31/5/2004 - 18:42 Giordani Rodrigues

Mais um ataque de phishing contra clientes do Banco do Brasil está circulando pela Internet. Detectado hoje, 31 de maio, o golpe chega por e-mail e leva a uma imitação de uma página do banco, contendo um formulário que deverá ser preenchido com os dados do correntista, incluindo suas senhas. O chamariz para os clientes visitarem a página é um inexistente seguro contra fraudes bancárias, ou seja, exatamente o tipo de golpe que está sendo aplicado.

O falso e-mail, enviado a partir de uma conexão ADSL da Brasil Telecom, afirma que o BB está oferecendo, gratuitamente, um “seguro contra qualquer tipo de fraude”. O tal seguro cobriria roubo de senha ou de cartão, transferências online e débitos não reconhecidos na conta, no cartão de débito ou de crédito.

O BB provavelmente é o banco brasileiro mais visado em ataques de phishing e outros golpes semelhantes, por isso a mensagem e a ousadia dos golpistas não chega a ser uma novidade. Mas uma das técnicas usadas no e-mail fraudulento é relativamente nova.

Ao clicar no link para “ativar” o suposto seguro contra fraudes, o internauta ativa, na verdade, um javascript, que abre uma janela com as cores e imagens do banco e com o falso formulário. Nesta janela, as barras de endereços e de status foram convenientemente ocultadas, para que o internauta não perceba que está num endereço não pertencente ao banco.

De acordo com a análise do código da página, o falso formulário estava hospedado no endereço http://www2.fiberbit.net/form/mailto.cgi. Após preenchido, enviava as informações para uma conta de e-mail com o sugestivo nome de contasdo@diabo.zzn.com.

A página fraudulenta ainda podia ser vista no endereço ftp://odin.prohosting.com/bb.htm no momento em que esta matéria estava sendo escrita. Caso seja retirada do ar, uma cópia desta página pode ser vista aqui e uma cópia do e-mail usado no golpe, aqui.

Leia também:

Golpes de "phishing" crescem 180% em abril

Nova técnica de fraude falsifica endereços no navegador

Falsos brindes e sites clonados atingem bancos

28/5/2004 - 18:34 Murilo Pinto

Os ataques de "phishing", golpes que tentam enganar usuários de bancos e outros serviços para obter seus dados pessoais e financeiros, aumentaram 180% em abril. O levantamento é do Grupo de Trabalho Anti-Phishing (APWG, na sigla em inglês), que mantém um site especializado no assunto.

Foram 1.125 golpes diferentes no mês passado, contra 402 em março. Comparados a novembro de 2003, que teve apenas 28 tipos de golpes registrados pelo grupo, o volume de "phishing" no mês foi 39 vezes maior. A média é de quase 38 fraudes diferentes por dia.

O alvo preferido dos fraudadores no mês de abril foram os clientes do Citybank, com 475 golpes diferentes direcionados a eles. A eBay, empresa a liderar a lista anterior, teve 221 tentativas de fraude. O serviço de pagamentos PayPal, subsidiário da eBay, teve 135 golpes visando seus clientes e ficou em terceiro lugar. Das 20 empresas mais visadas, 15 são do ramo financeiro. A AOL é a décima colocada e a Microsoft aparece em vigésimo lugar.

Um "phishing scam", como também é chamado o golpe, imita um e-mail ou site de uma empresa conhecida em vários detalhes, muitas vezes utilizando imagens, textos e links do próprio site oficial da vítima. Os clientes que acreditam na fraude acabam por submeter seus dados pessoais ou financeiros para os atacantes.

O relatório aponta que até 5% dos destinatários das falsas mensagens acreditam nelas e comprometem seus dados. As conseqüências vão do roubo de identidade do usuário a perdas financeiras e fraudes com cartão de crédito.

O APWG alerta ainda contra um tipo de golpe recente que tenta substituir a barra de endereços do navegador por uma falsa, criada com a tecnologia de JavaScript e com o uso de quadros ("frames") Web. A técnica, no entanto, depende do posicionamento da barra de endereços logo acima da área de exibição principal da página. Se o usuário mudar o local padrão de exibição da barra de endereços e ficar atento caso ela "mude" de posição sozinha, torna-se mais difícil ser enganado por esse truque, que afeta diferentes navegadores.

No Internet Explorer 6, por exemplo, basta clicar com o botão direito sobre a barra de ferramentas e desmarcar a opção "Bloquear barra de ferramentas". Depois, clicando na extremidade esquerda da barra de endereços ou das outras, arraste-as e alterne suas posições para o lugar que ache adequado. Pode-se até mesmo colocar mais de uma barra na mesma linha.

Os golpes, no entanto, geralmente combinam diferentes técnicas de disfarce e engodo para vencer a desconfiança dos usuários. Deve-se sempre manter atualizados programas antivírus, firewall, sistema operacional e navegador Web para evitar boa parte dos truques utilizados pelos atacantes. Outra recomendação importante é a de sempre se digitar o endereço do site que se quer visitar diretamente na barra de endereços, em vez de se clicar em links presentes em mensagens não solicitadas ou suspeitas.

Leia também:

Nova técnica de fraude falsifica endereços no navegador

Erro do IE permite "roubar" certificados de segurança

Fraudes online: antigos golpes ainda causam grandes prejuízos

Proteja-se de golpes atualizando seu browser

Como manter seu sistema atualizado

Confira dicas para evitar golpes online

28/5/2004 - 17:27 Murilo Pinto

Ainda não há uma versão caseira final para o sistema operacional Windows nem muitos programas prontos para serem utilizados com processadores para PCs de 64 bits, mas já foi lançado o primeiro vírus compatível com essa tecnologia.

O Rugrat foi identificado pela Symantec e é o primeiro a receber o prefixo W64, que indica o sistema operacional atingido: Windows 64 bits. O Windows XP 64 só existe por enquanto em versões de testes e não há previsão de lançamento oficial. Equipamentos e sistema de 32 bits (como o XP Home e Professional e todas as outras versões anteriores do Windows) não são afetados. A versão de 64 bits do Windows 2003 Server, que por enquanto só existe como pacote corporativo, pode ser infectada pelo Rugrat.

Apenas processadores Intel são atingidos, o que deixa livre também o Windows de 64 bits para processadores AMD64. O vírus, no entanto, não exige um computador verdadeiramente de 64 bits, podendo atingir máquinas de 32 bits que simulem a arquitetura no padrão Intel64.

O Rugrat não tem nenhum efeito maléfico: trata-se apenas de uma "prova de conceito". Escrito em uma versão de 64 bits da linguagem de programação Assembly, o vírus contamina arquivos executáveis de 64 bits presentes na pasta em que for executado e suas subpastas. Arquivos executáveis de 32 bits e DLLs não são infectados.

O autor do vírus já é conhecido. É o mesmo responsável pela família de vírus Chiton, que utiliza algumas técnicas e conceitos também presentes no Rugrat. O autor parece gostar de inovações: das seis versões do Chiton identificadas pela Symantec, cinco possuem a frase "é o primeiro vírus conhecido a..."

Entre as novidades introduzidas nessa família de vírus estão: a utilização do suporte a DLLs no Visual Basic; a execução como se fosse um aplicativo nativo nos Windows NT, 2000 e XP; a utilização de estruturas de programação implementadas nos Windows NT, 2000 e XP; a execução de duas cópias simultâneas do vírus para evitar a interrupção da contaminação; e o embaralhamento de cabeçalhos de e-mails para ocultar a presença de um anexo infectado com o vírus. A família Chiton, de 2002, nunca atingiu o status "in the wild" (à solta) e só foi identificado em laboratórios das empresas antivírus.

28/5/2004 - 15:28 Murilo Pinto

Algumas versões do popular gerenciador de listas de discussão GNU/Mailman possuem uma falha de segurança que permite a um assinante obter as senhas de outros usuários do sistema. Para isso, basta enviar determinados comandos de e-mail ao processador de mensagens.

No âmbito do próprio Mailman, o impacto é pequeno, já que o máximo que se poderia fazer seria alterar algumas opções de configuração e, em alguns casos, informações pessoais não disponíveis normalmente.

Mas o principal efeito da falha é que, como muitas pessoas utilizam as mesmas senhas em diferentes serviços e sites, conhecer uma senha relativamente inocente como a do GNU/Mailman poderia comprometer a segurança geral do usuário.

O aviso foi dado hoje pelo Centro de Atendimento a Incidentes de Seguranca (CAIS), que recomenda aos usuários de Internet evitar reutilizarem senhas em difrentes serviços. O CAIS também indica aos administradores de listas baseadas no GNU/Mailman a assinatura do boletim de novidades para se manterem atualizados sobre o software. As versões afetadas são as anteriores à 2.1.15, lançada em 15 de maio.

Leia também:

Mitos de segurança: Senhas

28/5/2004 - 8:00 Giordani Rodrigues

A versão para Linux do programa para declaração do Imposto de Renda Pessoa Física (IRPF) 2004 estava com bug. O programa era escrito em Java e necessitava de uma versão mínima da Máquina Virtual Java (JVM) instalada no sistema em que fosse rodar. Mas mesmo contribuintes cujos sistemas possuíam uma versão da JVM acima do mínimo exigido relatam que não conseguiram declarar seu imposto em Linux e foram obrigados a fazê-lo em Windows.

O problema poderia ter passado despercebido, não fosse uma nota publicada no dia 19 de maio na revista Istoé Dinheiro, que gerou reclamações e protestos por parte de usuários de Linux e dentro da comunidade pró-software livre no Brasil. O texto da nota era exatamente o seguinte:

"A corrente pró-software livre dentro do governo federal ficou enfraquecida após a contabilização final das declarações de Imposto de Renda entregues este ano pela internet. A expectativa inicial era que muitos 'linuxistas' fizessem suas declarações a partir de outros sistemas operacionais que não o Windows. A realidade se revelou amarga. Os arquivos enviados de softwares como o Linux representaram menos de 1% do volume total. Para ser mais preciso: 0,01599%. Foram apenas 2.990 declarações das 18,7 milhões entregues."

Bem que alguns “linuxistas” tentaram fazer sua declaração usando seu sistema preferido, mas como se vê neste exemplo, foram brindados com uma mensagem de erro e tiveram de desistir dessa alternativa. A imagem foi enviada por um usuário de Linux que trabalha para o governo federal e não conseguiu declarar seu imposto usando o programa IRPF 2004 Java numa máquina Linux, apesar de ter a versão mínima exigida para a máquina virtual. A mensagem de erro alertava: “A máquina virtual instalada no seu computador é Blackdown 1.4.2 rc-1. Para que o programa IRPF 2004 Java funcione adequadamente é necessário que a versão da máquina virtual seja no mínimo 1.4.0.”

“Tive de usar a versão para Windows”, queixa-se. “Soube de pelo menos mais um caso em que uma pessoa foi obrigada a usar Windows, por causa de um bug no programa da Receita”. O usuário afirma também que enviou uma mensagem sobre o problema para a Receita Federal, mas foi “solenemente ignorado”.

Não se sabe qual foi a extensão do problema, nem o número total de usuários atingidos. InfoGuerra enviou um e-mail para a assessoria de imprensa da Receita Federal, solicitando esclarecimentos sobre o caso e detalhes estatísticos sobre as plataformas usadas para a declaração do IRPF via Internet. O recebimento da mensagem foi confirmado, mas não houve resposta para as perguntas.

Protestos

A divulgação das estatísticas de uso do programa da Receita por outras plataformas que não o Windows não parece ter enfraquecido a corrente pró-software livre dentro do governo, como afirma a Istoé Dinheiro. Ao contrário, a nota gerou protestos entre estes usuários e se disse que a revista já é famosa pela “postura pouco favorável ao software livre”.

Um rol de justificativas para o baixo número de declarações foi apontado: o programa para outras plataformas saiu quase um mês depois da versão para Windows e muita gente preferiu fazer a declaração antes, para também receber antes a restituição do imposto; a preferência por fazer a declaração no escritório e não em casa e a baixa utilização de sistemas que não Windows em estações de trabalho; o fato de a versão Java do programa ser multiplataforma e poder ser usada não só em Linux, como em Mac OS, Solaris, OS2 e até mesmo em Windows; a divulgação deficiente de opções alternativas para a declaração via Internet; os vários anos anteriores de exclusividade da declaração em Windows; e outras.

Lembrou-se até mesmo do fato de que uma quantidade esmagadora de declarações via Windows foi feita ilegalmente, através de versões piratas do sistema, enquanto este problema não existiu entre usuários de Linux, já que este sistema pode ser livremente distribuído. Em um artigo intitulado "Grande mídia ataca a liberdade", publicado esta semana no Observatório da Imprensa, o professor da Universidade de Brasília e integrante do Comitê Gestor da Infra-estrutura de Chaves Públicas Brasileira (ICP-Brasil), Pedro Rezende, critica a nota da Istoé e dispara: “Nenhuma das quase 10 milhões de declarações ilegalmente enviadas está entre as 2.990: qualquer instalação para uso de software livre como o Linux, qualquer que seja a origem, é legal”.

27/5/2004 - 17:53 Murilo Pinto

O CVS (sistema de versões simultâneas) possui uma falha de segurança que permite o controle remoto de servidores vulneráveis. O CVS é um mecanismo de gerenciamento de código em projetos de programação com desenvolvimento distribuído, muito utilizado em projetos de código aberto.

O sistema permite que dois ou mais programadores trabalhem no mesmo pedaço de código de forma independente e simultânea. Cada um, depois, envia suas versões a um servidor central, que analisa os arquivos linha a linha e indica quais foram alteradas ou não, por meio de um byte indicador ("flag"). A falha está em uma verificação desse byte, que permite a um atacante inserir alterações de modo a gerar um estouro de memória e sobrescrever múltiplos blocos de dados no servidor. O CVS geralmente roda com privilégios "root", administrativos.

Um ataque bem-sucedido permitiria ao controlador remoto executar programas e códigos arbitrários, acessar informações críticas ou causar uma negação de serviço (DoS). Mesmo acesso anônimo ao CVS permite a exploração da vulnerabilidade. Além do comprometimento do próprio computador rodando o servidor, todo o código hospedado em um sistema atacado poderia ser modificado de modo a incluir cavalos de Tróia, portas dos fundos (backdoors) e outros códigos maliciosos.

A Equipe de Resposta a Emergências Computacionais dos Estados Unidos (US-CERT) divulgou um alerta, traduzido para o português pelo Centro de Alerta a Incidentes de Segurança (CAIS). A falha foi identificada pela e-matters em uma auditoria do código do CVS. As versões afetadas são as estáveis anteriores à 1.11.15 e as versões de desenvolvimento ("features") anteriores à 1.12.7. O alerta da US-CERT traz outras dicas para aumentar a segurança da configuração do servidor CVS e limitar a ação de eventuais ataques. Há também produtos alternativos ao CVS, como o BitKeeper.

27/5/2004 - 16:06 Murilo Pinto

A Microsoft já gastou mais na segurança de seus produtos do que o que foi investido em todo o projeto Guerra nas Estrelas, do governo norte-americano. A informação do chefe de segurança da empresa, Iain Mulholland, foi dada em um seminário para convidados e noticiada pelo site Techworld, que classificou de infeliz a analogia.

O projeto Guerra nas Estrelas, que pretendia criar um sistema de defesa antimísseis balísticos intercontinentais baseado em "canhões" a laser situados em órbita, afirma o site, foi um fracasso total e pouco mais que a obsessão particular de alguns líderes norte-americanos egocêntricos.

O Techworld aponta os esforços "hercúleos" como uma das causas da crescente eficácia e periculosidade dos vírus e worms. Segundo o ex-pesquisador da Bell Labs e fundador da empresa de segurança Lumeta, Bill Cheswick, os programas maliciosos ficarão cada vez mais complexos, agressivos e perigosos, já que estão cada vez mais raras as falhas capazes de serem exploradas de modo simples e rápido. Os vírus e worms precisam ainda vencer barreiras como firewalls e antivírus.

Cheswick afirma que os códigos maliciosos têm se tornado cada vez mais difíceis e demorados para copiar e neutralizar. Ele disse ao site que o "jogo" não terminará de forma tranqüila e que não se sabe o que fazer caso surja um vírus impossível de ser derrotado.

O chefe de segurança da Microsoft concorda com Cheswick quando se refere à complexidade crescente dos vírus e programas do gênero. Mulholland afirma que a criação de "exploits" (códigos que servem de base para a exploração de falhas de segurança) já forma uma espécie de mercado de commodities, comparável à explosão da "nova economia" e das empresas pontocom em anos recentes.

Leia também:

Como manter seu sistema atualizado

27/5/2004 - 16:04 Murilo Pinto

A polícia canadense prendeu um garoto de 16 anos em Mississauga, próximo a Toronto, por criar e distribuir o worm Randex. O adolescente ― que não teve o nome revelado devido à idade ― está sendo acusado de danos e fraudes no uso de computadores, segundo o site canadense Globetechnology.com.

Dados da polícia montada do Canadá informam que o Randex infectou mais de 9 mil computadores desde que surgiu, em novembro. O worm possui mais de 20 versões, de acordo com a fornecedora de antivírus Sophos. Suas variações costumam ter "portas dos fundos", que permitem ao atacante controlar o computador por meio de conexões IRC (rede de bate-papo online). Máquinas infectadas, normalmente chamadas de "zumbis", podem ser usadas para o envio de spam ou lançamento de ataques distribuídos de negação de serviços (DDoS) contra terceiros.

O Canadá já processou ao menos um adolescente por práticas de crimes com computadores. Em 2000, o rapaz de 17 anos conhecido como Mafiaboy foi preso em Montreal por ataques de negação de serviço (DoS) contra a eBay, o Yahoo! e o Buy.com. Ele foi condenado a oito meses de detenção em um centro para jovens ao assumir a culpa por 50 acusações de danos causados a dados.

Leia também:

Criador de versão do Blaster pode pegar 15 anos de prisão

Mafiaboy é condenado à prisão

Mafiaboy merece ir preso, diz seu assistente social

27/5/2004 - 6:34 Giordani Rodrigues

Um spam enviado para a redação de InfoGuerra acabou denunciando qual foi a empresa responsável pelo anúncio de uma vaga para spammer, publicado recentemente no site da Catho. No spam, a empresa oferece “Aulas de inglês para executivos em domicílio ou in company” e traz o endereço de seu site e telefones para contato.

Trata-se da escola de inglês English Club, localizada no município de Embu-Guaçú, região metropolitana de São Paulo. O nome da escola anunciante da vaga já havia sido informado por uma fonte próxima da Catho, consultada por InfoGuerra quando da publicação da primeira reportagem sobre o caso. Mas, na ocasião, não foi possível levantar números de telefone e outros dados que pudessem comprovar a informação, por isso o nome da empresa foi omitido.

Porém, quando recebemos um spam, ontem, de uma escola de inglês de mesmo nome, a associação foi imediata. Feito contato com um dos números de telefone informados no spam, a ligação foi atendida por Helio Cainelli. Ele é o responsável pelo registro do domínio englishclub.com.br, criado em maio deste ano.

Perguntado se a responsável pelo recente anúncio de uma vaga para spammer no site da Catho fora aquela escola, Cainelli confirmou. Disse também que a vaga ainda estava disponível e passou a fazer algumas perguntas com o objetivo de identificar os requisitos para preenchimento da vaga. Cainelli informou ainda que os endereços de e-mail para os quais os spams seriam enviados eram recolhidos de páginas da Internet (um processo conhecido como “harvesting”). Para não dar maior prosseguimento à conversa, o telefonema foi encerrado.

Leia também:

Vaga para spammer é oferecida no site da Catho

Catho é acusada de roubar e-mails e currículos

27/5/2004 - 4:10 Redação InfoGuerra

A correção para uma falha de segurança do Mac OS X liberada pela Apple na última semana não soluciona todos os problemas, divulgados pela empresa de segurança Secunia. Mesmo com a correção, ainda é possível forçar o download “silencioso” de arquivos e a sua posterior execução. As falhas abrem caminhos para a instalação de vírus potencialmente perigosos, já que poderiam executar as mesmas ações de um usuário conectado.

Para a falha ser explorada, o usuário tem de ser convencido a visitar uma página Web ou abrir uma mensagem de e-mail em formato HTML construída especificamente para o ataque.

A Apple não divulgou nenhuma outra correção que efetivamente solucione o problema. Segundo o site News.com, especialistas em segurança afirmam que o problema é difícil de ser resolvido por envolver vários usos legítimos das funcionalidades com brechas de segurança. Jason Harris, da Unsanity, divulgou um estudo e um software gratuito que ajudam a entender e a contornar o problema, até que ele seja definitivamente corrigido pela Apple.

A falha está sendo considerada a mais grave grave encontrada até agora no Mac OS X inerente ao produto. Outras vulnerabilidades críticas haviam sido "herdadas" do código do FreeBSD, utilizado no mais recente sistema operacional dos Macintosh.

Leia também:

Apple pode estar minimizando falhas em seus produtos

Falha no QuickTime permite invasão do PC

27/5/2004 - 3:22 Angela Ruiz

Numerosos usuários de Internet, receberam no fim de semana passado falsas mensagens eletrônicas, que os convidavam a visitar um site malicioso que se aproveitava de uma falha para a qual ainda não existe nenhuma solução.

Os piratas informáticos empregaram uma verdadeira avalanche de spams, que inundou as caixas de entrada de milhares de usuários, principalmente norte-americanos. O ataque pretendia aproveitar-se de uma vulnerabilidade desconhecida do Internet Explorer, com o objetivo de tomar o controle da maior quantidade possível de computadores.

As mensagens maliciosas, uma confirmação de compra de um computador pessoal da IBM, informavam ao usuário que de sua conta bancária seria debitado o custo do computador (cerca de US$ 2 mil, ou próximo a R$ 6 mil), e proporcionava um link para verificar ou cancelar o pedido. Segundo a informação obtida, tais mensagens simulavam vir de uma empresa chamada "SunLight Electronics".

Ao clicar no link mencionado, acessava-se um servidor Web que explorava uma vulnerabilidade do Internet Explorer para a qual não existe ainda nenhuma correção. A falha permite a descarga e execução de um cavalo de Tróia na máquina da vítima.

A Microsoft não liberou ainda nenhuma correção para este problema, de modo que os usuários precisam depender de softwares antivírus para proteger-se. Atualmente, o site mencionado encontra-se fora do ar, mas poderiam surgir outros similares no futuro.

Ainda que hoje em dia muitos usuários aprenderam a desconfiar daquelas mensagens em que se pedem dados confidenciais em algum site Web supostamente original, são muito poucos os que logo ao receber uma nota de compra por um valor tão importante resistam à tentação de seguir o link para averiguar do que se trata. Esta circunstância faz muito mais perigosa a existência dessa vulnerabilidade.

Por isso, recomenda-se manter os antivírus atualizados e não seguir jamais nenhum tipo de link oferecido em mensagens não solicitadas.

A configuração sugerida por VSAntivirus no artigo abaixo (em espanhol) diminui as possibilidades de execução de código malicioso a partir de una página Web:

Configuración personalizada para hacer más seguro el IE


Texto publicado sob autorização. URL original: http://www.vsantivirus.com/26-05-04.htm. Tradução de Murilo Pinto.

27/5/2004 - 1:34 Giordani Rodrigues

O projeto já não é exatamente um segredo, mas também não está sendo divulgado em larga escala ainda. O fato é que o governo federal está criando uma distribuição do sistema operacional GNU/Linux com o objetivo de ser um sistema seguro. O projeto se chama Linux Seguro (LS) e tem como inspiração o SE Linux (Security-Enhanced Linux), cujo desenvolvimento foi iniciado há mais de três anos pela NSA, Agência de Segurança Nacional dos Estados Unidos. Os dois domínios (ls.gov.br e linuxseguro.gov.br) que servirão ao site do Linux Seguro foram registrados há cerca de um mês, em nome da Agência Brasileira de Inteligência, mas por enquanto o site ainda está “em construção”. Para esclarecer quais são os principais aspectos do novo sistema, o especialista em segurança da informação e assessor técnico do projeto, Nelson Murilo, falou com exclusividade para InfoGuerra.

InfoGuerra: O que é e quando foi criado o Projeto Linux Seguro?

Nelson Murilo: O Projeto Linux Seguro visa criar uma distribuição de Linux, com poucos componentes e  priorizando aspectos de segurança. O projeto nasceu em novembro de 2003.


InfoGuerra: Quais os objetivos do projeto?

NM: Os objetivos são vários, dentre eles servir de base para aplicações críticas do Estado e fomentar cadeiras de auditoria de código e programação segura nas universidades. Mas também estará disponível para as demais áreas da administração pública e a sociedade como um todo.


InfoGuerra: Por que Linux?

NM: Além da maior quantidade de pessoas que já conhecem Linux, a forma modular, com o kernel separado do resto do sistema, permite uma maior flexibilidade na montagem dos componentes de interesse. Por outro lado, a distribuição-base escolhida permite uma rápida migração para a família BSD, caso isso seja necessário em algum momento.


InfoGuerra: Vocês estão usando alguma distribuição GNU/Linux conhecida como base para o Linux Seguro?

NM: Sim, a base será o Debian. Por ser desvinculado de um fabricante, poder ser usado com outros kernels que não o Linux e por ter um gerenciamento de pacotes bastante robusto.


InfoGuerra: Como o sistema será tornado "seguro"?

NM: Por meio da auditoria dos seus componentes. Ou seja, serão analisadas as linhas de código, buscando por problemas conhecidos: os vários tipos de buffer overflow, arquivos temporários, disputa por recursos, possibilidade de negação de serviço, etc.


InfoGuerra: Como um software cujo código está acessível a qualquer um, como é o caso do software livre, pode ser mais seguro do que um cujo código está acessível a poucos, como o software proprietário?

NM: O discurso tradicional em favor do software livre diz que mais olhos têm maiores condições de achar problemas. Apesar de não existirem garantias de que esta quantidade adicional de olhos realmente tenha mais qualidade técnica, na prática este discurso vem se confirmando. Mas imagino que a vantagem no caso do LS é que os olhos tiveram e terão treinamento formal, e desta maneira poderão garantir uma auditoria de melhor qualidade.


InfoGuerra: Como será distribuído e que tipo de incentivos serão empregados para levar o Linux Seguro ao usuário comum?

NM: O sistema será distribuído inicialmente através do site do projeto. O incentivo principal é o foco em segurança. Além disso, o trabalho será desenvolvido em parceria com várias universidades brasileiras, algumas ainda em fase de negociação. A idéia é, na medida do possível, ter uma distribuição do trabalho por todo o país e não ficar só nos grandes centros. A propósito, os contatos a respeito do LS podem ser feitos pelo e-mail nelson@dte.gov.br.


InfoGuerra: Quantas pessoas estão envolvidas diretamente e quanto foi  investido no projeto?

NM: O número ainda não está fechado, pois vai depender do investimento conseguido, mas está previsto termos um grupo de cinco equipes com cinco a oito elementos em cada uma. Também ainda não temos os valores para o projeto.


InfoGuerra: Que tipo de auditoria será feita no código do sistema?

NM: Basicamente, busca por falhas de programação, configurações inseguras e criptografia fraca ou inexistente.


InfoGuerra: Quais as semelhanças e diferenças entre o Linux Seguro e o Security-Enhanced Linux da NSA?

NM: Ambos têm foco em segurança, porém a principal diferença é em como fazer isso. Enquanto a NSA optou por fortalecer o kernel com módulos de segurança, o LS optou por fazer uma auditoria em um conjunto minimal de componentes. Acreditamos que esta é uma forma que permite uma maior continuidade do projeto, pois pode evoluir sem a necessidade de que alguns componentes sejam atualizados.


InfoGuerra: Qual é e como está o cronograma do LS?

NM: Está orçado ate o final de 2007, e esperamos ter uma versão para testes seis meses após o início do projeto.


InfoGuerra: Você já afirmou que os bugs encontrados serão reportados aos respectivos fornecedores. Vocês também pretendem trabalhar junto aos fornecedores para corrigir bugs? Como será feita a divulgação destes bugs para a sociedade?

NM: A idéia é  reportar ao mantenedor do pacote os problemas encontrados, e já fazê-lo com uma sugestão de correção, portanto o problema só será divulgado quando o pacote sair com a correção. Acreditamos que não vai haver demora, pois uma vez que for demonstrado o problema e também já for enviada a sugestão de correção, não tem porque o pacote não sair corrigido rapidamente.

26/5/2004 - 16:59 Redação InfoGuerra

O Departamento de Comércio dos Estados Unidos promove, no dia 8 de junho, o seminário "Conceitos Inovadores para Segurança de Informações e Redes", com participação de especialistas na área. O evento será feito em parceria com a empresa MegaSafe.

Os temas abordados vão de sistemas de detecção e prevenção de invasões, com Cássio Posvolsky, até análises forenses de dados, com Avi Dvir. Softwares anti-spyware e criptografia e controle de mensagens eletrônicas corporativas serão apresentadas por Carlos Jalles.

As palestras vão das 8h30 às 17h, no hotel Meliá Confort Iguatemi, em São Paulo. O custo da inscrição é de R$ 80,00 e inclui dois coffee breaks, almoço com o Conselheiro para Assuntos Comerciais dos Estados Unidos, John Harris, estacionamento e material didático. Também será fornecido o livro "Espionagem Empresarial", de Avi Dvir.

Outras informações podem ser obtidas no site do evento.

Leia também:

Espionagem eletrônica de computadores

26/5/2004 - 16:55 Murilo Pinto

Foto em cenário desértico, retirada de site pornô, e apresentada como legítima na Internet

Algumas fotografias que circulam na Internet sobre as torturas aplicadas por soldados norte-americanos no Iraque são falsas. A maioria das que envolvem situações de abuso sexual, divulgadas por um "zine" punk em espanhol, vem, na verdade, de um site de pornografia especializado em fetiches militares. Chamado "Sex in War" (sexo na guerra), o site disponibiliza para assinantes vídeos e fotos feitos com atores profissionais, segundo informações na página. Uma de suas chamadas diz: "Descubra a verdade sobre a guerra no Iraque... NUA!"

As fotografias retiradas do site pornô mostram personagens de soldados estuprando o que seriam mulheres iraquianas. Os cenários parecem ambientes desérticos. Mas comparando-se as fotos dos dois sites pode-se constatar a fraude.

No zine, existem outras imagens de origem duvidosa misturadas a fotografias confirmadas dos abusos e outras já reconhecidamente falsas há tempos. O site Snopes.com, uma referência em termos de boatos eletrônicos, afirma que a imagem de soldados a bordo de um porta-aviões formando a frase "Fuck Iraq", por exemplo, é falsa. A imagem apresentaria sinais de manipulação e seria muito semelhante a outra presente em um site especializado em fotografias da marinha norte-americana.

A imagem do soldado posando ao lado de crianças iraquianas segurando um cartaz é uma das que não foram ainda confirmadas. Também segundo o Snopes.com, o "marine" teria dito a repórteres que o cartaz trazia originalmente a frase "Bem-vindos, Marines!" e que não havia tornado pública nenhuma outra versão manipulada.

Antes, seu superior na campanha iraquiana havia dito que se tratava apenas de uma brincadeira infeliz e que seu subordinado não teria feito nada do que afirmava o cartaz. Na versão mais popular e talvez a primeira a circular pela Internet, o texto era: "Lcpl (a patente do militar: "lance corporal") Boudreaux matou meu pai e depois estuprou minha irmã." As variações se multiplicaram tanto que um outro site criou um sistema de personalização da mensagem, que permite a edição e salvamento online de um texto qualquer no cartaz.

Outras imagens, no entanto, são verdadeiras e podem ser vistas, por exemplo, no site do jornal Washington Post. O jornal também mantém um vídeo e novas fotos de abusos no Iraque.

Leia também:

Brasileiros criam primeiro falso vírus relacionado à guerra no Iraque

Petição eletrônica supostamente pró-Iraque é boato

Falsa notícia da CNN é usada para roubar senhas

Supostas imagens de Saddam trazem cavalo de Tróia

26/5/2004 - 9:24 Paulo Barbosa

Na autobiografia “Prenda-me se for Capaz”, que inspirou Steven Spielberg a dirigir sua adaptação para as telas, são narradas as histórias de Frank Abagnale Jr., um dos maiores golpistas da história mundial e que, aos 16 anos e sem dispor de muitos recursos financeiros, iniciou sua trajetória forjando identidades e obtendo vantagens a partir delas.

Para alcançar seus objetivos, uma das identidades assumidas foi a de piloto da Pan Am. Para tanto, forjou documentos, providenciou um uniforme de piloto e aprendeu os termos comumente utilizados pelos profissionais de aviação. Sem nunca ter pilotado uma aeronave ou freqüentado aulas preparatórias, Abagnale viajou pelo mundo de graça, usando os privilégios de passagens para pilotos, e realizou diversos golpes através desta identidade fictícia e de uma boa dose de engenharia social.

Nesta e em diversas outras situações semelhantes podemos notar a presença de uma constante fundamental: a criação de um contexto de familiarização, criando um laço de confiança ― tornando o personagem confiável, quase real. Tudo acontecia baseando-se na crença humana em estereótipos: o piloto vestindo seu uniforme e usando a linguagem que o caracteriza, o médico em seu jaleco, diploma na parede do consultório e dizendo os termos próprios dos profissionais da medicina. Não lhe parece convincente que pessoas com essas características sejam realmente quem dizem ser? Essa é a essência da fraude.

As situações descritas no livro ocorreram na distante década de 60, porém os padrões de comportamento das pessoas se mantêm nos dias de hoje, quando realizar uma fraude tornou-se muito mais fácil. Basta enviar um e-mail. Para tanto, um dos meios é copiar alguns elementos gráficos da empresa a ser fraudada (geralmente encontra-se material suficiente no próprio site da empresa), reunir alguns termos utilizados por esta, estar atento a novas promoções e demais eventos e organizar isso em um site ― um clone do original. Este geralmente é enviado por e-mail para milhares de pessoas, em um universo onde algumas dessas realmente utilizam os serviços ou realizaram algum tipo de atividade através da empresa vitimada, gerando a sensação de legitimidade ao usuário.

Com o contexto criado, o usuário é induzido a instalar um software em seu computador, sem imaginar que a sua real função é a de realizar a captura do que for digitado, possibilitando a obtenção de senhas e outras informações. Em outros casos, mensagens convidando o usuário a participar de um negócio de milhões de dólares solicitam enviar um adiantamento de milhares de dólares para o pagamento do envio do dinheiro. Muitas vezes o golpe é ainda mais simples, solicitando diretamente a senha deste usuário em um campo de identificação na própria mensagem de e-mail, etapa necessária para “completar a operação”.

O roubo de contas bancárias por fraudes através de e-mail, prática conhecida como Phishing Scam, já foi responsável por prejuízos superiores a 100 milhões de reais. E em 2004 esse valor deve ser maior pelo que temos visto nesses primeiros meses. Para piorar o cenário, até o mês de maio de 2004 foram criados mais vírus de computador do que em todo o ano passado, elevando a possibilidade de computadores comprometidos. Hoje, existem no Brasil cerca de 10 milhões de pessoas que usam serviços financeiros via web e cerca de 2,5 milhões que fazem compras online, números que têm aumentado sensivelmente nos últimos anos. Este é o tamanho do risco a que estamos sujeitos.

Na verdade o meio digital não criou nenhum novo tipo de fraude, todas elas baseam-se nos conceitos já há muito tempo utilizados. É necessário que os usuários entendam como as fraudes acontecem, como a engenharia social é utilizada, e mudem seu comportamento ao usar a Internet. Entre os cuidados necessários, os seguintes pontos podem ser observados:

• Grandes organizações nunca enviam mensagens para seus clientes solicitando informações como senhas.
  
  
• Não confie cegamente no conteúdo de um e-mail supostamente enviado por uma instituição. Verifique no próprio site da empresa ou use outros meios de contato para confirmação das informações.
  
  
• Assim como o conteúdo do e-mail, não confie no nome do emissor da mensagem. Ele é facilmente forjado, além de ser uma das técnicas mais utilizadas pelos golpistas para dar credibilidade à fraude.
  
  
• Digite o endereço do site em seu navegador, não clique em links prontos que chegam em mensagens de correio eletrônico. Existem técnicas para mascarar o real destino de um link, podendo direciona-lo para um site clonado.
  
  
• Não abra exceções. Assim como há profissionais trabalhando na segurança das empresas, há pessoas desenvolvendo técnicas cada vez mais apuradas de persuasão e burla. Qualquer detalhe pode revelar uma possível fraude.

26/5/2004 - 5:53 Giordani Rodrigues

Um dos orgulhos de quem usa Linux e não Windows é dizer que está livre de vírus. Isso continua sendo verdade, pois se há 80 mil vírus catalogados por alguns fabricantes de antivírus, seguramente mais de 79 mil são para Windows. Existe apenas um punhado de vírus para Linux e nenhum deles está “in the wild” (à solta) no momento. Mas as listas de discussão que reúnem usuários de Linux e outros adeptos do software livre nunca viram tantos vírus como agora ― todos para Windows, é claro. Mais irônico ainda é que boa parte destes vírus vem acompanhada de endereços de gente que só usa Linux.

Isto tem acontecido por causa de worms recentes, como Netsky e Bagle. Estes worms incorporam técnicas spammers e infestaram a Web. E uma das características mais traiçoeiras destas pragas é falsificar o endereço dos remetentes das mensagens infectadas. E endereço de e-mail, como todo mundo sabe, independe do sistema operacional do usuário.

Basta que um usuário infectado tenha em algum lugar de sua máquina os endereços de e-mail de usuários de Linux, para que estes possam ser inseridos como remetentes de mensagens infectadas com vírus para Windows. Perceba que todo o processo de infecção e disseminação continua se dando apenas em máquinas Windows, mas os vírus já não mais se espalham apenas pelo mundo Windows. Agora também circulam pela chamada comunidade de software livre, gente que usa distribuições de Linux e BSD, em vez de Windows, e Mozilla e outros softwares para navegação e correio, em vez de Internet Explorer e Outlook Express.

É claro que se um usuário de Linux receber um vírus para Windows e executá-lo, nada acontecerá à máquina, mas tem sido curioso perceber a grande quantidade de mensagens com assuntos típicos como “Hi!”, “Thank you!” ou “Message Notify”, circulando por listas como a do Projeto Software Livre Brasil, Movimento Software Livre Paraná ou Quilombo Digital, em que a maioria das pessoas supostamente usa Linux.

Ainda mais curioso é perceber que estes vírus estão se tornando mais freqüentes em listas de software livre do que naquelas em que os usuários utilizam Windows maciçamente. Talvez até mesmo porque seja um fato recente. Usuários de Windows já estão acostumados a lidar com os vírus, e usam várias barreiras contra eles, mas usuários de Linux não costumam se preocupar com estes detalhes e até desdenham dos vírus.

Ou, pelo menos, não costumavam se preocupar. Mas pelo andar da carruagem, os vírus de Windows, por mais que sejam inofensivos para usuários de Linux, não lhes darão mais sossego, a menos que sejam combatidos com programas antivírus específicos.

26/5/2004 - 3:20 Redação InfoGuerra

A Fácil Informática, de Blumenau, e a BR Turbo, do grupo Brasil Telecom, anunciaram o lançamento de um serviço de aplicações eletrônicas para advogados, para uso na Internet. Trata-se de uma versão para a Web do Espaider, software para escritórios de advocacia e departamentos jurídicos de empresas. No 1º de junho haverá uma apresentação do programa, no Hotel Mercure, em São Paulo, com uma palestra para advogados e dirigentes de escritórios de advocacia.

O serviço é usado para que advogados tenham acesso online a processos, jurisprudências e banco de dados de seus escritórios. O software pode ser utilizado com bancos de dados como Oracle, SQL-Server e MSDE, e é composto pelos seguintes módulos: Processos, Financeiro, Biblioteca, Extrajudiciais, Societário, Marcas e Patentes, Time-Sheet e GED.

O Espaider já está disponível para aquisição no site da BR Turbo Empresas, no link “E-jurídico”. O custo varia de acordo com o número de usuários de cada cliente e está disponível a partir de R$ 280,00 mensais, com direito a 200 megabytes de espaço em disco para armazenamento. Segundo a Fácil Informática, este espaço permite a administração de mil a 3 mil processos. O cliente vai adquirindo mais espaço no servidor à medida que desejar.

26/5/2004 - 2:25 Redação InfoGuerra

Funcionários gostam tanto do café da manhã quanto da Internet, usam em média duas horas por semana do acesso à rede no trabalho para assuntos pessoais, ouvem música e acompanham notícias ao vivo nos escritórios, mas também acessam sites pornográficos eventualmente. Esses são alguns dos dados revelados em pesquisa encomendada pela Websense sobre os hábitos de uso da Internet empresarial por funcionários.

O levantamento também traz informações relativas à segurança das redes corporativas. Apesar de 95% dos gerentes de TI confiarem na eficácia dos softwares antivírus, 66% deles afirmam que suas empresas foram contaminadas por vírus. Em 2003, foram 45% os que informaram ter sido contaminados.

A maioria (92%) dos gerentes também calcula que suas redes tenham sido afetadas por programas-espiões. Nesta categoria, a pesquisa da Websense inclui tanto os spywares clássicos, que monitoram hábitos de uso da Web, geralmente para fins publicitários, quanto os keyloggers e outros cavalos-de-tróia, que gravam dados digitados e senhas e normalmente são usados com fins criminosos. Para 40% dos executivos entrevistados, aumentou o número de incidentes com os programas-espiões. A média de estações de trabalho que teriam sido contaminadas ficou em 29%.

A instalação de ferramentas de hacking por funcionários foi relatada por um terço (34%) dos gerentes de TI. Dois em cada cem funcionários admitem ter acessado do trabalho ferramentas online de hacking.

De acordo com a pesquisa, os acessos do trabalho ainda são atrativos porque apenas um terço dos funcionários possuem conexões de banda larga em suas casas. Quase três quartos deles possuem acesso de alta velocidade no trabalho, o que permite um melhor aproveitamento de conteúdos atrativos disponíveis na rede, como vídeos e jogos. Mesmo assim, 84% dos sites acessados do trabalho são noticiosos. Metade dos funcionários (51%) admite utilizar entre uma e cinco horas semanais para tratar de interesses pessoais
online.

A última pesquisa Web@Work (Web no trabalho), realizada anualmente pela Harris Interactive para a Websense, entrevistou 500 funcionários e 350 gerentes de TI de empresas com mais de 100 empregados nos Estados Unidos. As margens de erro são de 4,4 e 5,2 pontos percentuais para cada grupo, respectivamente. É o quinto ano em que a pesquisa é realizada. A Websense é especializada na comercialização de produtos para gerenciamento do uso das redes corporativas por parte de funcionários.

Leia também:

Visitas a sites pornô no trabalho estão em alta

26/5/2004 - 1:32 Redação InfoGuerra

Uma mensagem que circulou nesta terça-feira, com um link para supostas imagens do local onde o ex-ditador iraquiano Saddam Hussein vive atualmente, aponta, na verdade, para um tipo de cavalo de Tróia. O objetivo é o de sempre: comprometer a segurança do computador em que o programa for instalado, para roubar dos usuários informações pessoais e, provavelmente, bancárias.

O arquivo executável, de nome sadam.exe, estava hospedado no site de uma banda de adolescentes norte-americanos. O arquivo foi identificado como Multidropper-BN pelo serviço WebImmune, da McAfee, e como Dropper.Juntador.X, pelo antivírus AVG. Multidropper ou dropper é um termo geral para designar programas projetados para instalar e rodar trojans em um sistema. O programa enviado ao usuário geralmente é um “joiner” (juntador), que combina um programa de aparência inocente com o trojan.

O site da banda norte-americana provavelmente não tem nada a ver com o arquivo que está hospedando, já que todo o diretório que o contém mostra-se inseguro. É possível acessar áreas administrativas do site sem qualquer tipo de autenticação. A mensagem recebida por InfoGuerra veio de um provedor da cidade paulista de Americana, na região de Campinas. A mensagem trazia o texto “BAIXEM LOGO ANTES Q TIREM DO AR!!!” na linha do assunto e, como conteúdo, apenas o seguinte:

“GALERA, PRIMEIRA MAO, IMAGENS NUNCA MOSTRADAS ANTES...

OLHEM ONDE VIVE SADAM HUSSEIN DEPOIS DE SUA CAPTURA: SADAM (link para o arquivo malicioso) HUSSEIN”

25/5/2004 - 17:23 Murilo Pinto

A Microsoft lançou o "service pack" (SP) 2 para o Internet Security and Acceleration (ISA) Server 2000. O pacote traz várias melhorias de segurança e performance e inclui todas as correções já lançadas anteriormente para o software.

Entre as melhorias, estão soluções de bugs do firewall e do proxy do ISA e de falhas de segurança que permitiam, por exemplo, ataques de negação de serviço ou estouro de memória em diferentes componentes do servidor, como o responsável pelo protocolo Gopher, o Winsock, DNS e outros. A Microsoft afirma ter incluído também atualizações de segurança recomendas por auditoria de segurança terceirizada.

O pacote também permite a instalação do ISA Server 2000 no Windows Server 2003 sem outras correções. Estão disponíveis versões em inglês, alemão, francês, espanhol e japonês. Na página do ISA Server 2000 SP 2, há links para informações detalhadas sobre as correções e a instalação correta do pacote.

25/5/2004 - 17:05 Murilo Pinto

Uma página do site principal da Microsoft foi pichada por defacers (desfiguradores de sites) supostamente portugueses e, por causa disso, uma seção do site foi retirada do ar pela empresa. A página comprometida pertencia à área inglesa da editora de livros da Microsoft, a MS Press UK. Toda a seção da editora da empresa foi retirada do ar depois do incidente.

Os atacantes teriam conseguido entrar na área de administração de conteúdo por meio de uma "injeção SQL" e apenas colocaram algumas assinaturas, identificando os autores, como é praxe nesse tipo de ataque. Segundo o site Zone-H, a página foi retirada do ar na segunda-feira, mas o Google já havia registrado a alteração.

O Zone-H também mantém uma reprodução da página modificada.

A página indica que a última alteração foi feita em 14 de maio, mas essa informação talvez seja inserida pelo editor da página, não de forma automática pelo sistema. Nesse caso, os próprios invasores poderiam ter colocado uma data mais antiga para desmoralizar a empresa, que não teria notado a alteração. Caso seja informada automaticamente, o site da Microsoft ficou adulterado por pelo menos dez dias.

A técnica de injeção SQL é bastante conhecida e pode ser evitada com o uso de práticas adequadas de programação. A falha é simples de ser explorada. Basta inserir comandos da linguagem de acesso a bancos de dados SQL em campos de login e senha vulneráveis.


Leia também:

Técnicas defensivas contra injeção de comandos

Site da Microsoft é novamente invadido

Hackers invadem sites da Microsoft

Descobertas falhas em site de e-commerce da Módulo

24/5/2004 - 23:35 Redação InfoGuerra

Problemas com a rede de servidores da Akamai, utilizados por diversas empresas para distribuição de conteúdos que exigem banda e tráfego intensos, deixaram uma série de sites fora do ar nesta segunda-feira, 24 de maio, informa a empresa Netcraft.

Foram afetados os serviços de atualização de produtos da Symantec, McAfee e Trend Micro e o conteúdo streaming da Apple. Sites da Coca-Cola e General Motors, entre outras empresas, também sofreram problemas de performance.

A rede da Akamai possui entre 12 mil e 15 mil servidores, o que diminui a possibilidade de um ataque de negação de serviço (DoS). A empresa confirmou a existência do problema, que parece ser de origem técnica, e afirma já ter resolvido ou melhorado a situação.

Servidores de distribuição de conteúdo, como os da Akamai, ajudam a manter o tráfego na Internet desobstruído, por manter o conteúdo solicitado fisicamente próximo do usuário, por meio de servidores de cache. Eles também atuam como forma de evitar um ataque DoS. Os servidores da Akamai já foram usados, por exemplo, pela Microsoft, em agosto, quando o worm Blaster ameaçou o site Windows Update.

Ao mesmo tempo, a grande capacidade de processamento da rede da Akamai já despertou a cobiça de crackers. A Netcraft lembra que integrantes do grupo Fluffy Bunny já teriam tentado usar os servidores da Akamai para um ataque de negação de serviço coordenado contra os 13 servidores que formam a espinha dorsal da Internet. Fluffy Bunny ficou conhecido por atacar com sucesso sites importantes como o do SANS Institute, SecurityFocus e Apache. Seu líder foi preso no ano passado, em Londres.

Leia também:

Microsoft.com está rodando em Linux?

24/5/2004 - 17:58 Redação InfoGuerra

O 2º Seigov ― Fórum de Segurança da Informação e da Internet na Administração Pública ―, reúne nesta terça-feira, dia 25 de maio, no hotel Mercure Downtown, em São Paulo, técnicos e gestores de empresas e órgãos públicos envolvidos na tecnologia de informação. São sete palestras que abordam desde auditoria e análise de riscos de sistemas até estudos de caso de projetos como o "Linux Seguro" e a implantação de softwares livres no município de Atibaia, sempre com foco na segurança dos dados.

Entre os palestrantes estão Nelson Murilo, do Departamento de Polícia Federal, Antonio Sérgio Cangiano, do Serpro, e Fernando Nery, da Módulo Security Solutions.

A idéia do evento é conscientizar os gestores públicos de TI, em especial os envolvidos na segurança de dados e Internet, a elaborar uma política de segurança para seus órgãos compatível com a legislação, procedimentos e certificações de segurança e a política de informática governamental.

O fórum tem início às 8h50 e vai até às 17h30. Para órgãos públicos, as inscrições custam R$ 850,00 e para empresas R$ 1.295,00. Para grupos, a cada três inscrições a quarta é gratuita. Estão incluídos almoço, coffee break, estacionamento, apostila e certificado emitido por empresa credenciada junto ao Conselho Regional de Administração.

Mais informações na página do fórum.

24/5/2004 - 17:51 Redação

A Symantec anunciou um acordo para comprar a fornecedora de sistemas anti-spam Brightmail. O valor da transação, que precisa ser aprovada por órgãos reguladores e deve ser concluída em julho, é estimado em cerca de US$ 370 milhões (R$ 1,18 bilhão).

A tecnologia anti-spam da Brightmail atua no gateway das redes, o que diminui o tráfego de dados interno nas empresas. Os filtros são baseados em análise heurística e reputação, o que, segundo a fornecedora, reduz o número de falsos positivos (e-mails legítimos erroneamente classificados como spams) para menos de um em um milhão.

A Symantec investe na Brightmail desde 2000 e já possui 11% de suas ações. A oferta atual foi feita em março deste ano e foi agora aceita pelo conselho diretor e acionistas da empresa.

24/5/2004 - 17:34 Murilo Pinto

Uma falha em um controle ActiveX do Norton Antivírus 2004 pode permitir que um atacante remoto inicie programas como se fosse o usuário "logado" no computador, abra páginas da Internet em janelas pop-up não autorizadas ou lance um ataque de negação de serviço (DoS) que paralise o sistema.

Para ativar a vulnerabilidade e ter o computador afetado, o usuário teria que visitar uma página Web ou abrir uma mensagem de e-mail criadas com o fim específico de se utilizar do problema do antivírus. Se o caminho do arquivo executável for conhecido pelo atacante, ele poderá iniciar o programa remotamente. Não é possível inserir códigos ou instalar programas por meio desse ataque.

O controle ActiveX é afetado por não fazer uma verificação adequada de entradas externas de dados.

A falha foi descoberta em março por Yuu Arai e divulgada pela empresa japonesa de segurança de redes Little eArth Corporation (LAC). Na sexta-feira passada, a Symantec confirmou a existência do defeito e tornou disponível, por meio do LiveUpdate, uma atualização que corrige o problema.

Leia também:

Encontradas falhas graves em firewalls da Symantec

24/5/2004 - 4:47 Avi Dvir

Capa do livro Espionagem Empresarial, de Avi Dvir, de cuja obra foi retirado o texto desta página. Leitura recomendada por InfoGuerra.

Captação remota de telas de computadores

O sistema mais conhecido nesta categoria é o Van Eck Phreaking, que por meio de um equipamento especial possibilita captar um sinal ou dados de sistemas computadorizados, monitorando remotamente o campo eletromagnético que os sinais criam (como, por exemplo, de um monitor de um computador) ou transmissões de dados em rede de computadores ou mesmo dados enviados para a impressora. Uma das vantagens de interceptação de sinal eletromagnético de monitor é que a informação exibida na tela não é encriptada, visto que a informação encriptada não é significativa ao usuário.

Wim Van Eck foi o descobridor desse método de captura remota de dados, publicado em um artigo acadêmico em 1985.

Vamos exemplificar aqui como isto acontece.

Uma imagem da tela de um computador é criada por meio de um raio de elétrons que varre a tela em movimentos horizontais da esquerda para a direita.

A intensidade do raio de elétrons determina os valores relativos de cada Pixel (Picture Element ― Elemento de Imagem) em relação a três componentes básicos ― vermelho, azul e verde. Como resultado, o CRT (Cathode Ray Tube, ou Tubo de Imagem do Monitor) que gera o raio dos elétrons cria um campo eletromagnético que contém toda a informação exposta na tela a qualquer momento. Esse campo eletromagnético pode ser detectado com equipamentos especiais a distância.

Projeto Tempest

Desde que Van Eck publicou sua teoria, inúmeras pesquisas intensivas foram iniciadas por várias agências de espionagem e contra-espionagem e, é obvio, muito pouco foi divulgado, uma vez que se trata de um assunto extremamente delicado e perigoso. Porém, nos Estados Unidos, houve um projeto secreto chamado Tempest, que divulgou padrões de proteção para telas de computadores para evitar esse tipo de monitoramento/espionagem. Esses padrões foram divulgados na diretiva 4 do documento NACSIM 5100, da National Communications Security Committee.

Para proteger sistemas de informática contra esse tipo de espionagem baseado no Tempest, é necessário um investimento muito alto, proibitivo, o que implica que muitos equipamentos ficarão vulneráveis a esse tipo de monitoramento. Foi criado um padrão novo chamado Zone, de custo inferior ao do Tempest, para proteger sistemas computadorizados, porém menos seguro.

O padrão Tempest oferece três categorias:

• Tipo 1 – Extremamente seguro e pode ser utilizado apenas por agências governamentais nos Estados Unidos ou fornecedores aprovados.
  
  
• Tipo 2 – Menos seguro, mas requer aprovação governamental (pelo governo dos Estados Unidos).
  
  
• Tipo 3 – Orientado para uso comercial.

22/5/2004 - 5:27 Redação InfoGuerra

Pelo menos três e-mails fraudulentos que circularam pela Internet nas últimas semanas – um em nome do Bradesco e dois em nome do site O Carteiro ― apontam um novo método de operação dos golpistas: o uso da Internet móvel para o envio das mensagens. A técnica torna mais difícil a localização e a identificação do criminoso.

Os IPs dos remetentes das mensagens mostram que todas foram enviadas a partir da mesma rede, pertencente à operadora de telefonia celular Vivo. Duas das mensagens, com diferentes falsos remetentes – Bradesco e O Carteiro – traziam o mesmo IP, o que leva a crer que são originárias de uma mesma quadrilha.

"Está parecendo o kit-scam", afirma o especialista em segurança Nelson Murilo, diretor da Pangéia Informática, referindo-se aos apetrechos portáteis (notebooks, cartões wireless e outros) usados para acessar redes sem fio e praticar crimes pela Internet. "A Vivo e outras operadoras têm serviços de Internet móvel, que estão sendo usados cada dia mais pelos bandidos. Eles ganham mobilidade e dificultam a prisão".

O método dificulta, mas não impede a localização dos criminosos. "Realmente, dá um pouco mais de trabalho, mas não é tão grande assim. Isso pode ser feito mais ou menos como é para achar alguém falando no celular: triangulação de antenas", explica Murilo.

Com exceção do uso de redes sem fio, as outras técnicas utilizadas nos e-mails falsos já são bem conhecidas. No e-mail dirigido contra clientes do Bradesco, as imagens provinham do próprio site do banco e a "mensagem promocional" se referia a um serviço real, uma prática comum em phishing scams. O engano está no formulário de acesso direto ao "Bradesco Dia e Noite", que, em vez de direcionar os dados dos clientes aos servidores do banco, levava as informações para um endereço de e-mail pertencente aos golpistas. O falso formulário pedia a senha da Internet e a do cartão, além da resposta secreta, normalmente uma frase utilizada apenas para a recuperação de senhas perdidas.

As outras mensagens utilizavam o site de cartões virtuais O Carteiro para enganar os internautas. O objetivo era fazê-los baixar um arquivo executável, provavelmente um "cavalo de tróia", que se infiltra no sistema como um aplicativo confiável, mas na verdade instala um programa-espião que envia as informações digitadas (senhas, números de contas bancárias, nomes de usuário, e outras) a um destinatário remoto, o fraudador. É interessante notar que o arquivo HTML original que forma a falsa mensagem traz o título “Olá Bobo”.

Os arquivos estavam hospedados na área de páginas pessoais da America Online (http://www.meumundo.americaonline.com.br/), como tem acontecido com boa parte dos arquivos usados nos últimos golpes. Um deles (http://www.meumundo.americaonline.com.br/cartaopop/ScreenSaver.scr) ainda estava no ar no momento em que esta reportagem estava sendo publicada. Submetido a análise pelo serviço online WebImmune, da McAfee, o resultado foi um arquivo maléfico de nome “new win32@mm”, sobre o qual não foi possível encontrar mais detalhes.

21/5/2004 - 17:50 Redação InfoGuerra

O spammer Ron Scelson afirmou na Comissão de Comércio do Senado norte-americano que pode voltar a usar táticas ilegais para enganar os provedores, caso suas mensagens continuem a ser bloqueadas pela AOL ou o Hotmail, por exemplo. De acordo com a Reuters, ele afirmou que alterou seus procedimentos para atender à lei CAN-SPAM, que entrou em vigor no país em janeiro e, sob certos critérios, permite o envio de mensagens não-solicitadas, mas as empresas estariam desrespeitando a lei.

"O governo quer que enviemos as mensagens de forma legal ou não?", questionou o spammer. "Vocês aprovaram uma lei que parece boa, mas não faz muita coisa".

Conhecido como "Cajun spammer", Scelson afirma enviar desde mensagens com ofertas de produtos na eBay até seguros de automóveis, mas não trabalha com pornografia. Ele seria responsável por cerca de 30 milhões de mensagens diárias.

Apesar de estar em vigor há cinco meses, a lei norte-americana CAN-SPAM não parece ter feito o problema diminuiur significativamente. Mas provedores, empresas de tecnologia e a Justiça afirmam que a CAN-SPAM tem ajudado a enquadrar spammers. O FBI diz que está investigando 50 remetentes de e-mails indesejados e a FTC (comissão federal de comércio dos EUA) teria metade de sua equipe de proteção ao consumidor lidando com o tema.

Scelson afirma querer jogar pelas regras colocadas pelos EUA, depois de ter tido de se mudar com sua família por receber ameaças no último ano. Ele diz tentar cumprir as regras dos provedores e ter assinado um programa de "lista branca", que pode confiscar até US$ 25 mil se ele enviar spams.

Ainda segundo a Reuters, a AOL teria bloqueado as mensagens do "Cajun" porque geraram um grande número de reclamações e muitas vezes são enviadas para endereços inexistentes. O spammer diz que desenvolveu técnicas para disfarçar as mensagens comerciais como textos pessoais e gerar endereços de e-mail numéricos aleatórios para evitar os filtros dos provedores.

Em entrevista à agência de notícias após a reunião no Senado, Scelson declarou que, se  forçado a uma situação em que não pode fazer negócios legítimos por interferências de terceiros, ele irá voltar a enviar o spam tradicional.

Leia também:

Processados primeiros spammers sob nova lei dos EUA

Os fins não justificam os e-mails - VIII

Lei anti-spam dos EUA ainda não mostra resultados

Lei anti-spam dos EUA provoca polêmica e críticas

O que dizem as leis anti-spam pelo mundo

20/5/2004 - 18:25 Redação InfoGuerra

Usuários brasileiros do Hotmail e da MSN estão na mira de pescadores eletrônicos. Uma mensagem em português, datada de 19 de maio, solicita dos usuários a confirmação de que seus cadastrosa estão ativos, sob pena de perderem suas contas nos serviços da Microsoft em duas semanas. Isso serviria para evitar a sobrecarga dos servidores da empresa pelo grande número de usuários dos serviços de mensagens instantâneas e correio eletrônico que não utilizam suas contas.

O e-mail possui características comuns a fraudes do tipo "phishing". Utiliza imagens e formatação legítimas dos sites MSN, assim como textos de ajuda aparentemente oficiais. Algumas características, no entanto, permitem identificar que se trata de um golpe. A principal é o texto que explica o motivo do contato e pede que o usuário confirme seu cadastro: além da razão meio absurda, nele há uma série de erros de português e de digitação, palavras arbitrariamente em maiúsculas e em especial nomes incorretos de produtos da Microsoft.

O cabeçalho da mensagem mostra que o e-mail partiu de uma conexão ADSL da Telefônica e não dos servidores da Micorosoft. O código do e-mail revela ainda que o formulário que coleta os dados dos usuários ludibriados é hospedado pelo site espanhol HackGeneral e processado pelo serviço de scripts gratuitos GoldScripts.com,
possivelmente um "laranja" na história.

O objetivo desse tipo de fraude é obter acesso à conta das vítimas no .NET Passport, serviço integrado de identificação da Microsoft, o que possibilitaria coletar uma série de dados pessoais.

De forma geral, os usuários não devem preencher campos de formulários em e-mails, prática pouco comum no meio empresarial. E muito menos devem responder a e-mails enviados em forma de spam (mensagem não-solicitada). Uma cópia do e-mail fraudulento pode ser vista aqui.

Leia também:

Microsoft lança site sobre e-mails fraudulentos

Censo online é falso, alerta IBGE

Problema no IE e OE facilita "phishing"

Como interpretar o cabeçalho de um spam

As armadilhas para internautas - como se proteger

Falsa mensagem do Hotmail é usada para spam

20/5/2004 - 17:52 Redação InfoGuerra

O ex-delegado do setor de crimes de informática da Polícia Civil de São Paulo Mauro Marcelo de Lima e Silva foi convidado pelo presidente Lula para ser o novo diretor-geral da Agência Brasileira de Inteligência (Abin). Lima e Silva deve assumir o posto de Maria Almeida del'Isola e Diniz, no cargo desde novembro de 2000 e demitida recentemente. O convite, noticiado por O Estado de São Paulo, precisa ser aprovado pelo Senado, mas Lula só deve oficializar a indicação após a volta da China, na próxima semana.

Segundo o diário paulistano, espera-se no governo que a sabatina do Senado seja marcada rapidamente, para resolver a situação da Abin o mais breve possível, em até dois meses. Até a definição, assume o cargo interinamente o diretor-geral adjunto da agência, o funcionário de carreira Joneiton de Assis Martins.

Lima e Silva é um dos primeiros policiais brasileiros especializados na investigação de crimes cometidos com o auxílio de computadores e através da Internet, o que lhe valeu o apelido de "cybercop" (algo como "ciberpolicial"). Ele também foi um dos poucos estrangeiros a ser convidado pelo FBI, a polícia federal norte-americana, para receber aulas na academia daquele órgão. Ultimamente, havia se afastado das delegacias e dedicava-se a ministrar aulas na Academia de Polícia Civil de São Paulo.

20/5/2004 - 17:42 Redação InfoGuerra

Um cientista francês radicado nos Estados Unidos pode pegar uma pena de até dois anos de prisão e multa de 150 mil euros (mais de meio milhão de reais) por haver descoberto e revelado vulnerabilidades em um antivírus que anunciava detectar 100% dos vírus ― conhecidos, desconhecidos ou a serem criados. A decisão da Justiça da França, onde é sediada a empresa fornecedora do antivírus, pode abrir um precedente importante para a investigação independente de falhas de segurança na informática.

A notícia, publicada pelo site Hispasec, informa que Guillaume T., que pesquisa biologia molecular na Universidade de Harvard e outras instituições, tem como hobby publicar em sua página pessoal as análises que faz sobre vulnerabilidades em produtos de informática. Em outubro do ano passado, "Guillermito" ― como assina em seu site, devido à ascendência espanhola ― foi chamado à França para responder ao órgão francês responsável por crimes relacionados à informática. Seu site foi tirado do ar de forma preventiva.

Guillaume é acusado pela Tegam International por suposta "falsificação de programas informáticos e ocultação desses delitos", com base em leis de propriedade intelectual e no Código Penal francês. Em março de 2002, ele publicou uma análise do software produzido pela Tegam, o ViGUARD, que demonstrava alguns ataques que o antivírus não detectava, incluindo alguns vírus conhecidos e provas de conceito específicas.

A empresa lançou inicialmente uma agressiva campanha de marketing. Segundo a Hispasec, passados poucos meses do ataque de 11 de setembro, a Tegam International tentou classificar Guillermito como um terrorista eletrônico. Depois partiu para o ataque judicial. Outros sites que também reproduziram as informações divulgadas pelo cientista retiraram o material do ar, sob a acusação de estarem divulgando "informações falsas".

De acordo com a Hispasec, em nota à imprensa de março deste ano, a empresa condena os sites e participantes de fóruns que divulgaram as informações de Guillaume. Afirma que não é contra a liberdade de expressão ou as análises de segurança, mas vem sendo vítima de uma campanha de outros desenvolvedores para tirá-la do mercado. A nota termina em tom patriótico, afirmando que precisam se defender e recorrer à justiça para proteger a única empresa antivírus francesa.

Também consta uma notícia da empresa que trata da "desinformação sobre o ViGUARD". A Hispasec afirma que a nota é mais técnica, mas responde aos problemas apontados na versão pessoal do ViGUARD com soluções da versão corporativa do produto, além de reclamar da hostilidade das provas de conceito e minimizar os riscos de alguns dos problemas levantados pelo cientista. Guillermito também mantém um site com sua versão da história.

A Hispasec, empresa da área de segurança e tecnologia de informação, posiciona-se contra a Tegam International. Afirma que não existe solução 100% segura contra vírus, e o ViGUARD não seria exceção. Nesse caso, a empresa francesa teria feito propaganda enganosa. Afirma também que a investigação de falhas de segurança é feita por entidades governamentais, universidades, laboratórios, consultorias, grupos de segurança, indivíduos e pelos próprios desenvolvedores de softwares, entre outros. E que as análises independentes permitem ao usuário conhecer informações vitais para sua segurança, que não podem ficar sujeitas aos interesses comerciais dos fornecedores.

Leia também:

Os crackers e os tribunais

Os vírus de computador e a legislação penal brasileira

Perito da PF fala sobre os crimes pela Internet

20/5/2004 - 15:55 Redação/Divulgação

Será realizado em Fortaleza, no Ceará, nos dias 25 e 26 de maio, no Hotel Luzeiros, o Fórum Nacional Internet Segura 2004. O evento trará profissionais ligados à area de segurança e direito na Internet e pretende reunir cerca de 300 participantes em quatro palestras e dois mini-cursos.

As palestras abordarão assuntos que vão de crimes e ética na Internet, ação de hackers e crackers, até pragas virtuais, segurança da informação e privacidade na Internet. Os mini-cursos terão como tema “Redes Wireless, Criptografia, Invasões e Trojans”, no dia 25, e “Segurança Corporativa e Firewalls”, no dia 26.

Os palestrantes serão o advogado especialista em Direito da Informática Omar Kaminski, organizador da obra Internet Legal; os jornalistas Assis Medeiros, autor do livro “Hackers - Entre a Ética e a Criminalização” e Giordani Rodrigues, diretor-editor do site InfoGuerra e co-autor do livro Internet Legal; e o especialista Marcos Flávio Araújo Assunção, autor do Guia do Hacker Brasileiro.

As inscrições para o Internet Segura 2004 podem ser feitas na Companhia de Eventos, empresa organizadora do fórum, pelo fone (85) 241-3541 ou pelo e-mail ciaeventos@ciaeventos.com.br. A taxa de inscrição é de R$ 150,00 para profissionais e R$ 75,00 para estudantes. A programação completa e outras informações podem ser encontradas no site www.internetsegura2004.com.br.

20/5/2004 - 13:11 Redação InfoGuerra

Apesar do que afirma uma mensagem que circula pela Internet há alguns dias, o Google não planeja abrir uma “mega-sede” no Brasil. Não existe nenhum anúncio oficial da empresa nesse sentido.

A primeira referência à mensagem parece vir do site Cocadaboa, conhecido por seus trotes e seu humor por vezes escatológico. No site, que avisa explicitamente que "seu conteúdo é 100% humorístico e/ou mentiroso", existe um texto, datado de 28 de abril, idêntico ao que está sendo enviado por e-mail e reproduzido em outros sites. A diferença é que o texto do Cocadaboa é anônimo e, em várias versões que circulam pela rede, algum engraçadinho inseriu a conhecida agência de notícias Reuters como fonte da "informação".

O boato afirma que, além do Brasil, disputavam a nova sede do Google Irlanda, Índia e África do Sul. O Brasil teria sido escolhido devido ao sucesso do Orkut no país. E que, com a definição do país, a escolha agora seria pelo local do escritório ― São Paulo, ou Petrópolis, no Rio ― que seria feita com base nos votos dos futuros empregados.

A mensagem afirma ainda que seriam abertas 110 vagas (230, em certas versões já modificadas, mostrando que “quem conta um conto, aumenta um ponto”) para diversas profissões ligadas à Internet. Os candidatos deveriam informar a cidade preferida no currículo, que seria recebido pelo endereço de e-mail jobs-brazil@google.com. Este endereço não existe e as mensagens enviadas para ele retornaram com erro

Mesmo sabendo tratar-se de um trote, InfoGuerra enviou uma mensagem para o Google, solicitando informacões. O email foi enviado em português para o endereço portuguese@google.com, indicado no site brasileiro da empresa, mas a resposta veio em inglês. A empresa se desculpou por não poder responder em português e afirma estar investindo para mudar essa situação. De qualquer modo, garante que não há nenhum plano público de abrir um escritório no Brasil.

Além de desmentir o boato, a equipe do Google indicou uma página com os endereços de todos os seus escritórios, e outra com as vagas de emprego. Nenhuma das duas traz referências ao Brasil, no momento.

Não é a primeira vez (e certamente também não será a última) que um texto “100% mentiroso” do Cocadaboa é repassado por e-mail sem atribuição da fonte e vira uma “notícia” supostamente real. Numa entrevista por e-mail há cerca de dois anos, um dos responsáveis pelo site, o “MrManson”, afirmou que seus leitores tinham o hábito de fazer uma espécie de “spam natural” com os textos que eram publicados no site. Mas muita gente simplesmente não informa o endereço da página de onde o texto é retirado, dando margem a todo tipo de confusão. “Quando vejo, já estou recebendo a notícia em meu próprio mailbox”, comentou MrManson.

Confira a cópia de uma versão do boato que chegou até InfoGuerra. O texto é uma cópia parcial do que foi publicado no Cocadaboa, e está atribuído à Reuters:

Google vai abrir uma mega-sede no Brasil
Reuters

O maior site de buscas da internet e uma das mais promissoras empresas de tecnologia do mercado finalmente decidiu em qual país abrirá seu segundo quartel general para operação comercial, pesquisa e desenvolvimento de novos produtos e serviços: o Brasil.

Impressionada com a imensa quantidade de usuários brasileiros, a empresa que tem seu quartel general em Mountain View, na Califórnia, decidiu investir cerca de 80 milhões de dólares em sua filial "tupiniquim". Os outros países que concorriam com o Brasil eram Irlanda, África do Sul e Índia (que já possui um centro de pesquisa da empresa, na cidade de Bangalore). "A adesão dos brasileiros ao Orkut (o mais novo projeto da empresa) foi o fator que mais influenciou a nossa escolha. Em poucas semanas, o país ocupou o segundo posto em número de cadastrados, ficando atrás apenas dos EUA e desbancando grandes potências tecnológicas como Japão e Reino Unido. Não poderíamos desprezar um mercado destes, tão repleto de
entusiastas dos nossos serviços", declarou Larry Page, co-fundador e presidente do Google. Atualmente os brasileiros ocupam uma fatia de 8% do Orkut, se distanciando cada vez mais do terceiro colocado, o Japão.

Page informou que ainda não foi decidida a cidade que abrigará a nova sede do Google, ainda há uma dúvida entre São Paulo e Petrópolis, no Rio de Janeiro, onde está sendo consolidados um pólo com grandes incentivos fiscais para empresas de tecnologia. "Tudo vai depender da oferta de mão de obra. Nos currículos que recebermos, vamos pedir para que o candidato vote na cidade em que preferiria trabalhar. Como sempre, vamos optar pela cidade que reflita melhor bem estar e satisfação para nossa nova equipe", concluiu o release.


Leia também:

Trotes pela Internet entopem e desmoralizam a rede

19/5/2004 - 14:41 Redação InfoGuerra

A Microsoft pode não pagar a recompensa supostamente oferecida ao delator do jovem alemão acusado de criar o vírus Sasser, comenta a imprensa alemã. O motivo seria o envolvimento do delator com o acusado e com o próprio vírus.

Além do suspeito inicial, Sven Jaschan, outros cinco estudantes da mesma faculdade estão sendo investigados. Segundo a revista Focus, a Época alemã e parceira da MSN, um desses suspeitos seria o delator, que está sendo acusado de sabotagem de computadores.

De acordo com a Sophos, o promotor responsável pelo caso não pôde confirmar a informação nem a identidade do delator. Ainda segundo a empresa antivírus, o porta-voz da Microsoft disse que a corporação não irá recompensar os envolvidos em crimes.

Diferentemente do que ocorreu com os worms MyDoom, Sobig e Blaster, a Microsoft nunca fez uma oferta pública para quem desse pistas do autor do Sasser. Segundo a empresa, a recompensa teria sido oferecida a pessoas que a procuraram no dia 5 de maio, perguntando exatamente sobre a existência ou não de um prêmio pela cabeça dos criadores do vírus. Até então, a empresa havia apenas noticiado que os caçava, com a ajuda do FBI e outros órgãos norte-americanos. O valor da recompensa ofertada pela Microsoft é de US$ 250 mil.

Ajuda ao autor

Nesse meio tempo, um grupo decidiu levantar fundos para ajudar na defesa de Sven Jaschan. A iniciativa, porém, não durou muito tempo e o site criado com esse propósito já foi fechado. O grupo teria conseguido levantar pelo menos US$ 500, mas teve, segundo mensagem publicada no site, sua conta no serviço de doações online PayPal fechada. A mensagem também alega que eles não conseguiram entrar em contato com Jaschan e que os valores levantados serão devolvidos na forma que o PayPal permitir.

Leia também:

Vírus têm novas versões mesmo após prisão dos autores

Microsoft caça criadores do Sasser e Agobot

Microsoft oferece US$ 500 mil por criadores de vírus

Microsoft oferece recompensa pelo autor do MyDoom.B

18/5/2004 - 21:23 Redação InfoGuerra

A variante G do worm Sober está se espalhando rapidamente pela Europa, alertam empresas antivírus. O worm se reproduz a partir de mensagens de e-mail em inglês ou alemão ― dependendo do endereço do destinatário ― com diferentes mensagens e tipos de anexos.

O Sober.G pode tentar se passar por uma notificação de falha no envio do e-mail, por mensagens típicas de spams ― como as que fingem vir de conhecidos, como respostas ou  encaminhamentos de outras mensagens. Algumas versões do e-mail incluem uma falsa certificação de que a mensagem teria sido verificada por antivírus, numa óbvia tentativa de enganar o usuário.

Ao ser executado, o worm exibe uma caixa de confirmação com o título "File Not Found" e  a mensagem:

Special -UnZip Data- Module is missing
Open with Notepad?
Yes / No

18/5/2004 - 20:56 Redação InfoGuerra

Nos primeiros cinco meses de 2004, a quantidade de vírus que mereceram alertas de médio e alto nível já ultrapassa o registrado em todo o ano de 2003. Os números são da fornecedora de antivírus TrendMicro, que já emitiu 19 alertas de risco alto ou médio contra 16 em todo o ano anterior.

O primeiro vírus preocupante do ano foi o MyDoom, descoberto em janeiro. Segundo estimativas apresentadas pela Trend Micro, o MyDoom teria atingido mais de um milhão de  computadores, 40% das mensagens enviadas no mundo e causado prejuízos da ordem de US$ 26 bilhões.

Em fevereiro teve início a "guerra dos vírus", entre o Bagle o Netsky. Os criadores alternavam lançamentos de variantes que tentavam eliminar ou impedir o funcionamento correto do concorrente nos computadores infectados. As variantes foram tantas que o Netsky e o Bagle "zeraram" o alfabeto e tiveram de abrir uma nova série de letras. Boa parte dessas versões de ambos os vírus foram classificadas como de médio ou alto risco.

O mais recente foi o Sasser, que se aproveitou de uma vulnerabilidade do Windows recém-divulgada pela Microsoft. Poucos dias após o problema ter vindo a público, já com a correção disponível, o vírus começou a infectar computadores em todo o mundo, chegando a interromper as atividades de algumas empresas como bancos, companhias aéreas e trens.

O sucesso destes códigos deve-se, em parte, ao uso de variadas técnicas para enganar o usuário e os softwares de proteção: engenharia social; códigos maliciosos escondidos em links; arquivos infectados comprimidos em formato zip com senha; endereços dos remetentes das mensagens forjados; exploração de vulnerabilidades para eliminar a necessidade de anexos, bastando abrir o e-mail para contaminar a máquina; entre outras.

18/5/2004 - 3:34 Redação InfoGuerra

O vírus Agent utiliza uma falha presente nas versões 5 e 5.5 do Internet Explorer para infectar computadores rodando o Windows 2000 SP1 em russo, afirma a empresa antivírus Kapersky. Outros sistemas ou idiomas não são afetados. O mais curioso, no entanto, é que o vírus vem em um arquivo de imagem BMP.

Apesar de não ser "executável", o arquivo BMP utiliza a falha do IE para alterar seu comportamento, causando um estouro de memória e a possibilidade de execução de códigos remotos no computador afetado. O Agent baixa de um site líbio um outro programa, conhecido como Throd, que envia informações sobre o computador infectado para seu "dono" e aceita comandos remotos, como colher endereços do Outlook ou abrir um proxy, para envio de spam ou outros tipos de ataque.

Em sistemas operacionais que não o afetado, o Agent pode causar o travamento do leitor de correio eletrônico. De acordo com a Kaspersky, a identificação da vulnerabilidade é resultado do vazamento do código do Windows 2000, em fevereiro. A empresa alerta que variantes do vírus afetando outras versões do sistema, além da russa, devem surgir em breve.

Leia também:

MS admite que código do Windows vazou na Web

Autor de vírus para JPG se identifica

18/5/2004 - 3:06 Redação InfoGuerra

Com US$ 200.00 (cerca de R$ 600,00) em equipamentos de captação e processamento de sons e um software de redes neurais, é possível identificar a senha digitada em teclados de computador, caixas eletrônicos, telefones e outros dispositivos, apenas captando o som emitido pela digitação, revela o site SearchSecurity.

O aviso é resultado de pesquisa do cientista da IBM Dmitri Asonov apresentada no simpósio sobre segurança e privacidade promovido pelo IEEE (Instituto de Engenharias Elétrica e Eletrônica) entre 11 e 14 de maio. De acordo com o cientista, a camada de borracha que quase todos os teclados possuem emite um som único a cada tecla pressionada, que pode ser decriptografada pelo software.

A mesma tecla precisa ser "ouvida" cerca de 30 vezes para que o software possa identificá-la corretamente, mas o programa pode ser "treinado" de modo a identificar os sons das mesmas marcas e modelos de teclados. Durante sua pesquisa, Asonov garante ter conseguido uma taxa de sucesso de até 80%.

O pesquisador afirma ainda que seria possível identificar apenas algumas teclas e extrapolar os resultados com algoritmos de análise acústica. Também não é preciso que a qualidade do som seja boa para que o sistema consiga identificar corretamente o que é digitado: é possível decifrar teclas a partir de sons captados por um celular.

Asonov recomenda que se mantenham as portas fechadas e a utilização de protetores plásticos de teclado para dificultar a identificação das teclas digitadas.

18/5/2004 - 2:31 Redação InfoGuerra

Se a contaminação pelo Sasser já poderia causar transtornos à vítima, uma "infecção oportunista" pode piorar ainda mais a situação. O worm Dabber utiliza-se de uma falha no código implantado pelo Sasser no computador atacado para se reproduzir automaticamente.

O worm se aproveita de uma brecha de segurança no servidor FTP instalado pelo Sasser. A falha gera um estouro de memória na máquina, utilizado pelo vírus oportunista para
tentar se transferir ao computador alvo.

Depois de instalado, o worm é executado a cada inicialização do sistema. O Dabber tenta impedir que outros worms, como o Sasser e o Bagle, sejam ativados e deixa aberta uma "porta dos fundos" (backdoor) para que atacantes cientes da existência do vírus possam entrar no computador infectado.

Sistemas infectados pelo Dabber provavelmente já estão comprometidos pelo Sasser e, talvez, também pelo Agobot. Por isso, o estrago que o worm possa causar não deverá ser tão notado.

Leia também:

Vírus Doomjuice ataca máquinas infectadas pelo MyDoom

14/5/2004 - 17:41 Redação InfoGuerra

O Centro de Tecnologia e Sociedade da Escola de Direito da Fundação Getúlio Vargas lança oficialmente no dia 4 de junho, no V Fórum Internacional de Software Livre (FISL), o projeto Creative Commons Brasil (CC-Br). O evento contará com o apoio do Ministério da Cultura e a presença do ministro Gilberto Gil. O fundador do Creative Commons (CC) original e professor da Universidade de Stanford, Lawrence Lessig, também estará presente.

O CC tem por objetivo proteger os direitos dos autores das obras de distribuí-las livremente, ou restringir apenas em parte seu uso por terceiros. O projeto nasceu a partir de uma lei de copyright americana que protege todas as obras intelectuais no momento em que surgem, independentemente de solicitação de tal proteção por seu autor. Com as licenças CC, os autores podem desobrigar suas obras de tais proteções, consideradas por muitos abusivas e contraproducentes.

O CC busca uma regulamentação dos direitos autorais mais condizente com a chamada Sociedade da Informação. Com a crescente digitalização dos meios de distribuição da informação, popularização dos computadores e da Internet, basta um simples “copiar e colar” para que uma obra original seja reproduzida na íntegra, muitas vezes de modo abusivo. Para evitar estes abusos e ao mesmo tempo estimular o acesso à informação do modo mais amplo possível, foi criado o Creative Commons.

O projeto é inspirado na Free Software Foundation (Fundação para o Software Livre), mas tende a ser menos restritivo aos direitos de propriedade. Além disso, suas licenças são voltadas para obras mais abrangentes que softwares, foco principal da FSF. O CC também desenvolveu sistemas de metadados e "resumos" das licenças, de modo a torná-las compreensíveis, ao mesmo tempo, por pessoas comuns, computadores e advogados.

O CC-Br, ao lado de outros projetos internacionais da Creative Commons (iCommons) ― como os do Japão, Alemanha, França, Itália e outros ― se encaixa exatamente nesse aspecto: em qualquer país, o "resumo" direcionado às pessoas comuns, assim como os metadados destinados aos computadores, serão sempre os mesmos. Os termos legais, no entanto, devem ser adaptados cuidadosamente para serem juridicamente válidos em cada país que adote a licença.

No Brasil, a licença CC-GPL, uma adaptação da GPL para os padrões e interfaces da Creative Commons, já é utilizada pelo governo federal em seu software de análise de atividades criminosas TerraCrime. O projeto nacional também já criou uma licença adotada pelo CC, a "sampling" (amostra), inspirada pelo ministro Gilberto Gil: ela permite o uso de partes de uma obra em outra maior ― como os "samples" de músicas, mas também trechos de filmes ou livros ou recortes de fotografias.

O lançamento oficial do CC-Br foi precedido de uma movimentação que já dura pelo menos um ano. Antes, foi definida a instituição que iria liderar o projeto, criados e revisados rascunhos das versões nacionais das licenças e discussões públicas sobre elas. No FISL, será apresentado o site totalmente em português, com as versões já prontas para uso.

Leia também:

Governo é o primeiro a adotar nova licença de software livre

Lançada no Brasil primeira música sob licença Creative Commons

Novas licenças de direito autoral chegam ao Brasil

Fórum Internacional de Software Livre abre inscrições

14/5/2004 - 15:09 Redação InfoGuerra

A Equipe de Resposta a Emergências relacionadas a Computadores da Austrália (AusCERT) divulgou a existência de uma vulnerabilidade no protocolo IEEE 802.11, o padrão mais usado atualmente em redes sem fio (wireless). A falha possibilita a execução de ataques do tipo negação de serviço (DoS) e afeta a implementação de hardware do protocolo e não de um fornecedor específico, o que a torna grave. Por enquanto, não há solução ou defesa para o problema.

Outro ponto de gravidade é que basta um equipamento wireless comum para efetuar o ataque. Um simples PDA ou uma placa de rede sem fio normal podem servir de ferramentas para o atacante. O método se baseia no fato de as redes sem fio interromperem a transmissão de dados ao serem detectados ruídos. O equipamento seria utilizado para emitir ruídos de forma constante, impedindo a comunicação de dados.

Todos os computadores (clientes ou APs ― pontos de acesso, como os utilizados por provedores de Internet via ondas de rádio) no alcance do equipamento seriam afetados por um ataque bem-sucedido, o que dificultaria a identificação de sua origem. No caso de um AP ser afetado, todos os clientes da rede ficariam desconectados.

Os equipamentos negariam a conexão, como se estivessem com a banda saturada pelo tráfego de dados. Ao cessar o ataque, a rede voltaria imediatamente ao normal. Formas anteriores de ataques a redes 802.11 exigiam o uso de hardware especializado e dependiam da saturação da freqüência utilizada pela conexão com radiação de alta potência.

Os padrões afetados pela vulnerabilidade são o IEEE 802.11, IEEE 802.11b e IEEE 802.11g de baixa velocidade (abaixo de 20 Mbps). Já os padrões IEEE 802.11a e 802.11g de alta velocidade (acima de 20 Mbps) e respectivos hardwares não são afetados pela falha, que é inerente à camada física DSSS, não utilizada por eles. O Centro de Atendimento a Incidentes de Segurança (CAIS) publicou uma versão para o português do alerta do AusCERT.

Leia também:

Tecnologias wireless demandam cuidados extras

Novo protocolo wireless tem brechas de segurança

14/5/2004 - 3:20

Usuários de computadores interessados em conhecer e utilizar o sistema operacional Linux poderão aproveitar a Install Fest para instalar o Linux, sem custo, em suas máquinas. Promovido pela Conectiva em parceria com 20 centros de treinamentos, a Install Fest será realizada em 19 cidades cidades brasileiras, no próximo dia 22. A novidade deste ano é que estará disponível para instalação a versão prévia do Conectiva Linux 10 que será lançado brevemente.

Para fazer a instalação, o usuário deve levar a CPU do computador, o teclado, mouse, e manual ou dados do monitor. Na ocasião, técnicos especializados estarão no local para esclarecer os usuários e tirar eventuais dúvidas.

"O Install Fest é ideal para aqueles que querem conhecer o sistema operacional Conectiva Linux e suas novidades, além de tê-lo instalado em sua máquina. Além disso, é uma forma de incentivar e expandir o uso de Linux no país e também uma ocasião propícia para a troca de informações dentro da comunidade de usuários de software livre", comenta Rodrigo Stulzer, diretor de produtos e soluções da Conectiva.

A relação de todos os centros de treinamento envolvidos na Install Fest pode ser vista no site da Conectiva.

13/5/2004 - 18:03 Redação InfoGuerra

Falhas graves em diversas versões de firewalls da Symantec divulgadas nesta quarta-feira, 12 de maio, podem permitir o acesso remoto e ataques de negação de serviço (DoS) em computadores pessoais ou corporativos. Um atacante que conseguisse se utilizar das falhas poderia controlar o computador com nível de acesso "kernel" ― o nível máximo de controle, maior até que o administrativo ― ou causar a indisponibilidade dos serviços de rede do computador, especialmente danosos em servidores de rede.

São quatro falhas no total, detectadas por Marc Maiffret, da empresa de segurança eEye. Todas as vulnerabilidades atingem um único componente, localizado no arquivo SYMDNS.SYS e comum aos softwares afetados. As brechas de segurança comprometem os serviços NetBios e DNS.

A Symantec já liberou correções para os problemas, que devem ser instaladas por meio do serviço LiveUpdate ou dos canais de suporte corporativo normais. A empresa recomenda que seus clientes façam uma atualização manual, para certificar-se de que as últimas versões dos produtos estão instaladas.

São afetados o Norton Internet Security e Professional 2002, 2003 e 2004; o Norton Personal Firewall 2002, 2003 e 2004; o Norton AntiSpam 2004; o Symantec Client Firewall 5.01 e 5.1.1; e o Symantec Client Security 1.0, 1.1 e 2.0 (SCF 7.1). Os dois últimos são de uso empresarial.

A Symantec mantém uma página com informações sobre os problemas.

13/5/2004 - 11:35 Redação

A fornecedora de produtos de segurança Sophos lançou um pacote de produtos anti-spam e antivírus voltados para pequenas empresas. O “Small Business Suite” é direcionado para empresas com menos de 100 usuários e poucos recursos para investimento em TI.

A solução busca atender a uma demanda em que, segundo pesquisa da Sophos, 80% das empresas de médio e pequeno porte sofrem perdas de produtividade com o excesso de spams, mas apenas 28% delas possuem um sistema anti-spam instalado. A fornecedora afirma que seu produto é simples de instalar e gerenciar, o que se adapta às necessidades dessas empresas que não podem investir pesado em TI.

O pacote conta com antivírus e filtros anti-spam tanto para servidores quanto para clientes e baixa automaticamente atualizações dos produtos. Os produtos funcionam, por exemplo, com o Exchange ou SMTP, Windows ou Macs, redes wireless e de trocas de arquivos.

13/5/2004 - 11:24 Redação

Para evitar que seus clientes sofram ataques “phishing” ou outras fraudes semelhantes, a Microsoft Brasil criou a página educativa “O que você precisa saber sobre e-mails mal-intencionados”. Nela há informações sobre golpes recentes que envolveram o nome da empresa, esclarecimentos sobre a política de comunicação da Microsoft e links para outras páginas de segurança, sobre compras online (em inglês) ou de defesa do computador em geral.

A empresa reforça a política de nunca enviar links diretos para atualizações ou arquivos anexos em suas mensagens aos clientes. “Os e-mails irão sempre orientá-lo a fazer o download de atualizações através de uma página da Web.

Caso receba uma mensagem dizendo ser da Microsoft que contenha um arquivo executável (por exemplo, um arquivo com extensão .exe, .com, .bat, .scr, .js, .vbs, ou .cmd), exclua essa mensagem imediatamente. Não abra nenhum anexo nem faça o download de qualquer arquivo executável diretamente de um email”, orienta a página.

"Esse tipo de engenharia social utilizando o nome da Microsoft tem crescido muito", afirma a gerente de estratégia de segurança da Microsoft no Brasil, Anna Carolina Aranha. "É importante lembrar que a Microsoft não envia links para instalação das atualizações, mas recomenda que o usuário visite o site Windows Update".

A página traz também alguns exemplos de mensagens recentes que tentavam enganar os usuários dos produtos da empresa oferecendo atualizações do Messenger, proteção contra o vírus MyDoom, atualizações de antivírus ou do Internet Explorer, por exemplo. A Microsoft também disponibilizou um telefone de atendimento e suporte técnico ao cliente (em São Paulo), que pode ser usado no caso de dúvidas quanto à autenticidade de mensagens estranhas.

Leia também

Como manter seu sistema atualizado

12/5/2004 - 17:38 Redação InfoGuerra

Uma brecha de segurança no Internet Explorer e no Outlook Express permite o uso de uma técnica sofisticada de "phishing". O problema permite que um link construído de forma adequada aponte para um determinado site, mas informe o endereço de outro na barra de status. A barra de status é normalmente usada para conferir o endereço "real" dos links, o que fica seriamente comprometido pelo problema. O Outlook 2003 não é afetado.

“Phishing scam” é o nome dado à prática de enganar os usuários da Internet por meio de falsas mensagens eletrônicas. Os e-mails contêm marcas comerciais, endereços de e-mail e links forjados, os quais aparentam proceder de bancos, operadoras de cartão de crédito ou qualquer outra empresa conhecida cujo nome possa ser usado para recolher dados financeiros e de identidade de clientes incautos.

A nova brecha foi divulgada por um hacker conhecido como “http-equiv”, que faz parte do grupo Malware. A técnica utiliza uma disposição de elementos HTML específica, com links encadeados e informações alternativas para navegadores textuais, como os usados por cegos. O truque não necessita do uso de javascript.

O resultado prático é que, ao se apontar o mouse para um link presente numa mensagem ou página HTML, abertas com o Internet Explorer ou o Outlook Express, os programas irão exibir na barra de status o endereço aparente do link, mas irão levar o internauta para outro endereço, caso se clique nest link. Uma demonstração do truque foi liberada por “ http-equiv.

A demonstração funciona, por exemplo, no Outlook Express 6.0 com todas as atualizações de segurança, mas percebe-se que ao ser iniciado o carregamento da página que realmente será baixada, o endereço correto aparece por instantes na barra de status do programa. Isto pode ser suficiente para fazer um internauta mais atento desconfiar de um possível golpe. Até o momento não há uma solução para o problema, a não ser ficar alerta e não clicar em links presentes em mensagens não-solicitadas.

Leia também:

Erro do IE permite "roubar" certificados de segurança

Brecha do IE estimula proliferação de golpes por e-mail

Nova técnica de fraude falsifica endereços no navegador

12/5/2004 - 13:34 Redação InfoGuerra

O worm Wallon, identificado nesta terça-feira, 11 de maio, explora duas vulnerabilidades já conhecidas do Windows para infectar computadores. O vírus envia um e-mail no formato HTML, sem anexos, com um link para o site que irá contaminá-lo. A mensagem leva o usuário a acreditar que se trata de uma página do portal Yahoo! e se aproveita de uma falha divulgada no boletim MS04-04 .

A TrendMicro classificou o vírus como de risco médio (alerta amarelo), mas aponta que seu potencial de danos e de distribuição são altos. A F-Secure o classifica como de nível 2, médio, e a Symantec o põe no nível 2, baixo, devido à sua baixa distribuição até o momento.

O assunto da mensagem vem apenas como "RE:". O vírus não se envia para endereços de e-mail com os termos "admin", "microsoft", "postmaster", "software", "support" e "webmaster", em uma aparente tentativa de se manter ignorado por usuários experientes pelo maior tempo possível.

De acordo com informações da TrendMicro, a contaminação se dá por uma série de downloads ativados pelo link acessado a partir da mensagem. A primeira página, um suposto site de segurança, roda um script malicioso que, por sua vez, executa um outro script chamado "terra.html", localizado no mesmo site.

Este arquivo abre um site adulto e um suposto contador. O contador baixa um arquivo de ajuda do Windows, utilizando-se de uma vulnerabilidade relatada no mês passado, no boletim MS04-013, para executá-lo automaticamente. Este arquivo de ajuda baixa mais um arquivo executável, que tenta substituir o Windows Media Player. A tentativa falha em sistemas Windows XP e ME com a Restauração do Sistema ativada.

Ao ser executado, o falso Media Player muda a página inicial do Internet Explorer para www.google.com.super-fast-search.apsua.com, numa nova tentativa de enganar o usuário, e baixa um programa chamado ALPHA.EXE, que é copiado na pasta
raiz do Windows. Este é o componente que tentará enviar a mensagem para outros usuários. O worm também manda uma mensagem de notificação para um endereço de e-mail gratuito.

Algumas versões baixam ainda um "adware" que ativa, de tempos em tempos, um outro script relacionado a sites adultos. O "adware" é identificado pela Sophos como o discador Top69-A, que termina a conexão atual do usuário para discar o de um serviço pago de pornografia.

Leia também:

Microsoft lança os primeiros boletins de segurança do ano

Falhas em protocolo multimídia deixam dezenas de produtos vulneráveis

Surge primeiro worm a explorar falhas recentes do Windows

12/5/2004 - 12:43 Redação InfoGuerra

O centro de ajuda e suporte do Windows possui uma vulnerabilidade que permite a execução remota de código. O problema foi divulgado pela Microsoft no boletim de segurança MS04-015, de 11 de maio, e afeta apenas o Windows XP e 2003 Server. Uma versão em português do boletim pode ser vista no site do CAIS (Centro de Atendimento a Incidentes de Segurança), que divulgou um alerta sobre a falha.

Ao atacar um usuário com privilégio administrativo, um cracker poderia conseguir acesso pleno num sistema-alvo vulnerável, podendo instalar programas, ver e alterar dados, criar novas contas ― incluindo outras contas administrativas. Ao explorar esta vulnerabilidade, o atacante bem-sucedido sempre obtém os mesmos privilégios que o usuário logado no momento da invasão.

Para conseguir invadir o computador do usuário, o atacante precisa enganá-lo para que abra uma mensagem de e-mail ou acesse um site, ambos elaborados de modo a se utilizar da falha de validação presente no protocolo HCP URL, específico do centro de ajuda e suporte do Windows. A URL (do tipo hcp://... em vez de http://...) passaria opções adicionais ao programa HelpCtr.exe, que permitiriam a obtenção de acesso remoto.

A Microsoft lançou uma nova correção que deve ser baixada do site da empresa. Os softwares de verificação de segurança e gerenciamento de atualizações da empresa, Microsoft Baseline Security Analyzer (MBSA) e Systems Management Server (SMS), podem ser utilizados para corrigir a falha.

O boletim também traz informações sobre como desabilitar o serviço de ajuda, para aqueles que não podem ou desejam instalar a atualização.

Além desse problema, a atualização remove duas funcionalidades do Windows que, segundo a Microsoft, poderiam ser alvo de ataques futuros: a atualização automática do decodificador de DVD e o envio de perfis de novos hardwares à empresa. Ao acessar tais serviços, o usuário deverá ver uma mensagem como "Não é possível exibir esta página".

Leia também:

Novas falhas do Windows já estão sendo exploradas

Como manter seu sistema atualizado

Proteja-se de golpes atualizando seu browser

11/5/2004 - 18:00 Redação InfoGuerra

McAfee ePolicy Orchestrator (ePO), um software de segurança corporativa de redes, contém uma falha que pode permitir o acesso administrativo a servidores com o programa vulnerável instalado. A vulnerabilidade também pode ser usada para obter acesso a sistemas rodando agentes ePO. O servidor é usado normalmente para distribuir atualizações de programas de segurança a toda uma empresa, o que dá uma idéia do potencial ofensivo da falha.

Um possível ataque utilizaria uma solicitação HTTP especificamente projetada, com o objetivo de mimetizar operações legítimas do servidor ePO. O atacante poderia implantar um pacote de atualizações que o servidor iria distribuir aos computadores agentes, afetando diversas máquinas simultaneamente.

As versões 2.5.0, 2.5.1 anteriores ao "Patch 14", e 3.0 anteriores ao "Patch 4 para a 3.0 SP2A" mostraram-se afetadas. O X-Force, grupo de pesquisa da empresa Internet Security Systems (ISS), que descobriu as falhas, afirma que outras versões também podem ser vulneráveis. A McAfee distribuiu uma série de atualizações para corrigir o problema.

11/5/2004 - 17:24 Redação InfoGuerra

Uma vulnerabilidade encontrada no programa de correio eletrônico Eudora permite que usuários mal-intencionados executem e distribuam códigos malignos por meio do computador afetado. O problema atinge versões do programa para Windows e talvez para Mac e, segundo o pesquisador e descobridor da falha, Paul Szabo, da Escola de Matemática e Estatística da Universidade de Sidney, na Austrália, é facilmente explorável.

Basta que um atacante envie uma mensagem em formato HTML com 300 bytes com um link direto construído de forma maliciosa, especificamente para exceder o tamanho máximo permitido, para que se produza um potencial estouro de buffer. É preciso que o usuário clique no link para causar o problema. A partir daí, o atacante poderia executar qualquer código na máquina da vítima.

De acordo com o site VSAntivirus, uma falha semelhante foi divulgada em 2003 e corrigida na versão 6.0.1, mas volta a aparecer agora na recente versão 6.1. A versão 6.0.1 não seria vulnerável a nenhuma das falhas. As anteriores e posteriores, aparentemente, são afetadas por uma ou outra.

A Qualcomm, fabricante do Eudora, não divulgou correções ou fez qualquer comentário sobre o problema. A empresa de segurança Secunia e o descobridor das falhas recomendam não usar o programa, que pode ser afetado por outras vulnerabilidades e trazer sérias conseqüências para a segurança do computador. Szabo afirma que os anexos podem ser falsificados e que "documentos sensíveis ou particulares podem ser enviados secretamente".

Ele também recomenda aos que insistirem em usar o Eudora que desativem as opções "Permitir executáveis em conteúdo HTML" e "Usar o visualizador da Microsoft". Isto é feito em Ferramentas/Opções/Exibindo o E-mail e "Baixar automaticamente gráficos HTML" no menu Exibir.

Leia também:

Outlook Express permite instalar programas secretamente

Falha no Eudora abre brecha para hackers

11/5/2004 - 13:50 Redação InfoGuerra

Apesar da detenção do autor do Sasser, novas versões do worm continuam a aparecer. Apenas dez horas após a confirmação da prisão foi relatado o surgimento do Sasser.E. Acredita-se que tenha sido liberada na Internet pelo rapaz antes de ele ter sido encontrado. Nesta terça-feira, 11 de maio, foi identificada ainda uma outra versão do Sasser, a F.

Algumas características do Sasser.E são o uso de portas, nomes de arquivos e identificadores de memória (mutex) diferentes dos anteriores. O worm também apaga, como o Netsky, entradas do registro sobre o Bagle e, a cada duas horas, exibe uma mensagem irônica, informando que o computador "é afetado pela vulnerabilidade MS04-011", que pode ser infectado "por um perigoso vírus similar ao Blaster" ou "esta é uma mensagem da Equipe SkyNet para prevenção de atividades maliciosas" e outras do gênero.

Em relação ao Sasser.F, o site VSAntivirus, especializado em informações sobre vírus, afirma que o worm é uma variação do Sasser.A, criada por um imitador do autor original. Também são alterados nomes de arquivos e entradas de registro, "mutex" e o método de compressão.

Prisão

O alemão de 18 anos preso no último fim de semana confessou ser o autor não só do Sasser, como se suspeitava desde o início, mas também de todas as versões do Netsky. De acordo com as autoridades que o interrogaram, o jovem Sven Jaschan deu detalhes sobre os vírus e sua disseminação. Ele afirmou que a intenção era criar o Netsky-A para combater o Mydoom e o Bagle, apagando esses vírus dos computadores infectados. Na tentativa, surgiu o Sasser.

No computador do acusado foi encontrado o código-fonte do Sasser, ponto determinante na investigação por sabotagem de computadores que o adolescente enfrentará. A pena para o crime pode chegar a cinco anos de prisão. Ele responde ao processo em liberdade e deverá sofrer uma punição abrandada, já que cometeu os crimes quando ainda tinha 17 anos. Vítimas dos vírus ainda podem tentar obter indenizações por danos.

Segundo a agência Reuters, Jaschan podia estar tentando ajudar sua mãe, proprietária de uma pequena empresa de manutenção de computadores, a "PC Help", localizada na cidade de 920 habitantes onde vivem. A hipótese foi levantada pela revista Der Spiegel e não foi descartada pelos promotores responsáveis pelo caso. O pai e a madrasta de Jaschan afirmam que ele tentava apenas encontrar um antídoto e não tinha intenção de causar danos.

A Microsoft afirma ter recebido informações sobre o autor do vírus na quarta-feira. O trabalho de localização da origem do vírus contou com a ajuda do FBI e do serviço secreto norte-americano e da polícia alemã. O advogado da empresa disse que os informantes conheciam o jovem e não o descobriram pela análise técnica do vírus. Eles devem receber US$ 250 mil pelas informações.

Agobot

Ainda na Alemanha, a polícia prendeu o autor do vírus Agobot (ou Gaobot). O desempregado de 21 anos foi detido na fronteira com a Suíça e confessou fazer parte de um grupo que criou ainda o Phatbot. As autoridades alemãs teriam agido a partir de informações norte-americanas. Aparentemente, não há relação entre os dois acusados.

Também nesta terça-feira, foi identificada pela Sophos a versão JO do Agobot. O vírus abre completamente o computador ao atacante, por meio de capacidades de conexão com o IRC e de roubo de senhas. O Agobot-JO tenta apagar entradas do registro relativas a outros worms e altera o arquivo HOSTS para impedir a conexão a sites de antivírus e empresas de segurança. Os endereços IP de tais sites são apontados para o computador local, o que faz com que "não sejam encontrados" pelo navegador.

Leia também:

Netsky-AC se passa por vacina contra Sasser

Microsoft caça criadores do Sasser e Agobot

Perguntas freqüentes sobre o Sasser

Netsky é o pior vírus pelo segundo mês consecutivo

Vírus Netsky-Z ataca sites educacionais

Infecções pelo Sasser crescem mais de 130% na América do Sul

11/5/2004 - 8:48

O Instituto Paulista de Educação Continuada (IPEC) está oferecendo um curso de pós-graduação lato sensu em Direito Eletrônico e Gestão de Risco. O objetivo é capacitar profissionais para entender as novas relações jurídicas que se estabelecem em uma "Sociedade Eletrônica" e conhecer as diferentes soluções jurídicas para minimizar e gerenciar riscos nas operações na Internet.

O curso tem a coordenação do advogado Renato Opice Blum, professor da FGV, PUC e Ibmec, presidente do Conselho de Comércio Eletrônico da Federação do Comércio de São Paulo e colaborador de diversas obras sobre o tema. Também é coordenadora a advogada Juliana Canha Abrusio, professora de Direito nos Meios Eletrônicos do Mackenzie. Abrusio é membro do Comitê Anti-Fraude da Câmara Brasileira de Comércio Eletrônico e co-autora de várias obras.

O programa do curso aborda a elaboração de políticas de comunicação corporativa, baseada nas boas práticas do uso do e-mail, testes de mensuração de risco digital, planejamento de contingências e gestão de risco de empresas e marcas. O público-alvo são advogados, diretores financeiros, de tecnologia e de marketing, desenvolvedores de software e outros profissionais ligados a comunicação, administração, TI e gerenciamento corporativos.

A carga horária é de 360 horas divididas em 18 meses com aulas às terças e quintas das 19 horas às 22h30, com início previsto para o dia 25 de maio. A taxa de inscrição é de R$ 200,00 e o valor do investimento no curso é de 19 parcelas de R$ 680,00. Mais informações no site do IPEC.

11/5/2004 - 3:15 Giordani Rodrigues

Uma inusitada vaga de emprego está sendo oferecida no site da Catho, uma das maiores empresas de recolocação profissional do País. Uma empresa de São Paulo publicou um anúncio para contratação de um spammer. A vaga está disponível desde o dia 29 de abril.

De acordo com o anúncio, o candidato ideal deverá ter as seguintes características. “Ser um profissional que sabe como lidar com listas de e-mail, criar todo tipo de listas segmentadas, tenha experiência na maioria dos tipos de programas de envio e captura de e-mails, saiba fazer páginas de internet e criar campanhas de marketing via e-mail e criar uma newsletter. Deverá amar este tipo de trabalho”.

Não há identificação da empresa contratante mesmo para os assinantes do serviço, uma opção oferecida pela Catho aos que anunciam vagas em seu site. No lugar do nome da empresa, há apenas a indicação de “confidencial”. Na descrição, consta que é uma empresa de “pequeno porte” dedicada a “treinamento na área de informática e de inglês”. A página com a oferta de emprego pode ser acessada aqui. Caso a oferta seja retirada do ar, uma cópia da página pode ser vista aqui.

Quem é assinante da Catho tem a possibilidade de enviar seu currículo para avaliação da empresa anunciante e, caso haja interesse, um representante desta empresa faz o contato com o candidato. Ao enviar o currículo, duas perguntas são feitas ao pretendente à vaga: “Tem experiência com spam, newsletters e listas de e-mail?” e “Gosta desse tipo de trabalho?”. Uma cópia do breve questionário pode ser vista aqui.

De acordo com informações levantadas por InfoGuerra, quem está anunciando a vaga é uma escola de inglês em São Paulo. O suposto nome da escola também foi levantado, mas não foi possível encontrar telefones ou endereço de e-mail da empresa para fazer contato com seus responsáveis, por isso este nome será omitido.

Há a possibilidade de que a oferta seja apenas um trote, mas a Catho solicita dados como razão social e CNPJ (Cadastro Nacional de Pessoas Jurídicas) dos anunciantes e afirma fazer um rigoroso controle de qualidade das vagas anunciadas. De acordo com o site, são 196 pessoas em contato com cerca de 2,5 mil a 3 mil empresas em todo o Brasil diariamente.

O controle incluiria desde verificação dos dados por telefone, até se "o anúncio está bem escrito" e se não há "qualquer tipo de termos discriminatórios, (...) oportunidades de renda extra, pirâmides e outras que não se adeqüem (sic) ao interesse do anunciante e da Catho". O site garante que as vagas ofertadas não ficam imediatamente disponíveis, e só são publicadas após passarem pelo crivo de sua equipe. A Catho afirma também que realiza auditoria por amostragem das vagas anunciadas e bloqueia “empresas não-idôneas".

Não deixa de ser irônico que um anúncio procurando spammers esteja publicado no site da Catho, pois a empresa é velha conhecida de listas anti-spam brasileiras devido às práticas comerciais que adota para divulgar seus serviços.

A Catho batizou seu spam de “permission letter” (algo como "mensagem de permissão"), que é o envio de uma primeira mensagem não-solicitada “pedindo permissão para envios subseqüentes”. Detalhe: caso o internauta não peça para ser retirado da lista, a empresa presume que ele deseja continuar recebendo as mensagens e, em 7 dias, cadastra definitivamente seu e-mail no banco de dados. De acordo com a Catho, “esta primeira mensagem não é comercial”.

Há cerca de um ano e meio, a Catho foi acusada pela concorrente Curriculum de roubar currículos e endereços de e-mail do site de outras empresas do mesmo ramo. Segundo as acusações, os currículos serviriam para inflar artificialmente o banco de dados da empresa, e os e-mails, para enviar spam sobre produtos e serviços da Catho.

Colaborou Murilo Pinto

Leia também:

Catho é acusada de roubar e-mails e currículos

7/5/2004 - 18:17 Redação InfoGuerra

O Brasil foi considerado como um país "significativamente preocupante" no que se refere à proteção da propriedade intelectual de produtos da indústria norte-americana. A conclusão é de um relatório divulgado esta semana pelo escritório do Representante Comercial dos Estados Unidos (USTR, em inglês), órgão com status equivalente ao de ministério no Brasil.

O relatório "2004 Special 301 Report" afirma que o Brasil apresenta pontos positivos no combate à pirataria, principalmente com a criação de uma CPI sobre o tema, alterações na lei penal e uma legislação comercial considerada moderna. Mas a proteção efetiva melhorou pouco, na avaliação do governo americano.

O Brasil e outros 14 países (como Argentina, Índia e Rússia), mais a União Européia, encontram-se no grupo de “atenção prioritária”. Canadá, México, Chile, Israel e mais 29 países integram a lista de “atenção normal". China e Paraguai foram enquadrados na "Seção 306", recebendo “atenção ativa” por parte de comissões específicas e tratados bilaterais. A Ucrânia é o único a sofrer sanções pelos EUA atualmente, no valor de US$ 75 milhões.

De acordo com o estudo, a pirataria foi responsável por perdas acima de US$ 780 milhões  de dólares em 2003 no mercado nacional, e se deve principalmente à falta de controle das fronteiras e baixa eficiência nas ações legais. O lento processamento de pedidos de patentes, com uma fila estimada em 47 mil processos, "pelos quais as empresas pagaram valores substanciais adiantados", também foi citado.

A USTR afirma ainda no relatório que registros sanitários de cópias não autorizadas de produtos farmacêuticos continuam sendo feitas, a partir de testes não divulgados e dados confidenciais, apesar de nenhum desses produtos supostamente pirateados ter entrado no mercado ainda. Os EUA já perderam disputas na Organização Mundial do Comércio (OMC) relativas às leis de patentes de remédios brasileiras.

Outros pontos que preocupam o governo norte-americano são o aumento da pirataria em mídias ópticas ― CDs e DVDs, por exemplo ― e da falsificação de marcas, o uso de softwares pirateados em ambientes governamentais e a pirataria através da Internet.

"Os americanos são os líderes mundiais de inovação, e nossas idéias e propriedade intelectual são os ingredientes-chaves de nossa competitividade e prosperidade”, afirmou Robert Zoellick, chefe do USTR. “Os Estados Unidos dão uma alta prioridade à proteção efetiva da propriedade intelectual e criatividade dos americanos. Estamos encorajados pelas medidas positivas que muitos países têm tomado para fortalecer a proteção dos direitos de propriedade intelectual ao longo do último ano. No entanto, a necessidade de aumento significativo permanece, particularmente nas áreas de implementação e execução destas medidas”, concluiu.

O documento ameaça com sanções os países que continuamente violarem o Acordo sobre Aspectos de Direitos de Propriedade Intelectual Relacionados ao Comércio (TRIPS, na sigla em inglês) da OMC e não demonstrarem esforços no sentido de combater a pirataria, como aconteceu com a Ucrânia. No caso do Brasil, a eficiência no combate à pirataria influenciará os processos no âmbito da revisão anual do Sistema Geral de Preferência (GSP, em inglês), que determina reduções unilaterais, pelos EUA, de tarifas de importação. Brasil e Rússia são analisados desde 2001 devido a tais problemas e podem perder condições diferenciadas de acesso ao mercado norte-americano.

Leia também:

Direitos autorais na Internet: uma questão cultural

7/5/2004 - 14:50 Redação InfoGuerra

O projeto de lei (PL) 021/04, de autoria do senador Duciomar Costa (PTB/PA), recebeu parecer favorável na Comissão de Constituição, Justiça e Cidadania (CCJ) da casa. O parecer foi elaborado pelo senador Álvaro Dias (PSDB-PR) e recebeu algumas emendas.

O projeto privilegia o chamado opt-in e, se aprovado, tornará ilegal qualquer tipo de envio de mensagens comerciais não solicitadas. O texto propõe que "o remetente de mensagens comerciais só pode enviá-las a destinatários que tenham previamente consentido em recebê-las". Além disso, o PL prevê que, uma vez estabelecida a comunicação, três quesitos sejam atendidos: "a não dissimulação do propósito comercial ou publicitário de uma mensagem eletrônica; a identificação clara e verdadeira do remetente; e a habilitação do destinatário a solicitar sua exclusão da lista de mala direta de determinado remetente, ou a bloquear eficazmente mensagens deste."

De acordo com o parecer do senador paranaense, o spam atinge não só a condição de consumidor do internauta, mas seu direito constitucional à intimidade e à privacidade. O texto chega a citar trecho de um artigo do advogado paulistano Amaro Moares e Silva Neto, crítico ferrenho da prática de spam: "o direito à privacidade merece mais proteção do que a liberdade que os publicitários alegam ter para invadir quaisquer caixas de correio eletrônico, ocasionando um furto de tempo e dinheiro. Liberdade de expressão é uma coisa. Libertinagem publicitária é outra". O parecer aponta também os prejuízos causados pela prática ao tráfego de dados pela Internet e ao destinatário da mensagem.

Pelo projeto original, métodos de ocultação do remetente (spoofing) seriam punidos com pena de reclusão de 1 a 5 anos e multa. O mesmo artigo define que 20% do valor da fiança paga pelo infrator seja destinado a quem tenha contribuído com "informações suficientes para sua identificação e indiciamento", instituindo uma espécie de recompensa ao delator do spam. O projeto também torna crime a manutenção do endereço eletrônico de quem optar por cancelar o recebimento das mensagens nos banco de dados da empresa e o fornecimento dessas informações sem o consentimento expresso do titular dos dados.

O parecer de Álvaro Dias propõe a redução da pena para detenção de 6 meses a 1 ano (o texto da emenda, no entanto, está diferente e apresenta pena entre 3 meses e 1 ano) e retira a idéia de recompensa. Para o senador, a punição inicialmente proposta é desproporcional a de outros crimes, sendo superior às previstas para furto e dano qualificado, por exemplo.

Já a recompensa poderia estimular crimes eletrônicos ainda piores, a serem praticados por
hackers: "no afã de descobrir os autores do crime, o 'caçador de recompensas' estará, em muitos casos, invadindo a intimidade alheia. E um delito não deve servir de justificativa para outro". O parecer elimina também a obrigatoriedade de remover dos bancos de dados dos "marqueteiros" o endereço eletrônico de quem optar pelo não-recebimento de futuras mensagens, mantendo apenas a obrigação de não se fazer uso indevido do endereço, como cedê-lo a terceiros.

O PL 021/04 define mensagem comercial como a enviada para mais de 500 destinatários em um período de 96 horas com objetivos comerciais ou publicitários. Apenas mensagens enviadas a partir de computadores instalados no Brasil seriam atingidas pela lei.

A multa para quem descumprisse as obrigações seria de R$ 500,00 por mensagem enviada ou por endereço mantido no banco de dados ou cedido ilegalmente. O valor é aumentado em um terço no caso de reincidência. A proposta considera solidariamente responsável a empresa que contratar os serviços de marketing direto que violem a lei, a menos que o contrato expresse a proibição de spam.

Isso também será alterado se o parecer de Álvaro Dias for seguido pela CCJ. O paranaense propõe que os parâmetros da multa sigam o Código de Defesa do Consumidor (artigo 57), respeitados os limites mínimo de R$ 50,00 e máximo de R$ 500,00 para quem enviar mensagem não solicitada, ou mínimo de R$ 50,00 e máximo de R$ 100,00 para quem não incluir identificação determinada pela lei ou métodos de cancelamento do cadastro. No caso de cessão dos endereços do usuário a terceiros sem consentimento prévio, a multa vai de R$ 500,00 a R$ 1 mil. A multa se aplica tanto ao emissor das mensagens quanto às empresas contratantes, que continuam solidariamente responsáveis pelos danos causados aos ofendidos.

O parecer altera também o prazo de início de vigência da lei para 30 dias após sua aprovação, para que os provedores tenham oportunidade de estabelecer mecanismos de bloqueio de mensagens indesejadas. O projeto original previa a vigência imediata da lei.

A íntegra do PL 021/24 pode ser lida aqui, e o parecer do senador Álvaro Dias, em formato ".doc", aqui .

Leia também:

Projeto prevê "recompensa" a quem identificar spammers

Processados primeiros spammers sob nova lei dos EUA

Os fins não justificam os e-mails - X

Os fins não justificam os e-mails - IX

7/5/2004 - 11:52 Redação/Divulgação

A SonicWALL lançou em toda a América Latina, no dia 6 de maio, o seu IPS (Intrusion Prevention Service). O serviço oferece proteção em atividades comuns na Internet, como acesso à Web, e-mail, transferência de arquivos, serviços do Windows, DNS e outros.

O IPS da SonicWALL destina-se a proteger os sistemas contra vários tipos de invasores, como worms ― incluindo o Sasser ―, cavalos de Tróia, spywares e backdoors. A linguagem de assinatura utilizada no mecanismo de inspeção de pacotes oferece uma defesa antecipada contra as mais recentes vulnerabilidades detectadas em aplicações.

Além disso, o mecanismo de segurança do sistema operacional SonicOS reconhece e protege contra várias anomalias de tráfego, atividades de reconhecimento de varredura de porta, várias invasões em pacotes e ataques DoS, bem como bloqueia ativamente URLs e conteúdo Web proibidos, indesejados ou malignos, inclusive arquivos ActiveX, Java, spyware e cookies.

O mecanismo de segurança também opera em conjunto com atualizações dinâmicas do serviço de segurança da SonicWALL, para oferecer inspeção de pacotes em tempo real, bloqueando e-mails duvidosos. O serviço funciona em modelo de assinatura anual e atende a todas as linhas de produtos da empresa.

6/5/2004 - 23:44 Redação InfoGuerra

Falhas em produtos da Apple, divulgadas recentemente, podem ser mais perigosas do que alega a fabricante. O alerta foi dado pela Secunia, empresa especializada em segurança de computadores, e baseia-se em uma ocorrência anterior verificada pela @stake, outra companhia de segurança. O assunto já virou tema de discussões em comunidades online, como Slashdot, e reportagens em sites de tecnologia, como TechWorld.

A nota da @stake refere-se ao problema que afeta o servidor de arquivos AppleFileServer, divulgado na segunda-feira, 3 de maio. O componente do Mac OS X permite o compartilhamento de discos e não vem ativado por padrão, mas apenas com a seleção da opção "Compartilhamento Pessoal de Arquivos". Há uma janela de pré-autenticação que pode ser usada por um atacante para obter acesso administrativo pleno ao sistema alvo. A nota da Apple sobre o lançamento das correções informa apenas que se trata de uma "melhora no tratamento de senhas longas".

Outro exemplo: a referência da empresa a um problema no QuickTime cita que ele pode finalizar o programa. E só. A eEye, que identificou a falha e avisou a Apple, afirma que um atacante poderia obter acesso ao computador afetado e executar códigos arbitrários a partir dele.

O alerta da Secunia deve-se à divulgação pela Apple de correções de vulnerabilidades ainda não confirmadas pela empresa ou outros grupos independentes. Uma das vulnerabilidades afeta o componente CoreFoundation e, de acordo com a fabricante, a correção "melhora a manipulação de variáveis de ambiente"; a outra atinge um componente relacionado a configurações de servidor e a correção "melhora a manipulação de grandes requisições".

A Secunia afirma que o primeiro problema pode ser, na verdade, uma falha que permite a obtenção de privilégios superiores aos que o usuário deveria ter no sistema, o que compromete gravemente sua segurança. O segundo, que segundo a Apple só afeta a versão 10.2.8, pode envolver uma falha de gravidade semelhante. Outras duas vulnerabilidades são abordadas na atualização divulgada pela fabricante.

Na nota, a Secunia lembra que tais falhas não foram confirmadas, mas que o histórico da Apple levou a empresa de segurança a classificá-las como "altamente críticas". Em abril, a Apple informou que "sabia do problema" causado por um cavalo de Tróia que permitia simular os tipos de arquivos, podendo levar os usuários ao engano de executar um programa imaginando que seria uma inocente foto, por exemplo.

A existência do código malicioso foi divulgada por uma empresa de segurança especializada em Macs. A Apple reagiu apenas dizendo que investigava a situação e tinha "um excelente histórico de identificação e correção de potenciais vulnerabilidades".

A sucessão de descobertas de falhas de vulnerabilidades no Macintosh quebra uma certa aura existente em torno dos produtos da marca. Os "macmaníacos", como são conhecidos seus usuários mais afoitos, sempre acreditaram estar imunes a todo tipo de problema de segurança, tão comuns aos usuários de Windows, por exemplo. Na verdade, quanto mais popular um produto, mais visado ele é, e portanto mais atacado. A Apple terá agora de aprender a lidar com a fama.

Leia também:

Falha no QuickTime permite invasão do PC

5/5/2004 - 20:21 Giordani Rodrigues

A Apple divulgou na última semana a existência de uma vulnerabilidade em seu reprodutor multimídia QuickTime. A falha pode tornar o computador do usuário sujeito a invasões.

Segundo a nota da empresa, um filme do tipo .MOV criado especificamente para esse fim poderia causar a finalização do software. Mas a empresa eEye, que relatou o problema à Apple, acrescenta que a vulnerabilidade permite a um usuário remoto executar códigos com as mesmas permissões do usuário local.

Como a falha envolve um arquivo compartilhado do QuickTime, outros aplicativos também podem ficar expostos. Exemplos incluem navegadores que utilizem um plug-in para tocar online os formatos do QuickTime.

O problema atinge até o QuickTime 6.5. A versao 6.5.1 foi lançada para eliminar a falha. O iTunes 4.2, software da Apple para download de arquivos musicais pagos, também é afetado.

Leia também:

Bug no QuickTime abre brechas para hackers

5/5/2004 - 18:28 Redação

A assessoria da Trend Micro no Brasil acaba de divulgar que as infecções causadas pelas quatro variantes do vírus Sasser cresceram 131% na América do Sul nas últimas 24 horas, fazendo com que a região seja a segunda mais afetada em todo o mundo, ficando atrás apenas da Europa. Ainda de acordo com a empresa, o Brasil representa 80% de toda a América do Sul no número de infecções, o que faz com que o país seja um dos mais afetados pelo vírus até o momento. 

Os números foram calculados com base no sistema House Call da Trend Micro, no qual internautas de todo o mundo rastreiam seus computadores em busca de vírus. O sistema registra a presença ou não de vírus e a região em que a máquina verificada está localizada. Apesar do crescimento verificado na América do Sul nas últimas 24 horas, a família do vírus Sasser ainda não alcançou sua potência máxima de disseminação, podendo aumentar o ritmo de infecções nas próximas horas, de acordo com o analista-sênior da empresa, Joe Hartman.

Descoberto no último final de semana, o Sasser se aproveita de uma vulnerabilidade no Windows, mais especificamente no serviço LSASS (Local Security Authority Subsystem Service), que controla várias tarefas de segurança, incluindo o acesso ao sistema. As falhas foram divulgadas e corrigidas pela Microsoft há menos de um mês, mas calcula-se que haja milhões de máquinas ainda vulneráveis.

Várias empresas ao redor do mundo já tiveram problemas por causa desta praga, como uma companhia aérea norte-americana que chegou a cancelar 40 vôos e atrasou outros 32 por infecções causadas pelo vírus em seus computadores. Em Sidney, Austrália, 300 mil passageiros foram afetados em função de atrasos nos trens, e supõe-se que o Sasser também esteja por trás deste incidente.

A melhor forma de se proteger da infeçcão pelo Sasser é atualizar o Windows no site Windows Update e usar um antivírus também atualizado. Para quem não possui antivírus e quer analisar sua máquina, a Trend Micro oferece gratuitamente o serviço online House Call. Quem já teve a máquina infectada também pode limpá-la com uma ferramenta gratuita lançada pela empresa e que pode ser baixada aqui.

Leia também:

Netsky-AC se passa por vacina contra Sasser

Nova versão do Sasser é considerada de alto risco

Perguntas freqüentes sobre o Sasser

Surge primeiro worm a explorar falhas recentes do Windows

5/5/2004 - 14:45 Redação InfoGuerra

O fundador do Projeto GNU e presidente da FSF (Fundação para o Software Livre, em inglês), Richard Stallman, recusou convite do 5º Fórum Internacional de Software Livre para comparecer ao evento. Ele justificou sua decisão dizendo que não quer ter suas impressões digitais tomadas, o que é um procedimento excepcional na concepção dos norte-americanos.

Diferentemente do que acontece no Brasil, apenas em procedimentos penais um cidadão dos EUA passa por esse tipo de situação em seu país. Stallman é conhecido por sua defesa ferrenha das liberdades individuais.

Em mensagem divulgada em listas brasileiras de discussão sobre software livre, Stallman afirma entender que o procedimento imposto aos turistas norte-americanos é uma retaliação à política de seu país e que não está irritado com o Brasil por isso. "Na verdade, estou feliz por ver alguém lutando contra as intimidações dos EUA", diz o e-mail. "No entanto, não desejo fazer parte do processo." Richard Stallman conclui abrindo a possibilidade de participar do 5º FISL com uma palestra por videoconferência.

O presidente da FSF já se negou a participar de outros eventos no Brasil, como a 1ª Conferência Internacional do Software Livre, realizada em novembro passado, em Curitiba, e que teve entre os patrocinadores a Microsoft e a Oracle. Desde janeiro declara que não virá ao Brasil enquanto vigorar a política do fichamento, sempre deixando claro que não se coloca contra o país por isso.

Leia também:

Fórum Internacional de Software Livre abre inscrições

Conferência de Software Livre começa amanhã em Curitiba

4/5/2004 - 16:59 Redação/Divulgação

O HSBC Bank Brasil está lançando um discador para acesso gratuito à Internet. Mais do que apenas uma promoção do departamento de marketing do banco, a iniciativa visa aumentar a segurança do cliente em suas transações online.

Um dos tipos de golpes que podem atingir usuários de Internet Banking é o chamado seqüestro ou envenenamento de DNS (DNS Hijacking, DNS Poisoning, ou ainda DNS Spoofing). O ataque é dirigido ao servidor de nomes (DNS) do provedor de acesso ao qual o cliente está conectado. Este servidor possui a tarefa especial de transformar a requisição de um endereço compreensível para o ser humano (por exemplo, www.hsbc.com.br) em um endereço numérico (IP) que possa ser interpretado pelas máquinas que compõem uma rede.

Se o software instalado no servidor DNS para fazer esta transformação estiver com brechas de segurança, ele pode ser remotamente instruído por um cracker para desviar uma solicitação legítima de página para um endereço IP forjado. Num caso assim, se o cliente digitasse em seu navegador o endereço www.hsbc.com.br, por exemplo, em vez de ser levado para o site do banco, poderia ser direcionado a uma página clonada. Este tipo de golpe foi largamente utilizado contra instituições bancárias nacionais pela quadrilha de Guilherme Amorim Alves, primeira pessoa condenada no Brasil, no final de 2003, por crimes financeiros cometidos através da Internet.

"Percebemos que por mais que investíssemos em nossos sistemas com o que há de mais moderno na tecnologia de proteção à informação eletrônica e orientássemos nossos clientes a cuidar das suas máquinas, ainda havia um risco associado a possíveis falhas no provedor de acesso, por isso decidimos lançar o Discador do HSBC", explica Rucelmar Reis, gerente de Internet Banking da instituição. Segundo ele, o contrato com o provedor que fornece a conexão prevê que as máquinas acessadas pelos clientes estejam devidamente atualizadas e monitoradas para evitar ataques do tipo seqüestro de DNS.

O HSBC garante que está atento às fraudes que vêm ocorrendo pela Internet no mercado bancário e tem agido de forma pró-ativa para minimizar seu impacto. O banco criou uma área em seu site dedicada exclusivamente a fornecer informações aos clientes, com artigos semanais de especialistas sobre como se proteger deste tipo de ameaça. Também fechou parceria com um fornecedor de software para proteção das máquinas dos clientes, com antivírus, firewall e programas para controle de conteúdo, oferecidos com descontos especiais para clientes do HSBC.

Além disso, o banco estará lançando em breve outras medidas de segurança, como a autenticação por meio de tokens com senhas dinâmicas no acesso e confirmação de transações do Connect Bank (Internet Banking para Pessoas Jurídicas). "Nossa preocupação com a segurança na Internet vai além do investimento feito em nossos servidores, pois temos consciência de que se não ajudarmos o cliente a ter informações e mecanismos de como se proteger não conseguiremos alcançar nosso objetivo de tornar seguros todos os elos da informação eletrônica", afirma Rucelmar.

O discador do HSBC oferece acesso em várias cidades das regiões Sul, Centro-Oeste e Norte, e agora também em São Paulo. Em breve terá cobertura nacional. O banco estima que 70% de seus clientes que acessam a Internet o fazem por meio de conexão discada. O discador do HSBC pode ser usado por qualquer internauta, seja cliente ou não do banco, e pode ser baixado gratuitamente aqui.

Leia também:

Líder de quadrilha na Internet é condenado a 6 anos de prisão

Perito da PF fala sobre os crimes pela Internet

Presa quadrilha que fraudava contas bancárias pela Internet

4/5/2004 - 14:19 Redação InfoGuerra

A mais recente versão do worm Netsky, a AC, tenta se passar por uma vacina contra o Sasser, segundo a empresa britânica Sophos. Os e-mails gerados pelo Netsky-AC possuem um texto em inglês afirmando que foram identificadas mensagens contaminadas partindo do endereço do usuário e um arquivo anexo que seria uma solução para o problema, mas que é o próprio worm.

"Este mais recente vírus Netsky chega via e-mail, disfarçando-se num alerta de uma empresa antivírus que diz que seu PC está infectado pelos vírus Sasser, Netsky.AB, Bagle.AB, MSBlaster.B ou MyDoom.F. O criador do Netsky está se aproveitando do temor dos usuários quanto a ataques de vírus em seus PCs", afirmou o consultor de tecnologia da Sophos  Graham Cluley. "A pior coisa que pode acontecer é alguém cair na cilada ao abrir o arquivo anexo e o vírus se espalhar para endereços do computador da vítima, disseminando o vírus ainda mais".

A mensagem com a suposta vacina traz o assunto "Escalation" e o anexo possui extensão .CPL. O falso remetente varia entre as empresas Sophos, McAfee, Norman e Symantec. O worm possui seu próprio servidor de e-mails e se envia para endereços que encontra em todos os drives do computador, exceto nos de CD-ROM. Uma cópia da mensagem enganadora pode ser vista na descrição que a Sophos traz do vírus.

Além destas características traiçoeiras, o código-fonte do Netsky.AC leva as empresas antivírus a concluírem que seus autores são os mesmos que criaram o Sasser. O vírus traz a seguinte mensagem, em inglês, escondida em seu código:

- "Ei, empresas av, vocês sabem que nós é que programamos o vírus sasser?
É, é verdade! Por que vocês o chamaram de sasser?
Uma Dica: Comparem o código do servidor FTP com o do Skynet-V!!!
LooL [gargalhadas]! Nós somos o Skynet..."

4/5/2004 - 13:34 Redação InfoGuerra

A Microsoft uniu-se ao FBI, ao serviço secreto (CIA) e a outras autoridades norte-americanas para identificar os criadores dos worms Sasser e Agobot ― ou Gaobot, como foram batizadas as últimas versões da praga. Estes worms, que se reproduzem automaticamente através de redes de computadores, atacam sistemas não protegidos por firewalls ou pelas correções de segurança divulgadas em abril pela empresa.

As investigações estão sendo tocadas pelo Northwest CyberCrime Task Force, força-tarefa formada por autoridades policiais e de informações dos Estados Unidos. Há alguns meses, a Microsoft chegou a oferecer recompensas de centenas de milhares de dólares por informações que levassem à prisão dos autores de vírus como Sobig, Blaster e MyDoom.

Para se proteger das pragas recentes, usuários do Windows devem instalar as correções fornecidas no site Windows Update e fazer uma verificação do sistema com uma ferramenta criada pela Microsoft especificamente para o Sasser.

A empresa também mantém uma página de informações gerais sobre segurança para seus clientes. Nessa página, em vários idiomas, incluindo o português, o usuário é orientado a seguir os três passos recomendados pela Microsoft para manter seguros os computadores com Windows: instalar um firewall (fornecido com o Windows XP ou de terceiros), atualizar o sistema e o Office e instalar e manter atualizado um antivírus.

Leia também:

Nova versão do Sasser é considerada de alto risco

Perguntas freqüentes sobre o Sasser

Surge primeiro worm a explorar falhas recentes do Windows

Atualização de segurança pode travar Windows 2000

Novas falhas do Windows já estão sendo exploradas

Vírus explora falha recente do Windows

Microsoft oferece recompensa pelo autor do MyDoom.B

Microsoft oferece US$ 500 mil por criadores de vírus

4/5/2004 - 12:18 Redação

O Movimento Software Livre Paraná (MSL-PR) lança nesta quinta-feira, 6 de maio, o projeto Quinta Livre. O objetivo é realizar pelo menos uma oficina por mês, com pessoas de destaque em projetos importantes relacionados à comunidade de software livre.

Na abertura, será apresentado o projeto JBanana, que visa facilitar o desenvolvimento rápido de aplicativos Web a partir de uma infra-estrutura de programação padronizada e pré-existente, baseado em servidores Java.

O JBanana existe desde 1999 e é licenciado sob a LGPL (Licença Pública Menos Geral, na sigla em inglês), uma licença de software livre que permite o uso do código de programação como componente para aplicativos proprietários. A plataforma utiliza outras tecnologias livres no banco de dados, na interface de desenvolvimento, no servidor e no controlador de versões.

A primeira Quinta Livre acontece às 19h no campus das faculdades Eseei, em Curitiba, na rua Chile, 836, (esquina com a rua Conselheiro Laurindo), no bairro Rebouças. A apresentação do JBanana será feita por Sandro Bihaiko, da GCI Comércio de Sistemas e Serviços de Informática.

4/5/2004 - 11:05 Redação InfoGuerra

Uma vulnerabilidade do Internet Explorer permite que um site criado de modo mal-intencionado engane o navegador, utilizando o certificado de segurança de um um site legítimo. A falha foi decoberta pelo pesquisador britânico Emmanouel Kellinis e divulgada na sexta-feira, dia 30.

O ataque envolve o uso dos comandos HTML "Meta Refresh" e "Body OnUnload". O comando "Meta Refresh" força o redirecionamento do navegador a um outro site definido pelo criador da página dentro de um período de tempo especificado. O outro executa uma ação JavaScript assim que a página atual for "descarregada", ou seja, assim que o usuário deixá-la.

A combinação dos dois comandos pode fazer com que o navegador solicite a confirmação do usuário quanto à validade do certificado de um site legítimo: se for confirmada, o conteúdo do site seguro será exibido, mas o endereço será o do site malicioso. O cadeado na barra de status, indicando que o site é seguro, também será exibido. Ao se clicar duas vezes no ícone do cadeado, no entanto, é apresentada uma mensagem informando que o certificado não é válido.

O principal problema desse tipo de ataque está no caso de o site legítimo utilizar endereços "relativos" para suas imagens ou formulários. Endereços relativos são aqueles que só informam o caminho dos arquivos em relação ao diretório atual.

Assim, um endereço como /imagens/logo.gif é relativo, em comparação com o absoluto http://www.exemplo.com.br/imagens/logo.gif. Nesse caso, os links do site legítimo apontariam para o site malicioso, o que permitiria ao atacante enganar facilmente o usuário em golpes de "phishing scam" e obter informações pessoais e bancárias.

O responsável pela identificação do problema recomenda que os sites seguros imponham um "Meta Refresh" próprio apontando para a "raiz" do site (http://www.example.com) e não usem endereços relativos nos links. Uma outra solução, não indicada no alerta de Kellinis, seria o uso do comando HTML "Base" apontando para o domínio do site legítimo no cabeçalho de todas as suas páginas.

Leia também:

Nova técnica de fraude falsifica endereços no navegador

Brecha do IE estimula proliferação de golpes por e-mail

Golpes por e-mail aumentaram em 2003

Golpe por e-mail tenta explorar novo bug do IE

3/5/2004 - 19:02

1. Como saber se meu PC está infectado?
2. Que danos o Sasser pode causar ao meu PC?
3. Quais versões do Windows são vulneráveis ao ataque?
4. Como posso proteger meu computador desse worm?
5. O que é um firewall e onde posso obtê-lo?
6. Como instalo as correções do Windows?
7. Não consigo baixar as correções porque meu computador reinicia constantemente
8. Que faço se meu computador já está infectado pelo wormn Sasser?
9. Já removi o worm Sasser, mas meu computador torna a se infectar
10. Se já removi o worm, por que ainda me pedem para formatar meu equipamento?

1. Como saber se meu PC está infectado?

O sintoma típico é que o sistema reinicia a cada poucos minutos sem nenhuma ação do usuário. No Windows XP, pode aparecer uma janela com uma mensagem similar à seguinte:

LSA Shell (Export Version) encontrou um problema e precisa ser encerrado.
Sentimos muito pelo inconveniente.

Desligamento do sistema

O sistema está sendo desligado. Por favor, salve todos os trabalhos em andamento e faça logoff. As alterações não salvas serão perdidas. Esta operação foi iniciada por AUTORIDADE NT\SYSTEM

Tempo até o desligamento: xx:xx:xx

Mensagem
O Windows deve ser reiniciado porque o processo de sistema
c:\WINNT\system32\lsass.exe terminou forma inesperada.

• Windows 2000 SP2, SP3 e SP4
  
• Windows XP e Microsoft Windows XP Service Pack 1
  
• Windows XP 64-Bit Edition Service Pack 1
  
• Windows XP 64-Bit Edition Version 2003
  

• Windows NT Workstation 4.0 Service Pack 6a
  
• Windows NT Server 4.0 Service Pack 6a
  
• Windows NT Server 4.0 Terminal Server Edition SP6
  
• Windows Server 2003
  
• Windows Server 2003 64-Bit Edition
  
• Windows 95, 98, 98 SE e Me
  

• Atualizar seu programa antivírus e não desativá-lo enquanto estiver conectado à Internet.
  
  
• Instalar um firewall pessoal e bloquear as portas 445, 5554 e 9996 (firewalls, como o ZoneAlarm e outros, bloqueiam essas portas sem necessidade de você indicá-las, se instalá-lo conforme se explica aqui ― texto em espanhol).
  
  
• Baixar e instalar todas as correções recomendadas pela Microsoft para eliminar a vulnerabilidade LSASS.
  

• Selecione Iniciar, Painel de Controle, Conexões de Rede e Internet, Conexões de Rede.
  
  
• Clique com o botão direito do mouse em "Conexão de Rede de Área Local" e selecione "Propriedades".
  
  
• Na guia "Avançado", marque a opção "Proteger o computador e a rede limitando ou impedindo o acesso a este computador por meio da Internet".
  
  
• Clique em "OK" etc.
  

• Apagar o worm como se indicou anteriormente
  
  
• Fazer backup das informações importantes (não dos programas)
  
  
• Formatar os discos para nos assegurarmos de que o sistema está realmente limpo, e reinstalar o sistema operacional e todos os programas
  
  
• MUITO IMPORTANTE: instalar as correções correspondentes e ativar um firewall, além de manter um antivírus atualizado.

3/5/2004 - 13:38 Redação InfoGuerra

O Sasser, primeiro worm projetado especificamente para explorar as falhas do Windows divulgadas no último boletim de segurança da Microsoft, descoberto no sábado, 1º de maio, já possui duas novas versões. A versão B é considerada de alto risco e já se encontra em larga distribuição, de acordo com a Trend Micro. A Symantec, que inicialmente havia classificado o Sasser.b como de risco 3, elevou esse risco para 4, numa escala que vai até 5.

Assim como a primeira versão, o Sasser.B vasculha redes em busca de sistemas Windows cujas falhas não tenham sido corrigidas. No processo de disseminação do worm são usadas as portas TCP 445, 9996 e 5554.

A diferença em relação à versão original está nos nomes dos arquivos descarregados pelo Sasser.B -- win2.log e avserve2.exe, em vez de win.log e avserve.exe -- e o fato de que o worm abre 128 processos em vez de 128 segmentos ("threads" ou "subprocessos"). O resultado é que, se um processo "travar", não afetará os outros. No caso de segmentos, quando um trava todos os outros também podem ser afetados. A abordagem presente na versão B consome mais memória do computador. Já a principal diferença entre as versões B e C é que a última abre 1024 processos, aumentando seu potencial ofensivo.

O Sasser possui muitas semelhanças com o Blaster, surgido em agosto de 2003, mas parece ultrapassar seu antecessor em tudo. Apenas 24 horas após ter sido identificado pela Panda, o Sasser já era encontrado em 3% dos computadores analisados pelo antivírus da empresa, contra 2,5% do Blaster no mesmo período de tempo. Ambos surgiram poucos dias após a divulgação de falhas de segurança pela Microsoft: 26 dias, no caso do Blaster, 18 dias no do Sasser. Além disso, as características técnicas também são semelhantes: afetam os sistemas Windows 2000 e XP reproduzindo-se automaticamente através de redes, varrem endereços IP aleatórios para identificar alvos potenciais e utilizam o protocolo FTP para efetivamente infectarem a vítima. Os dois causam o reinício de máquinas atacadas que não possuem as correções instaladas.

Rumores já apontam o Sasser como causador de grandes problemas em redes bancárias e de transporte aéreo e ferroviário em todo o mundo. A Bloomberg informa que o banco Goldman & Sachs de Hong Kong foi infectado pelo worm e passa por dificuldades em sua rede. O Herald Sun afirma que o terceiro maior banco finlandês também foi afetado e fechou suas 130 agências para evitar problemas mais graves. Outras duas notícias citam apenas "problemas com computadores" neste fim de semana, mas especula-se que a origem destes seja o Sasser.

O Daily Telegraph, reproduzido pela News Interactive, afirma que atrasos nos trens de Sidney, Austrália, que atingiram 300 mil passageiros, podem ter sido causados pelo Sasser. Notícia da Associated Press (AP) divulgada pelo News 24 Hours Houston afirma que a Delta Airlines cancelou 40 vôos e atrasou outros 32 em Atlanta, por problemas em seus computadores.

A Microsoft chegou a criar uma página de informações exclusivamente sobre o Sasser. Na página "O que você deve saber sobre o worm Sasser e suas variações" (em inglês), a empresa mantém uma ferramenta para identificar máquinas contaminadas e remover o worm, além de fornecer informações sobre como corrigir e contornar a brecha de segurança que permite a ação do Sasser e links para as principais empresas antivírus. A Panda estima que a incrível quantidade de 300 milhões de computadores estejam vulneráveis em todo o mundo, e a taxa de infecção deve crescer conforme as empresas retornem do fim do semana.

Ligação com o Netsky

Empresas antivírus divulgaram texto dos programadores do Netsky, encontrado em meio ao código da 29ª versão do worm, a AC, que afirma serem eles os criadores do Sasser. A mensagem diz, em inglês:

- "Ei, empresas av, vocês sabem que nós é que programamos o vírus sasser?
É, é verdade! Por que vocês o chamaram de sasser?
Uma Dica: Comparem o código do servidor FTP com o do Skynet-V!!!
LooL [gargalhadas]! Nós somos o Skynet..."

1/5/2004 - 10:27 Giordani Rodrigues

Foi anunciada neste sábado, primeiro de maio, a descoberta do primeiro worm projetado exclusivamente para se aproveitar de falhas em componentes do Windows, divulgadas (e corrigidas) no mais recente boletim de segurança da Microsoft, o MS04-011, um dos mais críticos dos últimos meses. Batizado de W32/Sasser.A, o código distribui-se automaticamente em redes de computadores aproveitando-se de uma falha no serviço LSASS (Local Security Authority Subsystem Service), que controla várias tarefas de segurança do Windows, incluindo o acesso ao sistema.

O worm Sasser tem várias semelhanças com o Blaster, surgido em agosto do ano passado. O aparecimento de ambos era esperado após a divulgação de falhas no Windows. Assim como o Blaster, o Sasser afeta Windows 2000 e XP e pode travar ou reiniciar os sistemas com um aviso na tela. Uma cópia deste aviso pode ser vista no site da empresa antivírus F-Secure.

Sasser é um código escrito em Visual C++ que se envia por redes usando três portas TCP no processo: 445, 9996 e 5554. Pela porta 445, o worm varre a rede, a partir de uma máquina infectada, em busca de outras máquinas cuja vulnerabilidade do serviço LSASS não tenha sido corrigida. É nesta fase que os sistemas vulneráveis, ao serem atingidos, podem travar e desligar.

Se o ataque for bem-sucedido, o worm inicia uma shell (tela de acesso) na porta 9996, através da qual o sistema é instruído a fazer uma conexão FTP (transferência de arquivos) para baixar e executar o código final do worm. Este servidor FTP fica disponível na porta 5554 em todas as máquinas infectadas e é usado pra distribuir o código maléfico para outras máquinas que estão sendo contaminadas. Toda a atividade do servidor FTP é guardada no arquivo C:\win.log, que serve como indício de que um sistema foi infectado pelo worm.

Ao se instalar no sistema, o Sasser cria uma cópia de si mesmo no diretório do Windows, com o nome "avserve.exe". Este mesmo nome é adicionado à seguinte chave do registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. O worm também cria um mutex com nome de "Jobaka3l". Mutex é a sigla de mutual exclusion object e se refere a um programa que serve para controlar o acesso a recursos do sistema e evitar que mais de um processo utilize o mesmo recurso ao mesmo tempo.

Segundo um blog criado pela F-Secure para atualização de informações sobre vírus, a incidência de casos de infecção pelo Sasser ainda é considerada baixa, talvez por causa do final de semana. Para se proteger do worm, usuários de Windows devem atualizar seus sistemas no site Windows Update.

Apesar de o Sasser ser considerado o primeiro worm -- isto é, um programa maléfico (malware) que possui rotinas para se auto-reproduzir sem o auxílio de outros arquivos -- criado especificamente para explorar as falhas do Windows divulgadas recentemente, outros tipos de malware já vinham se aproveitando das mesmas falhas. Nesta linha, a Symantec divulgou esta semana a existência de ferramentas hackers classificadas como cavalos de Tróia (geralmente, sem capacidade de auto-reprodução), de nomes Hacktool.THCIISLame e Hacktool.LsassSba. Também foi reportado que as últimas variantes do worm Agobot, rebatizadas para Gaobot, incorporavam rotinas para explorar os bugs relatados no boletim MS04-011.

Leia também:

Atualização de segurança pode travar Windows 2000

Novas falhas do Windows já estão sendo exploradas