de dados à autoridade policial e outras providências não integrou o relatório, porque a determinação de seu apensamento ocorreu posteriormente.

O parecer com substitutivo segue para aprovação da CCTCI, e posteriormente será encaminhado à Comissão de Constituição, Justiça e Redação (CCJR).

Leia a íntegra do substitutivo aqui.

Omar Kaminski é advogado especializado em Direito da Informática e responsável pelo site Internet Legal.

Leia também:

Deputado quer que dados de internautas sejam entregues à polícia

Projeto de lei pretende coibir anonimato na Internet

Projeto quer que provedores mantenham cadastros dos usuários

PL prevê mais regras e segurança na Internet

16/5/2003 - 2:30 Paulo Barbosa Jr.

É notável como este assunto gera polêmica, mesmo depois de tão discutido e abordado pela imprensa durante os casos de demissões que ocorreram no ano passado em grandes organizações brasileiras, motivadas pelo acesso de seus funcionários a conteúdos pornográficos ou “sem relação ao negócio da empresa”.

Este é o típico assunto que nos faz figurar prontamente em uma posição – já imaginou os prós e contras na visão da empresa e do seu funcionário? George Orwell, em seu best-seller “1984” predizia uma sociedade fantasticamente vigiada – protagonista de uma espécie de “Big Brother”.

Imaginemos você como diretor de uma empresa de tecnologia, que está investindo um capital considerável no desenvolvimento de uma nova solução para a telefonia celular. Pouco antes do lançamento do produto um dos desenvolvedores entrega sua carta de demissão. Passado algum tempo, você descobre que seu ex-funcionário foi empregado pela concorrência. Será que a confidencialidade de suas informações foi comprometida?

É claro que há diversos meios de se transmitir informações, são muitas as alternativas para um funcionário verdadeiramente mal intencionado. Para conter estas ameaças existem diversos controles tecnológicos e administrativos, que devem ser coordenados por uma Política de Segurança da Informação. De qualquer forma, a redução da produtividade e a deterioração da imagem da empresa são riscos evidentes quando ocorre o uso inapropriado de recursos de monitoração.

Por outro lado, podemos considerar a própria legislação brasileira como principal opositor às práticas de monitoração. O projeto de Crimes de Informática, que tramita no Congresso Nacional não trata de crimes por uso indevido de sistemas tecnológicos, trata apenas de crime de invasão, intenção deliberada de transmitir vírus, ou dano dos dados.

O anteprojeto da AMCHAM/SP insere no artigo 151 do Código Penal Brasileiro (Devassar indevidamente o conteúdo de correspondência fechada, dirigida a outrem), uma cláusula que trata da inviolabilidade da correspondência, o parágrafo 5º, prescrevendo :

§ 5º - Para todos os fins deste artigo, o correio eletrônico equipara-se à correspondência fechada.

Equiparando-se o e-mail à correspondência fechada, o mesmo se tornará inviolável, ou seja, em nenhuma hipótese poderá ser aberto pelo empregador.

Para ilustrar o cenário acima citado, tomemos como exemplo um caso registrado em uma grande instituição financeira no Brasil. Um funcionário foi demitido em função da transmissão de uma mensagem pornográfica. No entanto, o juiz da ação decidiu que não haveria razão para demiti-lo por justa causa, já que a monitoração não é permitida legalmente.

Todos podem ter direito de acessar a interminável quantidade de informações disponibilizadas pela Internet, desde que as regras sejam claras e pré-estabelecidas, entendendo que a empresa disponibiliza recursos para seus funcionários com a finalidade de que estes sejam utilizados em sintonia com os interesses da companhia e não em atividades paralelas ou necessidades particulares. Tratam-se as exceções, como, por exemplo, o uso da Internet como instrumento educativo e em casos de real necessidade, como o uso de Internet Banking.

Como solução a estas questões envolvendo o monitoramento do uso de web, devemos estabelecer que todas as permissões, e as exceções devem ser claramente estabelecidas em uma Política de Segurança da Informação, suportada por um termo de aceitação das condições de trabalho assinado por todos os funcionários, garantindo o reconhecimento às normas vigentes, e fornecendo amparo legal à organização contra possíveis processos realizados por funcionários demitidos devido ao não cumprimento destas regras.

Tendo em vista que o funcionário deve fazer uso estritamente profissional dos equipamentos fornecidos pela corporação, a restrição de uso é cabível, sendo que este controle se tornou necessidade primordial para a contenção de prejuízos. Por outro lado, cabe à empresa garantir que o monitoramento se configure com respeito aos funcionários e em sigilo, restringindo ao máximo a divulgação destas informações e não configurando qualquer tipo de perseguição ao funcionário. A monitoração por amostragem das atividades rotineiras dos funcionários deve ser contínua e fazer parte da gestão da segurança da informação.

Verificar a suspeita da ocorrência de vazamento de informação configura uma atividade de investigação. Lembre-se que ninguém poderá ser condenado por enviar informações confidenciais se: (1) não houver uma definição clara do que é informação confidencial; (2) não houver uma regra formal e reconhecida pelo funcionário de que estas informações consideradas confidenciais não podem ser enviadas; e (3) não for evidenciado que a organização possui controles que objetivam evitar a ocorrência destes eventos.

Na ocorrência de eventos de risco à organização, em decisões que possam comprometer a estratégia do negócio, deve haver o envolvimento da Alta Administração na homologação do plano de tratamento do risco. Seguindo estas premissas, estou certo de que cada vez haverá menos investidas quanto à privacidade do funcionário, e de que ficará extremamente difícil burlar as regras estabelecidas na política tecnológica e administrativa da sua organização.

Paulo Barbosa Jr. é consultor da Axur Information Security

15/5/2003 - 18:35 Redação

A Microsoft Brasil lançou um comunicado oficial hoje, alertando seus consumidores sobre duas situações fraudulentas que vêm ocorrendo: falsa promoção associada ao nome da empresa e mensagens enganosas que estão circulando na Internet em forma de spam.

Na primeira situação, pessoas estão ligando aleatoriamente para números de telefone, no estado do Rio de Janeiro, identificando-se como diretores de marketing da Microsoft Brasil. Em seguida, dizem que o consumidor em questão foi premiado com um televisor de 29 polegadas e que, para retirar o prêmio, teria de adquirir quatro cartões telefônicos das operadoras de celular Oi ou ATL.

A Microsoft Brasil garante que a promoção é falsa, pois não realiza sorteios de TVS ou qualquer outro aparelho eletrodoméstico, não exige de seus clientes a compra de cartões telefônicos, nem qualquer de seus executivos participa de sorteios por telefone. Não há, portanto, qualquer promoção acontecendo com a Oi Celular ou ATL. A empresa esclarece que já informou as autoridades policiais e entidades de defesa do consumidor sobre o golpe e tomará as providências necessárias para resolver a questão.

A outra mensagem é um falso boletim de segurança da corporação, intitulado Microsoft Security Patch, com um arquivo não confiável, provavelmente vírus ou trojan, anexado ao e-mail. O texto da mensagem, em inglês, diz que o material resolveria supostas vulnerabilidades do Internet Explorer, Microsoft Outlook e Outlook Express.

A Microsoft informa que não tem como política de comunicação o envio de mensagens não solicitadas, muito menos para a instalação de programa ou correção. Toda e qualquer atualização dos sistemas operacionais é feita exclusivamente por meio do Windows Update, única fonte oficial para o usuário.

Esta é a terceira vez em menos de seis meses que a subsidiária brasileira da Microsoft envia alertas dessa natureza. Nos últimos meses, os golpistas estão mais ativos do que nunca e os golpes por e-mail surgem cotidianamente, envolvendo não só o nome da Microsoft, como o de várias outras empresas famosas.

Leia também:

A sua cultura em segurança contra fraudes

Falsa notícia da CNN é usada para roubar senhas

Falsos e-mails em nome da MS levam a roubo de dados

Ferramentas, sites e serviços viram armadilhas para internautas

15/5/2003 - 9:36 Redação/Divulgação

A Red Hat Inc., maior distribuidora mundial do sistema operacional Linux, anunciou o registro de sua subsidiária brasileira, denominada Red Hat Brasil Ltda. A empresa já atua no país em fase pré-operacional desde 2002, e irá organizar a distribuição em território nacional de sua linha de software corporativo Red Hat Enterprise, bem como o credenciamento de parceiros nas áreas educacional e de serviços.

A distribuição da linha Enterprise, na forma de subscrição anual por servidor, é feita mundialmente pela IBM, HP e Dell em regime de OEM (Original Equipment Manufacturer, uma espécie de terceirização de manufatura). No Brasil, será feita também pela Officer, de São Paulo, diretamente aos centros de serviços Red Hat, os quais serão nomeados com base numa lista preferencial já fornecida pela Oracle ― aliada global da Red Hat.

A Officer deverá iniciar o faturamento da linha Enterprise até o final de maio, aos clientes que já confirmaram suas compras diretamente à Red Hat nas últimas semanas. A Fast Training, empresa especializada em cursos de Tecnologia da Informação, dará início ao programa de treinamento e certificação da Red Hat. Outros centros educacionais serão credenciados de acordo com um cronograma de cobertura territorial.

A Red Hat Brasil Ltda. planeja ampliar seu escritório de Curitiba, nos próximos 90 dias, de onde também atenderá os demais países da América Latina. Já está estabelecida a distribuição no Cone Sul, por meio da Preteco, da Argentina, e o próximo passo é atender ao México e América Central, com previsão para junho.

O gerente-geral da Red Hat para a América Latina, Francisco Pesserl, acredita numa participação significativa do Linux corporativo no mercado latinoamericano ainda neste ano e projeta a liderança da empresa no setor para 2004.

14/5/2003 - 20:10 Giordani Rodrigues

Imagem deixada no site da Intelig

O site da Intelig (www.intelig.net.br) sofreu um ataque digital bem-sucedido, próximo das 17h45 desta quarta-feira, dia 14. Durante alguns minutos, a página original da operadora apresentou-se alterada com palavrões e mensagens de protesto, uma figura demoníaca (aparentemente retirada do filme Terminator) e, como fundo musical, a canção Regina Let's Go, do grupo punk-rock brasileiro CPM22.

O grupo de desfiguradores Red Eye, um dos mais ativos do cenário underground no momento, responsabilizou-se pelo ataque. A mensagem deixada pelos crackers tinha o seguinte conteúdo (os erros de ortografia foram mantidos): "Não somos criminosos, Não somos nada diante dessa sociedade que só dá valor qdo se tem dinheiro no bolso e carro do ano, estou cansado disso, estou desapontado com isso, vai aki meu protesto, fica aki minha indignação pra esse mundo de ilusões e xeio de cães que só kerem o seu sangue, álias se é q ele ainda presta pois nem isso temos certeza..."

De acordo com dados do site Netcraft, o servidor atacado é um Windows 2000 rodando Web server Microsoft IIS 5.0, instalado em dezembro de 2002. Isto leva a crer que os crackers podem ter explorado uma grave brecha de segurança recentemente descoberta.

A falha se encontra no serviço WebDAV ― usado para gerenciamento remoto de Web sites ― e está presente em servidores com a mesma configuração do site da Intelig. A correção para o problema já foi disponibilizada pela Microsoft há cerca de dois meses, mas muitos servidores não foram atualizados e continuam vulneráveis.

Sabe-se que esta falha está sendo intensamente explorada por crackers. Prova disso é o alerta divulgado há duas semanas pelo Centro de Atendimento a Incidentes de Segurança (CAIS), segundo o qual está circulando no submundo da Internet uma ferramenta conhecida como "KaHT". Ao explorar a brecha, a ferramenta adiciona um usuário chamado "KaHT" no grupo Administrador, que permite a um atacante executar comandos de sua escolha na máquina vulnerável. Os detalhes do alerta e a correção para o problema podem ser vistos aqui.

A assessoria de imprensa da Intelig informou que, devido ao horário, só amanhã haveria possibilidade de encontrar alguém da operadora que pudesse comentar sobre o episódio. No momento em que esta matéria estava sendo publicada, todos os sites da operadora estavam fora do ar. Uma cópia do site desfigurado pode ser vista aqui.

Leia também:

Falha grave em servidor da Microsoft permite invasão de sites

14/5/2003 - 4:54 Redação

O MSN, portal de serviços e conteúdo da Microsoft, anunciou a implementação de uma combinação de novas tecnologias e campanha educacional para proteger os usuários contra e-mails indesejados. De acordo com a empresa, as técnicas chegam a bloquear 2,4 bilhões de spams por dia ― aproximadamente 80% de todas as mensagens que chegam aos servidores do portal. Este volume equivaleria a duas mensagens indesejadas enviadas diariamente para cada pessoa na China ou mais do que oito para cada pessoa dos Estados Unidos.

A nova ferramenta anti-spam do MSN, lançada mundialmente na semana passada, impede que imagens inseridas em uma mensagem sejam carregadas na tela, a menos que o remetente esteja na lista de contatos do usuário. Isto impede certas técnicas de confirmação de recebimento da mensagem, que permitem aos spammers diferenciar contas de e-mail ativas e inativas. Com a inovação os consumidores podem abrir manualmente imagens em mensagens desconhecidas após analisar o resto do conteúdo.

Outra tecnologia, chamada Human Interactive Proof (HIP, ou Prova de Interação Humana), recentemente incluída nas ferramentas anti-spam, barra a criação de várias contas de e-mail necessárias para o envio de mensagem indesejada. No processo de registro do Hotmail, o sistema HIP pede para o usuário interpretar e redigitar manualmente uma senha de números e letras na página de assinatura, impedindo que os spammers usem robôs, scripts e outros métodos automáticos para criar novas contas.

A abordagem anti-spam conta ainda com múltiplas camadas de filtro de e-mail. A primeira, fornecida pela Brightmail e disponível para 120 milhões de usuários do Hotmail e do MSN TV, utiliza um conjunto de mais de 200 milhões de endereços de e-mails, chamado Probe Network, para atrair spam antes que ele acesse a caixa de entrada do usuário. A segunda camada de filtragem permite que os usuários selecionem três níveis de proteção adicional ― padrão, avançado e exclusivo. Eles ainda podem optar por receber e-mails somente de pessoas do seu catálogo de endereços. A terceira camada, exclusiva para o serviço MSN 8, usa um programa que possibilita aos usuários treinar o sistema e separar e-mail legítimo de e-mail indesejado, clicando nas opções "Lixo" ou "Não Lixo" na barra de ferramenta do serviço de e-mail. Atualmente o MSN 8 está disponível nos Estados Unidos, Canadá, Inglaterra e Japão e será lançado nos próximos meses em outros países.

A Microsoft também está investindo na educação dos usuários e se juntando a outras empresas do setor para tentar reduzir o fluxo de spam. Há cerca de duas semanas, Microsoft, America Online e Yahoo! anunciaram planos para trabalharem juntas na luta contra o spam. As empresas planejam iniciar um diálogo com organizações em geral para direcionar padrões técnicos e diretrizes que possam ser usados independentemente da plataforma adotada.

13/5/2003 - 22:59 Redação

A D-Link, empresa que atua no mercado de dispositivos de conectividade para pequenas e médias empresas, está lançando no Brasil a DCS-2000, uma câmera IP (Internet Protocol) para monitorização à distância de ambientes. O equipamento não necessita de microcomputador para funcionar e pode conectar-se diretamente a qualquer rede Ethernet.

A câmera serve como quesito de segurança interna ou externa para residências e escritórios. As imagens podem ser vistas em banda larga por meio de uma interface Web em qualquer navegador conectado à Internet. O equipamento, do tipo plug&play, vem com porta FastEthernet para conectar-se à rede local. Há também uma versão wireless (sem fio) que transmite as imagens na faixa de 2,4 GHz.

O equipamento tem qualidade VGA para streaming de vídeo e resolução de 640 x 480 pixels. A imagem é ajustável em três tamanhos na tela do micro, com janela de detecção de movimento. Outro recurso possibilita ao usuário agendar transferências periódicas de imagens por e-mail, ou utilizando um servidor FTP. A DCS-2000 atua nos sistemas Windows XP, 2000, ME ou 98/SE e trabalha com os protocolos mais usuais de mercado, como TCP/IP, HTTP, SMTP, FTP, Telnet, NTP, DNS e DHCP. O preço sugerido ao usuário final no Brasil é de US$ 530,00 (cerca de R$ 1,5 mil).

13/5/2003 - 21:23 Redação

A Symantec está lançando no Brasil seu antivírus corporativo para o servidor Microsoft Internet Security and Acceleration (ISA). O novo produto fornece verificação e reparo de vírus para tráfegos HTTP, FTP e SMTP incorporados pelo servidor, prevenindo as ameaças antes de entrarem na rede da empresa por meio do ISA Server ― um firewall extensivo e um servidor de cache que se integram ao Windows 2000 para prover proteção baseada em políticas.

O Symantec AntiVirus para ISA Server permite aos administradores configurar e gerenciar alertas e proteção contra vírus originados na Web, worms, códigos maléficos e cavalos de Tróia, em todos os tipos de arquivo, incluindo os compactados. Já as políticas de e-mail do produto bloqueiam mensagens suspeitas, analisando assunto, tamanho do arquivo e tipo de documento anexado.

O software permite ainda atualização automática de definições de vírus e detecção antecipada de ameaças desconhecidas. O Symantec AntiVirus para ISA Server sai por R$ 69,97 a unidade para um pacote mínimo de 10 licenças e R$ 66,47 para um pacote de 25 a 99 licenças.

13/5/2003 - 12:28 Luis Fernando Rocha

Inúmeros serviços antes disponíveis somente de forma física ― e com empecilhos burocráticos medievais! ― sofreram uma mudança positiva com o advento da internet no país. Para se ter uma idéia, as últimas estatísticas da Febraban (Federação Brasileira dos Bancos) revelam que 13 milhões de usuários brasileiros utilizaram os serviços de internet banking em 2002, representando um aumento de 56,63% se compararmos com os números de 2001 (8,3 milhões de usuários).

No entanto, ao mesmo tempo em que os serviços on-line facilitaram a vida do cidadão, as ameaças e riscos físicos também foram transferidos e adaptados para o meio tecnológico ― até mesmo porque pesquisas e mais pesquisas na área revelam que a cultura em segurança da informação ainda não é seguida à risca pelos usuários.

Exemplos?

Nas últimas semanas, usuários de internet banking do Banco do Brasil, Unibanco e Itaú foram alvos de mensagens maliciosas que utilizavam a engenharia social para induzir os clientes desses bancos a fornecerem dados sensíveis sobre suas informações bancárias.

Repare, no entanto, que tal ação independe da segurança no internet banking e foca sua estratégia no lapso de medidas de segurança que deveriam ser adotados previamente pelos usuários.

Assim, um dos truques mais comuns utilizados nessas mensagens é a construção do e-mail com o mesmo design oficial do banco, além de trazer a assinatura da mensagem com o nome de um executivo estratégico de tal banco, tornando assim a fraude factível para a vítima. Para completar, o e-mail malicioso vai programado em HTML para possibilitar que o real endereço da URL maliciosa ― em que a vítima é induzida a clicar ― seja forjado.

Um exemplo. Em HTML, é possível programar uma URL com um endereço, quando na verdade o direcionamento do mesmo é outro. Clique no endereço a seguir http://www.jb.com.br e repare que ele não é o mesmo que abriu na nova janela em seu navegador.

Tipos de ataques

A situação descrita acima resume apenas um tipo de ataque utilizado contra os usuários de internet banking. “Em geral os ataques contra usuários destes serviços se baseiam em técnicas de engenharia social, ou seja, estes ataques procuram induzir o usuário a instalar um programa no seu computador ou a acessar uma página que se faz passar pela página do seu banco", explica Cristine Hoepers, analista sênior de segurança do grupo de resposta a incidentes de segurança NIC BR Security Office (NBSO), ligado ao Comitê Gestor da Internet no Brasil.

A especialista cita ainda outro tipo de caso comum. "Também há casos em que os estelionatários conseguem comprometer máquinas que estão entre o banco e a máquina do usuário (normalmente os servidores de DNS) e conseguem fazer com que o computador do usuário receba informações erradas sobre como acessar a página do banco”, relata Hoepers.

Conferir sempre

Para desmascarar esse tipo de artifício criminoso, e antes de clicar de primeira no endereço “sugestionado”, confira a quem pertence o tal domínio no Registro.br ― órgão controlador de registros de domínios no Brasil. No caso específico de internet banking, a Febraban disponibiliza uma listagem oficial completa com os endereços dos sites oficiais dos bancos no país.

Ou ainda para sanar qualquer tipo de dúvida, consulte por telefone com o atendimento oficial do seu banco ou com seu gerente a veracidade das informações contidas em tal mensagem. No entanto, cuidado. Não utilize telefones informados nesses e-mails, pois eles podem ser de domínio dos criminosos e utilizados para ludibriar as vítimas.

Estabelecendo sua cultura em segurança

Esse cenário revelaria que a cultura em segurança ainda é incipiente entre os usuários de internet do país? “Sim e creio que é, na maior parte das vezes, uma questão de postura do usuário com relação à internet. Existem diversos cuidados que, se tomados, reduzem drasticamente as chances de uma pessoa ter seus dados bancários (como senhas, número de cartão de crédito etc) furtados ou mesmo ter seu computador invadido ou infectado por vírus. Por isto é necessário que os usuários se informem sobre como se prevenir dos riscos no uso da internet”, diz Cristine Hoepers.

A especialista traz importantes dicas de segurança. “Para se prevenir dos ataques que se baseiam em engenharia social, a melhor maneira é evitar sempre instalar programas desconhecidos em seu computador e, se receber um e-mail cuja origem aparentemente seja seu banco, jamais seguir as recomendações da mensagem sem antes verificar junto à sua agência a veracidade das informações. Para todos os casos, vale a recomendação de sempre verificar se o certificado do site do banco está em ordem e se realmente é aquele que deveria ser”, afirma.

Para completar, ela recomenda ainda a nova versão da Cartilha de Segurança para Internet, disponibilizada recentemente pelo NBSO. “Informações completas sobre como verificar estas informações e sobre quais os cuidados a serem tomados ao fazer transações comerciais ou bancárias via a Internet estão na Parte IV: Fraudes na Internet”, destaca.

Luis Fernando Rocha é jornalista e mantém o blog www.soblogs.blogger.com.br. Contato: luisfrp@uol.com.br

13/5/2003 - 11:54 Redação/Divulgação

A Trend Micro lançou um alerta amarelo (médio risco) devido ao surgimento de novas versões do vírus Lovgate. A primeira variante importante do vírus surgiu em 14 de fevereiro de 2003 e nessa nova onda de ataques a Trend Micro detectou três novas variantes, vindas de três países diferentes: Coréia, Japão e Cingapura. De acordo com Miguel Macedo, diretor comercial da Trend Micro, este tipo de ataque é muito pouco usual.

O worm vem se espalhando com bastante rapidez na Coréia, local em que os laboratórios da Trend receberam um número elevado de chamados em função do vírus. Assim como a versão anterior, essa variante se propaga por arquivos compartilhados em rede e via e-mail, enviando cópias de si mesmo como resposta a todas as novas mensagens recebidas pelo usuário de máquinas infectadas rodando Microsoft Outlook e Outlook Express. Capaz de infectar sistemas com Windows NT, 2000 e XP, o vírus procura por todas as pastas compartilhadas com acesso de leitura e escrita e insere cópias de si próprio nesses arquivos.

''Em vez de se auto-enviar para os endereços cadastrados no catálogo do Outlook com uma linha de assunto qualquer que tente chamar a atenção do usuário, como é de praxe, o Worm_Lovgate.J responde às mensagens que estão na caixa de e-mail da máquina infectada, o que confunde ainda mais quem recebe o vírus, pois acredita que seja a resposta de uma mensagem que enviou a um conhecido'', afirma Macedo.

O Lovgate possui outras duas características interessantes, que não são exatamente novidades, mas são típicas dos novos vírus e demonstram uma tendência: as ameaças híbridas. Uma dessas características é o fato de agir como worm ― que tem o poder de se disseminar rapidamente e congestionar as redes corporativas e, dependendo do caso, a Internet em geral ― e como cavalo de Tróia ― que abre uma porta na máquina infectada e permite o roubo de dados e a manipulação remota do sistema. O outro aspecto que torna o Lovgate uma praga do momento é o fato de se disseminar de duas formas, por e-mail e através de pastas compartilhadas em rede.

A grande tendência das ameaças virtuais, na visão da Trend Micro, é que os vírus se tornem cada vez mais complexos e combinem características dos outros vírus que já tiveram sucesso, aumentando assim seu poder de disseminação e destruição. Por isso é importante que as empresas tenham uma política de segurança forte, implementada com a ajuda de um especialista em segurança de Tecnologia da Informação e todas as portas de entrada de vírus protegidas por produtos específicos, e não apenas por antivírus instalados nos desktops, como ainda se vê no Brasil.
Mais informações (em inglês) sobre o Worm_Lovgate.J podem ser obtidas aqui.

Leia também:

Vírus de rápida disseminação abre porta para intrusos

Cavalo de Tróia rouba senhas do Windows

9/5/2003 - 23:55 Redação

A Panda Software lançou um alerta sobre a aparição de um novo vírus, o W32/Kickin. Esse código maléfico busca na memória uma série de programas relacionados com software antivírus e de segurança, e fecha os que estiverem sendo usados.

O vírus é enviado por e-mail mediante seu próprio servidor SMTP (protocolo para transferência de mensagens eletrônicas) ― incluindo um sistema que permite que seja enviado de forma independente, sem necessidade de utilizar um endereço de e-mail determinado. Também pode se propagar através do IRC (rede de bate-papo) e aplicações para troca de arquivos (P2P), como KaZaA e outros.

Originário da Áustria, o W32/Kickin infecta as plataformas Window 9x, NT, 2000 e XP, e está programado em Microsoft Visual C 6.00. Ao se fixar em um computador, envia a seguinte mensagem de e-mail, sem anexo, a diferentes destinatários:

De: twistmaster13@hotmail.com

Assunto: Hi, I'm 100% sure I'm infected!

Mensagem: "mmm...if you received this mail, then someone has been infected with W32.CyberWolf.B@mm => a new massmailer worm.
For every infection this worm does, you'll receive an email like this.
It has never been my intention to cause your mailbox any harm,nor mailbomb it.
Its just so that you can have a quite accurate view on how many infections..because most of the times,Av companies are miles away from the real number..."

Para se propagar por e-mail, o vírus é capaz de compor e enviar uma grande variedade de mensagens diferentes ― todas em inglês. Essas mensagens são enviadas a vários destinatários contidos na pasta de endereços do Windows (WAB) e também nos programas MSN Messenger, .NET Messenger, ICQ, Yahoo Pager e nas páginas HTML armazenadas no computador.

As mensagens enviadas pelo Kickin se utilizam das "técnicas de engenharia social", que tentam enganar os usuários e fazer com que eles executem o arquivo anexo, como por exemplo: SARS (Severe Acute Respiratory Syndrome), cartas de amor, jogos, fotos de artistas famosos, e outras.

O Kickin cria uma pasta chamada 'script.ini', que contém um código para que possa ser propagado através do programa mIRC. Também é copiado em diretórios de arquivos compartilhados de várias aplicações P2P, como KaZaA, Bearhsare, Edonkey2000 e Morpheus.

Por enquanto, o Kickin é considerado de baixo risco. A Panda já dispõe de atualizações para a detecção e eliminação deste código maléfico.

8/5/2003 - 16:02 Angela Ruiz

Alguns assinantes de telefonia móvel da AT&T nos Estados Unidos acham que uma mensagem que receberam na quarta-feira da semana passada, e que aparenta ser um spam, poderia chegar a danificar seus celulares. Todos os assinantes que reportaram o problema utilizam como telefone móvel o modelo Siemens S46.

Mesmo quando não abriram o e-mail, que começava com o texto "Need Help With International Dialing" (Preciso de ajuda para ligações internacionais), alguns chegaram a pensar que se tratava de algum vírus ou cavalo de Tróia escondido em seus equipamentos, capaz de roubar-lhes o catálogo de endereços e se aproveitar de suas capacidades de correio eletrônico.

Ainda se ignora se os assinantes afetados foram vítimas de um ataque deliberado, que seria o primeiro nos Estados Unidos a envolver telefones celulares, ou só de um problema de software com erro dentro dos dispositivos, disse o representante da empresa alemã Siemens ao ser consultado na sexta-feira.

O modelo S46 utiliza partes do mesmo código que a companhia emprega em outros dois modelos, disponíveis só na Europa e que foram retirados de circulação em março deste ano, por causa de uma série de correios eletrônicos possivelmente maléficos. Estes incidentes reavivam as preocupações acerca da possibilidade de que o spam e os vírus, tão comuns nos computadores pessoais, possam começar a se espalhar por dispositivos sem fio.

O spam em telefones celulares chegou a merecer a atenção da recente "reunião de cúpula do correio em massa" da Comissão Federal de Comércio dos Estados Unidos, levada a cabo na semana passada em Washington. Mas os casos de ataques maliciosos em telefones celulares ainda são extremamente raros, embora isso possa mudar à medida que os fabricantes ofereçam mais modelos com a capacidade de baixar software das redes sem fio, que são altamente vulneráveis.

Os ataques mais conhecidos até o momento ocorreram no Japão, no ano de 2001, quando uma mensagem enviada a assinantes da companhia NTT DoCoMo era capaz de marcar o número para emergências daquele país (ver "Su celular tiene un mensaje. No responda, es un virus").

Até agora, o certo é que em todos os modelos da série *45 da Siemens se encontraram algumas vulnerabilidades. Uma delas, recentemente reportada numa lista de segurança, indica que só é necessário a recepção de uma mensagem SMS (Short Message Service, ou seja, um correio eletrônico que pode ser lido na tela do celular) especial, para que o telefone seja desconectado sem nenhuma advertência, e sem possibilidade de voltar a se conectar.

Uma assinante que recebeu a misteriosa mensagem na semana passada disse que a apagou, pensando tratar-se de spam, mas logo se deparou também com uma estranha entrada em que se guardavam os endereços e números telefônicos, e então tratou de também apagá-la. Como resultado obteve a mensagem de que seu catálogo de endereços estava corrompido e logo não pôde voltar a enviar e-mail.

A companhia AT&T ofereceu-se para repor esses modelos por dez dólares mais os gastos de envio, disseram os assinantes prejudicados. O modelo se vende nos Estados Unidos a cinqüenta dólares descontados os impostos. Um representante da AT&T disse não estar seguro dessa situação e que não tinha comentários imediatos a fazer sobre o assunto.

Angela Ruiz é colaboradora do site VSantivirus. Texto publicado sob autorização. URL original: http://www.vsantivirus.com/07-05-03.htm. Tradução de Giordani Rodrigues

Leia também:

E-mail faz celular ligar para polícia japonesa

Vírus de telefone celular é trote

8/5/2003 - 11:24 Redação

A empresa de segurança da informação Módulo Security Solutions e a Det Norske Veritas, organização internacional especializada em certificações, lançam o "Curso e Certificação de Auditor Líder em BS 7799". Destinado a auditores, técnicos, administradores, security officers e consultores de segurança, o curso tem como objetivo capacitar e certificar profissionais que queiram conduzir equipes de auditoria em segurança da informação, tendo como base a norma internacional de gestão.

O conteúdo do curso, cujo material didático é todo em português, prepara os alunos para definir equipes de auditores, planejar e conduzir auditorias, preparar relatórios, compilar e classificar não-confomidades e participar de reuniões de análise. A certificação é obtida após uma prova de avaliação.

O valor do curso pode ser parcelado em até seis vezes no cartão de crédito. As inscrições podem ser feitas pelo site www.modulo.com.br ou pela central de atendimento 0800 7070 853.

7/5/2003 - 0:20 Giordani Rodrigues

A empresa Internet Security Systems (ISS), uma referência mundial na área de segurança de sistemas, teve um de seus sites alterados por crackers. O episódio chama a atenção não só por causa do perfil da companhia afetada, mas também porque uma falha em servidores Microsoft, divulgada recentemente pela própria ISS, teria possibilitado o ataque. A empresa chegou a disponibilizar para o público ferramentas específicas para detecção da falha.

Segundo notícia postada pelo site Zone-H, o servidor atacado possuía uma brecha de segurança relacionada ao serviço WebDAV, usado para gerenciamento e edição remota de conteúdo em Web sites. A falha, considerada grave, afeta sistemas Windows 2000 rodando servidores Web IIS 5.0. O bug foi divulgado pela ISS em 17 de março passado ― há cerca de um mês e meio, portanto ― no mesmo dia em que a Microsoft lançou seu boletim de segurança com detalhes e a correção para o problema.

O site atacado foi o da X-Force Internet Watch (xfiw.iss.net), uma equipe mantida pela ISS com o objetivo de se aproximar da comunidade acadêmica. Além de fornecer cópias gratuitas de seu firewall BlackICE PC Protection, a XFIW também prestava outros serviços, como: proteger de potenciais danos os computadores conectados à Internet; prevenir o uso dos computadores por hacekrs maléficos (crackers); e notificar a comunidade sobre as últimas ameaças descobertas diariamente.

O grupo responsável pelo defacement (desfiguração) autodenomina-se USG (Unix Security Guards). Surgido em maio do ano passado, o grupo detém um total de mais de 3,3 mil páginas desfiguradas em seu "currículo", de acordo com as estatísticas do hall of shame (algo como "salão da desonra") do site Zone-H. Pró-islâmico, o USG costuma deixar mensagens contra os Estados Unidos, o Reino Unido e Israel, nos sites que invade. E foi o que fez no caso da ISS. Xingamentos contra George Bush, Tony Blair e Ariel Sharon foram postos na página da empresa de segurança, além de saudações ao grupo brasileiro S4t4n1c_S0uls e outros.

Mas neste ponto as coisas começam a se complicar. O Zone-H afirma que o defacement aconteceu na segunda-feira, dia 5. Até a tarde de terça-feira, o site atacado permanecia fora do ar e não havia maiores explicações para o incidente. Mas no final da tarde, a ISS publicou um comunicado oficial no site, segundo o qual tudo não passou de um honeypot (pote de mel), nome dado aos servidores preparados para atrair os hackers e servirem como armadilhas ou meios de estudo de seus ataques.

"Este servidor, X-Force Internet Watch, era um Web server publicamente disponível na Internet. (...) Foi especificamente selecionado para ser um honeypot por causa da associação com estudantes universitários e o fato largamente conhecido de que estudantes hackeiam sistemas ativamente. O servidor foi configurado para incluir numerosas vulnerabilidades, inclusive algumas bem conhecidas e antigas", garante o comunicado. A ISS afirma que a modificação do conteúdo ocorreu no dia 2 e que, a partir deste momento, o site passou a ser intensamente monitorado.

A empresa diz ainda que, completada a monitorização, o servidor foi tirado do ar para análise de códigos maléficos, o que resultou na identificação de novas ferramentas de ataque. A empresa estaria finalizando as investigações e trabalhando para agregar novas proteções aos seus produtos, após o que o servidor será novamente disponibilizado ao público, porém não mais como honeypot. Nenhum dos produtos, sites, serviços ou dados de clientes da empresa foram afetados, segundo o comunicado.

O silêncio anterior da empresa e o súbito anúncio oficial, depois que a notícia começou a se espalhar pela Internet, não estão convencendo algumas pessoas. Um consultor de segurança contatado por InfoGuerra chegou a considerar que a ISS criou um "honeypot por conveniência". Ele afirma que um honeypot "publicamente visível" não pode ficar fora do ar. "Duvido que não houvesse alguém para pôr o site no ar enquanto era feita a análise minuciosa para melhorar os produtos", opina, com a condição de que seu nome não seja revelado. "Acho que eles foram pegos de calças curtas e agora estão tentando justificar as meias de caveirinhas", brinca.

A pichação da página de uma empresa de segurança como a ISS remete a outro episódio marcante ocorrido poucos dias antes: a prisão do jovem Lynn Htun, de 24 anos, supostamente líder do grupo Fluffi Bunni. Apesar de um fato não estar ligado diretamente a outro, Fluffi Bunni ficou famoso por conseguir deixar sua marca ― um coelho de pelúcia cor-de-rosa ― em sites de alto perfil, como o da empresa SecurityFocus (comprada pela Symantec no ano passado) e o do SANS Institute, dois símbolos incontestáveis da segurança informática.

Para ver uma cópia da página da ISS desfigurada, clique aqui. O anúncio oficial da empresa foi modificado ao longo do dia. A primeira versão pode ser vista aqui.

Leia também:

Falha grave em servidor da Microsoft permite invasão de sites

6/5/2003 - 5:42 Omar Kaminski

Uma nova tecnologia que vem sendo utilizada pelas gravadoras começa a chamar a atenção dos consumidores brasileiros de CDs musicais. Trata-se de uma "trava" que permite diferentes níveis de restrições para reprodução de mídia, e que possibilita inibir e controlar as cópias realizadas.

É a mais recente arma técnica das gravadoras no combate à pirataria. Nos CDs dos artistas do "cast" da gravadora Virgin (Ben Harper, por ex.), há os seguintes dizeres: "COPY CONTROLLED. Este disco contém tecnologia que controla cópias. Foi desenvolvido para ser compatível com reprodutores de CD áudio, reprodutores de DVD e computadores que tenham o sistema operacional igual ou superior ao PC - MS Windows 95, Pentium 2, 233MHz, com 64 MB de memória RAM ou superior, Mac-OS 8.6 a 9 com extensão carbonlib e Mac-OS X e impede os consumidores de fazer cópias digitais".

Já nos CDs do selo EMI (Paralamas do Sucesso e Tribalistas, entre outros), há o seguinte aviso: "Este álbum contém tecnologia que inibe cópias pessoais digitais. A tecnologia inserida não comprometerá sua execução na maioria dos equipamentos reprodutores, bem como na maioria dos computadores pessoais". Tanto os CDs da Virgin como da EMI são fabricados no Brasil pela Sony Music.

Uma situação inusitada se configura: os fabricantes de aparelhos de DVD de mesa e de CD players automotivos estão possibilitando a execução de CDs graváveis e regraváveis, incluindo o formato MP3, o mais comum nas redes de trocas de arquivos P2P (peer-to-peer ou ponto-a-ponto). Como comparativo, um CD de música comum pode conter, em média, 12 músicas. O CD gravado em MP3 permite o armazenamento de mais de cem músicas. E não há CDs "originais" - pelo menos ainda não - em formato MP3.

Utilização discutida

O jurista Amaro de Moraes e Silva Neto apresentou, em outubro último, provocação ao Ministério Público de São Paulo, para que investigue a legalidade da utilização desses mecanismos anticópia em CDs musicais. Ele argumenta que tais mecanismos extrapolam os direitos patrimoniais do autor e afrontam o ordenamento jurídico brasileiro sob diversos aspectos:

"Contudo, o mais censurável não é a infringência de incontáveis dispositivos legais (de consumeristas a penais); o mais censurável é o desdém devotado ao livre acesso à informação e à cultura, inalienáveis e indisponíveis direitos de todos visitantes deste nosso Planeta."

No estudo intitulado "Novas Tecnologias, Telemática e os Direitos Autorais", o professor Paulo Sá Elias concluiu, com propriedade, que estamos assistindo a uma evolução no que diz respeito aos direitos da propriedade intelectual:

"Os avanços da informática e da telemática apresentados como instrumentos de contrafação não devem ser vistos somente pelo aspecto negativo, pois estão funcionando de maneira nunca antes vista na divulgação do trabalho do autor, no maior controle sobre suas criações, na eliminação ou diminuição do efeito negativo de intermediários (especialmente no que diz respeito aos valores retidos pelas grandes gravadoras)".

Justa utilização

O panorama é de batalha perdida para as gravadoras. Primeiro, porque a maioria das "travas" de proteção utilizadas já foram "quebradas", e o conteúdo que deveria estar protegido (inclusive de DVDs) já circula livremente na Internet e fora dela.

E segundo, porque impedem que o consumidor comum, que adquiriu um produto legítimo, faça uma cópia para backup ou para uso pessoal. Por exemplo, para escutar as músicas em formato MP3 no carro ou no aparelho de DVD ― com o incentivo e a bênção dos fabricantes dos aparelhos, conforme já citamos ― ironicamente, as mesmas marcas que se utilizam de proteções contra cópia.

Diante desse contexto, a análise do uso justo (ou fair use) é significativa. O projeto de lei da Câmara nº 2.681/96, recentemente aprovado e que recebeu o nº 11/03 no Senado, propondo modificações no artigo 184 do Código Penal e prevendo penas de 2 a 4 anos para a violação de direitos autorais, diz o seguinte em seu parágrafo 4º:

"O disposto nos parágrafos anteriores não se aplica quando se tratar de exceção ou limitação ao direito de autor ou os que lhe são conexos, em conformidade com o previsto na Lei nº 9.610, de 19 de fevereiro de 1998, nem a cópia de obra intelectual ou fonograma, em um só exemplar, para uso privado do copista, sem intuito de lucro direto ou indireto" (grifamos).

Mesmo que as soluções técnicas (quer sejam via software, hardware ou ambos) possam se beneficiar das leis, a adoção pelos fabricantes e detentores de direitos autorais é voluntária, e tem se mostrado eficaz em determinados casos. Deve o consumidor se moldar aos ditames do mercado, ou é o mercado quem deve se adaptar ao consumidor?

Omar Kaminski é advogado especializado em Direito da Informática e responsável pelo site Internet Legal.

6/5/2003 - 4:56 Redação/Divulgação

Novamente, o vírus Klez foi o código malicioso que infectou o maior número de equipamentos durante o mês passado, de acordo com os resultados obtidos pelo serviço de desinfecção online Panda ActiveScan. Desde sua aparição, em abril de 2002, o Klez.H (ou Klez.I, segundo a Panda) foi desbancado do primeiro lugar no Top Ten da empresa apenas em outubro de 2002, pelo vírus Bugbear.

Segundo os dados coletados em abril, o Klez.I foi responsável por 8,14% das incidências, seguido pelo Enerkaz (com 4,11%), NoClose (3,02%), Parite.B (2,9%), e ElKern.C (2,31%). Nas últimas cinco posições encontram-se: Bugbear, Opaserv, Nimda, Dadinu e Redlof.A.

"Este código malicioso mudou a imagem que tínhamos do mercado", declarou Luis Corrons, diretor do Laboratório de Vírus da Panda Software. "Antes, quando um vírus surgia, ele ficava em primeiro lugar e desaparecia em pouco tempo ou, ao menos, deixava de ser o mais perigoso ― como aconteceu com o SirCam ou o Nimda. Diferentemente deles, o Klez.I conseguiu se manter na primeira posição por um ano".

Entre as características que explicam a liderança do vírus estão a capacidade de se propagar rapidamente através de e-mails, sendo enviado a todos os endereços de contatos dos usuários ― com um assunto e texto muito variáveis; e o fato de se aproveitar de uma vulnerabilidade detectada nas versões 5.01 e 5.5 do Internet Explorer, corrigida pela Microsoft, que possibilita a execução do vírus de forma automática, somente com a visão prévia das mensagens.

Veja abaixo o ranking de abril:

Virus ―--―--―--―--― % de casos

1-W32/Klez.I―--―--―--―--―--8,14
2-W32/Enerkaz-―--―--―--―--4,11
3-Trj/JS.NoCLose-―--―--―----3,02
4-W32/Parite.B-―--―--―--―--2,09
5-W32/Elkern.C-―--―--―--―--2,31
6-W32/Bugbear-―--―--―--―--2,27
7-W32/Opaserv-―--―--―--―--2,22
8-W32/Nimda-―--―--―--―----1,82
9-W32/Dadinu-―--―--―--―----1,81
10-W32/Redlof.A-―--―--―--―1,44