30/6/2004 - 21:42 Murilo Pinto

Um novo tipo de ataque vem sendo utilizado para infectar máquinas com o Internet Explorer instalado. Usando a capacidade de inserir componentes automaticamente no computador do visitante de uma página Web, os ladrões de senhas instalam um cavalo-de-tróia como um “objeto auxiliar do navegador”, ou BHO, na abreviação em inglês.

Esses componentes são geralmente usados para adicionar funcionalidades ao navegador, como as das barras de ferramentas de sites de busca e portais ou programas antivírus, mas também para funções menos visíveis, como a que permite abrir no próprio navegador documentos no formato PDF. O próprio Banco do Brasil utiliza um BHO na segurança dos usuários de seu site. Esses objetos compartilham as permissões de acesso do navegador, dando um poder considerável em sua atuação.

O ataque, analisado e divulgado pelo SANS Internet Storm Center, utiliza inicialmente janelas pop-up de serviços de publicidade para infectar as máquinas alvo. Segundo o Instituto, é possível que o servidor de publicidade tenha sido comprometido. Outra vulnerabilidade explorada é a que permite a execução de arquivos remotos de ajuda do Windows.

Após ter sido instalado, o componente do navegador passa a monitorar conexões seguras a determinados bancos e registrar os dados enviados por formulários, mesmo em ambientes seguros. Os dados são coletados antes de serem criptografados pela conexão SSL e enviados para um script em um outro servidor, que por sua vez os repassa ao “dono” do cavalo-de-tróia.

O ataque pode atingir mesmo as últimas versões do Internet Explorer com todas as atualizações instaladas. Mas usuários de firewalls e, em especial, da versão mais recente do Spybot, estão potencialmente protegidos. Algumas funcionalidades desses softwares permitem a monitoração e desativação dos BHOs. O Spybot mantém uma listagem classificada em produtos legítimos, duvidosos e confirmadamente perigosos. Outra ferramenta útil e gratuita é o BHODemon, que lista todos os BHOs instalados num sistema Windows e permite ao usuário desabilitar os que desejar. O software também fornece uma lista dos BHOs classificados como "bons".

Outros navegadores também possuem componentes, chamados de extensões ou plug-ins, por exemplo, que, uma vez instalados, atuam como os BHOs do Microsoft Internet Explorer. A diferença pode estar na facilidade de instalar esses componentes no uso regular do navegador. A atualização SP 2 do Windows XP, que está em versão de testes e deve sair nos próximos meses, inclui um gerenciador de BHOs que deve facilitar a identificação e remoção dos arquivos inconvenientes.

Leia também

Vírus usa falha do IE e infecta a partir de imagem BMP

Erro do IE permite "roubar" certificados de segurança

Bug no Explorer e IE abre PC a invasões

Nova técnica de fraude falsifica endereços no navegador

Problema no IE e OE facilita "phishing"

30/6/2004 - 21:26 Murilo Pinto

Erros de português são muito comuns em scams (e-mails fraudulentos) e servem até como indicativo de que uma mensagem não foi enviada pela empresa cujo nome aparece no golpe. Mas um scam em nome da Embratel, que está circulando hoje, foi o campeão de erros crassos.

A mensagem alega, com vírgula entre o sujeito e o verbo, que o cliente não "efetuol" o pagamento da fatura de março de 2001, e que deve clicar no "linck" que simula ser o do site da Embratel, para maiores informações. O texto todo possui falhas de concordância e coerência, além da falta de acentos, uso incorreto de iniciais maiúsculas e outros sinais da escrita, como parênteses e uso de acento circunflexo no lugar de til. A mensagem finge ser assinada pelo setor de cobranças da Embratel, mas traz um endereço de e-mail com o domínio furol.com.br, que está registrado para a empresa Mandic.

O usuário que seguisse a recomendação da mensagem baixaria o arquivo "relato.zip", que carrega um cavalo-de-tróia identificado pela McAfee como PWS-Bancban.b. O programa coleta dados de usuários de bancos nacionais, como Itaú, HSBC e Banespa, e os envia por e-mail aos fraudadores.

A cara-de-pau do golpista chega ao ponto de usar o próprio serviço de acesso gratuito da Embratel, o Click 21, para enviar as mensagens falsas aos usuários.

Confira a reprodução da mensagem:

A Embratel (empresas brasileiras de telecomunicaçôes) lhe comunica, que você ainda não efetuol o pagamento de sua conta. A sua fatura que se encontra em debito em nosso sistema e mes.

março de 2001.

Se você efetuol o pagamento ou quiser saber maiores informaçôes click no linck abaixo.

http://www.embratel.com.br

Estamos lhe comunicando que o nâo pagamento da fatura, seu nome ira para o (sistema serasa).

prefira o 21 da embratel!!!

―--―--―--―--―--―---
(Embratel) Setor de cobranças!>
embratel21@furol.com.br

Leia também

Scam usa até Polícia Federal para enganar usuários

Golpe contra clientes do BB usa até teclado virtual

Supostos problemas com CPF são isca para scam

Falso seguro do BB contra fraudes é isca de golpe eletrônico

Golpes de "phishing" crescem 180% em abril

30/6/2004 - 20:51 Redação InfoGuerra

É cada vez menor o tempo entre a divulgação de uma vulnerabilidade de segurança em um produto e a distribuição de vírus e outros programas daninhos que se aproveitam dessas falhas. A Trend Micro, fornecedora de produtos antivírus, constatou um aumento de 20 vezes na velocidade de exploração de vulnerabilidades nos últimos três anos.

O levantamento da empresa aponta que o Nimda, detectado em 18 de setembro de 2001, teve a falha de segurança correspondente divulgada em 17 de outubro de 2000, uma janela de 336 dias para corrigi-la. O Slammer, detectado em 25 de janeiro de 2003, utilizou vulnerabilidades conhecidas desde 24 de julho de 2002, deixando uma janela de 185 dias.

Desde então, a velocidade de exploração das falhas aumentou bruscamente: o Blaster utilizou falhas divulgadas em 16 de julho de 2003 e foi detectado pela primeira vez em 11 de agosto de 2003, apenas 26 dias depois. O Sasser, um dos últimos a causar grandes transtornos em todo o mundo, foi detectado em 1º de maio de 2004, utilizando uma falha conhecida apenas em 12 de abril do mesmo ano. O tempo entre a divulgação da falha e sua exploração nesse caso foi de meros 19 dias.

Especialistas de segurança de informática já prevêem para breve a explosão das chamadas "zero-day exploits", ou vulnerabilidades que são exploradas simultânea ou imediatamente após a descoberta da falha, de alta gravidade. Esse tipo de vulnerabilidade é importante para crackers, que se utilizam da falta de soluções ou do desconhecimento do fornecedor e usuários sobre o problema para disseminar rapidamente ataques e programas destrutivos.

A possibilidade de ataques "zero-day" atingirem de forma crítica computadores em todo o mundo exige que administradores e usuários tomem cada vez mais cuidados ativos e preventivos ao proteger seus sistemas. "Nos últimos três anos, os criadores de vírus estão cada vez mais rápidos e a tendência é acelerar mais ao longo do tempo. Sendo assim, os administradores têm cada vez menos tempo para atualizar os patches de segurança em suas redes", afirma o gerente de novos negócios da Trend Micro, Fábio Picoli.

"Por mais que os administradores de TI implementem os patches na rede, muitas vezes usuários externos, consultores e máquinas não compatíveis com as políticas das corporações continuam acessando o ambiente sem nenhum controle. Essas são as origens críticas de infecções e até mesmo reinfecções nas corporações".

Leia também

Relatório aponta tendências de segurança na Internet

Você instala patches?

Vírus explora falha recente do Windows

No final da semana passada, o provedor Tutopia enviou mensagens em massa para usuários de sua rede, mas incluiu entre os destinatários ex-usuários que já cancelaram a conta há anos, ou gente que sequer usa a Internet. A mensagem, com o título "Tutopia em mais de 750 cidades!!!”, trazia um link para a suposta remoção do mailing do provedor e uma tradicional justificativa, inventada por spammers, que cita um inexistente congresso internacional e seu decreto sobre o spam.

O rodapé das mensagens continha o seguinte texto: "Caso não seja usuário da Tutopia e deseje parar de receber estas informações, por favor responda este e-mail digitando a palavra REMOVER no campo 'Assunto'. Desta forma não lhe serão mais enviadas mensagens comerciais. Para maiores informações clique aqui. Segundo decreto S1618 titulo 3ro. Aprovado pelo 105 congresso de padronização das normas internacionais, um e-mail não poderá ser considerado SPAM caso tenha alguma forma de ser removido.”

Clicando no link indicado, o usuário iria parar numa página que repetia o “mico” sobre o “105 congresso” e levava a uma terceira, com a mesma justificativa. O tal decreto S.1618, na verdade, é a emenda S.1618, também chamada de "Anti-slamming Amendments Act", proposta pelo Senado (por isso o “S”) dos Estados Unidos em 1998, durante a vigência do 105º congresso dos parlamentares daquele país. A emenda, que atualizava o “Communications Act“ de 1934, tinha o propósito principal de aumentar a proteção dos consumidores contra atos de “slamming”, uma prática desleal que se tornou comum entre as operadoras de telefonia nos EUA e consistia em uma empresa “roubar” clientes da outra sem o consentimento destes e muitas vezes com ofertas enganosas.

A emenda, porém, nunca foi aprovada pelos deputados norte-americanos e, mesmo que tivesse sido, não teria validade jurídica alguma no Brasil, muito menos internacionalmente. Mesmo assim, um trecho desse "projeto de lei" que citava regras para o envio de e-mail não solicitado foi adaptado por spammers para servir às suas próprias conveniências. E readaptado pela Tutopia.

Apesar disso, o provedor possui uma Política de Uso Aceitável, com o seguinte texto na cláusula 2: "É considerado uso proibido dos produtos, serviços ou sistemas da Tutopia: (...) Enviar mensagens não solicitadas ('spam'), sejam estas mensagens dotadas de caráter comercial ou não, incluindo o envio de outros materiais de propaganda para indivíduos que não tenham, explicitamente, solicitado o recebimento das mesmas, utilizando-se de servidores da Tutopia ou de servidores que estejam utilizando o espaço de endereçamento IP alocado para a Tutopia pelos órgãos competentes. Isto inclui, mas não está limitado a: enviar mensagens em massa de propaganda comercial, anúncios ou congêneres e propaganda política”.

No momento em que esta matéria ia ao ar, a propaganda da Tutopia ainda podia ser vista online, aqui. InfoGuerra enviou e-mail para vários endereços corporativos (marketing, suporte, atendimento, comercial, e outros) da IFX Networks, multinacional que controla o provedor Tutopia, solicitando esclarecimentos sobre o spam e sobre a lei alegada, mas após dois dias não recebeu resposta de nenhum deles. Porém, uma das justificativas que a empresa poderia dar está na página citada no rodapé dos spams:

“Em muitos casos durante o processo de registro com a Tutopia, alguns usuários informaram contas de e-mails pertencentes a outras pessoas. Por esta razão algumas pessoas estão recebendo nossos comunicados sem estarem devidamente cadastrado (sic).”

Um dos que recebeu o spam da Tutopia, junto com seu pai, foi um membro do Movimento Brasileiro Anti-Spam, que deu o alerta na lista do grupo: “Quem quiser se proteger, corra... eles compraram um cadastro de spam e estão fazendo a festa”. Ele diz que seu pai “não tem Internet e não sabe o que é e-mail”, mas mesmo assim o provedor enviou uma mensagem para um endereço restrito, cadastrado em nome dele apenas no Registro.br. “Pelo menos no caso do meu pai, é o mais puro spam”, afirma.

Leia também:

O que dizem as leis anti-spam pelo mundo

22/6/2004 - 21:53 Redação InfoGuerra

Um novo “phishing scam” utiliza o nome da Polícia Federal para convencer usuários incautos a instalar softwares espiões em seus computadores. “Phishing” é o nome dado a fraudes eletrônicas que tentam enganar o usuário passando-se por mensagens e sites de empresas e instituições legítimas e conhecidas.

A mensagem que envolvia a PF “informava” que o computador do usuário havia sido atacado por vírus enviado pelo e-mail, do tipo cavalo-de-tróia. Esse dado constaria nos registros do órgão. O e-mail afirmava ainda que devido ao “alto índice de operações fraudulentas detectadas no Sistema Financeiro Nacional”, a polícia estaria disponibilizando a todos os usuários “da rede mundial de computadores - Internet” com e-mails cadastrados em sites, “pagos ou não”, um “sistema anti-spy” de rastreamento.

O nome do programa seria Orçamento, escolhido “em decorrência dos fraudadores utilizarem em 90% de suas invasões o esquema do envio de e-mail solicitando uma cotação/orçamento de produtos ou serviços as suas possíveis vitimas.” A ferramenta supostamente permitiria à polícia rastrear “através do endereço IP os criminosos que infectam diariamente os computadores de milhares de usuários menos cautelosos”.

Toda, obviamente, servia apenas para enganar os internautas mais facilmente. Na verdade, o programa “orçamento” era um arquivo compactado (orcamento.zip), com o cavalo-de-tróia TROJ_BANCOS.P incluído. O programa malicioso é destinado ao monitoramento de usuários em sites de bancos brasileiros, entre os quais banco do Brasil, Itaú e Bradesco. As senhas e dados de login informados nesses sites seriam enviados aos fraudadores sem que o usuário se desse conta. O Parite, um vírus destrutivo, também era encontrado no pacote.

Como de praxe, usuários que não seguem links em mensagens de e-mail não deveriam ser afetados, já que identificariam que o arquivo não se encontrava em servidores confiáveis da Polícia Federal.

Além disso, a mensagem continha outros elementos suspeitos e até mesmo provocações à polícia. O e-mail vinha em nome da “Superintendência Regional do Sul e Sudeste do Pará”, sem contar a explicação estapafúrdia para o fato de o programa ter sido batizado de “Orçamento”. Uma análise do cabeçalho mostrou que o golpe procedia de um provedor de Marabá, no Sul do Pará, cidade onde foram presos integrantes de uma quadrilha que já usou várias vezes um arquivo com nome de “orcamento” em seus golpes.

Veja uma reprodução do texto da mensagem:

MINISTÉRIO DA JUSTIÇA
DEPARTAMENTO DE POLICIA FEDERAL
SUPERINTENDÊNCIA REGIONAL DO SUL E SUDESTE DO PARÁ

Prezado Senhor,

Consta em nossos registros que seu computador, através de seu e-mail (correio eletrônico), foi vitima de ataque de vírus de computador, do tipo cavalo-de-troia. Por esse motivo e em decorrência do alto índice de operações fraudulentas verificadas no Sistema Financeiro Nacional, efetuadas por indivíduos chamados popularmente de hackers, estamos disponibilizando a todos os usuários da rede mundial de computadores - Internet - que tenham web mail cadastrado em sites, pagos ou não, o sistema anti-spy de rastreamento, denominado Orçamento, para que possamos rastrear através do endereço IP os criminosos que infectam diariamente os computadores de milhares de usuários menos cautelosos. Para isso, basta copiar o programa que estamos disponibilizando abaixo.

Contamos com seu apoio, sem o qual será inviável nosso esforço.
E o que nos cumpre informar.

PAULO DUARTE DE AFONSO
Delegado de Policia Federal

Copiar Orçamento DPF

Obs.: Orçamento foi o nome escolhido em decorrência dos fraudadores utilizarem em 90% de suas invasões o esquema do envio de e-mail solicitando uma cotação/orçamento de produtos ou serviços as suas possíveis vitimas.

Leia também

Supostos problemas com CPF são isca para scam

Golpe aproveita confusão causada por vírus e antivírus

Golpes de "phishing" crescem 180% em abril

Censo online é falso, alerta IBGE

Confira dicas para evitar golpes online

22/6/2004 - 21:50 Redação InfoGuerra

O deputado federal Hidekazu Takayama (PMDB/PR) apresentou no último dia 8 de junho, na Câmara dos Deputados, um novo projeto de lei para combater os spams no Brasil. O projeto, que foi anexado ao PL 2186/03, do deputado Ronaldo Vasconcellos (PTB/MG), nem bem saiu e já vem sendo criticado.

Segundo comentários em listas de discussão especializadas, os principais problemas seriam a adoção da abordagem "opt-out", em que o usuário precisa explicitar seu desejo de não mais receber mensagens do spammer, e a permissão de envio de uma primeira mensagem comercial. Nisso, o PL apenas repete propostas anteriores.

Outro ponto que levanta dúvida sobre a validade do projeto é a menção explícita a produtos ilegais, como mensagens que oferecem programas piratas, falsos remédios milagrosos e esquemas de pirâmides. Se aprovada, a lei de certa forma regularia a prática de tais atividades. Isso não as tornaria legais, mas, de qualquer forma, reguladas por lei federal.

A justificativa do projeto também relaciona o spam à pedofilia e fraudadores. Enquanto os últimos efetivamente utilizam cada vez mais técnicas de envio de mensagens em massa para disseminar golpes como os chamados "phishing scams", a pedofilia não é um dos "grandes mercados" para o spam. Sites pornográficos costumam apelar para a prática, mas geralmente são legais sob o aspecto da idade dos modelos.

Leia também

Projeto anti-spam recebe parecer favorável no Senado

Projeto prevê "recompensa" a quem identificar spammers

Especial: Os fins não justificam os e-mails

Outro projeto admite o envio de spam uma única vez

22/6/2004 - 20:54 Murilo Pinto

Um boato sobre a suposta descoberta de esqueletos gigantes nos desertos árabes tem sido divulgado intensamente por e-mail e blogs. No Brasil, a "notícia" atingiu especialmente blogueiros e sites cristãos, para os quais a descoberta confirmaria passagens do texto bíblico.

O texto do e-mail que chegou ao conhecimento de InfoGuerra era uma versão em português de notícia publicada no The New Nation - "A fonte de informações independente de Bangladesh", de acordo com o slogan do site. O serviço de notícias parece fazer parte de um grupo editoral com conteúdo principalmente em árabe.

O curioso é que a versão original, em inglês, também trazia conteúdo religioso, mas nesse caso, a descoberta comprovaria textos islâmicos.

O primeiro registro dessa mensagem e da foto, em inglês, é de março deste ano, segundo o site About.com. A foto, no entanto, faz parte de um concurso de manipulação de fotos realizado em outubro de 2002. O objetivo era criar falsificações fotográficas de descobertas arqueológicas em 48 horas. O participante do concurso utilizou fotos de escavações reais e encaixou o esqueleto do "gigante" nelas.

Veja o texto que circula em português:

Acreditem se quiser:
A recente atividade de exploração de gás na região do sudeste do deserto da Arábia, descobriu a existência de um esqueleto humano de tamanho fenomenal. Esta região do deserto da Arábia é conhecida como Quadrante Vazio, ou em árabe, 'Rab-Ul-Khalee'. A descoberta foi feita pela equipe da Exploração da Aramco.

O Exercito de Saudi isolou a área inteira e ninguém está autorizado a entrar exceto o pessoal da Aramco. Foi mantido em segredo, mas um helicóptero militar fez exame de reconhecimento e obteve alguns retratos aéreos e um destes, o qual foi divulgado através da Internet na Arábia Saudita. Veja o acessório e note o tamanho dos dois homens que estão no retrato comparados ao tamanho do esqueleto!!
Caso vc ache que é falsa a informação, abra este link:
http://nation.ittefaq.com/artman/publish/article_8519.shtml

22/6/2004 - 20:00 Redação InfoGuerra

Foi divulgada uma vulnerabilidade de segurança no Symantec Enterprise Firewall que permite um ataque de envenenamento do cache DNS. Um ataque bem-sucedido pode direcionar usuários para sites falsos ao tentarem acessar os endereços reais normalmente ou bloquear o acesso a determinados sites.

Se o servidor estiver com o cache DNS ativado, o proxy DNS integrado confia na resposta recebida do servidor DNS, sem conferir se a resposta corresponde a uma requisição realizada ou se é válida, o que permite o ataque.

De acordo com o descobridor da vulnerabilidade, que usa o apelido de "fryxar", a falha foi confirmada nas versões 7.0.4 e 8.0 do produto para o sistema operacional Solaris, mas outras plataformas e versões também podem estar comprometidas. Ele afirma ainda que alguns servidores DNS públicos utilizam essa falha para redirecionar domínios inexistentes a seus sites, mas o problema poderia servir para ataques do tipo "homem-do-meio", negações de serviço ou de engenharia social.

O problema parece ainda não ter sido corrigido pela Symantec. Por enquanto, a recomendação para evitar o ataque é a desativação do proxy DNS até que a falha seja corrigida.

21/6/2004 - 21:56 Murilo Pinto

A Panda Software, fornecedora de antivírus, levantou a hipótese de que a grande quantidade de versões do worm Korgo surgidas nos últimos dias pode ser uma experiência de seu criador. A empresa acredita que o worm pode estar sendo melhorado gradualmente para atacar de modo cada vez mais eficiente.

Quando surgiu, o worm parecia-se mais com uma cópia do Sasser. Ambos ― e muitos outros ― utilizam a falha no serviço LSASS do Windows para se copiarem automaticamente pela Internet. Mas o Korgo não dá sinais de contaminação, ao contrário do Sasser, que força continuamente o reinício do computador. Dependendo da versão, o Korgo também apaga determinados arquivos, abre portas dos fundos e tenta se conectar a vários servidores IRC. Outro ponto é que algumas versões do Korgo usam mutex (objetos de exclusão mútua), que impedem a execução simultânea de dois processos idênticos. Cada versão tem seu próprio mutex, no entanto.

Certas versões do worm alteram sucessivamente o registro do Windows, o que permite rastrear algumas seqüências de sua linhagem. A Panda aponta o exemplo do Korgo-D, que altera os dados do registro criados pelo Korgo-F, ou seja, a versão D é posterior a F.

Segundo Luis Corrons, analista-chefe da empresa antivírus, o esforço dedicado ao Korgo é diferente do observado com outros worms. Não se trata de uma corrida pela criação de versões sucessivas do vírus para contaminar o maior número possível de computadores no menor tempo possível, já que as novas versões desativam as anteriores, nem do típico desenvolvimento por diversão. O objetivo seria aperfeiçoar o código até criar um vírus altamente danoso, que surpreenderia os usuários. Como uma das características importante do Korgo é agir de forma oculta, a epidemia não seria notada por algum tempo.

O que pode parecer ingenuidade dos criadores ― utilizar uma vulnerabilidade importante e largamente divulgada, que recebeu atenção da grande mídia e, em tese, está devidamente corrigida na maioria dos computadores ― é explicada pelo boletim da Panda. Para a empresa, os criadores poderiam, a qualquer momento, utilizar para espalhar o vírus uma nova vulnerabilidade que venha a ser descoberta.

Alguns ataques com o Korgo deixam portas abertas que estão sendo utilizadas para a instalação de programas espiões, com o objetivo de roubar senhas e informações financeiras das vítimas. Isso indica que talvez o objetivo da evolução do worm sejam ataques contra as contas bancárias dos usuários afetados.

Usuários devem manter sempre um antivírus, um detector de programas espiões e um firewall ativos e atualizados. A Microsoft mantém uma página em português sobre a falha no LSASS e soluções para o problema.

Leia também

Vírus automatizam roubo de senhas e dados pessoais

21/6/2004 - 21:10 Murilo Pinto

O adolescente alemão Sven Jaschan, acusado de ter criado o worm Sasser, deu uma entrevista à revista alemã Stern, na semana passada. Segundo trechos da entrevista citados pela empresa antivírus Sophos, todos os colegas de colégio de Jaschan sabiam que ele era o autor do Sasser e do Netsky e o tratavam como celebridade.

O jovem alemão afirma que não pretendia causar nenhum dano quando criou o Sasser. Ele teria apenas utilizado um pedaço de código que encontrou na Internet. O código não funcionou como o esperado, mas forçava o PC a reiniciar.

Apesar de tímido, ele teria conversado sobre os worms com seus irmãos e irmãs e vários colegas. Alguns o incentivaram a inserir rotinas danosas nos programas, mas o alemão afirma que essa não era sua intenção.

A popularidade do Netsky, conseguida a partir dos milhões de e-mails que disparou e dos problemas que causou aos negócios em todo o mundo, agradou a Jaschan. O adolescente acreditava que ganhara respeito dos colegas. "Foi simplesmente sensacional a forma como o Netsky começou a se espalhar, e eu passei a ser o herói da minha classe", teria dito à revista Stern.

Com o surgimento do Sasser e sua rápida disseminação, que afetou serviços importantes de governos e empresas, Jaschan enviou um e-mail aos colegas de escola dizendo que não iria mais criar worms. Ele limpou partes de seu disco rígido ("wiped", técnica de apagamento de arquivos que impede a recuperação de dados, diferente dos procedimentos rotineiros) e criptografou códigos-fonte de vírus existentes em seu computador.

Mas Jaschan foi delatado por um amigo que pretendia receber uma recompensa pela informação. O "amigo" está agora sob investigação e não deve ganhar nada da Microsoft.

Após ser delatado e ter sua casa vasculhada, o adolescente tentou negar ser o autor, mas ao ver que não tinha como convencer as autoridades, forneceu a senha para decriptar os arquivos. Sob interrogatório, ele também revelou o nome de colegas que o teriam ajudado.

Leia também

Recompensa pelo autor do Sasser pode não ser paga

Vírus têm novas versões mesmo após prisão dos autores

Microsoft caça criadores do Sasser e Agobot

21/6/2004 - 19:54 Redação InfoGuerra

Seis agências estatais da Coréia do Sul foram infectadas por cavalos-de-tróia, de acordo com notícia divulgada pela Sophos. Entre as atingidas, estão um instituto de pesquisas nucleares e duas agências da Defesa, que mantêm pesquisas relacionadas às políticas de defesa do país e o desenvolvimento de armas. Outros alvos foram órgãos relacionados a pesca e navegação marítima e a pequenas e médias empresas.

O Centro Nacional de Cibersegurança (NCSC, em inglês), da Coréia do Sul afirmou no sábado que 64 computadores no total foram infectados pelo cavalo-de-tróia "Peep". O NCSC divulgou nota em que garante ter tomado medidas de emergência para limpar os computadores e impedir que mais dados vazassem das organizações e também para evitar novas infecções. O órgão não comentou o fato de um possível vazamento de informações confidenciais.

O autor do Peep foi preso em maio, depois que o cavalo-de-tróia foi encontrado em computadores do governo taiwanês. O engenheiro da computação Wang Ping, de 30 anos, é acusado de ter projetado o programa maléfico, que permitiu o roubo e destruição de dados do governo por usuários remotos.

21/6/2004 - 6:01 Giordani Rodrigues

A página principal do provedor de hospedagem hpG, pertencente ao grupo iG, foi desfigurada neste final de semana, segundo cópias do ataque, registradas pelos sites Zone-H e Delta5. Os atacantes protestaram contra o fato de o provedor ter passado a cobrar pela hospedagem, antes gratuita, o que já ocorreu desde outubro do ano passado.

Depois de escreverem que querem os serviços gratuitos de volta, os defacers (desfiguradores de sites) citaram a seguinte frase: "Murer explica que a idéia é incentivar a qualidade dos sites hospedados". Trata-se da explicação que o diretor do hpG, Ricardo Murer, deu para a mudança da política comercial da empresa, numa matéria publicada em 9 de outubro de 2003.

De acordo com o site Security Leader, o hpG foi desfigurado pouco depois da zero hora de sábado e ficou pouco tempo alterado, voltando logo ao normal. Os atacantes informaram ao site que a falha explorada seria “uma entre as tantas da linguagem PHP” e que o servidor do hpG roda um Linux Red Hat 6.2, um Apache/1.3.23 (Unix) e PHP/4.1.2.

Uma falha do PHP muito explorada ultimamente é o chamado “bug da inclusão de arquivos” (PHP File Inclusion Bug), cujo exploit está circulando há alguns meses entre grupos de script kiddies. A configuração do servidor do hpG, segundo o site Netcraft, é diferente da informada pelos crackers, mas mesmo assim está desatualizada. Segundo o Netcraft, o servidor roda um sistema operacional desconhecido, Apache/1.3.26 (Unix) e PHP/3.0.18.

Se estas informações estiverem corretas, é de se admirar que o site não tenha sido atacado com sucesso antes. A versão atual da série 1.3 do Apache é 1.3.31 e as últimas versões do PHP são a 4.3.7 (estável) e a 5.0 RC3 (Release Candidate 3). Devido ao final de semana, não foi possível fazer contato com a assessoria de imprensa do hpG antes da publicação desta notícia.

18/6/2004 - 21:31 Murilo Pinto

Dispositivos Cisco podem sofrer ataques DoS

Produtos da Cisco rodando o Internetwork Operating System Software (IOS) e com o protocolo BGP (Border Gateway Protocol) ativado são vulneráveis a ataques de negação de serviço (DoS). Um ataque exigiria que um pacote BGP mal formado fosse enviado à rede alvo como se viesse de uma máquina remota explicitamente autorizada. Caso bem-sucedido, o dispositivo seria reiniciado, causando a negação de serviço.

Segundo a fornecedora, o protocolo BGP não é ativado por padrão e, a menos que o tráfego maléfico disfarce a origem como de uma máquina remota confiável, é difícil injetar um pacote de dados BGP mal formado. O alerta foi emitido pela própria Cisco e divulgado hoje, em português, pelo Centro de Atendimento a Incidentes de Segurança (CAIS).

Todos os dispositivos Cisco que suportam o roteamento BGP são afetados pela vulnerabilidade. O suporte ao BGP surgiu no IOS 9. Uma nota da empresa fornece outras informações para corrigir e contornar o problema.

Leia também

Falha grave atinge protocolo padrão da Internet

18/6/2004 - 21:19 Murilo Pinto

A primeira campanha mundial de segurança na Internet foi lançada nesta quinta-feira, 17 de junho. Com o slogan "Libertando o Planeta de Vírus", o objetivo da campanha é conscientizar o maior número possível de internautas para os perigos que rondam a Internet. O site, um projeto da Panda Software e da Internet Users Association, fornece até o dia 31 de julho informações, treinamentos e soluções para que usuários comuns protejam seus PCs contra as ameaças da rede.

Os conteúdos estão disponíveis em oito idiomas ― inclusive português―, que cobririam, segundo os organizadores, mais de 86% dos internautas. A campanha é apoiada por empresas e órgãos públicos de mais de 50 países.

A idéia fundamental da campanha é que cada usuário mantenha seu próprio computador seguro. Não só pelos seus próprios dados particulares e informações pessoais e financeiras, mas para a segurança da rede como um todo. Cada vez mais, computadores "zumbis", máquinas de usuários inocentes controladas remotamente por crackers, são utilizados em ataques conhecidos como DDoS (negação de serviço distribuído, na sigla em inglês), para enviar spam ou para outras atividades ilícitas.

A partir do site, é possível fazer uma verificação online do computador, para detecção de vírus, cavalos-de-tróia e programas do gênero. Também estão disponíveis ferramentas de proteção como antivírus e firewalls, completos e gratuitos. Uma das soluções disponíveis bloqueia também spams e sites da Web com conteúdos impróprios.

Cada tipo de ferramenta acompanha informações sobre seu funcionamento e dicas para evitar o problema. Há também um indicador global de ameaças da Web e por países e idiomas. Esse indicador e outros serviços estão disponíveis também para webmasters. No Brasil, por exemplo, o site indicava um nível médio de infecções pelo Sasser, com 1,26% dos computadores conectados à rede infectados. Consideradas todas ameaças, o país encontrava-se com um alto nível de infecções.

O site tem ainda informações sobre como usar a Internet com eficiência e segurança: como utilizar assinaturas digitais e criptografia, programas de trocas de arquivos e serviços bancários, e-mail e redes sem fio, e outras. Caso ainda persistam dúvidas, os visitantes do site dispõem de fóruns para trocas de informações com usuários de todo o mundo.

Leia também

Ataques à Akamai mostram perigo de redes de "zumbis"

Serviço online reúne vários antivírus

18/6/2004 - 20:47 Redação InfoGuerra

Falso teclado virtual usado em golpe eletrônico. Clique para ampliar.

Um novo golpe de "phishing" contra clientes do Banco do Brasil impressiona pelo nível de requinte dos criadores da armadilha. Até mesmo uma imitação do teclado virtual utilizado pelo site do banco foi feita pelos golpistas.

A fraude começava em um e-mail em nome do banco, que oferecia prêmios "de 5 a 70 mil reais". Para saber se tinha sido "premiado", o cliente deveria acessar o site falso, que estava hospedado no servidor de uma rádio universitária norte-americana, provavelmente de forma oculta. O script que redirecionava os dados aos golpistas ficava em um site ligado a casamentos. As páginas já foram retiradas do ar.

Para se ter uma idéia do trabalho dos golpistas, o teclado virtual do Banco do Brasil, um applet Java, possui um ajuste de contraste para regular o tom da cor preta das teclas e evitar que "surfistas de ombro" espiem a senha digitada pelo usuário do banco. Quando o contraste é colocado no nível máximo, o número 0 é exibido com fundo amarelo. O teclado virtual falso, feito em flash, imitava até mesmo esse detalhe. Uma cópia desse falso teclado isolado pode ser vista aqui.

O usuário mais atento, no entanto, poderia identificar que se tratava de uma fraude. Para conseguir uma imitação quase perfeita do visual do site original, os golpistas tiveram de utilizar "screenshots" do site e os manipularam com o aplicativo de animação e programação de sites Flash. Isso eliminou uma série de links em texto do site original, transformando-os em falsos links: pareciam estar lá, mas não reagiam ao mouse. O mesmo problema impedia a seleção de outros titulares da conta que não o primeiro. Outros menus semelhantes também não funcionavam na página falsa.

Mas mesmo tamanha dedicação dos fraudadores não conseguiria atingir usuários que seguem as instruções de segurança do próprio Banco do Brasil, também reproduzidas na página falsa. Um quadro em destaque à direita do formulário que pede os dados bancários da vítima (ou do usuário regular, no caso do site original) alertava:

Não clique, digite
Sempre acesse sua conta pela Internet digitando o endereço www.bb.com.br e
na página de acesso à conta, verifique sempre se o endereço começa por
https.

17/6/2004 - 20:55 Murilo Pinto

A Akamai divulgou ontem, 16, detalhes sobre o ataque sofrido por sua rede no início da semana. A empresa rebateu os dados fornecidos anteriormente pela Netcraft, mas as informações levantam um alerta sobre os riscos de redes de “zumbis”, como são chamados os computadores que ficam sob controle de atacantes remotos. Uma rede dessas foi utilizada no ataque feito aos servidores DNS da Akamai, que dificultaram o acesso a alguns sites importantes, como os da Microsoft, Apple e a atualizações de produtos Symantec e Trend Micro.

Segundo a Akamai, o número de servidores comprometidos ficou muito abaixo do divulgado pela Netcraft, baseado em seu serviço de monitoramento. Os dados oficiais da Akamai são de que apenas 4% dos seus clientes foram atacados, sendo apenas 2% com quedas de performance e menos de 1% sofrendo problemas consideráveis de disponibilidade. A empresa atende a mais de 1.100 clientes, inclusive no Brasil.

Mesmo assim, o cientista chefe da Akamai, Tom Leighton, disse ao serviço de notícias da Netcraft que o ataque foi um “tremendo problema” e que representa um perigo para a Internet. A Akamai afirma ter identificado a origem do ataque rapidamente e os administradores das redes atacantes puderam desativá-las. A empresa declarou também estar em contato com agências legais norte-americanas para investigar o incidente.

Leighton não deu detalhes sobre a técnica de ataque utilizada, mas afirmou que está “um passo adiante” dos ataques de negação de serviço distribuídos (DDoS, na sigla em inglês) conhecidos. Os alvos foram quatro servidores DNS diferentes, todos de clientes da Akamai. Apesar de não descartar a possibilidade de uma coincidência, a empresa trabalha com a hipótese de ser o alvo primário do ataque.

Os ataques DDoS são difíceis de combater por envolverem quase sempre computadores “zumbis”, máquinas que foram infectadas por vírus, cavalos-de-tróia e outros programas maliciosos e ficam à mercê de controladores remotos. Muitas vezes os usuários não sabem que seus computadores estão comprometidos e não fazem nada para solucionar o problema. Ataques DDoS são conhecidos popularmente desde 1999, mas o crescimento de usuários domésticos de banda larga desprotegidos vem aumentando o potencial de dano dessas redes de “zumbis”.

Leia também:

Ataques derrubam grandes sites da Internet

Problemas na rede Akamai deixam vários sites fora do ar

17/6/2004 - 18:44 Murilo Pinto

Devido a uma entrevista dada à revista CartaCapital em março, a Microsoft considera que o presidente do Instituto Nacional de Tecnologia da Informação (ITI), Sérgio Amadeu da Silveira, deve explicações à Justiça. A empresa entrou com uma ação baseada na Lei de Imprensa, por entender que houve delito de difamação na entrevista. A jornalista e a revista não foram acionadas. Dependendo das explicações de Amadeu, o presidente do ITI pode ser processado.

Na entrevista, Amadeu, um defensor ferrenho do software livre no governo, que preside um órgão subordinado à Casa Civil da Presidência da República, disse que a Microsoft adota uma "tática de traficantes", por oferecer gratuitamente softwares para instalação em programas de inclusão digital, com intenção de habituar os usuários aos seus produtos. "Isso é presente de grego, uma forma de assegurar massa crítica para continuar aprisionando o País", afirmou à revista.

O presidente do ITI afirmou também que a Microsoft adota a estratégia do "medo, da incerteza e da dúvida". Amadeu disse que este ano seria decisivo para vencer a estratégia, conhecida na comunidade de software livre (SL) como FUD (Fear, Uncertainty, Doubt, em inglês), e que o governo pretendia lançar até junho uma campanha publicitária em defesa do SL.

Sérgio Amadeu divulgou hoje uma nota oficial sobre o pedido de explicações da MS. "A provocação judicial movida contra minha pessoa é, por si só, tão inusitada e descabida, que não merece resposta", disse. A Microsoft já havia divulgado uma nota à imprensa afirmando que "o pedido de explicações não está relacionado a uma questão pessoal".

A briga da Microsoft com os defensores do SL no governo se deve principalmente à sinalização pelo governo federal de que nos futuros editais de compra de softwares pelos órgãos públicos haveria a obrigatoriedade dos sistemas serem livres. Se confirmada, a prática excluiria a Microsoft de um mercado que lhe rendeu R$ 55 milhões em 2003, ou 6% das vendas totais no País, de acordo com informações da CartaCapital.

As diferenças entre o modelo de comercialização do software livre frente aos da Microsoft são basicamente duas: a inexistência de licenças temporárias e por usuários e a possibilidade de alterar o código-fonte dos produtos, o que permite a adaptação às necessidades específicas do comprador. Ao contrário do que se acredita normalmente, o SL não é sempre gratuito. Mas pode, entre outras coisas, ser explorado comercialmente pelos compradores.

A comunidade de SL brasileira tenta se organizar para repudiar a ação da Microsoft, inclusive com abaixo-assinados online e sátiras sobre o episódio. Para o Projeto Software Livre Brasil (PSL-BR), a empresa tenta intimidar o governo e afirma que a analogia com traficantes é clássica. "Essa declaração, atribuída a Sérgio Amadeu na revista, não é original. O Presidente da SUN e vários ativistas do movimento software livre usam esta analogia: 'a primeira dose de software proprietário distribuído gratuitamente é como uma droga, depois que cria dependência nos usuários a empresa começa a cobrar'", afirma artigo assinado por Marcelo Branco, articulador do movimento.

17/6/2004 - 18:41 Redação

O 1º Batori Security Day, que ocorrerá no dia 18 de agosto, vai levar à São Paulo especialistas das áreas de combate a fraudes, direito eletrônico, perícia forense, política de segurança da informação, sistemas de segurança e desenvolvimento de software para palestras e apresentações de casos práticos e tendências aos participantes.

O evento tem o objetivo de informar e atualizar os profissionais ligados às áreas de tecnologia da informação e direito, assim como executivos e gestores de segurança da informação, diante do crescimento da rápida disseminação de vírus de computador, roubo de informações confidenciais e riscos envolvendo o bom andamento dos negócios.

A primeira edição do evento será gratuita e aberta a consultores, especialistas em segurança da informação, executivos do segmento financeiro, security officers, analistas de segurança, profissionais de direito, estudantes universitários e auditores, entre outros. O evento será realizado no Teatro Paulo Autran, na Avenida João Dias, 2046, no bairro de Santo Amaro, em São Paulo. Mais informações podem ser encontradas no site da Batori Software & Security.

17/6/2004 - 3:23 Redação InfoGuerra

Uma série de mensagens semelhantes sobre supostos problemas com CPFs está sendo usada como isca para golpes online (scam). Os fraudadores tentam convencer o destinatário das mensagens a clicar em um link para regularizar o CPF "cancelado ou pendente" ou cadastrado no Serasa por problemas financeiros. Na verdade, o link leva a programas do tipo cavalo-de-tróia.

Um desses arquivos é identificado pela Trend Micro como TROJ_BANCOS.AF. Segundo a empresa, esse programa espião detecta o acesso aos sites do Banco do Brasil, Itaú, Caixa Econômica Federal e Bradesco e simula telas de programas legítimos, tentando fazer com que o usuário digite sua senha e outros dados financeiros no programa.

Os dados fornecidos são enviados ao "dono" do programa via e-mail, por um servidor SMTP próprio do cavalo-de-tróia. A McAfee acrescenta que uma variação desse programa visa também usuários do HSBC, Banespa e qualquer site com "banco" ou "bank" no título.

A regra em qualquer tipo de e-mail que possa revelar seus dados pessoais ou financeiros, ou que venha de fontes suspeitas, é sempre evitar clicar nos links que constam nas mensagens, que podem ser facilmente manipulados de forma a enganar o destinatário. Bancos e órgãos do governo não costumam enviar mensagens desse tipo.

Cópias de duas mensagens fraudulentas enviadas nos últimos dias podem ser vistas nos links: SRF e Serasa.

Leia também:

Fraudes online: antigos golpes ainda causam grandes prejuízos

Censo online é falso, alerta IBGE

Falso seguro do BB contra fraudes é isca de golpe eletrônico

Microsoft lança site sobre e-mails fraudulentos

Golpes de "phishing" crescem 180% em abril

16/6/2004 - 19:01 Murilo Pinto

Um ataque de negação de serviço distribuído (DDoS, na sigla em inglês) ocorrido ontem (dia 15) causou falhas nos servidores da Akamai. O ataque, confirmado por um porta-voz da empresa, afetou o acesso a sites de clientes, como Microsoft, Yahoo!, Google, Apple e aos serviços de atualização de produtos da Symantec e Trend Micro.

O problema atingiu o gerenciamento de DNS (sistema que converte endereços de rede IP para nomes de domínio “humanos”) da Akamai, impedindo que os acessos aos sites de seus clientes fossem encaminhados aos da sua rede. Os serviços da empresa permitem que grandes volumes de conteúdo sejam distribuídos por vários servidores em diferentes localidades, o que diminui o tráfego nas redes e servidores dos clientes da Akamai.

Esse tipo de ataque utiliza diferentes computadores ― muitas vezes “zumbis”, controlados remotamente pelo atacante ― para enviar repetidamente solicitações aos servidores alvo. A partir de um determinado volume de requisições, o servidor atacado simplesmente interrompe os serviços, impedindo o acesso até que a situação se normalize.

Os clientes da Akamai puderam reconfigurar seus sistemas DNS para seus próprios servidores, mas mesmo assim os sites sofreram problemas de disponibilidade por cerca de duas horas na manhã de terça-feira (horário de Brasília). É a segunda vez em menos de um mês que a rede da Akamai fica fora do ar por algumas horas.

Leia também:

Problemas na rede Akamai deixam vários sites fora do ar

16/6/2004 - 18:46 Redação

Um novo sistema de pregão eletrônico com certificação digital dos dados será lançado no 10º Congresso Nacional de Informática Pública (CONIP 2004) pela empresa Consist. A solução roda em aparelhos móveis, como telefones celulares, palmtops e Pocket PCs e suporta também ambientes Linux. O pregão eletrônico usa certificação digital implementada pelo uso da infra-estrutura de chaves públicas para redes com e sem fio Passport Certificate Server.

O sistema permite que todas as etapas do pregão sejam feitas online, pela Internet, a partir de qualquer dispositivo com acesso à rede. Primeiro se indica o prazo para recebimento eletrônico das propostas. Em data e horário determinados, o pregoeiro abre a licitação. O produto da Consist seleciona as propostas válidas e atribui pseudônimos para cada um dos participantes. Isso permite que nem mesmo o pregoeiro conheça a identidades dos fornecedores.

A assinatura digital é atrelada às propostas, obrigando o participante do pregão a honrar a proposta ofertada. O software exibe o preço de referência, o valor da proposta do participante e a oferta vencedora a cada momento. O fornecedor pode acompanhar o pregão por diferentes dispositivos. A aparência é a de uma sala de bate-papo aberta: todos podem ver os lances dados.

Todas as transações que circulam são transformadas em ata da sessão de licitação e os dados do vencedor são publicados após o término do processo, de acordo com a lei.

A 10ª Conip acontece de 22 a 24 de junho no Frei Caneca Convention Center, em São Paulo. Mais informações no site do evento.

16/6/2004 - 17:14 Redação

A T Services lança na América Latina o firewall Security Point (SP) Protector. O equipamento, que pode ser instalado como firewall único ou entre um firewall dedicado e o roteador, identifica mais de 4.700 assinaturas de vulnerabilidades de redes, atualizadas até quatro vezes ao dia. O produto inclui bancos de dados de vulnerabilidades CVE e BugTraq, de spams e negações de serviço (DoS).

O SP Protector trabalha independentemente da rede e incorpora ainda funcionalidades de antivírus e detecção de invasões. O objetivo é neutralizar alguns ataques antes que os invasores em potencial atinjam a rede interna.

A vantagem de um equipamento desse tipo é que o administrador pode planejar melhor a correção das vulnerabilidades do sistema, que algumas vezes envolvem atualizações ou configurações que podem interromper temporariamente determinados serviços, sem ficarem expostos aos ataques.

O hardware chega ao Brasil com preços a partir de R$ 13,8 mil. A configuração nesse valor é com HD de 40 GB, processador de 1 GHz e 256 MB de memória RAM.

16/6/2004 - 10:07 Redação InfoGuerra

Celular infectado pelo worm Cabir (clique para ampliar). Foto: Symantec

Empresas antivírus confirmaram a descoberta do primeiro vírus a verdadeiramente infectar telefones celulares. Os alvos são os produtos da série 60 da Nokia, que utilizam o sistema operacional aberto Symbian. O worm, batizado de Cabir, transfere-se para outros equipamentos (de qualquer tipo, não só celulares) com tecnologia Bluetooth.

Ao ser ativado, o Cabir exibe uma mensagem e se copia para uma pasta oculta do sistema, à qual o usuário normalmente não tem acesso. Isso evita que ele seja eliminado caso o usuário o apague da pasta de "aplicativos".

O worm aparentemente não causa danos além do consumo
excessivo de baterias ao buscar outros aparelhos Bluetooth e, por enquanto, está sendo considerado uma "prova de conceito", isto é, um programa criado apenas para se provar que pode ser feito. A tecnologia Bluetooth permite a conexão direta e sem fio entre equipamentos dentro de um determinado raio de alcance.

Ao ser enviado para um aparelho celular semelhante e com Bluetooth ativado, o Cabir envia um arquivo de instalação (.sis) do Symbian. O usuário precisa aceitar o recebimento e acionar a instalação do arquivo para ter seu telefone infectado. Para convencer a vítima, o worm finge ser um arquivo do sistema de segurança do celular, chamado Caribe. A foto de um aparelho infectado pode ser vista acima e a sequência de algumas telas que fazem parte do processo pode ser vista nos sites da Trend Micro ou da F-Secure.

Outra indicação de que se trata de uma "prova de conceito" é que, segundo a empresa antivírus Kaspersky, o worm parece ter sido criado por Vallez, pseudônimo de um membro da equipe de criadores de vírus 29A, especializada nesse tipo de programa inovador. Entre suas criações estão os vírus Cap (primeiro vírus de macro a infectar vários computadores), Stream (primeiro a utilizar um recurso do sistema de arquivos NTFS), Donut (primeiro vírus para a plataforma .Net) e o Rugrat (primeiro vírus para sistemas de 64 bits).

"Nenhum incidente relacionado à disseminação do Cabir foi reportado até agora, mas este worm é perfeitamente funcional e capaz de se espalhar, se for lançado em campo", afirma o gerente comercial de serviços segurança celular da F-Secure, Matias Impivaara.

Apesar de não ter sido identificado em outros sistemas, as fornecedoras de antivírus afirmam que o Cabir poderia infectar telefones de outros fabricantes e sistemas operacionais. De qualquer forma, o uso da tecnologia Bluetooth oferece, por si só, algumas limitações à disseminação deste tipo de vírus, incluindo o fato de que o alcance médio atual de aparelhos com Bluetooth é de cerca de 10 metros.

Vírus complexo infecta Linux e Windows

Criado primeiro vírus para a arquitetura Microsoft .NET

Trotes em celulares com Bluetooth assustam usuários

Criado primeiro vírus para Windows de 64 bits

16/6/2004 - 7:59 Redação

A Cisco Systems e a TrendMicro anunciaram um acordo de colaboração tecnológica mundial para oferecer serviços de prevenção a vírus. A idéia é integrar a infra-estrutura das redes Cisco com tecnologias de segurança de conteúdo da Trend Micro.

Inicialmente, a Cisco integrará as soluções antivírus da Trend Micro ao seu software de Sistema de Detecção de Intrusos, aplicado nos Cisco IOS e nos switches da família Catalyst. A parceria é uma ampliação mundial da relação entre as duas empresas, anteriormente estabelecida por meio do programa Controle de Admissão da Rede Cisco.

16/6/2004 - 3:59 Redação InfoGuerra

Atendendo a pedido do administrador do site Total Security, estamos alertando que a história "The Truth about Hackers Against America (HAA)" continua em inglês, no site Zone-H, e nela tanto o autor do texto, quanto o administrador do site fazem questão de retificar uma parte do artigo: o trecho em que o site Total Security é qualificado como de *segurança* (com asteriscos) e que promoveria "desfigurações e fraudadores". O autor, Siegfried, pede desculpas ao site. De resto, o texto está mais para uma troca de farpas entre MFAA e Siegfried, mas possui links interessantes para quem quer acompanhar as origens do HAA. A continuação pode ser vista aqui.

Leia também:

A verdade sobre os Hackers Against America

14/6/2004 - 20:21 Redação InfoGuerra

Um código simples executado por usuários sem acesso "root" (administrativo) pode travar algumas versões de kernel do Linux (componente central de processamento do sistema operacional) e comprometer o funcionamento de todo o sistema. O problema, analisado pelo site Linux Reviews, é especialmente perigoso para usuários de sites em ambientes compartilhados vulneráveis, como os oferecidos a preços baixos pela maioria dos provedores de hospedagem.

O Linux Reviews afirma que o código já vem sendo utilizado contra provedores mal configurados, abertos ao ataque. Os usuários precisam ter apenas acesso FTP e a possibilidade de executar o programa em C em ambiente CGI-BIN. A falha atinge apenas arquiteturas X86 e AMD64 do Linux, mas o kernel da maioria das distribuições do sistema é vulnerável.

O site também publicou alguns tutoriais passo-a-passo para corrigir o problema em diferentes versões de kernel. O Centro de Atendimento a Incidentes de Segurança (CAIS) publicou um alerta em português sobre o problema.

14/6/2004 - 20:06 Murilo Pinto

Empresas antivírus estão alertando o público para a descoberta de um novo worm, batizado de Zafi-B, que ataca programas antivírus e firewalls e se espalha em diferentes idiomas, aumentando seu potencial de infecção. O worm foi identificado na sexta-feira, 11 de junho, mas no domingo, dia 13, teve seu potencial de risco aumentado pela empresa F-Secure, devido à elevação no número de casos de infecção. A fornecedora de antivírus Sophos afirma que o Zafi-B já responde por 60% de todas as infecções por vírus detectadas pela empresa desde que foi identificado.

Entre outras línguas, o vírus se envia em inglês, russo, espanhol, português, alemão, holandês e húngaro. A Hungria é apontada como a origem do Zafi-B, que determina o idioma do e-mail de infecção a partir do domínio do endereço eletrônico do alvo.

Segundo análise da F-Secure, o procedimento do programa malicioso é padrão: vasculha o computador contaminado por arquivos com endereços de e-mail e direciona mensagens com anexos infectados para esses endereços. Além disso, o Zafi-B se copia com nomes de arquivos de programas populares em pastas com "share" ou "upload" no nome. Essa técnica pretende enganar usuários de softwares de trocas de arquivos e de redes a instalarem o worm pensando ser o programa desejado.

O worm também finaliza qualquer programa com os termos "firewall" ou "vírus" no nome e substitui os arquivos por cópias do vírus. Ferramentas administrativas do Windows, como o Gerenciador de Tarefas e o Editor do Registro, são bloqueadas pelo Zafi-B. Os dados do worm ficam espalhados em diversos arquivos DLL na pasta de sistema do Windows.

Uma outra técnica cada vez mais comum é evitar o auto-envio para endereços de e-mail potencialmente pertencentes a usuários experientes ou grandes empresas de informática. O Zafi-B evita os destinatários com "win", "micro", "hotm", "trend", "sopho", "kasper", "suppor" e outros termos no endereço.


Leia também:

Golpe aproveita confusão causada por vírus e antivírus

13/6/2004 - 22:36 Siegfried

Nota: O artigo abaixo foi traduzido do texto "The truth about Hackers Against America (HAA)", originalmente postado pelo site Zone-H, e foi publicado sob autorização. O site InfoGuerra não se responsabiliza pelas informações ou opiniões emitidas pelo autor.


Para todos os nossos leitores que perderam o noticiário sobre o assunto, a história começou em 11 de maio, quando o jornal brasileiro Estadão publicou uma notícia afirmando que um grupo chamado Hackers Against America (HAA) havia sido criado.

De acordo com o artigo, escrito por João Magalhães, que escreve na editoria de tecnologia do Estadão, o grupo havia sido fundado por quatro crackers, do Brasil, Rússia, Hong Kong e China, e declarara uma ciberguerra aos EUA, ameaçando atacar servidores norte-americanos e revelar documentos secretos.

Sem verificar os fatos expostos na notícia, muitos outros sites brasileiros e também alguns italianos começaram a escrever notícias similares ou copiá-las. Depois de ler algumas delas, eu encontrei facilmente a original no Estadão e decidi encaminhá-la pessoalmente à comunidade falante de inglês com a publicação de uma notícia sobre o assunto no Zone-H.

O Estadão é o segundo jornal mais famoso do estado de São Paulo, o que o tornava aparentemente confiável, mas algumas frases no artigo eram consideravelmente engraçadas:

"O grupo é formado, por enquanto, por hackers do Brasil, China, Honk (sic) Kong e Rússia. Mas os fundadores do HAA esperam a adesão de “soldados” de outros países nos próximos dias."
Soa assustador, não? Me faz lembrar o filme "Independence Day", no qual muitos países aliam-se para combater invasores espaciais e os Estados Unidos salvam o mundo, mas agora os EUA são os "invasores".

"Em seu site, os líderes do movimento começam a colocar os códigos das piores pragas que surgiram na internet de 2003 para cá, a exemplo do MyDoom, Sasser e Netsky e a revelar segredos do FBI e da CIA."
Parece que o senhor Magalhães realmente não estava lendo as notícias, porque o código-fonte do vírus MyDoom estava disponível publicamente em muitos sites.

"Segundo experts, o HAA estaria ligado às ações do jovem Sven Jaschan, preso no último fim de semana pela polícia alemã, sob suspeita de ser o autor do Sasser.”
Bem, eu não me considero um expert, mas pelo menos eu leio as notícias, e nenhuma delas ligava ambos os eventos, a polícia apenas encontrou e capturou suspeitos na Alemanha.

Todo o artigo fora escrito no estilo infantil "hackeie-o-mundo", e sua intenção era provavelmente a de criar "hype". Mas apesar das mentiras e confusões criadas pelo artigo, eu contatei João Magalhães para conseguir o endereço do site criado pelo HAA (você pode ver um screenshot aqui). Apenas o código-fonte do MyDoom estava disponível, e os documentos supostamente secretos eram todos públicos, as palavras destacadas provavam que eles vieram do Google e que o cracker que os encontrou e enviou ao site não era dos mais espertos. O perigo era real, porque qualquer um pode invadir sites do governo simplesmente rodando ferramentas e "exploits" públicos, nenhuma habilidade é requerida para isso, então era melhor publicar um alerta.

Uns dias depois, o jornal Estadão conseguiu uma entrevista com o HAA, em que eles disseram que um novo membro dos Estados Unidos havia se unido a eles. Seu pai era um antigo agente da KGB que enviava informações à CIA na década de 70 e foi morto por eles depois. Ele disse que queria vingar seu pai, então se inscrevera nas forças armadas norte-americanas para enviar informações à Al-Qaeda. Ele disse também que o objetivo do HAA era ensinar "hacking" aos seus novos membros, atacar servidores dos Estados Unidos com vírus, roubar documentos... Naquela época, eu perdi essa entrevista, mas li uma similar em inglês que estava no site deles (vamos deixar as críticas para o fim).

Em 19 de maio, o Estadão (novamente) publicou um artigo explicando que o HAA planejava lançar um ataque DDoS (negação de serviço distribuída) no início de junho.

Mais tarde naquele dia, a página inicial do site do HAA havia sido substituída. Ela dizia (em português): "Esse site foi tirado do ar permanentemente por sujar o termo hacker e por plantar idéias absurdas e ridículas. MFAA (mflavio2k@hotmail.com)". De início pensei se tratar do "efeito Zone-H", porque havíamos publicado notícias sobre o assunto, então eu contatei MFAA (que significa Marcos Flávio Araújo Assunção) rapidamente. Ele respondeu que havia realizado um ataque de falsificação de DNS e então usou um programa "honeypot" para obter o login e a senha do membro do HAA quando ele tentou se conectar ao servidor FTP da narod.ru (ftp.narod.ru). Em seu e-mail, ele fez mais que explicá-lo, ele também fez uma apresentação de si mesmo para ganhar publicidade, dizendo que era o autor de dois livros. Mas não era o bastante, então ele me deu uma entrevista, mas desta vez ele acrescentou que havia contatado o HAA para dizer a eles que era contra sua filiação com grupos terroristas, mas a resposta que ele recebeu era cheia de insultos, então ele vasculhou o computador de um membro do HAA (com o IP do cabeçalho de e-mail) e encontrou diversas portas abertas, como "bind" e "tftp", e que inseriu seu próprio arquivo "hosts" para fazer o endereço ftp.narod.ru apontar para o seu próprio IP. Ele sabia que um dos ataques iria funcionar, mas ele escreveu apenas sobre o primeiro (envenenamento de DNS) na notícia que publiquei no Zone-H. Depois de publicá-la, eu tive a impressão de que ele mentia para mim, mas não me incomodei muito: o site estava desfigurado, e era praticamente impossível saber quem o havia feito. Alguns detalhes eram estranhos:

- No primeiro e-mail, ele disse que era uma falsificação de DNS, depois de eu falar com ele, disse que era um ataque de envenenamento de DNS (bind 9 rodando no cygwin!) e que também havia enviado o arquivo "hosts" ao sistema alvo pelo servidor tftp. Por que alguém usaria bind no cygwin? E por que um servidor tftp totalmente aberto?

Então eu comecei a procurar por outras notícias sobre este "defacement" e descobri que o Estadão havia publicado uma, e era ainda pior! O jornalista explicou que MFAA utilizara seu próprio software, um "honeypot", para hackear o site do HAA e que os membros do HAA prometeram vingança.

- Ora, bem, o senhor Magalhães simplificou a explicação para facilitar o entendimento? Provavelmente, mas eu me perguntava como ele ainda estava em contato com o HAA, então fiz algumas perguntas a ele, como "como você ouviu falar do HAA?", "você pode me dar o novo e-mail deles? Vi que você continua em contato com eles". À primeira questão ele respondeu que ouvira sobre eles havia cerca de dois meses, de um hacker que dizia querer atacar servidores norte-americanos, mas não respondeu à segunda questão. Ele me enviou um e-mail para me passar o novo e-mail dele, então eu enviei a pergunta de novo mas não obtive resposta.

Um jornalista, escrevendo notícias para o bom site The Inquirer, decidiu seguir a história. Contatou MFAA e fez algumas perguntas. Na entrevista, ele disse mais uma vez que fizera um ataque de envenenamento de DNS... então... NÃO, era DEMAIS. Era claro que ele estava escondendo alguma coisa, talvez não apenas o método de "hacking", então eu comecei a investigar, eu senti que havia alguma coisa grande no fim. Percebi que o Inquirer pediu ao jornalista brasileiro Paulo Rebêlo para entrevistar MFAA, então descobri alguns comentários interessantes acerca desta notícia:

- Uma pessoa com o apelido "stinger" tinha suspeitas de que o HAA havia sido criado por MFAA. O senhor Rebêlo respondeu que Marcos Flávio Araújo Assunção é um famoso analista de segurança, o que dava a ele credibilidade (ele havia dado uma entrevista ao New York Times no último ano). Mas era ele realmente crível? Dizer-se um hacker na página desfigurada e escrever livros sobre hacking. O famoso site brasileiro de segurança InfoGuerra criticou um deles e eu tive a sorte de ter um amigo que leu o livro "Guia do Hacker Brasileiro" e me explicou que tinha apenas truques que MFAA provavelmente pegou na Internet. Ele me disse: "é estranho ler um livro sobre hacking que não explica o que é TCP/IP". Outra pessoa que encontrei, e que havia lido seu outro livro (Desafio Linux Hacker), me disse que, por exemplo, MFAA explicava como terminar os desafios do hackerslab.org. Apesar de explicações sobre eles estarem por toda a Net, ele poderia tê-los completado sozinho. Hackerslab.org contém desafios de "hacking", hackers reais os encontrariam facilmente, mas seriam impossíveis de serem completados por um script kiddie.

Nesse caso, serviços de busca ajudam muito, e encontrei um site no qual MFAA tinha sua própria seção: há tutoriais sobre como utilizar o brutus (uma famosa ferramenta de força bruta), um "nuker" ICQ, um sistema de envio de e-mails anônimos, etc... espere um pouco... Onde está o "analista de segurança", o "hacker que hackeou os hackers"? Eu só vi um script kiddie.

Vamos continuar:

- MFAA é membro da equipe do totalsecurity.com.br, um site de *seguranca* que promove desfigurações e fraudadores. Mas, ESPERE, o que podemos encontrar aqui? As notícias do Estadão sobre o HAA foram publicadas no site pelo próprio João Magalhães, com o apelido mastermaga. Então eles eram amigos...

- MFAA criou seu próprio site contra grupos ciberterroristas, que agora redireciona para whitehouse.gov, mas por que redirecionar para lá ao mesmo tempo que ele expressa seu ódio pela América em um artigo e em um fórum?

- Por que desfigurar um site por sujar o nome "hacker" e escrever seu nome e e-mail nele? Um hacker teria removido tudo e desativado a conta sem fazer essa auto-promoção...

- É interessante que ambos, o membro do HAA que me mandou um e-mail e MFAA, têm como provedor veloxzone.com.br (e IPs dinâmicos) e ambos possuem contas no Yahoo! (o e-mail principal de MFAA é mflavio2k@yahoo.com.br).

- Se o HAA fosse real, seriam muito incompetentes, rodando um servidor tftp, um servidor bind desatualizado no cygwin, usando a mesma senha nas contas de e-mail e de hospedagem e não percebendo que haviam sido hackeados depois de conectar a um "pote de mel". MFAA disse que "o servidor tftp poderia ter sido aberto por um worm", ah, sim, então agora eles são incompetentes a ponto de não rodarem o WindowsUpdate? E tudo o que podem fazer é encontrar uma velha vulnerabilidade SQL em um site e obter "documentos secretos" com o Google? Como é que ninguém conhece algum membro e todos eles desaparecem de repente?

- A história toda foi criticada em toda parte, nas listas e fórums de segurança e hacking brasileiros, mas nenhuma notícia relatou a verdade. Alguém simplesmente criou uma conta no narod.ru e escreveu um bom resumo da situação: "Esse site é uma fraude. Feito por um brasileiro que quer enganar a imprensa. Eu sou o cara. A imprensa é minha amiga, ainda que eu tenha que pagar por algumas notícias... :-)"

A pergunta é: por que ele iria criar essa história?

- Porque seus livros foram muito criticados, então ele teve que mostrar que é um hacker e se promover.

- Porque ele precisava fazer publicidade de seu novo site, uma sociedade de segurança.

- Porque queria fazer publicidade do www.internetsegura2004.com.br, um evento de segurança que acontece atualmente no Brasil (11-12 de junho), em que ele é um palestrante (Eles deveriam abrir o Zone-H para ele ter uma surpresa).

Em poucas palavras: porque ele quer fama e dinheiro.

E por que João Magalhães o ajudou a publicar notícias sobre o HAA? Provavelmente por dinheiro, ou porque ele tinha que preencher sua seção com vários artigos e essa era uma notícia fácil.

Por que falhou? Porque as notícias cruzaram as fronteiras do Brasil, eu a mostrei a todo o mundo e muitas pessoas olharam para ela e a criticaram.

Em resumo, para os preguiçosos que não leram o artigo inteiro:

Marcos Flávio Araújo Assunção é um script kiddie que não tem a mínima noção sobre segurança e hacking, um vendido para a mídia, um mentiroso, que enganou a toda a comunidade (o senhor Rebêlo e muitos outros, incluindo eu mesmo, por algum tempo) apenas para obter fama e dinheiro. Ele criou o HAA, que é uma grande FRAUDE com um conteúdo violento e fascista. Ao menos, a fama que ele conseguiu vai virar-se contra ele e prejudicá-lo gravemente.

Para MFAA: se você quiser comentar, faça isso em nosso fórum, eu não vou responder a você por e-mail. E, por favor, não me nuke.

- Siegfried.

Siegfried@zone-h.org

Administrador de www.zone-h.org e fr.zone-h.org.

―--―--―--―--―--―--―--―--―--―--―---

Links e pessoas que me ajudaram ou apoiaram:

stinger http://www.stinger.motdlabs.org

b0iler http://haxworx.com/~b0iler/e0s.html

coideloko http://www.priv8security.com/

S3lf

www.infoguerra.com.br

www.istf.com.br

http://groups.yahoo.com/group/motd-

http://groups.yahoo.com/group/clube_dos_mercenários

http://groups.yahoo.com/group/cisspBR

http://groups.yahoo.com/group/PericiaForense

9/6/2004 - 21:26 Redação

O spam está literalmente entupindo as caixas de correio eletrônico de muitos internautas. Segundo recente estudo do Gartner, aproximadamente um a cada três usuários de Internet domésticos afirmaram que 75% ou mais das mensagens que recebem são spam. O levantamento, cujos resultados foram apresentados esta semana, foi feito em dezembro de 2003 e ouviu cerca de 1,4 mil internautas residenciais com idade de 18 anos ou mais.

Apesar dos esforços dos provedores para controle dessa prática, o índice de spams ainda é muito elevado. Betsy Burton, analista que conduziu a pesquisa, afirma que 11% dos entrevistados declararam que mudariam de provedor caso encontrassem um com o mesmo custo e com um serviço de combate ao spam mais eficiente.

Os internautas, porém, divergem nas opiniões sobre quão eficazes são seus provedores no combate ao spam. Segundo o Gartner, 23% dos entrevistados acreditam que seus provedores não têm nenhum sucesso contra essas mensagens indesejadas, enquanto 7% declararam que as medidas adotadas pelo seu prestador de serviços de Internet são extremamente eficazes.

Outro dado importante que a pesquisa revela fica por conta do chamado "e-mail marketing", utilizado por muitas empresas para divulgar suas novidades. Muitos dos entrevistados reclamam de não terem se inscrito para recebimento desse tipo de conteúdo e consideram-no como spam.

8/6/2004 - 22:59 Redação

A Impsat, provedora de serviços de Internet e telefonia em alguns países da América Latina, entre eles o Brasil, anunciou o lançamento do programa Spam Zero 2004. O programa tem como objetivo implantar políticas efetivas para eliminar o spam das redes dos clientes da empresa.

O Spam Zero é baseado em duas linhas principais de ação: advertir e auxiliar os clientes da Impsat que atuam como spammers involuntários, solucionando vulnerabilidades de suas máquinas, e evitar que sejam spammers ativos. Com base nesse programa, a empresa irá reformular sua Política de Uso Aceitável (AUP) e complementar o contrato de serviços de seus clientes.

8/6/2004 - 20:33 Murilo Pinto

Foi descoberta uma falha de segurança nas versões para servidores Windows do PHP (pré-processador de hipertexto, em inglês), uma das linguagens de programação mais populares no ambiente Web, especialmente em sites de conteúdo dinâmico. A vulnerabilidade permite que usuários remotos evitem verificações de segurança do sistema e com isso possam lançar ataques que revelem informações sobre o computador alvo, redirecionem dados processados e executem comandos arbitrários.

O problema foi constatado nas rotinas “escapeshellcmd” e “escapeshellarg”, que deveriam filtrar dados fornecidos por usuários antes de determinados comandos serem enviados ao sistema operacional. Em plataformas Unix estas rotinas não apresentaram erros, mas em sistemas Windows falharam em filtrar todos os caracteres enviados nos comandos.

Os servidores não são vulneráveis por natureza. É preciso que exista um script público que envie dados fornecidos por usuários para essas funções. A falha, identificada pela empresa iDefense, pode ser contornada com o uso de outras funções de filtragem, personalizadas, baseadas nas rotinas “str_replace” e “preg_replace” .

Uma nova versão do PHP, a 4.3.7, foi lançada para solucionar o problema.

8/6/2004 - 20:07 Murilo Pinto

A primeira rede de comunicação protegida por criptografia quântica está rodando em Cambridge, Massachusetts, nos Estados Unidos, afirma a revista New Scientist. O projeto, batizado de Quantum Network (Qnet), é financiado pela Darpa (Agência de Projetos de Pesquisa Avançada, na sigla em inglês), a mesma que deu suporte ao nascimento da própria Internet.

Segundo a revista inglesa, atualmente o projeto é composto de apenas seis servidores, mas eles podem ser integrados a servidores e clientes de Internet normais. A idéia é utilizar servidores de criptografia quântica em bancos e serviços financeiros, como empresas de cartões de crédito, o que aumentaria a segurança dos dados sensíveis envolvidos nas transações eletrônicas.

A rede tem 10 quilômetros de extensão e liga a empresa de tecnologia BBN à Universidade de Harvard, por meio de cabos de fibra ótica comuns. A criptografia quântica baseia-se na criação de chaves a partir de trocas de uma série de fótons polarizados simples.

A primeira conexão entre computadores utilizando criptografia quântica foi feita em outubro de 2003, nos laboratórios da BBN. Em abril de 2004, duas instituições financeiras austríacas efetuaram as primeiras transações protegidas pela tecnologia. Mas a Qnet, informa a New Scientist, é a primeira a ligar mais de dois pontos de rede (nós).

Um software controla cristais que mantêm a rota correta dos fótons enviados pelas fibras óticas, para que eles atinjam os destinos corretos e não acabem indo para nós da rede que não deveriam receber os dados criptografados.

A proteção da rede se dá porque qualquer interferência nos fótons enviados altera seu estado quântico, o que é identificado pelo sistema. Mas o líder do projeto Qnet, Chip Elliot, ouvido pela revista científica, afirma que nem mesmo a criptografia quântica permite 100% de segurança. Seria teoricamente impossível interceptar e alterar as chaves quânticas sem detecção, mas em uma implantação regular, seria possível monitorar as transmissões de forma oculta.

Mesmo assim, a criptografia quântica seria mais segura que a comumente usada na Internet, que se baseia em fórmulas matemáticas simples de serem computadas em um sentido, mas complexas de serem revertidas.

A Qnet ainda deve demorar a se popularizar, devido aos altos custos dos computadores feitos sob medida. Além disso, para distâncias maiores, acima de 50 quilômetros, a qualidade do sinal do fóton cai devido a ruído, e ainda não se tem uma solução para o problema.

7/6/2004 - 18:30 Murilo Pinto

O Oracle E-Business Suite, um pacote de aplicativos para automatização de tarefas corporativas, possui diversos erros de validação que permitem injeções de comandos SQL nos sistemas afetados. Um atacante poderia enviar ao computador alvo uma URL construída de forma a executar um comando SQL, linguagem de programação largamente utilizada em bancos de dados. Um ataque bem-sucedido comprometeria gravemente o banco de dados e os aplicativos conectados a ele.

A falha foi descoberta pela empresa de segurança Integrity. Segundo o anúncio da empresa, mesmo um usuário de um aplicativo Oracle acessando a Internet por um navegador comum poderia comprometer a segurança do sistema.

A vulnerabilidade foi encontrada no Oracle E-Business Suite 11i (11.5.1 - 11.5.8) e no Oracle Application 11.0. A Oracle liberou uma correção e um alerta de segurança sobre a falha. Há também um alerta sobre o problema no site Oracle Technology Network.

Leia também:

Três falhas de segurança afetam produtos Oracle

Técnicas defensivas contra injeção de comandos

7/6/2004 - 18:11 Murilo Pinto

O worm Korgo e alguns “companheiros” estão sendo utilizados para roubar senhas e outras informações pessoais de usuários de bancos e serviços financeiros online. O Korgo ainda não está muito disseminado, mas já infecta um bom número de computadores em todo o mundo, segundo a empresa F-Secure.

O Korgo se aproveita da vulnerabilidade do serviço LSASS, do Windows, a mesma que permitiu infecções pelo Sasser. As variantes do vírus abrem uma porta dos fundos (backdoor), utilizada por seus “donos” para instalar outros programas maliciosos, em especial o Padodor, um keylogger aparentemente criado pelos mesmos autores do Korgo.

Keyloggers são programas que gravam tudo o que é digitado em um computador. Alguns registram até mesmo “fotos” (screenshots) do monitor, para identificar o que é clicado com o mouse. O objetivo é roubar senhas bancárias, números de cartões de crédito e outras informações financeiras e pessoais.

Todo o processo, da infecção ao roubo de senhas, é ativado automaticamente nos computadores alvos dos vírus, isto é, máquinas sem as atualizações de segurança do Windows. Nenhuma participação do usuário é necessária: o Korgo (ou o Padodor) não chegam por e-mail, não simulam ser outros tipos de programa e não requerem que os usuários cliquem em nenhum arquivo ou acesse nenhum site.

Devido ao grau de vulnerabilidade dessa brecha de segurança, alguns grupos, como o VSantivirus, recomendam a formatação de sistemas afetados por quaisquer desses worms. Na nova instalação, deve-se proteger o sistema antes de acessar a Internet.

Leia também:

Surge primeiro worm a explorar falhas recentes do Windows

Perguntas freqüentes sobre o Sasser

Infecções pelo Sasser crescem mais de 130% na América do Sul

7/6/2004 - 17:55 Redação InfoGuerra

A empresa espanhola de segurança informática Hispasec lançou o site VirusTotal, cujo principal atrativo é um serviço online gratuito que reúne sistemas de detecção de vários fornecedores de antivírus. A idéia é auxiliar os usuários a identificar eventuais arquivos contaminados. Um relatório é enviado ao usuário com a análise completa do arquivo.

Entre os sistemas de detecção de vírus e outros programas maliciosos utilizados pelo novo serviço estão os da Symantec (Norton Antivirus), Trend Micro (PC-Cillin), Kaspersky Lab (AVP), Network Associates (McAfee Virusscan), FRISK Software (F-Prot), Panda Software (Panda Platinum), Computer Associates (InoculateIT), Eset Software (NOD32), Norman (Norman), Softwin (Bitdefender) e Sybari (Antigen). A Hispasec afirma que sistemas de outras empresas também estão sendo considerados para o futuro.

A interface é bastante simples: basta fornecer um e-mail, selecionar o arquivo que deve ser analisado e confirmar. A verificação é feita em poucos minutos, dependendo da carga de utilização do sistema, e enviada para o endereço eletrônico fornecido. O serviço recebe ainda mensagens ou arquivos suspeitos pelo e-mail analiza@virustotal.com, com o assunto "ANALIZA" (com "z", mesmo, já que em espanhol).

No site também é possível encontrar estatísticas globais sobre os arquivos enviados, notícias sobre vírus, boletins de segurança e atualizações de empresas fornecedoras de antivírus.

A Hispasec lembra que o serviço não é substituto de uma solução antivírus real, e nem mesmo com todas essas verificações simultâneas pode-se garantir com 100% de certeza que um arquivo que não seja identificado como daninho seja realmente inofensivo. Mesmo assim, o serviço é útil para encontrar novos vírus ou analisar arquivos suspeitos.

4/6/2004 - 18:04 Giordani Rodrigues

Pesquisadores da empresa israelense GreyMagic descobriram um bug no navegador Opera que pode facilitar a execução de ataques de “phishing scam”. Os golpes de phishing, cada vez mais comuns na Internet, utilizam mensagens e páginas falsas com o objetivo de enganar usuários e fazê-los revelar suas senhas bancárias e outras informações privadas.

O problema foi constatado numa implementação comum em vários navegadores, chamada de “ícone de atalho” (favicon), que permite aos sites adicionarem um pequeno ícone que os identifica, tanto na barra de endereços quanto na lista de favoritos. No Opera, porém, o espaço ocupado por este ícone na barra de endereços pode ser maior do que em outros navegadores. Tal característica dá lugar a uma brecha de segurança capaz de ludibriar os internautas.

No espaço permitido pelo Opera, é possível criar-se um ícone que contenha não só a figura que caracteriza um site, mas também o seu endereço completo, de modo a imitar a forma como o navegador iria apresentar este endereço.

Mas só isto não seria suficiente para realizar o truque, pois o endereço real do site ainda seria visível à direita do falso ícone. No entanto, o Opera possibilita também preencher o resto da URL fraudulenta com espaços em branco, tornando a falsa barra de endereços bastante convincente. Com isso, basta combinar o endereço criado com o conteúdo de uma página para ter falsos sites de bancos e outras empresas.

A GreyMagic publicou um alerta contendo detalhes sobre a vulnerabilidade e o link para uma demonstração do truque. Internautas que não utilizem o Opera poderão ver o resultado nesta cópia.

As versões do Opera 7.5 e anteriores mostraram-se afetadas pelo bug. A empresa israelense afirma que contatou a fabricante do Opera no dia 19 de maio. No dia 3 de junho foi lançada a versão 7.51 do navegador, na qual o problema já está corrigido, e também o alerta público da GreyMagic.

4/6/2004 - 12:25 Giordani Rodrigues

O ex-estudante de medicina Mateus da Costa Meira, de 29 anos, que ficou conhecido como "o atirador do shopping", condenado ontem a 120 anos de prisão, motivou a criação do Movimento Anti-Spam Brasileiro, em 1997.

Segundo explicações do próprio site da organização, "o Movimento Brasileiro de Combate ao Spam foi criado em janeiro de 1997, fruto da iniciativa de um provedor baiano, a MagicLink, que teve repetidos incidentes originados pelo estudante de medicina Mateus da Costa Meira, o mesmo que em novembro de 1999 foi acusado de ter assassinado três pessoas em um cinema do Shopping Center Morumbi, em São Paulo".

O movimento foi fundado por Isamar Maia, então diretor-técnico do provedor MagicLink, de Salvador, depois que Meira passou três meses lançando ataques contra clientes e funcionários da empresa. O ex-estudante enviava mensagens falsas, com cavalos-de-tróia e imagens pornográficas para os computadores do provedor e de seus clientes.

Depois, ele "iniciou uma campanha intensa de difamação contra um técnico do provedor, que o havia desmascarado", relembra o gerente de segurança de redes Hermann Wecke, membro do Movimento Anti-Spam.

Ao descobrir quem era o autor dos ataques, o técnico, que se chamava André Oliveira, contatou o provedor de Mateus Meira, o qual cancelou sua conta. Ao saber disso, Meira ficou transtornado e, para vingar-se, copiou a página pessoal do técnico e a transformou numa página gay, com várias fotos pornográficas, além de cadastrá-la em mecanismos de busca na Internet.

Os detalhes do episódio foram relatados por Isamar Maia numa reportagem do Estadão, poucos dias depois que o ex-estudante efetuou os disparos no shopping. Para o ex-diretor da MagicLink, as atitudes de Meira já denotavam seu desequilíbrio mental. Maia já não mora no Brasil e o Estadão fechou seu conteúdo online para assinantes, mas a reportagem ainda pode ser lida nos arquivos da Wayback Machine.

O site do Movimento Anti-Spam Brasileiro publicou hoje uma nota intitulada "Spammer é condenado a 120 anos de prisão. No Brasil". No texto, que serve como link para um reportagem sobre a condenação do atirador do shopping, lê-se o seguinte:

"O spammer Mateus da Costa Meira, que iniciou sua carreira como spammer em Salvador e terminou como assassino em São Paulo, foi condenado pelo Tribunal do Júri no dia 3 de Junho de 2004 a 120 anos e seis meses de prisão pela morte de três pessoas no cinema do Shopping Morumbi. Os spams enviados por Mateus há muitos anos atrás (sic) deram início ao Movimento Antispam Brasileiro. Ao nosso 'fundador', votos de muitos e muitos aniversários atrás das grades. E que, em breve, outros spammers, entre eles o Jean Cretinian, possam estar reunidos com você aí atrás das grades”.

Jean Cretinian é um trocadilho com o nome de um certo "professor" Jean Christian, um dos mais ativos spammers do Brasil, que opera há anos a partir de Ribeirão Preto, enviando mensagens não solicitadas a milhares de internautas brasileiros. Os spams de Jean Christian geralmente contêm ofertas de programas desenvolvidos por ele e que servem para enviar mais spam.

2/6/2004 - 19:28 Giordani Rodrigues

A cara-de-pau dos scammers (golpistas da Internet) realmente não tem limites. Prova disso é o falso e-mail que foi detectado hoje, 2 de junho, circulando pela rede. Como se já não bastasse a confusão causada por worms, como Netsky e Bagle, e os avisos de contaminação enviados de programas antivírus para usuários inocentes, os golpistas criaram uma mensagem fraudulenta baseada num desses avisos. Quem cair na armadilha poderá ter sua conta bancária “zerada”.

Para entender o golpe, é preciso conhecer o funcionamento de alguns worms atuais e de softwares antivírus instalados em servidores. Um desses worms é o Netsky, cujo nome foi utilizado no esquema fraudulento. O Netsky consegue infectar uma máquina A e recolher quantos endereços de e-mail puder encontrar no sistema. Em seguida, cria uma mensagem infectada usando o endereço de e-mail de um usuário B e a envia para um usuário C. Ambos os endereços estavam presentes na máquina A.

Só isso já é suficiente para criar uma bela confusão, pois o usuário B pode jamais ter tido sua máquina infectada e mesmo assim seu endereço estará circulando como remetente de vírus pela Internet. Mas para piorar ainda mais a situação, alguns provedores instalaram antivírus no gateway de seus servidores e deixaram habilitada uma configuração que avisa o suposto remetente de uma mensagem contaminada, quando esta é detectada pelo sistema.

Acontece que, como o Netsky e outros worms semelhantes forjam o endereço dos remetentes destas mensagens, vários usuários receberão avisos de um provedor sem nunca ter enviado vírus a ninguém. Ou seja, o remédio se torna pior do que a doença, e muitos usuários têm ficado desesperados ao receberem os tais avisos.

Foi nesta brecha que os golpistas se infiltraram. Aproveitando um dos avisos em português, gerado pelo MAV Antivírus, criaram uma falsa mensagem com um link para “atualizar o antivírus” e “remover o vírus” do sistema. Mas o link, na verdade, leva a um trojan, que até o momento em que este texto foi ao ar ainda estava disponível no endereço http://www.meumundo.americaonline.com.br/vacinas2004/MAV-Antivirus.exe.

O trojan foi identificado como Troj_Bancos.P, um programa projetado para simular teclados virtuais de vários bancos brasileiros, entre eles o Banco do Brasil, o Itaú e o Bradesco, roubar as senhas dos correntistas e enviar, por e-mail, as informações para os golpistas.

A falsa mensagem é um primor de cinismo. Os textos originais foram modificados, de tal forma a indicar que se trata de uma fraude, mas de maneira sutil o suficiente para enganar os usuários menos atentos. A frase “vírus enviado pelo seu computador”, por exemplo, foi substituída por “vírus enviado para seu computador”. Já a frase “a mensagem foi enviada para a(s) seguinte(s) pessoa(s)”, seguida do endereço de e-mail para onde o vírus teria sido enviado, foi substituída simplesmente por “esse vírus foi enviado para vária(s) pessoa(s)”.

Neste ponto, deve-se frisar também que o aviso legítimo do MAV Antivírus, comercializado no Brasil pela Mais Informática, é, por si só, uma pérola. Sem considerar as possibilidades de falsificação de remetentes empregadas por vários worms modernos, a mensagem declara categoricamente: “Nosso antivírus detectou que você mandou um e-mail contendo o(s) seguinte(s) vírus”. Logo depois, vem a indicação do vírus detectado. Quem recebe uma mensagem como esta e não tem noção das técnicas de disseminação dos worms atuais, sofre um verdadeiro choque, principalmente usuários novatos ou mais impressionáveis, que se assustam apenas com a menção da palavra “vírus”.

Vários outros produtos antivírus têm enviado avisos semelhantes a internautas inocentes, mas a mensagem do MAV Antivírus, ao afirmar que "você mandou um e-mail" contendo um vírus, é uma das mais ostensivas. Uma cópia da mensagem verdadeira pode ser vista aqui, e comparada com a mensagem falsa, aqui.

1/6/2004 - 1:36 Redação/Divulgação

O escritório jurídico Kaminski, Cerdeira & Pesserl, especializado em software e novas tecnologias, está iniciando um projeto inédito de tradução para o português das licenças de software de código aberto ("open source"). O trabalho conta com a parceria da Open Source Initiative (OSI), uma organização sem fins lucrativos dedicada ao gerenciamento e promoção das licenças "open source".

O escritório pretende traduzir as principais licenças sob a definição de “open source”. “A primeira fase do projeto contempla ao menos quinze textos distintos, como as licenças BSD, Mozilla, Apache, MIT ou OSL/AFL", diz Pablo de Camargo Cerdeira, sócio do escritório.

As licenças de software "open source" permitem aos programadores ler, redistribuir e modificar o código-fonte (as linhas de programação) de um programa de computador. A idéia básica por trás da iniciativa é que, nestas condições, o software evolui, pois as pessoas podem melhorá-lo, adaptá-lo e consertar seus problemas. Seus defensores também acreditam que esta evolução acontece numa velocidade muito maior do que a obtida pelo modelo de desenvolvimento de software convencional, também chamado proprietário, no qual apenas o detentor dos direitos de propriedade intelectual de um programa pode acessar seu código-fonte.

Mas para um software ser considerado "open source" de acordo com os critérios da OSI, não basta apenas o acesso ao código-fonte. Seus termos de licenciamento devem seguir os critérios estabelecidos na "Open Source Definition" (Definição de Código Aberto). Esta inclui, além do acesso ao código-fonte, a livre redistribuição, a permissão para trabalhos derivados, a previsão de integridade do trabalho do autor e a neutralidade tecnológica, entre outros termos.

As licenças de software se diversificaram nos últimos anos e isto criou um intrincado sistema de permissões e proibições, direitos e deveres, que muitas vezes passa despercebido ou é obscuro para um leigo. Um dos objetivos do escritório jurídico é exatamente interpretar os meandros destas licenças.

Open Source e Free Software

Uma confusão comum nesta área ocorre entre as definições de "open source" e "free software", traduzido para o português como “software livre”. A decisão de adotar a terminologia "open source", por sinal, foi baseada parcialmente na tentativa de eliminar outra confusão, causada, em inglês, pela ambigüidade do termo "free", que tanto quer dizer "livre" quanto "grátis". Já a expressão “open source” pode ser traduzida como "código-fonte aberto" e deve ser utilizada apenas para os programas de computador cujos termos de licenciamento se enquadrem na "Open Source Definition”.

A "Free Software Definition" (Definição de Software Livre) é ligeiramente mais restritiva que a "Open Source Definition". Como conseqüência, o software livre é "open source", no sentido de que seu código-fonte é aberto, mas programas de computador "open source" podem ou não ser "softwares livres", sob os termos da "Free Software Definition". Na prática, quase todas as licenças “open source” também satisfazem a definição de software livre, e a diferença está mais na ênfase filosófica.

Produção colaborativa

O projeto de tradução das licenças “open source” que está sendo iniciado pelo escritório Kaminski, Cerdeira & Pesserl também segue a filosofia de trabalho aberto, por isso seus integrantes esperam obter o respaldo e a ajuda da comunidade brasileira interessada na evolução do software. "A idéia é seguir o modelo de produção colaborativa, típico deste modelo de desenvolvimento de software", esclarece Pablo Cerdeira.

Maiores informações podem ser obtidas no site www.kcp.com.br.