31/7/2001 - 13:32 Giordani Rodrigues

Não bastassem os problemas já causados pelo vírus SirCam isoladamente, descobriu-se que a praga, largamente disseminada, começou a oferecer um perigo adicional aos usuários de computador: está sendo enviada em arquivos infectados com outros vírus.

A informação foi divulgada pela MessageLabs, empresa britânica especializada em rastrear e-mails em busca de vírus. Até ontem, a empresa havia registrado mais de 100 mensagens com arquivos duplamente infectados, tais como o SirCam infectado pelos vírus FunLove ou Kriz.

O SirCam se espalha por e-mail ou por rede compartilhada e uma de suas características marcantes é anexar-se a arquivos roubados do computador contaminado. Estes arquivos são então enviados em mensagens eletrônicas junto com o código do vírus.

Como os arquivos são escolhidos aleatoriamente, alguns podem já ter sido contaminados anteriormente por outras pragas, as quais permanecem em máquinas que não foram adequadamente protegidas.

Segundo a MessageLabs, é teoricamente possível que um programa antivírus desinfecte de forma imperfeita arquivos duplamente infectados, mais provavelmente removendo os vírus mais antigos, como o FunLove. Na pior das hipóteses, uma restauração imperfeita do arquivo original poderia conter uma versão modificada do SirCam, não mais detectável pelos antivírus existentes.

Em outras palavras, a desinfecção inadequada de arquivos duplamente infectados poderia criar um nova variante do SirCam. A variante não será detectada pela tecnologia existente, até que novas assinaturas de vírus sejam lançadas.

A MessageLabs informa também que o SirCam ainda não mostrou sinais de decréscimo significativo no número de contaminações e já é o vírus mais detectado em todos os tempos pela empresa. A praga foi encontrada em mensagens provenientes de mais de 160 países.

As estatísticas da empresa mostram que segunda-feira é o dia em que o número de mensagens contaminadas por vírus costuma ser maior, devido ao acúmulo dos feriados de finais de semana. No último domingo, a MessageLabs registrou cerca de 5,5 mil mensagens contaminadas por vírus em geral. Na segunda-feira, este número subiu para quase 11 mil. Nas últimas 24 horas, foram encontradas quase 6 mil mensagens infectadas apenas pelo SirCam.

Leia também:

SirCam já causou metade dos prejuízos do vírus I Love You

SirCam infecta computadores do FBI

Vírus SirCam tornou-se caso de emergência

Vírus SirCam já é o mais ativo no Brasil

Empresas disponibilizam proteções contra o vírus SirCam

Perigoso vírus envia arquivos do usuário por e-mail

30/7/2001 - 19:39 Giordani Rodrigues

O russo Dmitry Sklyarov irá continuar preso e sob custódia da Justiça americana. A decisão ocorreu em um encontro promovido na sexta-feira, em São Francisco, Califórnia, entre a Electronic Frontier Foundation (EFF), que foi pedir a libertação do prisioneiro, e representantes da Procuradoria dos EUA.

Segundo a EFF, o diálogo foi produtivo, mas os oficiais responsáveis pelo caso não concordaram em desistir do processo. “Os promotores ouviram nossas preocupações e pediram para examinar as questões relativas ao Digital Millennium Copyright Act”, explicou Shari Steele, diretora executiva da EFF. “No entanto, eles não nos deram nenhuma indicação sobre seus planos para Dmitry, por isso encorajamos todos a continuarem a pressionar e se juntar aos protestos”.

Entre hoje e amanhã, já estão programadas manifestações em várias cidades dos EUA, incluindo um protesto em frente à sede da corte federal, em São Francisco. Dmitry Sklyarov foi preso por agentes do FBI no dia 16 de julho, depois de apresentar a palestra “Segurança de eBooks – teoria e prática”, na nona versão do encontro hacker Def Con, em Las Vegas.

Sklyarov é um dos autores de um programa para quebrar a criptografia do software chamado eBook Reader, produzido pela Adobe. O software permite que consumidores leiam livros eletrônicos criptografados, adquiridos de livrarias virtuais. Os livros só podem ser lidos na máquina em que foram instalados.

Com o programa do russo, chamado de Advanced eBook Processor, os consumidores não só podem transportar os livros eletrônicos para qualquer computador, como também podem abri-los no formato Portable Document Format (PDF). Isto permite que o livro seja editado, copiado e impresso.

Por causa disso, Sklyarov foi enquadrado na lei criada em 1998 para proteger os direitos intelectuais de produtos digitais, o Digital Millennium Copyright Act (DMCA). Se for condenado, ele pode pegar uma pena máxima de 5 anos de prisão e multa de US$ 500 mil.

Na semana passada, a Adobe, que havia solicitado sua prisão, cedeu às pressões e retirou a queixa contra ele, além de recomendar sua libertação. Mesmo assim, a empresa continua sofrendo críticas. Sua atitude foi vista como uma jogada de marketing: depois de ter ajudado na prisão de Sklyarov, retirou-se do caso, deixando o destino do russo nas mãos da justiça.

O caso Sklyarov, que começou como a prisão de um cracker que tinha desenvolvido mais um programa para quebrar códigos protegidos, acabou ganhando importância na definição do que será ou não permitido em uma sociedade digital. Como ele é um das primeiras pessoas a serem processadas com base no DMCA e sua prisão tem causado comoção pública, o que acontecer com ele poderá criar jurisprudência.

Sklyarov defende-se dizendo que é apenas um programador e que seu software pode ter um bom uso, como o de permitir que pessoas que compraram um livro eletrônico legalmente possam lê-lo em outras máquinas e no formato de sua escolha.

O DMCA, que já não era bem visto pelos defensores da liberdade de expressão, agora está sofrendo críticas ainda mais duras. Richard Smith, um dos diretores da Privacy Foundation, publicou hoje suas próprias considerações. Segundo Smith, da forma como está estruturado o DMCA pode inibir a pesquisa criativa.

“O que incomoda os pesquisadores de informática em relação ao DMCA é que ele é um campo minado legal que pode atingir qualquer um que esteja investigando aspectos de segurança e privacidade em softwares comerciais. A prisão de Sklyarov confirma nossos piores temores a respeito do DMCA”.

Leia também:

Adobe pede a libertação de programador russo

Russo preso nos EUA é defendido em campanhas na Web

30/7/2001 - 13:42 Giordani Rodrigues

Microsoft, FBI, CERT Coordination Center, SANS Institute e outras importantes organizações ligadas à segurança de sistemas lançaram, ontem, um alerta público conjunto, recheado de expressões de alarme, sobre uma “ameaça para a Internet muito real e presente”. Amanhã é a data limite para que se tomem providências para evitá-la.

Trata-se do já conhecido vírus Code Red e suas variantes, que devem voltar a agir a partir das 21 horas (horário de Brasília) de 31 de julho, de acordo com o alerta, que também informa que o vírus sofreu mutações e está mais perigoso.

O resumo do texto diz o seguinte: "O worm Code Red e suas mutações oferecem uma séria e contínua ameaça aos usuários da Internet. Ações imediatas são exigidas para combater esta ameaça. Usuários que dispõem do software vulnerável ao worm devem instalar, se ainda não o fizeram, uma correção de segurança vital".

O Code Red, recentemente descoberto, explora falhas divulgadas há pouco mais de um mês no servidor Microsoft Internet Information Server (IIS), versões 4.0 e 5.0, presente em várias plataformas. A correção para as falhas está disponível desde então.

Segundo o CERT, o vírus infectou mais de 250 mil máquinas em apenas 9 nove horas no dia 19 de julho e pode comprometer todos os sistemas vulneráveis em 18 horas. A partir de um sevidor infectado, o Code Red rastreia outras máquinas para se instalar. Pelas análises do CERT, o intenso tráfego de dados pode causar um colapso na Internet afetando todos os tipos de sistemas.

A Digital Island e o SANS Institute lançaram um curso online para eliminar o problema, com informações em áudio, documentos no formato PDF e apresentações em Power Point. O curso pode ser encontrado aqui.

Apesar de todos os alertas, há quem ache que tudo não passa de uma histeria coletiva, como é o caso de Rob Rosenberger, editor do site Vmyths.com, especializado em boatos na Internet. Ele também acredita que o National Infrastructure Protection Center (NIPC), do FBI, está engajado na campanha contra o Code Red apenas para melhorar sua imagem pública.

Na semana passada, o atual diretor do órgão, Ronald Dick, foi interpelado por uma subcomissão do senado americano sobre denúncias de incompetência administrativa. Rosenberger cita ainda o fato de que, há poucos dias, o NIPC foi infectado pelo vírus SirCam. “Agora esta mesma agência quer nos salvar do worm Code Red”, ironiza.

Outros estão em dúvida quanto à real ameaça do vírus. Na sexta-feira, o site SecurityWatch citou uma mensagem enviada pelo especialista Christoper Paul para a lista Bugtraq, afirmando que depois de exaustivas análises tinha chegado à conclusão de que o vírus estava definitivamente inativo. Hoje, Paul voltou atrás e disse que o Code Red irá atacar novamente no dia primeiro de agosto.

Com ou sem caos, é extremamente aconselhável fazer a correção da vulnerabilidade, que pode ser encontrada aqui. Mesmo porque a falha dá margem a outros tipos de ataques, inclusive humanos.

O texto integral do alerta conjunto da Microsoft (que teve o seu site de atualizações do Windows desfigurado pelo Code Red no dia 19), CERT Coordination Center, NIPC, Federal Computer Incident Response Center (FedCIRC), Information Technology Association of America (ITAA), SANS Institute, Internet Security Systems e Internet Security Alliance pode ser encontrado aqui.

Leia também:

Vírus Code Red volta a atacar na próxima semana

Vírus Code Red dirige ataques ao site da Casa Branca

Vírus invade página de atualizações da Microsoft

Novo vírus atinge milhares de servidores IIS

Descoberta outra falha grave no Microsoft IIS

29/7/2001 - 13:04 Giordani Rodrigues

O feitiço acabou virando contra o feiticeiro. O site Attrition.org, a maior referência mundial sobre desfigurações de páginas na Internet, foi, ele próprio, desfigurado. O fato aconteceu neste sábado, por volta das 10 horas (horário de Brasília). O responsável pela invasão foi Fluffy Bunny, o mesmo hacker que desfigurou o site do SANS Institute e comprometeu servidores da Fundação Apache e do SourceForge.

Na página principal do Attrition, Fluffy Bunny colocou a figura de um coelho de pelúcia fumando um cigarro, a frase “Fluffi Bunni diz...hackear é mau, ok?” e o seguinte texto: “Fluffy Bunny exige que Attrition faça o espelho de todas as suas desfigurações ou sua rede será invadida com mais coelhos do que a Austrália”.

Como se sabe, os integrantes do Attrition deixaram de produzir espelhos das invasões há cerca de dois meses. Neste caso, porém, eles quebraram a regra e publicaram seu próprio espelho. Há dez dias uma exceção também foi aberta, quando o vírus Code Red atacou a página de atualizações do Windows.

A atitude é condizente com um comentário feito em fevereiro, quando o site brasileiro Securenet, que habitualmente publicava notícias sobre invasões, foi desfigurado por Psaux: “É sempre um tanto irônico quando companhias ou sites relacionados à segurança são desfigurados. Attrition está apenas aguardando até acabar fazendo o espelho de sua própria desfiguração”.

Há pouco mais de um mês, o site Alldas.de, que de certa forma ocupou o lugar de Attrition, também foi invadido e também publicou uma imagem do ataque. O Safemode que se cuide!

Para ver como ficou a página do Attrition depois do “trabalho” de Fluffy Bunny, clique aqui.

Leia também:

Vírus invade página de atualizações da Microsoft

Cracker invade organização internacional de segurança

Alldas.de é hackeado e registra a própria invasão

Hacker do Apache e SourceForge diz: “Não sou contra Open Source”

Entrevista com Psaux, o "pichador" que invadiu o site Securenet

Hackers invadem site Securenet

27/7/2001 - 20:25 Giordani Rodrigues

O vírus SirCam, descoberto há apenas dez dias, já causou pelo menos metade das perdas financeiras causadas pelo vírus I Love You, surgido em maio de 2000 e um dos que mais se alastrou pelo mundo. A informação foi divulgada hoje pela Trend Micro na conferência “Como proteger sua empresa do vírus SirCam e outras ameaças”, realizada no México.

Para se ter uma idéia de quanto isso significa, basta dizer que, pelos cálculos da Trend Micro, o I Love You causou um prejuízo de US$ 11 bilhões apenas no ano passado. A empresa contabiliza cerca de 50 mil computadores infectados em todo o mundo pelo SirCam.

Daniel Ortiz, gerente de suporte da Trend Micro para a América Latina, considera que os vírus estão atacando de forma mais específica. “Depois do SirCam, prevê-se uma nova geração de vírus, menos dependentes do sistema operacional”, comentou.

Um dos motivos do sucesso do SirCam é que este vírus possui sua própria rotina de envio de mensagens e não depende do Outlook, nem de outros programas de e-mail para se espalhar. Além disso, o vírus também tem a capacidade de se disseminar por uma rede compartilhada, o que aumenta bastante seu “poder de fogo”.

Ortiz apresentou uma avaliação dos vírus mais destrutivos do mundo, assim como as variantes de ataque e de maior propagação. “Citando alguns dos vírus mais destrutivos e os prejuízos que causaram em nível mundial, Melissa foi a ponta de lança no ataque mediante o Outlook, propagando-se por e-mail e por arquivos. Por outro lado, o I Love You causou perdas de bilhões de dólares. Atualmente, estes vírus continuam ocupando um lugar na lista dos dez mais recorrentes.”

Tanto ele quanto Paulo Tonetto, diretor de negócios da Trend Micro para a América Latina, insistiram na importância de se ter um bom produto antivírus atualizado, principalmente face às novas ameaças. “O antivírus não é simplesmente um software para ser instalado, ele tem de ser administrado. Significa que se deve mantê-lo atualizado, configurado e controlado”.

Apesar da ameaça que o vírus SirCam ainda apresenta, a quantidade de infecções que ele tem causado aparentemente começou a declinar. A Trend Micro, que essa semana elevou o risco do vírus de médio para alto, novamente o está classificando como de médio risco.

Uma tendência de descréscimo no número de mensagens contaminadas também se verifica nas estatísticas da MessageLabs. Ontem, a empresa detectou cerca de 10 mil ocorrências do SirCam, mas nas últimas 24 horas este número está em pouco mais de 5 mil casos.

Leia também:

SirCam infecta computadores do FBI

Vírus SirCam tornou-se caso de emergência

Vírus SirCam já é o mais ativo no Brasil

Empresas disponibilizam proteções contra o vírus SirCam

Perigoso vírus envia arquivos do usuário por e-mail

27/7/2001 - 17:03 Giordani Rodrigues

Se você acha que a ação do Code Red, um vírus do tipo worm que atacou cerca de 300 mil servidores há alguns dias, está controlada, prepare-se para o que pode vir depois do dia 1º de agosto. De acordo com um alerta divulgado ontem pelo CERT Coordination Center, centro de segurança da Universidade Carnegie Mellon, nos EUA, a partir dessa data o worm deverá voltar à ativa, e com uma carga ainda mais perigosa.

Recentemente, descobriu-se que o vírus possui uma variante e que ele não só ataca servidores Microsoft IIS, mas também roteadores Cisco vulneráveis. A variante não desfigura os sites hospedados nos servidores em que se instala, como acontece com a primeira versão.

No entanto, isto torna sua ação mais perigosa, pois dessa forma ele pode passar despercebido. Ao mesmo tempo, sua capacidade de rastrear a rede em busca de outras máquinas vulneráveis continua existindo. O resultado pode ser um gigantesco tráfego de dados pela Internet, pois o Code Red se espalha com muita rapidez.

As análises do CERT estimam que, a partir de uma única máquina infectada, o worm pode atacar todos os servidores IIS vulneráveis em menos de 18 horas. A organização detectou mais de 250 mil máquinas infectadas em apenas 9 horas, no dia 19 de julho. No dia 20, sua ação mudou para um ataque Denial of Service (DoS) ao site da Casa Branca.

O Code Red explora falhas nos seguintes sistemas: Windows NT 4.0 com IIS 4.0 ou 5.0 habilitado e função Index Server 2.0 instalada; Windows 2000 com IIS 4.0 e 5.0 habilitado e serviços Indexing instalados; Cisco CallManager, Unity Server, uOne, ICS7750 e Building Broadband Service Manager (todos estes sistemas rodam IIS); roteadores Cisco 600 série DSL. O worm possui três padrões básicos de comportamento:

Do dia 1 ao dia 19 de cada mês: o worm se propaga utilizando o servidor infectado para fazer uma conexão TCP (Protocolo de Controle de Transmissão, na sigla em inglês) na porta 80, que é a porta padrão de sites na Internet. Os endereços são escolhidos aleatoriamente e dependendo da configuração do servidor, podem acontecer as seguintes manisfestações:

Servidores IIS 4.0 e 5.0 sem correção e com os serviços Indexing instalados: é quase certo que serão infectados, dando início a um novo processo. A primeira versão do worm desfigura todas as páginas instaladas no servidor se a configuração estiver em inglês. A mensagem deixada nas páginas traz o texto “Welcome to http://www.worm.com ! Hacked By Chinese!”. A segunda versão não desfigura as páginas, mas rastreia a rede em busca de novas vítimas.

Roteadores Cisco 600 séries DSL sem correção: irão processar as requisições HTTP feitas na porta 80 e disparar uma vulnerabilidade que faz com que os roteadores parem de enviar pacotes de dados. Para mais informações sobre esta vulnerabilidade, clique aqui.

Sistemas que não estejam rodando IIS, mas com que tenham um endereço HTTP na porta 80: provavelmente irão aceitar a requisição HTTP da máquina infectada, retornar uma mensagem de erro e registrar a requisição nos arquivos de acesso.

Do dia 20 ao dia 27 de qualquer mês: Pacotes de ataques DoS serão lançados contra um endereço IP específico, embutido no código do vírus. Na primeira versão, o endereço era 198.137.240.91 que correspondia ao site da Casa Branca. Os técnicos de segurança mudaram o acesso ao site para outro endereço e recentemente forma divulgadas notícias de que o sistema estava sendo mudado para Linux.

Após o dia 27 do mês: o worm permanece na memória, mas torna-se inativo.

O CERT alerta que, devido ao fato de o Code Red estar programado para se propagar durante os primeiros 19 dias do mês, o enorme tráfico de dados pode provocar problemas de negação de serviço generalizados. Os sistemas comprometidos, além de terem páginas desfiguradas, também podem apresentar uma degradação do desempenho bastante severa como resultado do processo de propagação do vírus.

Como uma máquina pode ser infectada simultaneamente por múltiplas cópias do vírus, os serviços podem ser totalmente interrompidos. Além disso, o tipo de vulnerabilidade que o Code Red explora pode ser usada para executar códigos arbitrários e dar a um atacante total acesso ao sistema.

Todas as versões conhecidas do worm residem inteiramente na memória dos sistemas. Apesar disso, uma das formas de eliminar a praga é reiniciar a máquina. De qualquer forma, esta pode ser uma solução apenas temporária, pois como sua propagação é muito rápida é bastante provável que o sistema volte a ser infectado.

O CERT avisa que todos os sites na Internet devem fazer a correção dos sistemas vulneráveis, a qual pode ser encontrada aqui. Regras para recuperar sistemas comprometidos são encontradas aqui.

Leia também:

Vírus Code Red dirige ataques ao site da Casa Branca

Vírus invade página de atualizações da Microsoft

Novo vírus atinge milhares de servidores IIS

Descoberta outra falha grave no Microsoft IIS

27/7/2001 - 10:03 Giordani Rodrigues

Deve ter sido um recorde histórico, ainda mais por se tratar do site de uma grande companhia. O endereço http://xl.com, que hospeda o site da Excel Switching, pertencente à Lucent, foi desfigurado repetidas vezes em alguns dias, por diferentes grupos hackers, que fizeram a festa na página principal.

A primeira invasão da série aconteceu no sábado, dia 21, e foi assinada pelo grupo Demoniados.Br. No dia seguinte o site tinha voltado ao normal. Mas a partir de segunda-feira, ele não parou mais de ser desfigurado. Saía um, entrava outro, num processo que durou até quinta-feira.

Na segunda-feira, uma leitora de InfoGuerra, depois de ler sobre a invasão ocorrida no sábado, avisou que o site estava novamente desfigurado por um grupo que usa o apelido de Quarai Hack Force. Na terça-feira, o Safemode registrou o ataque de um outro grupo chamado Feltonspray. Na noite deste mesmo dia, o site já estava novamente alterado por um desconhecido, que deixou uma mensagem para alguém identificado por Moats. No dia seguinte, mais uma vez o Quarai Hack Force voltou à carga.

Na quarta-feira, InfoGuerra entrou em contato com a assessoria de imprensa da Lucent no Brasil, que informou que quem poderia dar uma explicação para o fato seria a matriz, nos EUA. Um e-mail foi enviado para a assessoria americana, mas não houve resposta. Na quinta-feira, o site saiu do ar e assim se encontra até agora.

O mais intrigante é que o site www.xl.com continuou normal o tempo todo, enquanto o outro endereço (sem o www), estava servindo como área de lazer para os hackers. A explicação para o fato é que, embora os dois endereços apresentem a mesma página, os servidores que os hospedam são diferentes.

O que permaneceu no ar roda um servidor Netscape-Enterprise em sistema Irix. O que foi desfigurado aparentemente utiliza o servidor Microsoft IIS e apresentava o conhecidíssimo bug Unicode, explorado por 9 entre 10 script kiddies.

Deve-se levar em consideração que a série de desfigurações são o que se chama de redefacement. O termo é usado quando um grupo picha o trabalho do outro, o que é muito mal visto no submundo dos desfiguradores de sites.

Muito pior, porém, é o fato de a Lucent ter permitido que isto ocorresse. Ainda mais quando o mesmo site já havia sido atacado um mês antes pelo worm sadmind/IIS, que utiliza vulnerabilidades conhecidas (como o Unicode) com correções disponíveis há bastante tempo.

Clique nos nomes abaixo para ver o que aconteceu com o site:

Demoniados.Br

Quarai Hack Force 1

Feltonspray

Desconhecido

Quarai Hack Force 2

Leia também:

Lucent não corrige falhas em seu site

Site da Lucent é atacado por vírus

26/7/2001 - 8:34 Giordani Rodrigues

Um novo exploit (programa que explora falhas em sistemas) começou a circular pela Internet e vários sites podem já ter sido invadidos a partir dele. O exploit aproveita uma vulnerabilidade em sistemas operacionais baseados em UNIX, divulgada há apenas uma semana.

A falha se encontra no programa Telnet, usado para acesso remoto entre computadores, e afeta todos os sistemas derivados do BSD. Por meio do bug é possível estourar a memória (buffer overflow) ou executar códigos e ganhar acesso à máquina comprometida.

Empresas como Sun, HP e Cisco estão investigando se o problema também atinge seus sistemas, de acordo com um alerta publicado pelo CERT Coordination Center. Na segunda-feira, o site oficial do FreeBSD forneceu informações e uma correção para o bug, que atinge todas as versões deste sistema.

Os descobridores do bug — um grupo de segurança chamado Teso — também desenvolveu o exploit, mas resolveu não publicá-lo antes de o problema ser corrigido. Alguns hackers, porém, tiveram acesso ao programa e passaram a divulgá-lo em sites e listas de discussão.

Nos últimos dias, muitos sites que rodam o sistema operacional FreeBSD — que nunca esteve entre os mais atacados — foram desfigurados. Os incidentes estão sendo atribuídos ao uso do exploit.

Na terça-feira, o grupo pró-israelense m0sad invadiu mais de 200 sites hospedados em um servidor que utiliza o FreeBSD. O grupo publicou fotos de 137 pessoas, alegando que todas foram “vítimas do terror árabe desde 2000”.

Nomes desconhecidos estréiam atacando vários sites de uma vez em servidores diferentes, todos rodando o FreeBSD. É o caso do grupo Latexgirl, que invadiu 10 sites, ontem. Até ThePike , que só havia atacado um site em toda a sua carreira, voltou à cena.

Deve-se frisar que o único site que ele havia invadido tornou-o conhecido na comunidade hacker. Há um mês, ThePike desfigurou o site Alldas.de, especializado justamente em registrar este tipo de ação. Ontem, invadiu mais um, o site holandês hackers.nl, cujo nome já diz a que veio. O sistema operacional: FreeBSD.

Mas o caso mais patente parece ter sido mesmo o do site Stile Project. Sob responsabilidade de Jonathan Biderman, o Stile Project é um site pornográfico com um estilo, digamos, bizarro. No ano passado, tornou-se conhecido pelo prêmio Webby que recebeu, na categoria “esquisito”.

Na segunda-feira, ele foi desfigurado por Fluffy Bunny, o mesmo invasor do SANS Institute e do SourceForge. O hacker deixou a imagem de um coelho de pelúcia no site e uma mensagem obscena. Aparentemente também apagou as informações do servidor, pois logo em seguida Biderman anunciou que iria fechar o site, pois não tinha uma cópia de segurança do banco de dados.

No dia seguinte, o site estava novamente no ar, com outra mensagem de Biderman e um trecho que dizia: “Outro dia alguém estava me contando a respeito deste novo exploit de FreeBSD, que permite às pessoas terem acesso ao servidor e fazerem o que quiserem com ele. Parece que eu fui uma vítima desse exploit, embora nós achássemos que o servidor estivesse corrigido”.

Se você administra um sistema que se enquadra nas descrições acima, não perca mais tempo. Corrija-o. Informações mais detalhadas sobre a falha e links para as correções podem ser encontrados aqui.

Leia também:

Cracker invade organização internacional de segurança

Hacker do Apache e SourceForge diz: “Não sou contra Open Source”

25/7/2001 - 12:39 Giordani Rodrigues

Mensagens de e-mail contaminadas com o vírus SirCam foram enviadas, ontem, de um endereço com o domínio fbi.gov para várias pessoas ligadas à segurança de computadores. As mensagens partiram de um agente especial do National Infrastructure Protection Center (NIPC), braço do FBI para proteção de infra-estrutura dos EUA.

Os e-mails continham documentos do NIPC infectados com o vírus. Esta é a ação comum do SirCam, que rouba arquivos da vítima e os envia junto com seu código. Entre os que receberam as mensagens estão os responsáveis pelo site Safemode, especializado em registrar desfigurações de páginas Web produzidas por grupos hackers.

Segundo o site de notícias de tecnologia Newsbytes, que teve acesso a uma das mensagens, um dos arquivos anexados trazia o texto “Para uso oficial” e continha uma análise do vírus Leave, surgido recentemente. Outro anexo era um documento do Word com discussões sobre métodos de prevenção de ataques de negação de serviço (DoS).

Um porta-voz do NIPC confirmou o incidente e disse que o órgão iria publicar, até o final do dia, uma nota oficial esclarecendo o assunto. Até o momento da publicação desta notícia, o site do órgão não trazia nenhuma referência ao caso.

O NIPC foi estabelecido em 1998 e é conhecido por suas investigações sobre ameaças aos sistemas críticos dos EUA, principalmente as que têm relação com a Internet. Suas ações abrangem os sistemas de telecomunicações, energia, abastecimento hidráulico, bancos, finanças, operações do governo e serviços de emergência.

Algumas pessoas acharam estranho que o e-mail do Safemode fizesse parte do catálogo de endereços de um agente do NIPC. O site SecurityNewsPortal chegou a comentar que o fato por si só já valia uma reportagem. Mas isso não é tão estranho.

É sabido que o FBI está "de olho" em sites de espelhos de invasões e às vezes troca informações com seus responsáveis — quando não os ameaça. Além disso, para se enviar a outros usuários, o SirCam utiliza, entre outros, os endereços que constam em páginas que o internauta visitou e que ficam guardadas nas pastas de arquivos temporários do Windows. Basta que o agente tenha visitado o Safemode recentemente para que o e-mail do site estivesse guardado em seu computador.

Mais estranho é a infecção propriamente. Alguns especialistas em vírus acreditam que ela pode ter ocorrido acidentalmente, enquanto o código do vírus estava sendo analisado.

O SirCam foi descoberto na semana passada e tem se espalhado com muita rapidez pelo mundo. De acordo com a empresa antivírus russa Kaspersky, o vírus já ocupa o primeiro lugar no ranking de todas as pragas que mais se espalharam pelo mundo.

A Kaspersky afirma que recebeu dezenas de milhares de mensagens infectadas vindas de vários países do mundo, incluindo França, EUA, Argentina, China, Índia , Turquia, Reino Unido, Espanha, Rússia, Canadá e vários outros. A empresa lançou uma ferramenta de remoção da praga que inclui uma limpeza do registro do Windows. O programa pode ser usado por qualquer usuário — não apenas pelos clientes da empresa — e pode ser baixado gratuitamente aqui.

Leia também:

Vírus SirCam tornou-se caso de emergência

Perigoso vírus envia arquivos do usuário por e-mail

24/7/2001 - 19:38 Giordani Rodrigues

Mais um site da Microsoft foi invadido, neste domingo, aumentando a lista de servidores da companhia atacados nos últimos dias. Desta vez, porém, o invasor não foi o worm Code Red, mas o grupo brasileiro Perfect.Br.

A página atacada leva o nome, em inglês, de “Quem está contratando?” e oferece vagas regionais para a seção de empregos da MSN, a divisão da Microsoft para negócios na Internet. O Perfect.Br aproveitou a desfiguração para fazer críticas a um outro grupo nacional, que não foi identificado.

Na semana passada, alguns sites da Microsoft foram atacados pelo worm Code Red, que se aproveita de falhas nos servidores IIS, produzidos pela própria companhia. O mais irônico foi a invasão do site de atualizações do Windows, demonstrando que até seus servidores estavam desatualizados. A correção para as falhas está disponível há mais de um mês.

De acordo com o site Silicon.com, a Microsoft admitiu os incidentes, mas não soube explicar porque as correções não haviam sido aplicadas. Os porta-vozes da empresa declararam apenas que “procedimentos operacionais estão sendo revistos à luz de uma completa investigação”. A empresa também não esclareceu quantos servidores foram atacados.

Após a divulgação do incidente com a página de atualizações do Windows, no entanto, a equipe do Attrition.org publicou informações sobre mais um dos endereços atingidos. Segundo o Attrition, o site do MSN Explorer também foi vítima do Code Red. O produto é descrito pela Microsoft como “um só software que traz tudo que você precisa para se sentir em casa na Web”.

A invasão ao site de empregos da MSN foi registrada pelo Safemode.org e pode ser vista aqui.

Leia também:

Vírus invade página de atualizações da Microsoft

24/7/2001 - 15:16 Giordani Rodrigues

Se você ainda não atualizou seu programa antivírus nos últimos dias, eis uma oportunidade perfeita para fazê-lo. Depois de uma certa cautela inicial na classificação de risco do vírus W32/Sircam, as empresas antivírus aumentaram drasticamente o nível de perigo.

A Trend Micro começou com a classificação de baixo risco para o vírus, depois passou para médio e agora para alto. A McAfee passou de médio para alto. A F-Secure elevou seu nível de alerta de 2 (médio) para 1 (máximo). E a Sophos distribuiu, hoje, um alerta classificando o vírus como caso de emergência.

Além disso, a observação prática tem demonstrado que o SirCam é uma das pragas com maior poder de disseminação dos últimos tempos. Ameaças como o Homepage, Anna Kournikova e mesmo o famoso I Love You infectaram um grande número de computadores inicialmente, mas três ou quatro dias depois os ataques diminuíram e se mantiveram estáveis. As infecções causadas pelo SirCam, no entanto, não param de crescer, uma semana depois de sua descoberta.

A MessageLabs, que monitora e-mails em busca de vírus, detectou quase 6 mil mensagens infectadas pelo SirCam apenas nas últimas 24 horas. Quem tem acompanhado as estatísticas da empresa, percebe que este número tem aumentado diariamente.

Apenas como comparação, o segundo lugar no ranking da MessageLabs no mesmo período foi o Magistr, que teve 638 ocorrências. O Hybris, também chamado de Branca de Neve Pornô, teve 246 ocorrências. A empresa já detectou o SirCam em 111 países e bloqueou mais de 15 mil mensagens infectadas pelo vírus, desde o dia 16.

A Trend Micro também classifica o SirCam como o mais ativo do mundo no momento. Nas últimas 24 horas, o serviço online da empresa para proteção de usuários domésticos, chamado HouseCall, já detectou mais de 7 mil computadores infectados pelo vírus. No Brasil e na América do Sul em geral, a praga também ocupa o primeiro lugar.

A McAfee informa que, de sexta-feira até hoje, o vírus já infectou mais de 400 empresas no Brasil. Segundo Roni Katz, engenheiro de sistemas da McAfee, além de se espalhar por e-mail, o SirCam também infecta os computadores que compartilham a mesma rede. Por isso sua disseminação é muito rápida.

Um dos principais problemas do SirCam é o fato de ele anexar arquivos do usuário nas mensagens que envia automaticamente. Além da ameaça à privacidade das pessoas, que podem ser surpreendidas com documentos confidenciais (ou mesmo impróprios) sendo espalhados pela Internet, há o risco de congestionamento da rede. A MessageLabs constatou um arquivo com 107 megabytes anexado a uma mensagem, o suficiente para deixar a caixa de correio de um usuário ocupada por muito tempo.

Para combater a ameaça, a maior parte das empresas antivírus criou ferramentas específicas para desinfecção dos PCs contaminados. Para acessar estas ferramentas, clique nos links abaixo. Para saber mais sobre o SirCam, clique aqui.

Panda

Symantec

Sophos

F-Secure - Leia as recomendações no final da página.

McAfee - É necessário preencher um cadastro.

Trend Micro - Ferramenta 1

Trend Micro - Ferramenta 2 - Antes de instalar as ferramentas, a empresa aconselha os usuários a lerem um texto explicativo.

24/7/2001 - 10:15 Giordani Rodrigues

O Congresso dos Estados Unidos aprovou, ontem, uma emenda que obriga o FBI e o Departamento de Justiça a revelarem de que forma é usado o Carnivore, sistema de monitorização de mensagens eletrônicas. A emenda foi apresentada como uma resposta à crescente preocupação da população em relação à privacidade na Internet.

A nova legislação determina que o Secretário de Justiça e os diretores do FBI forneçam, no final dos anos de 2001 e 2002, um relatório detalhado sobre o funcionamento do Carnivore. O relatório deve conter informações como: a intenção para utilização do programa, quantas vezes seu uso foi aprovado em 2002, quem examinou os pedidos de vigilância das mensagens e que critérios foram usados para aprovar tais pedidos.

O Carnivore foi projetado para filtrar o conteúdo de-mails em busca de evidências criminosas, segundo o governo americano. Para garantir que o programa possa monitorar todas as mensagens que passam por um determinado caminho da rede, o sistema é instalado diretamente nos servidores de um ou mais provedores de Internet.

Embora o FBI garanta que apenas as mensagens que atendam a um determinado critério são capturadas e que as comunicações de pessoas inocentes não são vistas por olhos humanos, as organizações de defesa das liberdades civis argumentam que seu mecanismo fere as leis de privacidade.

“Com a rápida expansão das tecnologias de comunicação, mais do que nunca as conversas privadas estão abertas à vigilância do governo”, afirmou em uma nota à imprensa o deputado republicano Bob Barr, autor da emenda.

“A atual interpretação do Departamento de Justiça permite ao FBI acessar praticamente qualquer e-mail, sem um motivo provável. Isto me preocupa bastante, e esta emenda irá exigir que o Departamento de Justiça revele inteiramente o uso desta invasiva tecnologia de vigilância”.

Para acessar documentos do FBI conseguidos pelo Electronic Privacy Information Center (Epic) e outras informações sobre o Carnivore, clique aqui.

24/7/2001 - 3:49 Giordani Rodrigues

A Adobe resolveu retirar a queixa contra o russo Dmitry Sklyarov e recomendar sua libertação, segundo uma nota publicada no site da empresa, no final da tarde de ontem (23/7). A decisão aconteceu depois de uma reunião entre a Electronic Frontier Foundation (EFF), que vem defendendo Sklyarov, e executivos da Adobe.

“A EFF saúda a Adobe por fazer a coisa certa”, disse Shari Steele, diretora executiva da organização. Por sua vez, Colleen Pouliot, vice-presidente sênior da Adobe, afirmou que “o processo contra este indivíduo em particular não conduz aos melhores interesses da indústria ou de nenhuma das partes envolvidas”.

Sklyarov foi preso por agentes do FBI no dia 16 de julho, depois de uma queixa da Adobe contra o software de sua autoria, chamado Advanced eBook Processor (AEBPR). O software possui a capacidade de quebrar o esquema de criptografia de livros eletrônicos usado pelo programa eBook Reader, da Adobe. A prisão aconteceu pouco depois da apresentação sobre o AEBPR, feita por Sklyarov no Def Con, encontro anual de hackers realizado em Las Vegas.

Apesar do aparente consenso, a EFF e a Adobe continuam com posições contrárias em relação ao Digital Millennium Copyright Act (DMCA), lei federal americana criada em 1998 para regulamentar os direitos autorais de produtos digitais. Dmitry Sklyarov foi processado com base na violação dessa lei.

“Apesar de não concordarmos com todos os detalhes do DMCA, estamos ansiosos para trabalhar junto com a Adobe e assegurar a imediata libertação de Dmitry”, disse a diretora da EFF.

Já a vice-presidente da Adobe afirmou: “Apoiamos veementemente o DMCA e a aplicação de leis de proteção aos direitos autorais de conteúdos digitais”. Ela disse também que o programa criado pelo russo não está mais disponível nos EUA e que, sob este ponto de vista, o DMCA funcionou.

A situação de Sklyarov pode melhorar bastante depois da posição tomada pela Adobe, mas isso vai depender das autoridades americanas. O russo está sendo processado por uma corte federal e não será tão fácil ele se livrar das acusações que lhe são imputadas, mesmo que seja libertado. O mais provável é que os defensores da liberdade de expressão na Internet continuem usando o caso para protestar contra o DMCA.

Fatos obscuros

É interessante notar que a prisão de Sklyarov não foi casual. Na verdade, ela já estava sendo preparada vários dias antes de sua apresentação no Def Con, segundo se percebe pela cópia do depoimento prestado por um agente do FBI e que serviu como base para a acusação.

Pelo documento, constata-se que há algum tempo a Adobe vinha tentando fechar o site da ElcomSoft, empresa para a qual Sklyarov trabalhava e que distribui uma demonstração do AEBPR para download.

Outro fato que chama a atenção é uma entrevista concedida pelo presidente da ElcomSoft, Alexander Katalov, que já trabalhou para a KGB, o serviço de inteligência da antiga União Soviética. Katalov afirma que seus principais clientes são os “serviços especiais”. Entre eles, o próprio FBI, que por várias vezes teria adquirido da ElcomSoft programas para quebra de senhas.

Leia também:

Russo preso nos EUA é defendido em campanhas na Web

23/7/2001 - 19:23 Giordani Rodrigues

Foto: Divulgação

A prisão do russo Dmitry Sklyarov durante o encontro hacker Def Com tornou-se um caso de luta pela liberdade de expressão na Web. Não só a Electronic Frontier Foundation (EFF) está envolvida em sua defesa, como já existe um site oficial pedindo sua liberdade e outro estimulando o boicote aos produtos da Adobe, que teria solicitado sua prisão. Outros sites aderiram à causa, uma lista de discussão foi criada e protestos estão sendo programados.

Sklyarov foi preso na semana passada por agentes do FBI, logo após sua apresentação no Def Con 9, encontro anual de hackers realizado em Las Vegas. De acordo com a nota distribuída à imprensa por um escritório da promotoria federal da Califórnia, que executou a prisão, o russo é acusado de violar leis de direitos autorais.

Skylarov teria criado um programa que quebra os códigos do software chamado eBook Reader, produzido pela Adobe. O software permite que consumidores leiam livros eletrônicos criptografados, adquiridos de livrarias virtuais. Os livros só podem ser lidos na máquina em que foram instalados.

Com o programa do russo, chamado de Advanced eBook Processor, os consumidores não só podem transportar os livros eletrônicos para qualquer computador, como também podem abri-los no formato Portable Document Format (PDF). Isto permite que o livro seja editado, copiado e impresso.

Dmitry Sklyarov é uma das primeiras pessoas a serem acusadas com base no já polêmico Digital Millennium Copyright Act (DMCA), criado em 1998 e que regula os direitos autorais de produtos digitais. Poucos dias depois de sua prisão, uma calorosa discussão a respeito dos propósitos do DMCA se espalhou pela Web.

A página oficial “Libertem Dmitry Sklyarov” traz declarações de alguns especialistas em leis nos EUA. Uma delas, Jennifer Granick, diretora do Stanford Law School Center for Internet and Society, afirma que o DMCA permite às companhias fazerem bom uso da tecnologia, mas não permite o mesmo aos programadores. “Agora o governo está gastando dinheiro dos contribuintes para colocar pessoas de outros países na cadeia e proteger os lucros de multinacionais às custas da liberdade de expressão”.

O Attrition.org divulgou o link para um artigo do site Infowarrior.org, com críticas ferrenhas ao DMCA. O texto compara a situação vivida pelo russo com a do filme “Hackers”, em que agentes federais são manipulados por uma empresa de segurança de sistemas.

John Vranesevich, fundador do site AntiOnline, também publicou, hoje, uma mensagem de apoio a Sklyarov. O moscovita, de 27 anos, é programador da empresa ElcomSoft. O site da empresa não só continua distribuindo o software para quebrar o eBook Reader, como resolveu fazer coro aos protestos contra a Adobe.

Logo depois de ser preso, Sklyarov concedeu uma entrevista, que ainda está disponível em vídeo na Internet. Em um inglês com forte sotaque russo, ele diz que o que fez não foi ilegal. Afirma que apenas escreveu o programa e não o distribuiu e que está sendo perseguido porque seu invento mostra as falhas de segurança do software da Adobe.

A EFF, que está engajada na luta pela libertação do russo, havia marcado um protesto para hoje. A manifestação foi adiada, pois segundo a EFF, os executivos da Adobe decidiram discutir com a organização a situação de Sklyarov. O site da Adobe não traz nenhuma referência ao caso.

22/7/2001 - 18:31 Giordani Rodrigues

O número de incidentes e vulnerabilidades relacionados à segurança de sistemas cresceu dramaticamente em 2001, em comparação ao ano passado. As informações são do CERT/CC (Computer Emergency Response Team Coordination Center), que acaba de publicar seu relatório estatístico para o primeiro semestre deste ano.

De acordo com o CERT, nos primeiros seis meses de 2001 houve mais de 15 mil incidentes de segurança, contra 21.756 em 2000. Os números projetam um aumento de quase 50% de ataques registrados a sistemas de informática.

Ainda mais significativo é o número de falhas de programação descobertas. No primeiro semestre de 2001, os especialistas encontraram 1.151 vulnerabilidades nos diversos programas e sistemas disponíveis no mercado. Os dados já ultrapassam o total do ano passado, que foi de 1.090.

A organização divulgou 133 notas de incidentes e vulnerabilidades e 17 alertas de segurança no período analisado. Em 2000, foram 57 notas e 26 alertas. É bom lembrar que o CERT só divulga seus alertas quando o problema é considerado grave.

Outro dado relevante é o número de contatos relacionados à segurança. O serviço de informações do CERT recebeu quase 40 mil mensagens de e-mail e 712 chamadas telefônicas, contra pouco mais de 56 mil mensagens e 1.280 telefonemas em 2000.

Os dados mostram outras conclusões quando vistos sob um prazo maior. Durante a década de 90, os incidentes relatados aumentaram gradativamente de 252, em 1990, para pouco mais de 2 mil, em 1997, o que equivale a cerca de 8,5 vezes mais.

Com a projeção para 2001, este mesmo aumento será verificado apenas nos últimos três anos: de 3.734 em 1998, para mais de 30 mil este ano. Feitas as contas, percebe-se que, nos últimos 11 anos, a quantidade de incidentes reportados aumentou mais de 100 vezes.

O total de incidentes desde 1988, quando o CERT começou a computá-los, até hoje, chega a mais de 63 mil. Portanto, apenas em 2001, deve-se verificar quase a metade desse total. Por qualquer ângulo da pesquisa, o crescimento de problemas relacionados à segurança é visível.

Os dados não esclarecem quais são as causas, mas sejam quais forem, os números impressionam. Até o final do ano, no entanto, as surpresas podem ser ainda mais desagradáveis. O motivo: o surgimento, no final do primeiro semestre, de vírus invasores de sites, como o sadmind/IIS e o recente Code Red. Em uma semana, o próprio CERT reportou mais de 200 mil servidores invadidos pelo Code Red.

O CERT Coordination Center faz parte do Instituto de Engenharia de Software da Universidade Carnegie Mellon, nos EUA. Suas pesquisas sobre segurança na Internet e em sistemas de informática de modo geral são uma referência em todo o mundo.

22/7/2001 - 17:01 Giordani Rodrigues

O site da Excel Switching, uma divisão da Lucent Technologies, foi desfigurado, no sábado, por um grupo brasileiro autodenominado Demoniados.Br. O ato em si poderia passar despercebido em meio a dezenas de sites de grandes empresas que são invadidos, não fosse por um detalhe: há uma mês, o mesmo endereço foi desfigurado pelo vírus sadmind/IIS.

O sadmind/IIS modifica páginas hospedadas em servidores Microsoft IIS que estejam vulneráveis. Isto significa que a Lucent, uma das maiores empresas de tecnologia do mundo, não corrigiu as falhas. De acordo com o Safemode, especializado em espelhos de invasões, o site utiliza um servidor IIS/4.0.

A Excel Switching fabrica switches programáveis, dispositivos que têm como uma das finalidades multiplicar a quantidade de portas de conexão em provedores de Internet.

Hoje pela manhã, ainda era possível ver o site com a página alterada. Neste momento, ele já está restabelecido, mas a pergunta é: até quando? O espelho do ataque pode ser visto aqui.

Atualização: (23/07/2001 - 18 horas) - Como prova de que o site da Lucent continua aberto aos hackers, uma leitora de InfoGuerra enviou uma mensagem informando que a página havia sido novamente desfigurada, o que foi constatado. Neste momento, o site está alterado mais uma vez. Caso volte ao normal, clique aqui para ver como ficou a página.

Leia também:

Site da Lucent é atacado por vírus

20/7/2001 - 21:11 Giordani Rodrigues

O assunto do dia nas listas de discussão especializadas em segurança foi o novo vírus Code Red. E não sem razão. O vírus está se espalhando com grande velocidade por todo o mundo e os relatos dão conta de mais de 225 mil servidores Microsoft IIS atingidos. Mas o Code Red traz uma ameaça adicional: a capacidade de coordenar ataques ao site da Casa Branca, a residência oficial do presidente dos Estados Unidos.

De acordo com as análises da Trend Micro, entre os dias 20 e 28 de qualquer mês o Code Red utiliza as máquinas que conseguiu comprometer para lançar um ataque do tipo Distributed Denial of Service (DDoS) ao endereço IP 198.137.240.91. Este IP corresponde ao domínio www1.whitehouse.gov, que leva ao site da Casa Branca.

Em um ataque DDoS, uma enorme quantidade de requisições de dados é enviada a um servidor, ao mesmo tempo e de máquinas diferentes. Isto faz com que o servidor seja sobrecarregado e um eventual site que ele esteja hospedando se torna inacessível.

Ontem, o National Infrastructure Protection Center (NIPC), órgão de proteção ligado ao FBI, publicou um alerta sobre a ação do Code Red. Técnicos de segurança da Casa Branca tentaram evitar o ataque mudando o acesso ao site para o domínio www2.whitehouse.gov. Hoje, o site permaneceu no ar normalmente.

Medidas adicionais não foram reveladas. Jeanie Mamo, porta-voz da Casa Branca, disse apenas que “foram tomadas medidas preventivas para minimizar qualquer impacto proveniente do vírus de computador conhecido como Code Red worm”, de acordo com o site Ananova.

O Code Red afeta os sistemas operacionais Windows NT 4.0 e Windows 2000 que tenham servidores Microsoft IIS/4.0 e 5.0 habilitados. Organizações como o SANS Institute, Computer Emergency Response Team (CERT) e a eEye Digital, que descobriu o worm e a vulnerabilidade no IIS, têm lançado análises da ação do vírus.

Ontem, o SANS publicou um aviso sobre as atividades do worm, com a classificação de alerta amarelo para o nível de ameaça da praga. “Isto é uma coisa rara”, comentou Adriano Cansian, doutor em segurança de redes de computadores e professor do curso de Ciências da Computação da Universidade Estadual Paulista (Unesp), campus São José do Rio Preto.

“Enviamos alertas para os membros do Grupo de Trabalho de Seguranca (GTS) do Comitê Gestor da Internet no Brasil, avisando sobre o alerta amarelo e pedindo para quem possui servidor IIS aplicar imediatamente a correção recomendada”, disse Cansian.

A McAfee e a eEye Digital desenvolveram ferramentas gratuitas para testar se um servidor está vulnerável ao Code Red. O teste da McAfee pode ser feito aqui. O da eEye Digital pode ser acessado aqui.

Abaixo, você encontra os links para as principais análises sobre a ação do worm e para a correção da vulnerabilidade, lançada pela Microsoft no mês passado:

Análises e estatísticas do Incidents.org, do SANS Institute

Alerta do CERT Coordination Center

Análise atualizada da eEye Digital

Correção para a falha e explicações técnicas da Microsoft

Leia também:

Vírus invade página de atualizações da Microsoft

Novo vírus atinge milhares de servidores IIS

Descoberta outra falha grave no Microsoft IIS

20/7/2001 - 14:42 Giordani Rodrigues

Pelo jeito, a Microsoft esqueceu de atualizar os servidores de sua própria página de atualizações. O endereço www.windowsupdate.microsoft.com foi atacado, ontem, por um vírus chamado Code Red, que desfigura sites hospedados em servidores Microsoft IIS com falhas.

A página Windows Update, definida como “a extensão on-line do Windows que ajuda você a obter o máximo de seu computador”, passou a apresentar fundo branco e letras vermelhas com os seguintes dizeres: “Welcome to http://www.worm.com ! Hacked By Chinese!”. Este é o texto padrão que o vírus deixa nos sites atingidos.

O Code Red é classificado como um worm, isto é, tem capacidade de se autoduplicar e se espalha utilizando os recursos da rede. Descoberto no último final de semana por dois pesquisadores da eEye Digital, ele tem se espalhado com grande velocidade.

Segundo o Computer Emergency Response Team (CERT), ele já afetou mais de 225 mil máquinas. O worm explora uma vulnerabilidade existente no componente Index Server, presente no Microsoft IIS, e utiliza o servidor comprometido como base para novos ataques.

O nome Code Red (Código Vermelho) foi dado porque a mensagem alega que o site foi hackeado por chineses e também porque, segundo os pesquisadores que o descobriram, uma bebida de cereja chamada Code Red Mountain View foi o que os fez ficar acordados durante a noite, enquanto analisavam o código do vírus. Algumas empresas antivírus também o batizaram de W32/Bady.worm.

A vulnerabilidade do IIS, também descoberta pela eEye Digital, foi anunciada há cerca de um mês. Na época, a Microsoft aconselhou todos os usuários do servidor a atualizarem o produto o mais rápido possível. Como se vê, a empresa não fez a lição de casa.

Segundo o Attrition.org, ontem houve outro site da Microsoft invadido pelo Code Red, mas não se sabe qual foi. A invasão da página Windows Update por um worm que atinge servidores desatualizados chamou tanta a atenção que a equipe do Attrition — que havia parado de produzir espelhos — abriu uma exceção e registrou o ataque. Para vê-lo, clique aqui.

Leia também:

Novo vírus atinge milhares de servidores IIS

19/7/2001 - 19:32 Giordani Rodrigues

Dois dias depois de sua descoberta, o vírus SirCam já se tornou a praga virtual que mais tem atacado os computadores no Brasil, segundo informações da Trend Micro. No mundo, ele passou da oitava posição, ontem, para o terceiro lugar, hoje, perdendo apenas para o FunLove e o Magistr.

Os usuários brasileiros têm recebido muitos e-mails infectados pelo vírus. No final da tarde, a Trend Micro contabilizava 30 corporações atingidas no Brasil. A empresa informa que seus clientes no país são, na maioria, companhias de médio e grande porte, algumas com milhares de computadores. Análises mais detalhadas sobre a quantidade total de máquinas atingidas ainda estão em andamento.

A MessageLabs, empresa britânica que rastreia mensagens de e-mail em busca de vírus e outras ameaças, coloca o SirCam em segundo lugar, com 439 casos registrados nas últimas 24 horas. O Magistr, que está em primeiro lugar nas estatísticas da empresa, teve 719 ocorrências no mesmo período.

O risco de infecção pelo SirCam aumentou, de acordo com a classificação da alguns fabricantes de antivírus. A Trend Micro, que inicialmente considerou a praga como de baixo risco, agora o classifica como de médio risco. A Symantec aumentou o risco de 3 para 4, numa escala que vai até 5.

Novas informações sobre seu modo de atuação também foram obtidas. De acordo com a Symantec, há uma chance em 20 de que o vírus possa apagar todos os arquivos do drive C. Isto, porém, só ocorre em computadores que utilizam o formato dia/mês/ano em suas datas, o que é o caso dos sistemas operacionais adaptados ao Brasil.

Também há uma chance em 33 de que o SirCam possa utilizar todo o espaço disponível no disco rígido adicionando texto ao arquivo c:\recycled\sircam.sys, toda vez que o sistema é inciado.

O vírus possui uma rotina própria de envio em massa de e-mails. Para isso, ele utiliza os endereços presentes no catálogo do Windows e em páginas visualizadas da Internet e armazenadas nas pastas temporárias. As mensagens possuem como anexo documentos roubados do computador infectado.

Leia também:

Empresas disponibilizam proteções contra o vírus SirCam

Perigoso vírus envia arquivos do usuário por e-mail

19/7/2001 - 18:50 Giordani Rodrigues

Você já enviou material pornográfico a partir do computador de seu trabalho? Apertou o botão “responder a todos” por engano? Usou o e-mail para descobrir as últimas fofocas do escritório? Sabe de alguém que já tenha feito coisas desse tipo?

Qualquer que seja o caso, vale a pena dar uma olhada na página que o site britânico Silicon.com publicou como resultado de uma pesquisa com mais de 2 mil usuários de e-mail na Europa. A página recebeu o título de Digital Blunders (Gafes Digitais) e, além de histórias engraçadas ou constrangedoras devido ao mau uso das comunicações eletrônicas, a pesquisa também traz análises sobre a falta de segurança e outras características do e-mail.

No quesito “gafes”, por exemplo, há a história de um rapaz que tinha uma namorada, mas estava saindo com uma outra mulher. Um dia, ele escreveu um e-mail para a amante dizendo o que pretendia fazer com ela aquela noite. Por engano, enviou a mensagem para a namorada, para a qual havia dito que iria sair com os amigos. É claro que ela percebeu o que estava acontecendo e o obrigou a enviar uma outra mensagem à amante, dizendo que estava tudo acabado. Com cópia oculta para ela mesma, a namorada”.

Claro que há também um caso que ficou conhecido recentemente: o laboratório Ely Lilly, que fabrica o Prozac, acidentalmente divulgou os nomes e endereços de e-mail de 600 pacientes, incluindo os de pessoas com problemas mentais. A organização American Civil Liberties Union chegou a procurar a Comissão Federal do Comércio dos EUA para saber se alguma lei de privacidade havia sido quebrada neste caso.

Na questão da segurança há um consenso entre os profissionais entrevistados de que o e-mail é uma forma definitivamente insegura de comunicação. Há casos de empregados que foram despedidos quando o conteúdo de suas mensagens foi descoberto, criminosos capturados por causa de seu endereço IP que foi rastreado e notícias de um sistema mundial de monitorização das mensagens — leia-se Echelon.

Como sugestão para se proteger de olhos curiosos, há a criptografia. Uma das opções, e gratuita, é o Hushmail, serviço de e-mail baseado na Web e que usa chaves de criptografia nas mensagens.

Outro assunto tratado na página é o dos infalíveis hoaxes, boatos eletrônicos que freqüentemente espalham mensagens sobre falsos vírus e outras mentiras pela Internet. Um caso que ficou bastante conhecido recentemente foi o do Sulfnbk.exe, um utilitário do Windows que foi relatado como sendo um vírus. O boato aparentemente surgiu no Brasil e se espalhou por todo o mundo, beirando a histeria.

Para Rob Rosenberg, editor do site especializado em hoaxes Vmyths.com, o sucesso dos boatos eletrônicos tem uma explicação: “Os usuários estão tentando ser úteis ao passar essas mensagens adiante e querem ser os primeiros a alertar todo mundo. E o e-mail torna isso muito fácil”.

O Silicon.com também está fazendo um concurso das melhores "confissões" dos leitores. Quem for escolhido ganha uma garrafa de champanhe.

19/7/2001 - 15:10 Giordani Rodrigues

Um novo vírus está em atividade, explorando vulnerabilidades em servidores Microsoft IIS e pode já ter atingido milhares de máquinas. O alerta partiu da empresa de segurança eEye Digital, que descobriu a falha no mês passado e, agora, indícios da praga virtual.

Dois pesquisadores da empresa, Marc Maiffret e Ryan Permeh, receberam de administradores de redes registros de ataques em seus servidores. As análises mostraram que mais de 5 mil servidores IIS/5.0 estavam tentando fazer conexões em outras máquinas.

Os pesquisadores chegaram à conclusão de que se tratava de um programa projetado para explorar falhas em arquivos com extensões .ida (Internet Data Administration) e rodar códigos nos servidores vulneráveis. O programa é um worm, um tipo de vírus que se espalha usando recursos da rede.

O worm, batizado de Code Red, tem a capacidade de desfigurar sites hospedados nestes servidores, deixando uma página com o título de “HELLO!” e a seguinte mensagem: “Welcome to http://www.worm.com ! Hacked By Chinese!”.

Além disso, o worm descarrega 100 cópias de seu código no servidor, que são usadas para rastrear outras máquinas vulneráveis e reiniciar o processo. Sua ação se assemelha com o do já famoso worm sadmind/IIS, que atinge servidores Solaris e IIS vulneráveis.

Alguns relatos falam em 12 mil máquinas já atingidas, outros em 22 mil. O certo é que a vulnerabilidade é grave e deve ser corrigida. A falha explorada se encontra na função Index Server dos servidores IIS e a Microsoft já disponibilizou uma correção para o problema, que pode ser encontrada aqui.

De acordo com uma reportagem do site NewsBytes, uma outra forma de eliminar o vírus depois que ele se instala é reiniciar a máquina.

Leia também:

Descoberta outra falha grave no Microsoft IIS

19/7/2001 - 11:27 Giordani Rodrigues

O FBI, a temida polícia federal norte-americana, possui um setor especializado em fraudes na Internet, o Internet Fraud Complaint Center (IFCC). Acontece que o próprio FBI vem sendo alvo de uma tentativa de fraude enviada por e-mail para cidadãos americanos.

O IFCC publicou um aviso em seu site informando que tem recebido várias queixas sobre um e-mail contendo a assinatura “FBI” ou “fbi.gov”. A maioria das mensagens traz o texto: “Seu pedido foi aprovado. Por favor, preencha este formulário para confirmar sua identidade”.

Em seguida, o falso e-mail pede o nome da pessoa, endereço e número e data de expiração do cartão de crédito. Evidentemente, trata-se de um golpe. É difícil imaginar o FBI enviando e-mail às pessoas, ainda mais solicitando números de cartões de crédito.

“O FBI NÃO envia e-mail às pessoas solicitando suas informações. O FBI NÃO requisita este tipo de informação pessoal via Internet”, diz o comunicado do IFCC.

18/7/2001 - 21:25 Giordani Rodrigues

Os alertas de autoridades italianas quanto a possíveis ações de hackers durante o encontro do G8 naquele país estão se confirmando. Há vários dias, um grupo identificado por Theli vem invadindo sites da Itália, tanto de empresas, quanto do governo, e publicando mensagens de protesto contra o G8 e outras organizações ligadas ao mundo capitalista.

Páginas com títulos ameaçadores como “Preparem-se”, ou um provérbio latino (Si vis pacem para bellum), que significa “Se queres a paz, prepara-te para a guerra” foram colocadas nos sites. Os endereços atingidos incluem Canon, Instituto Nacional de Previdência para os Dependentes da Administração Pública, Companhia de Promoção Turística de Gênova, Administração da Província de Prato, e outros.

A mensagem padrão deixada nos sites, em inglês, diz que a política do G8 está criando uma distância maior entre os países ricos, que estão se tornando cada vez mais ricos, e os países pobres, cada vez mais pobres.

Entidades como a OTAN, o FMI, o Banco Mundial e a Organização Mundial do Comércio também foram alvo de críticas. A globalização, assinalada como “apenas uma palavra enfeitada”, é redefinida para “neocolonialismo”.

O encontro do G8, que reúne os 7 países mais ricos do planeta e a Rússia, acontecerá em Gênova, entre sexta-feira, dia 20, e domingo, dia 22. Recentemente, a Autoridade de Informática na Administração Pública da Itália já havia alertado para a possibilidade de ataques a sites daquele país como forma de manifestação contra o encontro.

Aparentemente, as invasões não passaram de pichações eletrônicas. O próprio grupo talvez não quisesse outra coisa senão deixar sua mensagem, pois algumas páginas trazem a inscrição “vamos começar o tulmuto”.

No entanto, os ânimos podem se acirrar com o início do encontro e outros exemplos de vandalismo digital podem acontecer. Ataques físicos já tiveram lugar em Gênova. Nesta segunda-feira, uma carta-bomba explodiu, ferindo um policial. A cidade está sob forte proteção e espera-se novos atos de manifestantes antiglobalização.

Um detalhe: todos os sites atacados rodam servidores Microsoft IIS e a maioria utiliza sistema operacional Windows NT. As invasões foram registradas pelo Safemode e podem ser vistas aqui.

Leia também:

Hackers em reunião do G8 preocupam a Itália

18/7/2001 - 19:53 Giordani Rodrigues

As principais empresas antivírus já disponibilizaram arquivos para detecção ou desinfecção do novo vírus W32/SirCam. Veja abaixo algumas alternativas:

A Panda Software disponibilizou para download as rotinas de desinfecção do SirCam em seu site internacional, onde também podem ser obtidos mais detalhes sobre este novo vírus. Além disso, desenvolveu um antídoto para quem já foi contaminado. Trata-se de um software chamado PQRemove, que pode ser baixado gratuitamente aqui. Quem não quiser perder tempo e deseja instalar imediatamente o software, pode clicar aqui. Depois de executado, ele corrige os danos provocados pelo vírus no micro infectado. Aqueles que não tem antivírus podem utilizar o Panda ActiveScan, ferramenta online e gratuita, que também pode ser encontrada no site da empresa.

O último padrão de arquivos de atualização da Trend Micro também já consegue detectar o vírus. Para acessá-lo, clique aqui. A Trend Micro também possui rastreamento e desinfeção gratuita online, que pode ser acessada aqui.

O antivírus da Sophos terá as novas definições para o SirCam incorporadas à versão 3.49 do programa, a partir de setembro, mas o site da empresa já possui um arquivo específico para detecção deste vírus, que pode ser encontrado aqui.

A última atualização do Norton Antivírus, da Symantec, já possui capacidade de detectar o Sircam. A atualização pode ser feita pelo sistema Live Update do programa, ou baixada do site da empresa, a partir do endereço http://www.symantec.com/avcenter/defs.download.html. A Symantec também atualizou as informações sobre o SirCam, hoje à tarde, e traz vários novos detalhes sobre o vírus e a forma de remoção manual. Para acessar a página, clique aqui.

Hoje, a McAfee atualizou suas definições de vírus e seus programas também já conseguem detectar o SirCam. A última definição (DAT 4148) pode ser encontrada aqui.

A Command Software atualizou agora há pouco seu programa antivírus (CSAV), o qual também já é capaz de detectar o novo vírus. As atualizações são válidas para as versões 4.59 e posteriores do programa. Para baixá-las, clique aqui.

18/7/2001 - 14:47 Marcos Sêmola

Lecionando a cadeira de Segurança da Informação em cursos Master in Business Administration (MBA), em que o grande público possui perfil executivo ou empreendedor, sou freqüentemente questionado sobre os desafios da segurança, a solução mais adequada, e principalmente sobre a possível existência de uma equação que viabilize a gestão de riscos.

Não é tarefa das mais fáceis encontrar uma resposta padrão que equacione e solucione definitivamente o problema, afinal segurança total inexiste. Mas acabamos por não fugir de premissas há muito validadas, que hoje sustentam com sucesso iniciativas corporativas de segurança da informação.

Sabemos que cada tipo de negócio, independente de seu segmento de mercado e seu core business, possui dezenas, talvez centenas de variáveis que se relacionam direta e indiretamente com a definição do seu nível de segurança mais adequado. Identificar estas variáveis passa a ser a primeira etapa do desafio.

Adotando analogicamente o exemplo do médico, o negócio deve passar por uma análise contextualizada antes que se possa especificar um tratamento medicamentoso a fim de solucionar sua enfermidade. É justamente a fase do diagnóstico que será capaz de identificar as ameaças internas e externas, as vulnerabilidades físicas, tecnológicas, e humanas, e os possíveis impactos financeiros, operacionais e morais.

Já possuíamos subsídios para esboçar a equação.

Risco = Ameaças x Vulnerabilidades x Impactos

Façamos uma breve análise dos termos antes mesmo de voltarmos a discutir o desafio da segurança agora equacionado.

Ameaça

Atitude ou dispositivo com potencialidade para explorar e provocar danos à segurança da informação, atingindo seus conceitos: Confidencialidade, Integridade e Disponibilidade.
Consultando a definição no dicionário, encontraremos: “Ameaça: palavra, gesto ou sinal indicativo do mal que se quer fazer a alguém; prenúncio de um mal ou doença; advertência;”. Exemplos: concorrente, sabotador, especulador, hacker, cracker, erro humano (deleção de arquivos digitais acidentalmente, etc.), acidentes naturais (inundação, etc.), funcionário insatisfeito, técnicas (engenharia social, trasing, etc.), ferramentas de software (vírus, sniffer, trojan horse, etc.).

Identificar as ameaças é fator crítico de sucesso para a correta dimensão do risco e principalmente para a modelagem de uma solução de segurança corporativa personalizada. Afinal, como se defender do que não se conhece?!

Vulnerabilidade

Evidência ou fragilidade que eleva o grau de exposição dos ativos que sustentam o negócio (infra-estrutura física, tecnologia, aplicações, pessoas e a própria informação), aumentando a probabilidade de sucesso pela investida de uma ameaça.
Resgatando o termo em dicionário, encontraremos: “Vulnerabilidade: qualidade de vulnerável. Vulnerável: que, ou por onde, pode ser ferido; diz-se do ponto fraco de uma pessoa, coisa ou questão;”. Exemplos: falhas de infra-estrutura física (carência de mecanismos de controle de acesso físico na sala dos servidores, etc.), falhas tecnológicas (configuração inadequada do firewall, erros em projeto de software básico, sistemas operacionais, etc.), falhas de mídias (fitas de backup impróprias para restauração por deterioração, etc.); falhas humanas (ausência de conscientização provocando displicência ao criar e manter em sigilo a senha pessoal, etc.).

Impacto

Resultado da ação bem sucedida de uma ameaça ao explorar as vulnerabilidades de um ativo, atingindo assim um ou mais conceitos da segurança da informação.
Em mais uma consulta ao dicionário, encontraremos: “Impacto: choque; embate; encontrão; colisão entre dois corpos, com a existência de forças relativamente grandes durante um intervalo de tempo muito pequeno; abalo moral por um acontecimento doloroso ou chocante; impressão profunda provocada por ocorrência grave ou inesperada;”. Exemplos: prejuízo financeiro, perda de competitividade, perda de mercado, danos à imagem, depreciação da marca, descontinuidade, etc.

Conclusão

Agora que já equacionamos o risco com a identificação das variáveis, precisamos ratificar que a gestão corporativa da segurança da informação deve estar sempre orientada a considerar as particularidades de cada negócio, em busca da implementação de controles que reduzam os riscos — fazendo-o tender a zero — e da eliminação e administração das vulnerabilidades dos ativos, evitando assim que as ameaças as explorem gerando impactos e comprometendo o negócio.

Diante disso, antes mesmo de traçar a estratégia de segurança e os planos de ação, dedique um bom tempo para analisar o contexto em que seu negócio opera, identifique as variáveis internas e externas, aspectos físicos, tecnológicos e humanos, sua sensibilidade diante de possíveis impactos, para só então iniciar a modelagem de uma solução corporativa de segurança da informação sob medida, eficiente e capaz de proporcionar o melhor retorno sobre o investimento.

Marcos Sêmola é MBA em Tecnologia Aplicada, Bacharel em Ciência da Computação, Professor da cadeira de Segurança da Informação da FGV – Fundação Getúlio Vargas, Gerente de Produto e Consultor de Segurança da Módulo Security Solutions S.A.

18/7/2001 - 11:39 Giordani Rodrigues

Várias empresas antivírus estão alertando para o surgimento de uma nova praga virtual que tem infectado muitos computadores. Trata-se do W32/SirCam que, a exemplo do Magistr, possui sua própria rotina de propagação por mensagens eletrônicas e tem a capacidade de roubar e enviar arquivos do usuário cujo PC foi contaminado.

A Symantec, que afirma ter recebido várias amostras do vírus de usuários corporativos, descreve que o SirCam pode chegar como uma mensagem de e-mail em espanhol ou em inglês. O assunto da mensagem varia e assume o nome do arquivo que o vírus anexou para se enviar.

O corpo da mensagem também pode variar, mas sempre terá as seguintes linhas iniciais e finais:

Em espanhol:
Linha inicial: Hola como estas ?
Linha final: Nos vemos pronto, gracias.

Em inglês:
Linha inicial: Hi! How are you?
Linha final: See you later. Thanks

Entre estas duas linhas, a mensagem pode conter algum dos seguintes textos:

Em espanhol: Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste

Em inglês: I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for

Para enviar a si mesmo, o SirCam usa os endereços de e-mail do catálogo do Windows e das páginas Web armazenadas nas pastas de arquivos temporários (cache). Quando executado, ele se esconde na pasta oculta C:\RECYCLED com o nome SirC32.exe.

Também modifica o registro do Windows, de modo a ser carregado toda vez que um arquivo executável é rodado. Isto faz com que o vírus infecte o arquivo executável e dificulta sua remoção do sistema. Além disso, o vírus faz uma cópia de si mesmo para a pasta Windows\System com o nome Scam32.exe e cria uma chave no registro para ser carregado automaticamente.

Segundo a McAfee, o SirCam cria dois arquivos no diretório System. Um deles é chamado de SCD1.DLL e serve para reunir os endereços que serão usados para que o vírus seja enviado. O outro é chamado de SCD.DLL e serve para construir uma lista dos arquivos encontrados na pasta Meus Documentos.

Estes arquivos possuem a extensão .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PIF, .PNG, .PS e .ZIP e são enviados para outros usuários junto com o vírus. O SirCam acrescenta uma cópia dos arquivos ao seu código e anexa esta cópia à mensagem, usando uma segunda extensão, que pode ser .BAT, .COM, .EXE e .LNK.

Por exemplo: o vírus poderia ser enviado como um arquivo chamado Foto.JPG. A mensagem teria a palavra “Foto” na linha de assunto e o arquivo anexado poderia ser Foto.JPG.EXE, sendo que esta segunda extensão fica oculta na configuração padrão do Windows. Para saber como identificar extensões duplas, clique aqui .

A Symantec informa que o vírus foi descoberto ontem (17/07) e que ainda o está analisando. Novas informações serão disponibilzadas nas próximas horas. Por enquanto, a empresa classifica o SirCam como de alto poder de distribuição e risco 3, em uma tabela que vai até 5.

A McAfee o classifica como de médio risco e a F-Secure o coloca em nível de alerta 2, usado para ameaças potencialmente perigosas. O site uruguaio Video Soft também afirma que recebeu numerosos casos de usuários de língua espanhola infectados pelo vírus, nas últimas horas.

Leia também:

Vírus SirCam já é o mais ativo no Brasil

Empresas disponibilizam proteções contra o vírus SirCam

17/7/2001 - 16:53 Giordani Rodrigues

Nos dias 18 e 19 de Agosto, a Universidade de São Carlos será sede do I Encontro Nacional sobre FreeBSD e do I Workshop sobre Segurança em Redes Acadêmicas. Além de reunir a comunidade de usuários BSD, durante o evento serão proferidas palestras e minicursos sobre segurança em redes acadêmicas e sobre o sistema operacional FreeBSD.

O encontro é destinado a engenheiros, administradores de redes, analistas de sistemas e usuários Unix em geral. As palestras serão apresentadas por profissionais de redes e pesquisadores de universidades brasileiras, entre elas a Unicamp e a Universidade Regional Integrada do Alto Uruguai.

Ferramentas para detecção de ataques em FreeBSD, firewall e antivírus serão alguns dos temas tratados. Além disso, haverá uma mesa redonda sobre segurança, discussões sobre os rumos do software livre e aplicações do FreeBSD em projetos científicos.

As inscrições já estão abertas e se estenderão até o dia 11 de agosto. O valor da inscrição é de R$ 35,00 (inclui churrasco e camisetas) e o pagamento pode ser feito em agências bancárias ou pela Internet. Maiores informações podem ser obtidas na página do encontro.

17/7/2001 - 14:22 Giordani Rodrigues

O consultor de segurança búlgaro Georgi Guninski lançou um comunicado acusando a Microsoft de ter divulgado informações falsas em seu último boletim de segurança. De acordo com Guninski, a falha no Outlook, anunciada na semana passada, é mais grave do que a Microsoft afirma.

O problema se encontra em um controle ActiveX que serve para visualizar pastas do Outlook por meio de páginas Web. O bug permite que as mensagens não só sejam vistas, como modificadas ou apagadas e que códigos sejam executados no computador, possibilitando o controle remoto do PC por alguém mal-intencionado.

Um usuário do Outlook pode ser afetado visitando uma página preparada para instalar o controle ActiveX na máquina, ou abrindo um e-mail em formato HTML com o controle embutido. Segundo a Microsoft, a falha afeta as versões 98, 2000 e XP do programa. A empresa afirma, no entanto, que o Outlook XP estaria protegido da segunda forma de ataque (por e-mail), graças à correção chamada Outlook E-mail Security Update, que já vem instalada no programa.

“Esta declaração é falsa. O programa para explorar a falha funciona no Outlook XP (2002) a partir de um e-mail”, afirmou Guninski. Isto significa que as outras versões também podem ser afetadas, mesmo com a correção aplicada.

Segundo Guninski, a falha, testada inicialmente com o Windows 2000 e Office XP, afeta também o Outlook 2000 em todas as versões do Windows. A Microsoft ainda não se manifestou oficialmente sobre as novas afirmações do caçador de bugs.

Mais informações sobre o assunto podem ser encontradas nos links abaixo:

Microsoft admite falha no Outlook XP

Office XP é um produto “bugado”, garante especialista

17/7/2001 - 10:24 Giordani Rodrigues

Cena do filme Bicho de Sete Cabeças. Foto: Marlene Bérgamo/Ed Viggiani - Divulgação

Está circulando pela Internet mais um hoax (boato) sobre um falso vírus. Dessa vez escolheram o filme nacional Bicho de Sete Cabeças como tema. O e-mail alerta os internautas para um vírus de alto risco denominado "manicomium" que teria sido criado por um ex-paciente de um hospital psiquiátrico.

Este paciente (com conhecimentos técnicos suficientes para criar um vírus de computador), teria ficado irritado porque considera que a história do filme se baseia em sua vida. O hoax tem outros elementos absurdos e chega a ser engraçado, mas pode enganar usuários inexperientes, principalmente aqueles que assistiram ao filme e ficaram tocados com seu enredo.

O vírus chegaria disfarçado como um protetor de telas, a título de divulgação do filme. O arquivo teria o nome de “Bicho7” e quem o instalar ativa o suposto vírus. A partir de então, o disco rígido é “repartido” em sete pedaços, todos os dados do PC são destruídos e a pessoa que enviou o vírus tem acesso a informações do usuário, incluindo senha. Além disso, uma mensagem seria mostrada na tela: “Cada cabeça sete mundos”.

A Trend Micro, fabricante do antivírus PC-cillin, afirma que esse vírus não foi detectado por seus laboratórios e que, por enquanto, a mensagem nada mais é do uma corrente que tem como intuito pregar uma peça no usuário desavisado. A empresa, porém, avisa que suas pesquisas são feitas 24 horas por dia e que qualquer novidade será publicada em seu site.

Segundo a Trend Micro, o número dos chamados hoaxes vem aumentando, o que acaba causando alarme desnecessariamente. Apesar disso, a empresa afirma que não é muito difícil de identificá-los, pois invariavelmente pedem que o internauta ajude a divulgar a notícia reenviando a mensagem para o maior número de pessoas possível. Os assuntos tratados geralmente são bizarros, ou causam alarme e indignação.

Outras formas de perceber a veracidade desse tipo de mensagem é checar se os telefones divulgados nos e-mails realmente existem, acessar os sites oficiais das empresas citadas (no caso do tal vírus manicomium são citados Uol, iG, AOL e USP) e consultar os sites de notícias especializados em informática.

Quando se tratar de alertas de vírus, deve-se acessar os sites das principais empresas de antivírus. A Trend Micro não aconselha o usuário a visitar os sites que estejam indicados nesse tipo de mensagem, pois eles podem conter rotinas maliciosas que causarão danos à máquina.

O filme Bicho de Sete Cabeças é realmente a adaptação de uma história verídica, vivida pelo curitibano Austregésilo Carrano Bueno e contada em seu livro Canto dos Malditos. Carrano, no entanto, tem lutado muito para fazer sua história conhecida e combater o cruel sistema manicomial brasileiro. Aos 17 anos, ele foi levado para um hospital psiquiátrico, depois que seu pai encontrou um cigarro de maconha em seus pertences. Ficou alguns anos internado, sofreu eletrochoques e até hoje guarda seqüelas desse período.

Veja abaixo a reprodução da mensagem com o hoax (eventuais erros gramaticais e de ortografia foram mantidos):

URGENTE

Caros Amigos,
Essa informação veio do CPD da universidade, hoje pela manhã. Por favor, transmita-a para qualquer pessoa que você conhece e acessa a internet.

Você pode receber uma mensagem de divulgação do filme BICHO DE 7 CABEÇAS, que, por sinal, é um excelente filme. Vem junto como brinde um protetor de telas com uma foto do cartaz do filme, aparentemente inofensivo e muito belo, intitulado "Bicho7". Mas, se você vier a receber este arquivo, NÃO ABRA-O SOB NENHUMA CIRCUNSTÂNCIA, e sim delete-o imediatamente. Se você instalar o protetor de telas aparecerá uma mensagem em seu monitor "CADA CABEÇA SETE MUNDOS" e em seguida seu HD será repartido em sete pedaços e você PERDERÁ TUDO QUE TIVER EM SEU PC e a pessoa que o enviou terá acesso ao seu nome, e-mail e password.

Trata-se de um novo vírus ("manicomium") que começou a circular nesta semana. PRECISAMOS FAZER TUDO QUE FOR POSSIVEL PARA DETER ESSE VIRUS. O UOL, ig e a AOL já confirmaram sua periculosidade e os softwares anti-vírus atuais ainda não estão aptos a destruí-lo. Segundo relato de um professor da faculdade de medicina da USP, o vírus teria sido criado por um ex-paciente de um hospital psiquiátrico que julga que o filme está baseado em sua história.

COPIE ESTE E-MAIL PARA TODOS OS SEUS AMIGOS

16/7/2001 - 20:29 Giordani Rodrigues

O site peruano do Diners Club International foi invadido, hoje, pelo grupo Brazil Hackers Sabotage (BHS). A página principal do site foi desfigurada e passou a apresentar palavras de comemoração pela vitória, por 2 a 0, da seleção brasileira de futebol sobre o time do Peru. Além deste, vários outros sites do país sofreram ataques, pelo mesmo mesmo grupo e sob o mesmo pretexto.

Na página do Diners, os invasores afirmaram que os dados de clientes não foram acessados, “pelo menos os vitais”, de acordo com suas palavras. Pelo jeito, os hackers se divertiram muito com suas ações. “Ver o BHS invadindo os sites peruanos, desfigurando suas páginas, colocando receita de preparo do peru, dando umas risadas e vendo a narração dos gols brasileiros, não tem preço!”, escreveram.

A receita de peru assado com dois tipos de recheios (certamente uma alusão aos dois gols sofrido pelo time peruano) foi colocada no site do La Positiva, uma empresa de seguros. Neste, também reproduziram a letra completa da conhecida música sobre a seleção brasileira (“Noventa milhões em ação”, etc.).

Os piratas estavam muito à vontade e usaram as desfigurações como uma espécie de mural de comentários esportivos. No site da Clínica Ricardo Palma, um moderno hospital de Lima, o grupo fez apostas antecipadas e análises sobre o time brasileiro. Depois escreveu “vamos cantar” e, em seguida, a letra do Hino da Bandeira.

No jogo do Brasil contra o Uruguai, há duas semanas, o BHS desfigurou o site do jornal El Pais. No site do Diners, eles avisaram: “Próxima vítima: Paraguai, nos aguarde hahaha!! Quarta-feira agora só vale .py (será que tem site lá?);]”. É melhor os administradores de sites paraguaios atualizarem as correções de seus servidores.

As desfigurações dos sites peruanos citadas nesta reportagem foram registradas pelo Safemode.org e podem ser vistas nos links abaixo. Todas as outras do BHS, podem ser acessadas aqui.

Diners Club

La Positiva

Clínica Ricardo Palma

Leia também:

Hackers torcedores invadem jornal uruguaio El Pais

16/7/2001 - 16:06 Giordani Rodrigues

O site espanhol de notícias IBLNews, que anteriormente se chamava iBrújula, postou um vírus junto com uma notícia na página principal de seu site, no sábado, dia 14. O vírus, chamado de VBS.Haptime, infecta páginas HTML e foi distribuído inadvertidamente por um redator do site ao publicar uma notícia de urgência.

Segundo um comunicado do IBLNews, notícias de assassinatos na região dos bascos obrigaram o redator a mudar a capa do portal às pressas. Para isso, ele teve de usar um computador que não pertencia à redação, contrariando as normas de segurança da empresa. O computador estava infectado pelo vírus, o qual contaminou a página com as notícias.

O alerta foi dado por leitores que visitavam o site e recebiam avisos de seus programas antivírus. O comunicado do IBLNews foi retirado do ar por algum motivo, mas o site uruguaio Video Soft possui uma cópia do texto. O site MakyPress, que reúne notícias do interesse das comunidades hispânicas, também publicou imagens capturadas com os avisos dos antivírus de leitores que acessaram a página infectada.

O vírus VBS/Haptime contamina arquivos com extensões HTM, HTML, VBS, ASP e HTT. Ele chega em uma mensagem de e-mail com a palavra "Help" na linha do assunto e sem nenhum texto. É capaz de infectar apenas com a visualização do e-mail, devido a uma vulnerabilidade conhecida do Outlook. Quando a soma do dia e do mês resulta em 13, o vírus pode apagar todos os arquivos .DLL e .EXE.

O Haptime está em atividade e, aparentemente, tem infectado páginas em outros sites. Recentemente, InfoGuerra recebeu mensagens de alguns leitores informando que seus programas antivírus estavam dando o alerta sobre o vírus quando acessavam páginas de uma empresa de recursos humanos e de uma loja de jardinagem, ambas no Brasil. Provavelmente, as páginas foram corrigidas com rapidez, pois não conseguimos constatar as infecções.

16/7/2001 - 13:30 Giordani Rodrigues

O site Alldas.de não está passando por uma boa fase ultimamente. Especializado em registrar ataques a outros sites, recentemente o Alldas foi vítima, ele próprio, de uma desfiguração e ficou fora do ar cerca de dois dias por problemas com a companhia telefônica. Ontem, divulgou que sofreu ataques de negação de serviço durante quatro dias da semana passada e por isso ficou mais um período fora do ar.

A informação foi publicada na seção de notícias do site. Segundo a nota, a rede que dá acesso ao Alldas teve de lidar com um tráfego de 600 milhões de bits por segundo, o que “derrubou” seus servidores. O ataque foi classificado como Distributed Denial of Service (DDoS), que acontece quando muitos computadores distribuídos geograficamente enviam ao mesmo tempo uma enorme quantidade de requisições de dados a um servidor, tornando-o inoperante.

A equipe do Alldas chama os atacantes de script kiddies (pessoas que usam programas prontos para invadir sistemas) e diz que, por causa de sua atitude, quase ninguém conseguiu acessar suas páginas, nem enviar e-mails. Também lamenta a diminuição em suas estatísticas de acesso e o fato de ter sido incapaz de registrar a invasão a um importante site, o da organização de segurança SANS Institute, ocorrido na sexta-feira.

“Achamos isso realmente perturbador, mantemos Alldas.de por diversão e não ganhamos nenhum dinheiro com o site. Nós o rodamos para fornecer um serviço gratuito às pessoas. Além disso, custa dinheiro manter um site de espelhos de desfigurações. Sem mencionar o tempo que dedicamos ao projeto. Poderíamos usar este tempo de uma maneira melhor do que solucionando problemas deste tipo, como aumentar nossas estatísticas — obviamente alguém não gosta do site”, diz a nota.

Problemas semelhantes fizeram com que a equipe do Attrition.org desistisse, no final de maio, de registrar espelhos de invasões, a mais importante seção do site.

O Alldas.de também informa que irá mudar de provedor de hospedagem nas próximas 10 semanas. “Sentimos que nosso atual provedor já fez mais do que um provedor faria por um site como este”.

O Alldas é registrado na Alemanha, e seu administrador, Stefan Wagner, conhecido por Tribunal, é alemão. A equipe, no entanto, possui integrantes da Bélgica, Suécia e Holanda. Aparentemente, uma parte dos serviços é feita na Noruega, pois uma pane na companhia telefônica norueguesa Telenor deixou o site fora do ar por 44 horas, no início deste mês.

Há cerca de três semanas, o site foi desfigurado por alguém que se identificou por ThePike. Numa atitude honesta, o Alldas não só publicou explicações sobre o fato como disponibilizou uma imagem da própria invasão. ThePike alegou que, ao desfigurar o Alldas, sua intenção foi atingir o público que acessa o site freqüentemente — os script kiddies. Queria alertá-los para usarem suas habilidades de forma mais responsável.

Leia também:

Cracker invade organização internacional de segurança

Alldas.de é hackeado e registra a própria invasão

Attrition.org não vai mais registrar desfigurações de sites

15/7/2001 - 12:15 Giordani Rodrigues

Quem diria que o SANS Institute, um santuário de segurança, seria vítima de crackers? Pois foi o que aconteceu, na sexta-feira 13. O site do SANS (System Administration, Networking and Security), uma referência mundial na área de segurança de sistemas, foi desfigurado por um cracker autodenominado Fluffi Bunni ou Fluffy Bunny ("coelhinho felpudo").

“Você realmente confiaria nesses caras para ensiná-lo sobre segurança?” e “Olhe mamãe, eu estou no Sans”, foram algumas das palavras que o intruso escreveu na página do instituto.

Na opinião de Adrienne Gibson, que reportou o incidente em primeira mão para o site SecurityWatch, a invasão tem relação com o início das atividades do Def Con, em Las Vegas, no mesmo dia. O Def Con reúne centenas de hackers e especialistas em segurança de todo o mundo, e demonstrações das habilidades dos participantes são comuns durante o encontro.

Guardadas as proporções, a invasão ao site do SANS Institute equivale a um assaltante penetrar em uma academia de polícia e bater a carteira do instrutor, enquanto este ensina aos policiais como enfrentar os criminosos.

De acordo com informações do próprio SANS, o instituto é uma organização de pesquisa e educação, fundada em 1989, que reúne mais de 96 mil administradores de sistemas, profissionais de segurança e administradores de redes.

Conhecido por seus seminários e treinamentos ao redor do mundo — freqüentemente acima de mil dólares por pessoa —, o SANS cobre todos os aspectos de segurança, incluindo a dificultação de penetração em servidores, detecção de invasões, laboratórios criminais de informática, instalação de firewall e respostas a incidentes.

Fluffy Bunny, por sua vez, também se tornou um nome conhecido da cena hacker. Recentemente, ele invadiu os sites da Fundação Apache e da SourceForge, nomes de peso da comunidade Linux e dos defensores do Open Source (código aberto).

Segundo um comunicado do Attrition.org sobre o incidente, não é a primeira vez que o SANS é alvo de piratas da rede. Há alguns anos, um hacker desconhecido comprometeu os computadores do instituto e enviou uma falsa mensagem, ofensiva, mas divertida, a todos os assinantes de seu boletim.

Jericho, um dos integrantes do Attrition, comentou, irônico: “Vai ser interessante ver se o SANS consegue usar seus próprios conhecimentos profissionais para localizar Fluffi Bunni”.

A invasão ao site do SANS ocorreu nas primeiras horas da sexta-feira. Pouco depois, a página desfigurada foi retirada e até o momento da publicação desta notícia o site continuava fora do ar. O Safemode.org conseguiu um screenshot (cópia de imagem na tela) da página, o qual pode ser visto aqui.

Leia também:

Hacker do Apache e SourceForge diz: “Não sou contra Open Source”

15/7/2001 - 7:33 Aldo Novak

Mauro Marcelo de Lima e Silva, um dos maiores especialistas em crimes via Internet do país, recebe elogios na revista interna do FBI, a polícia federal dos Estados Unidos. No Brasil, parte da Polícia de São Paulo vai na contramão.

(Agência Alfa, São Paulo) - O policial Mauro Marcelo de Lima e Silva foi, durante alguns anos, conhecido pelos criminosos que caçava e capturava por meio da Internet, tendo resolvido casos como as ameaças à apresentadora Maria Cristina Poli (Canal 21) e os ataques feitos pelo ex-dono do Mappin, ao Bradesco.

Durante esse tempo ele esteve nas manchetes de vários veículos de comunicação, incluindo a capa da Revista Veja São Paulo. Foi, também, tema do Relatório Alfa há cerca de três meses.

Agora o delegado Mauro Marcelo foi destaque em uma publicação distribuída aos membros da Polícia Federal dos Estados Unidos, o FBI, com comentários sobre ele e seu trabalho pioneiro no Brasil. A vasta coleção de livros, artigos, fotos e outros materiais sobre Edgar Hoover, mantidos pelo delegado Mauro, também foi citada com destaque.

A publicação chama-se "The Investigator" e é lida por todos os agentes do FBI no mundo (os Fox Mulderes verdadeiros).

Mas, no Brasil, as coisas são um pouco diferentes.

Mesmo tendo executado um trabalho que poucos conseguem sequer entender como funciona, o delegado encontrou grandes focos de oposição dentro da própria polícia. Alguns policiais que trabalham nas ruas sempre acharam que crimes pela Internet são menos importantes.

Naturalmente, nem todos pensam assim, e o delegado Mauro tem um vasto número de admiradores dentro e fora da polícia.

Mas o assim chamado "departamento de crimes de alta tecnologia" da Polícia Civil de São Paulo opera com equipamentos antigos em um prédio em ruínas, com cabeamento e conexões que estão muito longe de lembrar as palavras "alta tecnologia".

Por isso o delegado Mauro Marcelo deixou, recentemente, o Setor de Crimes de Alta Tecnologia da Polícia Civil de São Paulo e está na Academia da Polícia, lecionando.

O curioso é que o delegado que o substituiu, em entrevista aos jornais, confessou que "não possui sequer um computador e não gosta de Internet".

Em outras palavras, alguém está tentando colocar uma peça redonda em um buraco quadrado.

Não é preciso pensar muito para ver os criminosos do outro lado dos computadores, rindo da direção seguida pela polícia civil do estado de São Paulo.

Opinião

CRIMES PELA INTERNET
Aldo Novak

Mauro Marcelo, que vivia buscando pistas por meio de computadores, foi elogiado pelo FBI, mas a política da Polícia Civil de São Paulo decidiu procurar um substituto, no mínimo, inusitado, que não tem computador e não gosta de Internet.

Aparentemente o Governo do Estado de São Paulo não dá muita importância para a Web. Afinal, uma polícia cujo delegado responsável por Crimes via Internet sequer usa computador, poderia muito bem abandonar de vez as viaturas, as algemas e os radares.

Bastaria usar cavalos, cordas e um chicote. Claro que teríamos que avisar aos criminosos que nossa polícia estaria voltando para o século 18.

Deus salve a polícia. E a todos nós.

NR - Aldo Novak é editor-chefe do Relatório Alfa, que aborda assuntos e eventos relacionados a conspirações, ufonomia, perigo ambiental, bio-segurança, resíduos nucleares, privacidade, programa espacial e ficção científica.

13/7/2001 - 20:18 Giordani Rodrigues

Mais um desses intermináveis boatos eletrônicos está circulando por e-mail. O caso — uma garotinha perdida — poderia se confundir com outros semelhantes que existem na Internet, não fosse por dois detalhes: a inclusão dos nomes da Companhia Paranaense de Energia (Copel) e de um funcionário da Telefônica de São Paulo.

A história é manjada. Uma linda e indefesa “princesinha” está desaparecida e a família está desesperada tentando encontrá-la. Um amigo resolve ajudar. Escreve uma mensagem, anexa uma foto da menina e a envia por e-mail, pedindo que todos a repassem para o maior número possível de pessoas.

Apelos emocionais como “ela poderia ser sua filha” são suficientes para que muita gente se sinta tocada e, num piscar de olhos (ou em alguns cliques do mouse), a mensagem roda o Brasil inteiro. O e-mail que chegou até InfoGuerra, hoje, já tinha sido repassado várias vezes e trazia o endereço de dezenas de pessoas.

A mensagem diz que a garota é filha de uma funcionária que trabalha em uma repartição da Copel chamada EDS. Os nomes da garota e da mãe não são informados, o que seria bastante estranho se alguém realmente quissesse ajudar a encontrar a menina. A assessoria de imprensa da Copel confirmou que o e-mail é infundado e que a empresa não possui nenhum setor com nome de EDS.

Segundo a assessoria, a Copel já recebeu vários telefonemas perguntando sobre o caso, inclusive de funcionários de companhias de energia de outros estados. Nem o setor de recursos humanos, nem a assistência social da empresa receberam qualquer ocorrência desse gênero, o que aconteceria no caso de uma mãe desesperada pela perda da filha. A Copel também acredita que o nome da empresa não constava da mensagem original e que foi inserido posteriormente.

Já o funcionário da Telefônica teve seu nome completo, números de telefone e fax adicionados por um descuido. Ele acreditou na história e enviou a mensagem para alguns conhecidos, e seus dados faziam parte da assinatura automática do e-mail. Foi o suficiente para que se tornasse o “autor” da mensagem. O funcionário está de férias, mas um de seus colegas de repartição confirmou que tudo não passa de um trote.

Infelizmente, este tipo de situação ocorre com certa freqüência na Internet. Movidas pela boa-fé, as pessoas repassam mensagens de todos os gêneros, muitas vezes com seus dados pessoais, sem verificar a veracidade dos fatos. O que pode se tornar uma grande dor de cabeça.

No ano passado, um professor de uma universidade do Rio de Janeiro foi obrigado a assinar uma declaração de que não era o autor de uma mensagem que circula até hoje pela Internet. O e-mail alega que alguém pode morrer de leptospirose ao ingerir bebidas em lata diretamente do recipiente, que pode estar contaminado por urina de rato seca.

O professor repassou inadvertidamente a mensagem com sua assinatura e, como ele trabalha em um laboratório de bioquímica, o boato se espalhou com facilidade. A Associação Brasileira do Alumínio (ABAL), sentindo-se prejudicada, ameaçou processá-lo e por isso ele teve de assinar a declaração. O fato foi noticiado pela Folha de São Paulo, em novembro do ano passado.

Deixar o endereço de conhecidos à mostra também serve como convite a que spammers os utilizem para fins escusos. Não repasse mensagens aleatoriamente. Mas se seu impulso for incontrolável, pelo menos esconda os endereços de seus amigos. É o mínimo que se deve fazer para preservar a privacidade das pessoas.

Veja abaixo uma cópia da mensagem sobre a garota desaparecida. Os erros ortográficos e de digitação não foram corrigidos. Os dados do funcionário da Telefônica foram omitidos e a foto da garota não está presente.

Favor transmitir esta mensagem para todos de sua caixa de correio.

A menininha da foto está desaparecida, deve ser uma dor muito grande para a família dela. Por favor, divulguem esta foto para todas as pessoas que vocês puderem. É filha de uma funcionária da EDS repartiçao da COPEL. Peço sua colaboraçao.
Por favor envie essa msg para todos em sua lista, se for possível com uma msg pessoal sua. Vamos ajuda a encontrar essa Princezinha. Alguns clics de seu mouse poderá devolver essa criança a sua família.
Ela poderia ser minha filha ou minha sobrinha, mas principalmente, poderia ser a sua filha.
AJUDE-NOS
Dados do funcionário da Telefônica

Leia também:

Urina de rato em latas de refrigerante

Aprenda a esconder endereços de e-mail

13/7/2001 - 16:54 Giordani Rodrigues

A Symantec divulgou um alerta para o aparecimento de um novo vírus, que se disfarça como um programa para detectar e eliminar uma outra praga bastante difundida no momento — o Magistr. A empresa batizou o vírus de W32.Malot.int e o classificou como um worm de envio de e-mail em massa.

Mas ele possui outras ações além de enviar cópias de si mesmo por e-mail: pode modificar páginas HTML encontradas no computador infectado. O W32.Malot.int chega em uma mensagem com as seguintes características:

Assunto: New Virus Alert !!

Corpo da Messagem: This is a fix against I-Worm.Magistr.
Run the attached file (MSVA.EXE) to detect, repair and protect you against this malicious worm

[Este é um reparo contra o I-Worm.Magistr. Execute o arquivo anexado (MSVA.EXE) para detectar, reparar e proteger você contra este worm maléfico]

Anexo: MSVA.EXE

Além de tentar enganar o usuário trazendo um falso programa de proteção, a mensagem possui uma outra característica que pode iludir os incautos: é elaborada de forma a parecer que foi enviada pela Microsoft.

Se o arquivo anexado for executado, o vírus dá início a várias ações. Dependendo de onde se instale, ele pode fazer o seguinte: infectar todos os arquivos HTML que estiverem na pasta do Windows; mandar informações sobre o país em que está localizado para o autor do vírus, usando um endereço no Reino Unido; procurar por endereços de e-mail no cache do Internet Explorer (que contém cópias das páginas já visitadas) e enviar cópias de si mesmo a todos eles.

Também pode fingir que rastreou o computador em busca do vírus Magistr e mostrar uma mensagem dizendo que o sistema não está infectado, conforme a imagem abaixo:


A infecção muda a página inicial do Internet Explorer para a página do autor do vírus. Além disso, insere códigos nos arquivos com extensão HTM ou HTML que estiverem na pasta do Windows. Com isso, os arquivos passam a apresentar a seguinte mensagem:

This file is infected by my new virus
Written by PetiK (c)2001
HTML/W32.MaLoTeYa.Worm

(Este arquivo foi infectado pelo meu novo vírus. Escrito por PetiK (c)2001. HTML/W32.MaLoTeYa.Worm)

Às terça-feiras, o vírus modifica o título da caixa de diálogo Propriedades de Sistema, do Painel de Contole, para PetiK always is with you :-) (PetiK está sempre com você).

A Symantec considera baixo o risco de infecção pelo W32.Malot.int (1, em uma escala que vai até 5). No entanto, o Magistr continua infectando muitas máquinas e uma mensagem que se faz passar por uma proteção contra o vírus possui um grande apelo e pode vir a se espalhar bastante.

13/7/2001 - 13:16 Giordani Rodrigues

A Microsoft divulgou, ontem, o seu 38º boletim de segurança deste ano, que relata uma falha no Outlook em computadores rodando as versões 98, 2000 e 2002 (XP) do programa. O bug permite que alguém execute comandos de sua escolha em máquinas que estejam vulneráveis.

O boletim da empresa confirma o alerta publicado no mesmo dia pelo consultor de segurança Georgi Guninski, que se mostrava visivelmente irritado por ter encontrado falhas graves em um produto tão recente como o Office XP, pelo qual ele pagou. O problema se encontra em um controle ActiveX chamado Microsoft Outlook View Control, que serve para visualizar pastas do Outlook por meio de páginas Web.

O controle deveria permitir apenas a leitura das mensagens, mas uma de suas funções abre uma brecha para que um usuário mal-intencionado possa modificar informações, apagar as mensagens ou executar qualquer outra ação, incluindo rodar programas na máquina afetada. Em suma, tomar controle total do PC de um outro usuário.

O método de ataque é bastante simples: basta que o usuário visite uma página preparada para instalar o controle ActiveX na máquina da vítima. Um e-mail em formato HTML com o controle embutido teria o mesmo efeito. Segundo a Microsoft, o Outlook XP está livre da segunda forma de ataque, graças à correção chamada Outlook E-mail Security Update, que já vem instalada no programa. Quem possui o Outllok 98 ou 2000 está exposto a ambos os métodos.

A recomendação da empresa para todos os usuários é desativar os controles ActiveX na zona da Internet. Para isso, deve-se alterar as configurações do Internet Explorer em Ferramentas|Opções da Internet|Segurança. Usuários do Outlook 98 e 2000 devem também instalar o Outlook E-Mail Security Update.

A Microsoft informa que está desenvolvendo uma correção que irá eliminar a falha. Para acessar as informações do boletim de segurança, que inclui links para as correções já disponíveis, clique aqui.

Leia também:

Office XP é um produto “bugado”, garante especialista

13/7/2001 - 11:35 Giordani Rodrigues

Os servidores da EFNet, uma das maiores redes de bate-papo do IRC (Internet Relay Chat), sofreram uma dose maciça de ataques Denial of Service (DoS), de acordo com comunicados da própria organização. Os ataques começaram na terça-feira e se estenderam pelo menos até o dia seguinte.

Por causa disso, várias empresas e universidades que utilizavam o serviço retiraram seus servidores da rede. Um das notas lamenta a saída da Universidade Emory, de Atlanta, EUA: “É uma grande perda para a comunidade EFNet, já que o servidor de IRC da Universidade Emory foi por cinco anos um dos mais estáveis, confiáveis e abertos. Sentiremos sua falta”.

A situação está voltando ao normal gradativamente e alguns dos servidores foram novamente incorporados à rede. Mas até ontem, as estatísticas da organização ainda contabilizavam 15 mil usuários e oito servidores a menos.

O IRC é um dos mais antigos pontos de encontro para comunicação na Internet e uma de suas últimas áreas não-comerciais. Sem fins lucrativos, os serviços são mantidos pelos próprios usuários, que podem abrir suas salas e orientar as conversas com os mais variados temas.

Os próprios grupos hackers que agora atacam os servidores são assíduos freqüentadores do IRC, onde se encontram para trocar informações em canais criados por eles. Recentemente, a Undernet, outra conhecida organização dedicada ao serviço, sofreu o mesmo tipo de ataque que a EFNet.

12/7/2001 - 16:24 Giordani Rodrigues

“MS Office XP – quanto mais dinheiro eu dou à Microsoft, mais vulneráveis meus computadores com Windows são”. Este foi o título que o consultor de segurança Georgi Guninski deu a um alerta, publicado hoje, sobre falhas no Office XP.

Ele disse que recentemente comprou o pacote de aplicativos da Microsoft, mas ficou aborrecido ao perceber que deu tanto dinheiro por um produto tão “bugado”. De acordo com Guninski, se um usuário visitar uma página HTML especialmente projetada usando o Internet Explorer, ou abrir ou pré-visualizar uma mensagem com o Outlook XP, podem ser executados comandos que dão total acesso ao seu computador.

A mesma falha, usada em outro tipo de situação, permite ler, modificar ou mesmo apagar as mensagens que estejam nas pastas do Outlook XP. O problema reside nos famosos controles ActiveX, comandos muitos comuns em páginas Web e que podem ser usados tanto para tarefas benignas quanto malignas.

O controle em questão se chama “Microsoft Outlook View Control”, capaz de expor mensagens dos usuários e executar programas arbitrários no computador em que for instalado. Guninski classificou a falha como de alto risco. Ele reportou o problema em testes com o Office XP em Windows 2000, com Internet Explorer com Service Pack 1 totalmente atualizado e acredita que também se encontra no Internet Explorer 6 Beta.

O caçador de bugs afirmou que contatou a Microsoft no último dia 9 e, “pelo que pôde entender”, a empresa está investigando o problema. A recomendação que ele dá para quem não quiser ser afetado pela falha é simples: desinstalar o Office XP e o Windows. Demonstrações e explicações mais detalhadas podem ser encontradas em sua página.

12/7/2001 - 15:04 Giordani Rodrigues

Um consultor de segurança canadense descobriu uma falha na criptografia do Hotmail e do MSN Messenger, respectivamente o serviço de e-mail e o programa de bate-papo da Microsoft, que permite roubar as senhas de milhões de usuários. Além disso, Gregory Duchemin, da Neurocom Canadá, desenvolveu um programa capaz de executar a tarefa.

Duchemin disse que reportou o problema à Microsoft há cerca de um mês, mas não obteve resposta. Também afirma que o problema ainda está presente e que o esquema de criptografia do MSN Messenger é débil.

Tanto o Hotmail quanto o MSN Messenger utilizam a mesma senha, autenticada pelo sistema chamado Passport. Atualmente, a Microsoft exige que os usuários utilizem uma senha alfanumérica com oito caracteres, no mínimo.

Com um método chamado de sniffing, é possível captar a seqüência criptografada da senha entre o computador do usuário e os servidores da Microsoft. Depois disso, usa-se outro método, chamado de força bruta, para verificar as combinações que se encaixariam na seqüência para formar um senha válida.

Segundo o consultor, seu programa foi capaz de encontrar todas as combinações possíveis (de A a Z e de 0 a 9) de senhas com oito caracteres, em apenas 12 dias, utilizando um processador Athlon de 1 Ghz. As versões do programa para Windows e Unix estão disponíveis gratuitamente na Web. Duchemin lembra também que muitos usuários antigos dos serviços possuem senhas com menos de oito caracteres, o que torna a tarefa muito mais fácil para um cracker.

Ele também relatou um bug no programa cliente do Messenger que permitiria acelerar o processo de envio do código criptografado e posterior decifração da senha.

Para tentar minimizar o problema, o consultor dá algumas sugestões: os usuários devem escolher senhas com pelo menos nove caracteres, com uma combinação difícil de ser adivinhada e devem trocá-la sempre que possível. Além disso, nunca devem utilizar qualquer serviço de e-mail gratuito baseado na Web para suas comunicações mais importantes.

12/7/2001 - 10:41 Giordani Rodrigues

Em reunião ocorrida ontem, em Bruxelas, capital da Bélgica, um comitê da União Européia decidiu que não irá banir o envio de e-mail comercial não solicitado, o conhecido spam, dos países que participam do bloco.

O comitê adotou uma emenda proposta pelo trabalhista inglês Michael Cashman, membro do parlamento europeu. A decisão significa que as empresas européias não serão obrigadas a solicitar a permissão dos usuários para enviar suas mensagens, contrariando as pressões que alguns grupos vinham fazendo.

Um desses grupos é o EuroISPA, uma associação de provedores de Internet que passou os últimos dois anos tentando banir a prática do spam. Joe McNamee, seu líder, acha que a decisão irá prejudicar uma outra lei, que luta contra a iniciativa do Conselho de Ministros obrigando os provedores a aumentar o tempo de retenção dos dados dos usuários, como forma de combate ao cibercrime.

A proposta adotada ontem ainda precisa passar pela aprovação de todo o parlamento europeu, em uma reunião marcada para setembro. Acredita-se, no entanto, que o parlamento será favorável à decisão.

12/7/2001 - 7:51 Giordani Rodrigues

Foi descoberta uma falha no Windows 2000 que permite a um usuário não autorizado ter acesso a dados de arquivos e documentos que foram criptografados. O problema ocorre na forma como o sistema operacional realiza a criptografia e foi admitido pela Microsoft.

Para criptografar um arquivo, o Windows 2000 utiliza um mecanismo chamado Encrypting File System (EFS). Sob certas circunstâncias, enquanto o processo está em andamento, o sistema automaticamente cria cópias de segurança dos arquivos, escritas em formato texto simples. Assim, eles podem ser recuperados caso ocorra algum erro.

Depois que os arquivos são criptografados com sucesso, as cópias são apagadas, mas podem permanecer no disco rígido. Isto porque o Windows 2000, a exemplo de vários outros sistemas operacionais, não remove os dados deletados, apenas reloca o seu espaço na memória. Usando um editor de disco ou outra ferramenta, uma pessoa mal-intencionada poderia acessar esses dados.

A falha foi descoberta por Clem Colman, consultor da Colman Communications Consulting, especializada em segurança de tecnologia da informação para a indústria e o governo. Ele afirma que a vulnerabilidade decorre do fato de que a maior parte dos produtos para “limpeza” de disco, os chamados disk wipe, não remove completamente os dados quando o sistema utiliza o Windows 2000.

Como conseqüência, Colman alerta as empresas para ter cuidado ao usar tais produtos junto com o Windows 2000. A Microsoft atualizou uma ferramenta do sistema chamada cipher.exe, de modo que ela possa “zerar” completamente os dados deletados do disco rígido.

A empresa também chama a atenção para o fato de que o uso da ferramenta não dispensa outras práticas de segurança, descritas em seu site. Para baixar o cipher.exe, com as devidas instruções, e ter acesso a outras informações, clique aqui. O alerta de Clem Colman e suas recomendações sobre o uso do EFS podem ser encontradas aqui.

11/7/2001 - 17:31 Giordani Rodrigues

Um vírus “muito louco” está se espalhando pela Web. Além de colocar a imagem de uma folha de maconha na barra de tarefas do PC, ele apresenta um texto que defende a legalização da droga e avisa quando é hora de fumar.

Trata-se do W32/Marijuana, também chamado de I-Worm.Mari e W32/Mari. De acordo com a Sophos, que lançou um alerta sobre o vírus, ontem, o Marijuana se propaga enviando a si mesmo a todos os endereços do catálogo do Outlook.

Ele chega em uma mensagem com o texto "check this out!!!" e um arquivo anexado, de nome system32.exe. Quando o arquivo é executado, o vírus se instala na pasta do Windows e muda o registro do sistema. Desse modo, é executado toda vez que o computador é iniciado.

Ele muda o nome do usuário e da organização para expressões que fazem referência à maconha na gíria inglesa e também a página inicial do Internet Explorer, que passa a ser http://my.marijuana.com.

O Marijuana também coloca o ícone de uma folha de cannabis na barra de tarefas do computador, ao lado do relógio, conforme a figura abaixo:
Se o usuário clicar no ícone, será apresentado a um texto que defende a legalização da droga nos EUA:O final da mensagem afirma que este não é apenas mais um vírus, “é uma mensagem pela liberdade, a liberdade de fumar e escolher fazer isso sem medo de punições da lei e do governo”.

A partir da infecção, todo dia, às 16h20, será apresentada uma caixa de mensagem com o título “The Marijuana Virus!!” e o texto “It's 4:20, Time to toke up :)”, significando que está na hora de fumar.Apesar de não ser destrutivo, o vírus é tão irritante que até os usuários da droga que já foram infectados estão reclamando. O site Marijuana.com, que se define como “A resposta da Internet para a guerra das drogas”, possui algumas mensagens agressivas de seus visitantes, contrariando a calma característica de quem fuma um “baseado”.

Rick Garcia, webmaster do Marijuana.com, foi obrigado a postar uma nota dizendo que o site não tem qualquer responsabilidade pela criação do vírus e que a pessoa que o criou está colocando os defensores da erva uns contra os outros.

11/7/2001 - 13:51 Giordani Rodrigues

Nos últimos dias, várias universidades brasileiras, públicas e privadas, sofreram ataques sistemáticos de grupos hackers. Todos os invasores pertencem a grupos nacionais, os quais, aparentemente, não tiveram outra intenção senão a de se divertir.

As Universidades Federais do Rio de Janeiro, Minas Gerais, Rio Grande do Sul, Mato Grosso do Sul e Juiz de Fora, USP, Universidade Estadual Paulista (Unesp), Universidade do Estado do Rio de Janeiro (UERJ) e a Universidade Oeste do Paraná (Unopar) foram atingidas.

Os atos de vandalismo eletrônico resumiram-se a pichações nas páginas de faculdades e institutos. O Hospital Universitário da USP também foi atacado. Algumas páginas ainda estão desfiguradas neste momento, como a da Educação à Distância da Unopar e um site do Laboratório de Computação da Engenharia Elétrica da Universidade Federal de Juiz de Fora.

A gratuidade dos atos pode ser constatada em alguns espelhos. Um dos invasores, identificado por Azrael666, invadiu o Hospital Universitário da USP só para deixar a imagem de um diabinho em uma página deslizante. Um site do Laboratório de Mecânica Computacional, também da USP, foi usado para avisar que o iG o havia excluído de seu serviço de e-mail gratuito e agora ele estava usando um e-mail do BOL.

No site da Universidade Federal de Juiz de Fora, o pirata resolveu dedicar a invasão às suas quatro cadelas. Pôs as fotos de todas elas na página, bem como seus nomes, escritos em estilo “underground”: Br1Da, N1nA, L0La e L1Ca.

11/7/2001 - 10:06 Giordani Rodrigues

A imaginação dos criadores de vírus não tem limites. Agora estão utilizando um falso boletim de segurança da Microsoft para propagar um vírus bastante perigoso, batizado pela Symantec de W32.Leave.B.Worm.

Segundo a empresa, a praga é uma variante do W32.Leave.Worm, descoberto há cerca de duas semanas. A única diferença são os sites dos quais seus componentes são baixados. Tais componentes contêm códigos que aceitam comandos de canais de bate-papo de IRC.

O vírus chega em uma mensagem de e-mail cuja linha de assunto possui o texto “Microsoft Security Bulletin MS01-037”. O corpo da mensagem assemelha-se bastante a um boletim da Microsoft, mas trata-se de uma adulteração. O boletim MS01-037 realmente existe. Foi divulgado na semana passada e alerta para uma falha de segurança no Windows 2000 que possibilita o envio de spam.

O falso boletim, no entanto, menciona um vírus inexistente e induz o usuário a visitar um endereço na Internet e baixar um arquivo de nome cvr58-ms.exe. Tal arquivo seria uma proteção para o suposto vírus, mas na verdade o endereço aponta para um servidor que contém o W32/Leave.B.

A praga possui vários arquivos, incluindo os seguintes: Regsv.exe, Bin.dll, Registry.dll, Rg32.dll e Aci32.dll. Quando o arquivo Regsv.exe é executado, o vírus copia a si mesmo para a pasta do Windows e cria várias chaves e valores no registro do sistema, dependendo da versão do Windows que estiver rodando (NT, 2000, 95, 98 ou Me).

Em todos os sistemas operacionais, ele adiciona o valor "icqrun C:\WINDOWS\regsv.exe" para a chave de registro HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\. Também cria as chaves HKEY_LOCAL_MACHINE\Software\Classes\Scandisk\i386\i e
HKEY_LOCAL_MACHINE\Software\Classes\Scandisk\i386\s.

A chave \i contém informações como os nomes originais dos arquivos e algumas senhas. A chave \s contém uma lista criptografada de sites dos quais os arquivos podem ser baixados e uma lista de Time Servers, servidores que assumem o horário de um determinado local.

Em seguida, o vírus apaga o arquivo original Regsv.exe e cria o arquivo Aci32.dll, que contém o endereço criptografado de onde outros componentes serão descarregados. Finalmente, em máquinas rodando Windows 95, 98 ou Me, ele altera o sistema para ser executado quando arquivos de vários programas conhecidos são rodados. Veja a lista dos arquivos aqui.

Uma característica marcante das variantes do W32/Leave é o fato de rastrearem a rede em busca de computadores que possuam o cavalo de Tróia SubSeven instalado. Ao encontrá-lo, infectam as máquinas por meio da chave mestra do programa.

Abaixo você pode ver uma cópia do falso boletim da Microsoft usado pela nova variante:

Microsoft Security Bulletin MS01-037

The following is a Security Bulletin from the Microsoft Product Security Notification Service.

Please do not reply to this message, as it was sent from an unattended mailbox.

********************************

-------------------------------------------------------------------

Title: Vulnerability in Windows systems allowing an upload of a serious virus.
Date: 30 June 2001
Software: Windows 2000
Impact: Privilege Elevation
Bulletin: MS01-037

Microsoft encourages customers to review the Security Bulletin at:
http://www.microsoft.com/technet/security/bulletin/MS01-037.asp

-------------------------------------------------------------------

Yesterday the internet has seen one of the first of it's downfalls. A virus (no name assigned yet) has been released.
One with the complexity to destroy data like none seen before.

Systems affected:
=================
Microsoft Windows 95
Microsoft Windows 95b
Microsoft Windows 98
Microsoft Windows 98/SE
Microsoft Windows NT Enterprise
Microsoft Windows NT Workstation
Microsoft Windows Millenium Edition
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Service packs up to Service Pack 6 for Windows NT 3/4 Systems.
Service pack 1 and 2 for windows 2000.

Issue:
======
Officials say this virus is unique in many ways. It spreads via new forms, such as using a new vulnerability in Windows 98 allowing already infected computers to upload (send files) to non-infected computers, this means that you do not have
to download or visit a site to be infected with the virus. The infected computers are programmed to scan for computers running Windows 9x, and Windows 2000 and uploading the virus.

-What the virus does:

The virus itself is a threat to normal users aswell as businesses. Cooper from microsoft said "This virus has the ability to wipe out most of the internet users and the chances are it will, the risk is high, patches must be installed to affected systems." The virus itself is made for one reason and one reason only, to reproduce, destroy documents, delete mp3 files, movie files, infect .exe files, this virus also has a unique feature that destroys the BIOS (Basic Input Output System), which means ones that are infected would need to purchase a new motherboard.

Patch Availability:
===================
Visit http://www.microsoft.com@%32%30%37%2E%38%39%2E%31%35%2E%31%30%35/%33%38%36%35%35%33%32/%63%76%72%35%38%2D%6D%73.e%78%65 to download the patch named cvr58-ms.exe. Download and run the file.

Acknowledgment:
===============
- Jon McDonald (http://www.entrigue.net)
- Russ Cooper (http://www.ntbugtraq.com)

-------------------------------------------------------------------

THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING LIMITATION MAY NOT APPLY.

.

-----BEGIN PGP SIGNATURE-----
Version: PGP Personal Privacy 6.5.3

iQEVAwUBOzfaRo0ZSRQxA/UrAQE22gf/W+GD69o8ARA8tPFFJ1hEEa+ISUCqzsad
KCozn4q15zGvZZnM4INxaiD5tPZKkJWIyx8+w5V4AdgTJDLF2YW8ADdk7Dpt1gk9
bOMkr9ipsX5qP5eD3c2cOj+kIQUKQ4Ql5UOW2l6HvrRZUXHyL9sHPpK1+1vwej2z
E9/x0VTDDKu3uc3KTHFFTVbgIfibT4z3zcZUDC0omH8oU+3eNjYwn343ATd+LXMx
Hpsrhrq/gvZc98FYEOW0Re9kHoGuLkDWqdtz63xOxziHjliASPpxsxmJ71bAx0v4
bVuQYQQ+AZklgYwzYDkCfciTfOjjRvi82whlzMDur/t6UtwW3Fe1Zg==
=QExj
-----END PGP SIGNATURE-----

*******************************************************************
You have received this e-mail bulletin as a result of your registration to the Microsoft Product Security Notification Service. You may unsubscribe from this e-mail notification service at any time by sending an e-mail to
MICROSOFT_SECURITY-SIGNOFF-REQUEST@ANNOUNCE.MICROSOFT.COM

The subject line and message body are not used in processing the request, and can be anything you like.

To verify the digital signature on this bulletin, please download our PGP key at http://www.microsoft.com/technet/security/notify.asp.

For more information on the Microsoft Security Notification Service please visit http://www.microsoft.com/technet/security/notify.asp. For security-related information about Microsoft products, please visit the Microsoft Security Advisor web site at http://www.microsoft.com/security

Leia também:

Vírus transforma computador do usuário em "zumbi"

Falha no Windows 2000 permite enviar spam

10/7/2001 - 10:45 Giordani Rodrigues

Parece que os Estados Unidos necessitam constantemente de um inimigo, mesmo que ninguém consiga enxergá-lo. E a mais perigosa ameaça atualmente, segundo alguns membros do governo americano, vem do ciberespaço.

Para o senador republicano Robert Bennet “as armas de destruição em massa estão sendo substituídas pelas armas de interrupção em massa”. Bennet se refere aos ataques através de redes de computadores que, em sua opinião, poderiam derrubar os sistemas de telecomunicações, interromper as operações bancárias e suspender o abastecimento de energia elétrica dos EUA.

Ele também está preocupado com a chamada “Moonlight Maze”, uma suposta ofensiva cibernética organizada pela Rússia, ou outros países potencialmente inimigos — China entre eles —, cujo objetivo seria roubar os bancos de dados de milhares de computadores militares, governamentais e de universidades dos EUA, expondo falhas de segurança estratégicas.

O senador, que ajudou a organizar uma audiência sobre estes temas com membros do Congresso e especialistas da CIA, no final do mês passado, está preparando vários projetos de lei para tentar combater os ataques cibernéticos.

Um desses projetos, que poderá ser introduzido no final deste mês, cria uma exceção ao Freedom of Information Act (FOIA), lei americana que permite a qualquer pessoa requisitar informações de agências federais.

Bennet, que conta com a colaboração de outro senador republicano, Jon Kyl, pretende fazer com que informações recebidas pelo governo sobre ataques de computadores e técnicas desenvolvidas para defesa sejam mantidas em segredo.

Robert Bennet tem experiência tanto em modificar o FOIA como em lidar com assuntos que beiram a histeria. Antes do famigerado bug do milênio, ele teve aprovada uma lei similar que permitia ao governo tornar confidenciais informações trocadas com especialistas no assunto.

Mas dentro do próprio território americano há críticos ferrenhos que consideram exageradas as idéias sobre uma ciberguerra. Lewis Koch publicou recentemente um artigo no site Vmyths.com, especializado em boatos eletrônicos e vírus, comparando a situação atual à da época da Guerra Fria e da "caça às bruxas" do Macarthismo.

Na opinião de Koch, a “ameaça hacker” está sendo usada como pretexto para limitar as liberdades individuais na Internet. “Hoje em dia, todo mundo, de adolescentes que picham o site de sua escola, a garotos de colégio que baixam música gratuita, a organizações que protestam contra as políticas da Organização Mundial do Comércio estão sendo perseguidos e processados como criminosos”, escreve. Ele também acha que a palavra "ciberterrorista" está sendo mal empregada. “Terrorista foi Timothy McVeigh, que deixou 168 pessoas mortas em Oklahoma City”.

Outro que não se deixa levar pela idéia de um ciberataque é George Smith, editor do Crypt Newsletter, que cobre assuntos ligados à segurança de sistemas. Smith concorda que a segurança de computadores é um ponto crítico que deverá ficar mais importante no futuro, mas diz que a maior parte dos problemas atuais é causada por hackers amadores. Ele afirma que não há evidências de cenários apocalípticos sonhados por políticos e militares que justifiquem a crença em algo como a Moonlight Maze.

Smith também colabora com o Vmyths, onde escreveu um artigo dizendo que se um monte de pessoas com títulos importantes afirmar diante do Congresso que o FOIA é prejudicial para os negócios, a economia e a segurança nacional, por mais risível que isso pareça, é possível que todo mundo concorde alegremente. “Por causa da tendência idiota dos americanos de julgarem a correção e excelência de uma idéia pelo número de pessoas que podem ser persuadidas a adotá-la”. ironiza.

Leia também:

CIA não tem capacidade para lutar contra cibercrime

Cuba rechaça acusações de ciberataque contra EUA

9/7/2001 - 20:37 Giordani Rodrigues

Neste sábado, o site da Unesco, organização das Nações Unidas para a educação, ciência e cultura, foi invadido pelo grupo hacker brasileiro Prime Suspectz. O servidor atacado, um Microsoft IIS 4.0, hospeda o domínio www2.unesco.org, que conduz o internauta ao site principal da organização.

Os piratas mudaram a página inicial por um texto engajado, em que defendem a prática da “não-violência ativa, rejeitando a violência sob todas as suas formas: física, sexual, psicológica, econômica e social” e “a liberdade de expressão e a diversidade cultural, dando sempre preferência ao diálogo e à escuta do que ao fanatismo, a difamação e a rejeição do outro”.

É no mínimo contraditório falar em rejeição da violência e da difamação e desfigurar o site de uma organização mundial sem fins lucrativos que defende os mesmos princípios, usando o argumento da liberdade de expressão para justificar a atitude. Normalmente, invasões dessa natureza são criticadas até mesmo pelos círculos hackers.

A constituição da Unesco foi adotada pela Conferência de Londres, em novembro de 1945 e o principal objetivo da entidade é “contribuir para a paz e a segurança no mundo, promovendo a colaboração entre as nações por meio da educação, ciência, cultura e comunicação”.

Por outro lado, nos últimos dias o Prime Suspectz invadiu outros sites que também não deveriam ter sido invadidos, mas desta feita porque pertencem a empresas que lidam com tecnologia e segurança. Espera-se, portanto, que não estejam vulneráveis.

Entre eles, estão um site pertencente ao Goddard Space Flight Center, da Nasa; os sites em Taiwan e no Japão da Santa Cruz Operation (SCO), empresa que desenvolve o sistema SCO e que foi adquirida pela companhia de distribuição do Linux Caldera; e o da organização SPARC, arquitetura de processadores desenvolvida pela Sun Microsystems.

No site da SPARC, os hackers apenas escreveram no rodapé da página: “Prime Suspectz owned Sparc, well i think that your sun 5.8 sparc box is not secure!” (Prime Suspectz se apossou da SPARC. Bem, eu acho que seu computador Sun 5.8 SPARC não é seguro). No da SCO do Japão, eles ironizaram a segurança do site e brincaram com os orientais, escrevendo, em inglês: “Segurança, este é o problema! Vamos abrir os olhos, Japão”.

Em um comentário sobre o ataque à SCO, a equipe do Attrition questionou: “Este tipo de desfiguração põe em dúvida a segurança do sistema operacional que a SCO desenvolve. Se os desenvolvedores e a equipe da SCO não conseguem proteger seus próprios servidores de ataques, como podem esperar que a base de seus clientes o faça?”

Todas as desfigurações foram registradas pelo site Alldas.de e podem ser vistas clicando-se nos links abaixo:

Unesco

Nasa

SPARC

SCO Japão

SCO Taiwan

9/7/2001 - 16:34 Giordani Rodrigues

A Privacy Foundation divulgou hoje uma pesquisa na qual revela que 14 milhões — pouco mais de um terço — dos trabalhadores online nos EUA são continuamente vigiados pelos empregadores ao navegar na Web ou trocar e-mails. Em todo o mundo, este número chega a 27 milhões de pessoas, pouco menos de um terço da força de trabalho online no planeta.

O estudo foi baseado principalmente nas vendas de empresas que produzem programas para monitorização de e-mails e da Internet. A pesquisa levou em conta apenas a vigilância sistemática, em que todos os acessos à Internet e todos os e-mails enviados ou recebidos são gravados, não as checagens eventuais feitas por algumas empresas.

De acordo com a Privacy Foundation, o programa mais usado para monitorização na Internet é o Websense e o mais usado para monitorização de e-mails é o MIMEsweeper. Entre os compradores de tais produtos estão companhias e agências governamentais como 20th Century Fox, Glaxo Wellcome, Nike, Duracell, Texaco, American Express, Zenith Electronics, Exército dos EUA, Administração de Pequenos Negócios e Prefeitura de Boston.

Ao contrário do que normalmente é alegado pelas empresas — preocupações com a produtividade, desvio de comportamento sexual e outros — a Privacy Foundation constatou que a razão principal para a vigilância dos empregados é o baixo custo dessa tecnologia.

Em todo o mundo, as vendas de programas para monitorização são estimadas em US$ 140 milhões, cerca de US$ 5,25 para cada empregado vigiado por ano. Segundo o estudo, o Exército dos EUA recentemente adquiriu um pacote do software Websense capaz de monitorar 200 mil vagas. Incluindo o hardware necessário, o custo total foi de US$ 1,8 milhão, o que significa US$ 9 por empregado. As vendas de programas dessa natureza cresceram pelo menos duas vezes mais rápido do que o número de empregados com acesso à Internet nos EUA, nos últimos anos.

A pesquisa também cita uma outra, publicada recentemente pela American Management Association (AMA), que chega à conclusão de que 77,7% das maiores empresas americanas gravam as comunicações de seus empregados, incluindo chamadas telefônicas, conexões à Internet e e-mails. O estudo da AMA, no entanto, refere-se principalmente a práticas ocasionais de monitorização, enquanto o da Privacy Foundation restringiu-se à prática contínua.

Uma das questões levantadas pela pesquisa é se os empregadores estão fornecendo aos empregados suficiente informação de que eles estão sendo monitorados. “Um aviso isoladamente pode não ser suficiente”, afirmou Andrew Schulman, autor do estudo.

“Companhias e agências do governo estão baseando decisões de suspensão e demissão em relatórios de monitorização de empregados. Além disso, geralmente os empregados não ficam sabendo de antemão que tipo de informação será coletada e como será julgada”.

A pesquisa também alerta para o fato de que as empresas estão estocando informações detalhadas que podem ser usadas contra elas próprias em processos futuros. Mas a principal preocupação da organização é mesmo com os desdobramentos que uma tecnologia tão barata pode trazer em breve.

O desenvolvimento de tecnologias como o vídeo digital e a telefonia baseada na Internet pode estimular um aumento da monitorização de conversas telefônicas, correio de voz e atividades visíveis gravadas por câmaras, da mesma forma como já está acontecendo com o e-mail e as conexões na Web.

9/7/2001 - 13:44 Giordani Rodrigues

Um software espião, capaz de capturar todas as informações contidas em um computador, incluindo aquilo que o usuário digita, estaria sendo vendido exclusivamente para policiais, militares e agências de inteligência de vários países.

Batizado de DIRT, palavra que em inglês significa “sujeira”, o software foi desenvolvido por Frank Jones, um ex-policial de Nova Iorque. O nome DIRT, na verdade, é a sigla de Data Interception by Remote Transmission (Interceptação de Dados por Transmissão Remota) e, dependendo da configuração, custaria de alguns milhares de dólares até mais de US$ 200 mil, segundo o site Cryptome.org, especializado em informações sobre inteligência e espionagem.

O DIRT teria a capacidade de burlar as ferramentas de segurança mais conhecidas, como firewalls, e passaria sem ser detectado por programas antivírus. Um anúncio sobre o software diz: “Imagine ser capaz de monitorar remotamente qualquer PC no mundo, na hora em que você quiser. Suponha que você pudesse ler tudo que é digitado, acessar e salvar qualquer arquivo do disco rígido... Não haveria mais segredos.”

Frank Jones, que atualmente é responsável pela empresa Codex Data Systems, recusa-se a falar sobre o assunto, mas um de seus ex-sócios, Michael Richardson, que trabalhou em uma agência de inteligência do Canadá, diz que o governo daquele país discutiu a aquisição do programa.

Segundo o site Cryptome.org, Richardson também afirma que Jones está vendendo secretamente a sua invenção para países como o Peru e a África do Sul. Richardson trabalhou na Codex até saber de uma condenação do ex-sócio, na qual suas ligações com o Canadá foram reveladas.

Em 1999, Jones foi condenado por posse e distribuição de equipamentos de escuta ilegal. Ele foi sentenciado a 300 horas de serviços comunitários e cinco anos de liberdade condicional. Os arquivos do julgamento incluem cartas solicitando permissão para que Jones viajasse ao Canadá para encontrar-se com militares, representantes do governo e da Interpol, a fim de apresentar seus programas.

Eric Shneider, programador que ajudou a desenvolver o DIRT, também se afastou de Jones por “razões éticas”. Ele afirma que projetou o DIRT para ajudar a polícia a investigar pedófilos, mas que a Codex tem vendido o software para governos estrangeiros.

Schneider, porém, menospreza o poder do DIRT, afirmando que as últimas versões da ferramenta não são muito mais poderosas do que cavalos de Tróia conhecidos, como Back Orifice e SubSeven. Frank Jones, por sua vez, afirma que a comunidade underground gosta de pôr defeitos em seu programa, apesar de nunca ter visto seu verdadeiro poder.

Jones se recusa a falar sobre sua condenação e afirma que está prestes a abrir um processo de US$ 20 milhões contra as pessoas que o difamaram na Web. O site Cryptome.org possui uma cópia da queixa assinada por ele, reportagens da Forbes e do New York Times sobre o ex-policial, além de outros detalhes sobre o DIRT. Para acessar a página, clique aqui.

6/7/2001 - 19:36 Giordani Rodrigues

Um bug (falha de programação) encontrado nos servidores de e-mail do Windows 2000 permite a autenticação e o envio de mensagens usando dados incorretos. A falha pode ser explorada por um usuário mal-intencionado que, dessa forma, poderia enviar spam sem ser identificado, utilizando máquinas alheias.

O problema é devido a um erro de autenticação no protocolo SMTP (Simple Mail Transfer Protocol), instalado como padrão nos servidores Windows 2000 e por opção no Windows 2000 Professional. Segundo a Microsoft, o Windows NT e o Exchange 5.5 e 2000, mesmo rodando em sistemas Windows 2000, não são afetados.

A empresa também afirmou que o problema só atinge máquinas isoladas e não aquelas que estejam sendo utilizadas em domínios na Internet. Ontem, foi lançado um boletim de segurança com informações e uma correção para o bug.

O boletim pode ser encontrado em http://www.microsoft.com/technet/security/bulletin/MS01-037.asp.
A correção pode ser baixada do endereço http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31181.

6/7/2001 - 18:10 Giordani Rodrigues

Uma falha no controlador de disco dos servidores de banco de dados foi responsável pela interrupção dos serviços do MSN Messenger, programa de bate-papo da Microsoft. A cópia de segurança (backup) do controlador também possuía erros, fazendo com que o caminho (path) que leva aos diretórios ficasse maior e impedisse o restabelecimento dos serviços.

A explicação foi dada hoje pelo vice-presidente da MSN, Rich Bray, em um comunicado oficial publicado no site da companhia. De acordo com Bray, o problema se deve a “uma série de circunstâncias de ocorrência extremamente rara". Ontem (5 de julho), foi necessário reiniciar todos os servidores do MSN Messenger num esforço para tentar restaurar os serviços.

Nos últimos dias, cerca de um terço dos usuários do programa não estão conseguindo utilizá-lo. A lista de contatos destes usuários (buddy list) simplesmente desapareceu e alguns não conseguem fazer a conexão com os servidores.

A Microsoft garante que as buddy lists não estão perdidas. Elas estariam apenas “escondidas” e serão recuperadas logo que a situação volte ao normal, o que a empresa espera que aconteça ainda hoje.

O comunicado pede desculpas às pessoas afetadas pelo problema, mas ressalva que dois terços dos usuários em todo o mundo estão conseguindo utilizar o programa normalmente.

6/7/2001 - 16:59 Giordani Rodrigues

A McAfee, unidade de negócios da Network Associates para soluções antivírus, acaba de anunciar que desenvolveu suporte antivírus para o software Adobe Acrobat 5.0. O produto deve ajudar a garantir a troca segura de arquivos PDF (Formato Portátil de Documentos, na sigla em inglês) entre redes corporativas e pela Internet.

O PDF é um popular formato para transporte de documentos, criado pela Adobe e utilizado por mais de 300 milhões de usuários em todo o mundo. Serve como meio de distribuição eletrônica de manuais, livros, jornais e outros documentos.

Os arquivos PDF só contêm dados de leitura e não são executáveis. Embora não se conheçam relatos de vírus para tais arquivos, a própria Adobe já advertiu que, em teoria, poderia haver vírus em algum tipo de programa ou link embutidos em documentos PDF.

Isto seria possível devido à tecnologia da Microsoft chamada OLE (Object Linking and Embeding), introduzida na versão 4 do Acrobat, programa da Adobe para manejo e leitura de arquivos PDF. A tecnologia OLE permite inserir em um mesmo arquivo diferentes tipos de documentos.

"A iniciativa da McAfee é particularmente importante devido à grande quantidade de documentos PDF da Adobe disponíveis na Web e em redes internas hoje. Agora os usuários do Acrobat podem compartilhar e acessar arquivos com mais confiança, sabendo que o estão fazendo de forma segura", declarou John Hazelwood, gerente de produtos Acrobat da Adobe.

6/7/2001 - 14:42 Giordani Rodrigues

Revoltado porque o orelhão “engoliu” as unidades de seu cartão telefônico, e sem poder ligar para a namorada, um hacker que se assina ReFLuX resolveu “engolir” um servidor da Telepar, empresa de telefonia do Paraná.

ReFLuX invadiu o endereço www1.telepar.com.br, mudou a página de apresentação do site e alega ter comprometido o banco de dados do servidor. “Acabei de engolir o sistema de vc’s com direito a BD e tudo mais”, escreveu.

A página traz vários palavrões contra a Telepar, declarações de amor à sua namorada e saudações a outro integrante da “cena”, asouza, que já agiu junto com ReFLuX em algumas invasões.

A Telepar confirmou o ataque e disse que a invasão ocorreu por falhas no servidor Microsft IIS do site. A empresa não especificou que falhas foram essas. O sistema roda Windows NT4 e servidores Microsoft IIS/4.0.

Também afirmou que só houve a mudança das páginas. Segundo a Telepar, não houve quebra de sigilo dos dados de clientes, já que o servidor atingido não possui tais informações. O endereço normalmente traz informações sobre coleção de cartões telefônicos (telecartofilia).

Neste momento, o site apresenta a página padrão de configuração do Windows NT4, mas a empresa afirma que todas as correções de segurança do sistema foram feitas.

Telepar é o nome da estatal de telefonia do Paraná que foi vendida para o grupo Brasil Telecom. Também fazem parte do grupo empresas do Rio Grande do Sul, Santa Catarina, de toda a região Centro-Oeste, incluindo o Distrito Federal, além de Rondônia e Acre. O principal acionista da Brasil Telecom é a Techold, holding formada pelo banco Opportunity e fundos de pensão.

ReFLuX vem alterando páginas na Internet desde fevereiro deste ano, segundo o site especializado Alldas. Ele já atacou pelo menos 60 servidores, entre os quais o da Unicef da Itália, McDonald’s da Colômbia, Olivetti da Rússia e Epson do México. Uma cópia da invasão ao site da Telepar pode ser vista aqui.

Leia também:

Hacker brasileiro invade site da Unicef

5/7/2001 - 19:10 Giordani Rodrigues

Lee Ashurst, condenado por invadir o único provedor dos Emirados Árabes

A situação do inglês Lee Ashurst, de 22 anos, está cada vez mais complicada. Primeiro foi preso, julgado e condenado a pagar uma multa amena por invadir o único provedor de Internet dos Emirados Árabes. Agora, ele pode ser condenado em uma ação civil a pagar 650 mil libras esterlinas, o que equivale a mais de R$ 2 milhões, por danos comerciais à empresa.

Ashurst é acusado de ter usado a senha “company123” para penetrar em toda a rede do provedor estatal Etisalat, fazendo com que seus serviços ficassem indisponíveis por vários dias. Preso em junho do ano passado, na cidade de Dubai, onde reside e trabalhava, posteriormente foi libertado sob fiança.

Há poucos dias, ele foi condenado a pagar uma multa de pouco mais de R$ 6 mil, por transgressões a leis de telecomunicações dos Emirados Árabes, que não possuem leis específicas para crimes na Internet. Não satisfeito, o provedor quer indenizações pelos prejuízos causados à sua rede. O governo dos Emirados Árabes já declarou que trataria o caso como exemplar, para inibir outras ações dessa natureza.

Se for condenado em novo processo civil, Ashurst poderá ter de pagar 405 mil libras à Etisalat por perdas comerciais, 107 mil libras por novos equipamentos de informática e mais 40 mil libras pelo salário da equipe de 26 pessoas responsáveis por sua captura. Convertido para moeda brasileira, o total equivale a aproximadamente R$ 2,2 milhões.

Logo depois de ser preso, em 14 de junho de 2000, Lee Ashurst publicou uma página na Internet com o título de “Outra acusação injusta”, na qual se dizia perseguido pela Etisalat, que o estaria usando como bode expiatório pelos maus serviços. A página também trazia notícias sobre o seu caso e pedia donativos para quem o quisesse ajudar.

No entanto, há informações de que, posteriormente, ele admitiu ter descoberto “nove senhas do provedor em quatro minutos”. Continuou, porém, negando as acusações de que teria acessado contas de e-mail dos usuários.

Ashurst trabalhava como engenheiro de computação em uma firma de construção em Dubai, uma das principais cidades dos Emirados Árabes. Depois de sua prisão, perdeu o emprego, o apartamento e o carro que a empresa lhe oferecia. Seu pai, que também trabalhava na mesma firma, pediu demissão.

Leia também:

Inglês é condenado por invadir provedor árabe

5/7/2001 - 11:55 Priscila Perdoncini

Especial para InfoGuerra, da Itália

Invisibilidade e velocidade. São os dois princípios da Invicta. Criada por dois ex-agentes da KGB e da CIA, a Invicta pretende ser um sistema revolucionário para a proteção contra os piratas virtuais. Nos últimos dias, o sistema tem chamado a atenção da mídia especializada por motivos diferentes. Aclamado por uns, é visto com desconfiança por outros.

Os sistemas de proteção tradicionais – antivírus e firewall, por exemplo – funcionam como uma espécie de muro para defender algo estático, que é o computador do usuário e seu respectivo IP (Internet Protocol). O novo sistema, ao invés disso, faria com que o endereço IP de um computador ou de uma rede ligados à Internet fosse modificado constantemente, em questão de segundos, milhares de vezes ao dia. Apenas as pessoas autorizadas teriam acesso à localização do IP no ciberespaço.

Segundo a Invicta, a proeza é possível graças ao sistema VCC (Variable Cyber Coordinates). Instala-se uma peça no computador do usuário, a qual é ligada online diretamente com o Security Gateway da empresa. Essa peça, meio hardware, meio software, teria a função de transformar rapidamente o endereço IP.

O Security Gateway, por sua vez, é a unidade de controle, que introduz o PC na rede e bloqueia o seu acesso a estranhos. Teoricamente, é impossível que qualquer hacker, mais ou menos hábil, consiga rastrear o computador do usuário, que desapareceria da rede em poucos segundos.

Se este método realmente funciona como é descrito, pode representar uma revolução no mundo do comércio e da comunicação virtuais. Seus críticos, no entanto, acham que há muito marketing envolvido no negócio. O documento explicativo do sistema, publicado no site da companhia, está sendo considerado nebuloso.

Bruce Schneier, Chief Technology Officer e fundador da Counterpane Internet Security, considera a explicação da Invicta para a nova tecnologia “extensa em hipérboles e curta em detalhes”. Ele acha que as idéias da companhia não são desprovidas de mérito, mas também não são tão revolucionárias como se sugere.

Outro motivo de desconfiança são os próprios responsáveis pela Invicta. Victor Sheymov, o fundador, desempenhou várias atividades de destaque na antiga KGB. Entre outras coisas, trabalhou no projeto “Guerra nas Estrelas” soviético, antes de desertar para os EUA por motivos ideológicos.

O vice-presidente de vendas internacionais da Invicta é David Rolph, um ex-agente da CIA que participou da debandada de Sheymov e acolheu a ele e sua família nos EUA. Com tanta atenção gerada em torno de tais personagens, a ausência de detalhes sobre a nova tecnologia ficou em segundo plano.

5/7/2001 - 0:00 Priscila Perdoncini

Especial para InfoGuerra, da Itália

O site da Câmara do Comércio italiana foi desfigurado no último domingo por um grupo de hackers brasileiros. Lia-se, no momento da invasão, a seguinte mensagem: “Brazil Hackers Sabotage owned your box!”. A Câmara do Comércio disse que, poucos minutos depois, bloqueou o ataque, “simplesmente desligando as máquinas”.

Outro site invadido foi o do Ministério das Atividades Produtivas da Itália. Desta vez foi um hacker californiano chamado Pimpshiz que, de acordo com as notícias correntes na Itália, é “muito procurado nos Estados Unidos”. Durante a invasão, lia-se: “Check-mate C0BR4S... Pimpshiz lives!”. C0BR4S é uma referência a um outro grupo de hackers brasileiros, considerado pelos italianos como “um dos mais hábeis em circulação”.

Os especialistas em segurança da Autoridade de Informática na Administração Pública (AIPA) declaram que, mesmo não havendo nenhuma referência direta ao G8 nas invasões, há “uma tensão muito grande” às vésperas deste encontro no país.

Segundo o órgão, nota-se nos últimos meses um “considerável crescimento no número de ataques” a sites de instituições governamentais e de grande comércio em toda a Europa. Em meados de junho, detectou-se uma tentativa de invasão ao site oficial do G8 da prefeitura de Gênova.

A AIPA diz ainda que os hackers mais ativos atualmente são os brasileiros, que representam cerca de 60% da população de piratas da Internet.

4/7/2001 - 19:30 Giordani Rodrigues

As principais empresas antivírus já lançaram seus rankings das pragas que mais atacaram os computadores pelo mundo, em junho. Não há dúvidas de que a maior ameaça aos usuários foi o Magistr, um vírus complexo e altamente destrutivo, que continua em plena atividade.

O Magistr tem o poder de corromper o disco rígido, apagando os dados CMOS e Flash BIOS, além de infectar arquivos com extensões .EXE e .SCR (usados em protetores de tela). Possui características de vírus e de worm. Como vírus, infecta o sistema e permanece na memória da máquina. Como worm, propaga-se via Outlook, Outlook Express ou Netscape Navigator, chegando ao usuário como uma mensagem eletrônica.

Por ser polimórfico, o vírus pode enviar mensagens de e-mail contendo diferentes corpos e linhas de assunto variadas. Para determinar o que será enviado junto com sua rotina maliciosa, ele busca, de forma aleatória, pedaços de textos de arquivos .DOC e .TXT no sistema infectado, além de exibir um conteúdo ofendendo o internauta. Os endereços de correio eletrônico que o vírus utiliza para se auto-enviar são coletados no catálogo de endereços da máquina infectada.

Segundo a Trend Micro, em cuja lista o Magistr ocupa a primeira posição, o vírus foi descoberto em 12 de março, está em língua inglesa e é originário da Suécia. Ele ataca a plataforma Windows e tem 25.600 bytes de tamanho.

O ranking da Sophos (veja tabela de vírus ao lado), que também traz o Magistr em primeiro lugar, ainda apresenta o Homepage, que foi o que mais atacou em maio e agora está em terceiro lugar. “O Homepage, altamente divulgado, continua a infectar muita gente. Parece que os usuários de computadores ainda estão ignorando os alertas e têm negligenciado a atualização de sua proteção antivírus”, disse Peter Cooper, gerente de suporte da Sophos no Reino Unido.

Em junho, a empresa também constatou o aumento de infecções pelo vírus Apology-B, ou MTX, surgido no ano passado, mas que ainda continua entre os mais perigosos. O MTX impede que os usuários acessem os sites de vários fabricantes de antivírus e, conseqüentemente, façam as atualizações dos produtos.

4/7/2001 - 17:47 Giordani Rodrigues

Desde novembro do ano passado, uma pessoa que usa o apelido de Evil Angelica e que assume personalidade feminina tem feito freqüentes invasões de sites, trocando as páginas por outras de conteúdo humorístico. Agora, Evil Angelica resolveu lançar o livro “Defacing for Dummies”, no qual ensina qualquer pessoa, por menos habilidades que tenha (os “dummies”), a invadir e desfigurar um site.

É claro que se trata de mais uma de suas brincadeiras. O livro foi “lançado” na invasão de um site que continua desfigurado (www.1stoptrack.com). Evil Angelica cita opiniões de várias pessoas a respeito do livro, entre elas Al Gore, ex-candidato à presidência dos EUA, e Elvis Presley.

Al Gore, que ela designa como o “inventor da Internet”, teria achado a leitura esplêndida e disse que iria hackear a si mesmo para dentro da Casa Branca. Elvis Presley disse que, usando as informações do livro, foi capaz de conseguir documentos clandestinos da CIA e simular a própria morte. Depois, usando planos secretos da Nasa, construiu uma nave espacial e foi para a Lua, onde vive hoje como “fazendeiro de queijos”.

Até a sisuda equipe do Attrition se rendeu às suas piadas. Ontem, enviou um e-mail comentando as atitudes de Evil Angelica. “Apesar de Attrition nunca ter sido condescendente, por qualquer motivo, com a desfiguração de páginas na Web, freqüentemente demos boas risadas com algumas das desfigurações de Evil Angelica”, comenta Jericho, um dos integrantes da equipe.

Em sua opinião, a desfiguração mais engraçada foi a de “Bob, o arrombador ético”, em que Evil Angelica faz uma paródia com a atividade de seus pares. Aliás, ridicularizar outros grupos é uma de suas brincadeiras preferidas. Veja abaixo, o “lançamento” de seu livro e outros exemplos de seu “trabalho”:

Livro “Defacing for Dummies”:
http://defaced.alldas.de/mirror/2001/06/29/www.1stoptrack.com/

“Bob, o arrombador ético”:
http://attrition.org/mirror/attrition/2001/02/25/www.makrotech.com/

Uma paródia do conhecido “Manifesto de um Hacker":
http://attrition.org/mirror/attrition/2001/01/17/www.whatshotawards.com/

Uma invasão dedicada aos deficientes visuais:
http://attrition.org/mirror/attrition/2001/02/16/www.fionna-duncan.co.uk/

Um milhão de macacos:
http://attrition.org/mirror/attrition/2001/02/09/www.technetservice.com/

Ridicularizando outros grupos:
http://attrition.org/mirror/attrition/2001/03/31/www.malneedi.com/
http://attrition.org/mirror/attrition/2001/03/22/www.researchsite.net/

Fazendo trocadilhos com o avião americano que caiu na China:
http://attrition.org/mirror/attrition/2001/04/29/www.mhrinternational.com/

Zombando dos administradores que tiveram seus servidores invadidos:
http://attrition.org/mirror/attrition/2001/04/25/www.skyes-thelimit.com/

Listas completas das desfigurações de Evil Angelica podem ser encontradas nos endereços abaixo:

http://attrition.org/mirror/attrition/angelica.html
http://defaced.alldas.de/defaced.php?attacker=Evil+Angelica&p=1

Leia também:

Hacker bem-humorada faz piada com a própria atividade

3/7/2001 - 19:55 Giordani Rodrigues

Mal foi publicada, a Medida Provisória (MP) 2.200, que regulamenta as transações eletrônicas no Brasil, já começou a sofrer fortes críticas. A Ordem dos Advogados do Brasil (OAB) publicou hoje uma nota de repúdio à medida, considerando-a autoritária e ameaçadora da privacidade dos cidadãos, ao excluir a participação da sociedade na definição das normas sobre certificações digitais.

A MP foi lançada na última quinta-feira, de forma silenciosa, às vésperas do recesso parlamentar. Para o presidente nacional da OAB, Rubens Approbato Machado, o que o governo federal pretende é impor um controle ao comércio eletrônico no Brasil, desprezando os debates que vêm sendo realizados há mais de um ano no Congresso Nacional sobre três projetos a respeito do assunto.

A votação de um desses projetos, de autoria do deputado Dr. Hélio (PDT-RJ), com substitutivo do deputado Júlio Semeghini (PSDB-SP), deveria ter acontecido um dia antes da publicação da MP, mas foi adiada para depois do recesso. O projeto foi entregue pela OAB-SP, que também publicou uma nota considerando a MP “desastrosa”.

A MP 2.200 instituiu a Infra-Estrutura de Chaves Públicas Brasileira (ICP-Brasil), órgão responsável pela política nacional de segurança nas transações pela Internet. A ICP-Brasil, por sua vez, é gerida por um comitê vinculado a vários representantes do governo e assessorado por órgão ligado à Agência Brasileira de Inteligência.

Segundo Marcos da Costa, presidente da Comissão de Informática da OAB, com essa medida, a compra de um simples CD pela Internet será tratada como assunto de segurança nacional. A OAB considera que a MP burocratiza, onera e “iguala o procedimento do comércio eletrônico no Brasil ao de países de legislação fechada e militarizada, como China, Rússia e Paquistão”.

Leia também:

Governo cria autenticação de documentos eletrônicos

3/7/2001 - 17:11 Giordani Rodrigues

Pela terceira vez em quatro dias, o site da Bolsa de Mercadorias do Rio Grande do Sul (BMRS) foi invadido pelos mesmos hackers. O primeiro ataque aconteceu na sexta-feira (29/06) e o último, na madrugada de hoje. O grupo responsável pelas invasões foi o Data Cha0s.

Em todos os episódios, os hackers tomaram a mesma atitude: mudaram a página principal do site e em seu lugar puseram uma outra com sua “marca” e um texto com protestos sobre a miséria do país. Também alegaram ter copiado o banco de dados da empresa.

Eduardo Bugs, administrador do site, contesta a afirmação dos invasores: “a base de dados copiada foi apenas um arquivo SQL sem importância”. SQL é a sigla de Structured Query Language, uma linguagem usada para gerenciamento de bancos de dados.

Bugs explica que o site da BMRS é aberto ao público e não possui informações sigilosas. Mesmo a área restrita para o “pregão virtual”, que necessita de senha, não oferece riscos se for acessada, segundo ele. “Conhecemos todos os clientes da Bolsa e perceberíamos qualquer atividade fora do comum”, garante.

Ele admite que, por causa da ausência de informações sensíveis, a BMRS nunca investiu muito na segurança do sistema. “Mas iremos corrigir esse problema, pois tenho perdido tempo alterando essas invasões”.

O administrador não soube explicar qual foi a falha de segurança que permitiu o acesso não autorizado ao site, apenas sugere que tenha sido um problema com o servidor IIS. O sistema da BMRS roda servidores Microsoft IIS/4.0 e Windows NT.

Como nas vezes anteriores, os hackers citaram uma frase em latim do livro O Príncipe, de Nicolau Maquiavel, que traduzida significa o seguinte: “Nada é mais fraco ou instável do que a reputação do poder que não é baseado na própria força”.

A diretoria da BMRS, no entanto, não gostou do que aconteceu nos últimos dias e resolveu agora mostrar a sua força. “Recebemos orientação do presidente para dar queixa na Polícia Civil e na Polícia Federal”, informou o superintendente de operações da Bolsa, Wilson José Riva.

Segundo Riva, as atividades dos invasores dentro do sistema já foram registradas e as providências legais serão tomadas. “No começo, encaramos o fato como uma brincadeira de mau gosto, mas agora isso já passou dos limites e se tornou uma irresponsabilidade que deve ser punida”.

Uma cópia da invasão foi registrada pelo site especializado Safemode. Para vê-la, clique aqui.

3/7/2001 - 10:16 Giordani Rodrigues

A história é conhecida, o que não impede que muita gente acredite nela: um e-mail anuncia uma foto de apelo sexual contida em um arquivo anexado, que na verdade é um vírus. A mais nova isca, batizada de VBS.Jolin@mm pela Symantec, tem o poder de apagar arquivos de sistema do Windows, fazendo com que seja necessário reinstalá-lo.

A mensagem que traz o vírus apresenta o texto “FW: Check this out...” na linha de assunto, dando a impressão de que foi repassada por alguém conhecido. O corpo do e-mail traz a seguinte explicação:

This was the first naked picture taken by
a Taiwan singer! Jolin... please don't get over steam
by staring at the picture! keke~

Ou seja, tenta enganar o usuário fazendo-o crer que está recebendo a primeira foto nua de uma cantora de Taiwan, supostamente chamada Jolin. Como anexo, traz o arquivo “!!jolin_caught_naked!!!!.jpg.vbs”.

Se o arquivo for executado, o vírus tentará enviar-se a todos os contatos da lista de endereços do Outlook. Ele também modifica o arquivo Script.ini do programa mIRC, o que faz com que seja enviado para outras pessoas quando a vítima está utilizando os canais de bate-papo do IRC.

O vírus apaga todos os arquivos com extensões .exe, .dll e .inf da pasta Windows\System. Além disso, sobrescreve com seu código todos os arquivos .zip, .mps e .mpeg que estiverem na pasta “Meus Documentos”, inutilizando-os, e ainda tenta infectar os disquetes.

Segundo a Symantec, a praga tem um alto poder de distribuição geográfica, apesar de sua atividade estar sendo considerada baixa. A empresa avisa que as atualizações de seu programa antivírus anteriores ao dia 28 de junho detectam o VBS.Jolin@mm com o nome de Bloodhound.VBS.Worm.

2/7/2001 - 18:03 Giordani Rodrigues

Na última quinta-feira (28/06), o governo federal lançou a Medida Provisória (MP) 2.200 que instituiu a criação da Infra-Estrutura de Chaves Públicas Brasileira (ICP-Brasil). O órgão será responsável pela política brasileira de segurança nas transações pela Internet e afeta o comércio eletrônico.

De acordo com o artigo primeiro da MP, o órgão deverá “garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras”.

A ICP-Brasil terá um Comitê Gestor vinculado à Casa Civil da Presidência da República, composto por onze membros. Serão quatro representantes da sociedade civil designados pelo presidente e sete representantes de órgãos federais, como Ministérios da Justiça, da Fazenda e da Ciência e Tecnologia.

No Brasil, já há um Projeto de Lei que institui a fatura eletrônica e a assinatura digital nas transações de comércio eletrônico. O Projeto, de 1999, deveria ter sido votado um dia antes da publicação da MP, mas a votação foi adiada para agosto, após o recesso parlamentar.

O texto integral da MP 2.200, que entrou em vigor já no dia 28, está disponível no site do Diário Oficial e pode ser visto aqui.

2/7/2001 - 14:10 Giordani Rodrigues

Um programador inglês foi considerado culpado por invadir e “derrubar” os serviços do único provedor de Internet dos Emirados Árabes, entre maio e junho do ano passado. A notícia está na capa da edição de hoje do site britânico Vnunet.com.

Lee Ashurst, de 22 anos, foi condenado por mau uso de equipamentos de telecomunicações. Nos Emirados Árabes não há leis específicas para atividades hacking, por isso sua pena máxima seria de seis meses de prisão, ou uma multa. Por seu ato, Ashurst foi sentenciado a pagar 1,9 mil libras (pouco mais de R$ 6 mil).

O provedor Etisalat disse que Ashurst foi responsável por uma larga interrupção em seus serviços entre maio e junho do ano passado, o que causou muitas reclamações por parte de seus usuários. Ashurst alega que está sendo usado como bode expiatório pelo mau desempenho do provedor e seus advogados planejam apelar da sentença.

Ao mesmo tempo, o provedor planeja processar o jovem em uma ação civil por perdas de rendimento, o que pode resultar em uma multa milhares de vezes maior. Como resultado do caso, as autoridades dos Emirados Árabes também pretendem introduzir uma legislação específica para crimes de computador no país.

A reportagem também traz uma interessante análise de um especialista em segurança, Richard Boothroyd. Segundo Boothroyd, o sistema penal para crimes de computador possui graves falhas. Como exemplo, ele cita o caso de uma pessoa que roube um banco, o que pode lhe custar uma sentença pesada. Mas se a mesma pessoa hackear o sistema do banco, poderá sair livre ou pegar no máximo seis meses de prisão.

Na opinião do especialista, a melhor defesa ainda é investir em segurança como forma de minimizar os riscos de invasão, em vez de tentar levar o caso aos tribunais depois que o sistema foi comprometido.

1/7/2001 - 23:14 Giordani Rodrigues

Neste domingo, o grupo Brazil Hackers Sabotage (BHS) resolveu usar suas “habilidades” para fazer uma “corrente pra frente” para a seleção brasileira de futebol. Um dos integrantes do grupo, que se identificou por Tuk, invadiu a página de busca de El Pais, o jornal de maior tiragem do Uruguai, onde escreveu uma mensagem como torcedor e um palpite para o jogo das Eliminatórias Sul-Americanas.

Além de um trecho do conhecido hino da seleção, composto na época em o Brasil tinha apenas “90 milhões em ação”, Tuk arriscou: “Brasil 3x0 Uruguai”. Sua atitude, como se viu, não foi suficiente para garantir a vitória à seleção canarinho. O Brasil foi derrotado pelo Uruguai por 1 a 0.

Se no futebol o Brasil não está com “essa bola toda”, o mesmo não se pode dizer dos piratas nacionais que desfiguram páginas na Internet. Neste quesito, infelizmente o país é campeão do mundo. Só o BHS, cujas primeiras ações foram registradas há menos de três meses, já conta com 570 invasões em seu “currículo”, segundo o site especializado Alldas.de.

A página de El Pais passou o domingo inteiro alterada e até o momento da publicação desta notícia ainda se encontrava no mesmo estado. Para ver o espelho da invasão, clique aqui.

1/7/2001 - 13:59 Giordani Rodrigues

Na mesma página em que expôs as razões para ter atacado o site de Britney Spears, na sexta-feira, grazer ou wouter (como se identificou na ocasião) escreveu agora um pedido de desculpas pelo seu ato. “Sinto muito pelo que aconteceu, vou ‘dar um tempo’ da cena. Eu espero que vocês entendam que os rapazes da digit-labs não têm nada a ver com isso, eles são ‘white hats’ amigáveis, eu ‘pisei na bola’, desculpem”, diz aproximadamente a nota.

Digit-Labs é uma organização de hackers “white hats”, ou seja, que utilizam seus conhecimentos para o bem, e grazer era um de seus integrantes. Era, pois foi suspenso do grupo, segundo um e-mail enviado para InfoGuerra por teleh0r, responsável pelo site.

“Grazer foi o único membro da Digit-Labs que fez isso — e nós não sabíamos que ele iria fazer o que fez. Foi uma infantilidade, errada e ilegal. E eu não apóio de modo algum o seu ato”, escreveu teleh0r.

Segundo o e-mail, a equipe da Digit-Labs se reuniu com grazer e suspendeu-o do grupo. Ele então decidiu pedir desculpas na página www.digit-labs.org/britney.htm, a mesma que foi usada para explicar o porquê da desfiguração ao site de Britney Spears.

Teleh0r também explicou que Dimitri, a quem grazer se referiu na primeira mensagem, foi alguém que invadiu um site da Microsoft usando um programa previamente escrito para explorar a conhecida falha chamada unicode, que afeta os servidores Microsoft IIS.

Trata-se do hacker que desfigurou a página de eventos da Microsoft, em novembro do ano passado. Posteriormente, ele se identificou como holandês e utilizou o nome Dimitri em algumas entrevistas que deu. Na desfiguração, Dimitri disse que adorou o show de Britney Spears na Holanda. Você pode ver o espelho desta invasão, registrada por Attrition, e a reportagem sobre o episódio, publicada pelo IDG News, em inglês.

Caso a página com o pedido de desculpas de grazer seja retirada, você pode ver seu espelho aqui. A matéria de InfoGuerra sobre a invasão ao site de Britney Spears encontra-se no link abaixo:

Hacker invade site oficial da cantora Britney Spears