29/7/2004 - 19:02 Redação InfoGuerra

Circula pela Internet um falso e-mail em nome da Varig com a divulgação de uma inexistente promoção especial para o Dia dos Pais. Na verdade, trata-se de mais um golpe do tipo phishing scam, desta vez utilizando-se de um cavalo-de-tróia para capturar dados confidenciais do usuário.

A mensagem chega com o remetente "Promoção@varig.com.br" e, no campo assunto, "Promoção Dia dos Pais Varig!". Em formato HTML, o corpo da mensagem apresenta o logotipo da Varig e um texto explicativo sobre a promoção que sortearia uma viagem com hospedagem gratuita aos vencedores, em Las Vegas. Para participar, a indicação é de que o usuário faça o download de um formulário, em uma página supostamente pertencente à empresa aérea (http://www.varig.com.br/promocao/participe.exe).

Porém, como normalmente ocorre em golpes de phishing, em que falsos e-mails são enviados com o propósito de ludibriar os usuários, os endereços eletrônicos e links para acesso são forjados. O falso endereço apresentado para o download do tal formuário remete a http://www.kri-soft.be/varig/participe.exe, um site belga, com possíveis falhas de segurança e provavelmente usado sem conhecimento dos responsáveis, para dificultar a localização dos golpistas.

Uma análise do arquivo participe.exe, feita no site VirusTotal, mostra que ao ser clicado ele descarrega o trojan PWS-Bancban.gen.b, também conhecido como Troj/Bancban-C e TrojanSpy.Win32.Banker.bf. De acordo com empresas de segurança, esse trojan foi projetado para roubar senhas de bancos brasileiros. Ao ser executado, altera o registro do Windows para entrar em atividade sempre que o sistema operacional for inicializado. Para isso, o cavalo-de-tróia modifica a seguinte entrada: HKLM\Software\Microsoft\Windows\CurrentVersion\Run

A varig publicou hoje em seu site um alerta, informando que a mensagem que está circulando "é falsa e não tem qualquer fundamento, ou alguma ligação com a companhia". Uma imagem do e-mail fraudulento recebido por InfoGuerra pode ser conferida aqui.

Leia também:

Varig alerta para e-mail falso em nome do programa Smiles

29/7/2004 - 5:46 Redação InfoGuerra

Dentre os 4.677 novos vírus detectados pela empresa britânica Sophos durante o primeiro semestre deste ano, o Sasser, apesar de ter surgido em maio, continua no topo da lista dos mais perigosos. Dentre as ocorrências relatadas, o Sasser domina, com mais de 25 por cento, o relatório apresentado pela Sophos. De acordo com a empresa, houve um aumento de 21 por cento na quantidade de pragas detectadas durante os primeiros seis meses de 2004, em comparação com o mesmo período do ano anterior.

O W32.Sasser.worm explora sistemas que não estejam atualizados contra uma vulnerabilidade no serviço Local Security Authority Subsystem Service (LSASS) do Windows, descrita no boletm de segurança MS04-011 da Microsoft. Ao contrário das costumeiras pragas que chegam como anexos em mensagens de e-mail, o worm segue a linha do Blaster e se propaga verificando endereços IP selecionados aleatoriamente de sistemas vulneráveis.

Ao ser instalado, o vírus cria uma cópia de si mesmo como avserve2.exe no diretório de instalação do Windows, tenta criar um arquivo chamado Jobaka3 e é finalizado se a tentativa falhar. É o que ocorre quando usuários do Windows XP são contaminados. Por uma falha, surge na tela do desktop uma janela de aviso explicando que ocorreu um erro e o sistema será desligado em 60 segundos. Segundo a Sophos, o Sasser tem atingido usuários que reinstalam o Windows em suas máquinas e não fazem as devidas atualizações do sistema.

Para o consultor sênior de tecnologia da empresa, Graham Cluley, o Sasser pode ter alcançado a primeira colocação, mas os seis piores vírus do semestre passado foram todos variantes dos famigerados Netsky e Bagle. Eles causaram grandes problemas aos usuários de PCs em todo o mundo, quando seus criadores assumiram publicamente uma disputa para a criação das pragas.

O MyDoom, que está em quinto lugar, recebeu destaque pelos ataques DoS (Denial of Service) lançados contra os sites da MicroSoft e SCO no início do ano. Sua particularidade é a formação de exércitos de zumbis de PCs infectados para que os ataques sejam bem-sucedidos.

O sexto pior vírus do ano, o Zafi-B, que apresenta mensagens políticas, também continua contaminando as máquinas, disseminando-se por e-mail e sistemas de compartilhamento de arquivos peer-to-peer (P2P).

Confira a lista dos dez piores vírus do ano até agora:

1. W32/Sasser - 26.1%
2. W32/Netsky.P - 21.4%
3. W32/Netsky.B - 11.0%
4. W32/Netsky.D - 6.8%
5. W32/MyDoom.A - 4.4%
6. W32/Zafi.B - 4.0%
7. W32/Netsky.Z - 3.1%
8. W32/Netsky.C - 2.4%
9. W32/Sober.C - 1.5%
10. W32/Bagle.A - 1.2%
Outros - 18.1%

Leia também:


Microsoft caça criadores do Sasser e Agobot


Perguntas freqüentes sobre o Sasser


Nova versão do Sasser é considerada de alto risco


Surge primeiro worm a explorar falhas recentes do Windows

28/7/2004 - 14:42 Redação InfoGuerra

Empresas de segurança descobriram que um novo vírus, batizado de Zindos.A, está utilizando como entrada uma porta aberta pela mais recente versão do MyDoom nos PCs infectados. Além disso, a praga, já classificada como de nível médio de periculosidade, é programada para provocar ataques DoS (negação de serviço) dirigidos ao site da Microsoft.

Durante o processo de contaminação, o MyDoom faz o download do trojan Zincite.A, que abre a porta 1034 nos sistemas infectados, sem que o usuário perceba. Aproveitando-se disso, o Zindos.A faz uma varredura pela Web e tenta localizar os endereços IP das máquinas que apresentarem esta brecha de segurança. Sua função é, após instalado, utilizar a conexão Internet do usuário e lançar um ataque DoS contra o site da Microsoft.

Especialistas em segurança acreditam que a porta aberta pelo MyDoom.O foi projetada justamente com a intenção de receber outros códigos maliciosos, como esse. Acredita-se que o Zindos foi desenvolvido pelo mesmo autor da variante MyDoom.O (também chamada de M ou N, depedendo da empresa antivírus).

Quando executado, o Zindos faz uma cópia de sim mesmo para as pastas de arquivos temporários ("temp") do Windows, usando um nome aleatório e a extensão .exe. Pode ser localizado em "C:\windows\temp", "C:\winnt\temp", ou "C:\documents and settings\[usuário]\local settings\temp", de acordo com o sistema operacional utilizado pelo usuário.

Segundo a Panda, o worm cria a seguinte chave de registro para ser executado toda vez que o sistema operacional for iniciado:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run= "Tray" "%file%.exe

Outras entradas no registro do Windows também podem aparecer:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunTray = [Nome do vírus].exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunTray = [Nome do vírus].exe

Logo em seguida, o Zindos inicia os ataques ao site da Microsoft, que têm início apenas três minutos após sua execução. Os ataques possuem intervalos que começam a cada segundo e aumentam o tempo de duração em 0,25 segundo para cada envio de pacotes.

Esta não é a primeira vez em que o autor do MyDoom cria um ataque à Microsoft. Nos meses de janeiro e fevereiro deste ano, as versões B e F do vírus conseguiram tirar o site do ar por algum tempo, obrigando a empresa a recorrer ao uso de um domínio alternativo e temporário para se livrar da ofensiva. Na ocasião o site da desenvolvedora de software SCO também foi alvo do vírus.

Ainda não foram divulgados dados precisos sobre o número de máquinas infectadas pelo MyDoom.O e que, conseqüentemente, podem ser atingidas pelo Zindos. No entanto, a empresa MessageLabs garante ter registado cerca de 600 mil e-mails infectados num período de 24 horas, antes que o ritmo de propagação caísse. A Microsoft já fez declarações de que seu site possui medidas de segurança suficientes para barrar qualquer tipo de ataque que possa surgir em resultado dessa contaminação.

A McAfee atualizou sua ferramenta gratuita Stinger para localizar e remover o MyDoom no Windows. Para fazer o download do programa, basta acessar o endereço http://vil.nai.com/vil/stinger.

Leia também:

Como age a nova versão do MyDoom

MyDoom.F ataca RIAA e destrói arquivos

Nova versão do MyDoom ataca site da Microsoft

Microsoft oferece recompensa pelo autor do MyDoom.B

28/7/2004 - 12:07

Projeções de uma pesquisa do Gartner feita com 5 mil internautas norte-americanos revelam que nos últimos 12 meses quase 2 milhões de usuários de Internet Banking já sofreram algum tipo de fraude. Os prejuízos calculados estão na ordem de US$ 2,4 bilhões, ou seja, US$ 1,2 mil (cerca de R$ 3,6 mil) por vítima.

“Na maioria dos casos, os criminosos desviam o dinheiro dos usuários por meio de senhas roubadas ou de serviços de consultas por telefone”, diz Avivah Litan, vice-presidente e diretor de pesquisa do Gartner, lembrando que nenhuma das situações envolve um contato direto com a vitima.

O analista ressalta que o internauta deve ter muito cuidado ao navegar pela Internet, pois existem programas de espionagem que podem ser instalados ao clicar num pop-up, sem que o usuário perceba. Uma vez instalado o programa, chamado de spyware, ele pode captar e monitorar todos os dados do usuário, como senhas de bancos e de cartões de crédito.

28/7/2004 - 7:07 Redação InfoGuerra

Foi descoberto um bug no navegador Mozilla Firefox que permite a validação de conteúdo falso usando certificados digitais de um site verdadeiro. A vulnerabilidade, descoberta pelo pesquisador britânico Emmanouel Kellinis, é considerada de alto risco e pode ser explorada em golpes de phishing scam. O problema atinge as versões 0.9.1 e 0.9.2 do navegador.

De acordo com Kellinis, o Mozilla Firefox apresenta um problema de caching e, como resultado, pessoas mal-intencionadas podem conseguir utilizar o certificado de um site confiável na Internet, como o de um banco, por exemplo, e fazer os usuários acreditarem que estão visitando o site da instituição, quando estão num site forjado. Esta técnica costuma receber o nome de spoofing.

Com a exploração do bug, é possível até fazer com que o browser apresente o famoso símbolo do cadeado de segurança, na base do navegador, fechado. Quando o mouse é passado sobre o cadeado, o que se vê é o endereço do site de onde o certificado foi aproveitado e, ao se dar um duplo clique para verificação do certificado, não há advertência alguma.

As técnicas de phishing vêm sendo amplamente utilizadas na Internet. Geralmente, disseminam-se por por e-mail para convencer as pessoas a acessarem sites falsos. Nos endereços fraudulentos, que se passam pelos de instituições confiáveis, como bancárias e de e-commerce, o usuário é convidado a atualizar dados cadastrais, inserir senhas e dados pessoais, que são capturados e utilizados posteriormente pelos golpistas, muitas vezes para desviar dinheiro dos correntistas ludibriados.

O relatório sobre a falha descoberta e sua utilização pode ser visto aqui.

Também foi descoberto um outro bug, divulgado pela própria equipe do Mozilla (Bugzilla) e relacionado a certificados digitais, porém de menor gravidade. Refere-se a um ataque de negação de serviço, em que um certificado forjado pode corromper um certificado verdadeiro e impedir o acesso a um site legítimo.

Segundo o que foi publicado na imprensa especializada norte-americana, a equipe do Mozilla está decidindo se vai apenas lançar patches para as brechas de segurança descobertas, ou novas versões isoladas de seus navegadores. A previsão é de que o problema seja corrigido em aproximadamente uma semana.

28/7/2004 - 5:39 Redação InfoGuerra

Desde o início da semana uma nova variante do vírus MyDoom atingiu a Internet. A versão O (ou M ou N, dependendo da fonte) que chega por e-mail, ao entrar em atividade, além de utilizar a lista de endereços arquivadas nos computadores infectados, ainda recorre às ferramentas de busca para encontrar outras vítimas. Na segunda-feira, a lentidão na Web foi constatada em várias partes do mundo, inclusive no Brasil, e o site de buscas Google foi um dos mais atingidos.

De acordo com a empresa de segurança McAfee, a nova versão fez com que milhares de computadores contaminados gerassem, cada um deles, milhares de pedidos de buscas para determinados sites, conseguindo tirá-los do ar em alguns momentos.

Seguindo a linha de seus antecessores, a nova variante do MyDoom chega como arquivo anexado em mensagens de e-mails para se propagar, porém, sua técnica de disseminação é mais apurada. Nomeada com letras de M a O, dependendo da empresa de antivírus, a nova versão coleta endereços eletrônicos no próprio sistema infectado e cria remetentes falsos para as mensagens que carregam seu código malicioso.

De acordo com a Sophos, caso o usuário tenha um endereço como mickeymouse@disney.com, o vírus fará uma varredura no PC em busca de endereços, como fazem outros vírus. No entanto, a nova praga utiliza também as ferramentas www.google.com, www.altavista.com, search.yahoo.com e search.lycos.com para localizar outros endereços de e-mail que terminem com "disney.com".

Para a Trend Micro, as mensagem infectadas normalmente vêm com o assunto contendo as expressões: hello, hi error, status, test, report, delivery failed, Message could not be delivered, Mail System Error - Returned Mail, dentre outras. O arquivo anexo, que jamais deve ser clicado, pode vir com as extensões .zip, .com, .scr, .exe, .pif ou .bat.

Ao receber as mensagens, o usuário é induzido a acreditar que possa tratar-se de um e-mail devolvido por algum erro, e que não conseguiu alcançar o destinatário. Isso porque o MyDoom cria linhas de assunto que simulam uma mensagem de erro de um servidor de e-mails. Também pode chegar simulado em um e-mail supostamente enviado pelo provedor de Internet do usuário ou de sua empresa de suporte, afirmando que os PCs foram seqüestrados por hackers para enviar spams.

A variante detectada atinge os sistemas Windows 95, 98, ME, NT, 2000 e XP. Ao ser ativado se autocopia com nome Java.exe para a pasta do diretório Windows. Também introduz o arquivo Services.exe na pasta Windows e na pasta Temp. O alerta das empresas de segurança é para que os usuários não cliquem em anexos de e-mail e mantenham seus antivírus instalados sempre atualizados.

24/7/2004 - 1:59 Redação

A Etek International do Brasil, empresa voltada à segurança da informação, vai oferecer em setembro um curso noturno preparatório para a certificação CISSP (Certified Information Systems Security Professional), com duração de duas semanas.

A CISSP é considerada uma das mais importantes certificações na área de segurança, com prioridade nas questões de gerenciamento e controle. Mantida pelo (ISC)² (International Information Systems Security Certification Consortium), é indicada para profissionais que atuam em consultoria ou em cargos de gerência ligados à área de segurança da informação.

O curso terá uma carga de quatro horas por dia, durante duas semanas. Ao final do curso, o aluno deverá passar por um exame composto por 250 questões de múltipla escolha, desenvolvidas para testar os conhecimentos nos dez domínios de CBK (Common Body of Knowledge) do profissional da área.

O candidato precisa ter quatro ou mais anos de experiência direta de trabalho em um ou mais dos dez domínios de conhecimento do CBK. Este prazo cai para três anos, caso o pretendente possua curso de nível superior.

Para obter a certificação, o profissional precisa se submeter ao código de ética do (ISC)², passar no exame e, posteriormente, manter sua qualificação por meio da obtenção de créditos de educação continuada. Esses créditos são obtidos, por exemplo, quando o profissional participa de um curso ou uma palestra que comprove seu engajamento profissional na área.

O curso será ministrado entre 13 e 24 de setembro, das 19 às 23 horas, na Etek International do Brasil, em São Paulo. O exame de certificação será realizado no dia 23 de outubro, às 8 horas. Inscrições e informações adicionais podem ser obtidas com Itamara Correa, no telefone ou pelo e-mail icorrea@etek.com.br.

23/7/2004 - 6:56 Giordani Rodrigues

O serviço de e-mail via Web (webmail) do Uol possuía, até a semana passada, uma brecha de segurança que, em determinadas condições, permitia que qualquer pessoa acessasse a conta de e-mail de um assinante do provedor e se apossasse de suas informações. Uma vez conseguido este acesso, o intruso poderia não só ler todas as mensagens armazenadas, como enviar novas mensagens em nome do usuário, apagar mensagens antigas ou mudar as configurações da conta.

O problema foi exposto por um integrante de uma lista de discussão sobre segurança. Segundo seu relato, um amigo lhe enviara uma mensagem com um link de uma foto, que remetia a um endereço no servidor de e-mail do Uol, mas quando ele clicou no link nada apareceu. “Então copiei e colei o link da foto em outra janela, e fui parar direto na inbox do meu amigo”, afirmou. A falha foi constatada logo em seguida por InfoGuerra e por outros integrantes da lista.

Este tipo de situação é denominado de seqüestro de sessão e ocorre quando alguém consegue o controle de serviços online de terceiros enquanto durar a sessão de acesso. No caso do Uol, o seqüestro poderia ocorrer a partir de qualquer URL referente a uma mensagem hospedada no servidor de e-mail do provedor, enquanto o cliente estivesse acessando sua conta via webmail e durante algum tempo depois.

Para explorar a brecha, bastaria que alguém soubesse uma URL válida naquela sessão. Um cenário possível para ataques seria o envio a assinantes do Uol de um e-mail mal-intencionado, contendo um link hospedado no servidor do atacante. Aqueles usuários que abrissem a mensagem via webmail e clicassem no link poderiam facilmente ter suas informações de acesso “logadas” por programas de monitoramento, que registram os endereços de chegada e saída em servidores Web. Com estes endereços seria possível, por algum tempo, ter acesso total às contas de e-mail dos assinantes ludibriados.

O security officer do Uol foi contatado para esclarecer a que se devia o problema e como ele seria solucionado, mas respondeu que não tem permissão para comentar qualquer assunto oficialmente. “Somente a área de imprensa pode fazê-lo”, afirmou. A assessoria de imprensa do Uol também foi contatada, mas não deu nenhum retorno.

Segundo mensagem de outro integrante da mesma lista de segurança, um amigo seu, funcionário do Uol, ao ser informado do problema, escreveu: “Aparentemente, eles já sabiam do problema e estavam negociando a correção com a empresa que fez o sistema (francesa), mas não sei até onde exatamente eles sabiam que ia a vulnerabilidade”.

Antes da publicação desta matéria, alguns testes foram feitos e aparentemente o Uol corrigiu o problema.

16/7/2004 - 20:09 Redação InfoGuerra

O comitê Gestor da Internet no Brasil (CGIbr) divulgou nesta quinta-feira, 15 de julho, o resultado definitivo da eleição que escolheu os representantes da sociedade civil que agora se integram ao órgão.

O processo eleitoral foi realizado no período de 31 de maio a 15 de julho. No total, foram eleitos 11 titulares e 9 suplentes, para os setores de terceiro setor/ONGs; comunidade científica e tecnológica; provedores de acesso e conteúdo da Internet; provedores de infra-estrutura de telecomunicações; indústria de bens de informática, telecomunicações e software; e setor empresarial usuário.

A eleição define os membros da sociedade civil que trabalharão com os representantes dos governos estaduais e federal no Comitê. O CGIBr tem o objetivo de estimular o desenvolvimento da Internet no Brasil, analisar padrões e procedimentos técnicos e operacionais e coordenar a atribuição e registro de IPs e domínios e interconexão de backbones no País.

Veja, abaixo, a relação de todos os escolhidos:

Terceiro setor/ONGs
Titulares:
Mario Luis Teza
Gustavo Gindre Monteiro Soares
Carlos Alberto Afonso
Marcelo Fernandes Costa

Suplentes:
1° Ricardo Antônio Rubens Prado Schneider
2° Roberto Francisco de Souza
3° Edgard Spitz Pinel
4° Thais Rodrigues Corral

Comunidade científica e tecnológica
Titulares:
Luci Pirmez
Luis Fernando Gomes Soares
Nelson Simões da Silva

Suplente:
Omar Kaminski

Provedores de acesso e conteúdo da Internet
Titular:
Antonio Alberto Valente Tavares

Suplente:
Roque Abdo

Provedores de infra-estrutura de telecomunicações
Titular:
Carlos de Paiva Lopes

Suplente:
Alexandre Annenberg Netto

Indústria de bens de informática, telecomunicações e software
Titular:
Henrique Faulhaber

Suplente:
José Carlos Lourenço Rêgo

Setor empresarial usuário
Titular:
Cassio Jordão Motta Vecchiatti

Suplente:
Nivaldo Cleto

14/7/2004 - 20:34 Giordani Rodrigues

Um estudante gaúcho registrou, há pouco mais de um mês, o domínio orkut.com.br. No final de junho, ele pôs o endereço à venda por meio de uma espécie de spam enviado a uma lista de provedores brasileiros. Na época, ele estava pedindo R$ 8 mil pelo domínio. Procurado por InfoGuerra na semana passada, ele afirma que não quer mais vender o endereço e sim dá-lo aos representantes do Google ou do Orkut no Brasil.

Por telefone, o dono do domínio disse que tem 24 anos e que cursa publicidade em Porto Alegre. Ele pediu para que seu nome não seja publicado, apesar de esta informação estar disponível para quem procurar o cadastro do domínio no site do Registro.br.

O estudante, que afirmou trabalhar com web design, admite que sua intenção inicial era vender o endereço, mas diz que mudou de idéia depois. “Andei conversando com amigos e percebi que era melhor não me meter nesse tipo de negócio. Prefiro ter o nome limpo na praça”.

A prática de registrar um domínio com nome de uma empresa ou serviço conhecido e tentar vendê-lo depois é chamada de “cybersquatting” e, apesar de não ser um crime, é considerada antiética e é mal vista no mercado.

O jovem afirma ainda que está tentando encontrar os representantes legais do Google no país e entregar o domínio a eles. A advogada Mariana Furtado, do escritório Montaury Pimenta Machado e Lioce, que possui a conta da Google Inc. no Brasil, disse que até agora nenhum contato foi feito com o escritório a respeito do referido domínio.

O endereço orkut.com.br está registrado em nome de uma empresa de engenharia, pertencente ao pai do rapaz, segundo ele próprio disse. Até ontem, o estudante respondia pelos contatos administrativo, da entidade e de cobrança do domínio, mas nesta quarta-feira, 14, o cadastro foi alterado. Atualmente, ele é apenas o contato da entidade detentora do endereço. Os outros contatos foram transferidos para a empresa STS Informática e Tecnologia, do Rio de Janeiro.

Neste momento, quem tentar acessar o site www.orkut.com.br irá encontrar apenas uma página em branco, mas nem sempre foi assim. No início, o site apresentava banners do provedor OpenWeb, também de Porto Alegre, que hospeda a página. Em seguida, passou a apresentar o conteúdo do site original orkut.com, porém com um frame (quadro) da OpenWeb na parte superior da página. Esta técnica é conhecida como “framing”. Depois disso, passou a redirecionar totalmente a página para o site da rede Orkut, e só agora apresenta a página em branco.

Na opinião do advogado Omar Kaminski, estudioso de questões ligadas a domínios na Internet, “o framing é uma nova modalidade de concorrência desleal”. Ele afirma que colocar o frame de uma empresa num domínio e abrir o site de outra empresa por baixo desse frame é um modo de confundir o usuário. “Este é um fenômeno relativamente comum na Internet, mas muitas vezes passa despercebido. As empresas devem estar atentas para essa questão, bem como para outras, como deep-linking e meta-tags”.

O jovem que registrou o endereço orkut.com.br também registrou o domínio spammer.com.br, no ano 2000. Apesar do nome, ele afirma que este endereço foi criado como uma brincadeira e nunca foi utilizado para enviar spam.

Gmail.com.br

O endereço gmail.com.br também foi registrado logo depois que o Google anunciou seu serviço de e-mail gratuito com um gigabyte de espaço. O domínio está em nome de EliteNet Teleinformática Ltda., uma empresa que estaria sediada em Salvador. Não foi possível fazer contato com esta empresa. O telefone informado no cadastro é “(71) 000-0000” e, segundo o site da Receita Federal, o CNPJ da empresa está cancelado desde o ano 2000.

No site do Registro.br, o status do domínio gmail.com.br consta como congelado. A assessoria jurídica do Registro.br não informou os motivos que levaram ao congelamento do endereço, justificando que “se trata de informação confidencial, disponibilizada somente ao titular do domínio”. Mas acrescentou que o congelamento não se deu por ordem judicial, pois neste caso “essa informação estaria divulgada no status do domínio, nas consultas pelo protocolo whois”.

A assessora do órgão esclareceu ainda que os domínios registrados podem ser congelados por ordem judicial, falta de pagamento pela manutenção do endereço, ou quando instaurado procedimento administrativo devido a irregularidades nos dados cadastrais da entidade associada ao domínio.

A advogada do escritório que representa o Google disse que estava ciente da existência tanto do domínio gmail.com.br, quanto do orkut.com.br, e que providências estavam sendo tomadas. Ela não quis dizer, porém, que providências eram estas.

Leia também:

Kazaa e Audiogalaxy "brasileiros" revelam truques de ciberposseiros

13/7/2004 - 21:51 Giordani Rodrigues

A Microsoft acaba de lançar nada menos que sete boletins de segurança, compondo o pacote mensal para atualizações de seus produtos. São duas atualizações críticas, quatro consideradas importantes e uma de importância moderada. Várias versões do Windows são afetadas pelos problemas ora corrigidos. Entre os patches lançados pela empresa também estão um para o servidor Web IIS 4.0 e um pacote cumulativo para o Outlook Express. Veja, abaixo, a descrição resumida de cada patch, por ordem de importância, junto com o número de identificação de cada boletim e os respectivos links:

Boletim de segurança MS04-022: Corrige uma vulnerabilidade no agendador de tarefas do Windows, encontrada em um buffer não checado previamente. A brecha de segurança pode ser explorada de várias formas, incluindo o acesso a uma página Web maliciosa. Se bem-sucedido, um atacante poderá obter todos os privilégios do usuário “logado” ao sistema. Caso o usuário tenha privilégios de administrador, o atacante poderá tomar controle completo da máquina, o que inclui instalar programas, visualizar, modificar ou apagar dados e criar novas contas com privilégio total. Encontram-se vulneráveis os seguintes sistemas: Windows 2000 versões SP2, SP3 e SP4; Windows XP, XP SP1 e XP 64-Bit Edition SP1.

MS04-023: corrige vulnerabilidades no protocolo HTML Help, relacionado à ajuda do Windows. Da mesma forma que a vulnerabilidade anterior, esta também permite controle total do sistema caso um ataque bem-sucedido seja lançado contra um usuário com privilégios administrativos. A falha pode ser explorada através da Internet, por meio de uma página Web especialmente preparada ou um e-mail malicioso em formato HTML. Versões do sistema operacional desde o Windows 98 até o Windows 2003 Server 64-Bit encontram-se vulneráveis, com exceção de versões do Windows NT.

MS04-019: refere-se a problemas relacionados ao gerenciador de utilitários do Windows. A vulnerabilidade permite que alguém com acesso local restrito à máquina eleve seus privilégios e obtenha controle total do sistema. Não pode ser explorada remotamente. Afeta apenas as versões do Windows 2000 SP2, SP3 e SP4.

MS04-020: outro problema de elevação local de privilégios, relacionado ao Posix (Portable Operating System Interface for Unix). O Posix é um subsistema do Windows que permite a execução de programas desenvolvidos para plataformas Unix. Um ataque bem-sucedido pode fazer com que um usuário local com privilégios restritos ganhe privilégios administrativos. A falha não pode ser explorada remotamente e afeta o Windows NT versões Workstation 4.0 SP6a, Server 4.0 SP6a, Server 4.0 Terminal Server Edition SP6 e Windows 2000 versões SP2, SP3 e SP4.

MS04-021: atualização para o servidor Web Microsoft IIS 4.0, que corrige um problema de buffer overrun no software. Este tipo de falha permite a um atacante sobrescrever os dados do buffer (memória temporária) de um programa com códigos de sua própria escolha. No caso da vulnerabilidade atual do IIS , o bug dá ao atacante controle total do sistema afetado. Segundo a Microsoft, outras versões do IIS além da 4.0 não estão vulneráveis a esta falha.

MS04-024: trata-se de uma vulnerabilidade na forma como a Shell do Windows carrega aplicativos. A Shell é a interface para interação com o sistema operacional e no Windows é tipicamente chamada de Desktop. A falha pode ser explorada remotamente, por meio de uma página Web ou um e-mail HTML maliciosos, e dá a um atacante controle total do sistema se o usuário atacado estiver no nível administrativo. A brecha de segurança já vem sendo explorada há alguns dias pelo cavalo-de-tróia Download.Ject ou Scob. Todas as versões do Windows são vulneráveis.

MS04-018: esta atualização resolve uma vulnerabilidade no Outlook Express (OE), do tipo negação de serviço, proveniente de brechas na verificação de cabeçalhos de email malformados. O patch também muda a configuração padrão de segurança no OE 5.5 SP2 e serve como pacote cumulativo de atualizações para o popular cliente de e-mail da Microsoft.

Todos os boletins lançados hoje pela empresa podem ser encontrados aqui.

Leia também:

IE continua vulnerável mesmo após patch da Microsoft

Microsoft desabilita software utilizado pelo Scob

Tudo sobre Scob e seu ataque a servidores da Internet

13/7/2004 - 4:51 Carlos Alberto Costa

A segurança da informação gera sempre muitas dúvidas nas pessoas, que vão desde as mais básicas, como usar ou não o internet banking, até as mais complexas, relacionadas a fraudes eletrônicas, como e-mails falsos enviados em nome dos bancos aos correntistas, clonagem de cartões de crédito e até o chamado redirecionamento de DNS, quando um computador finge se passar por outro para roubar informações. Entretanto, existe um tema ainda pouco explorado, mas que merece atenção das empresas: a segurança nas aplicações.

O desenvolvimento de software evoluiu muito nos últimos dez anos. Saímos da programação procedural e cliente-servidor para a orientação a objetos e aplicações web, com um novo modelo de desenvolvimento baseado em “n” camadas e arquitetura distribuída. Partimos de um mundo em que se desenvolvia para um usuário interno, num universo restrito e controlado -– empresa -–, para aplicações de uso amplo que têm como usuário final qualquer pessoa em qualquer lugar do planeta. Esta mudança trouxe consigo inúmeras questões relativas à segurança da informação que não podemos ignorar.

O primeiro aspecto diz respeito à arquitetura das soluções. Geralmente as empresas preocupam-se somente com a segurança entre o browser e o servidor web. Para tanto usam o protocolo seguro https como solução. Além de não ser suficiente, essas empresas ignoram solenemente tudo o que vem depois. Cotidianamente flagramos informações sensíveis trafegando sem proteção do servidor web para legado e banco de dados. Além disso, poucas preocupam-se devidamente com o armazenamento seguro nos seus bancos de dados.

Outro aspecto é o desenvolvimento em si. Comete-se o erro primário de imaginar na aplicação web que quem vai estar do lado do usuário e conversando com o servidor é a aplicação que escrevemos, e não tratamos adequadamente questões essenciais nesta interação, abrindo espaço para diversas ferramentas que exploram vulnerabilidades nos parâmetros esperados. Tal situação possibilita ataques que podem indisponibilizar serviços, acessar informações confidenciais e até mesmo dar domínio da máquina ao atacante. São ataques do tipo: Sql Injection, Buffer Overflow, DoS, DDoS etc.

É surpreendente como as empresas e os profissionais de TI estão despreparados para lidar com esta nova realidade. Percebe-se o completo desconhecimento que muitos dos atuais desenvolvedores no mercado têm sobre os aspectos de segurança da informação no desenvolvimento sob arquitetura web.

Falar de programação segura pode ser novidade para muitos. Afinal, as próprias universidades só vêm abordando o assunto há pouco tempo. Entretanto, existem hoje ferramentas de análise de segurança e padrões de codificação para os desenvolvedores Java e .NET que não podem mais ser ignoradas pelos profissionais e empresas sob o risco de expor suas aplicações a fragilidades de segurança críticas. Não se trata de apregoar o medo, mas aumentar o nível de consciência do problema e dar o tratamento que o assunto merece.

Muitos afirmarão que o número de empresas vítimas desse tipo de problema ainda é pequeno. Não há números confiáveis a respeito, mas é certo que estão crescendo cada vez mais. Prova disso é o crescimento exponencial das ferramentas para explorar vulnerabilidades nas aplicações, que estão disseminadas pela Internet para quem se dispuser a coletá-las.

É preciso acabar de vez com o mito do hacker ou cracker dotado de uma habilidade tecnológica fenomenal para vencer desafios de segurança. A Internet criou uma legião de malfeitores de conhecimento tênue, mas com ferramentas poderosas em suas mãos para fazerem estragos surpreendentes nas empresas e em nossas vidas.

Já é possível perceber sinais de maturidade no tratamento desta questão por parte do setor financeiro. Os bancos são consumidores habituais de um tipo de serviço vulgarmente chamado de Ethical Hacking de aplicações, que valida a segurança das aplicações antes de irem para produção. Este tipo de trabalho ajuda na formação de um círculo virtuoso de aprendizagem para o desenvolvedor de aplicações, sendo um dos caminhos efetivos para a difusão da nova cultura. Em paralelo, cada vez mais surgem novas ferramentas para apoiar um desenvolvimento seguro e as universidades despertaram para a necessidade de ensinar os conceitos de programação segura e começam a preparar melhor os futuros profissionais. Prova de que, apesar de todo o problema exposto, há iniciativas a serem comemoradas.

Carlos Alberto Costa é presidente da Open Communications Security

9/7/2004 - 18:45 Giordani Rodrigues

Foi descoberta uma vulnerabilidade no navegador Mozilla, que afeta usuários do sistema operacional Windows. O problema se encontra no uso da função "shell" e permite acessar recursos locais ou provocar um ataque de negação de serviço no sistema.

O prefixo "shell" usado em endereços numa máquina Windows envia ao Explorer uma chamada para acessar arquivos determinados. Por exemplo: "shell:cookies" dá acesso à pasta que contém os cookies armazenados no sistema. Quando este comando é associado a uma extensão de arquivo específica, o aplicativo relacionado àquela extensão é executado junto com o arquivo. Quando este arquivo não existe, o sistema pode travar, gerando uma negação de serviço.

O problema maior é combinar esta característica com falhas pré-existentes nos aplicativos, como buffer overflows, possibilitando a execução de códigos arbitrários. Segundo alerta publicado pela empresa de segurança Secunia, um dos aplicativos que poderiam ser usados em ataques deste tipo seria o conversor de grupos para o administrador de programas do Windows (grpconv.exe), associado à extensão GRP como padrão. Arquivos GRP com nomes longos (cerca de 230 caracteres) podem provocar um estouro de memória no sistema e a conseqüente execução de códigos maliciosos.

A falha foi divulgada no dia 7 de julho e, no dia seguinte, a equipe de desenvolvedores do Mozilla já havia providenciado uma correção para o bug, a qual pode ser encontrada aqui.

Encontram-se afetadas as versões do Mozilla 0.x e de 1.0 até 1.6, além do Mozilla Firefox 0.x e Mozilla Thunderbird 0.x. Apenas os navegadores rodando no Windows XP Home Edition e XP Professional apresentam problemas, mas não as versões para Linux ou Macintosh.

8/7/2004 - 2:56 Redação

A incidência da nova variante do worm Bagle, a AD, cresceu mais de 50 vezes em 24 horas, informou a empresa de segurança Trend Micro, no final da tarde desta quarta-feira. O Brasil está entre os 10 países mais atingidos até o momento, e a América do Sul é a terceira região mais afetada.

O cálculo foi feito com base no sistema House Call, da Trend Micro, com o qual internautas de todo o mundo fazem análises online de seus computadores em busca de vírus. O sistema registra a presença ou não de vírus e a região em que a máquina verificada está localizada. Há quase dois meses a empresa não identificava nenhuma ameaça classificada como de alto ou médio risco.

O Bagle.AD se propaga via e-mail através de SMTP (Simple Mail Transfer Protocol) próprio e por meio de arquivos compatilhados em rede. Uma vez executado, o vírus faz cópias de si mesmo em arquivos que contenham a palavra "shar" no nome, ou então, em arquivos na pasta de sistema do Windows, com os seguintes termos: loader_name.exe, loader_name.exeopen e loader_name.exeopenopen.

O Bagle.AD também previne a ação de outro conhecido worm, o Netsky. A praga usa em seus arquivos os formatos de compressão UPX e PeX e afeta os sistemas Windows 95, 98, ME, NT, 2000 e XP.

Confira a lista dos 10 países mais atingidos até o momento, segundo a Trend Micro:

Estados Unidos
Japão
Taiwan
Coréia do Sul
França
Reino Unido
Canadá
Itália
Austrália
Brasil


Leia também:

Bagle volta a atacar em duas novas versões

7/7/2004 - 0:00 José Luis Lopez

Este fim de semana, apareceu um novo worm, com uma característica nova surpreendente, ainda que o worm em si mesmo não tenha nada de surpreendente.

Em termos gerais, “Evaman” (até o momento com duas versões detectadas, W32/Evaman.A e W32/Evaman.B) é um worm como vários outros, que infecta ao ser aberto o anexo e se envia da máquina afetada a outras, usando diferentes endereços de e-mail para propagar-se. O worm está catalogado como de baixo risco pela maioria dos fabricantes de anti-vírus.

O texto das mensagens infectadas pretende fazer crer que se trata de uma devolução do servidor de envio de e-mails ("Delivery to last recipient failed. Email returned as attachment text file" etc.). Mas ainda que indique que o anexo é a mensagem retornada, o arquivo na verdade é um executável.

O remetente é falso, e é formado por uma lista de nomes aos quais se agrega o domínio do destinatário. Deste modo, se seu endereço é "maria23@Hotmail.com", o remetente poderia ser "daniel@Hotmail.com" ou "sarah@Hotmail.com" (daniel e sarah são dois dos nomes que o worm traz em sua lista).

Mas o curioso é o método que utiliza para conseguir a lista de endereços às quais se enviar e, assim, propagar-se. O worm gera seqüências aleatórias de dois ou três caracteres e com elas envia consultas ao endereço "email.people.yahoo.com", tentando obter os e-mails de todos os usuários cujo primeiro nome inclua as seqüências geradas.

E aqui está o problema, já que se trata, ao menos, de uma grave omissão do Yahoo!: deixar que os e-mails de seus usuários sejam tão facilmente acessíveis por qualquer um que deseje vê-los.

Para comprovar como é fácil obter os e-mails do Yahoo!, basta seguir este endereço: http://email.people.yahoo.com

Em seguida, em "Email Search", no campo "First Name:" (nem sequer é necessário inserir algo em "Last Name:"), apenas ponha uma letra qualquer e um asterisco, por exemplo: A*




E voilá!... Terá visível pelo menos os primeiros 200 e-mails dos usuários registrados nesse serviço. E não apenas os endereços do Yahoo.com, mas também as informações de contato que o usuário tenha deixado em seu perfil de configuração.




Funciona da mesma forma se se colocar apenas uma letra e o asterisco no campo "Last Name:".

Sem dúvida este vazamento de informações trata-se de uma grave omissão do Yahoo!, agora revelada publicamente pelo worm Evaman. Por acaso os usuários do Yahoo! sabiam que seus dados podiam ser acessados tão facilmente? Deste modo, não só poderão ser vítimas de spam, mas também da possível infecção de um worm.

Até o momento em que este artigo foi escrito o buscador do Yahoo! continuava se comportando como descrito aqui, por isso não seria estranho ver, no futuro, outras variantes deste ou outros worm que se aproveitem de furos similares.

José Luis Lopez é editor do site VSAntivirus. Texto publicado sob autorização. URL original: http://www.vsantivirus.com/06-07-04.htm

Tradução de Murilo Pinto.

6/7/2004 - 19:20 Redação InfoGuerra

A Websense, empresa especializada em filtragem de conteúdo Web, uniu-se ao Grupo de Trabalho Anti-Phishing (APWG, na sigla em inglês) para notificar seus clientes de novas fraudes e ameaças de “phishing”. O APWG é uma associação de empresas que visa combater fraudes e roubos de identidade online, especialmente as baseadas em falsificações de sites e e-mails de corporações.

Conforme se descubram novos golpes, esses sites Web serão adicionados ao banco de dados da empresa e automaticamente enviados aos usuários do Websense Security PG. Em troca, os processos de busca automatizados e a rede de armadilhas (honeynet) da Websense, uma série de “potes de mel” que atraem e “prendem” as tentativas não autorizadas de entrar nos sistemas computacionais das vítimas, serão relatados ao APWG.

No gateway da Internet, as URLs que são identificadas como golpes de “phishing” serão incluídas na nova subcategoria “Phishing e outras Fraudes”, que é atualizada diariamente juntamente com os downloads do banco de dados Websense. Quando um cliente implementa uma política de bloqueio para a subcategoria, os funcionários que clicarem nas URLs de phishing embutidas nos e-mails terão o acesso bloqueado ao site falso. Os clientes atuais do Security PG receberão as atualizações gratuitas de forma automática.

Os ataques de phishing utilizam e-mails enganosos e sites da Web fraudulentos que parecem vir de instituições confiáveis, como sites financeiros e de comércio eletrônico, desenvolvidos para enganar os destinatários e levá-los a divulgar suas informações confidenciais. De acordo com o Anti-Phishing Working Group, as ameaças de phishing chegaram a um recorde de 1.125 golpes diferentes em abril desse ano, contra 402 em março.

6/7/2004 - 19:03 Murilo Pinto

O Comitê Gestor da Internet no Brasil (CGIBr) divulgou hoje a lista provisória da eleição de representantes da sociedade civil no órgão. Ainda cabem recursos ao resultado, que deve sair definitivamente no dia 12 de julho. Mantidos os votos atuais, já estão eleitos nove titulares das áreas de Terceiro Setor/ONGs, Comunidade Científica e Tecnológica, Provedores de Acesso e Conteúdo e da Indústria de Informática, Telecomunicações e Software.

Para algumas vagas em que houve empate haverá segundo turno, como na de titular e suplente do setor Empresarial Usuário. Nesses casos apenas as entidades dos respectivos setores deverão votar. Caso persista o empate, o candidato mais idoso vencerá.

A eleição define os membros da sociedade civil que trabalharão com os representantes dos governos estaduais e federal no Comitê. O CGIBr tem o objetivo de estimular o desenvolvimento da Internet no Brasil, analisar padrões e procedimentos técnicos e operacionais e coordenar a atribuição e registro de IPs e domínios e interconexão de backbones no País.

Para votar, era preciso fazer parte de um colégio eleitoral, definido entre abril e maio. As entidades devidamente inscritas votaram em um dos candidatos indicados. A votação foi feita online, e os eleitores identificaram-se com certificados digitais válidos sob o âmbito da Infra-estrutura de Chaves Públicas Brasileira. Mas mesmo quem não conseguiu obter um certificado digital a tempo pôde votar justificando o problema.

Confira a lista com os resultados e os votos de cada entidade no site do CGIBr.

Leia também

Kaminski, candidato ao CG, fala ao LatinoamerICANN

6/7/2004 - 9:58 Redação InfoGuerra

O jornalista Giordani Rodrigues, diretor-editor do site InfoGuerra, estará sendo entrevistado hoje, ao meio-dia, no Canal 21. Os temas tratados serão os vírus de computador e a segurança na Internet de modo geral. A entrevista faz parte da programação da Rede 21 para a região de Curitiba, mas poderá ser sintonizada em cidades próximas, no canal 21 UHF e nos canais 16 pela TVA, e 21 pela NET. Para mais informações sobre a programação da Rede 21, visite o site www.canal21.com.br

5/7/2004 - 21:26 Redação InfoGuerra

Três das maiores nações falantes do inglês, Estados Unidos, Reino Unido e Austrália, uniram-se para combater o spam. Os países assinaram memorandos de entendimento para estabelecer meios conjuntos de investigação e coação à prática do spam.

Segundo o site inglês The Register, o ministro das Comunicações do Reino Unido convidou outros países a se unirem à “cruzada” contra o spam e afirmou que o projeto não irá solucionar o problema de imediato, mas se juntará a outras iniciativas comerciais, soluções técnicas e ao conhecimento prático dos usuários.

O presidente da FTC, órgão norte-americano que regula as comunicações, disse que o spam ilegal (sic) não respeita fronteiras nacionais, e que o acordo é um passo adiante para ajudar agentes legais de três continentes a nivelar recursos no combate ao spam.

O ministro das Comunicações, Tecnologia da Informação e Artes australiano afirmou se tratar de um bem-vindo sinal de que os EUA e o Reino Unido, assim como a Austrália, reconhecem o spam como um problema sério e querem tomar ações práticas contra o problema.

Ainda segundo o Register, o Reino Unido sediará um encontro de cerca de 30 países para discutir medidas legais anti-spam e meios de descobrir e prender spammers.

5/7/2004 - 21:06 Redação InfoGuerra

O Bagle volta a ganhar duas novas versões. Depois de um mês relativamente calmo no campo dos vírus, ambas as versões do worm foram consideradas de risco médio pelas empresas antivírus. As variações AD e AE carregam-se na memória da máquina infectada e chegam por e-mail e por arquivos compartilhados em redes e aplicativos P2P. A única diferença entre as duas versões é a técnica utilizada para compressão dos arquivos.

Ao serem executados, os novos Bagle criam cópias na pasta de sistema do Windows e exibem uma falsa mensagem de erro com o texto “Can’t find a viewer associated with the file”. Depois, passam a ser executados a cada inicialização do Windows, e utilizam servidores SMTP próprios para se enviar a endereços de e-mail encontrados em arquivos com diferentes extensões, evitando endereços com algumas expressões, como @microsoft, google e textos ligados a empresas antivírus. A mensagem pode chegar com várias linhas de assunto, corpos e anexos diferentes, incluindo um arquivo ZIP protegido com senha ― que é enviada no texto do e-mail. O endereço do remetente também é falsificado com um dos endereços encontrados na máquina infectada. O worm usa um ícone de um arquivo de texto do WordPad.

O Bagle ainda remove entradas de registro associadas ao Netsky e copia-se para pastas que possuem “shar” no nome, em uma tentativa de enganar usuários de redes compartilhadas ou de trocas de arquivo. Para isso, suas cópias adotam nomes de programas populares. O worm também utiliza mutex para evitar concorrer com versões do Netsky.

As versões AD e AE do Bagle possuem ainda um servidor de porta dos fundos, um finalizador de processos, um sistema de envio por e-mail de notificações de infecções, e códigos para infectar outros arquivos do computador. Todas essas funcionalidades estão desativadas, à exceção da porta dos fundos. O servidor funciona, mas não recebe nenhum comando remoto e trava após conectar com o cliente, o “dono” da porta dos fundos.

Os novos Bagle ainda possuem opções de linha de comando que permitem “desinstalá-lo” e “atualizá-lo”, passando de uma versão anterior para as atuais. Também carregam o código-fonte do worm e uma mensagem do autor que afirma ter sido criado em abril, na Alemanha.

Leia também

Número de alertas sobre vírus em 2004 já supera o de 2003

Vírus têm novas versões mesmo após prisão dos autores

Vírus Bagle ganha 7 novas versões

Worm Bagle finge ser um teste e se espalha com rapidez

5/7/2004 - 18:29 Murilo Pinto

A atualização liberada pela Microsoft na última sexta-feira para o Internet Explorer não soluciona a falha usada pelo Scob para instalar programas no computador da vítima. A atualização apenas desativa o controle ActiveX específico utilizado no ataque do Scob, o ADODB.Stream, mas não outras técnicas que obtêm resultados semelhantes.

Foi divulgada em listas de discussões sobre segurança de informática uma prova de conceito inócua que, de acordo com o site VSAntivirus, mesmo com a atualização da Microsoft instalada abre uma janela do prompt de comando (cmd.exe). O código a ser executado na máquina do usuário poderia ser qualquer outro, de modo a danificar o sistema.

A técnica demonstra que continua sendo possível executar programas no computador do usuário do Internet Explorer apenas ao se visitar um site, sem exigir nenhuma ação do internauta.

Como se proteger

Para navegar de modo mais seguro, VSAntivirus recomenda desabilitar totalmente os controles ActiveX e o Javascript na zona de segurança padrão, a “Internet”.

Para isso, clique em Ferramentas/Opções da Internet/Segurança e depois em “Nível Personalizado”. Neste nível, desative todas as opções relacionadas a “Plug-ins e controles ActiveX” e a “scripts”. Essa configuração pode impedir alguns recursos de navegação e visuais em alguns sites. Mas, nesses casos, é possível adicionar, criteriosamente, sites confiáveis em uma zona menos restrita.

Na mesma guia “Segurança” das “Opções da Internet”, selecione a zona de “Sites Confiáveis”, selecione “Nível personalizado” e redefina a segurança como nível “Médio”. Depois, adicione os sites que deseja tenham maior acesso ao seu computador clicando no botão “Sites” e desmarcando a opção “Exigir verificação do servidor (https:) para todos os sites dessa zona”. Os domínios podem ser incluídos por inteiro, incluindo http:// ou ftp://, por exemplo, ou com “wildcards” como *. Usuários do Hotmail, por exemplo, devem incluir os seguintes domínios nessa zona: “*.msn.com”, “*.passport.com” e “*.hotmail.com” para acessarem normalmente os serviços de e-mail.

Essa configuração impede qualquer controle ActiveX ou script ativo de ser executado em seu computador por sites que não sejam explicitamente autorizados pelo usuário.

Leia também

Microsoft desabilita software utilizado pelo Scob

Tudo sobre Scob e seu ataque a servidores da Internet

2/7/2004 - 19:46 Murilo Pinto

Um antigo hoax (boato) sobre um vírus chamado “A Bíblia dos Monges” parece ter começado a circular no País. A mensagem original teria surgido na França, chegou à Espanha no fim de 2001 e depois atingiu os Estados Unidos.

O e-mail afirma que “nas próximas semanas” não se deve abrir mensagens eletrônicas, não importando de quem venham, com o assunto “A Bíblia dos Monges”, já que se trataria de um vírus que poderia "apagar todo o disco rígido C".

O teor da mensagem original é bastante semelhante ao do hoax “Novas Fotos de Família”. O texto em português provavelmente foi adaptado da versão espanhola, já que tem alguns erros ortográficos “herdados” desse idioma.

O “Bíblia dos Monges” incorpora o célebre “envie a todos os seus contatos” e ainda uma frase de outro boato, divulgado por uma empresa norte-americana, que funciona como convencimento para o leitor: “É preferível receber 25 vezes esta mensagem que perder tudo”.

Mensagens de e-mail com anexos são sempre potencialmente perigosas, independentemente de quem as envie, já que os endereços e identificação do remetente podem ser facilmente forjados. Mas não há porque se preocupar com esse "vírus" em especial (já que ele não existe) ou, de modo geral, com textos que peçam para ser enviados de forma maciça. Quase sempre, as informações são falsas.

Confira o e-mail que circula em português:

ATENÇÃO!!!
Durante as proximas semanas estar atento e nao abrir "A Bíblia
dos Monges" independentemente do quem lhe enviou o mail.
POR FAVOR FAÇA CIRCULAR ISTO ENTRE TODA SUA FAMILIA E AMIGOS.
Nao ABRIR a "Bíblia do Monjes''. É um vírus que pode apagar
todo o disco rígido C:
Este vírus vem de uma pessoa conhecida da sua lista de
endereços.
Por favor, envie este e-mail a todos seus contactos.
É preferível receber 25 vezes esta mensagem que perder tudo.
Se você receber um correio chamado ''Los Monjes.Com" você nao
abre: Apaga imediatamente! Este vírus suprime os arquivos inteiros de seu
computador.

POR FAVOR FAÇA CIRCULAR esta MENSAGEM

2/7/2004 - 19:09 Murilo Pinto

A Microsoft lançou nesta sexta-feira, 2 de julho, uma atualização crítica para o Data Access Components que desabilita o recurso ADODB.Stream para o Internet Explorer. Uma vulnerabilidade nessa função permitia a instalação remota de arquivos no computador dos usuários, comprometendo a segurança do sistema. A falha foi uma das utilizadas nos ataques recentes envolvendo o cavalo-de-tróia Scob.

O ADODB.Stream é um controle ActiveX que permite que aplicativos Web instalem arquivos necessários à sua execução no computador local, e sozinho não representa grandes riscos. Mas em conjunto com outras falhas de segurança, faz com que o Internet Explorer possa executar scripts remotos com as mesmas permissões do usuário local. Técnicas que exploram a função são conhecidas há pelo menos dez meses, e a Microsoft vinha sendo duramente criticada por causa disso.

A Microsoft mantém uma página em português com informações sobre o ataque do Download.Ject, nome pelo qual a empresa se refere ao Scob. A atualização de segurança pode ser baixada aqui.

Leia também

Tudo sobre Scob e seu ataque a servidores da Internet

1/7/2004 - 21:22 Murilo Pinto

Uma vulnerabilidade existente há seis anos, divulgada em 30 de junho último e que se supunha afetar apenas o Microsoft Internet Explorer para Windows também está presente em outros navegadores da Web e sistemas operacionais. De acordo com notas da Secunia e da VSAntivirus, entre os softwares vulneráveis estão Mozilla (inclusive o Firefox e algumas versões para Linux) Konqueror (para sistemas Linux), Netscape, Opera e Safari, além do Internet Explorer para Macs. A falha já existia no Internet Explorer 3 e 4, que foram corrigidos na época, mas voltou nas versões posteriores.

O problema permite a chamada “injeção de frames”, que pode fazer com que o navegador abra uma página qualquer dentro de um quadro (“frame”) de um outro site. Em um ataque malicioso, um site poderia trazer um link que abriria automaticamente um site confiável mas com partes de sites ou códigos externos, de modo que o usuário acredite se tratar do site legítimo.

A técnica é especialmente interessante para golpistas que agem em “phishing scams”. Esses golpes tentam simular sites de empresas ou órgãos governamentais de renome para que os usuários e clientes enviem informações pessoais e bancárias para os fraudadores.

Teste seu navegador

De acordo com as notas divulgadas, primeiro pela Secunia e com algumas versões adicionadas pela VSAntivirus, os seguintes navegadores são afetados: Internet Explorer 5.x para Mac, Internet Explorer 6, 5.5, 5.01, Konqueror 3.x, Mozilla 0.x, Mozilla 1.0, Mozilla 1.1, Mozilla 1.2, Mozilla 1.3, Mozilla 1.4, Mozilla 1.5, Mozilla 1.6, Mozilla 1.7, Mozilla Firefox 0.x, Netscape 6.x, Netscape 7.x, Opera 5.x, Opera 6.x, Opera 7.x e Safari 1.x. Apenas o Firefox 0.9 para Linux e para Windows e o Mozilla 1.7 para Windows e algumas versões de Linux são imunes à falha.

Mas se quiser comprovar por você mesmo, teste seu navegador seguindo os passos desta página. (em inglês), elaborada pela Secunia.

Para não ser vítima deste tipo de ataque, evite seguir links em mensagens de e-mail, sites duvidosos ou fóruns de mensagens online.

Leia também

Novos golpes usam componentes do IE e pop-ups

Cuidado: não siga links em mensagens não solicitadas

Vírus usa falha do IE e infecta a partir de imagem BMP

Problema no IE e OE facilita "phishing"

Erro do IE permite "roubar" certificados de segurança

1/7/2004 - 19:48 Redação InfoGuerra

O mês de junho foi o mais calmo do ano em atividade de vírus e outras ameaças semelhantes. Segundo a Trend Micro, o nível de contaminações por vírus caiu 5% em relação ao mês anterior e nenhum alerta de segurança de médio ou alto risco foi emitido. Os dados da empresa baseiam-se em seu sistema de detecção online de ameaças.

O pior vírus do mês foi o Zafi-B, mas o Netsky manteve oito das dez primeiras posições em número de infecções. Junho viu surgir também o primeiro vírus autêntico para celulares, o inofensivo Cabir.

Os dados da Sophos são semelhantes: o Zafi-B respondeu por 30% das infecções detectadas pela rede de monitoramento da empresa. As várias versões do Netsky aparecem em segundo, com 18% das infecções, seguidas pelo Sasser (6,8%), Bagle (1,2%) e Sober (0,7%).

Para a empresa, a atenção dada pela mídia ao Sasser e ao Netsky ajudaram a conscientizar os usuários para a importância de manter sistemas de segurança atualizados.

Leia também

Autor do Sasser virou herói na escola

Número de alertas sobre vírus em 2004 já supera o de 2003

Como manter seu sistema atualizado

Criado primeiro vírus para celulares

Zafi-B ataca firewalls e antivírus e em vários idiomas

1/7/2004 - 19:29 Murilo Pinto

O servidor de sites Apache, utilizado por quase 70% dos servidores em todo o mundo, acaba de ganhar uma nova versão. A versão 2.0.50 do software não traz grandes novidades em termos de recursos e funcionalidades, mas resolve vários bugs. Em especial, duas falhas de segurança importantes são solucionadas, de acordo com a fabricante do produto, a Apache Software Foundation.

Uma das vulnerabilidades corrigidas é a que permitia ataques de negação de serviço a partir de um erro no tratamento dos cabeçalhos HTTP, informações enviadas, por exemplo, por navegadores ao acessar os sites armazenados no Apache. Um ataque bem-sucedido causaria um consumo excessivo de memória e impediria o funcionamento regular do servidor.

Outro problema estava presente no módulo mod_ssl, responsável por autenticar conexões seguras, criptografadas, nos sites hospedados no Apache. Um ataque poderia sobrescrever algumas informações enviadas na conexão e causar uma negação de serviço ou mesmo tomar controle total do servidor afetado.

Segundo a fundação Apache, o 2.0.50 é o melhor servidor que já lançaram. A fornecedora recomenda a todos os usuários do Apache que instalem a atualização, compatível com todos os módulos compilados para a versão 2.0.42 e acima.

Muitos dos sites ainda utilizam as versões 1.x do Apache. O novo ciclo de desenvolvimento possui uma série de novidades, mas ainda não é considerado maduro por muitos administradores.

1/7/2004 - 18:42 Redação InfoGuerra

Os "santinhos" eletrônicos ― spams com conteúdo eleitoral ― já invadem a caixa postal de milhares de eleitores em todo o país. Como seus equivalentes off-line, “sujam” o ambiente e causam prejuízos econômicos aos destinatários das mensagens e outros envolvidos, como provedores de acesso à Internet.

O entendimento do Tribunal Superior Eleitoral (TSE) é de que a publicidade eleitoral pela Internet sofre as mesmas restrições que a realizada por outros meios, mas o órgão se resume à propaganda feita em páginas Web e não por e-mail. Também não toca na questão do spam eleitoral, mensagens eletrônicas que, além de conterem propaganda de candidatos, são enviadas sem a autorização de seus destinatários. Há cerca de uma semana, a advogada carioca Ana Amelia de Castro Ferreira enviou uma consulta pública ao TSE para que definisse estas questões.

O prazo para propaganda eleitoral legalizada inicia em 6 de julho, e o descumprimento da norma pode resultar em multa entre R$ 21.282,00 e R$ 53.205,00 para o responsável pela divulgação e para o beneficiário, caso seja provado o conhecimento prévio deste. No entanto, as mensagens a que InfoGuerra teve acesso, postadas numa lista de discussão sobre spam, ainda não parecem se enquadrar no que o TSE define como campanha de candidatos.

Entre as mensagens recebidas estão uma do diretório municipal do PT paulistano, uma do deputado federal pela Bahia Jutahy Magalhães Júnior (PSDB) e uma da deputada estadual do Rio de Janeiro Georgette Vidor (PPS).

Todos têm a o formato de boletins regulares, com meios de se descadastrar. Mas ainda que fossem enviados com a permissão prévia dos destinatários, o problema se manteria. O endereço de e-mail informado para descadastramento no boletim de Jutahy Magalhães Jr. não funciona, e o contato de Georgette Vidor para que o internauta deixe de receber suas mensagens deve ser feito por telefone.

Leia também

Spam é o vencedor das eleições 2002

1/7/2004 - 14:20

A SonicWALL promoverá na próxima semana a versão brasileira de um seminário sobre riscos e ataques às redes de comunicação. Com o título "Risk – The Only Risk Worth Taking", o seminário acontecerá nos dias 6 de julho (terça-feira) em São Paulo e 8 de julho (quinta-feira) no Rio de Janeiro.

No evento, será discutida a segurança de redes e a maneira mais eficaz para os administradores e gerentes de TI protegerem seus sistemas. O evento será dividido em três sessões: a primeira trata da sofisticação de ataques cibernéticos; a segunda abordará os quatro tipos de cenários ameaçadores aos quais as redes estão expostas e, na última, serão comentados os passos recomendados para prevenir tais ataques.

Entre os tópicos abordados também estão os modos mais recentes de ataques a redes e como se proteger deles; a atuação de vírus, worms e cavalos-de-tróia; e as brechas de segurança que podem expor as redes de computadores.

Em São Paulo, o seminário ocorrerá no auditório da AmCham, na Rua da Paz, 1431, Chácara Santo Antônio. No Rio, será no Business Club One, na Avenida Rio Branco, 1. Em ambas as cidades o horário das apresentações será das 9 às 12 horas. Os interessados devem confirmar presença no site da empresa, até o dia 2 de julho.