29/6/2001 - 17:29 Giordani Rodrigues

Uma mensagem que começou a circular nesta quarta-feira garante que, na próxima semana, fãs de música do mundo inteiro irão receber uma “surpresa chocante” em seus computadores. No dia 4 de julho, quando se comemora a independência dos EUA, quem tiver baixado arquivos MP3 usando programas como Napster e Gnutella terá o computador travado e todos os arquivos musicais piratas apagados.

O estrago será feito por um vírus chamado MusicPanel, que teria sido embutido nas 500 músicas mais populares disponíveis em programas de troca de MP3, nos últimos oito meses. O vírus funcionará como uma verdadeira “bomba-relógio” e afetará usuários de PC e Mac, além de máquinas rodando Linux e computadores de mão.

A mensagem é bastante fantasiosa e diz que o MusicPanel é um “novo código híbrido que vai além do que os vírus podem fazer e é embutido como bits de informação que não podem ser detectados pelos programas antivírus”.

O texto afirma também que o MusicPanel foi criado no ano passado por músicos e empresários descontentes com a pirataria. A única forma de se precaver de seus efeitos deletérios é apagar, antes do dia 4 de julho, todos os arquivos MP3 adquiridos de forma ilegal.

Para o especialista em boatos eletrônicos Rob Rosenberger, a mensagem é “obviamente mais um trote, e não dos melhores, mas algumas pessoas estão acreditando na história”. Na opinião de Rosenberger, a mensagem, que se apresenta como um press release (notícia distribuída à imprensa), parece mesmo é um manifesto contra a pirataria musical. Não é à toa que ela orienta as pessoas a apagarem seus arquivos MP3.

Aparentemente, a mensagem foi postada inicialmente na Austrália e se espalhou por grupos de discussão da Usenet. Tal informação condiz com a opinião de Rosenberger, de que, pela gramática, o texto foi escrito por um australiano ou britânico. Ele também acha que o autor “provavelmente nunca escreveu um press release”.

De acordo com a mensagem, “um outro comunicado será feito depois que o MusicPanel for ativado no dia 4 de julho". É esperar para ver. Quem quiser ler uma cópia do texto, em inglês, deve clicar aqui.

29/6/2001 - 14:12 Giordani Rodrigues

Os fãs da cantora americana Britney Spears (e são muitos), tiveram uma decepção e um susto ao acessar seu site oficial, hoje. Em vez de encontrar uma abertura em Flash com sua foto, depararam com uma página de fundo branco assinada por alguém que usa o apelido de Wouter, dizendo que o site havia sido hackeado.

A inscrição trazia o endereço de outra página, hospedada no site Digit-Labs, que traz programas e informações sobre falhas de segurança de sistemas. Wouter usa o e-mail de um dos integrantes da Digit-Labs. Quem se desse ao trabalho de acessar tal página, encontraria uma explicação para o ato.

Com o título em inglês de “Meu amor por Britney é maior do que sua segurança”, o invasor deixou uma mensagem irônica ao administrador do site de Britney Spears. Primeiro pediu desculpas pela invasão, dizendo que sua mãe tinha levado seu “white hat” (chapéu branco) para a lavanderia. White Hat é o nome que se dá aos hackers “do bem”.

Depois explicou suas razões para atacar o site da cantora: “A razão principal é o meu amor por Britney, é claro. A outra razão é que eu avisei o administrador cerca de três vezes. Eles não reagiram ao meu aviso, provavelmente pensam que garotos de 18 anos estão apenas vadiando. E eu detesto totalmente ser ignorado :(”.

E continua: “Acho mau ignorar alertas de segurança, especialmente quando você tem informações sensíveis de clientes guardadas em seu servidor. Não vou revelar meus métodos de ataque ao público, pois estou certo de que há dezenas de garotos que não conseguem agir com responsabilidade (como eu)”.

No final, manda mais um recado a Britney Spears, dizendo que a ama de verdade, aos seus amigos “da cena” e da vida real. Também deixa uma mensagem para alguém chamado Dimitri, dizendo que o que fez é mais eficaz do que colocar “oops, fiz isso de novo” em uma página microsoft.com. E recomenda que ele tente impressionar as garotas hackeando sistemas da família Unix. Por fim, deixa seu e-mail e seu número de telefone.

Não se sabe se Wouter realmente faz parte da Digit-Labs, ou se invadiu também este site e assumiu as informações de um de seus integrantes (talvez o próprio Dimitri, a quem ele se refere). O espelho da invasão ao site de Britney Spears foi registrado pelo Safemode e pode ser visto aqui. A página com a mensagem, caso volte ao normal, pode ser vista aqui.

28/6/2001 - 21:52 Giordani Rodrigues

Uma empresa brasileira foi obrigada a pagar R$ 800 ao advogado João de Campos Corrêa, de Campo Grande, Mato Grosso do Sul, por envio de spam, nome dado a mensagens de e-mail não solicitadas. A informação foi divulgada hoje à tarde pela revista Consultor Jurídico.

O valor da indenização foi acertado em um acordo na Justiça. Além da multa, a empresa também se comprometeu a não mais usar listas de e-mail desconhecidas. Por sua vez, o advogado se comprometeu a não divulgar o nome da empresa, evitando que mais de 3 mil internautas que receberam seus spams tomem a mesma atitude. Segundo a reportagem, o advogado justificou seu silêncio alegando que “se para cada internauta a empresa tiver de pagar os mesmos R$ 800, terá prejuízos".

No final de abril, Corrêa havia entrado com uma ação indenizatória contra duas empresas que vinham enchendo sua caixa de correio eletrônico com “uma enxurrada de mensagens indesejadas”. Uma das empresas oferece listas com milhares de endereços de e-mail para quem quiser comprá-las. A outra, vende equipamentos para cozinha e enviou mensagens não solicitadas ao advogado. Corrêa pedia R$ 5 mil de indenização para cada uma.

Os nomes destas duas empresas são conhecidos e constam de outra matéria publicada pela mesma revista. No entanto, o advogado pretendia entrar com ações contra mais 60 empresas até meados de maio. Não se sabe, portanto, qual foi atingida agora.

Nos processos, João Corrêa invoca a Constituição Federal, o Código do Consumidor e o Código Civil como fundamentação de seus argumentos. Entre outras coisas, os artigos citados referem-se à inviolabilidade da vida privada e da correspondência e à ilegalidade do envio de produtos ou serviços não solicitados pelo consumidor.

No Brasil, proliferam empresas que oferecem abertamente cadastros com endereços de e-mail de pessoas físicas e jurídicas para a prática do spam. Os endereços são vendidos por lote e por categorias, como médicos, imobiliárias, hotéis, e outros. Para justificar suas ações, muitas destas empresas citam uma lei que sequer existe no país.

Chamado de “105º Congresso Base das Normativas Internacionais sobre o SPAM”, na verdade a citação é uma deturpação de uma lei americana sobre telecomunicações. O Movimento Anti-Spam Brasileiro possui até um texto ironizando a justificativa com o título de “105º Congresso Mundial dos Spammers Brasileiros".

Se a ação ganha pelo advogado João Corrêa servir de exemplo para outras pessoas que diariamente recebem e-mails não solicitados, os spammers brasileiros estarão em maus lençóis.

Leia também:

Spammers vendem milhões de e-mails e enganam internautas

28/6/2001 - 17:25 Giordani Rodrigues

Após quatro anos e 27 textos diferentes, finalmente o Conselho da Europa aprovou o projeto que servirá como base para a Convenção contra o Cibercrime, como tem sido chamado o tratado internacional de combate a crimes relacionados ao ciberespaço.

A versão final do projeto foi aprovada durante a 50ª sessão do European Committee on Crime Problems, encerrada na última sexta-feira. Agora, o texto será avaliado pelo Comitê de Ministros, em setembro, quando possivelmente também será aprovado.

O Comitê deve decidir ainda se abre o documento para assinatura em Budapeste, no final de novembro. A Convenção contra o Cibercrime entrará em vigor quando cinco países, incluindo três Estados membros do Conselho da Europa, ratificarem o documento.

Caso seja adotada pelo Comitê de Ministros, a Convenção será o primeiro tratado internacional sobre crimes cometidos através da Internet e outras redes de computadores. Os alvos principais são as violações de direitos autorais, fraudes eletrônicas, pornografia infantil e crimes ralacionados à segurança de redes (leia-se ataques de hackers).

Participaram da elaboração do documento especialistas de 43 países membros do Conselho da Europa. Canadá, Estados Unidos, Japão e África do Sul participaram como observadores, mas estiveram ativamente envolvidos no projeto. O texto aprovado deverá estar disponível na Internet a partir de amanhã, no endereço http://conventions.coe.int.

Além das definições sobre cibercrime e suas punições, o tratado também prevê uma série de procedimentos legais que incluem rastreamento e interceptação de computadores. Por causa disso, tem sido motivo de muitas críticas por parte de organizações de defesa da privacidade e da liberdade de expressão.

Sob o nome de Global Internet Liberty Campaign (GILC), 22 associações de nove países europeus, mais EUA, Japão, Austrália e África do Sul, estão fazendo campanhas contra a Convenção. Elas consideram o tratado como desproporcional, destruidor da liberdade e uma ameaça aos direitos fundamentais e à soberania dos países.

No começo deste mês, a GILC e as organizações American Civil Liberties Union (ACLU), Electronic Privacy Information Center (EPIC) e Privacy International enviaram ao Departamento de Defesa dos EUA e ao Conselho da Europa uma carta expondo suas críticas. Uma cópia da carta pode ser encontrada no endereço http://www.gilc.org/privacy/coe-letter-0601.html.

Maiores informações sobre a Convenção contra o Cibercrime, bem como outras atividades do Conselho da Europa, podem ser encontradas no seu site: http://www.coe.int

28/6/2001 - 16:21 Redação InfoGuerra

Está em tramitação no Congresso Nacional um Projeto de Lei do deputado Jorge Bittar (PT-RJ) que propõe a adoção de software livre como sistema operacional das urnas eletrônicas utilizadas nas eleições municipais, estaduais e federais realizadas no país. O projeto alteraria a legislação em vigor e, segundo Bittar, tornaria o processo eleitoral mais seguro e confiável.

O deputado acredita que o uso de softwares comerciais protegidos por direitos autorais ainda impede que o processo de votação eletrônica ocorra de forma ideal.

“Por ter o código-fonte fechado, o sistema operacional da urna eletrônica não pode ser totalmente verificado pelos fiscais dos partidos, que atualmente podem conferir apenas o programa de votação. Assim, códigos de programação que permitam o desvio ou quebra de sigilo do voto poderiam ser incluídos nos trechos não analisados do sistema operacional, sem que os fiscais percebessem”, alerta.

Além deste motivo nada desprezível, Bittar também cita a confiabilidade, resistência a ataques de hackers e estabilidade dos sistemas de código aberto. Seu Projeto de Lei 4.858 de 2001 altera a Lei 9.504, de 30 de setembro de 1997. O artigo 59 da lei passaria a contar com um quarto parágrafo, contendo o seguinte texto:

“O Sistema Operacional utilizado em todas as urnas eletrônicas deve ser obrigatoriamente desenvolvido por programas abertos, livres de restrição proprietária quanto à sua cessão, alteração e distribuição.”

27/6/2001 - 21:31 Giordani Rodrigues

Quem diria que o Banco Nacional da Austrália, o grupo financeiro de maior sucesso do país, iria publicar uma mensagem com um palavrão contra os EUA e um e-mail para contato na China? Pois foi o que aconteceu em uma das páginas de seu site. A instituição foi mais uma das vítimas do famigerado worm sadmind/IIS. Há dois dias, uma porta-voz do banco confirmou o fato oficialmente.

O servidor atingido, um Microsoft IIS/4.0, hospeda o endereço appwebcalc.national.com.au, que oferece serviços aos clientes, entre os quais cálculos de empréstimos. Segundo a porta-voz, nenhuma outra área do site foi atacada e a equipe do banco agiu rapidamente, não dando tempo para que o público visse a ação do vírus.

O sadmind/IIS se aproveita de uma vulnerabilidade do sistema Solaris, conhecida há dois anos, e de uma falha nos servidores Microsoft IIS, revelada há oito meses. Depois de se instalar nas máquinas vulneráveis, ele desfigura páginas hospedadas nos servidores, que passam a apresentar uma mensagem contra os EUA e o grupo PoizonB0x.

Causa admiração que falhas tão antigas ainda estejam expostas em sistemas como o do Banco Nacional da Austrália, da Lucent Technologies e do Departamento de Defesa dos EUA, todos atingidos pelo worm. Além destes, centenas ou milhares de outros endereços já foram vítimas do sadmind/IIS desde sua descoberta, em maio.

Uma amostra dos sites atingidos pode ser encontrada no Safemode, especializado em registrar desfigurações de páginas. Para acessar as listas, a última atualizada ontem, clique aqui.

Leia também:

Site da Lucent é atacado por vírus

Vírus invade rede do Departamento de Defesa dos EUA

Notícias confundem vírus com hacker

Novo vírus sadmind/IIS desfigura mais de 8 mil páginas

27/6/2001 - 18:23 Giordani Rodrigues

Quem tentou fazer reservas de passagens utilizando seu cartão de crédito American Express e entrou na página da empresa destinada a esse fim, encontrou duas mensagens, hoje: ou um alerta de que o serviço está temporariamente indisponível, ou uma estranha página negra com letras verdes e umas palavras esquisitas. O site foi invadido e desfigurado pelo grupo brasileiro Men in Hack (MIH).

Não se sabe se os invasores tiveram acesso a dados de clientes ou se só houve a troca de páginas. O grupo foi sucinto: apenas escreveu seu nome, e-mail, algumas saudações tradicionais e uma sigla, “as.of”. A sigla não existe, na verdade. Foi apenas uma brincadeira significando “admin, see .old files” (administrador, veja os arquivos .old), ou seja, as páginas originais foram renomeadas com a extensão .old (antigo, em inglês).

O MIH tem se empenhado em atacar sites de grandes companhias nos últimos dias. Desde o final de semana, já penetrou em algumas páginas do popular ICQ, que atualmente pertence à AOL, e nos sites da Borland de Taiwan, Furnas Centrais Elétricas e da Creative Technology, que produz conhecidos componentes multimídia para computadores.

Até um provedor de Internet da cidade de Paranaguá, no litoral do Paraná, chamado LOL (Litoral On Line), entrou na dança, na madrugada de hoje. Apesar de ser o principal provedor da cidade, obviamente o LOL não é uma empresa do perfil das citadas acima, mas a invasão traz uma curiosidade. O grupo resolveu atacá-lo apenas para se divertir com seu nome. Na gíria da Internet, LOL também tem o significado de uma gargalhada, o que serviu como trocadilho para os hackers.

Para ver os espelhos de todas as invasões do MIH, incluindo a da American Express, clique aqui.

27/6/2001 - 17:05 Giordani Rodrigues

A McAfee está alertando o público para o aparecimento de dois novos vírus que agem em dupla quando ativados. O W95/Linong@MM é um worm executável de envio massivo de e-mails capaz de liberar outro worm de Visual Basic Script (VBS), o VBS/LoveLetter.cq@MM, uma nova variante do I Love You. O primeiro funciona em Windows 95, 98 e ME, mas não possui ação em sistemas Windows NT e 2000.

O W95/Linong@MM chega por e-mail e quando executado envia-se a todos os contatos da lista do Outlook. As mensagens variam, mas algumas têm relação com sexo, Cold Fusion, Popeye e Olívia Palito e até mesmo com Bill Gates. Alguns exemplos das mensagens e seus anexos:

Asunto: Bill
Texto: Bill..
Anexo: BillGate.exe

Asunto: Password
Texto: Here The list of Nude Password Website. All of
them Still Active, and few of them are death password
Anexo: 868879.exe

Asunto: Sexy Model
Texto: Did you ever see the sexy girls like her
Anexo: Sexy.Exe

Asunto: Olive & Popeye
Texto: Olive And Popeye Cartoon
Anexo: Olive.exe

Asunto: Info From CFusion
Texto: You can update your Cfusion Online For Free
Anexo: CFusion.Exe

Há outros tipos de mensagem, mas todas trazem um arquivo executável anexado, que obviamente não deve ser aberto. Quando executado, o vírus faz uma cópia de si mesmo no diretório do Windows com o nome PCpower.exe. Também se instala na pasta Windows\System com o nome MyLinong.exe, mas pode assumir nomes diferentes, que têm relação com o arquivo que veio anexado à mensagem.

O W95/Linong@MM modifica o registro do Windows para ser executado toda vez que o sistema é iniciado e também para criar o arquivo MyLinong.VBS de 10.157 bytes de tamanho. Este arquivo se instala na pasta Windows\System e contém a variante do I Love You VBS/LoveLetter.cq@MM

Finalmente, o vírus cria 501 pastas numeradas no drive C: com as seguintes características:

c:\Linong I Love U So Much Linong For ever My Love0
c:\Linong I Love U So Much Linong For ever My Love1
c:\Linong I Love U So Much Linong For ever My Love2

O processo é repetido até a pasta c:\Linong I Love U So Much Linong For ever My Love500.

Já a variante do I Love You, quando executada se instala no diretório do Windows e na pasta Windows\System com nomes como mylinong.jpg.shs, Kern32Lin.vbs, brun32DLL.vbs e mylinong.jpg.vbs.

Além disso, o vírus cria uma aplicação HTML na pasta de arquivos temporários do Windows, geralmente C:\Windows\Temp. O arquivo tem o nome de mylinong.hta e quando executado apresenta a seguinte mensagem na tela do PC:
O registro do Windows é alterado para executar o vírus cada vez que o sistema é reiniciado e a página inicial do Internet Explorer é substituída para levar o internauta ao endereço http://www.thewebpost.com/lovepoems/1198/dpt112098ily.shtml.

Finalmente, o VBS/LoveLetter.cq@MM também é enviado a todos os contatos da lista do Outlook. A mensagem infectada tem as seguintes características:

Asunto: One of this mail
Texto: True Story....
Anexo: mylinong.exe

Note que o arquivo mylinong.exe também é utilizado pelo W95/Linong@MM. Ou seja, um vírus tem a capacidade de liberar o outro.

26/6/2001 - 20:47 Giordani Rodrigues

Isso é o que se chama de uma equipe ciosa de seus deveres. O site alemão Alldas.de, que se tornou o principal repositório de páginas desfiguradas por grupos hackers depois que o Attrition abandonou tal atividade, registrou a própria invasão, ocorrida hoje à tarde.

Identificado por ThePike, o invasor penetrou na seção de notícias do site e escreveu em grandes letras vermelhas “Alldas got cracked! Read it here” (Alldas foi “crackeado”! Leia aqui). A frase servia como título para um texto explicativo sobre os motivos do ataque.

ThePike afirma que invadir o Alldas foi a melhor forma que ele encontrou para atingir o público ao qual sua mensagem se dirige. E este público é composto justamente pelas pessoas que visitam Alldas regularmente, boa parte delas os próprios desfiguradores em busca do resultado de seu “trabalho”.

Ele acha que “as desfigurações são um modo perfeito para alguém expressar sua opinião, mas também podem causar sérios danos”. Em sua opinião, a atitude full disclosure — que defende a livre circulação de informações sobre falhas na segurança de sistemas — pode trazer melhorias, mas também abre brechas para script kiddies, como são chamadas as pessoas que usam programas feitos para explorar essas falhas.

Aparentemente, ele próprio se considera um script kiddy, pois começa dizendo que não faz parte da “elite”, ou seja, da categoria de hackers que atingem o topo do conhecimento e desenvolvem seus próprios métodos de invasão.

“De fato, não há nada de errado com script kiddies e com invasões, contanto que isso seja usado com cautela”, escreve. Mas complementa dizendo que constata cada vez mais garotos utilizando métodos como o chamado “unicode” (uma falha em servidores Microsft IIS) para penetrar em servidores de empresas de alto perfil. E utilizam a simples desculpa de que fizeram aquilo por diversão e para provar que a segurança do sistema não vale nada.

“Segurança não é algo divertido. Hoje em dia muitas companhias dependem da sua segurança digital e realmente há outras formas de apontar que a segurança pode ser quebrada além de desfigurar um site. Pensem ‘kiddies’, seu conhecimento depende do trabalho dos caras da elite. Fazer coisas estúpidas com seu conhecimento de tal forma que o full disclosure desapareça seria uma grande perda para todos nós, incluindo vocês”.

Depois de dar sua opinião, ele manda saudações à Holanda, no idioma deste país (o que faz supor que seja holandês), e a algumas outras figuras do underground. No final, um recado à equipe do Alldas: “continuem com seu bom trabalho, mas por favor não subestimem o papel educacional que vocês podem desempenhar sendo uma organização amada pelos script kiddies. Em poucos minutos vocês irão receber um e-mail sobre como corrigir sua segurança. Eu não tenho nenhuma intenção de lhes causar mal”.

ThePike cumpriu sua promessa. A equipe do Alldas, que afirma ter restabelecido o site em um minuto, recebeu uma mensagem do invasor, na qual explica como atacou o sistema e o que fez depois de ter ganho acesso não autorizado.

Uma nota explicativa do Alldas relata que ThePike conseguiu enganar os scripts que automatizam a tarefa de produzir os espelhos. Fez isso desfigurando um site no qual embutiu um arquivo PHP em uma imagem. Quando os scripts fizeram o espelho do ataque, o arquivo foi baixado e instalado na rede, permitindo que comandos arbitrários fossem executados.

O registro das atividades informa que foram executados 339 comandos de 10 máquinas diferentes. O invasor tentou acessar o diretório raiz do servidor, apesar de ter dito o contrário. Segundo o Alldas, suas tentativas foram frustradas.

A nota foi assinada por Fredrik (Östergren), que faz a assessoria de imprensa do site e se declara “totalmente embaraçado” com o fato. Começa dizendo que nada é 100% seguro e que hoje a equipe percebeu que sua segurança não era tão boa quanto imaginava. E termina com o seguinte: “a penetração não foi realmente grande, embora seja um tanto embaraçoso ser desfigurado sendo um arquivo de espelhos de desfigurações”.

No final, ele lamenta que ThePike não tenha escolhido avisá-los sobre a falha na segurança, em vez de desfigurar o site, com todas as conseqüências que isto traz. Um screenshot (reprodução de uma imagem no monitor) da invasão foi registrado pelo próprio Alldas e pode ser visto aqui.

O Safemode, outro conhecido site no estilo do Alldas, também registrou o ataque, porém de forma completa. Antes de acessar o espelho, o internauta é apresentado a um texto explicando que o Safemode não tem nada contra o Alldas, pelo contrário, lamenta que isto tenha acontecido. Mas resolveu registrar a invasão, mesmo não tendo sido na página principal do site, devido à importância do fato. Veja o espelho.

26/6/2001 - 15:43 Giordani Rodrigues

A Fininvest enviou há pouco um e-mail com alguns esclarecimentos sobre a invasão ao seu sistema, noticiada ontem por InfoGuerra. De acordo com a nota, não foram acessados dados críticos da empresa nem informações de seus clientes. Os arquivos roubados estariam no site apenas para servir como uma armadilha e enganar os hackers.

A rede da Fininvest foi invadida no início do mês. Nas últimas três semanas, InfoGuerra manteve vários contatos telefônicos com a assessoria de imprensa da empresa tentando esclarecer o assunto, mas não havia obtido resposta. Leia, abaixo, a íntegra do comunicado enviado hoje:

Os arquivos apresentados pelo suposto hacker estavam armazenados em um ambiente denominado “Deception Zone”, que não contém qualquer informação sigilosa ou crítica ao negócio. Trata-se, na verdade, de um ambiente criado exatamente para "atrair" a atenção de possíveis invasores do site da empresa.

É importante ressaltar ainda que não há dados de clientes nem dados de negócios no Web site da Fininvest e que, por questões de segurança, a empresa não revela onde encontram-se essas informações.

Para acessar a notícia sobre a invasão, clique no link abaixo:

Cracker rouba dados da Fininvest

26/6/2001 - 12:00 Giordani Rodrigues

Empresas como McAfee e Symantec lançaram alertas para o aparecimento de um novo vírus chamado W32/Leave.worm. Com características de worm e trojan horse, a praga tem capacidade de interagir com outros programas maléficos como SubSeven e Backdoor-G para tornar o computador das vítimas uma arma na mão de hackers.

O W32/Leave.worm possui três componentes principais: BIN.DLL (com tamanho de 22.528 bytes), REGISTRY.DLL (54.272 bytes) e REGSV.EXE, de 76800 bytes. O arquivo executável possui uma senha controladora para o SubSeven que é utilizada para dar acesso a outros computadores.

As máquinas sob o poder desses programas recebem o apelido de “zumbis” e são utilizadas principalmente para sobrecarregar servidores e derrubar sites. Depois de formarem uma rede com centenas ou milhares de computadores alheios, os hackers desencadeiam os chamados ataques Denial of Service (DoS), que agem como se um número gigantesco de usuários estivesse acessando um site ao mesmo tempo, o que o torna indisponível. Caso o ataque seja gravado pelos servidores, o número IP que identifica as máquinas de pessoas inocentes é registrado como se estas tivessem participado da ação.

O worm W32/Leave também possui outras rotinas bastante perigosas. Ele contém códigos que utilizam a porta 13 para contatar Time Servers (servidores que assumem o horário de um determinado local) e servidores de IRC, canais de bate-papo bastante utilizados por hackers para coordenar suas ações. O vírus pode ainda efetuar download de arquivos na Web e o arquivo Registry.dll contém uma rotina de remessa de mensagens, que pode servir para enviar informações aos atacantes.

Quando o arquivo REGSV.EXE é executado, ele se instala na pasta do Windows e cria um arquivo chamado ACL.DLL. Também são criadas várias chaves de registro e subchaves com dados codificados, como HKU\.Default\Software\Mirabilis\ICQ\Agent\Apps\icqrun="C:\WINDOWS\regsv.exe", HKLM\Software\Microsoft\Windows\CurrentVersion\Run\regsv="C:\WINDOWS\regsv.exe", HKLM\SOFTWARE\Classes\Scandisk\i386\i\ e HKLM\SOFTWARE\Classes\Scandisk\i386\s\.

A chave \i contém informações como os nomes originais dos arquivos e algumas senhas. A chave \s contém uma lista criptografada de sites dos quais os arquivos podem ser baixados e uma lista de Time Servers. Além disso, o vírus altera o sistema para ser rodado quando vários programas conhecidos são executados, entre eles, Outlook, Napster, MSN Messenger, Notepad e Wordpad. Uma lista detalhada destes programas e das chaves criadas pode ser encontrada aqui.

Segundo Patrícia Ammirabile, membro do Anti Virus Emergency Response Team (AVERT) da McAfee, “devido a vários reportes recebidos de fontes confiáveis, esse worm está sendo considerado de médio risco”. Patrícia recomenda que aqueles que verificarem a existência do arquivo REGSV.EXE em seu sistema devem encaminhá-lo para o AVERT WebImmune.

A Symantec também considera o vírus como de médio risco. Em uma escala de avaliação de risco que vai de 1 a 5, o W32/Leave.worm está sendo classificado como nível 3 pela empresa.

As ferramentas de ataque do vírus chamaram a atenção até mesmo do FBI. O National Infrastructure Protection Center (NIPC), braço da polícia federal americana para proteção de sistemas estratégicos dos EUA, como telecomunicações e energia, publicou um alerta sobre o W32/Leave.worm em seu site. Para acessá-lo, clique aqui.

26/6/2001 - 0:00 Giordani Rodrigues

O especialista em segurança Steve Gibson está passando por maus momentos com os hackers. Depois que seu site passou quase todo o mês de maio sendo atacado, na quarta-feira passada foi novamente vítima de piratas da Internet. Dessa vez, porém, Gibson resolveu reagir e publicou uma lista de endereços IP (Internet Protocol) das 195 máquinas usadas para a ação.

Segundo suas análises, o ataque foi possível devido a uma vulnerabilidade dos servidores IIS, anunciada recentemente pela Microsoft. Uma checagem supérflua na requisição de dados feita pelo IIS faz com que códigos arbitrários possam ser rodados na máquina, abrindo as portas para os hackers.

Entre as máquinas afetadas, todas rodando o sistema operacional Windows 2000, estava o servidor da CCN Newswire, uma empresa de distribuição de notícias de Toronto, no Canadá. De acordo com uma reportagem do site Newsbytes, um porta-voz da CCN Newswire disse que a companhia desconhecia que seu sistema estava sendo usado por hackers para promover ataques contra sites. Depois de um telefonema de Gibson alertando para o fato, o servidor IIS 5.0 usado pela empresa foi corrigido e seu endereço IP foi retirado da lista.

Steve Gibson revelou também os endereços dos computadores de onde aparentemente os ataques partiram. Depois que sua lista foi ao ar, várias máquinas foram corrigidas, mas a maioria continua vulnerável. Quase todas estão localizadas na sub-rede cujos endereços começam com 216.

Engenheiro de sistemas e programador, Steve Gibson disponibiliza no site de sua empresa, a Gibson Research Corporation, alguns programas e serviços para proteção de computadores. Depois que passou a ser alvo de hackers, ele publicou uma análise detalhada de como os ataques de negação de serviço (DoS) acontecem e uma carta aberta aos invasores, dizendo que se rendia às suas capacidades e pedindo trégua.

Desapontado com a continuação das ações, resolveu tentar outra estratégia. Ele espera que revelando quais são as máquinas vulneráveis e de onde partem os ataques possa desestimular os hackers e ao mesmo tempo forçar os administradores a corrigirem as falhas.

“Talvez você possa ligar para Bill Gates e pedir seu conselho. Afinal, ele tem o dinheiro que você pagou por esta experiência tão comum a todos na Internet. Por favor, peça para sua máquina não nos atacar novamente. Quando ela concordar, deixe-nos saber e iremos remover de nossa lista seu nome e endereço IP”, escreveu, irônico. Pela quantidade de endereços ainda listados, parece que sua estratégia não tem dado muito certo. A lista pode ser encontrada aqui.

Um especialista em segurança entrevistado pelo Newsbytes duvida da eficácia da atitude de Gibson. David Dittrich, da Universidade de Washington, acha que a decisão de publicar o registro dos ataques pode levar a mais comprometimento dos servidores. Em sua opinião, quando pessoas maléficas virem a lista, elas podem começar a rastrear a rede dos servidores achando que sejam alvos fáceis.

Leia também:

Especialista em segurança se rende a hacker de 13 anos

Microsoft lança pacote de correções para o IIS

25/6/2001 - 18:02 Giordani Rodrigues

O cracker brasileiro conhecido por Phrozen_Byte alega ter penetrado nos sistemas da Fininvest e roubado dados internos da empresa. Como prova, ele enviou uma mensagem com cerca de 2 megabytes de arquivos anexados. Os destinatários da mensagem foram InfoGuerra e vários outros sites nacionais, alguns bem conhecidos.

Dos arquivos constam, entre outras coisas, planilhas Excel com informações sobre o resultado financeiro consolidado pela empresa no ano passado, documentos com instruções e modelos de contratos com empresas parceiras da Fininvest e arquivos ".cfm", extensão que identifica a linguagem Cold Fusion, usada para criar páginas na Internet.

No e-mail que enviou, o cracker escreveu sobre o sistema: “um servidor muito ruim Windows NT/IIS 4.0 aparentemente não haviam erros não apenas cold fusion” (sic). As páginas foram mandadas com a intenção de demonstrar que ele penetrou na rede do administrador, segundo seu comentário: “como sempre dizem que eu nunca entro como administrador, dentro do arquivo constam as pages do próprio”.

Ao contrário da maioria dos grupos de piratas nacionais, que normalmente limitam-se a mudar a página de um site por outra, nos últimos dois meses Phrozen_Byte se empenhou numa espécie de campanha contra a segurança de empresas estabelecidas no Brasil. “Após HP Store, bancos corporativos e estaduais é chegada a hora da Fininvest sofrer uma invasão”, escreveu, referindo-se ao Bansicredi, HP Store e Banco do Estado do Maranhão, que já foram suas vítimas.

Não se sabe se o cracker teve acesso a dados de clientes da Fininvest. Sobre o assunto, ele escreveu apenas: “Quanto a clientes, cartões etc... , eu nem mais vou discutir, se for é capaz de piorar ainda mais a situação”.

Segundo a mensagem, a invasão aconteceu na passagem dos dias 5 e 6 de junho. O e-mail foi recebido na manhã do dia 8. Desde essa data, InfoGuerra enviou os arquivos à Fininvest e manteve vários contatos telefônicos com a assessoria de imprensa para obter uma explicação sobre o que aconteceu.

Um funcionário da empresa afirma que foi feita uma análise técnica dos dados, mas até o último contato com a assessoria, mantido hoje, nada foi esclarecido. Os dados, no entanto, parecem autênticos. Um dos documentos enviados — um modelo de instruções para cadastramento de lojistas —, possui nome e sobrenome de seu autor. InfoGuerra confirmou que a Fininvest possui um funcionário com tal nome trabalhando em um setor chamado Suporte Operacional Lojista.

Segundo informações do próprio site da Fininvest, a empresa “tem 11,7 milhões de clientes, 64 lojas próprias localizadas em 21 estados, 3.500 funcionários, mais de 6 mil estabelecimentos cadastrados, e administra e processa 7,5 milhões de cartões ao ano (entre cartões de empréstimo, cartões de loja e cartões de crédito)”.

Leia também:

Novo ataque de crackers obriga Bansicredi a suspender serviços

Crackers roubam dados de clientes de banco

HP confirma invasão de hackers em seu site

Cracker rouba dados de clientes da HP

25/6/2001 - 14:05 Giordani Rodrigues

Uma corte federal de Santa Ana, na Califórnia, indiciou um jovem russo por invadir sistemas informatizados, roubar dados de cartões de crédito e tentar extorquir as vítimas oferecendo “serviços de segurança de computadores”. Alexey V. Ivanov, 20 anos, da cidade russa de Chelyabinsk, está aguardando julgamento em uma prisão de Rhode Island.

Ivanov é um dos envolvidos em um esquema de fraudes que lesou mais de 40 companhias americanas e foi responsável pelo roubo de mais de um milhão de números de cartões de crédito, segundo o National Infrastructure Protection Center (NIPC). Os promotores alegam que Ivanov e outros hackers internacionais obtiveram acesso não autorizado a um provedor da cidade de San Diego, CTS Network Sevices.

Usando um número de cartão de crédito roubado, ele abriu uma conta no provedor e utilizou seus computadores para atacar diversas companhias de comércio eletrônico, incluindo duas operadoras de cartão de crédito — Sterling Microsystems e Transmark — e o banco NaraBank, de Los Angeles.

Ivanov roubou informações financeiras dos clientes, como números de cartões de créditos, utilizando-os para fraudes. Depois, tentou extorquir dinheiro da Sterling Microsystems como forma de pagamento por seus “serviços de segurança”.

Em novembro do ano passado, Ivanov e seu comparsa, Vasili Gorchov, de 25 anos, foram presos em Seattle, depois de terem viajado aos EUA durante uma investigação do FBI. O objetivo da viagem seria uma entrevista de emprego em uma companhia chamada Invita, que na verdade era uma armadilha montada pelo FBI para conseguir as provas necessárias ao indiciamento dos dois russos.

Além das acusações na Califórnia, Ivanov está sendo processado por invasão de computadores e fraude em Seattle e Connecticut, e Gorchov em Seattle. Ivanov será levado a julgamento em Santa Ana depois que o caso em Seattle for resolvido. Se for condenado em todas as acusações, ele pode pegar uma pena máxima de 90 anos em uma prisão federal.

Leia também:

Crackers roubam mais de 1 milhão de números de cartões de crédito

23/6/2001 - 20:54 Giordani Rodrigues

O site da Excel Switching, pertencente à Lucent Technologies, foi desfigurado pelo worm sadmind/IIS, um tipo de vírus que ataca os servidores Solaris e a partir deles desfigura sites hospedados em servidores Microsoft IIS. O worm substitui a página principal por outra com uma mensagem contra os EUA e o grupo PoizonB0x.

O sadmind/IIS se instala em máquinas que possuem vulnerabilidades conhecidas, cujas correções estão disponíveis há bastante tempo. O worm tem atacado vários sites desde que surgiu, há pouco mais de um mês. Entre eles, está o do Defense Technical Information Center (DTIC), que faz parte do Departamento de Defesa dos Estados Unidos e aparentemente também o do Banco Nacional das Filipinas.

Em maio, o Attrition recebeu uma lista com mais de 8 mil máquinas que teriam sido invadidas pelo sadmind/IIS. A equipe constatou o fato em centenas delas e considerou que todos os outros endereços também foram vítimas do vírus.

A Excel Switching Corporation foi incorporada à Lucent há cerca de dois anos. A especialidade do segmento é a fabricação de switches programáveis, um dispositivo que serve como uma ponte entre os circuitos e os pacotes de dados em uma rede. Uma das funções do dispositivo é multiplicar a quantidade de portas de conexão em provedores de Internet. A desfiguração de seu site foi registrada pelo Safemode e pode ser vista aqui.

Leia também:

Vírus invade rede do Departamento de Defesa dos EUA

Notícias confundem vírus com hacker

Novo vírus sadmind/IIS desfigura mais de 8 mil páginas

23/6/2001 - 16:48 Giordani Rodrigues

Na semana passada, um especialista em segurança de computadores foi condenado em uma corte federal de Manhattan, em Nova Iorque, a mais de dois anos de prisão. Depois de uma semana de julgamento, a juíza Loretta Preska considerou Jesus Oquendo, de 27 anos, culpado por atividades “hacking” e escuta eletrônica clandestina. O caso foi investigado pelo FBI.

De acordo com as evidências, Jesus Oquendo trabalhou como especialista em segurança em uma companhia chamada Collegeboardwalk, na primeira metade de 2000. A empresa dividia o escritório e a rede de computadores com um de seus investidores, Five Partners, uma companhia de capital de risco de Manhattan. Inicialmente, Oquendo alterou comandos da rede de modo a receber as senhas usadas pela Five Partners, enviadas a ele automaticamente por e-mail toda vez que o sistema era iniciado.

A Collegeboardwalk faliu, mas Oquendo continuou acessando os computadores da Five Partners, nos quais instalou secretamente um tipo de programa conhecido por sniffer, que intercepta e grava dados eletrônicos. Por intermédio do sniffer, ele chegou a outra empresa, RCS, especializada em venda de equipamentos de informática em todo o território americano e cliente da Five Partners.

A senha de um usuário legítimo da Five Partners foi capturada quando este checava o banco de dados da RCS, contendo informações de todas as vendas da companhia. Numa atitude gratuita, nos dias 2 e 3 de agosto do ano passado ele penetrou nos computadores da RCS, deletou todo o banco de dados da empresa e deixou uma mensagem: “Alô, eu acabei de hackear seu sistema. Tenha um bom dia”. A recuperação dos arquivos custou cerca de US$ 60 mil.

Considerando as habilidades especiais de Jesus Oquendo, a juíza Preska decidiu aumentar a sua pena. Além da prisão, ele também deverá pagar mais de U$ 96 mil dólares de indenização à RCS. Este é o primeiro caso federal de invasão de computadores que foi a julgamento no distrito meridional de Nova Iorque.

22/6/2001 - 18:48 Giordani Rodrigues

A McAfee lançou hoje um comunicado sobre a existência de um novo hoax (boato) que usa o nome da companhia para espalhar o alerta de um falso vírus chamado Anticristo. Segundo a mensagem, o Anticristo é o pior vírus da História e possui a capacidade de destruir a trilha zero do disco rígido, inutilizando o componente permanentemente.

O e-mail diz que a praga foi “descoberta ontem” e foi classificada pela McAfee e pela Microsoft como “o vírus mais destrutivo de todos os tempos”. Para piorar, não é detectado por nenhum programa antivírus. O Anticristo chegaria em uma mensagem com a palavra “Surpresa” na linha de assunto e seria enviado a todos os contatos da lista de e-mail. Para não restar dúvidas de que se trata de um hoax, no final do “alerta” há o velho pedido para se enviar a mensagem a todos os conhecidos.

O texto sobre o Anticristo é uma variante de um hoax mais antigo, o Cartão Virtual, que aparentemente também voltou a circular na rede. Nos últimos dias, InfoGuerra recebeu mensagens sobre ele, assim como a Maple Informática, representante no Brasil da Command Software, de acordo com seu responsável, David Rotenberg.

Há um gênero de hoaxes com características bastante marcantes. Quem viu um, viu todos. Sempre são citadas empresas importantes para dar credibilidade à mentira, muitos dos vírus foram descobertos “ontem” e não possuem vacina. Suas ações são as piores imagináveis e sempre, mas sempre mesmo, há o pedido para se enviar o boato ao maior número possível de pessoas, pois só assim ele sobrevive.

Não custa lembrar que a Microsoft não produz alertas de vírus e que as empresas antivírus desenvolvem vacinas em algumas horas quando surge uma praga virtual realmente perigosa. Neste caso, os sites especializados também se encarregam de divulgar a informação. No caso dos hoaxes, os alertas só existem nos e-mails repassados por pessoas ingênuas.

Abaixo você poderá ver as mensagens sobre o Anticristo, no original em espanhol que a McAfee recebeu, e sobre o Cartão Virtual:

Anticristo:

ALERTA. EL PEOR VIRUS DE LA HISTORIA.

Acaba de ser descubierto un nuevo virus que ha sido clasificado por Microsoft y por Macafee
como el mas destructor de todos los tiempos. Este virus fue descubierto ayer y se esta conociendo con el nombre de ANTICRISTO, no ha sido encontrado un antivirus, simplemente destruye la trilla cero del disco duro, donde están guardadas Informaciones vitales para su funcionamiento.
Funciona de la siguiente manera:

1) Se autoenvía a todos los nombres de su agenda con el titulo
"SORPRESA¡!!!!!!!!!!!!!!!!!!!!!!!!!!"

2) En el momento que se instala destruye la trilla cero y así destruye para siempre el disco duro.

Por favor enviar este E-Mail al mayor número de personas posibles, en caso de recibir un e-mail con asunto "SORPRESA¡!!!!!!!!!!!!!!!!!!!!!!!!!!", hagase aconsejar por un experto ya que tiene la capacidad de autoinstalarse.

Cartão Virtual:

NÃO MANDE CARTÕES VIRTUAIS PARA OS OUTROS

Muito cuidado quando receber um cartão virtual - não abra veja porque:

Acaba de ser descoberto mais um um novo vírus que foi classificado pela Microsoft e pela McAfee como o mais destruidor de todos os tempos !!!! Este vírus foi descoberto ontem à tarde pela McAfee e ainda não foi desenvolvida uma vacina!!!! Ele simplesmente destrói a trilha zero do disco rígido, onde ficam guardadas informações vitais de seu funcionamento. Ele age da seguinte maneira:

(1º) se auto-envia para todos da sua lista com o título: Um cartão virtual pra vc.
(2º) trava o micro para que o usuário dê o boot
(3º) no momento em que são pressionadas as teclas CTRL+ALT+DEL, ou o botão reset é pressionado, ele destrói a trilha zero e, assim, destrói, para sempre, o seu disco rígido.

Por favor, enviem esta mensagem ao maior número possível de pessoas!!!! Em algumas horas de ontem este vírus já causou pânico de acordo com a CNN. E atenção: caso você receba algum e-mail com o assunto 'UM CARTÃO VIRTUAL PRA VC.' exclua imediatamente.

22/6/2001 - 17:29 Giordani Rodrigues

A CIA (Central Intelligence Agency) não consegue prevenir ataques aos sistemas do governo dos Estados Unidos antes que eles aconteçam, tal como se espera que faça com acontecimentos políticos e militares. A conclusão é de Lawrence K. Gershwin, principal conselheiro em assuntos de ciência e tecnologia da agência de segurança norte-americana.

Gershwin testemunhou, ontem, perante o Comitê Conjunto de Economia do Congresso dos Estados Unidos, que reúne membros do Senado e da Câmara dos Representantes, e suas palavras foram citadas pela Associated Press. Segundo o oficial, os agressores desenvolvem novas técnicas e ferramentas mais rápido do que a CIA pode prever, a despeito do aumento dos esforços da agência em relação à segurança de computadores.

Gershwin disse que a principal ameaça para os computadores do país nos próximos cinco a 10 anos virá de governos estrangeiros e não de terroristas e hackers individualmente. Na sua opinião, os hackers que agem isoladamente não possuem as habilidades necessárias ou um motivo para um ataque grave contra a infra-estrutura nacional, como o sistema telefônico ou as redes financeiras.

De acordo com outra reportagem da Reuters, Gershwin alertou os congressistas para a possibilidade de que a China e a Rússia estejam preparando um ataque cibernético contra os EUA, visando a economia do país. Gershwin não deu maiores detalhes sobre os planos, alegando que as informações são secretas, mas disse que a CIA está monitorando esses países.

O Comitê também discutiu as vulnerabilidades derivadas da separação entre o setor público e o privado. Apesar de o governo utilizar redes comerciais e vice-versa, muito pouca informação é compartilhada, e os cibercriminosos podem explorar essa brecha.

Comentando sobre o assunto, o senador republicano Robert Bennet deu um exemplo: “Quando um comandante no Pentágono tenta fazer uma ligação para um comandante em campo, ele está usando os serviços da Verizon”. De acordo com Gershwin, essa confiança no setor privado significa que uma força estrangeira poderia instalar um backdoor (porta secreta de acesso a sistemas) na rede do governo.

22/6/2001 - 16:12 Giordani Rodrigues

Os usuários de Mac costumam ser tão enfáticos em relação às vantagens de suas máquinas sobre os PCs, que até foi criada a expressão “macmaníaco”. Independente de opiniões, há pelo menos uma vantagem real para os macmaníacos: a quantidade de vírus de computador. As pragas virtuais que afetam os PCs chegam a dezenas de milhares, enquanto o total de vírus criados especificamente para o sistema operacional do Mac somam pouco mais de 100.

O site SecurityPortal, uma fonte de informação de qualidade sobre segurança de computadores, publicou uma lista atualizada destes vírus, com as respectivas descrições de suas ações. A lista inclui o recente vírus MacSimpson, descoberto na primeira semana de junho. O vírus se espalha por e-mail disfarçado como novos episódios do desenho animado Os Simpsons.

A lista não inclui os vírus de macro, que têm capacidade de infectar documentos tanto em sistemas Mac como em PCs. Na mesma página é possível acessar outras seções específicas para a segurança do Macintosh. O endereço da página, em inglês, é http://securityportal.com/virus/mac.

21/6/2001 - 19:35 Giordani Rodrigues

Nos últimos três dias, nada menos que quatro sites da poderosa Microsoft foram desfigurados por grupos hackers. Três deles, hoje, pelo grupo brasileiro Prime Suspectz e o quarto no dia 19, pelo grupo BlackSun. Isto perfaz um total de 15 ataques registrados até agora a sites da corporação.

Entre os sites invadidos pelo Prime Suspectz está o servidor de apoio do serviço de conteúdo da Microsoft para equipamentos móveis (celulares e pagers). O pior é que o mesmo endereço foi novamente desfigurado por um grupo chamado DarkCode, o que podia ser constatado “ao vivo” durante a tarde.

Pelo jeito, a nova vulnerabilidade dos servidores IIS, anunciada essa semana, mas que já conta com programas que exploram a falha, vai “dar uma força” aos invasores. A própria Microsoft alertou seus clientes a fazerem a correção com urgência.

O Prime Suspectz escreveu chacotas sobre a segurança dos produtos da companhia. Numa tradução aproximada de uma das mensagens pode-se ler: “Prime Suspectz de novo! Um, dois, três, em apenas 30 minutos. Como vocês podem ver, este servidor IIS é muito bom!! Micro$oft, onde eu encontro produtos seguros feitos por você? ONDE?”

O BlackSun (sol negro) invadiu um site da Microsoft da África do Sul. Os invasores puseram uma página negra no lugar da original com a figura do sol em “negativo”. Os hackers também brincaram com a empresa escrevendo que a versão do Internet Explorer do visitante do site não suporta os domínios da Microsoft.

Entre todos os endereços da companhia desfigurados até hoje constam os sites globais do Brasil, Eslovênia, Nova Zelândia, México, Reino Unido, Arábia Saudita, África do Sul e Romênia, bem como seis servidores do centro de operações nos Estados Unidos.

O site Alldas.de e InfoGuerra produziram os espelhos das invasões, que podem ser vistos nos links abaixo:

http://defaced.alldas.de/mirror/2001/06/21/redsand.rte.microsoft.com/

http://defaced.alldas.de/mirror/2001/06/21/arulk.rte.microsoft.com/

http://defaced.alldas.de/mirror/2001/06/21/feeds.mobile.msn.com/

http://www.infoguerra.com.br/defaced/feeds.mobile.msn.com/

http://defaced.alldas.de/mirror/2001/06/19/www.interface.microsoft.co.za/

Leia também:

Descoberta outra falha grave no Microsoft IIS

21/6/2001 - 19:11 Giordani Rodrigues

Mafiaboy, o jovem canadense de 16 anos que atacou sites como Yahoo, eBay e CNN no ano passado, deveria ficar pelo menos cinco meses na prisão, disse seu próprio assistente social em uma audiência de um tribunal de Montreal que está julgando o caso. O motivo: ele não demonstra arrependimento pelos crimes que cometeu.

“Ele não só não está assumindo total responsabilidade pelo que fez, como ainda está tentando justificar que o que fez foi correto”, afirmou Hanny Chung ao juiz Gilles Ouellet, de acordo com a edição desta terça-feira do jornal Toronto Star.

Chung foi designado pela corte para acompanhar Mafiaboy. Depois de uma série de entrevistas com o garoto e sua família, ele está convencido de que Mafiaboy não estava apenas testando a segurança dos sistemas, como afirmou. Mais: ele acha que há um risco moderado de que o jovem volte a invadir sistemas.

O advogado de defesa, Yan Romanowski, rebateu as acusações de Chung argumentando sobre o que seria necessário para que seu cliente provasse ao assistente social a responsabilidade pelos erros cometidos. “O que ele deveria fazer, chorar?”, perguntou. “Ele admitiu sua culpa, o que demonstra o reconhecimento de que o que ele fez estava errado”.

Mafiaboy, cujo nome verdadeiro não pode ser revelado devido à sua idade, admitiu-se culpado em janeiro por 58 acusações de ataques e violação de segurança em sites do Canadá, Estados Unidos, Dinamarca e Coréia. Na época dos ataques, ele tinha 14 anos. Se for condenado, pode pegar até 2 anos de prisão (a sentença para um adulto poderia chegar a 10 anos). A próxima audiência está marcada para 28 de agosto.

Analyzer é condenado

Enquanto isso, em Israel, outro conhecido hacker, Ehud Tenenbaum, o Analyzer, foi condenado na semana passada a seis meses de serviços comunitários por uma série de invasões aos computadores do Departamento de Defesa dos Estados Unidos.

Tenembaum, que tem 22 anos, também foi condenado a pagar uma multa de US$ 18 mil. Além disso, recebeu um ano de liberdade condicional e mais dois anos de prisão, sujeita a aumento, caso cometa algum crime ligado a computadores nos próximos três anos.

Se o que tem acontecido com os heróis do submundo hacker — incluindo a prisão de Kevin Mitnick — servir de exemplo, é provável que alguns garotos pensem duas vezes antes de invadir um computador. Pelo menos lá fora.

21/6/2001 - 9:57 Giordani Rodrigues

A tenista Anna Kournikova, inspiração para o criador do vírus

Vários jornais da Holanda trouxeram na capa de suas edições de ontem a notícia de que OnTheFly, como ficou conhecido o jovem de 20 anos que criou e distribuiu o vírus Anna Kournikova, será processado pelas autoridades de seu país.

Ele é acusado de distribuir dados através de uma rede de computadores com o intuito de causar prejuízo a outras pessoas. A punição para este crime pode chegar a quatro anos de prisão e multa de 100 mil florins, o equivalente a mais de R$ 95 mil.

No entanto, o promotor público da cidade de Leeuwarden, que o está processando, resolveu não levar o caso a uma corte superior. Por causa disso, se for condenado sua pena será de no máximo seis meses de prisão, 480 horas de serviços comunitários e uma multa. A primeira audiência está marcada para o dia 12 de setembro.

As autoridades holandesas não revelam o nome de pessoas indiciadas, mas já se sabe que o verdadeiro nome de OnTheFly é Jan de Wit. Em fevereiro deste ano, ele usou uma ferramenta para geração de vírus — o VBS Worm Generator — e criou o Anna Kournikova. Disfarçado como uma foto da bela tenista russa (de quem de Wit se diz fã) o vírus espalhou-se por e-mail e infectou milhares de computadores ao redor do mundo, segundo as empresas antivírus.

Arrependido ao constatar o estrago que causou, ele publicou um pedido de desculpas em uma página na Internet. Depois disso, foi preso, prestou depoimento à polícia da cidade de Sneek, onde mora, e em seguida foi liberado. O prefeito de Sneek chegou a oferecer-lhe emprego após o episódio, entusiasmado pela publicidade que o fato gerou à sua cidade.

É a primeira vez que alguém é processado na Holanda por criar um vírus de computador. Uma porta-voz do promotor disse que a condenação será facilitada pelo fato de OnTheFly ter admitido sua culpa. No entanto, algumas pessoas acham que será difícil provar que ele tinha real intenção de causar prejuízo. Seu arrependimento mostra justamente o contrário.

A empresa antivírus britânica Sophos, que saudou a prisão de de Wit e criticou o prefeito por oferecer-lhe emprego, também se manifestou agora, ao saber que ele será processado. “Criar vírus não é uma brincadeira”, disse Graham Cluley, consultor de tecnologia da empresa.

“Os vírus de computador têm o potencial de causar enormes prejuízos e não discriminam quem atingem. Os criadores de vírus deveriam tomar isto como um aviso — as autoridades estão levando suas atividades à sério e estão preparadas para ações decisivas. Se você não quer acabar no tribunal, não crie nem distribua vírus”.

Andre Post, pesquisador da Symantec, não é tão otimista. Ele disse que conhece apenas três casos de pessoas que foram condenadas pelo mesmo motivo — dois nos Estados Unidos e um no Reino Unido — e não acredita que uma condenação na Holanda vá assustar os criadores de vírus. Em sua opinião, a maior prova disso é a quantidade de pragas virtuais, que continua aumentando.

Assuntos relacionados:

Vírus ataca disfarçado como foto da tenista Anna Kournikova

Prefeito oferece emprego ao criador do vírus Kournikova

Vírus Kournikova fez quase 40% dos ataques em fevereiro

Entrevista com [K], criador do kit que gerou o vírus Kournikova

20/6/2001 - 22:18 Giordani Rodrigues

Quando o CERT (Computer Emergency Response Team) resolve publicar um alerta sobre uma vulnerabilidade, entre as dezenas que são descobertas toda semana, você sabe que o problema é sério. Este é o caso de uma falha nos servidores Microsoft IIS, que pode dar a um hacker acesso total a um sistema (e não apenas para que ele faça uma desfiguração).

O bug foi descoberto pela eEye Digital, a mesma empresa que revelou a recente falha no Windows 2000, responsável por um aumento considerável no número de invasões de sites que utilizam esse sistema. Desta vez, o problema encontra-se na função Index Server, instalada na maioria das versões do IIS/4.0 e 5.0. Os sistemas afetados são Windows NT 4.0, Windows 2000 (no qual a função é chamada de Indexing Service) e as versões de teste do Windows XP.

Especificamente, a falha foi descoberta no arquivo idq.dll, um componente do Index Server que fornece suporte para arquivos com extensões .ida (Internet Data Administration) e .idq (Internet Data Query). Tais arquivos servem para busca e administração de dados na Internet. Mesmo que as funções Index Server/Indexing Service não estejam rodando, os sistemas afetados podem estar vulneráveis. Basta que os scripts para arquivos .ida e .idq estejam presentes e o invasor seja capaz de estabelecer uma conexão pela Web com os sistemas.

O boletim de segurança publicado pela Microsoft atesta que “de modo claro, esta é uma vulnerabilidade séria, e a Microsoft encoraja todos os clientes a tomarem medidas imediatamente”. A correção para a falha, bem como explicações técnicas sobre o problema, podem ser encontradas em http://www.microsoft.com/technet/security/bulletin/MS01-033.asp.

O CERT também é bastante claro: “Visto que detalhes técnicos específicos para criar um exploit (programa que explora falhas) para esta vulnerabilidade estão disponíveis publicamente, os administradores de sistemas devem aplicar as correções ou os paliativos tão logo seja possível”. O alerta com as explicações do CERT, publicado ontem (19/06), está no endereço http://www.cert.org/advisories/CA-2001-13.html.

20/6/2001 - 18:03 Priscila Perdoncini

Especial para InfoGuerra, da Itália

Hackers, programadores profissionais, gestores de sites na Internet, redatores de portais, adeptos da segurança na rede. São os participantes do quarto encontro de hackers italianos, que ocorre de 22 a 24 de junho em Catania, na Sicília.

O encontro é realizado há quatro anos (os anteriores ocorreram em Florença, Milão e Roma) com o apoio de todos os hacklabs italianos. Espera-se que cerca de 300 pessoas compareçam, todas interligadas por uma rede local de computadores, o que permite uma comunicação mais direta entre os participantes.

Os temas do encontro serão a liberdade de informação e o direito de produzi-la, o conflito entre hacking e política, técnicas de infowar, programação, entre outros. Outro assunto em discussão será o trabalho na net-economia: deseja-se combater a atual situação de exploração intelectual, subemprego, sub-salário e ausência de tutela para os trabalhadores da rede.

O objetivo do hackmeeting é integrar pessoas capazes de produzir informação de forma autônoma, de difundi-la velozmente, contribuindo para a formação de uma sociedade mais justa e transparente. Para isso, o evento defende também a popularização dos softwares abertos. Para os participantes do encontro, os limites à liberdade e ao pluralismo da informação na rede devem-se aos mediadores comerciais e às grandes multinacionais, estes sim, os verdadeiros "piratas" da Internet. O site do encontro é www.hackmeeting.org.

Entre 10 e 12 de agosto também acontece o "Hackers at Large" (HAL), na Universidade de Twente, na Holanda. Milhares de pessoas são esperadas. O encontro é promovido a cada quatro anos, desde 1989. Este ano, o nome do evento é uma homenagem ao supercomputador HAL 9000, do filme “2001: Uma odisséia no espaço”, que possuía a capacidade de “pensar” e tomar decisões.

Entre os tópicos do HAL estão a biométrica, que inclui a monitorização de pessoas por meio de câmaras, satélites e outros instrumentos; as diferenças entre hackers tradicionais e os novos grupos, que apenas usam programas prontos, sem desenvolvê-los; segurança e privacidade na Sociedade da Informação; direitos na era digital e assuntos agregados sob o tema “Ciência Estranha”, como insetos com capacidade de dirigir um veículo utilizando novas tecnologias.

Na apresentação do encontro pode-se ler: “Se você verdadeiramente celebra a Internet e abraça as novas tecnologias, sem esquecer sua responsabilidade de dizer aos outros que as novas tecnologias chegam com novos riscos aos indivíduos e à sociedade como um todo, então este é o lugar para estar neste verão”. Maiores informações no site www.hal2001.org.

19/6/2001 - 21:30 Giordani Rodrigues

Neste final de semana, o grupo MIH (Men in Hack) desfigurou de uma só vez os sites da Impsat do Brasil, Estados Unidos, Argentina, Colômbia e Venezuela. Os sites representam mais da metade das nove filiais da rede, que mantém representações também no Chile, México, Equador e Peru.

As páginas iniciais passaram a apresentar o nome da empresa em código ASCII (American Standard Code for Information Interchange) sob a palavra “hacked”. O grupo também deixou uma mensagem: “IMPSAT, a revolução da Banda Larga um dos nomes mais comentados do momento MAIS VELOCIDADE, MAIS INFORMAÇÃO, MAIS ECONOMIA mas e a segurança? ahh.. desculpe, segurança pra que né? Vamos ganhar dinheiro!” (sic).

O diretor de operações do Internet Datacenter da Impsat no Brasil, Sérgio Schneiderman, admitiu a invasão, mas minimizou suas conseqüências. Segundo Schneiderman, apenas uma máquina foi atacada, localizada na Argentina e responsável pela hospedagem dos cinco sites. Ele também afirmou que não houve acesso a dados importantes do sistema.

“Houve apenas uma desfiguração das páginas. Este tipo de atitude serve mais como troféu para os invasores e não significa necessariamente que a rede toda esteja vulnerável”. Schneiderman não soube precisar qual falha foi explorada pelos hackers, pois a manutenção do sistema está a cargo da holding argentina. “Às vezes, um servidor é reconfigurado e há alguma falha na aplicação das correções de segurança, abrindo brechas para os ataques”.

Os endereços invadidos rodam Windows 98/NT4 e servidores Microsoft IIS/4.0, mas de acordo com o diretor o sistema operacional está sendo mudado para o Solaris, da Sun Microsystems. Quanto às providências legais a serem tomadas no caso, ele disse que isto iria depender de resoluções da corporação.

“Não é complicado chegar até os invasores, mas também não é tão simples. Vai depender das análises sobre custo/benefício que as providências possam acarretar. Além disso, foi um ataque localizado e não uma invasão a várias máquinas da rede”. Mesmo assim, Schneiderman admitiu que, para a imagem de uma empresa que lida com alta tecnologia como a Impsat, o episódio traz conseqüências negativas.

A Impsat surgiu na Argentina em 1990, fruto do investimento do grupo Pescarmona, STET Telecom e banco Crédit Suisse. De lá para cá, expandiu-se para outros países da América Latina e América do Norte e ganhou outros investidores. No Brasil, iniciou as operações em 1998.

Oferecendo serviços de satélite e backbone de banda larga por fibra ótica, a Impsat teve um rendimento líquido de quase US$ 90 milhões nos três primeiros meses deste ano. No Brasil, este valor chegou a cerca de US$ 15 milhões e representou um aumento de mais de 190% em relação ao mesmo período do ano passado.

19/6/2001 - 18:41 Giordani Rodrigues

A McAfee está alertando o mercado sobre o aparecimento do novo trojan Backdoor-QN, uma praga virtual que abre uma porta de conexão (backdoor) no computador da vítima, permitindo que este sirva para atacar outras máquinas. Tal método é bastante utilizado por hackers para ataques de negação de serviço (DoS), que derrubam os servidores de um sistema e usam computadores alheios como “zumbis”.

Quando executado, o Backdoor-QN copia a si mesmo para o diretório WINDOWS\SYSTEM com um nome aleatório de 8 caracteres e extensão .EXE. A porta aberta é a 4294967295 dos protocolos TCP/IP, responsáveis pelo controle de transferência de dados na Internet. A ação conecta o sistema infectado a um servidor IRC.

O trojan também cria a seguinte chave de registro, para que seja carregado na inicialização da máquina:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\servonce=%SysDir%\[nome-do-trojan.exe]

Adicionalmente, a chave de registro abaixo é criada, e serve para armazenar diversos parâmetros para o trojan:

HKCU\Software\Microsoft\sds

"Intencionalmente ou acidentalmente, o trojan instala um programa de acesso remoto em seu sistema. Uma vez instalado, esse programa permite que o ‘agressor’ utilize seu sistema para um ataque remoto DoS a outros sistemas. Por enquanto, esse trojan está sendo identificado como ‘New Backdoor’, por meio de varredura heurística", explica Patrícia Ammirabile, representante do AVERT (Anti Virus Emergency Response Team).

Até o momento o vírus está sendo considerado de baixo risco e a recomendação da McAfee é que os usuários efetuem a atualização semanal dos produtos antivírus.

19/6/2001 - 14:26 Giordani Rodrigues

Os japoneses da Semp Toshiba podem ser mais criativos do que os outros, mas competir com a criatividade dos disseminadores de boatos na Internet é tarefa para super-herói japonês. Está circulando um e-mail acusando a Semp Toshiba de fabricar televisores que implodem e, pior, tentar fazer acordos escusos para impedir uma suposta vítima de divulgar a informação.

A mensagem está assinada por alguém de nome Jairo (o sobrenome também está presente) e conta uma história fantasiosa de um acidente ocorrido no Rio de Janeiro envolvendo seu filho de sete anos e sua mulher, que se feriram depois que um aparelho de TV da empresa implodiu sem motivo aparente. Depois disso, ele teria processado a empresa e recebido o direito a uma indenização de R$ 72 mil.

E aí entra a difamação. Um funcionário da Semp Toshiba teria oferecido a metade do valor para que ele desistisse da causa e mantivesse o episódio em sigilo. Revoltado, Jairo resolveu espalhar a história pela Internet. A mensagem traz detalhes como nome do funcionário, datas, número do processo, nome e registro na OAB do advogado da “vitíma”, empresa em que trabalha e números de telefone para contato.

Acontece que todas as informações são falsas e a vítima, na verdade, é a própria Semp Toshiba, que está sendo caluniada. Quem se der ao trabalho de ligar para os números de telefone, irá constatar que um deles não completa a ligação e o outro, que deveria ser um telefone comum, dá sinal de fax. O nome da empresa que consta no e-mail também não está registrado na lista telefônica da Telemar do Rio.

Há outras informações díspares. Segundo o e-mail, o processo está sob responsabilidade do Juizado de Pequenas Causas Cíveis do Rio de Janeiro. No entanto, o valor informado da causa (R$ 72 mil) ultrapassa a competência de tribunais deste gênero, que julgam processos com valores de até 20 salários mínimos.

Um trecho da mensagem diz que os cinescópios (chamados popularmente de tubos de imagem) que a Semp Toshiba utiliza são antigos, “feitos com vácuo” e por isso estariam sujeitos a implosões. InfoGuerra entrou em contato com a assessoria de imprensa da Semp Toshiba, que informou que a empresa nem sequer produz cinescópios, os quais são distribuídos no Brasil pela Philips. Além disso, todos eles têm no máximo três meses de fabricação.

Segundo a assessoria, os outros dados, como nome e registro do advogado, número do processo e nome do funcionário da Semp Toshiba também foram inventados.

O episódio trouxe constrangimentos à empresa, que foi obrigada a publicar uma nota de esclarecimento. Quem acessar seu site (www.semptoshiba.com.br), verá surgir uma janela garantindo que tudo que foi relatado não passa de uma farsa. O comunicado informa que até mesmo os concorrentes têm prestado solidariedade e “solicita a ajuda de todos no sentido de divulgar a verdade dos fatos”.

A nota afirma também que a empresa “está tentando identificar os responsáveis pelo e-mail para que possa adotar as medidas judiciais cabíveis”. A assessoria da Semp Toshiba informou que a Divisão de Crimes pela Internet da Polícia Civil de São Paulo está cuidando do caso, mas não pôde dar maiores detalhes para não atrapalhar as investigações.

Veja abaixo uma cópia do boato. Os erros de grafia e gramática foram preservados, mas o nome da empresa, os números de telefone e o sobrenome do suposto autor foram suprimidos, para evitar possíveis contratempos a outras pessoas.

ALERTA CUIDADO COM TELEVISORES E CRIANÇAS.

Cuidado com televisores e crianças pequenas.

Meu nome é Jairo e moro no Rio de Janeiro. Gostaria de relatar a triste experiência que eu e minha esposa tivemos no ano passado e que nos causou problemas enormes. Adquiri em setembro de 2000 uma TV de tela grande (29 pol) e a instalei na sala de meu apartamento em Copacabana. Por infelicidade ou talvez por falta de informação minha instalei a mesma numa estante a aproximadamente 1 metro do chão.

Temos duas crianças em casa e devido a "novidade" do televisor novo, elas constantemente ficavam perto da tela encostando a mão na mesma, fazendo brincadeiras, etc...

No dia 17 de outubro de 2000 aconteceu um grande acidente que testemunhei horrizado: Nosso filho de 7 anos encostou as duas mãos na tela com a mão espalmada. Nesse momento o tubo da TV "implodiu" fazendo um grande estrondo ouvido até pelos vizinhos. Infelizmente meu filho literalmente "caiu" dentro do tubo da TV sofrendo injúrias múltiplas (cortes). Se fossem apenas os cortes até que estaria bom. Acontece que em volta do tubo há uma grande bobina com enrolamentos cuja voltagem supera os mil volts e o garoto teve o infortúnio de encostar umas das mãos nesta bobina. Como ele estava com os pés descalços uma corrente elétrica atravessou seu corpo fazendo que ele grudasse na referida bobina. Minha esposa desesperada teve a primeira reação de puxar o garoto e também ficou presa no tubo junto com a criança tomando choque, pois encostou ambas as mãos no menino.

No meio da gravidade da situação tive o reflexo de lembrar de tirar o fio da tomada (aliás não tirei-o, puxei com tanta força que o mesmo arrebentou por sorte na minha mão). O quadro que se seguiu foi aterrador:minha esposa e meu filho estavam desmaiados em minha frente.

Corri desesperado pelos corredores do prédio gritando por ajuda e muitas pessoas apareceram. Parecia que naquele instante minha vida estava em câmera lenta, lembro que vi muitas pessoas entrando e saindo de minha casa , ouvi sons, pessoas perguntando coisas mas foi se tudo estivesse devagar. Foram os 2 minutos mais demorados de minha vida.

Lembro no meio dos estilhaços de vidro, sangue e cheiro de carne queimada que disseram que meu filho estava com parada cardíaca e fizeram massagens cardíacas no mesmo para reanimá-lo. Por fim nosso plano de saúde dá direito a uma ambulância que levou ambos ao hospital. Minha esposa teve alta em 2 dias apenas com queimaduras, meu filho saiu do hospital com queimaduras, cortes e até hoje apresenta fortes dores de cabeça diárias (devido a corrente que atravessou seu cérebro, segundo o neurologista que nos atende).

Em dezembro de 2000 entrei com ação reparatória contra a Semp-Toshiba por perdas e danos. E ante-ontem finalmente veio o resultado: ganhei em primeira instância a quantia de 72 mil reais da Semp-Toshiba, apesar de que ainda ela pode recorrer, mas já fui contatado pelo depto. jurídico da mesma que me ofereceu 36 mil reais para fechar o processo e manter sigilo do mesmo.
O processo encontra-se sob número 231/20 A de 28/dez/2000 no Juizado Especial Cível - JEC - Juizado de Pequenas Causas Cíveis, Comarca do Rio de Janeiro-RJ. Jairo XXXXXX (eu) contra Semp-Toshiba do Brasil Ltda. Advogado Dr. José Luís Boschino - OAB 213020-2.

Gostaria muito que minha experiência fosse relatada, não só pelo falta de profissionalismo da empresa que ofereceu um acordo no qual eu deveria manter sigilo sobre o ocorrido mas também pelo fato que a vida de meu filho correu risco.

Pesquisei sobre o assunto e descobri que nem todos televisores apresentam este problema de implosão. Isto apenas acontece com tubos de fabricação antiga (que algum dos televisores da Toshiba usam) onde no processo de fabricação é necessário tirar todo o ar do tubo, formando um vácuo perfeito. Caso o tubo apresente uma quebra a implosão é violenta, são 30 vezes a pressão atmosférica de fora para dentro do tubo.

Acontece que antigamente estes tubos não tinham proteções contra implosão e ainda hoje a Semp-Toshiba usa estes tubos. Um fonte de dentro da Semp-Toshiba me disse que de cada 10 mil tubos , um deles implode mas que eles preferem arcar com os custos de troca da TV, provável custo de um processo, acordos jurídicos, etc...do que refazer totalmente os tubos , que sairia bem mais caro. Chegaram a me perguntar (Sr.Rubens do centro de atendimento Toshiba) sutilmente de "quanto dinheiro custaria para resolver todos os problemas de saúde de minha família devido ao acidente e para cobrir danos morais e para manter sigilo sobre o caso".

Pode parecer pouco, 10 mil tubos, apenas um deles implode, mas não é pouco se isso acontecer justamente com você ou sua família, é tudo que você não imagina que um dia vai acontecer em sua vida.
Quanto ao acordo que a Semp-Toshiba me ofereceu não aceitei e agora quanto a resposta ao sr. Rubens de quanto custaria e o que eu quero, a resposta é a seguinte:
- O que eu quero é que a história venha a público.

Atenciosamente
Jairo XXXXXX
(Nome da empresa)
Rio de Janeiro - RJ
fone : XXXXX
fax: XXXXX

19/6/2001 - 9:29 Giordani Rodrigues

A NTT DoCoMo, maior operadora de telefones móveis do Japão, alertou seus 24 milhões de usuários para uma nova modalidade de e-mail que está sendo enviado para aparelhos celulares i-mode (habilitados para conexão com a Internet). A companhia disse que hackers criaram uma mensagem com comandos que fazem o telefone ligar para o número de emergência da polícia (110 no caso do Japão), para outros usuários ou até bloqueiam o aparelho.

As mensagens têm uma aparência comum. A única diferença é um código HTML embutido, que dispara ligações sem a interferência do usuário. O código também pode fazer o aparelho enviar e-mails. A DoCoMo recomendou que seus clientes não abram mensagens desconhecidas — um alerta que já se tornou praxe para usuários de PCs.

A empresa orientou os clientes a apertar a tecla “Stop”, caso seu telefone estivesse fazendo uma ligação automaticamente. O envio de e-mails automáticos é impedido apertando-se a tecla “Clear” e, no caso de “congelamento” do aparelho, deve-se tirar e recolocar a bateria.

As informações são de que os aparelhos i-mode fabricados pela NEC, Fujitsu, Mitsubishi Electric, Sony e Matsushita são vulneráveis ao problema. A DoCoMo afirmou que os aparelhos que chegarem ao mercado no próximo mês não serão afetados pelo código embutido nas mensagens.

A companhia assegurou que ainda não recebeu nenhuma queixa de seus clientes, mas está considerando a possibilidade de tomar atitudes legais contra os autores das mensagens, devido aos danos à sua imagem e à popularidade de seus serviços.

No ano passado, os japoneses foram vítimas de um trote parecido. Uma enquete enviada por e-mail aos celulares fazia o aparelho ligar para o número de emergência, caso a resposta fosse “sim”. A quantidade de mensagens não solicitadas aos usuários de i-mode tem aumentado tanto que, para compensar os custos, a DoCoMo anunciou a redução de suas tarifas a partir de 1º de agosto.

18/6/2001 - 20:24 Giordani Rodrigues

Pelo jeito, o administrador do site do Instituto Nacional de Colonização e Reforma Agrária (Incra) vai precisar trocar sua senha com urgência. A página que aparentemente leva ao diretório de manipulação de senhas do servidor IIS do site (http://www.incra.gov.br/iisadmpwd) está apresentando uma estranha mensagem neste momento, deixada pelo grupo USDL.

Na parte superior da página, pode-se ler o texto “Defaced by USDL Agora peguei o direto...hehe”. Logo abaixo, aparecem imagens que realmente pertencem ao site. Em seguida, vem a transcrição de uma notícia sobre a decretação da prisão do ex-sócio do senador Jáder Barbalho, José Osmar Borges, acusado de participar do esquema de corrupção da Sudam. E no final da página, um texto com grandes letras com críticas e palavrões.

O site está assim pelo menos desde ontem e ainda não foi restabelecido. Informações especializadas dão conta de que o sistema do Incra roda um servidor Microsoft IIS/4.0. Tal servidor possui um diretório virtual com o nome iisadmpwd em sua configuração padrão, o qual deve ser removido em caso de uso na Web.

Aparentemente, o site foi mal configurado, deixando uma brecha para que os hackers entrassem e fizessem a pichação mencionada. Há cerca de dois meses, o site da rede de estações de referência GPS (Global Positioning System) do Incra (wwwgps.incra.gov.br) também foi invadido pelo grupo Supreme Entity. Uma imagem do ataque atual foi gravada e pode ser vista aqui.

18/6/2001 - 10:21 Giordani Rodrigues

Quatro meses depois de um almirante americano ter levantado a hipótese de Cuba estar preparando um ataque cibernético contra redes de computadores dos Estados Unidos, Fidel Castro comentou o assunto publicamente. O líder cubano disse que “isto é loucura” e que os EUA são “um império que só conhece a mentira”.

As declarações, dadas durante o discurso de inauguração de um novo sistema de energia solar de uma escola na província de Pinar del Rio, foram transmitidas pela televisão estatal cubana. Segundo Fidel Castro, Cuba tenta fazer um uso ético da Internet e ataques como os sugeridos seriam “contra os princípios” de seu país.

As alegações dos EUA surgiram no princípio de fevereiro deste ano, e foram proferidas pelo almirante Tom Wilson, diretor da Agência de Defesa e Inteligência, durante uma audiência pública que contou com a presença de senadores americanos.

Wilson disse ao senador democrata Ron Wyden que Cuba poderia usar “táticas assimétricas” para desenvolver uma “guerra de informação ou um ataque à rede de computadores” dos EUA. Em seu discurso, Castro afirmou que os oficiais americanos estavam “pregando uma peça” em Wyden e sugeriu que ele fosse visitar a ilha para investigar as acusações por conta própria.

A discussão gerou uma mesa redonda em que participaram jornalistas e cientistas cubanos e o próprio Fidel Castro. As conclusões da mesa redonda também foram transmitidas pela TV e serviram de base para ferozes artigos em jornais da ilha.

Um destes artigos, publicado pelo diário Granma e assinado por Alberto Nuñez Betancourt, classifica as acusações de Wilson como “um estratagema imperialista” cujo objetivo é “deter a vontade de Cuba de desenvolver as tecnologias de informática”.

Betancourt cita vários dos debatedores, entre os quais Alcibiades Pérez, especialista em defesa nacional, que chega à conclusão de que a principal ameaça cibernética existente no planeta é o próprio Estados Unidos. Como prova, ele lembra que o país reconheceu o emprego de métodos de ataque cibernético durante a guerra da Iugoslávia.

Sem mencionar nomes, a jornalista Bárbara Betancourt sugere projetos como o do sistema de monitorização mundial por satélites, chamado Echelon. A existência do projeto foi admitida recentemente e envolve EUA, Canadá, Inglaterra e Nova Zelândia.

O presidente da União dos Jornalistas de Cuba, Tubal Pérez, classificou como “cinismo inacreditável” as acusações americanas e disse que o secretário de Defesa Donald Rumsfeld “está querendo passar-se por vítima e sentir-se ameaçado por pequenos países”. “Esta é uma tática muito comum nos países ricos para justificar suas ações abusivas contra os pobres”, afirmou.

Leia também:

Fidel Castro é um hacker?

17/6/2001 - 4:28 Giordani Rodrigues

Primeiro foram os sites do Supremo Tribunal Federal e da Agência Nacional de Energia Elétrica (Aneel), pichados há um mês por hackers em protesto contra o apagão. Agora os atingidos foram a recém-criada Câmara de Gestão da Crise de Energia Elétrica (Energia Brasil) e a Light Rio, cujos sites foram invadidos nos últimos três dias.

O site do Energia Brasil foi lançado no início deste mês para trazer notícias sobre o racionamento, dicas de segurança e de como economizar energia, um simulador para evitar o corte no abastecimento, além de normas e diretrizes do racionamento.

Uma das dicas de “segurança” em caso de corte de energia diz o seguinte: “radinho de pilha: é bom ter um para, além de saber das notícias, se entreter durante um corte de energia”. Os invasores, identificados por [AcK-Br], desfiguraram a página inicial do site, tornando-a negra com frases de protesto escritas em letras brancas:

“Esse plano de economia deveria ser REVISTO! Quantas famílias, passam o ano todo economizando, dando um duro danado pra pagar suas contas e agora vão ter que economizar Mais Ainda?”. Além da crítica, uma ironia: “Enquanto naum chove, o pessoal do [AcK-Br] tá ajudando a encher os reservatórios.....cuspindo”

O site da Light Rio, empresa privatizada em 1996 e hoje controlada pela francesa Electricité de France e pela americana AES Corporation, foi invadido por um hacker identificado por p4n3l. Ele pôs uma charge na página, simulando o presidente sentado em sua cadeira. No desenho, o rosto do presidente foi substituído por uma tomada elétrica e uma frase aparece no alto: “Sorria, você está sendo lesado!”.

Em um mensagem dirigida a FHC pode-se ler trechos como: “O seu banho, senhor presidente será quente. Seu filme no canal HBO senhor presidente será visto. Sua casa senhor presidente será iluminada. E nós? Devemos ficar com racionamento? Vocês nunca fazem nada a não ser nos impor regras”.

No final, ele faz ameaças de que novos ataques podem surgir, agradece aos companheiros e avisa: “o último que sair, que apague a luz”. As invasões foram registradas por Alldas.de e podem ser vistas nos links abaixo:

Energia Brasil

Light Rio

Leia também:

Hackers invadem site do STF e protestam contra apagão

17/6/2001 - 1:28 Giordani Rodrigues

Era só uma questão de tempo até que uma vulnerabilidade do editor de texto Word, recentemente descoberta, fosse aproveitada pelos criadores de vírus. O novo cavalo de Tróia (trojan) DUNpws.ik, também chamado de Goga, é o primeiro vírus descoberto a explorar a falha em arquivos Rich Text Format (RTF), anunciada pela Microsoft em maio.

O Goga é instalado a partir de um documento RTF que contém um link para um documento modelo (um template, cuja extensão é .DOT), localizado em um site russo. Quando o arquivo RTF é aberto, o template é acessado e automaticamente ativa macros, fazendo com que o código do trojan seja descarregado e executado no computador da vítima.

Neste momento, dois arquivos são criados: o executável C:\S.EXE e o arquivo de lote C:\S.BAT, que completa a ação do vírus. O arquivo executável é o cavalo de Tróia propriamente. Sua ação consiste em roubar as informações de conexão à Internet do computador infectado (nome de usuário, senha, nome do provedor, etc.) e enviá-las para o site russo que contém o template.

Tais informações são publicadas em um livro de visitas aberto ao público e também ficam armazenadas no arquivo C:\S.BAT. Depois que as senhas são enviadas, todos os arquivos criados pelo trojan são apagados do computador.

A McAfee considera baixo o risco de infecção pelo Goga. Já a Kaspersky relata a ocorrência de vários casos relacionados ao trojan, e o classifica como “in the wild”, ou seja, em plena atividade. Uma das formas de se proteger do vírus é usar um programa firewall, que detecta quando algum arquivo não autorizado está tentando acessar a Internet. Um ótimo firewall, gratuito para uso pessoal, é o ZoneAlarm. Leia mais sobre ele clicando aqui.

A falha explorada pelo Goga encontra-se nas versões do Word 97 e posteriores. Para saber mais sobre o assunto e baixar a correção, clique aqui.

16/6/2001 - 10:07 Giordani Rodrigues

Para quem acompanha as ações dos piratas da Internet, os nomes Prime Suspectz e Overkill são bem conhecidos. O primeiro é o mais ativo grupo brasileiro quando se trata de desfigurar páginas na Web e o segundo é seu integrante. Melhor dizendo, era. Esta semana, o Prime Suspectz invadiu Overkill e se despediu do ex-membro.

Explica-se: Overkill, no caso, é uma marca de roupas esportivas e o que foi invadido foi o site italiano da empresa. Na invasão, os hackers escreveram uma nota comunicando a saída de seu integrante, que parou de desfigurar sites. Veja o espelho.

Overkill normalmente era quem dava entrevistas para o grupo. A primeira entrevista publicada por InfoGuerra com um grupo hacker foi respondida principalmente por ele. Dessa vez, ele também se dispôs a explicar as razões de sua “aposentadoria”, que você pode ler abaixo:

Pergunta: Por que você saiu do grupo?
Resposta: Eu saí porque nem quero mais fazer deface, sou um cara mais ético agora, não consigo mais fazer defaces (”deface” é uma abreviação de “defacement”, palavra inglesa que se refere à desfiguração de páginas na Internet).

P: Não consegue? O que aconteceu? A que conclusão ética você chegou para parar?
R: Eu procuro o conhecimento e para isso tenho que estudar, ler muito, é isso que quero, aprender o máximo. Parei de fazer defaces porque não conseguia mais, eu invadia o servidor mas falava: “putz, nem vou mudar a page, quero fuçar, aprender mais, isso não é pra mim”. Por isso parei. Gosto do grupo, eu ajudei a construir ele, fundei junto com o k4m1k4z3 e o x-s4nd3r, mas não me sinto mais bem fazendo defaces. Sem contar que fazendo defaces estou ajudando as empresas de segurança a ficarem ricas às minhas custas e não quero isso. Porque elas se aproveitam de nós, somos usados por elas e não quero isso. Acho que agora vou poder ser um pouco esquecido e não ser mais lembrado como kiddie e sim como newbie. Eu queria fama, eu consegui, mas com fama você ganha muitos inimigos. Acho que é só isso. (Kiddie refere-se a script kiddies, pessoas que invadem sistemas usando programas prontos. Newbie é um novato na Internet. Neste caso, Overkill provavelmente quis dizer um hacker que está aprofundando seus conhecimentos).

P: Há poucos dias, InfoGuerra publicou um artigo da consultora e professora de informática Mônica Bandeira, que diz que muitas das invasões têm servido apenas para chantagear as empresas atacadas e contratar os invasores como consultores. A referência que você fez a ética tem a ver com este tipo de atitude?
R: Não, não tem nada a ver.

P: Você nunca ganhou dinheiro dessa forma com os defacements?
R: Não, nunca fiz isso.

P: Você participou da invasão do site Overkill.it? De quem foi a idéia?
R: Não, até porque já não faço deface faz tempo. A idéia foi dos outros do grupo.

P: E o que você pretende fazer agora? Não pretende mais se envolver com nenhum tipo de atividade "hacking", desenvolver exploits (programas que exploram falhas de segurança), e coisas do gênero?
R: Claro que sim! Mas claro que não vou fazer exploits para jogar na net para todos usarem. Vou aprender, fuçar como sempre fiz mesmo fazendo defaces, programar e ajudar a trocar informações, mas é claro que com pessoas que tenham um pouco de ética. Acho que tem tempo pra tudo na vida da gente, eu comecei fazendo defaces (sei que não comecei bem até porque muita gente ganhou em cima de mim), mas agora acho que devo mudar. Então, vamos dizer, estou procurando uma coisa que eu goste de fazer e não tem nada que mais goste do que fuçar e aprender.

15/6/2001 - 18:08 Giordani Rodrigues

Os hackers do grupo MIH (Men in Hack) atacaram, na madrugada de hoje, o site brasileiro da Shell, uma das mais maiores distribuidoras de produtos petrolíferos do mundo. A página inicial do site foi pichada com o próprio símbolo da companhia. A conhecida concha (“shell”, em inglês) foi adulterada e passou a fazer parte de um diagrama irônico.

“Shell mais MIH, igual a Shell hackeada”, é a mensagem contida no diagrama. O grupo também escreveu que a “Fórmula Shell agora é Fórmula MIH”, em inglês. Além disso, os hackers puseram a música “I Dit It”, do grupo Dave Matthews Band, como fundo musical. A canção serviu de comentário à frase “Sorry guys but I dit it!” (Desculpem caras, mas eu fiz isso!), deixada na página.

Pela manhã, o site da Shell, que roda Windows 98 e NT4 e servidores Microsoft IIS/4.0, ainda estava desfigurado. Neste momento, o acesso ao público foi fechado, mas ainda é possível entrar no site. O MIH renomeou a página principal e deixou um link para ela. O link pode ser acessado pelo espelho do ataque, registrado por Alldas.de. Para vê-lo, clique aqui.

13/6/2001 - 18:07 Priscila Perdoncini

Especial para InfoGuerra, da Itália

O problema da segurança no “ciberespaço" atinge também as forças mais poderosas do mundo, mais especificamente, os países do G8. Dentro de pouco tempo, no mês de julho, em Gênova, ocorrerá um importante encontro de representantes desses países que, a grosso modo, irão "decidir o futuro do planeta". Mas devem estar atentos à sua própria fragilidade.

Chamou-me a atenção um lúcido artigo do jornalista italiano Umberto Rapetto, publicado no último sábado, 9 de junho, no jornal "Il Manifesto". Tratava fundamentalmente da "vulnerabilidade do sistema nervoso do Estado na era digital". Vimos que, no último encontro do G8 em Seattle, os manifestantes antiglobalização causaram dor de cabeca aos poderosos. Coisa que se resolve com paliativos, algumas centenas de policiais, prisões, e basta. Mas como frear uma manifestacao virtual?

A legítima preocupação de Rapetto vem do fato de que a Itália, que irá sediar o evento, não dispõe de infra-estrutura alguma para proteger a comunicação digital e um possível ataque de hackers.

Pensemos na hipóteses de um "cyber-attack" lançado em rede por um trio de jovens hackers brasileiros, que podem estar em casa, bebendo um guaraná, muito longe de Gênova, divertindo-se com sua maquininha virtual. Resultado: bloqueio da comunicação, obstrução do fluxo informativo, progressivo acúmulo de tentativas sem êxito, caos. E o problema maior: a impossibilidade de reação. Quem se deve contra-atacar? Como reverter rapidamente o assalto? Como impedir? Que ironia! Seria o Terceiro Mundo jogando videogame com o poder mundial...

Essa hipótese não e inverossímil. Qualquer balanço na arquitetura informativa do poder mundial pode ter conseqüências dramáticas nos campos econômico e social.

O fato é que os países poderosos, velhos de história e tradições, encontram-se como crianças ao encarar o terceiro milênio. E fazer com que eles cresçam em relação ao espaço virtual é uma empresa dificil. Implica, como diz Umberto Rapetto, em uma "mudança de mentalidade, uma maior capacidade de análise, uma revisão organizativa das forças a serem empregadas, um uso profícuo das potencialidades das estruturas de intelligence. Tudo isso deverá encontrar um grau para afrontar o futuro em uma velocidade próxima àquela realmente necessária".

Sim, pois o tempo na Internet não existe, e talvez por isso seja tão difícil atender pontualmente as suas exigências. Há uma lentidão inadmissível nos mecanismos de alarme, em parte devido à burocracia, que causa uma falta de sincronia entre o cronômetro digital da Internet e a ampulheta governamental. Mas isso não é uma justificativa; antes, é um alerta. Tenhamos em mente que a "infoguerra" está aí, e não faltam oportunidades para o seu desencadeamento.

13/6/2001 - 16:16 Giordani Rodrigues

O que você pensaria de uma comissão de países que pretende tornar a Internet mais segura, mas que tem seu site invadido duas vezes em uma semana? Se, na segunda invasão, um cracker desfigurasse o site e usasse o próprio sistema para disponibilizar ao público um banco de dados com informações sobre os integrantes da comissão? E se, além disso, o site voltasse ao ar, mas o banco de dados continuasse lá por horas, disponível para quem quisesse baixá-lo?

Foi justamente o que aconteceu com o Safer Internet Exchange, um site lançado no mês passado por uma comissão dos 15 países da União Européia. A função do site é disseminar regras que tornem a Internet mais segura para cidadãos e para o comércio europeus.

Na semana passada, foram divulgadas notícias de que o site havia sido invadido por crackers, os quais teriam acessado a lista de e-mails de seus integrantes. Tara Morris, diretor do projeto e consultor do braço britânico da Ecotec Research and Consulting Ltd., afirmou que as falhas de segurança haviam sido corrigidas.

Na tarde de ontem (horário de Brasília), o site foi novamente invadido, mas com agravantes: além de o ataque ter sido gravado por Alldas.de, especializado em registrar desfigurações de páginas, os invasores disponibilizaram um endereço do próprio domínio em que era possível baixar um arquivo de banco de dados. (Veja o espelho).

À noite, o site voltou ao normal, mas surpreendentemente o acesso ao banco de dados não foi fechado e ainda era possível baixá-lo. Apenas hoje o servidor foi desligado e o site está indisponível no momento. O arquivo contém uma lista com cerca de 500 nomes, endereços de e-mail, números IP (Internet Protocol) dos assinantes e data de subscrição na lista.

As propriedades do banco de dados trazem algumas informações. Foi criado em janeiro deste ano e tem como autor Disougi Ali, da Ecotec. Ali realmente trabalha para a Ecotec e é o primeiro assinante da lista, que inclui endereços da França, Portugal, Reino Unido, Bélgica e outros países.

Certamente existe a possibilidade de a lista ser forjada, mas diante dos últimos acontecimentos, as chances de que seja autêntica são bem maiores. Ainda não foi possível o contato com os responsáveis pelo site, mas logo que surjam novas informações, elas serão publicadas.

13/6/2001 - 12:26 Giordani Rodrigues

Apenas algumas horas depois da execução do terrorista Timothy McVeigh, ocorrida ontem, já houve notícias de tentativas de usar as imagens de sua morte para infectar com um vírus as máquinas dos mais curiosos. Segundo o site SecurityNewsPortal, uma suposta cópia da filmagem oferecida em salas de bate papo na Internet foi usada como chamariz para instalar o conhecido cavalo de Tróia SubSeven, um programa que dá a um hacker total acesso ao computador da vítima.

De acordo com a reportagem, Brad Chapman, um estudante de ciências da computação da Universidade Brigham Young, disse que ao visitar um endereço para baixar o vídeo seu computador detectou a presença do SubSeven. Em vez de executar o programa, Chapman o analisou.

Timothy McVeigh foi o responsável pelo atentado a bomba que matou 168 pessoas em um edifício federal na cidade de Oklahoma, nos Estados Unidos, em 1995. Condenado à morte, sua execução foi transmitida ao vivo da prisão de Terre Haute, em Indiana, para um circuito fechado em Oklahoma, composto basicamente por parentes das vítimas.

Há meses se discute a possibilidade de que as filmagens pudessem ser exploradas comercialmente ou mesmo capturadas por hackers e distribuídas ilegalmente na Internet. Especialistas em segurança disseram que seria muito difícil interceptar os sinais da transmissão e o FBI afirmou que não houve indicação de que isso tenha ocorrido. Houve, porém, um incidente notável: uma interrupção de cerca de quatro minutos na transmissão das imagens.

Com ou sem captura dos sinais, o episódio é um prato cheio para que hackers utilizem o que se convencionou chamar de engenharia social, ou seja, convencer pessoas a baixar e executar arquivos nocivos em suas máquinas. Além das discussões sobre os aspectos sociais e políticos já geradas com a forma como McVeigh foi executado, é possível que o caso tenha repercussão também na segurança de sistemas.

O SecurityNewsPortal cita uma declaração de April Goostree, especialista da McAfee, sobre o incidente com o SubSeven. Para Goostree “era apenas uma questão de tempo antes que alguém pudesse atacar o nome de McVeigh” com tais propósitos.

13/6/2001 - 0:00 Priscila Perdoncini

Especial para InfoGuerra, da Itália

A última novidade dos criadores de pseudovírus é um e-mail ameaçador supostamente assinado pela Microsoft. Segundo a empresa de segurança Securitynet, circula pela rede uma mensagem afirmando que foram descobertos softwares piratas no computador do usuário, o poderia acarretar um processo. Os e-mails são assinados por um escritório legal online da Microsoft, e aparentemente provêm do endereço legals.dept.microsoft.org/italy/2000/2001.

A Securitynet adverte que se trata de um e-mail falso. A Microsoft, obviamente, negou a autoria do e-mail. Em uma declaração oficial, esclareceu que jamais enviou e-mails ameaçadores e que não é capaz de controlar os softwares dos usuários da Internet.

13/6/2001 - 0:00 Priscila Perdoncini

Especial para InfoGuerra, da Itália

O governo americano está concedendo bolsas de estudo para quem se dispuser a trabalhar combatendo ataques de hackers ao sistema informativo. Por um ou dois anos, o governo propõe o pagamento das despesas de estudo do interessado em universidades de prestígio. Em troca, o estudante deve trabalhar para o Programa Cyber Cops, que luta contra os piratas da informação. Cada estudante receberá cerca de 25 mil dólares por ano.

Segundo o conselheiro da Casa Branca, Richard Clark, cerca de 8,6 milhões de dólares estão sendo destinados para este fim. O objetivo do Cyber Cops e recrutar, provavelemente entre os próprios hackers, pelo menos 100 jovens por ano.

União Européia

Também a União Européia pretende tomar providências contra os ataques de hackers. Uma comissão propõe a criação de um organismo especial que coordene as atividades contra os crimes na Internet nos estados membros da UE. O objetivo é lançar um contra-ataque em vasta escala, especialmente para garantir a segurança nas transações comerciais online, que vêm tendo grande prejuízo em função dos hackers.

12/6/2001 - 21:49 Giordani Rodrigues

Ray Owen é um americano que gosta de brincar. Aproveitando seu ódio contra a AOL e a histeria em torno do boato sobre o Sulfnbk.exe, Owen criou uma piada alertando as pessoas para a descoberta de um perigosíssimo vírus chamado AOL.EXE, que teria infectado 30 milhões de computadores. Na verdade, o arquivo com esse nome serve para fazer a conexão com a AOL e 30 milhões é justamente o número de usuários do provedor nos Estados Unidos.

O que ele não esperava (ou esperava?) é que centenas de pessoas fossem acreditar no hoax (trote). No dia 5 de junho, Owen distribuiu para 342 mil assinantes de seu site de humor Joke a Day a falsa história com instruções de como deletar de seus computadores o arquivo AOL.EXE.

Como conseqüência, recebeu cerca de 700 mensagens de pessoas que apagaram o arquivo. Algumas encararam o fato com bom humor, mas outras ficaram indignadas. Muita gente não só seguiu as instruções, como espalhou a notícia para parentes e amigos.

Na opinião de Ray Owen, sua piada apenas confirma o que ele já pensava: os usuários da AOL são estúpidos “que não têm nada o que fazer perto de qualquer computador”. Obviamente ele está exagerando. Mesmo que alguns assinantes de outros provedores tenham acreditado na história, eles não puderam encontrar o arquivo em suas máquinas. Seria, portanto, bem mais improvável escutar manifestações dessas pessoas.

O que o episódio mostra, na verdade, é que a Internet está cheia de pessoas que acreditam em qualquer e-mail que recebem. E isto não depende do provedor que assinam. Se o trote tivesse sido dirigido a usuários de qualquer outra empresa, provavelmente teria suas vítimas também.

O texto do boato é absurdo. Se no começo ele se assemelha a qualquer mensagem sobre falsos vírus, com informações para torná-lo crível, no final parte para o escracho. Entre outras coisas, afirma que o “vírus” bloqueia o Quociente de Inteligência (QI) da pessoa em 85 e que quem o apagar passará a soletrar e falar inglês corretamente.

O hoax já foi parar em sites como o da empresa antivírus Sophos, que alerta os usuários para a falsidade da mensagem. Ray Owen está sendo chamado de idiota por alguns e recebendo congratulações de outros. Ele próprio publicou uma página explicando o episódio, incluindo o texto do boato, as críticas e os elogios que tem recebido. Uma coisa é certa: depois que a notícia tornou-se pública, ele conseguiu promover-se e a seu site de graça.

Em tempo: aqueles que passaram os últimos dois meses fora da Internet e nunca ouviram falar do Sulfnbk.exe, podem conhecê-lo acessando os links abaixo:

Falso vírus induz usuário a apagar arquivo do Windows

Sulfnbk.exe: antes um boato, agora uma falsa verdade

12/6/2001 - 18:48 Giordani Rodrigues

O hacker que ficou conhecido como FluffyBunny e que atacou os servidores da Fundação Apache, SourceForge e Themes.org, importantes nomes da comunidade Open Source, disse que não é contra os softwares de código aberto, como tem sido noticiado.

Ao invés disso, ele se diz contra o Full Disclosure, movimento que defende a livre circulação de informações sobre falhas de segurança como forma de corrigi-las. “Eu apóio o movimento anti-disclosure entre as comunidades de informática e segurança de redes”, disse em uma entrevista online a Joe Barr, publicada no site de segurança SecurityFocus.

O hacker também explicou que a segurança dos servidores invadidos foi comprometida utilizando um método bastante conhecido. Ele instalou um sniffer, programa que serve para capturar logins e senhas, na rede do provedor Exodus Communications.

Depois de ter capturado as senhas da Exodus instalou trojan horses (programas que monitoram as ações em uma rede ou computador) nos sites para os quais a empresa presta serviços. A partir destes sites chegou aos sistemas da SourceForge e Apache.

FluffyBunny disse que não cria seus próprios exploits (programas que exploram vulnerabilidades) e que é fácil invadir muitos sites usando exploits disponíveis por toda a Internet. Por isso é contra o movimento Full Disclosure.

Ele não se considera nem um Black Hat (literalmente, “chapéu preto”, ou seja, um hacker do “mal”), nem um White Hat (chapéu branco, hacker do “bem”). Antes, classifica-se como Gray Hat (chapéu cinza), justificando que ninguém pode ser verdadeiramente um White Hat.

O presidente da Fundação Apache, Brian Behlendorf, publicou uma nota oficial no final de maio admitindo o ataque, mas negando que os códigos dos softwares desenvolvidos por sua organização tenham sido comprometidos.

Já as declarações que o diretor da SourceForge, Pat McGovern, deu à imprensa sobre o ataque a seus servidores foram refutadas e ridicularizadas poucos dias depois pelo hacker. Fez isso invadindo um site da Themes.org, que assim como a SouceForge é mantida pela VA Linux.

O site foi desfigurado com um texto e uma paródia maliciosa de Tux, o pingüim que representa o Linux . O texto afirma, entre outras coisas, que a rede ficou sob seu controle por cinco meses e não por alguns dias como disse McGovern. A desfiguração foi registrada por Alldas.de e pode ser vista aqui.

Joe Barr, que fez a entrevista online, não descarta a possibilidade de alguém ter se passado pelo hacker, mas faz um adendo: “nenhuma das vítimas de suas invasões está tomando providências para refutar suas declarações”.

12/6/2001 - 18:28 Giordani Rodrigues

Na tarde de hoje, as informações presentes no site da Reuters de Israel foram comprometidas por um hacker que usa o apelido de LinuxLover. Aproveitando a estrutura já existente, o invasor alterou o conteúdo e publicou no site de uma das maiores agências de notícias do mundo uma nota anunciando o próprio ataque.

“Major major c00l Breaking News LinuxLover OwnZ Reuters Israel!!”, escreveu. Uma tradução aproximada seria: “Extra! Extra! LinuxLover invade a Reuters de Israel!”. Além de saudar conhecidos sites de registro de desfigurações, “pela hospedagem gratuita” de seu ato, ele também criticou a educação egípcia e os israelenses, chamando-os de judeus sanguinários.

O site, que utiliza servidores Microsoft IIS/5.0 e sistema operacional Windows 2000, está fora do ar no momento. Pelo jeito, o hacker está desatualizado. Entre os três sites aos quais prestou “homenagem”, dois não irão registrar sua invasão (o Attrition deixou de fazê-lo e o Safemode está fora do ar há muitos dias). Mas o único dos três ainda ativo, Alldas.de, possui o espelho do ataque, que pode ser visto aqui.

12/6/2001 - 2:21 Redação InfoGuerra

Na semana passada, o jornal Valor Econômico, uma das mais conceituadas publicações nacionais de economia e negócios, recomendou InfoGuerra como um site que merece ser visitado. Indicações como esta, mais do que estimular vaidades, servem como bússola para nosso trabalho e nos trazem a obrigação de corresponder às expectativas. Veja o que foi dito sobre o site clicando aqui.

Esta semana também iniciou a votação do Júri Popular para o concurso Top Cadê?. Em maio, InfoGuerra foi escolhido pela equipe do Cadê? como um dos melhores sites brasileiros na categoria Informática. Agora é sua vez de votar. Os vencedores de cada mês serão os finalistas na grande votação que ocorre no começo de 2002 e que escolherá os melhores sites de 2001. Participe! Esta etapa vai até o dia 1^o de julho. Para votar em InfoGuerra, clique no selo do concurso no alto da página, ou aqui.

12/6/2001 - 0:05 Mônica Bandeira

Originalmente publicado em Pernambuco.com

Ando indignada com esta "geração de invasores"... Na área de informática é comum o surgimento, também o desaparecimento, de atividades decorrentes das inovações tecnológicas, por exemplo: digitador, operador, programador, analista, "programalista", administrador de dados, analista de sistemas e de suporte, projetista, administrador de redes, analistas de negócios, etc.

Em geral, uma nova atividade se estabelece como uma referência funcional pela competência e profissionalismo que uma geração de técnicos a desempenham.

O que me deixa pasma e indignada são estes invasores ("guerrilheiros"): os hackers, que estão "negociando" seus espaços profissionais usando da prática da chantagem para conseguir um emprego. Tenho escutado aqui e ali o registro de prejuízos advindos de ações oriundas das "práticas" destes hackers sobre os quais prefiro não me estender.

Naturalmente, este é um problema mundial. O avanço e uso intensivo da Internet tem imposto às organizações um cuidado especial com segurança e integridade, que vêm se traduzindo em altos investimentos, assim, não pretendo aqui tratar de todos os vieses dessa questão.

O que me inquieta, de fato, é presenciar o aumento dessas práticas e ver um certo silêncio, muitas vezes, estratégico. Será que devemos ficar em silêncio em nome dessa prática ? O bom profissional conquista seu espaço pelo trabalho ético e competente.

É inadmissível se contratar um mau-caráter em troca da promessa de que o dito cujo não mais vai invadir seu site e sendo um "invasor" sua competência está provada! Nesta hipótese, a comunidade de informática estaria premiando o mal em detrimento do bem acarretando conseqüentemente o descrédito da sociedade.

Desde que a informática se estabeleceu como área relevante nas diversas organizações, os profissionais contratados, na sua maioria, passam a ser conhecedores profundos dos processos e recursos utilizados na informatização das suas organizações, bem como são responsáveis pelos acessos às bases de informações. Estes profissionais atuam com ética e competência para conseguir e manter seus espaços profissionais.

Se chantagem for requisito de seleção, quem estamos contratando? Como professora na área, me angustia ver que hoje jovens estudantes e futuros profissionais tenham ou venham a ter os hackers como referencial. Como profissional, há mais de 20 anos, reitero: nada de negociação.

Precisamos tratar desses casos com a formalidade devida e penalidades que lhes são pertinentes.


Mônica Simões Bandeira é Analista de Sistemas da FISEPE (Empresa de Fomento de Informática de Pernambuco) e Coordenadora do Curso de Tecnologia em Informática da FIR (Faculdade Integrada do Recife).
E-mail: msb@fisepe.pe.gov.br ou monicab@fir.br

11/6/2001 - 13:05 Giordani Rodrigues

Neste final de semana, o site do Internet Fraud Complaint Center (IFCC), uma associação entre o Federal Bureau of Investigation (FBI) e o National White Collar Crime Center (NW3C), criada para investigar casos de fraudes na Internet, foi invadido por um hacker desconhecido.

De provável nacionalidade israelense, o intruso pichou a página principal do site com protestos contra o atentado suicida de um palestino que matou 20 pessoas em Tel_Aviv, no dia 1º de junho. Com o título em inglês de “Salve Israel das mãos dos árabes”, a página trazia a informação de que foi hackeada por um garoto de 14 anos e mostrava 13 fotos com nomes e idades dos mortos no atentato.

“Esta desfiguração é dedicada a todos eles”, dizia a mensagem. Nos últimos dias, o mesmo hacktivista invadiu vários sites em países árabes e também nos Estados Unidos, deixando o mesmo tipo de mensagem. Entre os sites atacados estão o do Banco Nacional de Omã, Ministério de Recursos Hidráulicos e Irrigação do Egito, Centro Politécnico de Teerã, no Irã, Ministério de Educação Superior da Arábia Saudita e um centro para comércio eletrônico em uma cidade do Texas chamada Palestina.

O IFCC foi fundado no ano passado e de lá para cá tem aumentado sua atuação no combate à fraude online. No final de maio deste ano, publicou os resultados da operação "Cyber Loss", uma série de investigações que incluíram fraudes em sites de leilões e roubo de identidade. Os resultados chegaram a mais de 56 mil vítimas e um prejuízo de US$ 117 milhões.

O órgão serve para receber, analisar e disseminar queixas às agências responsáveis pela investigação de fraudes na Internet. De acordo com o FBI, o processo funciona com a colaboração das vítimas que “vão diretamente ao site seguro do IFCC e registram suas queixas online”. Para ver o espelho da invasão, registrado por Alldas.de, clique aqui.

11/6/2001 - 8:32 Giordani Rodrigues

Uma falha de programação nos serviços da Nokia permitiu que dados pessoais de seus clientes fossem apresentados abertamente na Internet. O problema foi reportado pelo site Silicon.com e admitido pela gigante finlandesa de telefones celulares.

O bug ocorreu no serviço chamado Club Nokia, que solicita que se faça um registro online. Um usuário que contatou a reportagem do Silicon.com disse que, no momento em que fazia seu cadastro, foi surpreendido ao ver as informações de outra pessoa aparecerem na tela do seu computador. Entre os dados estavam nome, e-mail, telefone, número de série do aparelho, senha, e outros.

Preocupado, ele ligou para o serviço de suporte da Nokia e ficou chocado quando a atendente lhe disse que tinha uma outra pessoa, em outra linha, com o mesmo problema. Este segundo cliente tinha acabado de acessar os dados de um usuário de Portugal.

Segundo o diretor de comunicações da Nokia, Mark Squires, a falha ocorreu por causa do sucesso de uma campanha publicitária, que fez com que um grande número de pessoas se registrassem no Club Nokia, sobrecarregando os servidores da empresa.

Quando mais de uma pessoa preenchia o cadastro ao mesmo tempo, o sistema fornecia o mesmo número de registro para usuários diferentes, permitindo que uma pessoa acessasse os dados de outra. De acordo com Squires, o problema, que atingiu uma promoção do novo aparelho telefônico Nokia 3330, começou na quarta-feira passada, mas foi resolvido no dia seguinte.

8/6/2001 - 21:03 Giordani Rodrigues

Uma semana antes de completar 30 anos, um dos maiores ícones da cultura americana, o Hard Rock Cafe, ganhou um "presente" nada agradável. Os sites oficiais hardrockcafe.com e hardrock.com foram invadidos e desfigurados, hoje, pelos hackers do grupo brasileiro Prime Suspectz.

Os invasores trocaram as páginas iniciais por outra de fundo branco e colocaram seu nome e uma saudação ao grupo World of Hell (WoH). Os sistemas utilizam Windows 2000 e servidores IIS/5.0, um conjunto que se tornou um dos alvos prediletos de desfiguradores nos últimos tempos.

Quem entrar nos sites neste momento encontrará uma página com o título de "temporariamente indisponível", em inglês, e uma frase que diz mais ou menos o seguinte: “Estamos aprimorando nossos serviços e esperamos estar de volta em breve. Por favor, aguarde.” (figura acima).

O Hard Rock Cafe, apesar de vender comida tipicamente americana e divulgar valores ianques, foi fundado em Londres, na Inglaterra, em 14 de junho de 1971. Seus criadores foram dois norte-americanos apaixonados por música. A partir da década de 80, o Hard Rock Cafe começou sua expansão mundial e hoje possui mais de 100 lojas em 36 países. Além de estar presente nas principais cidades dos Estados Unidos e Europa, possui filiais em lugares como Kuala Lumpur, na Malásia, e Taipei, em Formosa.

Sua história sempre esteve ligada ao Rock’n’Roll e hoje possui um dos maiores acervos de objetos relacionados à indústria musical, desde a guitarra Flying V, de Jimi Hendrix, até o manuscrito feito por John Lennon para a canção “Help”. A famosa camiseta Hard Rock Cafe tornou-se uma lenda e hoje é vendida no mundo inteiro. Seu primeiro desenho foi feito por Alan Aldridge, conhecido por produzir capas para os discos dos Beatles.

O registro das desfigurações de seus sites foi feito por Alldas.de e pode ser visto aqui.

8/6/2001 - 18:25 Redação InfoGuerra

Um equipamento capaz de monitorizar veículos por celulares e e-mails será uma das atrações do GEOBrasil 2001 — Congresso e Feira Internacionais de Geoinformação —, que acontece de 19 a 22 de junho, no Centro de Convenções Imigrantes, em São Paulo.

Até agora, qualquer veículo monitorizado só conseguia passar informações para a central e de lá eram tomadas as providências. O novo equipamento poderá mandar um sinal de emergência para a central e, no mesmo instante, enviar uma mensagem para o celular e um e-mail para a pessoa cadastrada no sistema. O sinal de emergência indicará a localização exata do carro.

Para que todo esse processo aconteça é necessário instalar no veículo uma antena GPS (Global Posiotining System), um modem e um celular ou rádio. De acordo com Diogo Nava Martins, gerente de produtos AVL (Automatic Vehicle Location) da Santiago & Cintra, o custo de instalação está a partir de R$ 2 mil.

O GEOBrasil 2001 trará cerca de 100 marcas brasileiras e internacionais, que apresentarão novidades tecnológicas para aproximadamente quatro mil visitantes. O público, vindo de todo o Brasil e dos demais países do Mercosul, é composto por profissionais da área, que são compradores em potencial e congressistas.

Os setores envolvidos na feira serão agrimensura, agricultura de precisão, mapeamento, monitorização de veículos, GIS, GPS, imagens de satélite, cadastro, publicação de dados geográficos e geomarketing.

A entrada no GEOBrasil 2001 é gratuita, basta um convite ou comprovante de vínculo com o setor ou mediante pré-cadastramento online. A grade completa do congresso e mais informações sobre o evento estão disponíveis no site oficial www.geobr.com.br.

8/6/2001 - 16:09 Giordani Rodrigues

O site de busca Achei, um dos mais conhecidos do Brasil, foi vítima de hackers na tarde de hoje. O endereço http://achei.com.br foi desfigurado duas vezes. Na primeira, o invasor identificado por goku_skt deixou na página um desenho japonês e uma declaração de amor. Na segunda, ocorrida pouco tempo depois, alguém aproveitou a brecha e fez o que se chama de redefacement, ou seja, uma desfiguração sobre outra, o que é bastante mal visto no submundo hacker.

O segundo invasor não se identificou e escreveu apenas algumas palavras sem muito nexo. Quem acessasse o endereço até próximo de 14h30 ainda poderia constatar o redefacement. InfoGuerra entrou em contato com um dos responsáveis pelo site, Lucas Rodrigues Viégas.

Ele foi surpreendido com a notícia, constatou a desfiguração, mas afirmou que o servidor atacado ainda não está em atividade plena. Segundo Viégas, o endereço oficial do Achei é www.achei.com.br. O domínio invadido (sem o www) está em fase de testes e deverá servir em breve para dividir o tráfego do site, quem tem aumentado bastante.

O Achei existe desde 1997 e no início servia como um sistema de premiação de sites. Um ano depois, já havia se transformado em um mecanismo de busca e, em 1999, foi adquirido pela companhia americana Guby Networks.

Atualmente, a rede Guby é composta por sete sites na América Latina: Grippo.com (Argentina), Mexicoglobal.com (México), Brújula.cl (Chile), Conexcol.com (Colômbia), Yagua.com (Paraguai), Mande.com.ec (Equador) e Achei.com.br, no Brasil.

Neste momento, o endereço do Achei que foi atacado já voltou ao normal. O site alemão Alldas.de fez o registro da primeira desfiguração, que pode ser visto aqui. InfoGuerra registrou o segundo ataque. Para vê-lo, clique aqui.

7/6/2001 - 19:08 Redação InfoGuerra

O laboratório Advanced Counter-measures Environment (ACME), da Universidade Estadual Paulista (Unesp) de São José do Rio Preto, especializado em sistemas de segurança de computadores e redes, vem desenvolvendo um software capaz de detectar tentativas de ataques e invasões de hackers. De acordo com os pesquisadores responsáveis pelo projeto, o sistema possui a melhor margem de acerto e capacidade de adaptação frente a novos ataques.

O software, que leva o mesmo nome do laboratório, teria capacidade de detectar intrusos em cerca de 86% das ocorrências de invasão, sendo que o índice de alarmes falsos é de 15%.

"No mercado internacional, a margem de acerto dos sistemas fica entre 60% a 80% e o índice de falso-positivo é de até 30%, o que exige uma intervenção humana extra para ‘desempatar’ os alertas falsos", compara o coordenador do grupo, o professor Adriano Mauro Cansian, doutor em segurança de redes de computadores e professor do curso de Ciências da Computação da Unesp de São José do Rio Preto.

O desenvolvimento do software ACME tem o objetivo de atender a uma demanda crescente por maior segurança contra violações de sistemas. O último levantamento feito pelo Computer Security Institute (CSI), respeitado órgão americano de pesquisa em segurança em rede de computadores, confirma que as invasões de sistemas estão aumentando.

"Das 643 instituições pesquisadas pelo CSI, a maioria grandes corporações e agências de governo, 90% detectaram violações nos últimos doze meses, sendo que 70% tiveram algum tipo de prejuízo. As empresas que foram capazes de quantificar o prejuízo (273) estimaram em US$ 265 milhões as perdas financeiras", conta Cansian.

De acordo com o cientista, o software ACME utiliza um sistema único no mundo, aliando tecnologia de rede neural com informações de captura de pacotes e análises de assinaturas de ataque. "A rede neural é um sistema matemático e computacional, que consegue identificar padrões dentro de determinadas seqüências de dados, permitindo descobrir se as informações representam, ou não, um ataque aos sistemas de redes e de computadores que estão sob vigilância".

Durante os últimos cinco anos, os pesquisadores do laboratório se dedicaram à tarefa de investigar o comportamento dos hackers. Dentro das instalações dos laboratório foram criados sites denominados tecnicamente de honey-pots (armadilhas) para estimular as invasões e permitir que os atacantes fossem estudados e analisados. Paralelamente, um sistema de captura de informações de rede monitorizava todos os procedimentos dos invasores.

"As informações colhidas nessas pesquisas permitiram determinar as assinaturas de ataque do comportamento dos hackers, ou seja, as pistas que são deixadas pelo invasor, como se elas fossem um tipo de impressão digital do atacante". Cansian acrescenta que todo ataque a uma rede de computadores segue um padrão de ações com uma lógica seqüencial bem definida.

Feito este levantamento, os pesquisadores transformaram as assinaturas de ataque em códigos binários, os quais formam uma linguagem capaz de ser interpretada pela rede neural. Segundo informações dos pesquisadores, o ACME, além de ser um dos poucos sistemas que conseguem detectar invasões em tempo real, tem o diferencial de detectar um ataque para o qual ele não foi programado. A capacidade de máquinas analisarem e tomarem decisões para as quais não foram previamente programadas é o que se denomina de inteligência artificial.

"A rede neural tem a capacidade de ‘abstrair’, ou seja, de tentar inferir, ou quase ‘adivinhar’, se o que o sistema está detectando é um ataque, usando para isso a base de conhecimento adquirida", explica Cansian. Ele acrescenta que, nos outros sistemas, se o ataque não foi totalmente definido, pelo menos uma vez anteriormente, não há possibilidade de identificação, já que esses sistemas não têm capacidade adaptativa ou de abstração, conferida pela existência da rede neural.

"Outra vantagem do ACME é que, ao detectar a presença de comportamento intrusivo nos dados das informações da rede, o sistema automaticamente emite um alarme para o operador, por e-mail ou pager, informando a probabilidade de a ocorrência ser uma invasão e o grau de alerta".

Atualmente, o sistema está sendo testado por algumas instituições civis e militares do Brasil. Paralelamente, os pesquisadores estão aprimorando o sistema para que este adote contramedidas automaticamente, sem necessidade de uma intervenção por parte do operador. A previsão é de que o sistema esteja totalmente disponível no mercado até o final de 2001. Maiores informações podem ser obtidas na página do laboratório Acme na Internet, no endereço http://www.acme-ids.org.

7/6/2001 - 17:37 Giordani Rodrigues

A Microsoft publicou ontem um boletim de segurança fornecendo informações e a correção para um falha encontrada no Exchange 2000. O problema ocorre quando o Outlook Web Access (OWA) estiver configurado, permitindo a execução de códigos maléficos no sistema.

OWA é um serviço que permite que se use um navegador Web para acessar a caixa postal do Exchange 2000. No entanto, existe uma falha na interação entre o OWA e o Internet Explorer (IE) em mensagens com anexos. Se um arquivo anexado contiver um código HTML com um script embutido, este será executado se o anexo for aberto, não importa de que formato seja.

Esta característica permite que se crie um script com código malicioso, que poderia executar qualquer ação na caixa postal de um usuário do Exchange. Isto inclui manipular mensagens e pastas como se o autor do ataque fosse o próprio usuário.

A Microsoft enumera alguns atenuantes para o problema: a falha só poderá ser explorada por quem usar o OWA em conjunto com o IE; se os anexos forem abertos via OWA; ou se o autor do ataque for convincente o bastante para fazer a vítima abrir um anexo de uma fonte desconhecida. Os usuários que utilizam o OWA devem fazer a correção imediatamente. Para acessá-la e obter maiores detalhes, clique em http://www.microsoft.com/technet/security/bulletin/ms01-030.asp.

7/6/2001 - 16:21 Giordani Rodrigues

Uma nova vulnerabilidade da versão 5.1 do programa de e-mail Eudora, da Qualcomm, foi relatada pela lista BuqTraq. A falha permite que arquivos sejam executados sem autorização no computador de um usuário, o que pode abrir as portas para que se tenha controle da máquina da vítima.

Na prática, o ataque pode ser realizado se o destinatário receber uma mensagem maliciosa contendo um formulário preparado para explorar a falha. Caso o formulário seja preenchido e enviado, um arquivo escondido pode ser executado, permitindo que um hacker ganhe acesso ao sistema.

Problemas desse tipo são usualmente relacionados ao uso de scripts (pequenos programas que servem para automatizar tarefas) e mensagens em formato HTML. A vulnerabilidade em questão pode ser explorada mesmo se a opção "Allow executables in HTML content" (Permitir rodar executáveis em conteúdo HTML). Para tanto, a opção "Use Microsoft viewer" (Usar visualizador Microsoft) deve estar habilitada.

A recomendação é que se desabilite a opção "Use Microsoft viewer", a qual vem habilitada como padrão. Esta opção pode causar outros problemas no Eudora, a maioria relacionada a vulnerabilidades do Internet Explorer 5. Para obter mais detalhes sobre a falha clique em http://www.securityfocus.com/bid/2796.

7/6/2001 - 14:12 Giordani Rodrigues

Acaba de ser descoberto o segundo vírus que se espalha utilizando o MSN Messenger, programa de mensagens instantâneas da Microsoft. Trata-se do worm W32/Choke (o primeiro, descoberto há pouco mais de um mês, foi o W32/Hello). A McAfee considera o risco de contaminação baixo, mas a Sophos informa que tem recebido vários relatos de infecção pelo vírus.

Segundo a McAfee, o Choke chega como um aplicativo Visual Basic. Caso o MSN Messenger não esteja presente na máquina da vítima, o vírus irá se instalar da mesma forma, mas não conseguirá se espalhar para outros computadores.

O arquivo que traz o worm pode ter vários nomes, mas todos terminam em .exe. Alguns deles são ShootPresidentBUSH.exe, Choke.exe, Hotmail.exe e o primeiro nome do remetente, acompanhado da extensão .exe, por exemplo, Maria.exe.

A Sophos relata que o worm se instala no diretório raiz (normalmente o drive C), com o nome Choke.exe. Na primeira vez em que é executado, ele mostra uma caixa de diálogo com o título “Choke” e o texto “This program needs Flash 6.5 to run!” (Este programa necessita do Flash 6.5 para rodar!):

Imagem: Sophos

Se o botão OK for apertado aparece uma segunda caixa com a mensagem “Cannot run program!, Quiting” (Não é possível rodar o programa!, Finalizando). Perceba que a grafia de “quitting” está errada:

Imagem: Sophos

Também é criado um arquivo com o nome “about.txt” e que apresenta o seguinte texto:

Choke , Copyright ® 1886 ... A MAD CHRISTIAN
---------------------------------------
Go talk swearwords about God
You all will die, stupid humans.
You fools didn't see what you have done
Bye slut, go talk shit about me.
(Call me a 'psychophatt', but I respect the Creator of life...)
' Consider your earth '

O texto sugere ter sido escrito por um cristão louco, afirma que o autor respeita o criador da vida e chama os seres humanos de estúpidos e outros palavrões, por lançaram insultos contra Deus.

Para ser rodado toda vez que o sistema operacional é iniciado, o vírus cria uma chave no registro do Windows. Quando em execução, o Choke irá se enviar a todos os usuários do MSN Messenger que estiverem dialogando com o usuário cuja máquina foi infectada.

Ao mesmo tempo, é enviada uma mensagem em inglês informando que o arquivo infectado é um jogo que permite atirar no presidente Bush: “President bush shooter is game that allows you to shoot Bush balzz hahaha”.

Clique aqui para encontrar proteção gratuita contra vírus de ICQ, MSN Messenger e outros.

7/6/2001 - 11:48 Giordani Rodrigues

Cuidado com uma “miss” que começou a circular pela Internet. Além de ser muito feia, ela tem a capacidade de apagar todos os arquivos do seu computador. É o vírus Miss Mundo, chamado tecnicamente de W32/MissWorld por algumas empresas antivírus e W32/MsWorld@MM por outras.

Trata-se de um worm (que tem a capacidade de autoduplicação e utiliza recursos da rede para se espalhar) que oferece uma sequência de imagens em Flash para enganar o usuário. Ele chega por e-mail contendo as seguintes informações:

Linha de assunto: Miss World (Miss Mundo)

Corpo da mensagem: Hi, (nome do destinatário) Enjoy the latest pictures of Miss World from various Country (Oi, aprecie as últimas fotos da Miss Mundo de vários países)

Arquivo anexado: estão sendo reportados arquivos com diferentes nomes. São eles: misworld.exe, MissWorld.exe, MWld.exe e MWrld.exe.

Se o arquivo anexado for executado, uma apresentação em Flash é carregada, mostrando o desenho de um bolo de aniversário. O desenho traz a frase "I fall more in love with you each day!" (Eu fico mais apaixonado por você a cada dia!), conforme se vê abaixo:

Imagem: Sophos

O worm também mostra imagens do que seriam concorrentes do concurso de beleza Miss Mundo. As imagens incluem a Miss África, que aparece com uma cabeça de gorila, Miss Reino Unido, cuja cabeça é trocada pela de Rowan Atkinson representando seu personagem Mr. Bean, e Miss Finlândia. Uma das imagens pode ser vista abaixo:

Imagem: Sophos

Após sua execução, o worm se auto-envia para todos os endereços de e-mail encontrados no catálogo do Microsoft Outlook. "Enquanto as fotos são mostradas, o arquivo Autoexec.bat é alterado, contendo instruções para formatar o disco rígido na próxima inicialização da máquina", explica Patrícia Ammirabile membro do McAfee AVERT (Anti Virus Emergency Response Team).

Segundo Ammirabile, o Miss Mundo também tenta apagar os arquivos USER.DAT, USER.DA0, SYSTEM.DAT e SYSTEM.DA0, que contêm o registro do Windows.

Empresas como McAfee e Sophos consideram o vírus como de baixo risco. A Symantec o classifica como de médio risco. Já há “vacina” para ele. Atualize seu antivírus e, claro, desconfie de arquivos anexados em e-mails, principalmente se você não os solicitou.

5/6/2001 - 20:23 Giordani Rodrigues

“Eu me rendo. Eu me rendo neste instante, completa e incondicionalmente. E não estou brincando. É minha intenção explicar cuidadosa e completamente, ao mundo inteiro, exatamente porque não há defesa contra a espécie de hábeis ataques na Internet que caras como vocês podem criar”.

Assim começa a “Carta aberta aos hackers da Internet”, publicada por um especialista em segurança de sistemas. Fosse uma pessoa qualquer, o autor da carta poderia ser acusado de exagerado e apocalíptico. Mas trata-se do engenheiro de computação Steve Gibson, conhecido por sua larga experiência e pelos programas de proteção que cria e disponibiliza no site de sua empresa, a Gibson Research Corporation.

No começo de maio, quem entrasse no site seria surpreendido com a informação de que o sistema tinha sofrido um longo ataque Distributed Denial of Service (DDoS). Ataques dessa natureza são feitos por hackers que utilizam dezenas ou centenas de computadores alheios, os quais tornam-se “zumbis” e podem ser controlados à distância. Pacotes maciços de requisições de dados são enviados desses computadores para os servidores de um sistema, tornando-os inoperantes por sobrecarga.

Os ataques continuaram ao longo de vários dias e Gibson, que tem 46 anos de idade e 30 de experiência profissional, pôde fazer uma análise completa do aconteceu. Nesse meio tempo, conseguiu manter contato com o hacker — um garoto de 13 anos que usa o apelido de Wicked (malvado). As conclusões de Gibson podem ser lidas no relatório publicado em seu site.

Trata-se de um impressionante documento que explica como alguns garotos com motivações fúteis podem facilmente derrubar os servidores mesmo de uma grande empresa. (Wicked justificou seus ataques dizendo que não gostou de ele e seus amigos terem sido chamados de script kiddies, um termo pejorativo para alguém que se considera hacker).

O relatório de Gibson mostra como são feitos os ataques DDoS e como os computadores pessoais de centenas de usuários inocentes podem servir a intenções malignas. Ele apresenta pormenores, com números (474 PCs com Windows foram usados nos ataques), gráficos e transposições de diálogos online entre ele e os hackers.

E chega a algumas conclusões assustadoras. Entre elas, a convicção de que o novo sistema operacional da Microsoft, o Windows XP, vai fornecer meios de ataque mais eficazes aos hackers e muito difíceis de combater, assim como considera que o Windows 2000 já o fez.

“Quando estas inseguras e maleficamente potentes máquinas Windows XP estiverem casadas com grandes larguras de banda das conexões, iremos experimentar uma escalada de terrorismo na Internet como nunca foi visto antes. (...) Se as máquinas de ataque estivessem rodando Windows 2000 ou a versão doméstica do Windows XP, como certamente estarão no próximo ano, nós estaríamos completamente sem defesa e teríamos sido forçados a simplesmente sair da Internet. Isto é o que qualquer um na Internet pode esperar em breve”, lê-se em alguns trechos do documento.

Gibson também relata o uso de trojans como o Sub7, capazes de tornar uma máquina completamente controlável à distância, e de salas secretas de bate-papo de IRC (Internet Relay Chat), utilizadas para os ataques.

Outra seção interessante é a análise que ele faz de dois firewalls. Um que sempre recomendou, o ZoneAlarm, e que passou no teste de detecção de intrusos que fez. O outro é o BlackICE Defender. Sua conclusão sobre este está em um aviso ao público: “Para todos aqueles que ainda são teimosos o suficiente para insistir que o BlackICE Defender é realmente bom para alguma coisa: POR FAVOR, não escrevam para mim. Eu não quero ouvir falar sobre isso. Eu sou um cientista que não irá achar suas crenças místicas convincentes.”

Gibson acredita que “os dias de uma Internet baseada na confiança mútua entre redes interconectadas acabaram” e que “nós precisamos de uma ferramenta que resguarde os provedores responsáveis e publicamente demonstre a irresponsabilidade individual de outros”. Esta ferramenta é seu próximo projeto, será gratuita e já tem nome: Spoofarino.

No final da carta aberta aos hackers, Steve Gibson pede, resignado: “Respeitosamente peço que vocês me deixem em paz e permitam que meu site permaneça na Internet. Eu sei que vocês podem facilmente acabar comigo. A questão não é essa. Mas apenas se eu estiver aqui posso explicar isto ao resto do planeta”.

5/6/2001 - 17:00 Redação InfoGuerra

Entrou no ar esta semana a área de segurança e antivírus do MSN, portal de serviços e conteúdo da Microsoft. Desenvolvida pela Symantec, empresa especializada em tecnologia de segurança de Internet, que produz o conhecido Norton AntiVírus, a área traz informações sobre como o usuário pode proteger seu PC de vírus e hackers, além das ameaças mais recentes.

O canal vai oferecer dicas de segurança, alertas de vírus, artigos e informações sobre detecção de intrusos, filtragem de conteúdo e outros assuntos relacionados à segurança para a Internet, em ambientes domésticos e corporativos.

"Nossa meta é levar a informação ao maior número de pessoas possível, de maneira mais eficiente. Fechamos a parceria de conteúdo com o MSN Brasil porque o portal oferece os melhores serviços da Internet", diz Vicente Lima, diretor regional da Symantec no Brasil.

O novo canal também possui um centro de educação antivírus com informações sobre o que é um vírus, quais os tipos existentes, como são disseminados, que danos provocam nos sistemas, além de uma lista com os vírus mais perigosos.

"Entender como um vírus de computador funciona e como estar preparado para não ser atacado é mais eficaz do que procurar um remédio quando o problema já está instalado", diz Osvaldo Barbosa de Oliveira, diretor de negócios online do MSN Brasil.

As páginas podem ser acessadas a partir do endereço http://www.msn.com.br/informatica/seguranca.

5/6/2001 - 14:17 Giordani Rodrigues

A McAfee está alertando para a descoberta de um novo trojan chamado SPAM/Absolut que tem um comportamento sui generis. Em vez de roubar senhas ou monitorar a navegação do internauta, como é comum nesses programas, ele envia uma quantidade maciça de mensagens para endereços de e-mail ou salas de bate-papo da AOL. É um verdadeiro software de Spam (envio de mensagens não solicitadas).

O SPAM/Absolut é classificado de forma genérica como um Malware (malicious software), isto é, um programa com um código maléfico, intencionalmente projetado para executar tarefas não autorizadas e muitas vez es prejudiciais. O termo inclui outras categorias, como os vírus propriamente ditos, os worms e os trojans. A característica principal dessa nova ameaça é que ele precisa que alguém voluntariamente o acione para que entre em operação.

Segundo Patrícia Ammirabile, representante do McAfee AVERT (Anti Virus Emergency Response Team), este trojan permanece em repouso nos computadores de forma benigna. "Ele é executado manualmente por alguém que pretende usá-lo para um propósito de seu conhecimento. E, até o momento, é considerado de baixo risco", explica.

4/6/2001 - 20:06 Giordani Rodrigues

Você caiu no conto do Sulfnbk.exe e deletou o arquivo do seu Windows pensando tratar-se de um vírus? Não tenha vergonha, você não foi o único, ou a única. O problema é que muita gente agora não sabe como restaurá-lo. Há duas formas de fazê-lo e ambas são bem simples de executar. Siga as instruções abaixo:

1) Se você deletou o arquivo de forma simples, ele deve estar na lixeira do micro. Basta que você abra a lixeira, que possui um ícone na área de trabalho, e localize o arquivo Sulfnbk.exe. Clique nele com o botão direito do mouse e escolha a opção restaurar. Com isso, ele deve voltar ao seu local original, no diretório C:\Windows\Command.

2) Caso você tenha apagado o arquivo também da lixeira, como muitas versões do boato orientam, deverá restaurá-lo do CD de instalação do Windows ou da pasta que contém os arquivos de instalação do sistema operacional, caso estes tenham sido gravados no disco rígido do seu computador. Para isso, você deverá usar a ferramenta System File Checker (SFC), ou Verificador de Arquivos do Sistema, na versão em português. Siga os passos:

a) Insira o CD de instalação do Windows no drive de CD-ROM (caso os arquivos de instalação do sistema estejam no disco rígido, obviamente esta etapa é desnecessária)

b) Clique em Iniciar, depois em Executar. Escreva SFC na caixa de comandos e clique em OK.

c) Uma janela com duas opções será aberta. Escolha a segunda, “Extrair um arquivo do disco de instalação”. Na caixa para especificar o nome do arquivo, escreva “sulfnbk.exe”, sem as aspas. Clique em iniciar.

d) Uma nova janela será aberta, na qual você deverá especificar de onde quer extrair o arquivo e onde irá salvá-lo. Você deverá extrair o arquivo do CD de instalação que está no drive de CD-ROM ou da pasta que contém os arquivos de instalação do Windows. E deverá salvá-lo em C:\Windows\Command. Você poderá digitar estas opções ou indicá-las a partir do botão “Procurar”, o que é mais seguro. Feito isso, clique em OK. Se a operação for bem sucedida, você irá receber a mensagem “Arquivo restaurado com sucesso”. Feche as janelas que estiverem abertas.

Não se esqueça de que, como qualquer arquivo executável, o Sulfnbk.exe pode ser contaminado por vírus e ser enviado por e-mail. Se você recebê-lo anexado em alguma mensagem, não tente instalá-lo clicando no anexo. As chances de que ele esteja infectado são quase plenas. Simplesmente apague a mensagem de forma definitiva.

Saiba mais sobre o boato lendo os seguintes textos:

Sulfnbk.exe: antes um boato, agora uma falsa verdade

Falso vírus induz usuário a apagar arquivo do Windows

4/6/2001 - 16:32 Giordani Rodrigues

O argentino que atende pelo apelido de [K] é mesmo imprevisível. Criador da feramenta VBS Worm Generator (VBSWG), que serve para produzir vírus, ele já falou que está cansado de publicidade. No entanto, usa o seu site para postar mensagens que despertam a atenção da mídia. A última chama as empresas antivírus e os repórteres de estúpidos.

“Estúpidos repórteres e caras das empresas antivírus, não digam que todos os novos worms são feitos com o VBSWG, porque não são. Nem mesmo o Homepage ou o outro que está circulando são feitos com o VBSWG. Por favor, verifiquem antes de falar”, é o teor aproximado da mensagem, em inglês.

O outro vírus ao qual se refere certamente é o Mawanella, também chamado de VBS/VBSWG-Z, que infectou muitas máquinas em algumas horas, há cerca de 20 dias. O Homepage (VBS/VBSWG-X), descoberto pouco antes, espalhou-se com uma velocidade comparável ao Kournikova e ao I Love You.

É verdade que foi largamente divulgado, inclusive por InfoGuerra, que estes dois vírus foram criados com o VBSWG. [K], que tem 18 anos e mora em Buenos Aires, foi contatado para falar sobre o porquê de suas afirmações. A princípio ele não quis dar entrevista, mas acabou concordando com a publicação das informações que forneceu.

Ele alega que os vírus criados com o VBSWG possuem variáveis aleatórias, enquanto o Homepage tem variáveis “normais”. Diz que o Homepage foi produzido com tabelas e que se alguém abrir o código do vírus verá que ele foi “escrito” e não criado automaticamente por um programa. Para comprovar suas afirmações, sugere que se compare o código do Homepage com o do Kournikova, o qual admite ter sido criado com sua ferramenta.

[K] está certo? Sim, ele tem razão ao afirmar que o Homepage não foi feito puramente com o VBSWG, mas existem outras questões que devem ser analisadas. O engenheiro de sistemas da Symantec, Ricardo Costa, esclareceu o assunto. Ele entrou em contato com o Symantec AntiVirus Research Center (SARC), que enviou a seguinte resposta:

"Apesar de o VBS.VBSWG2.X@mm (VBS.HomePage) possuir algumas tarefas específicas, a similaridade de seu código de replicação faz com que o mesmo pertença à família do VBSWG. Mesmo sendo diferente, seu código é baseado no código do VBSWG. Provavelmente foi criado por alguém que possuía ‘exemplos’ antigos de vírus criados com o VBSWG e modificou manualmente o código criado pelo kit".

Ricardo Costa, no entanto, faz questão de frisar que em nenhum momento a Symantec divulgou que o Homepage havia sido criado com o VBSWG. “Creio que faz parte da política da empresa não divulgar informações desse gênero, para não estimular outras pessoas a usarem tais ferramentas”.

O diretor de operações da Trend Micro para a América Latina, Hernán Armbruster, tem uma opinião semelhante quanto à origem do vírus. “Mesmo que o Homepage não tenha sido gerado diretamente pelo VBSWG, ele faz parte da família de vírus criados pelo programa. Se alguém modifica um vírus produzido com o VBSWG, ele continua sendo fruto da ferramenta”.

“Temos de admitir que a invenção do VBSWG foi um acontecimento importante para a história dos vírus”, continua. “O kit serve como um divisor de águas. Há um antes e um depois dele. Diariamente são gerados vírus com a ferramenta, ou são feitas cópias e modificações de vírus criados por ela.”

Para demonstrar as conseqüências que o programa trouxe para a indústria, Armbruster cita o fato de que a Trend Micro lançou uma nova tecnologia, chamada Script Trap, especialmente projetada para detectar as pragas geradas pelo VBSWG e suas variantes.

Leia também:

Homepage lidera lista de vírus mais ativos em maio

Entrevista com [K], criador do kit que gerou o vírus Kournikova

4/6/2001 - 11:30 Giordani Rodrigues

Os estudantes que se preparam para ingressar na Universidade de São Paulo (USP) tiveram uma surpresa, neste sábado, ao acessar o site da Fundação Universitária para o Vestibular (Fuvest), que realiza as provas para a instituição. Em vez das informações corriqueiras sobre o vestibular, encontraram uma página com fundo negro e o título “O site da Fuvest está temporariamente HACKEADO pelo grupo MIH”.

O MIH, que algumas vezes se assina Men In Hack e outras, Man In Hack, criticou a segurança do servidor, chamando-o de ridículo. “Ridículo porque é inseguro e permite que qualquer um (isso mesmo, eu sou qualquer um) entre aqui e delete/modifique o que quiser, como o calendário de provas por exemplo”, escreveram os invasores.

O grupo também alterou o conteúdo enviado a celulares WAP (Wireless Application Protocol), que pode ser acessado pela própria Internet por meio de simuladores. “Será que este é o primeiro site wap hackeado no Brasil?”, dizia a mensagem.

Os hackers alegaram que a culpa pela invasão não foi deles, mas de um dos responsáveis pelo sistema da Fuvest, Paulo Sérgio Cardoso. Este admite o ataque, mas não se abala. “Foi uma invasão primária. Os hackers deixaram gravado no servidor o nome de usuário e a senha do seu FTP (File Transfer Protocol)”, comentou.

Cardoso revela que a falha que permitiu a invasão foi uma nova variante do conhecido bug Unicode, que afeta servidores Microsoft IIS 4.0 e 5.0. O site da Fuvest utiliza sistema operacional Windows NT e 2000 e servidores IIS 4.0. “Fiz o acerto na sexta-feira, mas os hackers mudaram alguns comandos e conseguiram encontrar uma brecha”.

Segundo Cardoso, o sistema já está corrigido, mas continua sendo alvo de ataques. “De ontem para hoje, tentaram invadir o site mais de 20 vezes. Não sei porque cismaram com a Fuvest. O site só tem informações para os vestibulandos”. O espelho da invasão foi registrado por Alldas.de e pode ser visto aqui.

Leia também:

Microsoft lança pacote de correções para o IIS

4/6/2001 - 0:00 Giordani Rodrigues

Cerca de 50 mil participantes do projeto SETI@home (Search for ExtraTerrestrial Intelligence), desenvolvido pelo SETI Institute e pela Universidade Berkeley, tiveram seus endereços de e-mail roubados e divulgados na Internet. Os invasores exploraram uma falha de segurança no protocolo de comunicações do sistema. Os responsáveis pelo SETI@home informaram que o problema já foi corrigido e que nenhum outro dado foi comprometido.

“Encaramos isto como um roubo significativo de nossos (e seus) dados e estamos seguindo procedimentos legais contra essa pessoa ou pessoas”, diz uma nota divulgada no site do projeto. Além de publicar as informações na Internet, os intrusos enviaram mensagens às pessoas afetadas avisando sobre a ação.

O SETI@home é um projeto científico que utiliza computadores conectados à Internet para investigar sinais de inteligência extraterrestre. Seu objetivo é alcançar o máximo de potência dos computadores para analisar freqüências de rádio emitidas pelo universo e detectar sinais de outras civilizações.

Atualmente, conta com mais de 3 milhões de participantes registrados e está aberto ao público. Os interessados devem baixar um programa que obtém e analisa os sinais detectados pelos telescópios do projeto. O programa age como um protetor de telas, utilizando o tempo ocioso das máquinas para processar os sinais.

3/6/2001 - 10:51 Giordani Rodrigues

O site da CyberNanny, empresa que produz um software de mesmo nome para filtrar conteúdo inadequado para menores de idade na Internet, passou a apresentar, ele próprio, um conteúdo que certamente seria censurado por seu programa. Um grupo chamado “Ezoons” que se define como o “clube vulgar dos hackers homossexuais”, pichou a página principal do site com palavrões e defesas da causa gay, neste final de semana.

Além dos símbolos de algumas organizações homossexuais, os hackers encheram a página com as cores do arco-íris, que representam a comunidade gay. Também puseram como fundo a música "YMCA", do grupo Village People, que fez sucesso nos anos 70 e 80 e até hoje serve como ícone da cultura gay. O próprio título dado ao site — uma gíria em língua inglesa para o sexo oral — teria sido imediatamente banido pelo software.

É a terceira vez este ano que o site da CyberNanny é desfigurado. As duas primeiras, em abril, foram assinadas pelos grupos Hackweiser e o brasileiro Data Cha0s. O Hackweiser postou links para fotos pornográficas e outras obscenidades no site.

O sistema utiliza servidor Apache em plataforma FreeBSD, uma combinação que sofre relativamente poucos ataques. No momento, o site apresenta apenas uma página em branco. O Alldas.de possui os registros das três invasões deste ano, que podem ser vistos aqui.

Censura inadequada

De uso ainda restrito no Brasil, os filtros de conteúdo na Internet são bastante difundidos nos Estados Unidos, onde têm sofrido várias críticas. Os programas funcionam censurando páginas por meio de palavras ou expressões específicas, como pornografia, drogas, violência e outras. O problema é que os utilitários não têm a capacidade de interpretar o contexto em que tais palavras estão inseridas.

Assim, centenas de sites inocentes ou educativos podem deixar de ser acessados por causa da “censura cega” desses programas. O ativista Seth Finkelstein possui uma página em que analisa vários absurdos. Listas de discussão sobre Aids, sites de esportes, de entidades religiosas, de música e até tradutores eletrônicos são bloqueados por alguns softwares.

Existe até uma página dedicada a promover um concurso das mais tolas censuras. Algumas delas: o próprio site do congressista republicano Richard "Dick" Armey, ferrenho defensor da restrição de conteúdo na Internet, é filtrado por programas como CyberNanny, que ele aconselha. A causa: dick, em inglês, é gíria para “pênis”.

Uma mulher chamada Hillary Anne não consegue registrar o e-mail hillaryanne@hotmail.com porque os filtros localizam a palavra embutida aryan (ariano) e a consideram como inadequada.

E o grande vencedor: um estudante não consegue acessar o site de sua escola secundária, chamada de high school nos EUA, a partir da biblioteca da própria instituição. A causa está na palavra high (alto), que na gíria inglesa (e também no Brasil) significa “sob efeito de drogas”.

2/6/2001 - 16:20 Giordani Rodrigues

O worm VBS/VBSWG-X, que ficou conhecido como Homepage, além de se espalhar rapidamente pelo mundo há 3 semanas, também alcançou o primeiro lugar na lista dos vírus mais ativos de maio. A informação é da Sophos, que publicou, ontem, seu tradicional ranking dos 10 principais vírus de cada mês.

“Os administradores de sistemas devem não apenas assegurar-se de que os programas antivírus de suas companhias estão atualizados, mas também implementar o bloqueamento de conteúdo nas portas de comunicação de e-mail, prevenindo a entrada de arquivos executáveis e de Visual Basic Script em suas redes”, recomenda Graham Cluley, consultor sênior de tecnologia da empresa.

Seguindo de perto o Homepage vem o Magistr, um vírus complexo e altamente destrutivo, que tem feito bastante estrago no Brasil e ocupou o primeiro lugar no mês de abril. A lista também apresenta, em sexto lugar, o VBS/VBSWG-Z, também chamado de Mawanella. Este vírus traz uma mensagem política sobre a destruição de uma vila mulçumana no Sri-Lanka e ganhou destaque em meados de maio pela velocidade com que se expandiu.

A Sophos faz questão de mandar mais um recado às empresas, lembrando que todos os vírus, mesmo aqueles que possuem uma mensagem moral, trazem efeitos adversos para os negócios. Além das horas de trabalho perdidas enquanto os sistemas são desinfectados, as companhias que enviam vírus inadvertidamente aos seus clientes e associados correm o risco de comprometer seriamente sua credibilidade.

Pelos cálculos da Sophos, foram descobertas 920 novas pragas de computador no mês de maio. A lista com os dez mais pode ser vista abaixo:

1/6/2001 - 17:08 Giordani Rodrigues

O ieG (internet e-mail Grátis) entrou em contato para esclarecer as informações apresentadas na matéria intitulada “Bug no ieG permite criar e-mail falso”. A notícia afirmava que é possível criar uma conta de e-mail com qualquer nome, sem necessidade de senha nem de cadastro no site da empresa. A informação partiu de um leitor de InfoGuerra. O site fez testes, constatou a veracidade do fato e enviou uma mensagem para a empresa solicitando maiores informações, mas não obteve resposta. Ontem, depois da publicação da matéria, recebemos duas mensagens esclarecendo o fato.

Segundo o ieG, o problema não está em seu serviço, e sim no protocolo SMTP (Simple Mail Transfer Protocol), que controla o tráfego de e-mail na Internet. “Utilizando os mesmos métodos descritos na matéria, é possível fazer alguém se passar por outra pessoa, em virtualmente qualquer serviço”, afirma Bruno Conte, consultor de Tecnologia da Informação da WebForce Networks, empresa que administra os serviços ieG e hpG. “Para evitar esse problema, existem os mecanismos de certificados de autoria (VeriSign, PGP, etc.)”.

Conte explica que uma vez que se tenha acesso a um servidor de SMTP, basta que o usuário altere suas configurações no Outlook e envie os e-mails com um endereço de remetente qualquer. “Faz parte da ‘etiqueta’ da rede, endossada pelo Comitê Gestor, Fapesp e grupos de combate ao SPAM, que cada provedor de acesso cuide para que somente seus usuários possam utilizar os servidores de SMTP”.

“No caso do ieG/hpG, por não provermos acesso, adotamos um sistema de autenticação que só permite ao usuário utilizar nossos servidores de SMTP depois de verificar sua caixa postal (POP3). Assim, obtemos um endereço IP onde sabemos estar um usuário válido de nosso sistema, e só permitimos que endereços IP ‘válidos’ acessem nosso sistema para envio de e-mails. Esse mecanismo é conhecido como POP-ticketing". Veja abaixo os outros pontos da mensagem:

“O grande problema do protocolo é que ele não permite uma verificação do remetente no provedor que possui ‘de direito’ um determinado domínio. Por exemplo, se um usuário do UOL envia uma mensagem para um usuário do Terra, fazendo-se passar por alguém ‘@infoguerra.com.br’, em nenhuma parte do processo é verificada a autenticidade do remetente com qualquer servidor do ‘infoguerra.com.br’. Daí a facilidade em se fazer essa ‘falsificação’ de remetentes”.

“Isso, no entanto, tem soluções. O próprio Outlook da Microsoft já vêm ‘da caixa’ com suporte a certificados, que utilizam sistemas de chaves públicas e criptografia para ‘assinar’ a mensagem, garantindo a autenticidade do remetente e também do conteúdo da mensagem. Para a comunicação mais corriqueira, de qualquer forma, isso não costuma ser um problema, pelo processo natural de ‘reply’ que evita que esse tipo de abuso tenha conseqüências mais graves”.

“No entanto, essa discussão nos deu algumas idéias, e é possível que pelas particularidades do sistema do ieG (usuário deve checar a caixa postal antes de enviar mensagens) nós possamos, a despeito do que é usual na Rede, elaborar um sistema diferenciado, que só permita o envio de mensagens com um remetente que confira com o nome de usuário utilizado na verificação de caixa postal”.

“Bem entendido, isso faria com que nenhum usuário do ieG pudesse enviar mensagens através de nosso sistema falseando o remetente. No entanto, qualquer pessoa poderia, através de outros provedores, fazer se passar por um usuário do ieG, ou por um usuário de qualquer outro provedor/serviço”.

Por uma questão de justiça com o ieG, retiramos a matéria do ar, pois como ficou explicado, o problema não é específico de seus servidores, mas de todo o protocolo SMTP. O assunto, no entanto, serve como um alerta às pessoas de que, mesmo que o endereço do remetente pareça autêntico, não se deve confiar plenamente em mensagens de e-mail. Golpes podem ser aplicados utilizando o artifício descrito acima.