31/7/2003 - 19:19 Divulgação

O ex-coordenador geral de Tecnologia e Segurança de Informação da Secretaria da Receita Federal Pedro Luiz Cesar Bezerra admitiu ontem, em audiência pública na CPI da Serasa, que dados cadastrais da Receita podem estar sendo vendidos para a rede bancária. Ele explicou, no entanto, que a Serasa só tem acesso oficialmente, junto à Receita, a quatro tipos de dados cadastrais: nome, CPF, nome da mãe e data de nascimento.

Bezerra disse aos deputados que determinou a apuração das denúncias de que a Serasa estaria repassando dados da Receita a terceiros; e denunciou a possibilidade de irregularidades em convênio firmado entre a União e a Federação Brasileira de Bancos (Febraban) e intermediado pela Serasa.

Segundo ele, não se conseguiu comprovar a má utilização de informações pela Serasa, já que esses dados também estão disponíveis nas agências bancárias. Mesmo assim, a Receita Federal optou por cancelar o convênio, pois o Banco Central já havia se capacitado, por meio de sua Central de Riscos, para fornecer essas informações.

O técnico sustentou que não havia um contrato de exclusividade da Serasa na certificação de dados junto à Receita Federal, ao contrário do que havia dito Ariosto Rodrigues Júnior, ex-chefe do Serviço de Relacionamento com o Usuário, órgão interno da Receita.

Fonte: Agência Câmara de Notícias

30/7/2003 - 22:47 Redação/Divulgação

O Plenário da Câmara dos Deputados aprovou nesta quarta-feira (30/07), em sessão extraordinária, o projeto de lei 5460/01, do Senado, que estabelece como crime a divulgação da imagem de crianças e adolescentes em cenas de sexo explícito ou simulação sexual na Internet, em revistas ou em qualquer outro meio visual. A proposta altera o Estatuto da Criança e do Adolescente (lei 8069/90), que só prevê como crime a divulgação dessas imagens por televisão, cinema e teatro.

A proposta aprovada foi o substitutivo apresentado pelo deputado Antônio Carlos Biscaia (PT-RJ), que relatou a matéria da Comissão de Constituição e Justiça e de Redação. Outra alteração que o projeto determina é o aumento da pena para esses casos ― que, dos atuais um a quatro anos de reclusão mais multa, passaria para dois a seis anos de reclusão e multa.

Incorre na mesma pena aquele que contracenar com o menor, agenciar a participação, divulgar, assegurar o acesso ou os meios de armazenagem dessas imagens. Em todos esses casos, a pena mínima é aumentada para três anos se o agente cometer o crime prevalecendo-se do exercício de cargo ou função, ou se o cometer com o fim de obter vantagem patrimonial.

A divulgação das letras iniciais dos nomes de criança ou adolescente envolvido em infrações também é proibida pelo projeto aprovado. A proposta ainda tipifica o crime de exploração de criança ou adolescente sob guarda, vigilância ou autoridade, com o fim de obter vantagem patrimonial. A pena prevista é de reclusão de dois a seis anos.

Fonte: Agência Câmara

30/7/2003 - 17:30 Redação

O primeiro semestre de 2003, de um modo geral, foi bastante tranqüilo em relação às atividades dos vírus, segundo avaliação da Panda Software. No entanto, nestes seis meses houve epidemias importantes, causadas por worms como SQL Slammer e Bugbear.B.

O período mencionado pode ser classificado como de transição, durante o quel emergiram novas tendências de vírus. Durante os primeiros cinco meses do ano, o Klez.H (ou Klez.I, como também é chamado pela Panda) manteve-se na liderança do ranking dos vírus mais freqüentemente detectados. Mas o Bugbear. B, que causou vários estragos no mês de junho, assumiu o topo da lista.

Os códigos maléficos híbridos classificados como worm/trojans também tiveram destaque na primeria metade do ano. Como o nome indica, os worm/trojans reúnem características próprias, que oferecem o dobro de perigo. A exemplo dos worms, são capazes de se propagar rapidamente utilizando o correio eletrônico e outros recursos de redes, mas também agregam funções dos cavalos de Tróia, que permitem a execução de ações como controlar portas de comunicações do computador infectado. Isto facilita o acesso de crackers ao sistema atingido e o roubo de informações confidenciais do equipamento, tais como bases de dados de clientes, números de contas bancárias ou de cartões de crédito, entre outras.

Também é necessário mencionar o SQL Slammer, representante de uma nova geração de vírus que se transmite diretamente através da Internet, aproveitando uma vulnerabilidade de um software de uso habitual. No caso mencionado, tratava-se de uma falha em servidores SQL, que foram afetados em grande escala no início do ano, chegando a provocar uma queda generalizada de servidores na Internet.

Isso demonstra a necessidade de adoção de medidas preventivas contra as ameaças, e não apenas corretivas. Para deter as ações dos vírus de última geração não basta simplesmente detectá-los quando já estão instalados no computador. É necessário impedir sua entrada no sistema, protegendo as portas de comunicação do equipamento. Uma medida simples e eficaz é a instalação de um firewall pessoal. Trata-se de um software capaz de detectar e bloquear qualquer tipo de atividade incomum no computador.

Leia também:

O que são códigos maléficos híbridos

O que são vírus, worms e trojans

30/7/2003 - 16:51 Omar Kaminski

O deputado federal Ronaldo Vasconcellos (PTB/MG) apresentou em plenário, ontem (29/07), projeto de lei que dispõe sobre a regulamentação das profissões na área de informática e suas correlatas, assegurando ampla liberdade para o respectivo exercício profissional.

Segundo o parlamentar, prevaleceu até o momento no Brasil, "com muito sucesso", a prática dos países mais bem-sucedidos em Informática, que é a de permitir o livre exercício da profissão, sem qualquer tipo de regulamentação ou restrição à liberdade individual de trabalho. "É assim nos Estados Unidos, Inglaterra, França, Canadá e Espanha, para citar alguns dos mais importantes na área", justificou.

Para ele, a exigência de diplomas ou outros documentos indicadores de qualidade deve ser facultada às entidades contratantes, e não uma obrigação legal. "O exercício da profissão na área de Informática deve continuar sendo livre e independente de diploma ou comprovação de educação formal, e nenhum conselho de profissão pode criar qualquer impedimento ou restrição a este princípio", disse o deputado, invocando o artigo 5º, inciso XIII, da Constituição Federal.

"A Informática é como o idioma nacional de um povo, sendo, em alguma medida, usada por toda a população no seu dia-a-dia. Assim, da mesma forma que todos devem ter liberdade para ler, escrever e falar, o desenvolvimento e uso da tecnologia da informação não podem ficar restritos a uma classe de cidadãos. É essencial para o País a participação de todos os profissionais liberais e técnicos de todos os níveis para o pleno desenvolvimento da Informática nacional", enfatizou.

Entretanto, Vasconcellos reconhece que a tradição brasileira privilegia a existência de algum órgão fiscalizador que, de alguma forma, garanta a qualidade do exercício profissional. "Para atender este requisito sem ferir os princípios fundamentais da liberdade individual ao trabalho, entendemos que, em analogia com o que ocorre no setor publicitário, onde atua o Conar, as entidades organizadas do setor de Informática, representativas dos trabalhadores, de empresas e da comunidade científica de ensino e pesquisa em Computação poderiam e deveriam, a exemplo dos publicitários, livremente constituir um Conselho de Auto-Regulação". Segundo Vasconcellos, este órgão deve obrigatoriamente diferir dos tradicionais conselhos de profissão nos seguintes aspectos:

1) a função deste Conselho seria primordialmente o controle de qualidade das atividades profissionais e monitoramento de possíveis desvios de conduta ética;
2) o Conselho de Auto-Regulação, por ser o resultado de um ato espontâneo da Sociedade, sem aprovação formal no Congresso Nacional, não teria poder de sanção penal, mas somente as de cunho moral e ético;
3) o Conselho de Auto-Regulação teria o compromisso de criar, rever e divulgar periodicamente à Sociedade padrões de referência de qualidade que poderiam ser exigidos dos profissionais pela Sociedade;
4) não haveria obrigatoriedade de registro de qualquer espécie neste Conselho, nem para indivíduos e nem para empresas; e
5) o Conselho não teria poderes para emitir Resoluções Normativas restringindo a liberdade de quem quer que seja.

O parlamentar petebista acredita que a aprovação da proposta e a criação do Conselho de Auto-Regulação pela sociedade civil, representada por suas entidades organizadas, "proverão todas as garantias de liberdade e qualidade necessárias ao desenvolvimento nacional do setor de Informática", fazendo justiça à "classe dos profissionais que construíram o mercado e a indústria de Informática no País e fizeram desta atividade um dos empreendimentos nacionais mais bem-sucedidos".

Leia a íntegra do projeto, aqui.


Omar Kaminski é advogado especializado em Direito da Informática e responsável pelo site Internet Legal.

30/7/2003 - 14:58 Redação

O número de incidentes sérios de segurança digital, no segundo trimestre de 2003, cresceu 13,7% em relação aos três primeiros meses do ano. A informação consta do Relatório IRIS (Internet Risk Impact Summary, ou Resumo de Impacto de Risco na Internet) elaborado pela Internet Security Systems (ISS), uma das principais empresas de segurança da informação no mundo.

O relatório prevê um crescimento no risco de ataques a usuários que utilizam acesso em banda larga de escritórios montados em casa, a tecnologias sem fio, compartilhamento de arquivos e aplicações de mensagem instantâneas. A publicação trimestral afirma ainda que 24,5% dos ataques acontecem aos sábados e domingos.

Os pesquisadores da X-Force ― equipe de especialistas da ISS ― atribuem o crescimento dos incidentes registrados ao alto número de ameaças sobre vulnerabilidades conhecidas mas não corrigidas pelos departamentos de Tecnologia da Informação (TI) das empresas.

As amostras estatísticas do relatório são colhidas em quatro continentes e representam os principais setores da indústria, banco e seguros, telecomunicações, varejo, entretenimento, saúde, governos, transportes e aviação, e tecnologia de informação. Os setores mais atingidos por ataques nos últimos três meses foram: serviços (24,23% dos incidentes); serviços financeiros e de seguros (19,43%) e varejo (15,69%).

Os protocolos mais visados pelos atacantes foram: HTTP, SNMP, SMTP e FTP. Enquanto FTP e HTTP ainda estão entre os 10 principais alvos de ataques, os incidentes relacionados a estes protocolos diminuíram 46% e 96%, respectivamente, nos últimos seis trimestres. Isto se deve provavelmente às correções de códigos-base vulneráveis e melhores proteções nas portas FTP e HTTP em particular.

O relatório IRIS relativo ao segundo trimestre de 2003 está disponível para download gratuito em https://gtoc.iss.net. Para maiores informações sobre proteção e segurança, incluindo estratégias contra ameaças híbridas, a ISS fornece outros documentos aqui.

29/7/2003 - 13:52 Redação/Divulgação

Três novos cavalos de Tróia foram descobertos nos últimos dias, alerta a McAfee. Batizados de Backdoor-AXQ, Backdoor-AXR e Downloader-DK, as três ameaças comprometem a segurança das máquinas em que forem instalados, possibilitando a um cracker executar arquivos e controlar o sistema remotamente.

O Backdoor-AXQ se espalha manualmente e pode chegar ao usuário com o nome winrcLoader.exe, mas outros nomes e extensões de arquivos também são possíveis. O trojan abre a porta TCP 1976 e permite a um atacante remoto executar várias tarefas no sistema infectado, entre as quais: efetuar o download de arquivos; executar programas; interromper processos em execução; fazer o upload de arquivos; remover o cavalo de Tróia; reiniciar o sistema.

Quando executado, o Backdoor-AXQ descarrega no diretório de instalação do Windows os seguintes componentes: winrc.htm, de 130 bytes; winrc.dll, com 28.672 bytes e winrcobj.dll, com 126.976 bytes. Finalmente, o trojan cria algumas chaves de registro que garantem a sua execução.

Já o cavalo de Tróia Backdoor-AXR possui algumas "versões". Ao se instalar em um sistema, o programa se conecta a uma URL, deixando o sistema vulnerável. Dessa forma, o cracker pode efetuar o upload de arquivos ou executar scripts remotamente na máquina afetada.

Os seguintes arquivos são descarregados no sistema pelo Backdoor-AXR: coniew.dll, netipc32.dll e mswinsck.ocx. A McAfee informa que durante suas análises foi observado que as portas 3558 e 3559 são abertas pelo cavalo de Tróia, mas isso pode variar. O trojan também modifica uma chave de registro para que seus códigos sejam carregados na inicialização do sistema.

O Downloader-DK, descoberto no dia 25 de julho, é um cavalo de Tróia recentemente criado por um arquivo HTML, enviado como spam a muitos endereços de e-mail. O formato da mensagem que o carrega é o seguinte:

Remetente: Admin <ADMIN@SECURITY.ORG>
Assunto: Re:
Corpo da Mensagem:
Hello , (endereço de email)
New windows bug was detected , details in readme.htm file (attached) !
This is not spam ! , you get this letter because you are member of www.security.org
Anexo: readme.zip

O anexo compactado contém o arquivo README.HTML, detectado pelos antivírus da McAfee como uma variante do Exploit-Codebase. O arquivo HTML cria e executa o Downloader-DK, com o nome de aaa.exe, em sistemas vulneráveis. No momento em que isto ocorre, a seguinte janela é exibida na tela:


O arquivo executável ainda se conecta a um servidor Web para baixar um arquivo denominado ksp.exe, salvando-o no sistema local como mshex.exe e executando-o. Este arquivo é detectado como "New Malware.b".

No momento, essas novas ameaças estão sendo consideradas de baixo risco no Brasil e no mundo.

29/7/2003 - 4:06 Redação/Divulgação

O Instituto Brasileiro de Tecnologia Avançada (IBTA) promove, nesta quarta-feira, dia 30, evento gratuito sobre a plataforma Linux. Serão duas palestras desenvolvidas para quem quer saber mais sobre software livre. O objetivo do evento é apresentar um dos casos mais bem-sucedidos do sistema aberto e discutir sobre uma das mais novas ferramentas da plataforma Linux, LVM ― Logical Volume Management.

A primeira palestra tem o tema "Software Livre no Metrô-SP - Economia com Qualidade", e será apresentada por Gustavo Mazzariol, gerente de Informática e Tecnologia da Informação do Metrô de São Paulo. Mazzariol deverá discorrer sobre o que o Metrô-SP tem feito e lucrado usando soluções baseadas em software livre, como estão sendo enfrentadas as questões de cultura, segurança, compatibilidades e convivência com produtos proprietários e quais os riscos calculados com a adoção de aplicativos, sistemas operacionais e bancos de dados em código aberto.

A segunda palestra ― "LVM e Sistemas de Arquivos com Jornal em Sistemas GNU/Linux" ― está a cargo do gerente de Tecnologia do Colégio Bandeirantes de São Paulo, Eduardo Maçan. A palestra vai abordar o funcionamento de sistemas de armazenamento em massa e sistemas de arquivos em Unix, com ênfase para o XFS, produzido pela Silicon Graphics e disponível para uso com GNU/Linux. Também será apresentado o sistema de gerenciamento de volumes lógicos (LVM), atualmente presente no kernel estável, e seu funcionamento na prática.

As palestras serão apresentadas das 19h às 21h30, no Hotel NH Della Volpe, localizado na Rua Frei Caneca, 1199, próximo à estação de metrô Consolação, na cidade de São Paulo. Como o evento é gratuito e as vagas são limitadas, o interessado deverá fazer reserva pelo telefone (11) 5081-9700.

29/7/2003 - 3:11 Guilherme Cestarolli Seleguim

O desfile do Cavalo de Tróia na cidade, óleo sobre tela de Giovanni Domenico Tiepolo. Reprodução

Na Mitologia, Ulisses desenvolveu todo o plano do Cavalo de Tróia. Mas quem são os autores desses temidos programas que tanto assolam a Internet? Na maioria das vezes, são pessoas que conhecem muito bem redes de computadores, linguagens de programação e sistemas operacionais, comumente conhecidos como hackers e crackers. Mas, atualmente, ninguém precisa ser um hacker ou cracker de alto nível para poder construir um cavalo de Tróia.

Com a grande quantidade de informações disponíveis para pesquisa e linguagens de programação visuais e orientadas a objeto, que encapsulam toda a complexidade da programação dentro de componentes, o desenvolvimento se torna muito rápido. Se os gregos tivessem todos esses recursos somados a um notebook ligado à Internet, teriam acabado com a guerra contra Tróia muito antes dos dez longos anos de sua duração...

Provavelmente, após Ulisses ter tido a idéia do Cavalo de Tróia, ele procurou meios para construí-lo. Fez um pequeno rascunho do formato e das dimensões. Mandou chamar os melhores marceneiros e lhes explicou o que deviam fazer. Buscaram então madeira, pregos e martelos e, assim, começaram a construção. Essa pode ter sido a maneira escolhida por Ulisses para construí-lo. Como é então construído o cavalo de Tróia para um ambiente computacional?

Da Mitologia à atualidade, muito tempo se passou e as ferramentas de desenvolvimento também não são as mesmas. As ferramentas, antes rudimentares e de produção artesanal usadas pelos gregos da época, transformaram-se em poderosas linguagens de programação. Podemos citar aqui algumas delas, como Java, C++, Kylix, Delphi, Visual Basic, dentre tantas outras disponíveis no mercado.

Analisando os motivos da lendária guerra contra Tróia, percebemos que esta se deu devido ao rapto de Helena pelos troianos, incentivando os gregos a batalharem para resgatá-la. Após muitos anos de guerra, a astúcia do grego Ulisses foi posta à prova, quando então teve a brilhante idéia do Cavalo de Tróia. Portanto, os gregos tinham um objetivo muito claro: resgatar Helena e vingar a morte de milhares de soldados nos dez anos de batalha.

Mas aqui chegamos num ponto crítico de nossa analogia: onde está o servidor de nome "Helena" que precisa ser salvo? Sabemos que em um ambiente computacional não podemos fazer a mesma comparação. Porém, security officers de todo o mundo sabem muito bem porque hackers e crackers atacam. Quase nunca têm objetivos concretos como o dos gregos.

Quando se trata do uso de cavalos de Tróia por hackers e crackers, um dos motivos que me vêm à mente é o da espionagem industrial. Numa época de tanta competitividade, o know-how é imprescindível para tomadas de decisões, que se refletirão no desempenho das corporações para os próximos anos. Portanto, se a minha empresa souber das estratégias da sua, poderei usar as suas informações e tirar proveito da situação, saindo na frente numa disputa de mercado, num determinado segmento de produtos, por exemplo.

A aplicação de um cavalo de Tróia pode ter inúmeros motivos, mas security officers, administradores e mesmo usuários domésticos devem ter grande atenção para um ponto de extrema importância: Você percebe que está infectado por vírus devido a alterações no comportamento de seu sistema operacional, mas quando um cavalo de Tróia está instalado, o invasor está conectado, roubando seus arquivos e você nem imagina o que está realmente acontecendo.

Guilherme Cestarolli Seleguim é acadêmico do curso de Análise de Sistemas da PUC de Campinas

Leia também:

O que são vírus, worms e trojans

Categorias de vírus - os Trojans

Presente de Grego

29/7/2003 - 1:26 Redação/Divulgação

A Trend Micro e sua parceira PBI promovem hoje, dia 29 de julho, uma palestra sobre o Spam Prevention Service, novo serviço anti-spam recém-lançado no Brasil. A apresentação ocorrerá no Hotel Sheraton de Porto Alegre, no Rio Grande do Sul, das 13h30 às 18 horas.

O evento é direcionado aos gestores de tecnologia de segurança e contará com a presença do diretor da Trend Micro no Brasil, Miguel Macedo, que falará também sobre a Estratégia de Proteção Corporativa (EPS).

As inscrições são gratuitas e podem ser feitas pelo e-mail eventopbi@efficacia.com.br ou pelo telefone (51) 3333-3644. Os primeiros 100 inscritos participarão do sorteio de duas câmeras fotográficas digitais, oferecidas pela PBI.

25/7/2003 - 14:36 Redação InfoGuerra

O site InfoGuerra fechou parceria com a Livraria Tempo Real, especializada em livros da área de informática. O acordo, realizado durante o último Fórum Internacional de Software Livre, em Porto Alegre, no Rio Grande do Sul, prevê que os livros apresentados em InfoGuerra serão comercializados exclusivamente pela Livraria Tempo Real. Em contrapartida, os leitores do site serão beneficados com descontos e promoções.

O público contará ainda com uma resenha mensal sobre livros da área de segurança. A primeira resenha ― uma análise do livro A Arte de Enganar, do hacker Kevin Mitnick ― foi produzida pelo consultor de segurança Marcos Machado e já pode ser lida aqui. Vales-livros e cupons de desconto também estarão disponíveis para o público do site, nas próximas semanas.

"Para a Tempo Real, a parceria com o InfoGuerra é uma decorrência natural do processo de afirmação no mercado de informação em TI", comentou André Wolff, diretor da Livraria Tempo Real. "O InfoGuerra tem, há tempos, colaborado com a comunidade de segurança apresentando informações precisas e atualizadas. Agora, com a parceria da Tempo Real, o site poderá oferecer aos leitores resenhas dos livros mais interessantes lançados recentemente no mercado nacional e a possibilidade de consulta na nossa base de dados, o maior acervo de livros de TI do país", completa.

"Já há algum tempo vínhamos pensando em propor uma parceria à Livraria Tempo Real, e o encontro em Porto Alegre serviu para catalisar interesses mútuos", revela Giordani Rodrigues, diretor-editor do site InfoGuerra. "O bom conceito de que a livraria goza no mercado de TI e o fato de possuir seções especializadas em livros de segurança de redes e na Internet tornam o acordo muito interessante para nossos leitores, que poderão contar com mais este diferencial de qualidade".

25/7/2003 - 14:23 Marcos Machado

Neste livro, Kevin Mitnick mostra que não é preciso chips nem tomadas para fazer invasões.

Kevin Mitinick se tornou um ícone de uma geração de hackers que jamais vão esquecer suas façanhas, seus acessos a documentos secretos, seus roubos e suas invasões.

Livre da condicional desde janeiro deste ano, Mitnick, até então um dos mais famosos hackers do mundo, responsável por uma das mais exaustivas perseguições do FBI, dono de um currículo em que constam documentos ultra-secretos de empresas de telefonia e códigos-fontes de sistemas operacionais, entre outras coisas, transformou-se em um dos mais requisitados profissionais de segurança do planeta.

Durante sua liberdade condicional, ainda sem poder usar computadores (um amigo lia seus e-mails), o que excluiu quase que totalmente qualquer artefato do mundo moderno, Kevin chamou a atenção para o fato de que não é preciso chips nem tomadas para fazer invasões. É sobre isto que escreve em "A arte de enganar", livro no qual traduz o método mais eficaz para se comprometer a segurança de um sistema de informação: a engenharia social.

Burlar a tecnologia é a palavra de ordem. Ir de encontro a sistemas de centenas de milhares de dólares, com firewall, IDS, criptografia, autenticação forte, etc., para obrigá-lo a fazer o que você quer, pode parecer menos inteligente do que se digirir a um funcionário, quando seu treinamento não custou nem uma fração deste ferramental. Afinal, ele pode acessar todos os dados de que você precisa. Basta saber pedir.

Enquanto esteve preso, vários autores contaram a história de Kevin, esmiuçaram sua vida e tentaram explicar sua técnica, mas nenhum deles o fez de forma satisfatória. Mitnick percebeu isto e optou por escrever um livro prático e didático. Para quem esperava um último capítulo para a história de crimes, uma justificativa ou uma réplica, depara-se, em vez disso, com uma extensa lista de golpes, a princípio não relacionados com os que de fato ocorreram em sua "carreira", mas todos muito bem ilustrados e adaptáveis.

Na primeira parte do livro, que se alonga por cerca de dois terços do conteúdo apresentado (o que o torna meio repetitivo), temos o que poderíamos chamar de "o manual do 171 moderno". Diversas histórias contadas sob nomes fictícios relatam, em forma de scripts, o caminho de um engenheiro social em busca de informações. Apesar das tentativas do autor em não dar nomes aos bois, é impossível deixar de perceber a semelhança com histórias do seu próprio passado, como, por exemplo, o fato de ele ter usado escritórios de fotocópias para receber, anonimamente, fax com informações sigilosas enquanto fugia da polícia.

O mais espantoso em todos estes relatos é que, se eles não são todos verdadeiros, poderiam ser. De fato! O que chamaríamos de falta de bom senso ou excesso de confiança, o engenheiro chama de oportunidade única. Em explicações detalhadas (em demasia, até) sobre as trapaças, Kevin deixa claro que não é preciso ter nenhum conhecimento específico além de saber lidar com pessoas. Todo o resto é conseguido na base da conversa. A máxima que diz "a maneira mais fácil de se descobrir uma informação é perguntando" está, em cada parágrafo, sendo jogada na nossa cara.

Como em um tutorial, aprendemos a forçar uma resposta para as perguntas mais inusitadas, seja apelando para a benevolência, intimidando ou implorando por ajuda. Vemos técnicas, por exemplo, em que o atacante cria um problema e surge como o melhor amigo da vítima para resolvê-lo. Cria-se um vínculo forte o suficiente para que ela passe a confiar nas suas instruções e, a partir deste ponto, a vítima já não tem mais o controle da situação.

Mecanismos mentais como este estão presentes em todas as pessoas, esperando somente que um bom engenheiro social os ative. As técnicas são simples, semelhantes aos textos encontrados em livros sobre como vender ou negociar. Persuadir, comover, convencer. A diferença é que o engenheiro social não precisa de ética.

Este não é um livro teórico sobre segurança da informação, nem um livro totalmente prático. Seu enredo mistura dicas diluídas nas histórias, algumas delas óbvias, outras que fazem acender uma lâmpada: "Mas é claro, como nunca tinha pensado nisso?". Você realmente se flagra, hora na pele do engenheiro, hora na pele da vítima, tentando se safar daquela situação.

A péssima tradução arranha um pouco o prazer na leitura de suas histórias, obrigando-nos, às vezes, a reler um mesmo parágrafo diversas vezes, até conseguirmos captar a idéia original. Apesar do auxílio do escritor profissional William L. Simon, o texto do livro segue um padrão confuso, devido, em parte, ao modo muito particular de Kevin articular suas idéias. Dono de um raciocínio veloz, muitas vezes nos confunde com trechos atemporais, difíceis de serem concatenados na história. Pode-se notar esta minúcia no livro O Jogo do Fugitivo: em linha com Kevin Mitnick, em que o jornalista Jonathan Littman transcreve horas de conversa telefônica com o hacker, durante sua caçada.

Além dos relatos das fraudes, Mitnick explica seu funcionamento e identifica, em cada história, o ponto fraco usado no ataque. Todos os termos mais técnicos são explicados detalhadamente para que o mais completo leigo em tecnologia de segurança consiga acompanhar a lógica da trapaça.

Isto denota uma preocupação do livro em se adequar ao nível de conhecimento daqueles cuja leitura se faz obrigatória: chefes de departamentos, gerentes de comunicação, de atendimento e de treinamento. É para estes profissionais e para os security officers das grandes empresas que a última parte do livro é dedicada, apresentando um eficiente esqueleto para auxiliar na montagem de uma política contra este tipo de invasão.

Mesmo que sejam tratadas de forma muito introdutória, as questões da segurança corporativa da informação voltadas para o aspecto da engeharia social e, principalmente, a abordagem da política de segurança, tornam o livro único e indispensável na prateleira de qualquer organização. Leitura obrigatória para os profissionais responsáveis por evitar que uma pessoa qualquer pegue o telefone, roube suas informações mais críticas e desapareça incólume.

Na época em que Kevin foi preso, alegou que as autoridades lhe negaram o direito a um telefonema. Mais tarde, brincou, imaginando que os policiais estavam com medo de que ele pudesse lançar algumas ogivas nucleares apenas assobiando ao telefone. Após ler seu livro, você começa a imaginar que talvez estes policiais tivessem razão.

A Arte de Enganar - Kevin D. Mitnick e William L. Simon - Editora Makron Books/Pearson Education - 284 pgs. - R$ 59,00. Para comprar este livro, clique aqui.

Marcos Machado é analista de segurança com pós-graduação em redes de computadores e Internet e coordenador do fórum InfoSecurity Task Force.

25/7/2003 - 11:31 Redação

A Livraria Tempo Real, em parceria com a Faculdade de Informática e Administração Paulista (FIAP), promove nos dias 2 e 3 de agosto o evento "Linha de Frente", dedicado à segurança da informação. Na ocasião, profissionais da área de segurança com bagagem prática e teórica apresentarão oito palestras divididas em três grupos temáticos: proteção, detecção e reação.

O evento é destinado a administradores de rede e profissionais de segurança da informação. O objetivo é a apresentação de conteúdo relevante por diversos especialistas brasileiros, demonstrando técnicas e ferramentas que ajudem o dia-a-dia dos administradores em suas tarefas. O conteúdo foi elaborado de forma a que os participantes se envolvam em discussões sobre diversos aspectos dos incidentes de segurança.

Abrindo o evento, o jornalista Giordani Rodrigues, fundador e editor do site InfoGuerra, apresentará a palestra "Engenharia social, a técnica de 'crackear' pessoas", em que abordará os truques usados por atacantes para quebrar a segurança de sistemas corporativos e domésticos convencendo as pessoas a ajudar-lhes. No final das apresentações, haverá uma mesa redonda intitulada "Panorama da criminalidade informática no Brasil", com advogados especialistas em direito da informática, entre os quais Omar Kaminski, colaborador de InfoGuerra. A programação completa pode ser vista aqui.

Há um número limitado de 400 vagas e não serão aceitas inscrições durante o evento. Os participantes receberão além da camiseta do evento um certificado contendo a carga horária e o material das apresentações impresso. Para saber como chegar à FIAP, basta visitar o site da instituição. Para obter mais informações e acessar o formulário de inscrição clique aqui.

22/7/2003 - 18:10 Giordani Rodrigues

O risco apresentado pelo exploit (software) criado para atacar redes com o sistema Cisco IOS vulnerável a uma falha anunciada na semana passada foi aumentado para grau três, em uma escala que chega até quatro, segundo critérios da empresa de segurança Symantec. A falha, considerada grave, abre brechas para ataques remotos de negação de serviço (DoS), que podem derrubar uma rede inteira. O exploit foi postado em uma lista pública de correio eletrônico no último dia 18.

A Symantec aplica o nível de risco três quando uma ameaça isolada à infra-estrutura de computação está a caminho. A empresa recomenda que as organizações de tecnologia da informação aumentem a monitorização, a implementação e a reconfiguração de seus sistemas de segurança. O índice da Symantec anteriormente foi elevado para três em resposta a códigos como CodeRed, SQL Slammer e BugbearB.

A empresa ainda não registrou qualquer tentativa de automatização do exploit, com o objetivo de atacar uma ampla faixa de endereços IP, mas afirma que seu centro de resposta continuará a monitorar quaisquer atividades incomuns.

A vulnerabilidade em questão afeta equipamentos da Cisco, como roteadores e switches, que utilizem o sistema Cisco IOS ainda não atualizado e manipulem pacotes de dados sob o protocolo IPv4 (Internet Protocol versão 4), padrão para estes equipamentos. Os administradores de redes que estão usando versões vulneráveis do Cisco IOS estão sendo aconselhados a aplicar imediatamente as correções correspondentes.

Produtos da Symantec, como Enterprise Firewall, Gateway Security e VelociRaptor bloqueiam os pacotes de dados apontados para a vulnerabilidade do IPv4. Outra empresa de segurança, a Foundstone, lançou o SNScan v1.05, uma ferramenta gratuita para detecção de sistemas Cisco vulneráveis. A ferramenta e detalhes sobre seu funcionamento podem ser encontrados aqui.

Leia também:

Falha no Cisco IOS pode derrubar redes

22/7/2003 - 6:08 Giordani Rodrigues

Depois de Silvio Santos ter sido alvo de boatos pela Internet e fora dela, sua imagem e seu nome agora estão sendo usados em golpes na rede. Uma mensagem fraudulenta oferecendo a oportunidade de participar do Show do Milhão, conhecido programa do apresentador, é o golpe da semana. Mas em vez de trazer um trojan para roubar senhas bancárias, como tem sido comum, o e-mail leva a um link com o vírus Chernobyl, altamente destrutivo.

A mensagem é uma variante do falso Big Brother Brasil 4 (leia aqui). Em vez de um programa da Globo, traz um do SBT, mas o texto e os erros gramaticais ("O sbt.com esta fazendo uma alto seleção de candidatos") são idênticos. Para participar do falso Show do Milhão, o destinatário da mensagem deve baixar e preencher um "formulário", presente em http://www.gratisweb.com/donwloads2004/donwload.exe.

O arquivo executável é o vírus W95/CIH.1003a , segundo exame com o antivírus WebImmune da McAfee, ou W95/CIH, de acordo com o Panda ActiveScan. Estes são os nomes técnicos do Chernobyl, vírus criado em meados de 1998, em Taiwan, e bastante famoso por sua carga destrutiva. A variante encontrada na GratisWeb.com é a original, cuja data de ativação se dá em 26 de abril (data do acidente nuclear da usina de Chernobyl, daí o nome do vírus) e que é capaz de sobrescrever a Flash BIOS das máquinas infectadas, impedindo um novo boot (reinício do sistema).

Não se sabe se o vírus foi colocado no servidor por um cracker especialmente mal-intencionado, ou era um trojan que foi contaminado pelo Chernobyl, já que este código maléfico tem a capacidade de infectar arquivos executáveis. O fato é que o arquivo ainda estava no ar até o momento de publicação desta matéria e você não deve baixá-lo para seu computador. Para ver uma cópia da mensagem fraudulenta, clique aqui.

Golpe na Agência Estado

A Agência Estado também tem sido alvo de crackers nos últimos dias. O leitor Alexander Molinari enviou à redação InfoGuerra, nesta segunda-feira, uma mensagem que ele recebeu com a oferta de um suposto software chamado All Time, que possibilitaria a leitura das notícias do Estadão no desktop.

O arquivo, que estava hospedado em www.meumundo.americaonline.com.br/promocaopesquisa/Alltime.exe, já não está mais no ar, mas ainda tivemos tempo de baixá-lo e analisá-lo. A McAfee identificou o arquivo como um trojan multidropper (trojan que descarrega outros) e a Panda como o trojan Small.F, que tem a mesma função, ou seja, descarregar outros arquivos maléficos, possivelmente programas-espiões para roubar senhas.

22/7/2003 - 2:51 Omar Kaminski

O senador Delcídio Amaral (PT/MS) apresentou, em 15 de julho, projeto de lei que determina a manutenção, pelos provedores dos serviços de correio eletrônico, de cadastro dos titulares das contas de e-mail e das datas e horas em que foram usadas. De acordo com a justificativa do projeto, o registro das comunicações seria feito "de forma semelhante ao registro das ligações telefônicas interurbanas".

Segundo o senador, o objetivo do projeto é propor uma "ação de antecipação", implementando "medidas simples" para evitar o uso das novas tecnologias de correio eletrônico em ações criminosas. Ele diz ter plena convicção de que "em breve, os criminosos farão uso do e-mail para os mais hediondos e repugnantes fins, se já não o fazem no presente momento".

O projeto estabelece que os prestadores dos serviços de correio eletrônico serão co-responsáveis pela veracidade das informações nos cadastros, e sugere que haja o compartilhamento dos dados com outras instituições, "tais como outros provedores ou empresas telefônicas", mesmo diante de expressa menção à garantia constitucional do sigilo das comunicações. Pelo teor da proposição, os prestadores terão 90 dias para regularizar as contas existentes, e deverão armazenar extratos por 10 anos retroativos à solicitação. Em caso de descumprimento, caberá multa não inferior a R$10 mil, e a competência fiscalizadora será da Anatel.

"Temos plena consciência das limitações deste projeto, em função da característica da internet e por seu alcance global", justificou o senador. Mas para ele, a aprovação do projeto será "de um pioneirismo mundial e servirá de base para outros países que lutam contra organizações criminosas ou terroristas, como vem acontecendo atualmente com os Estados Unidos", e o Itamaraty poderá utilizar a iniciativa para uma série de debates e acordos internacionais.

A proposta será encaminhado à Comissões de Educação, e de Constituição, Justiça e Cidadania, iniciando sua tramitação a partir de 1º de agosto.

Leia a íntegra:

PROJETO DE LEI DO SENADO Nº 279, DE 2003

Dispõe sobre a prestação dos serviços de correio eletrônico, por intermédio da rede mundial de computadores - Internet, e dá outras providências.

O Congresso Nacional decreta:

Art. 1º Os prestadores dos serviços de correio eletrônico, por intermédio da rede mundial de computadores - Internet, deverão manter um cadastro detalhado dos titulares de suas respectivas contas.

§ 1º Entre outras, deverão ser cadastradas as seguintes informações:

a) Pessoas Físicas: nome completo; endereço residencial; número do documento de identidade, data de expedição e Órgão Expedidor; e número do Cadastro de Pessoa Física - CPF junto à Secretaria da Receita Federal;

b) Pessoas Jurídicas: razão social; endereço completo; número do Cadastro da Pessoa Jurídica - CNPJ junto à Secretaria da Receita Federal.

§ 2º Os prestadores dos serviços de correio eletrônico são co-responsáveis pela veracidade das informações constantes em seus cadastros, podendo valer-se de informações compartilhadas com outras instituições.

Art. 2º Os prestadores dos serviços de correio eletrônico terão um prazo de noventa dias a partir da vigência desta lei, para regularizar as contas atualmente existentes.

Parágrafo único. As contas não regularizadas no prazo determinado no caput, deverão ser imediatamente canceladas.

Art. 3º É garantido o sigilo das comunicações realizadas por intermédio dos serviços de correio eletrônico, em conformidade com a Constituição Federal.

Art. 4º Nos termos da legislação em vigor, os prestadores dos serviços de correio eletrônico deverão apresentar à autoridade competente, quando requisitado, um extrato das comunicações eletrônicas realizadas por uma conta específica, por um período de tempo determinado, retroativo até 10 anos da data da solicitação, informando o destinatário ou remetente das mensagens, a data e a hora de seu envio ou recebimento e a identificação do computador ou terminal que efetuou o acesso à conta de correio eletrônico.

Art. 5º O não-cumprimento do disposto nesta lei, sujeitará o prestador dos serviços de correio eletrônico a uma multa não inferior a R$10.000,00 (dez mil reais).

Art. 6º Compete à Agência Nacional de Telecomunicações - ANATEL fazer cumprir o disposto nesta lei.

Art. 7º Esta lei entra em vigor na data de sua publicação.


Omar Kaminski é advogado especializado em Direito da Informática e responsável pelo site Internet Legal.

21/7/2003 - 20:39 Redação/Divulgação

O brasileiro Christiano Anderson, de 24 anos, foi designado pelo hacker norte-americano Richard Stallman, presidente da Free Software Foundation (FSF), para ser o mantenedor do Diretório GNU ― junto com outras cinco pessoas que já desempenham a função no mundo. Christiano é membro do Projeto Software Livre RS, nasceu em São Paulo e mora há quatro anos em Porto Alegre.

O Diretório GNU armazena programas livres e protegidos pela licença GPL (General Public License). Christiano terá a tarefa de avaliar quais programas pertencerão ao Projeto GNU, se todos os códigos, dependências e bibliotecas ― que serão enviados para ele por e-mail por uma comunidade de centenas de colaboradores de diversas partes do planeta ― se enquadram na licença GPL, a qual determina que todas as modificações feitas em um código-fonte devam ficar disponíveis para todos, caso os programas sejam ofertados publicamente.

Christiano conta que a proposta para desempenhar a nova função surgiu de um convite de Stallman para traduzir o livro de sua autoria, intitulado Free Software Free Society. "O livro reúne um conjunto de artigos escritos por Stallman e por outros mantenedores do projeto no decorrer deste ano de 2003. Já temos 40% dele traduzido e se tudo der certo até o final de agosto devo concluí-lo", informa Christiano, ressaltando que ainda não está definido se a publicação será apenas digital ou também terá uma versão impressa.

O projeto GNU (um acrônimo recursivo que significa GNU's Not Unix) foi iniciado em 1984 e tem como objetivo construir programas livres a partir do trabalho colaborativo de milhares de desenvolvedores voluntários espalhados ao redor do planeta. Atualmente, 350 mil desenvolvedores do GNU/Linux trabalham coletivamente para o aperfeiçoamento desse sistema e existem mais de 10 mil programas alternativos construídos por essa comunidade. Maiores informações sobre o projeto podem ser encontradas nos sites www.gnu.org e www.softwarelivre.org.

18/7/2003 - 14:07 Giordani Rodrigues

Um dos assuntos mais discutidos em listas de segurança nos últimos dois dias foi uma falha descoberta no Cisco IOS, sistema operacional usado por vários dispositivos de redes, entre os quais os roteadores e switches da Cisco. O problema se agrava devido ao fato de que tais equipamentos são utilizados em larga escala em redes do mundo inteiro e também porque acaba de ser anunciada a criação de um exploit, software que permite que crackers se aproveitem da falha.

A vulnerabilidade pode ser explorada remotamente para provocar um ataque de negação de serviço (Denial of Service ou DoS). A falha está relacionada ao processamento de pacotes sob o protocolo IPv4 (Internet Protocol versão 4), usado como padrão nos roteadores Cisco. Uma seqüência rara de pacotes IPv4, especialmente construída, pode forçar a interface de entrada de dados nos dispositivos afetados a parar de processar as informações que recebem. O ataque pode ser repetido em todas as interfaces dos equipamentos que usem o Cisco IOS até provocar a queda de toda uma rede.

A Cisco já publicou um documento contendo detalhes sobre o problema, bem como as correções necessárias. Várias empresas e provedores de porte que utilizam os equipamentos da Cisco já providenciaram a atualização de seus sistemas e quem ainda não o fez deve tomar providências o quanto antes.

O centro de segurança CERT/CC publicou há pouco um alerta, já traduzido para o português pelo NBSO (Nic-BR Security Office), relatando a criação de um exploit para a vulnerabilidade. "É provável que invasores começarão a usar este ou outros exploits para causar interrupções de serviços", afirmam os pesquisadores.

Administradores que acreditam que suas redes foram comprometidas estão sendo estimulados a reportar as atividades para o grupo de respostas a incidentes de segurança local. Outras informações em português sobre o problema podem ser encontradas aqui.

18/7/2003 - 12:48 Divulgação

Com o objetivo de discutir a utilização de software livre no Brasil, o Senado Federal e a Câmara dos Deputados promovem, de 18 a 22 de agosto, a Semana do Software Livre no Legislativo. A programação inclui seminário, palestras e mesas-redondas com a presença de autoridades nacionais e internacionais.

O termo “software livre” refere-se aos programas de computador em que o código-fonte (as linhas de programação) é público, permitindo que o usuário possa alterá-lo. Esses softwares abertos são em geral distribuídos gratuitamente, e não há pagamento de royalties e copyright.

Durante o evento, o impacto econômico e social na utilização do software livre pelo setor público estará sendo discutido no seminário que acontece nos dias 19, 20 e 21 no Senado Federal. Estarão presentes Richard Stallman, presidente do Fundação Software Livre e criador do Projeto GNU/Linux; Miguel de Icaza, presidente do projeto Gnome; e o brasileiro Marcelo D'Elias Branco, coordenador do programa de utilização de software livre no estado do Rio Grande do Sul.

A senadora Serys Slhessarenko (PT-MT), discursando recentemente em Plenário sobre o tema, ressaltou que, apenas em 2002, a União gastou R$ 125 milhões em sistemas operacionais de computador, dinheiro que poderia ser economizado com a utilização de softwares livres. Além disso, acrescentou, esses sistemas têm "uma importância estratégica para a afirmação tecnológica dos países emergentes, caso do Brasil".

No encerramento do seminário estão previstos os anúncios da criação da Frente Parlamentar pelo Software Livre, da implementação de iniciativas de uso do software livre pelo Congresso e o lançamento oficial do Projeto Software Livre no Brasil.

O evento será aberto ao público e as inscrições podem ser feitas gratuitamente na página www.congresso.gov.br/softwarelivre.

Fonte: Agência Senado

18/7/2003 - 12:40 Redação/Divulgação

O Senado aprovou, na última quarta-feira, o projeto de lei número 161, que inclui 107 itens na lista de serviços sujeitos ao pagamento do Imposto Sobre Serviços de Qualquer Natureza (ISS), cobrado pelos municípios. Na última hora, os provedores de Internet ficaram fora da lista dos serviços tributáveis com ISS.

A notícia, porém, não é motivo de comemoração para todos os provedores, pois a medida pode tornar mais confusos os critérios de tributação já acordados em nível estadual. É o caso das empresas localizadas no Rio Grande do Sul.

De acordo com o presidente da Associação das Empresas Prestadoras de Serviços Internet do Rio Grande do Sul (InternetSul), Alcyr Cardoso, a definição de exclusão do pagamento do ISS vai fomentar ainda mais a discussão em torno do ICMS no estado. Isso porque as empresas gaúchas do setor já aderiram ao pagamento provisório de uma alíquota de 5%. “Deixar os provedores de Internet fora da lista de serviços tributários nos deixa sem definição clara sobre o tributo a ser pago”, comentou Cardoso.

18/7/2003 - 10:08 Giordani Rodrigues

Nas correções de segurança desta semana, a Microsoft lançou três boletins, contendo patches (literalmente, remendos) para problemas que afetam variadas versões do Windows e também seu servidor ISA Server. Todas as brechas de segurança corrigidas possibilitam ataques remotos e a conseqüente execução de códigos à escolha do atacante no sistema vulnerável.

A falha que mais chama a atenção foi descoberta pelo LSD (Last Stage of Delirium), um talentoso grupo de hackers poloneses. O problema se encontra num protocolo usado pelo Windows, chamado Remote Procedure Call (RPC), que permite que um programa rodando em um computador execute códigos em outro sistema. O protocolo RPC foi criado pela Open Software Foundation, mas recebeu adaptações da Microsoft.

A falha, do tipo buffer overflow (extrapolação do espaço reservado na memória para execução de um programa), possibilita que um atacante rode programas no sistema vulnerável com os mesmos privilégios do usuário legítimo. O bug se apresenta na instância do RPC que cuida da troca de mensagens usando os protocolos TCP/IP. Especificamente, a falha está numa interface que "escuta" na porta TCP/IP 135. Esta interface manipula requisições para ativação de objetos enviadas de uma máquina cliente para um sistema servidor. Requisições feitas por mensagens malformadas podem ser incorretamente interpretadas e dar início à exploração da falha.

A própria Microsoft classifica o problema como crítico e um alerta sobre o bug foi emitido pelo centro de segurança americano CERT e pelo brasileiro CAIS. Recomenda-se aos usuários atualizarem seus sistemas o quanto antes. Windows NT, 2000, XP e até o Windows 2003 Server, o último lançamento da empresa, são afetados pela vulnerabilidade. A correção e outros detalhes podem ser encontrados no boletim MS03-026.

Boletins MS03-027 e MS03-028

Outro problema se encontra com a shell do Windows, isto é a área de trabalho básica que o usuário tem com o sistema operacional, mais conhecida como desktop entre usuários da Microsoft. A shell também fornece funções como organização de arquivos e pastas e modos de inicialização de programas. Um buffer (área de memória temporária) usado pela shell para extrair de certas pastas informações do usuário contém uma falha que possibilita a execução remota de códigos e, portanto, de ataques.

Um usuário mal-intencionado poderia explorar a vulnerabilidade criando um arquivo Desktop.ini com atributos corrompidos e hospedando-o em uma pasta compartilhada de rede. Quando um usuário acessasse esta pasta, a exploração da falha seria iniciada. Apenas o sistema Windows XP é afetado pelo problema, considerado "importante" pela Microsoft. A correção se enconta no boletim MS03-027.

A terceira falha relatada se encontra no servidor Microsoft ISA (Internet Security and Acceleration) Server, uma combinação de firewall e Web cache (espaço para armazenamento temporário de páginas Web). O servidor ISA utiliza várias páginas de erro padrão em formato HTML, as quais contêm um bug classificado como "cross site scripting" (ou XSS). Este tipo de vulnerabilidade permite que um atacante injete códigos em uma página, os quais serão executados na máquina de um usuário que acessá-la.

Para explorar a falha, um atacante poderia induzir um usuário a visitar um site que retornasse uma página de erro do ISA Server, por exemplo, enviando um link em um e-mail ou mesmo uma mensagem em formato HTML. No entanto, algumas condições são requeridas para que o ataque seja bem-sucedido. Mesmo assim, a Microsoft considera este problema como importante. A correção e outros detalhes podem ser encontrados no boletim de segurança MS03-028.

Para detectar automaticamente o que precisa ser atualizado e corrigir todos os bugs de uma vez, os usuários de Windows também podem visitar o site Windows Update.

17/7/2003 - 10:00 Redação/Divulgação

A Trend Micro, fabricante de antivírus e software de segurança, e sua parceira CEO Tecnologia promovem no estado do Paraná dois eventos sobre segurança da informação, em que serão apresentadas soluções para proteção das redes corporativas contra códigos maliciosos, perda de produtividade e de investimentos. As palestras acontecem hoje em Londrina e amanhã, dia 18 de julho, em Maringá.

A programação prevê apresentação da linha de produtos da Trend Micro e em especial do SPS ― Spam Prevention Service. O evento ocorre das 8h30 às 11h30, tanto em uma ciadade quanto em outra. Em Londrina, o local do evento será o Crystal Palace Hotel, na Rua Quintino Bocaiúva, 15; em Maringá, o Hotel DeVille, na Avenida Herval, 26.

17/7/2003 - 8:04 Giordani Rodrigues

Tentativas de golpes em falsos e-mails enviados em nome de instituições conhecidas tornaram-se tão comuns que já poderíamos falar em "golpe do dia" ou pelo menos em "golpe da semana". Apenas algumas horas depois de termos publicado a matéria sobre a falsa raspadinha virtual Americanas.com (leia aqui), recebemos de um leitor mais um exemplo, este bastante bem feito e até agora desconhecido. O golpe usa o nome da Editora Abril.

A título de conhecer melhor o assinante, e oferecendo como brinde quatro exemplares da revista que a pessoa escolher, a mensagem induz o internauta a preencher um suposto questionário, na verdade um arquivo executável que serve para espionar o computador em que for instalado. Desta vez o texto está bem escrito, sem erros aparentes de português, e pode enganar mais gente (veja cópia da mensagem aqui).

"Como sou assinante do 'Passaporte Abril', costumo receber mensagens da editora, e achei que esta fosse uma delas", afirma o leitor. "Por pouco não fiz o download. Consegui perceber a tempo que tal arquivo não estava nos servidores da Editora Abril".

Ele diz que enviou um e-mail para a editora e recebeu uma resposta, assinada por um funcionário da diretoria de relações corporativas, afirmando que a empresa já estava ciente do caso. "Você não foi o único leitor da Abril a receber esse e-mail falso", lê-se na transcrição da resposta. "Tão logo recebemos o primeiro alerta, as áreas de segurança e administração de Assinaturas da Abril foram acionados para tomar as providências", completa o funcionário.

No entanto, no momento em que esta matéria ia ao ar, ainda era possível acessar o endereço do provedor AOL Brasil (www.meumundo.americaonline.com.br/promocaopesquisa/questionario.exe) no qual estava hospedado o arquivo maléfico. Este arquivo foi submetido ao serviço WebImmune, da McAfee, que identificou um trojan do tipo multidropper, nome dado a arquivos que descarregam no sistema mais de um programa de uma vez. Normalmente um deles tem aparência inocente e serve para esconder a atividade de espionagem do trojan propriamente.

Leia também:

Raspadinha virtual Americanas.com é golpe

Falsos brindes e sites clonados atingem bancos

Falso BBB4 serve para roubar senhas bancárias

16/7/2003 - 16:52 Giordani Rodrigues

Se você receber um e-mail supostamente enviado pela loja de comércio eletrônico Americanas.com, convidando-o a participar de uma "raspadinha" (ou "raspinha") virtual, cuidado: trata-se, provavelmente, de mais uma tentativa de golpe pela Internet. Se a mensagem trouxer erros crassos de português, como a palavra "sortiado" ou a expressão "cujo aonde", não tenha dúvida, você está sendo alvo de golpistas semi-analfabetos.

A tal raspadinha virtual, cujo prêmio seria um automóvel Ford Focus, funcionaria por meio de um programa que o usuário deveria baixar e rodar em seu computador. Claro que este programa esconde um arquivo maléfico, projetado para roubar senhas ― principalmente as bancárias ― e outras informações sigilosas dos internautas. No momento em que esta matéria estava sendo publicada, a mensagem fraudulenta ainda estava no ar, hospedada em servidores do hpG Plus, braço do provedor hpG que oferece serviços pagos. Veja, abaixo, uma cópia da mensagem, encontrada no endereço www.suporte2003.hpgplus.com.br/gif1.JPG:


O arquivo maléfico, de nome Focus.exe, também estava disponível para download, no endereço www.suporte2003.hpgplus.com.br/Focus.exe. InfoGuerra submeteu o arquivo ao serviço de verificação WebImmune, da McAfee, que detectou a presença do aplicativo Perfect Keylogger. Trata-se de um programa comercial, criado para espionar internautas e que, segundo o fabricante, serviria para pais, cônjuges ou empregadores desconfiados, que queiram disfarçadamente registrar a atividade online de seus filhos, parceiros ou empregados.

Este aplicativo tem a capacidade de gravar tudo que o usuário digita, os sites que visita, as imagens das telas que visualiza e outras informações, e enviar os dados a terceiros, por e-mail ou por um servidor FTP (protocolo para transferência de arquivos). O programa foi adaptado por crackers e ultimamente tem sido usado em larga escala para roubar informações de internautas desavisados. Os golpes visam principalmente as senhas de Internet Banking.

O site da Americanas.com não traz qualquer informação sobre promoção envolvendo raspadinha virtual. Caso você receba uma mensagem como a descrita acima, apague, e de forma alguma instale o arquivo sugerido.

Leia também:

Falsos brindes e sites clonados atingem bancos

Falso BBB4 serve para roubar senhas bancárias

15/7/2003 - 20:01 Redação/Divulgação

A Panda Software está alertando o mercado para o aparecimento de um novo vírus eletrônico denominado Lohack.B, que chega à máquina do usuário por intermédio de um e-mail infectado. Este código maléfico usa técnicas de engenharia social para enganar o internauta, já que aparenta ter sido enviado por remetentes confiáveis, como o Ministério de Ciência e Tecnologia da Espanha ou a própria Panda.

O Lohack.B também pode se aproveitar de uma conhecida vulnerabilidade do navegador Microsoft Internet Explorer para se auto-executar com a simples visão da mensagem infectada no painel de pré-visualização do Outlook Express, sem necessidade de se abrir o arquivo anexo. Esse arquivo infectado sempre tem extensões exe ou scr.

O serviço de suporte técnico da Panda informa que tem recebido incidências envolvendo este vírus e aconselha precaução em qualquer e-mail recebido. O Lohack.B chega em uma mensagem com as seguintes características:


Possíveis remetentes:

- Ministerio de Ciencia y Tecnologia [info@myct.es]
- Panda Antivirus [info@myct.es]

Possíveis assuntos:

- Información sobre la LSSICE
- Información sobre la LSSICE y sus consecuencias
- Nuestras libertades en internet en peligro
- FW:AVISO IMPORTANTE: un nuevo virus llamado LSSICE aparece en internet
- FW:CAMPAÑA de información sobre la LSSICE

Possível texto da mensagem:

AVISO URGENTE

PandaSoftware Antivirus acaba de publicar su última herramienta para remover el gusano hop.a Esta herramienta no solo remueve de su sistema el gusano/virus si es encontrado, sino que le protege de posibles infecciones futuras.

15/7/2003 - 11:50 Redação InfoGuerra

A Panda Software acaba de lançar um novo portal que pretende ser um observatório mundial de vírus, com serviços voltados para os usuários. Em www.virusportal.com é possível conhecer a evolução em tempo real das infecções causadas pelos vírus e utilizar ferramentas gratuitas de proteção.

O VirusPortal traz vários recursos incorporados num só lugar: mapa de vírus por continentes e países, informações sobre os códigos maléficos, e os chamados microsites, com áreas específicas para informações, treinamentos, downloads e utilidades para webmasters. Por enquanto, o site é apresentado apenas em inglês e espanhol.

14/7/2003 - 22:50 Giordani Rodrigues

O mesmo problema encontrado há cerca de 20 dias no serviço de checagem de segurança e antivírus online da Symantec foi encontrado no serviço equivalente da Trend Micro, o HouseCall. A falha expõe os usuários destes serviços a ataques remotos, a partir dos quais um cracker poderia rodar programas de sua escolha na máquina da vítima.

O pesquisador Cesar Cerrudo, o mesmo que encontrou a falha no software da Symantec, postou na sexta-feira, em listas de segurança, uma mensagem revelando que usuários do serviço da Trend Micro também correm riscos enquanto não atualizarem suas máquinas. Mesmo com a atualização, os usuários ainda estão expostos a ataques de negação de serviço (DoS), segundo Cerrudo, os quais poderiam travar o navegador Internet Explorer.

Para examinar um sistema em busca de códigos maléficos, os antivírus e programas de proteção online analisados utilizam-se de um arquivo do tipo ActiveX, capaz de executar variadas tarefas num computador. Estes arquivos são instalados no sistema a ser verificado e nele permanecem após encerrado o exame online. Cerrudo descobriu que certos comandos maliciosos poderiam causar o estouro na área reservada para execução destes controles ActiveX e permitir que códigos à escolha de um atacante sejam rodados no sistema.

Uma das formas de explorar a vulnerabilidade seria induzir os usuários que tenham os controles instalados no sistema a visitar um site especialmente preparado para se aproveitar da falha. Como tais controles ActiveX normalmente são marcados como seguros, poderiam rodar em browsers Internet Explorer com a configuração de segurança padrão, possibilitando a execução dos comandos maliciosos.

No dia em que liberou seu alerta sobre a falha no serviço da Symantec, Cesar Cerrudo deu a entender que o HouseCall da Trend também estava vulnerável. Em sua última mensagem, ele afirma que a empresa entrou em contato no dia 30 de junho, informando que já havia corrigido o problema, quando também publicou um artigo em sua base de dados.

Porém, o pesquisador afirma que depois desta data fez mais alguns testes no serviço e percebeu que nem todas as falhas haviam sido corrigidas. Ele disse que enviou mais dois e-mails à Trend Micro e, aparentemente, os bugs mais graves, que permitiriam a invasão do sistema, foram finalmente corrigidos, mas brechas que possibilitam ataques DoS continuam existindo, segundo suas afirmações. Cerrudo também afirma que a empresa deveria ter divulgado um alerta público para que os usuários do serviço ficassem cientes do problema e atualizassem os controles ActiveX defeituosos, a fim de se protegerem dos ataques mais graves.

Para evitar que seus sistemas permaneçam vulneráveis, os usuários do serviço HouseCall (e também do Symantec Security Check) devem fazer um novo "scan" online na máquina, o que fará com que os controles ActiveX com falhas sejam substituídos pelos mais recentes, já corrigidos. Outra solução é acessar a pasta "Downloaded Program Files" (em C:\Windows ou C:\WINNT) e apagar os arquivos referentes aos serviços HouseCall e Symantec Security Check. Uma terceira precaução a ser tomada é não aceitar controles ActiveX assinados pela Symantec ou Trend Micro a não ser dos sites oficiais das empresas.

11/7/2003 - 23:25 Giordani Rodrigues

Durante os últimos dias, nada menos do que três grandes bancos brasileiros foram alvos de tentativas de fraudes pela Internet: Itaú, Bradesco e Banco do Brasil. Nos três casos, os golpistas clonaram os sites dos bancos em endereços forjados e atraíam os clientes para as páginas com e-mails recheados de ofertas e brindes inexistentes. Há indícios de que alguns destes sites ainda estejam no ar.

No caso do Itaú, o e-mail tenta seduzir os incautos com uma pretensa viagem dos sonhos: "O BANCO ITAU ESTA PAGANDO SUAS FÉRIAS... PASSE UMA SEMANA COM UM ACOMPANHANTE EM QUALQUER ESTADO BRASILEIRO, COM TODAS SUAS DESPESAS PAGAS PELO BANCO ITAU S/A". Este é o texto literal no início da mensagem, incluindo as letras maiúsculas e a falta de acentos (veja cópia do e-mail, aqui).

Para ganhar a tal viagem, o cliente deveria se cadastrar no site "www.promocaoitau.com" que, naturalmente, é falso. Quem preencher seus dados no cadastro ― que pede nada menos do que o número da conta, a senha eletrônica, a senha do cartão e o "número do cartão de débito" ― fará com que as informações sejam processadas por um script em linguagem ASP e enviadas para os golpistas. Depois que a transação é efetuada, o cliente é redirecionado para o site autêntico do banco.

No mesmo estilo foi criado o site www.bbcadastro.com, cuja página inicial tem o título de BB Internet E-mail Banking. Trata-se de um serviço fantasioso inventado pelos golpistas para convencer as pessoas a cadastrarem seus dados num formulário fajuto. Para estimular os clientes, a mensagem promete sorteios mensais de prêmios até R$ 50 mil.

O falso site do Banco do Brasil está sendo usado há semanas. No registro do domínio consta que o endereço foi criado no dia 11 de junho de 2003 e está hospedado na HostSave.com. Quem o registrou identificou-se como "Banco Do" e deu o endereço "R Serra do Japi", em São Paulo. No mesmo servidor, porém com um endereço de Fortaleza, está hospedado o falso site do Itaú, criado no dia 24 de junho último.

Algumas providências já foram tomadas para evitar os golpes, pois os dois domínios foram postos inacessíveis na maior parte do território brasileiro. No momento em que esta matéria estava indo ao ar, porém, as páginas ainda podiam ser acessadas por meio de proxies e serviços de navegação anônima como The Cloack. Como os sites estão hospedados no exterior, e o domínio .com é internacional, talvez não seja tão fácil tirá-los do ar. Clicando nos links Itaú e Banco do Brasil você pode ver cópias estáticas (screenshots) das páginas fraudulentas.

Também visando clientes do BB, há outra mensagem circulando, mas esta é do estilo "clique-aqui-e-baixe-um-trojan-que-irá-roubar-suas-senhas". O texto é uma pérola de cinismo e a mensagem deve ter tido o auxílio de um spammer profissional, pois a primeira frase é "Atenção: O BB não envia e-mail sem a sua permissão". No final, há a armadilha, em mau português característico desse tipo de golpe: "Porém, devido uma grande ocorrência de fraudes e o fato de levarmos algum tempo para atualizarmos nossos registros, estamos disponibilizando, via e-mail, um novo certificado de segurança, que garante maior conforto em suas transações".

O falso certificado já não está mais no ar, mas podia ser encontrado em http://bbserver.i989.net/BBPatch.msi (msi é extensão para arquivos de instalação usados pelo Windows). Uma cópia da mensagem enganadora pode ser vista aqui.

Outro banco atingido foi o Bradesco, cujo site foi clonado e posto em servidores do provedor brasileiro de hospedagem gratuita VPG. Para iludir os clientes e fazê-los inserir seus dados na página fraudulenta, a mensagem promete facilidades para supostos empréstimos. A falsa página, hospedada no endereço www.bradesco.vpg.com.br, já foi tirada do ar, mas uma cópia pode ser encontrada aqui. Os dados cadastrados eram processados por um formulário presente na página http://foot2003.free-host.com/conta2.html, também já desativada.

É impressionante a quantidade de golpes semelhantes a estes, surgidos do ano passado para cá. Apenas nos últimos três meses, o Centro de Atendimento a Incidentes de Segurança (CAIS) já publicou dois alertas sobre o assunto, um com o título "Fraudes em Internet Banking" (contendo dicas de como se proteger), e outro, lançado há duas semanas, intitulado "Proliferação de golpes por e-mail". O tema também chamou a atenção da Revista Época, que trouxe uma reportagem, esta semana, sobre fraudes eletrônicas em transações bancárias. Segundo levantamento da jornalista Ana Magdalena Horta, apenas em 2002 os bancos aplicaram R$ 3,5 bilhões em tecnologia para evitar os diversos tipos de golpes existentes no setor, mas o investimento não foi suficiente para eliminar a criatividade dos criminosos.

Leia também:

Falso BBB4 serve para roubar senhas bancárias

10/7/2003 - 8:03 Giordani Rodrigues

A Microsoft acaba de lançar a correção para uma falha considerada grave, encontrada em todas as versões do Windows a partir do 98, incluindo o Windows 2003 Server. O bug possibilita a um cracker executar códigos de sua escolha na máquina afetada, apenas enviando um email HTML para o usuário, ou induzindo-o a visitar uma página Web.

O problema se encontra numa funcionalidade presente no Windows que permite a conversão de um arquivo em outro. Especificamente, afeta o conversor HTML, que possibilita que um arquivo HTML seja convertido em um arquivo RTF (Rich Text Format) e vice-versa. A vulnerabilidade resulta de um estouro de buffer (memória temporária) e pode ser explorada em operações de cortar e colar feitas por uma página Web.

A facilidade de exploração da brecha de segurança e a possibilidade de execução de qualquer tipo de código no sistema tornam o problema crítico, por isso os usuários estão sendo orientados a corrigir suas versões do Windows o quanto antes. Para baixar a correção, já disponível para sistemas em português, e obter mais detalhes (em inglês) sobre o problema, acesse o Boletim de Segurança MS03-023.

10/7/2003 - 6:37 Redação InfoGuerra

Continuando com os esclarecimentos sobre a classificação dos códigos maléficos (malware), a Panda Software trouxe exemplos de códigos ditos híbridos, que combinam características de dois ou mais tipos de vírus. Também tratou dos chamados "worm/trojans" e dos vírus de auto-atualização.

Os códigos híbridos passaram a chamar atenção a partir de surtos de grande proporção, como o ocasioando pelo Nimda. Este é um malware capaz de se propagar como um worm, e de infectar arquivos executáveis, como um vírus propriamente dito. O Nimda também explora uma vulnerabilidade do servidor IIS (Internet Information Server), da Microsoft, para infectar páginas Web, as quais irão espalhar seu código maléfico aos computadores dos internautas que as visitem.

Outro tipo de malware que aparece com freqüência cada vez maior é o "worm/trojan". Segundo a Panda, nestes casos não se pode falar em um só código que tenha características comuns a mais de um vírus, já que costuma haver dois componentes distintos: um que atua como worm, e outro que faz as vezes de um trojan, ou cavalo de Tróia. Em outras ocasiões o trojan nem vem acompanhado do worm no instante da infecção, mas é baixado por este posteriormente, de alguma página Web.

Também estão ganhando terreno os vírus de auto-atualização, capazes de aprimorar suas funcionalidades, tornando-se portanto mais perigosos. Fazem isso baixando novos códigos hospedados na Internet, normalmente em páginas de provedores de hospedagem gratuita. Tais provedores têm colaborado com a indústria e, após denúncias, têm retirado do ar as páginas contaminadas. Um exemplo de vírus que se atualiza é o Opaserv, o qual já deu dor de cabeça a muitos usuários, inclusive no Brasil.

A Panda termina citando casos de vírus com funções incomuns, como o Sobig.B ou Palyh que, entre outras coisas, faz o navegador do usuário conectar-se a um endereço na Web para aumentar o tráfego da página e teoricamente gerar receita ao seu criador. Outro exemplo curioso é o do Yaha ou Lentin, que foi projetado por um grupo de indianos para lançar ataques de negação de serviço (DoS) a páginas do Paquistão, país que mantém um duradouro conflito com a Índia. Caso semelhante aconteceu com o CodeRed.F, desenhado para levar a cabo um ataque DoS sobre o site da Casa Branca.

Leia também:

O que são vírus, worms e trojans

9/7/2003 - 9:45 Omar Kaminski

Um importante projeto de lei está sendo discutido no plenário da Câmara dos Deputados. Trata-se do PL 5.460/01, de autoria da senadora Marina Silva (PT-AC), atual ministra do Meio Ambiente, que tramita em regime de urgência com outros 16 projetos apensados, visando a alteração de dispositivos do Estatuto da Criança e do Adolescente (Lei 8.069/90).

As propostas pretendem aumentar as penas no caso de envolvimento de crianças e adolescentes na exploração sexual, que importa na divulgação de imagens, fotos, inclusive mediante meios eletrônicos, entre os quais a Internet; e uma tipificação mais explícita e a majoração da pena em relação à venda, a crianças e adolescentes, de produtos relacionados ao fumo.

Na ordem do dia, ontem (8 de julho), o deputado Henrique Fontana (PT-RS) proferiu parecer pela Comissão de Seguridade Social e Família, aprovando o projeto na forma do substitutivo apresentado. Ele relatou que alguns projetos sugerem diminuição na pena de 2 e 6 anos no caso dos adolescentes. Depois de ouvir alguns parlamentares, Fontana concluiu que não deve ser feita diferenciação na punição dos que utilizam imagens de crianças ou de adolescentes em cenas de sexo explícito.

Quando da discussão da matéria, o deputado Moroni Torgan (PFL-CE) afirmou que "onde existe esse tipo de ato com crianças, deve haver um agravante, pois é muito mais aterrorizante quando percebemos esse libidinoso processo, como foi denunciado há dias, com uma criança de 2, 3 anos de idade". Por sua vez, o deputado Pompeo de Mattos (PDT-RS) declarou que já viu, em atos criminosos divulgados a portas fechadas (processo sigiloso), pessoas adultas terem relação sexual com crianças de 6, 7 e 8 anos. "Presenciei alguém que exercia a função de gerente de importante empresa manter relação com 3 crianças de 6, 7 e 9 anos. Inclusive, uma delas tinha 14 anos e há 4 tinha relação com aquela pessoa. O fato veio à tona e havia até vídeos gravados. Ora, essa é uma situação repugnante, que dá nojo, inaceitável, abominável e não pode ser tratada como um crime comum", afirmou.

A deputada Maria do Rosário (PT-RS) apresentou estatísticas preocupantes: em maio deste ano, a Interpol, sediada em Madri, fez chegar à Polícia Federal brasileira a indicação de 272 sites, com origem no Brasil, nos quais são exibidas fotografias de adultos explorando sexualmente crianças e adolescentes. E que o convênio entre o Ministério Público do Rio Grande do Sul, por meio de protocolo de cooperação técnica, o Ministério Público Federal, a Interpol, a Polícia Federal e outros organismos revelou que em 2002 houve 1.245 denúncias de páginas de pedofilia na Internet. De janeiro a 31 de maio do corrente ano houve 401 denúncias de páginas acessadas em que as vítimas eram crianças e adolescentes.

"O Estatuto da Criança e do Adolescente é de 1990, e precisa ser atualizado", observou o deputado Dimas Ramalho (PPS-SP). "Naquela época, previa-se apenas a mídia impressa. Posteriormente, tivemos a legislação que prevê os avanços tecnológicos, como é o caso da Internet e da informática", disse. A deputada Telma de Souza (PT-SP) afirmou que o universo da pedofilia precisa ser encarado com muita seriedade. "Não é apenas aquele que pratica o ato sexual com crianças ou adolescentes que deve estar sujeito às penalidades previstas, mas também aquele que mantém e veicula, principalmente pela Internet, fotos e vídeos que fazem proliferar a pedofilia em proporções indescritíveis".

Encerrada a discussão, foi concedido ao deputado Henrique Fontana o prazo de uma sessão para apresentar parecer às seis emendas recebidas em plenário, e também ao deputado Antonio Carlos Biscaia (PT-RJ), relator pela Comissão de Constituição e Justiça e de Redação. A votação deverá prosseguir hoje, a partir das 14 hs.

Omar Kaminski é advogado especializado em Direito da Informática e responsável pelo site Internet Legal.

9/7/2003 - 9:22 Giordani Rodrigues

Todos os participantes ganharam como "brinde" esta valiosa imagem de um Mustang Eleanor 67

Os efeitos de "um dos maiores ataques em massa à Internet", como previu uma empresa de segurança, fizeram apenas uma vítima notória: o site Zone-H. O mais conhecido arquivo de defacements (sites desfigurados) da atualidade, que seria usado como uma espécie de contador independente das páginas pichadas no domingo, foi alvo de ataques de negação de serviço (DoS) que o deixaram fora do ar durante boa parte do dia 6.

O resto das páginas atacadas e desfiguradas na data é apenas um punhado de endereços que não chamam muito a atenção. Nesta terça-feira, o site do concurso publicou o resultado do desafio ― batizado de Defacers Challenge. Três grupos foram escolhidos como vencedores, em lugar de apenas um, como estava previsto anteriormente. O grupo "campeão" ― o brasileiro Perfect.br ― conseguiu registrar apenas 86 defacements, pelos quais acumulou 152 pontos, conforme as "regras" divulgadas. Considerando que o objetivo inicial do concurso era dar a vitória a quem desfigurarasse 6 mil sites, o resultado foi um fiasco.

O fundador do Zone-H, Roberto Preatoni, que usa o apelido de SyS64738, disse que esperava de 20 mil a 30 mil registros de sites pichados no domingo, mas só recebeu cerca de 500 notificações de defacements neste dia. Em entrevista à CNet, Preatoni também revelou que num domingo normal o número de sites desfigurados estaria entre mil e 3 mil.

Para tentar lidar com os ataques DoS, o Zone-H criou uma página alternativa para envio das notificações, mas esta também teria sido atacada. Na terça-feira, o site divulgou uma lista com cerca de 3,5 mil notificações que teriam sido enviadas à sua equipe. Nenhuma delas foi checada, segundo o comunicado, e é possível ver endereços nitidamente inexistentes.

O dia mais bagunçado da Internet

Classificando o dia 6 de julho de 2003 como "o mais bagunçado de toda a história da Internet", Roberto Preatoni culpou a mídia por ter "transformado um caso sem importância em algo útil para preencher o vazio dos jornais no verão". A opinião dele parece não estar muito distante da realidade, quando se observa as reações da mídia, principalmente da não especializada, das empresas de segurança, dos analistas independentes, dos crackers envolvidos no concurso e dos que supostamente lançaram ataques DoS ao Zone-H. Pontuando tudo isso, está a crítica feita pelo site de espelhos.

"Antes de publicar, chequem! Esta é a regra número um!" disparou SyS64738 em direção à mídia. "Alguns de vocês até descreveram Zone-H como o site que organizou o concurso...sem comentários! Vocês aumentaram esta história e com a mesma superficialidade vocês a jogaram fora dizendo que era um hoax (boato)".

De fato, a história passou dos limites quando saiu de onde deveria ter ficado ― o underground ― e ganhou manchetes em vários veículos de comunicação. Os internautas brasileiros estão acostumados a notícias sobre defacements, já que os grupos nacionais estão, há anos, entre os mais profícuos na cena mundial, e sabem que um concurso para desfigurar 6 mil sites em seis horas provavelmente não iria afetar a Internet a ponto de gerar preocupação mundial. Há três meses, apenas um grupo brasileiro, o Hax0rs Lab, já havia desfigurado em massa cerca de 5 mil sites, e nem por isso houve qualquer alarde no mundo.

No entanto, notícias sobre o Defacers Challenge de várias regiões do planeta tornaram o tal concurso algo surreal. O próprio Zone-H faz uma seleção destas notícias, em que se lê coisas como:

Web sob risco por causa de concurso de hacking - Circulam alertas de que sites comerciais e governamentais na Nova Zelândia poderiam ser alvos de um esquema coordenado de hacking informático. (...) O diretor-executivo da Internet-NZ, Peter MacCauley, afirma que se a competição for adiante sites de alto perfil podem estar sob risco.

Hackers planejam festival de destruição na Internet - Empresas da Europa estão recebendo avisos para se manterem alertas neste final de semana, pois hackers de computadores planejam um festival de destruição com o objetivo de desfigurar milhares de sites. (...) Companhias de Internet disseram que grandes firmas, incluindo bancos e instituições financeiras, devem manter seus softwares em dia para repelir o ataque".

Alerta sobre atividade hacker em 7 de julho (nesta, o site coreano Donga.com errou a data) - O Ministério da Informação e Comunicações (MIC) lançou um alerta de emergência na sexta-feira, devido a uma competição hacker internacional prevista para o dia 7 de julho nos EUA. (...) O MIC notificou as agências sob sua responsabilidade, veículos de comunicação e a Associação de Corporações de Internet da Coréia para que se precavessem, e pediu a cooperação da Agência Nacional de Polícia (ANP). Além disso, a Agência de Segurança da Informação da Coréia planeja fornecer serviços de prevenção contra atividades hacking e restauração de Web sites, de 5 a 8 de julho.

Para aumentar ainda mais a peculiaridade de um dia que poderia ter passado despercebido não fosse o hype (notícias exageradas) em torno dele, um grupo de especialistas em segurança, independentes e críticos, uniu-se para ironizar o desafio dos defacers desfigurando seus próprios sites. Até hoje ainda é possível ver as páginas iniciais de endereços como Attrition.org, Treachery.net, InfoWarrior.org, Kumite.com e Reznor.com alteradas.

Em todas elas, lê-se o mesmo título de "O céu está caindo" e uma frase de apresentação em letras verdes sobre fundo preto: "Eu fiquei em pânico por causa do Defacement Challenge e tudo que eu consegui foi esta desfiguração nojenta". Em seguida, há duas tabelas, uma com links para notícias que teriam transformado o desafio em sensacionalismo e interesses comerciais, e outra com detalhes que demonstrariam a realidade dos fatos.

Para botar um pouco mais de lenha na fogueira, Thomas C. Greene, do site britânico The Register, levantou algumas hipóteses, entre as quais a de que Zone-H de um lado, e Attrition e o "lobby dos céticos" de outro, teriam interesse e até poderiam estar por trás do desafio, que na verdade não passaria de uma história inventada.

Greene aponta o inglês imperfeito da equipe do Zone-H e vê similaridades com o inglês precário dos textos do concurso. Para se admitir a comparação do inglês do Zone-H com o de alguns prováveis script kiddies brasileiros que estavam por trás do episódio, tem-se de levar em consideração o objetivo satírico do texto de The Register.

Insistindo na hipótese de hoax, o artigo também observa que todos os sites que se autodesfiguraram o fizeram em sincronia. Isto levou o autor a crer que Attrition, InfoWarrior e outros poderiam imaginar um ridículo projeto de adolescentes, aguardar que a mídia o aumentasse e depois esfriar o assunto com um sorriso forçado. Tudo para mostrar às empresas de segurança, à imprensa e ao governo que eles precisam ser mais céticos. Novamente, existem indícios lingüísticos muito fortes da presença de brasileiros no tal concurso. Seria muito difícil que Jericho, Richard Forno e demais envolvidos tivessem talento para mimetizar tão bem o estilo dos nossos pichadores de páginas e seus tradutores automáticos português-inglês.

Quem atacou Zone-H?

O próprio Zone-H não esclarece quem estaria por trás dos ataques de negação de serviço, mas dá uma cronologia do incidente e algumas explicações. SyS64738 afirma que seu site teve uma visitação muito acima do normal a partir dos primeiros minutos do horário marcado para início do desafio, o que contribuiu para a instabilidade do servidor. Mas insiste que a mídia fez tanto barulho em torno do episódio que os próprios crackers envolvidos se aborreceram e resolveram boicotar o concurso, uns apenas não participando, mas outros atacando o seu site, que terceiros escolheram para fornecer as estatísticas dos vencedores.

E se queixa, alegando que o Zone-H é um site independente: "Quando as partes atacam um observador neutro, significa que o códico de ética basicamente desapareceu. Gângsters e assassinos têm sua própria ética, mais importante que as leis escritas em seu meio. Alguns defacers (desfiguradores) demonstraram neste caso que têm pouca ou nenhuma".

Assim como este concurso aparentemente havia sido criado por brasileiros, foi também um grupo de brasileiros que se responsabilizou pelos ataques ao Zone-H. A redação InfoGuerra recebeu cópia de um texto em português, preparado por vários grupos que alegavam ser os "verdadeiros defacers" e explicavam o porquê da ação. Segundo os crackers, eles estavam fazendo um protesto, pois chegaram à conclusão de que um concurso como o proposto "seria perda de tempo". "Não precisamos participar de campeonato para mostrar nossos conhecimentos", lia-se num trecho do protesto. Esse mesmo texto chegou a ser traduzido para o inglês.

A mensagem informa que os ataques de negação de serviço começaram a zero hora do dia 6 e que cerca de meia hora depois o número de computadores usados na ofensiva foi aumentado para garantir que o Zone-H permanecesse fora do ar. Os atacantes chegaram a publicar imagens mostrando as mensagens de erro quando se tentava conectar o site. Por causa dessa ação, o(a) organizador(a) do concurso, autodenominado(a) Eleonora(67) estendeu o prazo de seis horas, inicialmente programado como duração para o desafio, e passou a aceitar notificações até a meia-noite do dia 6, passagem para o dia 7. Mas a tática não parece ter surtido muito efeito, mesmo porque o site do consurso também foi atacado e ficou uma parte do tempo inacessível.

Numa conversa em um canal de chat, uma pessoa que usa o apelido de L0rd_Byr0n confirma que ele e outros integrantes do underground planejaram e executaram ataques contra os sites envolvidos no campeonato e chegou a repassar dois e-mails que teria recebido de SyS64738. As mensagens vieram completas, com cabeçalho, e parecem ser legítimas, a começar pelo inglês macarrônico dos atacantes brasileiros e pelo discurso de quem assina como SyS64738, semelhante ao que foi publicado algumas horas depois: "Zone-H é um site independente, e se você ataca um site independente significa que seu código de ética e sua moral são iguais a zero. Pense sobre isso", lia-se em uma das mensagens.

O site Defacers-Challenge.com não trouxe uma linha sequer sobre os ataques ou o fracasso da competição, mas percebe-se que algumas mudanças foram feitas em sua estrutura de hospedagem. Agora, o endereço redireciona para um servidor da Lycos da França e a página do hpG que abria quando se acessava Defacers-challenge.info está trazendo a mensagem de que "foi removida por desrespeitar o termo de serviço" do provedor. Mesmo com toda essa confusão, Eleonora(67) ainda acredita que este possa ser o primeiro de muitos desafios semelhantes, tanto que criou um "brinde" para todos os participantes ― tão sem valor quanto os outros prêmios oferecidos. Trata-se de uma "imagem GIF" (cujo formato, na verdade, é JPG) de um automóvel Mustang modelo Eleanor 67 com os dizeres: "Eu participei do 1^o Defacers Challenge", em inglês.

Leia também:

Brasileiros podem ser organizadores do concurso de crackers

Crackers preparam ataque em massa no domingo

8/7/2003 - 19:33 Divulgação

Estima-se que, de todas as mensagens eletrônicas que circulam no mundo diariamente, entre 25% e 30% sejam spams, nome dado aos e-mails não solicitados, que em geral são propagandas. Há cálculos feitos por especialistas que apontam para um prejuízo nas empresas de US$ 20,5 bilhões por ano por causa dessa praga. Outros dizem que, para cada mensagem lida e apagada pelo funcionário, a companhia perde US$ 1,00 em produtividade. Na hipótese de uma empresa com 10 mil funcionários, e que cada um receba cinco spams diariamente, os prejuízos somariam US$ 50 mil por dia.

“Esses cálculos envolvendo perda de produtividade são questionáveis e difíceis de serem comprovados. Mas se a empresa precisou aumentar o link com a Internet e fazer um upgrade no servidor de e-mail, por conta do aumento do tráfego, isso pode ser dimensionado”, comenta Rodrigo Ormonde, diretor de Tecnologia da Aker Security Solutions, empresa especializada em segurança da informação.

Na sua opinião, uma boa parte do problema pode ser resolvido com o controle do acesso à Internet dos funcionários. ”A grande fonte dos spammers são os cadastros preenchidos pelos internautas em serviços disponíveis na Internet, como downloads de programas, horóscopos, webmails, cartões, etc.”, explica Ormonde, acrescentando que a empresa desenvolveu um filtro de conteúdo chamado Analisador de Contexto Web Aker. O sistema é baseado em um grande banco de dados, composto por mais de 500 mil domínios (URLs), classificados em 24 categorias, entre elas sexo, notícias, esportes, músicas, compras e outras. “O administrador da rede é quem define a que tipo de informação cada usuário terá acesso", explica.

Apesar da perda de produtividade associada ao spam, Ormonde acha que o tempo gasto pelos funcionários com a navegação em sites que não se referem ao trabalho é muito maior, e causa mais prejuízos às empresas, do que a leitura e a eliminação de mensagens não solicitadas.

Segundo o executivo, caso os funcionários já recebam um grande volume de spams, a alternativa é tentar bloqueá-los antes que cheguem ao servidor de e-mail. “Usuários do nosso firewall têm opções de configurações, podendo criar listas negras de spammers conhecidos, ou bloquear mensagens cujos endereços dos remetentes não sejam válidos. Os spammers geralmente utilizam endereços falsos, pois sua base de dados contém muitos endereços desativados e, caso uma grande quantidade de mensagens volte, sua caixa postal ficará entupida e o feitiço irá virar contra o feiticeiro”.

4/7/2003 - 20:59 Giordani Rodrigues

O concurso batizado de "Defacers Challenge" pode estar sendo organizado por grupos brasileiros de desfiguradores de sites (defacers). Previsto para acontecer no próximo domingo, dia 6 de julho, o objetivo do desafio é pichar seis mil sites ou o maior número de sites no menor tempo possível. Os prêmios oferecidos são: 500 MB de espaço em um servidor, webmail, redirecionamento ilimitado de contas de e-mail e o registro de um domínio à escolha do cracker.

Há vários indícios que levam a crer na participação de brasileiros por trás do concurso, entre os quais o inglês precário e com palavras em português nas regras que estão sendo divulgadas. O site "oficial" da competição ― www.defacers-challenge.com ― esteve indisponível desde quarta-feira, quando a notícia começou a se espalhar pela Internet, mas já está novamente no ar.

Neste endereço, pode-se ver que o e-mail que servia de inscrição para os interessados era desafio@defacers-challenge.com. No texto explicativo também se encontram palavras como "disfigured" (desfigurado), quando todos sabem que o equivalente em inglês é "defaced". Além disso há referências ao hpG, conhecido provedor brasileiro de hospedagem gratuita.

Como se não bastasse, outro site criado para a ocasião ― www.defacers-challenge.info ― é apenas uma moldura (frame) para a página www.hypnotic0.hpg.ig.com.br/defeng.htm, em que as regras estão publicadas. Apesar disso, o domínio defacers-challenge.info está sob responsabilidade administrativa de alguém que forneceu um endereço do Reino Unido.

Apenas um hype?

Mesmo com todo o barulho que está sendo feito em cima do episódio, alguns especialistas acreditam que tudo não passa exatamente disto: barulho. A empresa de segurança TrueSecure publicou um alerta afirmando que o que parecia ser uma notícia real acabou se transformando num hype, isto é, num rumor cujos efeitos foram ampliados pela divulgação em inúmeros veículos de comunicação.

A empresa faz uma acusação velada a um concorrente, afirmando que os alertas de um "provedor de serviços de segurança" e do Departamento de Segurança Doméstica dos Estados Unidos deram ao episódio "mais publicidade do que ele merece". O alerta da TruSecure dispara: "Atacantes que desfiguram Web sites têm suas próprias motivações para cometer crimes de computador. Profissionais de segurança promovendo um concurso entre estes criminosos apenas fornecem ímpeto adicional às ações deles, o que é contraproducente para o objetivo de reduzir os riscos na Internet".

A empresa não revela, mas está se referindo à Internet Security Systems (ISS), que na quarta-feira divulgou para a imprensa mundial o alerta de que "a Internet sofrerá um de seus maiores ataques em massa" com o campeonato de crackers previsto para o domingo. Já Russ Cooper, editor da lista NTBugtraq e pertencente à equipe da TrueSecure, teve menos papas na língua e se referiu nominalmente à ISS e ao departamento do governo americano como culpados pelo hype. A ISS se defende dizendo que só lançou seu alerta depois que as notícias sobre o ataque em massa já tinham atingido a mídia.

Seja como for, agora o tal concurso já está mais do que divulgado e, se antes poucas pessoas sabiam de sua existência, agora deve haver grupos de desfiguradores na fila, esperando o dia do ataque. E há anos os grupos brasileiros ocupam lugar de destaque entre os desfiguradores no mundo. Portanto, se você tem um site na Internet, é bom tomar as precauções básicas de segurança desde já.

Leia também:

Crackers preparam ataque em massa no domingo

4/7/2003 - 15:12 Redação

A empresa de segurança Axur, do Rio Grande do Sul, em conjunto com a DNV, empresa norueguesa de gerenciamento de riscos, trará para o Brasil o sueco Birger Berggren, um dos maiores especialistas na norma BS 7799. Berggren, que participou da revisão do padrão durante o desenvolvimento da versão ISO 17799, ministrará um curso sobre o tema nos dias 9, 10 e 11 de julho, em Porto Alegre.

O especialista fará uma análise interpretativa da norma BS 7799 ― referência internacional de melhores práticas para segurança da informação. Este evento marca o início de uma série de atividades em torno deste padrão da indústria. Maiores informações estão disponíveis na página www.bs7799.com.br/curso.pdf ou com Patrícia Brandão, da DNV, pelo telefone (11) 3815-5399.

4/7/2003 - 7:24 Redação InfoGuerra

É muito comum ler-se matérias (inclusive neste próprio site) em que palavras como vírus e worm são usadas indistintamente para se referir à mesma coisa. Apesar de esta mistura de termos ser admissível para o entendimento comum, há diferenças conceituais entre eles. E é sobre estas diferenças que a empresa Panda Software tratou em seu boletim desta quinta-feira.

Todos os tipos de códigos maléficos podem ser englobados na categoria de malware (malicious software), que se define como programa, documento ou mensagem passível de causar prejuízos aos sistemas. O grupo de malware mais abundante é o dos vírus, que segundo a Panda pode ser dividido em três subgrupos: vírus propriamente ditos, worms e trojans ou cavalos de Tróia. Veja, abaixo, as definições dadas pela empresa, acrescidas de algumas outras informações conhecidas:

Vírus - são programas de informática capazes de multiplicar-se mediante a infecção de outros programas maiores. Tentam permanecer ocultos no sistema até o momento da ação e podem introduzir-se nas máquinas de diversas formas, produzindo desde efeitos simplesmente importunos até altamente destrutivos e irreparáveis.

Worms - similares aos vírus, com a diferença de que conseguem realizar cópias de si mesmos ou de algumas de suas partes (e alguns apenas fazem isso). Os worms não necessitam infectar outros arquivos para se multiplicar e normalmente se espalham usando recursos da rede (o e-mail é o seu principal canal de distribuição atualmente).

Trojans ou cavalos de Tróia- são programas que podem chegar por qualquer meio ao computador, no qual, após introduzidos, realizam determinadas ações com o objetivo de controlar o sistema. Trojans puros não têm capacidade de se auto-reproduzir ou infectar outros programas. O nome cavalo de Tróia deriva do famoso episódio de soldados gregos escondidos em um cavalo de madeira dado como presente aos troianos durante a guerra entre os dois povos.

Segundo a empresa antivírus, a classificação acima tende a ser revista em um futuro não muito distante, devido à aparição de novos tipos de malware que reúnem características de mais de um grupo ao mesmo tempo. Um exemplo são os chamados worm/trojans, que como indica o nome incorporam características destes dois tipos de códigos maléficos. Os malware também estão se tornando cada vez mais sofisticados, particularmente na forma de propagação. De fato, já existem exemplares que se propagam diretamente através da Internet, segundo a Panda.

Leia mais sobre categorias de códigos maléficos, aqui.

3/7/2003 - 4:10 Angela Ruiz

Uma vulnerabilidade foi identificada no Windows Netmeeting, o aplicativo da Microsoft que facilita a comunicação em tempo real com áudio e vídeo online. Esta
falha pode ser explorada por um atacante para sobrescrever, de forma remota e arbitrariamente, arquivos no computador, com os privilégios do usuário local.

O problema é causado por um erro na validação das entradas, quando se usam as facilidades de transferência de arquivos. Especificando um nome com a seqüência de caracteres "..\", é possivel acessar diretórios diferentes dos assinalados dentro do ambiente controlado pelo aplicativo para receber arquivos, o que se conhece como uma vulnerabilidade do tipo "Directory Traversal Vulnerability".

Isto posibilita a sobrescrita de outros arquivos do sistema do usuário, incluindo a execução de códigos em forma arbitrária. Embora a vulnerabilidade tenha sido reportada na versão 3.01 (4.4.3385) do Netmeeting para Windows XP e 2000, é possível que outras versões também sejam vulneráveis.

A solução é atualizar o sistema para as versões Windows 2000 SP4 (lançada na semana passada e ainda não disponível em português) e Windows XP SP1, respectivamente.

Esta falha foi descoberta por Hernán Ochoa, Gustavo Ajzenman, Javier Garcia Di Palma e Pablo Rubinstein, da Core Security Technologies. Mais detalhes podem ser encontrados aqui.

Angela Ruiz é colaboradora do site VSantivirus. Texto publicado sob autorização. URL original: http://www.vsantivirus.com/vul-netmeeting-traversal.htm.

Tradução de Giordani Rodrigues

3/7/2003 - 2:32 Eric Parton

O site de buscas Google lançou na semana passada, em versão beta, a Google Toolbar 2.0, barra de ferramentas que se incorpora ao Internet Explorer. A barra possibilita ao internauta realizar suas buscas e pesquisas sem necessidade de acessar a página do serviço.

Entre as novidades está o Popup Blocker, sistema para bloquear o anúncio na forma de pop-ups durante a navegação.

A nova barra de ferramentas é compátivel com Windows versões 95, 98/SE, ME, NT, 2000 e XP, e deve-se ter instalado o Internet Explorer versões 5.0 ou superior. Para usar o Popup Blocker é necessário que a versão do Internet Explorer seja superior à 5.5.

A Google Toolbar 2.0, apenas em inglês por enquanto, pode ser obtida em http://toolbar.google.com/index-beta.php.

3/7/2003 - 0:02 Giordani Rodrigues

Uma notícia correu rapidamente pela Internet nesta quarta-feira: grupos de defacers (desfiguradores de sites) estariam planejando um concurso de pichações virtuais chamado "Defacers Challenge", a ser realizado no próximo domingo, dia 6 de julho. Segundo as regras que estão sendo divulgadas, será declarado vencedor quem conseguir desfigurar 6 mil sites no menor tempo possível.

Até foi criado um site ― www.defacers-challenge.com ― especialmente para a competição, mas no momento em que esta matéria estava sendo publicada a página estava fora do ar. As informações sobre o ataque reperticuram de diferentes formas entre especialistas e no underground da rede, trazendo desde reações mornas até alertas mais exaltados.

A empresa de segurança Internet Security Systems (ISS), segundo nota distribuída à imprensa, acredita "que a Internet sofrerá um de seus maiores ataques em massa" no domingo. A empresa afirma que detectou na quarta-feira uma intensa movimentação de crackers em busca de vulnerabilidades na rede mundial de computadores. A nota informa ainda que seus especialistas receberam "informações confiáveis de que grupos de crackers estão fazendo scanning de reconhecimento, como aquecimento para o que deve ser a fase final de um campeonato mundial".

O Estadão publicou uma nota da agência de notícias Associated Press (AP) informando que o ataque em massa "poderá atrapalhar seriamente o tráfego online". No mesmo texto, porém, o porta-voz do Departamento de Segurança Interna dos EUA, David Wray, diz que o órgão tem conhecimento do desafio, mas não planeja emitir nenhum alerta formal. “Francamente, concursos de hacker acontecem com freqüência, e não achamos que todos mereçam chegar ao nível de alerta”, disse.

O Zone-H, site de segurança que possui o maior acervo de páginas desfiguradas da atualidade, também se manifestou sobre o episódio, afirmando que as notícias sobre sérios distúrbios na Internet no dia do ataque são coisa de quem "desconhece como um defacement (desfiguração) usualmente é feito". Segundo as regras do desafio, o que vale é o número de sites pichados, não o número de servidores (IPs únicos) atacados. Isto significa que, para ganhar o concurso (que durará apenas seis horas), basta um cracker atacar com sucesso um único servidor que tenha milhares de sites hospedados.

"O mais provável é que várias empresas de hospedagem na Web sejam atacadas, em vez de servidores únicos pertencentes a diferentes companhias", afirma o texto do Zone-H. Por este motivo, o site não prevê sérios prejuízos aos serviços da Internet, já que o tráfego gerado pelos ataques deverá ser relativamente pequeno.

O site explica que a maioria dos defacements em massa é feita a partir de uma conexão única a um servidor. Depois de obter privilégios de administrador (root) na máquina atacada, o cracker faz o upload de uma ferramenta especial, normalmente um script, que lê o arquivo de configuração do servidor Web e automaticamente substitui as páginas iniciais de todos os sites hospedados na máquina por uma página criada pelo atacante. Dessa forma, milhares de sites podem ser modificados em questão de segundos.

Como se proteger

Mesmo assim, o Zone-H recomenda que os administradores tomem precauções básicas de segurança. "Defacers normalmente procuram por alvos fáceis; os que fazem defacements em massa e com pressa, como serão os de 6 de julho, procuram alvos ainda mais fáceis", alerta. As sugestões incluem: baixar e aplicar todas as correções de segurança oficiais lançadas pelos fabricantes de software; desligar todos os módulos desnecessários; fechar todas as portas que não estejam sendo usadas; baixar uma das várias ferramentas para análise de vulnerabilidades e fazer uma checagem geral no sistema.

O site não acredita que os servidores serão atacados no domingo propriamente. Pelo contrário, os grupos já estariam preparando seus alvos e instalando ferramentas como backdoors e rootkits, que lhes darão acesso às máquinas no dia marcado para o ataque, sem que os administradores percebam. Por isso, não basta aplicar as correções de segurança, é necessário também tomar outras medidas, como checar qualquer novo usuário recentemente adicionado ao sistema, checar as conexões e programas suspeitos e rodar um software para detecção de trojans, backdoors e rootkits (como o Chkrootkit). Outras informações podem ser encontradas aqui.

2/7/2003 - 15:40 Redação

Foi descoberto um vírus, batizado de W32/Colevo@MMA pela McAfee, capaz de se disseminar usando endereços de contatos do programa de mensagens instantâneas MSN Messenger, da Microsoft. Além disso, a praga abre portas no sistema infectado, permitindo a um cracker controlar a máquina da vítima remotamente.

O Colevo executa o Internet Explorer e se conecta a vários Web sites, mostrando imagens do líder boliviano Evo Morales. Os sites conectados pelo vírus variam da página de notícias da BBC de Londres, até o site Chilevive.cl, passando por Cannabisculture.com e outros.

Quando executado, o vírus se copia para o diretório de instalação do Windows, com vários nomes de arquivos, entre os quais: command.exe, Hot Girl.scr, hotmailpass.exe Internet Download .exe, Internet File.exe, system.exe, system32.exe e Temp.exe. O Colevo também se copia para o diretório System do Windows em arquivos chamados "Inf.exe", "net.com" e "www.microsoft.com".

Seqüências de códigos contidas na programação do Colevo sugerem que o vírus se conecta ao servidor SMTP do Hotmail e se envia através de e-mail a todos os contatos encontrados na memória cache do MSN Messenger. A mensagem aparece com o seguinte formato:

Assunto: El adelanto de matrix ta gueno‼
Anexo: hotmailpass.exe
Corpo da mensagem: Pablo_Hack
Oye te U paso el programa para entrar a cuentas del messenger, y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie, ya?Respondeme que tal te parecio. chau‼

Um componente do tipo backdoor faz com que o vírus deixe várias portas TCP abertas no sistema infectado, tornando a máquina vulnerável ao acesso de intrusos. Os números TCP das portas abertas, observados em análises, foram 1168, 1169, 1170 e 2536.

O Colevo ainda cria várias chaves de registro na máquina da vítima, para que seus códigos sejam carregados na inicialização do sistema. Adicionalmente, modifica outras chaves, para que seja executado toda vez que a extensão de arquivos associada for carregada.

Finalmente, os arquivos System.ini e Win.ini são alterados. No primeiro é inserida a linha: [boot] "Shell" = explorer.exe temp.exe. No Win.ini, as seguintes linhas são escritas:

[windows] "load" =archivo.exe
[windows] "run"= archivo.exe

O comentário abaixo também é inserido no Win.ini:

####Viva el EVO, y jamas erradicaran la Coca Cola!!! mentira colla maldito!! (PYN Pablo_Hack@hotmail.com)####

Essa nova ameaça está sendo considerada pela McAfee como de médio risco para usuários domésticos. A empresa já disponibilizou uma vacina, assim como outras informações sobre a praga, disponíveis aqui. Arquivos suspeitos podem ser analisados pelo serviço online gratuito WebImmune. Dúvidas quanto ao novo vírus podem ser encaminhadas para virus_research_br@nai.com.

2/7/2003 - 9:54 Redação

A Secretaria de Fazenda do Estado de Pernambuco (SEFAZ-PE) instituiu, por meio da Lei 12333/03 e do Decreto 25372/03, o Sistema de Escrituração Fiscal (SEF). Com a implantação do sistema, os lançamentos contábeis relativos ao ICMS no estado serão obrigatoriamente feitos por arquivo eletrônico, utilizando assinatura digital.

Até 31 de agosto de 2003, os contadores pernambucanos deverão enviar a versão digital de seus livros fiscais para a SEFAZ por meio do SEF. O projeto prevê a emissão de 24 mil certificados para empresas e cerca de 9 mil certificados para contabilistas em todo o estado. Com a iniciativa, Pernambuco se torna o primeiro estado brasileiro a adotar em grande escala a certificação digital na prestação de serviços à população.

Os certificados serão emitidos pela Autoridade Certificadora CertiSign, por intermédio das Autoridades de Registro (AR). Em Recife já estão em operação duas AR: o Conselho Regional de Contabilistas de Pernambuco (CRC-PE) e a Universidade Federal de Pernambuco (UFPE). Os interessados em adquirir seus documentos digitais deverão solicitá-los nos sites www.e-cnpj.com.br/pernambuco ou www.certisign.com.br/pernambuco e agendar data e horário para comparecimento à AR, para apresentação de documentos físicos.

Leia também:

Receita libera e-CPF e e-CNPJ

2/7/2003 - 7:50 Redação/Divulgação

A empresa antivírus McAfee Security publicou no início de julho uma lista com as características dos principais vírus que atacaram os computadores brasileiros ao longo dos últimos dias. Veja a relação, abaixo:

W32/Bugbear.b@MM - O risco desse vírus, que vem dando muita dor de cabeça aos brasileiros, já caiu para médio, segundo a McAfee. O Bugbear.B contém vários elementos de ataque: envia e-mails em massa, propaga-se por compartilhamento de rede, descarrega um cavalo de Tróia, possui um keylogger (rouba informações digitadas), infecta arquivos, danifica software de segurança. Por e-mail, envia-se aos endereços encontrados no computador, e tem capacidade de forjar remetentes. Também consegue criar assuntos aleatórios. A mensagem varia, os anexos também variam, mas as extensões desses arquivos podem ser .exe, .pif ou .scr. O vírus copia-se para a pasta "Iniciar" usando um nome aleatório e tenta copiar-se para o diretório "Iniciar" de máquinas remotas ligadas em rede. O vírus ainda abre a porta TCP 1080 para comandos, o que permite a invasão remota do computador infectado. Tenta infectar os seguintes arquivos executáveis: hh.exe; mplayer.exe; notepad.exe; regedit.exe; scandskw.exe; winhelp.exe; ACDSee32.exe; AcroRd32.exe (Acrobat Reader 4.0 e 5.0), aim.exe; cutftp32.exe; DAP.exe; Far.exe; Icq.exe; iexplore.exe; kazaa.exe; Ad-aware.exe; msnmsgr.exe; msimn.exe; QuickTimePlayer.exe; realplay.exe; Morpheus.exe; Trillian.exe; winamp.exe; mplayer2.exe; WinRAR.exe; winzip32.exe; WS_FTP95.exe; ZoneAlarm.exe.

W32/Fortnight.c@M - O vírus chega em forma de código HTML, por e-mail. Este código aponta para um Web site, que passa a ser acessado quando a mensagem é aberta. A página Web em questão, geralmente pornográfica, contém códigos JavaScript que carregam um applet com a carga viral no computador. O worm se instala no computador da seguinte forma: o arquivo de assinatura HTML [s.htm], contendo o link para a página Web, é escrito no diretório WINDOWS. Após essas mudanças, cada mensagem enviada através do Oulook Express do computador infectado conterá a assinatura infectada. O worm faz várias alterações de configuração do Internet Explorer de forma a levar o usuário a visitar o site infectado do autor do vírus, aparentemente com objetivos de propaganda. As táticas de programação usadas com este objetivo são freqüentemente denominadas como "scumware". O vírus cria ainda atalhos na pasta "Favoritos" do Internet Explorer, que levam ao site do autor do vírus: c:\WINDOWS\Favorites\Nude Nurses.url; c:\WINDOWS\Favorites\Search You Trust.url 3.c:\WINDOWS\Favorites\Your Favorite Porn Links.url. Outra característica marcante é que as abas "Segurança" e "Avançada", das Opções da Internet do IE, desaparecem.

JS/NoClose - Este cavalo de Tróia escrito em linguagem Java permite que várias funções ocultas ocorram no sistema infectado. No formato HTA , é criada uma aplicação HTML não visível ao usuário, e que não pode ser fechada. No formato HTML, é criada uma janela de browser minimizada, que não pode ser facilmente maximizada nem fechada. Tipicamente, essas "armadilhas" do Windows são associadas a anúncios ou banners, mais especificamente a banners de sites pornográficos e sites que pagam comissões a outros para abrirem banners nos computadores dos visitantes. Esse vírus não contém nenhuma outra carga, e não causa maiores danos ao computador local, segundo a McAfee.

W32/CIH.remants - São códigos corrompidos do antigo vírus CIH, também conhecido como Chernobyl. Esse vírus surgiu em 1998, no sudeste asiático, e atualmente possui 35 variantes. As mais comuns são as variantes 1003 e 1019. Infecta arquivos Windows 95 em formato PE. Sua carga é ativada por data. Os arquivos infectados pela família de vírus W95/CIH não são executados em ambiente windows NT, Windows 2000 ou XP porque sua estrutura não é válida. O vírus contém uma carga bastante destrutiva, cuja data de ativação depende da variante. Nessa data, os códigos tentam sobrescrever a flash-BIOS. Se ela estiver "write-enabled" (habilitada para escrita, como na maioria dos computadores modernos com flash-BIOS) a máquina não vai mais inicializar. Ao mesmo tempo, o HD é sobrescrito com lixo. As datas de ativação do vírus dependem da variante: CIH.1003 em 26 de abril, CIH.1010 em 26 de junho e CIH.1019 no dia 26 de qualquer mês.

W32/Opaserv.worm - Tenta se enviar como SCRSVR.EXE, via compartilhamentos de rede, copiando-se para o diretório Windows das máquinas remotamente acessadas. Isto é feito por meio de uma chave de execução no arquivo WIN.INI, que faz com que o worm seja carregado na inicialização do sistema. Em seguida, tenta acessar uma URL remota, já indisponível. Há indícios de que o worm poderia baixar atualizações desse site.

Klez.H - O risco desse vírus é considerado médio pela McAfee, e os usuários domésticos correm mais risco de infecção, porque, segundo a empresa, atualizam os antivírus com menos freqüência do que as empresas. Como todas as outras variantes do Klez, a versão H se aproveita de uma falha do Intenet Explorer 5.01 ou 5.5. Chega por e-mail e tem a habilidade de mudar o nome do remetente da mensagem. A seguir, invalida vários programas, principalmente antivírus, instalados no computador atacado. É capaz também de se espalhar via rede, copiando-se para pastas compartilhadas, desde que isso seja permitido pelo administrador do ambiente. O Klez.H se disfarçar como uma ferramenta gratuita de imunidade contra o Klez.E em pelo menos uma das várias possibilidades de mensagens contaminadas. Com a capacidade de enviar em anexo um arquivo aleatório escolhido no HD infectado, o vírus pode acabar enviando informação confidencial a terceiros.

Exploit-Byteverify e Exploit-MIME.gen - Estes são nomes genéricos de detecções usados pelos antivírus da McAfee. O primeiro se refere a applets Java que tentam se valer da vulnerabilidade descrita no boletim de segurança da Microsoft MS03-011, considerada crítica, pois permite que um cracker execute código maléfico em um sistema simplesmente após o usuário visitar um site infectado. Já a detecção Exploit-MIME.gen se refere a códigos que exploram a vulnerabilidade de cabeçalho MIME incorreto, a qual possibilita que anexos sejam automaticamente executados com a simples visualização de uma mensagem de e-mail. Inúmeros vírus se aproveitam desse bug, dentre eles W32/Badtrans@MM, W32/Nimda.gen@MM, e W32/Klez.gen@MM.

2/7/2003 - 4:56 Redação/Divulgação

Em junho, a variante B do worm Bugbear liderou o ranking dos códigos maléficos que mais atacaram os computadores no mundo, de acordo com o serviço online gratuito Panda ActiveScan. A praga superou o Klez.H (ou Klez.I, segundo a empresa), que vinha se mantendo no topo da lista quase continuamente, desde seu aparecimento, em abril de 2002.

Os dados compilados pelo serviço mostram que o Bugbear.B foi responsável por aproximadamente 18% do total de incidentes registrados, seguido pelo PSW.Bugbear.B (11,19%), o trojan ladrão de senhas que acompanha o worm, e pelo Mapson (6,78%), Klez.I (4,33%) e Bugbear.A (3,9%). Entre os outros vírus da lista estão: Parite.B, Fortnight.D, Enerkaz, NoClose e Bugbear.B.Dam.

A mais notável evolução do raking do mês de junho foi a predominância da família Bugbear, ressaltando-se o seguinte:

- O Bugbear.B empurrou o Klez.I para o quarto lugar na lista dos 10 vírus mais ativos. A única ocasião em que o Klez.I esteve fora da liderança, desde abril de 2002, foi também pelo Bugbear.

- A alta porcentagem das máquinas infectadas pelo Bugbear.B e PSW.Bugbear.B (17,78% e 11,19%) é superior às porcentagens geralmente apresentadas pelo líder da lista dos vírus mais detectados (aproximadamente 10%).

- Quatro dos dez códigos maléficoss mais atuantes pertencem à família Bugbear (incluindo-se o Bugbear.B.Dam, cópias danificadas do Bugbear.B).

Outra diferença inclui a difusão do Mapson, o qual apareceu pela primeira vez no meio de junho, e a ausência do Nimda. Veja abaixo a lista do mês passado:

Vírus ―--―--―--―--―--―--―--―-- frequência (%)

W32/Bugbear.B ―--―--―--―--―--―--- 17,78
Trj/PSW.Bugbear.B ―--―--―--―--―--- 11,19
W32/Mapson ―--―--―--―--―--―--―--- 6,78
W32/Klez.I ―--―--―--―--―--―--―--―- 4,33
W32/Bugbear ―--―--―--―--―--―--―-- 3,96
W32/Parite.B ―--―--―--―--―--―--―--- 2,01
JS/Fortnight.D ―--―--―--―--―--―--―-- 1,86
W32/Enerkaz ―--―--―--―--―--―--―--- 1,82
Trj/JS.NoClose ―--―--―--―--―--―--―-- 1,76
W32/Bugbear.B.Dam ―--―--―--―--―--- 1,69

2/7/2003 - 4:09 Omar Kaminski

O senador Valmir Amaral (PMDB-DF) propôs, em 25 de junho, projeto de lei que modifica o Estatuto da Criança e do Adolescente, para que sejam adotadas providências que impeçam a entrada e permanência de crianças e adolescentes nas casas de jogos em redes de computadores ("lan houses").

Segundo a justificativa do senador, vêm ocorrendo casos de crianças e adolescentes que se tornam viciados nesses jogos e, em razão do vício, sofrem sérios problemas em suas vidas. "Faz-se mister que o Poder Público aja de forma segura, controlando e supervisionando a diversão para evitar excessos que prejudicam os jovens, levando-os ao ócio e à negligência no cumprimento dos seus deveres", afirmou.

A limitação do acesso de crianças e adolescentes às lan houses já vem sendo aplicada de forma localizada, em algumas partes do País.

Em Curitiba, a juíza da 1ª Vara da Infância e da Juventude, Lídia Munhoz Mattos Guedes, baixou portaria em dezembro de 2002 proibindo a permanência de menores de 12 anos desacompanhados dos pais nesses locais. Os adolescentes de 12 a 16 anos podem freqüentar as casas de jogos de computadores até as 22 horas, desde que com autorização escrita de um responsável. Jovens de 16 a 18 anos podem freqüentá-las até a meia-noite. O descumprimento pode ser punido com multa de três a 20 salários mínimos, com interdição do estabelecimento no caso de reincidência.

Em São Paulo, o vereador William Woo (PSDB) apresentou projeto de lei municipal de nº 604/02, propondo que as "lan houses" só funcionem por 12 horas diárias, e que os jogos considerados violentos fiquem restritos aos maiores de idade.

Leia a íntegra do projeto do senador Amaral:

PROJETO DE LEI DO SENADO Nº 250, DE 2003

Acrescenta artigo à Lei nº 8.069, de 13 de julho de 1990 - Estatuto da Criança e do Adolescente -, para dispor sobre o funcionamento de casas de jogos em computadores.

O Congresso Nacional decreta:

Art. 1º A Lei nº 8.069, de 13 de julho de 1990 - Estatuto da Criança e do Adolescente - passa a vigorar acrescida do seguinte dispositivo:

"Art. 80-A. Os responsáveis por estabelecimentos de jogos em computadores ou equipamentos similares cuidarão para que não sejam permitidas a entrada e a permanência de crianças e adolescentes no local em desacordo com determinação da Justiça da Infância e da Juventude, afixando aviso para orientação do público e adotando outras medidas que facilitem o cumprimento da decisão judicial."

Art. 2º Esta lei entra em vigor na data de sua publicação.

Omar Kaminski é advogado especializado em Direito da Informática e responsável pelo site Internet Legal.

2/7/2003 - 3:01 Redação

A Internet Security Systems (ISS) publicou o Índice de Risco Catastrófico (IRC) X-Force, uma lista das vulnerabilidades mais sérias e de alto risco, além de ataques que atualmente afetam redes de computador. Na quarta-feira, dia 9 de julho, às 16 horas (horário de Brasília), peritos e executivos da empresa, incluindo o fundador, Christopher Klaus, participarão de uma conferência via Web ao vivo, para discutir a lista.

O IRC X-Force traz uma relação dos maiores riscos, para que as organizações possam selecionar por prioridades as proteções que deverão aplicar aos seus sistemas ― primeiro os riscos mais sérios em sistemas de missões críticas, depois os bens primários, e em seguida os genéricos. Os riscos catastróficos identificados pelo X-Force seguem os seguintes critérios: invasor de todos os tipos de organizações, por toda a indústria; ameaças sérias à privacidade, integridade e disponibilidade de dados críticos; causa potencial de falhas catastróficas de sistema de negócios; suscetibilidade alta para a criação de vírus e worms.

A lista inclui ferramentas para proteção, informações sobre worms invasores e patches críticos que cobrem falhas de software sérias. O IRC X-Force será usado para interagir com produtos da ISS, como a ferramenta de detecção de vulnerabilidade Internet Scanner, e os sistemas de proteção RealSecure e Proventia. A partir de agora, o índice também será apresentado em todos os relatórios do Internet Risk Impact Summary (Resumo do Risco de Impacto na Internet, IRIS), publicação periódica de tendências de ciberataques, baseada em fatores como dispositivos de segurança monitorados da indústria, ataques reais detectados e vulnerabilidades pesquisadas.

O IRC X-Force e outras informações podem ser encontrados aqui. Para se registrar no encontro online, acesse www.iss.net/about/events/webinars.php.

1/7/2003 - 21:37 Redação

A SonicWall anunciou esta semana o lançamento do ViewPoint 2.0, um software para geração de relatórios e monitorização de produtividade e segurança das redes de comunicação. O ViewPoint 2.0 permite que os administradores controlem as atividades em suas redes, detectando tráfego suspeito e abusos de privilégios na Internet por parte de seus funcionários.

O software apresenta relatórios gráficos em tempo real e históricos que monitoram as atividades de todos os outros dispositivos de segurança de Internet da SonicWall que estejam conectados em uma rede. Os relatórios abrangem vários aspectos, incluindo padrões de uso da rede por indivíduo e por grupo, eventos em determinados dispositivos ou grupos de dispositivos de firewall, além de tipos e horários dos ataques ao firewall.

O produto também pode ser personalizado para exibir os sites mais visitados pelos funcionários, os maiores usuários de Internet, aplicações mais utilizadas e o uso da largura de banda.

Um servidor Web, servidor de registro do sistema (syslog) e banco de dados integrados facilitam a distribuição, utilização e manutenção do software. Sessões simultâneas permitem que vários administradores de rede acessem e visualizem os relatórios sobre as atividades do firewall específicos às suas áreas de responsabilidade.

O ViewPoint 2.0 já está disponível para o mercado brasileiro. Os valores para aquisição do software variam de acordo com a categoria em que se encaixam os clientes. Para obter mais informações, acesse a página www.sonicwall.com/products.