31/8/2004 - 19:45 Redação InfoGuerra

Evento reuniu 800 pessoas em Salvador

A preocupação com o impacto das novas tecnologias em todas as áreas científicas e o seu reflexo no Direito foi o principal foco do III Congresso Internacional de Direito e Tecnologia da Informação (Cibercon). O evento, que ocorreu no final de agosto, em Salvador, na Bahia, debateu assuntos ligados aos avanços tecnológicos, Justiça, cidadania e economia.

O balanço oficial dos três dias do evento, organizado pelo Instituto Brasileiro de Política e Direito da Informática (IBDI), apresenta 34 palestrantes de seis países (Brasil, Inglaterra, França, Espanha, Chile e Uruguai), 17 debatedores, 698 congressistas de mais de 20 estados brasileiros, além de convidados e autoridades, totalizando mais de 800 participantes.

Foram treze blocos de estudos entre conferências, mesa-redonda e painéis, além de duas sessões de comunicação de trabalhos técnicos, nas quais foram apresentados 14 trabalhos previamente analisados e selecionados pela comissão científica.

Entre os temas abordados estavam o Direito da Informática, governo eletrônico, inclusão digital, comércio na Internet, tributação do comércio eletrônico, certificação digital, emprego das novas tecnologias no judiciário, propriedade intelectual, direito penal no ciberespaço e o livre acesso à informação. Todos tratados com foco em suas relevâncias e reflexos sociais. Paralelamente ao III Cibercon ocorreu o I Fórum Baiano de Software Livre.

Como síntese das conclusões, foi lavrada a Carta de Salvador, lida no encerramento do evento pelo Relator Geral, Fábio Reis, que segue na íntegra:

Carta de Salvador

Como bem sabemos, a sociedade está mudando. Certamente, com maior rapidez e objetivando o interesse não do homem, mas dos que querem aguilhoar o homem. E os pretensos conquistadores das terras digitais propõem trocas como os descobridores sempre costumavam compor. Nossos índios trocavam seu ouro pelo know-how do tamanco. Queremos repetir a história. Contudo, neste momento do tempo, nós temos armas, boas armas para mudar esse estigma e criar um novo paradigma, bem como nortear nossos sonhos a fim de que se tornem realidade. Afinal, sonhos quando não perduram em sonhos acabam criando um verdadeiro pesadelo.

Destarte, é oportuno que não só a cidadania, em termos de exercício direto nos moldes de nossa libertária constituição, se torne realidade, posto que ao cidadão é que cabe o exercício direto dos desígnios do Brasil, por meio de projetos de lei de iniciativa popular, de referendum e de plebiscito.

A Internet é o melhor instrumento para concretizarmos esse objetivo. Com a certificação e a assinatura digitais, as prerrogativas constitucionais, que são apenas palavras, podem se tornar verbo. O momento é de hacktivismo, para que se efetive a inclusão digital tão clamada hoje em nossos tempos.

Recomenda-se a reflexão sobre a legislação vigente em lugar de promover a hiperinflação legislativa, enfatizando a necessidade de se debruçar sobre o estudo do fato social, fugindo da análise meramente legalista, mediante a constante busca da humanização da tecnologia.

Recomenda-se que o papel fiscalizador do Estado deva ser transparente face às crescentes iniciativas de consolidação de bases de dados, mediante deliberação conjunta com a sociedade civil, visando à preservação da intimidade e dignidade dos cidadãos e cidadãs.

Recomenda-se o uso da tecnologia no fortalecimento da democracia participativa, da ampliação do espaço público e na promoção da transparência das ações governamentais.

Recomenda-se a aplicação do Direito Penal Informático mínimo.

Recomenda-se flexibilizar as formas de apropriação e desapropriação da cultura; a propriedade intelectual e digital deve nortear-se pelas finalidades sociais que lhes são intrínsecas.

Recomenda-se o fortalecimento, a articulação e a disseminação da filosofia do software livre, robustecendo os vínculos entre esta filosofia e sua interação com os movimentos sociais.

Recomenda-se o uso de documentos e assinaturas digitais para a prática de atos processuais, tendo em vista as vantagens para a celeridade, redução de custos e efetividade do processo. A certificação digital dos atores processuais há de ser emitida pela entidade que tenha o poder e a competência de atribuir as suas respectivas qualidades, devendo os juízes ser certificados pelo Poder Judiciário, os Promotores pelo Ministério Público e os advogados pela OAB.

Recomenda-se ao Poder Judiciário que mantenha sua autonomia constitucional em relação ao uso de sistemas de certificação digital, a exemplo do que propõe a OAB, que oferece uma solução livre e de código aberto, visando unir esforços e reduzir os custos com a implantação de soluções tecnológicas para adequar as rotinas processuais automatizadas.

Salvador, 28 de Agosto de 2004

Comissão Organizadora

Comissão Científica

28/8/2004 - 13:38 Redação InfoGuerra

Durante três meses de investigação, cerca de 150 pessoas suspeitas da prática de crimes e fraudes online foram detidas pelo Departamento de Justiça dos Estados Unidos (DoJ). Os suspeitos foram identificados durante uma operação batizada como Operation Web Snare, que envolveu em todo o país, mais de 160 investigações federais sobre crimes praticados pela Internet. De acordo com o comunicado divulgado pelo DoJ, a operação realizada entre 1 de junho a 26 de agosto enfocou crimes econômicos online, como phishing, roubo de identidade para prática ilegais, fraudes diversas, pirataria de softwares, invasão de computadores e de propriedade intelectual.

Durante a operação, mais de 160 investigações foram abertas. O DoJ afirma que foram identificadas cerca de 150 mil vítimas totalizando perdas estimadas em mais de 215 milhões de dólares. Mais de 140 autorizações de busca e apreensão foram executadas.

Como exemplos do resultado da operação, foram divulgados casos como o da condenação de um romeno e cinco cúmplices residentes nos Estados Unidos que conspiraram para roubar mais de 10 milhões de dólares em equipamentos de computador da empresa Ingram Micro. O Departamento também cita indiciamentos, como no caso de um ataque de DoS (Denial of Service) para obter vantagem comercial. Jay R. Echouafni, oficial executivo da empresa Orbit Communication Corporation, de Massachusetts, foi indiciado por um júri federal por conspiração e danos a computadores da empresa, devido ao ataque.

De acordo com o DoJ, Os casos envolvidos mostraram a extensão da atividade criminal online, que envolve crimes tradicionais com técnicas específicas de informática, como os casos de invasão de sistemas e programas maliciosos de computadores.

A recente operação é uma extensão das “Operation E-Com” e “Operation Cyber Sweep”, anunciadas respectivamente em maio e novembro de 2003. A E-Com atingiu mais de 130 suspeitos e a Cyber Sweep, 125. A iniciativa envolveu organizações federais, estaduais e municipais dos Estados Unidos e agências de execução de lei estrangeiras.

27/8/2004 - 18:56 Redação InfoGuerra

As notícias de um possível ataque de ciberterrorismo islâmico, que deveria ter paralisado a Internet, ontem, tiveram o mesmo resultado das freqüentes previsões sobre a data do Apocalipse. O “Jihad eletrônico” não aconteceu e a Internet continua como antes.

Alguns sites especializados em segurança, como Attrition, InfoWarrior e Reznor entraram no clima e ironizaram o episódio, laterando suas próprias páginas niciais como se fossem defacements (desfigurações de sites) oriundos dos tais ataques.

O especialista em hoaxes (boatos) Rob Rosenberger, editor do site Vmyths, diante da conclusão de que tudo não passaria de uma histeria infundada, pediu ao fundador da empresa antivírus Kaspersky que se manifestasse sobre o assunto, já que algumas declarações suas foram vinculadas às notícias internacionais sobre o assunto.

Em resposta, Eugene Kaspersky alegou que durante a entrevista coletiva em Moscou, na qual teria se originado toda a história, não houve tempo suficiente para explicações mais detalhadas sobre o assunto.

Kaspersky disse que em alguns em sites da Arábia crackers árabes anunciaram o 26 agosto como o dia do "Jihad eletrônico" contra Israel e também emitiram um chamado aos crackers de todos os países para uma participação combinada. “Nós não esperávamos por nada de ruim naquele dia e tínhamos a certeza de que nada de realmente sério aconteceria”, afirmou.

“Ao nosso ver, o ruim é que eles começaram a usar o termo “Jihad eletrônico” e pensam em um ataque agressivo (ao contrário do modo passivo usado pelos sites anti-Israel ). A Caixa de Pandora está aberta. Nós veremos resultado cedo ou tarde”, comentou Kaspersky.

O fundador da Kaspersky Labs também relatou uma série de previsões sobre supostos ataques virtuais, que foram emitidos pela empresa. “Em 2004 começamos a alertar sobre um possível e-terrorismo... Eu sinto muito, não quero ser e-Cassandra, mas...,” escreveu em tom profético.

Rosemberg discorda da Kaspersky Labs em relação ao uso de termos como "e-terrorismo" ou ciberterrorismo. “Grupos terroristas legítimos almejam uma coisa acima de tudo: medo. Hackers e escritores de vírus nunca demonstraram o medo que objetivam. Lutadores pela liberdade no Timor Oriental aprenderam duramente esta lição, em 1999. Nenhum grupo terrorista se preocupará em organizar um "jihad eletrônico” até que possa explorar o medo real”, argumentou.

Leia também:

"Jihad eletrônico" não passou de sensacionalismo

26/8/2004 - 20:33 Redação InfoGuerra

O dia 26 vai chegando ao fim em todo o mundo e a Internet não parece ter sofrido nenhum tipo de abalo, ao contrário das notícias de que a rede seria paralisada hoje por um ataque terrorista. Aparentemente, a história partiu do site russo MosNews.com, que chegou a citar comentários dos especialistas em vírus Alexander Gostev e Eugene Kaspersky, ambos da empresa antivírus russa Kaspersky Labs, corroborando a informação. Mas ontem mesmo o especialista em hoaxes (boatos) Rob Rosenberger, editor do site Vmyths, fez uma análise sobre o assunto e a conclusão foi de que tudo não passaria de uma histeria infundada.

De acordo com Rosenberger, a notícia veiculada pelo MosNews é derivada de uma outra publicação feita pelo Lenta.ru que, por sua vez, foi baseada na informação de um noticioso de Novosti. "São várias notícias derivadas e cada uma delas é citada como fonte principal de informação, à medida que são publicadas. E, ainda, tais histórias originaram-se na Rússia, onde muitas agências de notícias foram transformadas em tablóides sensacionalistas”, comentou.

De acordo com a análise do Vmyths, as notícias sobre o ataque traziam vários pontos questionáveis. Gostev teria usado a frase "supostamente os Estados Unidos e a Europa Ocidental sofrerão o ataque na quinta-feira”, enquanto Kaspersky teria lembrado "que ataques semelhantes paralisaram anteriormente a Internet na Coréia do Sul”, e acrescentou que seria “impossível” deter organizações terroristas. “Como esperado, o noticioso de Novosti descreveu os ciberterroristas como 'fundamentalistas islâmicos' que declararam a quinta-feira como um dia de jihad eletrônico", ironizou Rosenberger.

Ainda segundo o Vmyths, Gostev e Kaspersky alegaram que tomaram conhecimento sobre o ataque ciberterrorista em "sites especializados" e Gostev admitiu que "é difícil afirmar o quanto é verdadeira essa informação".

"Declarações como estas levantaram a bandeira de alerta do Vmyths, que considera que as publicações interpretaram mensagens deixadas por fanfarrões narcisistas e não por ciberguerreiros islâmicos. Alexander Gostev e Eugene Kaspersky foram citados fora de contexto, mas não se sabe até que ponto”, disse o editor.

Os indicadores do Internet Storm Center, do conceituado SANS Institute, mostram a cor verde neste momento, indicando que o tráfego na Internet está normal. “Não existe evidência alguma, clara e objetiva, para um Armagedon de Internet num futuro próximo”, concluiu Rosenberger.

26/8/2004 - 7:06 Redação InfoGuerra

Mais um hoax (boato) está circulando pela Internet, desta vez, aproveitando-se da popularidade dos jogos olímpicos, em Atenas. O e-mail divulga a existência de um vírus que chegaria anexado às mensagens eletrônicas com o nome “Últimas de Atenas”, mas tal informação é falsa.

A mensagem, uma variante de outras tantas do gênero, possui todas as características de um hoax, como palavras com letras maiúsculas e pontos de exclamação em demasia, tom alarmista e pedido de repasse da mensagem a todos os amigos. Tudo isso aliado a uma alegação, no mínimo, hilariante: o tal vírus é considerado tão perigoso que, ao ser executado, abriria uma tocha no micro infectado e queimaria todo o disco rígido.

O texto é similar à versão nacional do boato sobre a "Bíblia dos Monges", que circulou recentemente pela Internet brasileira. Os dois hoaxes usam, por exemplo, a seguinte frase: “É preferível receber 25 vezes esta mensagem que perder tudo”. A frase é velha conhecida em textos desse gênero e serve para convencer o leitor a repassar a mensagem a todos os seus amigos.

As empresas antivírus consultadas ainda não têm informações sobre este novo hoax, mas também não trazem descrição de nenhum vírus como o descrito na mensagem. Até existe um vírus que leva o nome de Athens-1561 ou Trojector.1561, mas não deve ser visto como motivo de preocupação. Trata-se de um antigo vírus de DOS, descoberto em 1992 e, portanto, é seguramente detectado por programas antivírus atuais. Sua primeira aparição se deu na Universidade de Manchester, no Reino Unido. Ao ser executado, este vírus acrescentava exatamente 1561 bytes aos arquivos do tipo .COM e .EXE.

Confira, abaixo, a reprodução do texto do hoax:

AVISO IMPORTANTE!!!

ATENÇÃO!!!

Durante as próximas semanas fiquem atentos e não abram nenhum e-mail com o arquivo anexo "Últimas de Atenas", independentemente do quem lhe
enviou o e-mail.

POR FAVOR FAÇA CIRCULAR ISTO ENTRE TODA SUA FAMILIA E AMIGOS.

Não ABRIR o anexo "Últimas de Atenas".
É um vírus que abre uma tocha no seu micro e queima todo o seu disco rígido C:
Este vírus vem de uma pessoa conhecida da sua lista de endereços.

Por favor, envie este e-mail a todos seus contatos. É preferível receber 25 vezes esta mensagem que perder tudo. Se você receber um correio chamado "Últimas de Atenas.com" você não abra!!!!

Apague imediatamente! Este vírus suprime os arquivos inteiros de seu
computador.

Leia também:

Antigo boato sobre “Bíblia dos Monges” surge em português

Empresa usa falso vírus para vender seus produtos

Vírus "Novas Fotos de Família" é falso

25/8/2004 - 10:05 Redação InfoGuerra

Foi detectado um novo worm com a capacidade de monitorar os usuários através de webcams e microfones instalados no PC das vítimas. O W32/Rbot-GR permite o acesso remoto, por meio de canais de IRC, à máquina infectada e se propaga via unidades compartilhadas com senhas inseguras, aproveitando-se de vulnerabilidades existentes no sistema operacional Windows.

A praga ainda pode ser usada para roubar senhas e chaves de registro de diferentes programas e jogos, como Counter-Strike, The Gladiators, Half-Life, Microsoft Windows Product ID, Unreal Tournament 2004, entre outros. O worm também recebe os nomes de Backdoor.Rbot.gen, W32/Sdbot.worm.gen.g e W32.Spybot.Worm, dependendo da empresa antivírus.

O Rbot-GR se aproveita de vulnerabilidades já detectadas e corrigidas no Windows, em serviços como WebDav, RPC/DCOM e UPnP. Também se prevalece de servidores Microsoft SQL com senhas inseguras, estouro de buffer em certas versões do gerenciador remoto para Windows DameWare e arquivos abertos por outros worms, como o MyDoom, Troj/Optix, Troj/Kuang ou Troj/NetDevil.

"Se seu computador é infectado e você tem uma webcam instalada, tudo o que você faz na frente do computador pode ser visto, e tudo o que você diz pode ser registrado", afirma Graham Cluley consultor da Sophos. “Cada vez mais, os hackers estão interessados em espiar as pessoas infectadas com seus worms e trojans. No ambiente de trabalho, este worm abre as possibilidades para que ocorra uma espionagem industrial. No ambiente doméstico, equivale a um desconhecido que invade a sua privacidade sondando através das cortinas”.

Ao ser executado, o worm faz uma cópia de si mesmo para a pasta do Windows System com o nome SYSTEMC32.EXE. Em seguida, cria entradas no registro do Windows para entrar em atividade toda vez que o sistema for iniciado. Utilizando a Internet, conecta-se com um canal específico de um servidor de IRC, de onde o atacante poderá enviar vários comandos específicos para prejudicar o sistema, como: iniciar ataques de negação de serviço; iniciar uma sessão remota; descarregar, copiar, deletar e executar arquivos; roubar senhas; registrar a digitação no teclado; realizar capturas de imagens; capturas de webcam; listar e encerrar processos, abrir e fechar vulnerabilidades; escanear portas em busca de outros equipamentos vulneráveis, enviar e-mail e deletar o sistema.

A Sophos considera que o Rbot-GR é a evidência de uma tendência crescente entre os malwares: a de espionar usuários domésticos e negócios desprotegidos. "Como muitos usuários domésticos mantêm seus PCs desprotegidos, há um considerável potencial para o abuso. A mensagem é simples: mantenha seu PC protegido contra as mais recentes ameaças com programas de antivírus e firewall e, na dúvida, desconecte sua Webcam quando não estiver em uso”, aconselhou Cluley .

25/8/2004 - 9:28 Redação InfoGuerra

A Websense lançou o Websense Security Labs, serviço que fornece pesquisas e atualizações periódicas de informações sobre segurança referentes a sites maliciosos, ataques do tipo phishing e outras ameaças emergentes associadas com keylogging (captura do teclado), spyware, anexos em programas de mensagens instantâneas, aplicativos ponto-a-ponto (P2P) de uso corporativo, entre outras.

O produto foi desenvolvido para descobrir, investigar e relatar às empresas sobre as ameaças avançadas da Internet, para que possam estar atualizadas quanto à proteção de seus ambientes computacionais.

Segundo a assessoria da Websense, a equipe responsável pelo site explora e analisa diariamente cerca de 24 milhões de páginas na Web, em busca de códigos móveis maliciosos (MMC) e brechas, utilizando uma rede global de "iscas", formada por computadores desprotegidos. As descobertas são usadas para estudar suas técnicas, ações e comportamentos em uma rede corporativa.

Com as informações obtidas é possível descobrir e oferecer, com maior rapidez, uma solução, antes mesmo que as assinaturas antivírus estejam disponíveis, o que diminui o tempo de exposição.

Para tratar dos diversos tipos de ameaças que existem online, a ferramenta está dividida em múltiplas seções de conteúdo. O site comunica os alertas de ameaça e problemas de segurança atuais, e ainda oferece um fórum para que os visitantes enviem dados sobre recentes ataques e obtenham informações sobre como minimizá-los. Além disso, novos envios serão adicionados ao banco de dados de URL, aplicativos ou protocolos, para download imediato.

24/8/2004 - 15:40 Redação InfoGuerra

O Brasil subiu para o quarto lugar no ranking dos países campeões na produção de spams, enquanto a liderança continua com os Estados Unidos. Este é o resultado do recente relatório da Sophos sobre uma pesquisa efetuada em sua rede global de centros de monitoração durante o mês passado.

Dentre os 12 países monitorados, os Estados Unidos permaneceram novamente na primeira colocação, exportando 42.53% de todo o spam que circulou na Internet. O Brasil, que ocupava a sexta posição no relatório de fevereiro de 2004, passa agora para o quarto lugar, produzindo 6,17% de todo o spam. Coréia do Sul (15,42%) e China (11,62%) ocupam, respectivamente, o segundo e terceiro lugares.

"Quase nove meses se passaram desde que os Estados Unidos lançaram sua legislação CAN-SPAM na tentativa de banir as mensagens indesejáveis, mas parece que a lei teve pouco impacto, pois sem dúvida o país é ainda o maior exportador de spam do mundo”, afirmou Graham Cluley, consultor-sênior de tecnologia da Sophos. "O Canadá conseguiu fazer algum progresso ao reduzir em mais da metade o volume de lixo virtual enviado pelo país ― de 6.8% seis meses atrás, para 2.9% hoje”, acrescenta.

A Coréia do Sul, país com maior número de conexões de banda larga do mundo, quase triplicou a porcentagem de mensagens originadas no país desde fevereiro passado, consolidando sua segunda posição no ranking de produtora líder de spams.

A Sophos aconselha os usuários de PCs a não adquirir produtos promovidos via spam. Além da motivação dos spammers ser mantida pelo retorno positivo das mensagens emitidas, a mpresa não descarta a possibilidade de que muitos dos computadores responsáveis pelo envio de spams tiveram suas conexões banda larga exploradas remotamente por terceiros. De acordo com o relatório, máquinas "seqüestradas" enviam aproximadamente 40% de todo o spam mundial, sem o conhecimento aparente dos seus responsáveis.

"Foram sugeridas muitas medidas para atacar o problema do spam ― desde a cobrança para o envio de email até mecanismos de autenticação do remetente ― mas essas medidas isoladas não resolverão o problema. Apenas a combinação de tecnologia, legislação internacional e atitudes do usuário conseguirão dar um fim neste lixo virtual," conclui Cluley.

24/8/2004 - 4:57 Redação InfoGuerra

Uma nova versão do ataque conhecido como Download.Ject ou trojan Scob foi identificada na Internet e pode comprometer máquinas que rodem o sistema operacional Windows. Descoberto pela empresa de segurança PivX Solutions, a nova versão segue a anterior e tem como principal objetivo instalar um trojan para capturar senhas e dados financeiros da vítima. O novo download.ject já recebeu os nomes de JS/Scob.B, Scob.B, StartPage-EU, Download.Ject2, JS/Ject.B, HTML/Ject.B, Download.Ject-style, dependendo da empresa de segurança.

O ataque pode ter início por meio de uma mensagem de e-mail ou de mensagens instantâneas enviadas por programas como AIM ou ICQ. O texto traz a indicação de um endereço de site pessoal na Web para a visitação e, ao ser acessada, a página maliciosa tenta infectar o usuário por meio de vulnerabilidades já conhecidas no navegador Internet Explorer e publicadas no boletim MS04-25 da Microsoft. A página inicial do navegador é modificada para a de um site identificado como TargetSearch, que abre várias janelas com conteúdo adulto.

O link indicado leva o usuário a uma página que contém um exploit que se aproveita de uma vulnerabilidade conhecida como "Object Data" no Internet Explorer. Caso o sistema esteja desatualizado, surge uma janela pop-up, incumbida de redirecionar automaticamente o usuário para outra página que contém outro exploit. Este, se aproveita de outra vulnerabilidade já conhecida, a "MHTML Redirect", para processar um script e executá-lo na zona de segurança local do usuário.

Tal script faz referência a um arquivo CHM (um formato executável de ajuda HTML), que contém um trojan capaz de explorar uma outra vulnerabilidade, a "CodeBase", para instalar-se nos sistemas vulneráveis. Assim que o cavalo-de-Tróia se executa, modifica a página inicial do Internet Explorer e suas opções de busca são apontadas para um site que contém diversos endereços para conteúdos pornográficos.

O primeiro ataque Download.ject surgiu em junho passado e os servidores utilizados para comprometer as máquinas dos usuários também foram vítimas de ataques de terceiros. Um trojan foi utilizado para adicionar um Javascript malicioso em alguns sites da Web. Ao ser executado, conseguia descarregar e executar outro arquivo malicioso, armazenado em um servidor localizado na Rússia e usado para infectar as máquinas dos usuários.

De acordo com o analista da PivX Solutions LLC, Thor Larholm, desta vez os atacantes inseriram o código em vários servidores localizados nos Estados Unidos, Rússia e Uruguai, aparentemente com o conhecimento de seus proprietários. Alguns dos sites são dedicados à pornografia ou oferecem publicidade a outros servidores.

Fontes como CRN.com, VSAntivirus e InfoWorld informam ainda que, segundo Larholm, o navegador Internet Explorer 6 rodando no Windows XP, mesmo com todas as correções de segurança, pode ser atingido. Por outro lado, fontes como IDG, notificam que apenas sistemas sem as atualizações indicadas no boletim MS04-025, lançado no final de julho pela Microsoft, estão vulneráveis. Em qualquer caso, os sistemas Windows XP como o Service Pack 2 não seriam afetados.

Leia também:

IE ganha novo pacote de correções críticas

21/8/2004 - 22:55 Redação InfoGuerra

O tão aguardado Windows XP Service Pack 2 (SP2), que já chegou marcado por extensa lista de incompatibilidades com outros programas e recomendações de cautela para a instalação, agora enfrenta a análise de empresas de segurança. Já foram descobertas duas falhas de segurança no pacote de atualizações, lançado oficialmente há pouco mais de uma semana. Apesar de não serem consideradas graves, as brechas permitem que algumas das novas características de segurança sejam ludibriadas.

Divulgadas pela empresa alemã Heise Security, as vulnerabilidades estão relacionadas à forma com que o Windows XP SP2 identifica os arquivos baixados pelo Internet Explorer ou arquivados em mensagens de e-mail do Outlook Express, usando a nova característica chamada “Identificador de Zona”, ou ZoneID.

O ZoneID é responsável pelos alertas assim que o usuário tenta abrir arquivos provenientes de fontes duvidosas. Com uma das falhas, os arquivos seriam abertos sem que qualquer notificação de alerta fosse enviada, facilitando, por exemplo, a ação de vírus. De acordo com o relatório da empresa alemã, a exploração da brecha depende de interação com o usuário, o que reduz as chances de ser bem-sucedida. Um caso possível seria um usuário receber um e-mail com a sugestão, ainda que camuflada, para a execução de um determinado comando que pudesse causar danos ao computador.

Outra vulnerabilidade, considerada como um erro de programação, ocorre devido à incapacidade do SP2 em atualizar de imediato a informação do ZoneID quando um determinado arquivo é renomeado. Para a Heise, a falha pode permitir que um atacante ou um vírus iludam temporariamente as mensagens de advertência, simplesmente renomeando a extensão de um arquivo malicioso, como um executável, para um nome inocente, como .GIF.

Nenhuma das falhas pode ser explorada remotamente e requerem que o usuário local realize certas ações, como a abertura de janelas de comandos ou renomeação de arquivos. Porém, a Heise adverte que alguns antivírus também poderiam ser ludibriados com a troca do nome de arquivos.

A Microsoft foi informada sobre as falhas, mas respondeu oficialmente que não existe conflito algum nas novas proteções projetadas, o que não leva à necessidade de um novo patch.

Incompatibilidades

Lançado oficialmente no dia 10 de agosto, o Windows XP Service Pack 2 é focado na segurança do sistema operacional e foi desenvolvido para corrigir uma extensa lista de vulnerabilidades. Mas além de ser considerado como um pacote de correções, o SP2 atualiza diversos componentes do sistema. O pacote inclui novas versões do Windows Media Player e Direct X, novos conectores para Bluetooth, MovieMaker 2.0, um novo System Update Server e ainda uma atualização do Microsoft System Management Server (SMS) 2003.

Devido às novas implementações, algumas empresas de grande porte, como a IBM, decidiram não atualizar seus sistemas de imediato, por receio de que ocorresse alguma incompatibilidade com os programas normalmente usados. A consultora Gartner também aconselhou seus clientes que agissem com cautela.

A previsão de que a atualização poderia resultar em incompatibilidades com programas já instalados nas máquinas realmente estava certa. A própria Microsoft divulgou uma relação de vários aplicativos que apresentaram problemas após instalação do SP2. Na lista estão até mesmo alguns softwares da Microsoft, assim como vários programas antivírus e de proteção, servidores Web, games e aplicativos de comunicação.

Além da incompatibilidade, a Microsoft alertou sobre os problemas apresentados com o sistema de firewall nativo do XP. Por padrão, ele é ativado automaticamente no pacote SP2, o que pode ocasionar falhas na conexão com redes externas.

Para evitar que o setor corporativo fosse prejudicado, a Microsoft distribuiu para as empresas uma ferramenta de bloqueio temporário do download do SP2 por meio do Windows Update. O SP2 Blocker Tool tem validade para 120 dias, contados desde o dia 16 de agosto.

21/8/2004 - 21:20 Redação InfoGuerra

A Cisco lançou um alerta sobre uma vulnerabilidade que expõe a ataques de negação de serviço dispositivos que usam o sistema operacional IOS configurados para roteamento OSPF (Open Shortest Path First). As correções já foram liberadas pela empresa.

O OSPF é um protocolo projetado para controlar a distribuição do IP (Internet Protocol) dentro de um Autonomous System (sistema de roteamento de uma rede ou grupo de redes pertencente a uma entidade).

De acordo com o boletim da Cisco, a vulnerabilidade ocorre no processamento de um pacote do OSPF e sua exploração pode ser feita enviando-se um pacote malformado para um dispositivo vulnerável, resultando no reload (regarregamento) do sistema. Repetidas explorações podem resultar num ataque do tipo DoS (Denial of Service).

A falha pode ser explorada remotamente, devido à necessidade de processamento dos pacotes OSPF Unicast e Multicast, além de permitir que um atacante atinja múltiplos sistemas no segmento local ao mesmo tempo. Entretanto, para obter sucesso, o atacante precisa conhecer algumas informações sobre as configurações do sistema atacado, como o número de área do OSPF, netmask da rede (máscara de bits que identifica o número de rede e o número do host de um IP), e configurações de alguns timers (controladores de tempo) do sistema.

Como o protocolo OSPF não é habilitado por padrão, deve ser configurado explicitamente.

Estão vulneráveis todos as revisões das versões 12.0S, 12.2 e 12.3 e as correções para o problema já foram liberadas pela empresa. Todas as versões anteriores a 12.0 e as revisões das versões 12.0 e 12.1 não são vulneráveis.

Para contornar o problema, a Cisco recomenda utilizar autenticação MD5 no protocolo OSPF. Assim, os pacotes sem uma chave válida não serão processados. Também é aconselhável bloquear o trafego utilizando ACLs (listas de controle de acesso) em máquinas que não possuam permissão de acesso direto a equipamentos de infra-estrutura.

21/8/2004 - 20:43 Redação InfoGuerra

Mais uma vulnerabilidade no navegador Internet Explorer foi detectada. A falha, descoberta por hacker que usa o apelido de "http-equiv", pode ser explorada por terceiros para comprometer os sistemas afetados e afeta, inclusive, sistemas atualizados com o Windows XP SP2, lançado recentemente pela Microsoft.

De acordo com o alerta de segurança divulgado pela empresa Secunia, a vulnerabilidade é causada por um problema de validação no comando “arrastar e soltar” (drag and drop), quando utilizado na transferência de arquivos da Internet para recursos locais.

Pode ser explorado por meio de sites maliciosos para descarregar na máquina da vítima um arquivo aparentemente inocente, como uma imagem, que poderia ser enviada automaticamente para a pasta iniciar do Windows. Desta forma, o arquivo malicioso, um possível executável, poderia entrar em atividade assim que o sistema fosse reiniciado.

Uma "prova de conceito" já está disponível na Internet, mas ainda não foi detectada exploração real da vulnerabilidade. O " exploit" requer a interação da vítima ao arrastar um arquivo da Internet, mas pode ser facilmente modificado. Assim, o "arrastar e soltar" poderia ser substituído por um simples clique do mouse sobre um endereço na Web.

A falha foi confirmada pela equipe da Secunia em sistemas operacionais Windows, atualizados com todos os patches de segurança da Microsoft. Afeta o Internet Explorer versão 6.0, inclusive em sistemas com o XP SP1 e o recente SP2.

Como ainda não existe correção disponível para o problema, a recomendação é para que os usuários desativem a opção Active Scripting do Internet Explorer, ou utilizem navegadores alternativos.

Leia também:

Nova vulnerabilidade do IE facilita ataques phishing

Falha do IE também afeta outros navegadores e sistemas

Novos golpes usam componentes do IE e pop-ups

Cuidado: não siga links em mensagens não solicitadas

Vírus usa falha do IE e infecta a partir de imagem BMP

Problema no IE e OE facilita "phishing"

Erro do IE permite "roubar" certificados de segurança

19/8/2004 - 19:09 Redação InfoGuerra

Foi detectada uma nova vulnerabilidade no navegador Internet Explorer, que permite falsear o endereço de um site na Web. O problema facilita a técnica conhecida como URL Spoof, na qual endereços de páginas Web são falsificados para ludibriar o internauta. A falha pode ser explorada para golpes do tipo phishing com a finalidade de capturar dados sigilosos, como senhas bancárias e números de cartão de crédito.

De acordo com a empresa de segurança Hispasec, nos sistemas afetados, ao clicar no link indicado numa mensagem de e-mail ou em sites maliciosos, uma nova janela do navegador é aberta, com o mesmo endereço em sua barra de endereços. Na prática, poderia ser uma página clonada, com falso endereço de um site legítimo, desenvolvida com o intuito de ludibriar os usuários.

A empresa preparou uma página de testes para que o usuário verifique se o seu navegador está vulnerável. Devido às características do problema e sua forma de exploração mais elaborada, pode ser necessário que o usuário tenha uma conexão rápida de acesso à Internet. Em alguns casos esse procedimento pode originar um DoS (Denial of Service), por abrir múltiplas janelas do navegador.

Também podem ocorrer casos em que os programas de antivírus detectem a presença da página clonada e impeçam a sua execução, dependendo dos critérios de segurança utilizados, como reconhecimento de exploits e scripts maliciosos. Porém, conforme o comunicado, nenhum dos antivírus usados pela empresa espanhola detectou as páginas de demonstração da vulnerabilidade que foram criadas para testes.

A falha afeta a última versão do Internet Explorer, mesmo com todos os patches de correção instalados. Porém, não estão vulneráveis os navegadores presentes no Windows XP com o Service Pack 2 instalado.

Para evitar este e outros tipos de ataques, recomenda-se que o usuário jamais clique sobre os links referentes à instituições financeiras que sejam enviados por mensagens de e-mail. Uma instituição legítima dificilmente envia qualquer tipo de comunicado por e-mail, solicitando atualização e confirmação de dados cadastrais ou mesmo oferecendo promoções e sorteios.

Falha do IE também afeta outros navegadores e sistemas

Novos golpes usam componentes do IE e pop-ups

Cuidado: não siga links em mensagens não solicitadas

Vírus usa falha do IE e infecta a partir de imagem BMP

Problema no IE e OE facilita "phishing"

Erro do IE permite "roubar" certificados de segurança

19/8/2004 - 6:25 Redação InfoGuerra

A Faculdade IBTA está com as inscrições abertas para o seu curso de pós-graduação lato-sensu em Segurança da Informação. O processo seletivo para as turmas do segundo semestre se estende até a primeira quinzena de setembro.

O curso procura formar profissionais capacitados na área de Segurança da Informação, abordando os principais problemas e soluções relacionadas às funções de gestão, especificação, implementação e monitoração da área. Aborda também aspectos éticos e jurídicos de segurança da informação em TI.

Com duração de um ano, o curso conta com até 50 por cento de carga horária prática e atualização dinâmica de conteúdo. O material didático é oferecido pela faculdade, sem ônus adicional.

Os candidatos devem ter formação e ou experiência na área de TI e o processo seletivo é feito por análise curricular, questionário e entrevista pessoal. As inscrições podem ser feitas pelo telefone 0800-8811818 ou pelo site. Outras informações podem ser obtidas pelo telefone (11) 5081-9700 ou pelo e-mail info@ibta.com.br.

19/8/2004 - 6:17 Redação InfoGuerra

O Citigroup está investindo na capacitação de sua equipe de segurança da informação e qualificando seus profissionais para receberem a certificação CISSP (Certified Information Systems Security Professional).

A CISSP é uma das mais importantes certificações da área de segurança, com foco em gerenciamento e controles. Mantida pelo International Information Systems Security Certification Consortium (ISC)² é indicada para profissionais que atuam em consultoria ou em posições gerenciais ligadas a área de segurança da informação.

O processo de preparação dos profissionais do Citigroup é feito pela Etek International, empresa voltada à segurança da informação, que ministra cursos como o ECSS (Etek Certified Security Specialist).

18/8/2004 - 4:36 Redação InfoGuerra

Foi descoberta uma vulnerabilidade no Adobe Acrobat, popular software para manipulação de arquivos PDF, que permite a terceiros a execução de códigos arbitrários e, como conseqüência, o controle remoto do sistema afetado. A falha no componente "pdf.ocx" da versão 5.05 dos programas Acrobat e Acrobat Reader foi relatada pela iDefense. A Adobe corrigiu o problema na versão 6.02, porém, foi constatado que esta versão ainda está vulnerável a ataques do tipo DoS (Denial of Service).

Os programas Adobe Acrobat e Adobe Acrobat Reader são, respectivamente, criador e visualizador de arquivos no formato Adobe PDF (Portable Document Format).

De acordo com o relatório da empresa de segurança, a vulnerabilidade, do tipo buffer overflow (estouro de memória), reside no arquivo "pdf.ocx", um componente ActiveX de faz parte do programa Adobe Acrobat Reader. Para explorá-la, um atacante pode construir um endereço malicioso de site da Web que contenha referência a um arquivo PDF. No entanto, não é necessário que a vítima selecione o endereço, que pode ser acessado involuntariamente por meio de uma tag de imagem, um IFRAME ou mesmo um script de atualização automática.

Embora o acesso ao endereço seja negado, por ser inválido, a referência é passada ao componente ActiveX do programa responsável pela renderização da página. Isto, por sua vez, provoca um estouro de memória na função RTLHeapFree do programa, permitindo que um atacante sobrescreva uma palavra arbitrária na memória.

A recomendação é que os usuários atualizem os softwares para a última versão do Acrobat Reader no site da Adobe, para evitar a execução arbitrária do código e o controle do sistema por terceiros. Para prevenir o ataques DoS, deve-se desativar a visualização dos arquivos PDF no navegador.

16/8/2004 - 23:32 Redação InfoGuerra

Foram encontradas duas vulnerabilidades no KDE, um dos mais utilizados ambientes gráficos desenvolvidos para sistema baseados em Unix. Ao serem exploradas por usuários mal-intencionados, as falhas permitem realizar diversas ações nos sistemas vulneráveis, incluindo comprometer a conta de qualquer usuário que esteja rodando o aplicativo. As correções já estão disponíveis no site do desenvolvedor.

A primeira vulnerabilidade foi descoberta pela equipe de segurança SUSE e se refere à integridade do symlink, função responsável pela criação de links simbólicos. De acordo com o boletim expedido pelo KDE.org, a segurança pode ser comprometida em casos em que o symlink aponta para antigas referências, já sem uso. A falha poderia ser explorada para realizar ataques locais com o objetivo de apagar ou sobrescrever arquivos aleatórios, ou ainda impedir que aplicações do KDE funcionem corretamente.

Um atacante poderia se prevalecer do direcionamento do symlink antigo, criar um novo diretório para ele e, assim, garantir o seu acesso ao sistema. Já que aplicações do KDE tentarão criar arquivos com nomes conhecidos neste diretório, o atacante poderia usar do recurso para sobrescrever arquivos arbitrários com privilégios do usuário. A vulnerabilidade afeta a versão 3.2.3 e anteriores.

Outra falha, desta vez detectada pelo projeto Debian, envolve o DCOPServer, responsável pela criação de arquivos temporários para autenticação de usuário. Conforme o alerta de segurança, tais arquivos podem ser criados de uma maneira insegura e explorados por um usuário local para ganhar privilégios mais altos no sistema e comprometer uma conta legítima. A falha foi encontrada nas versões 3.2.x e superiores, incluindo o KDE 3.2.3, a versão mais recente.

As correções para as duas falhas já estão disponíveis no site do KDE, de acordo com as versões afetadas: para 3.0.5b, 3.1 .5b e KDE 3.2.3 ( aqui e aqui).

16/8/2004 - 22:52 Redação InfoGuerra

Está circulando uma nova variante do MyDoom que chega em arquivos anexados a e-mails e, por meio de um componente backdoor, abre várias portas da máquina infectada, possibilitando que um atacante tenha acesso remoto a dados sigilosos, como senhas da vítima. De acordo com a Panda Software, o worm também impede que os usuários acessem alguns sites de empresas antivírus.

Detectado hoje, 16 de agosto, o worm já foi classificado como de médio risco pela Trend Micro, devido aos diversos relatos de infecção emitidos de países como Japão, Coréia, China e Estados Unidos. Batizado inicialmente como Ratos.A pela empresa, verificou-se depois que o worm exibe as características do MyDoom e, assim, pôde ser identificado como uma de suas variantes. A Trend Micro renomeou o malware para WORM_MYDOOM.S e outras empresas deram-lhe os nomes de W32.Mydoom.Q@mm, I-Worm.Win32.Ratos, W32/Mydoom.s@MM, W32/MyDoom.S e W32/MyDoom.R.

O novo MyDoom chega em mensagens com endereços aleatórios de remetentes, as quais apresentam no campo de assunto a palavra "photos" e no corpo da mensagem o texto "LOL!;))))" ("lol" é uma gíria de Internet que significa gargalhada). Dessa forma, o worm tenta despertar a curiosidade do usuário para executar o arquivo anexo, nomeado como photos_arc.exe, na verdade, uma cópia da praga.

Ao entrar em atividade, o worm envia e-mails em massa para os endereços eletrônicos existentes no disco rígido da vítima, além de criar novos endereços de e-mail de forma aleatória, muitos dos quais tornam-se destinatários adicionais. Para isso, prepara uma mensagem com domínios conhecidos e nomes comuns, como Alice, Jerry e Steve.

Assim que executado, o worm faz uma cópia de si mesmo nas pastas do sistema com os nomes RASOR38A.DLL e WINPSD.EXE. Também acrescenta entradas no registro do Windows, para entrar em atividade toda vez que o sistema for reiniciado e garantir que exista apenas uma única cópia sua no sistema infectado. Depois disso, cria o mutex (objeto de exclusão mútua) 43jfds93872 para impedir a execução simultânea de si mesmo.

Por meio de um componente backdoor (porta escondida), o worm faz o download e executa arquivos maliciosos inseridos em páginas da Internet e nomeados com extensão de imagens do tipo GIF. Os arquivos estão nos endereços:

http://www.richcolour.com/ispy.1.jpg
http://www.richcolour.com/coco3.jpg
http://www.richcolour.com/guestbook/temp/temp587.gif
http://zenandjuice.com/guestbook/temp/temp728.gif

Os arquivos baixados são salvos com o nome WINVPN32.EXE na pasta Windows e, em seguida, executados. O componente backdoor, além de comprometer o sistema operacional, coloca em risco a segurança dos dados armazenados. Ele foi identificado como Bck/Surila.B pela Panda e BKDR_RATOS.A pela Trend Micro.

O MyDoom.S foi desenvolvido em Visual C++ e afeta os sistemas Windows 95, 98, ME, NT, 2000 e XP.

13/8/2004 - 21:52 Redação InfoGuerra

O autor da variante B do worm Blaster, Jeffrey Lee Parson, 19 anos, de Minnesota, Estados Unidos, deverá passar entre 18 e 37 meses na prisão, como parte de um acordo
assinado na quarta-feira (11/8) numa corte distrital de Seattle. Ao admitir ter causado intencionalmente danos a computadores, o adolescente conseguiu redução da pena prevista de um máximo de 10 anos de detenção e 250 mil dólares de multa. No entanto, o adolescente também pode ser obrigado a pagar uma indenização que pode chegar a milhões de dólares, de acordo com a promotoria do caso.

Parson criou a variante Blaster.B a partir do worm Blaster original, lançando-a na Internet em agosto de 2003. O Blaster foi responsável por um ataque DDoS (negação de serviço distribuído) investido contra o site Windows Update, da Microsoft, que teve um de seus endereços modificado como forma de prevenção.

O worm Blaster original infectou aproximadamente um milhão de computadores no ano passado, enquanto o Blaster.B permaneceu muito longe desse número. Em seu argumento no acordo, Parson admitiu ter usado sua variante para controlar inicialmente 50 computadores e, assim, alcançar cerca de outras 48 mil máquinas infectadas. Porém, os advogados de defesa contestam e alegam que o número de computadores infectados é muito mais baixo.

O Blaster e suas variantes exploram uma vulnerabilidade do sistema operacional Windows, corrigida em julho de 2003 pela Microsoft. O Worm afeta o Windows NT 4.0, NT 4.0 TSE, Windows 2000, XP e Windows Server 2003. No Windows XP, o worm faz com que o sistema operacional seja reiniciado a cada 60 segundos.

A variante B é funcionalmente equivalente ao seu antecessor, porém cria um arquivo chamado "teekids.exe" na pasta System do Windows, em lugar do original "msblast.exe".

Uma das pistas que levaram as autoridades americanas à identificação e detenção de Parson, em agosto de 2003, foi justamente o fato de seu nickname (apelido) na Internet ser "teekid " ou "t33kid ". Negando a autoria desde o início, o adolescente passou a ser monitorado por uma pulseira eletrônica, depois de ter pago uma fiança de 25 mil dólares. Só nesta semana assumiu a culpa, em troca de redução da pena. A sentença final será proferida somente no dia 12 de novembro. Até lá, a juíza Marsha Pechman ordenou que a pulseira eletrônica fosse removida, porém Parson está impedido de se aproximar de um computador e usar a Internet.

Leia também:

Preso o autor de nova versão do Blaster

Microsoft elimina site para evitar ataques

Microsoft.com está rodando em Linux?

12/8/2004 - 20:26

A Quinta Turma do Superior Tribunal de Justiça (STJ) negou pedido de habeas-corpus de Valdeni França Nascimento, de 25 anos, acusado pelos crimes de estelionato e formação de quadrilha. O réu foi preso em flagrante em novembro de 2003 na Operação Cavalo de Tróia da Polícia Federal e do Ministério Público da União com outros 30 acusados em diferentes estados brasileiros. Nascimento é apontado como um dos possíveis líderes da organização criminosa que pode ter desviado cerca de R$ 100 milhões de contas bancárias no Brasil.

O nome da operação policial provém do método usado pelos golpistas, que enviavam falsos e-mails em nome de instituições bancárias e outras empresas conhecidas, contendo links para programas espiões, comumente chamados de trojans ou cavalos-de-tróia. Se o cliente instalasse o programa em sua máquina, o trojan passaria a monitorar a navegação pela Internet, registrar as teclas digitadas e roubar senhas e outros dados confidenciais, os quais eram enviados para os golpistas. De posse desses dados, os fraudadores desviavam valores para contas de laranjas, realizavam compras via Internet e outros pagamentos, em uma tentativa de lavar o dinheiro.

A defesa de Valdeni Nascimento alegou que está sofrendo tratamento diferenciado, já que supostos líderes da organização já estariam livres e ele seria apenas um técnico de informática com conhecimentos em hardware, não sendo responsável pelo programa ou outros envolvimentos na quadrilha. Além disso, Nascimento é réu primário, teria confessado sua participação e não poderia ser considerado perigoso pelo simples fato de o crime poder ser praticado de qualquer local com acesso à Internet.

O relator, ministro Gilson Dipp, lembrou a deficiência na legislação brasileira, que não tipifica especificamente o crime organizado, e apresentou requisitos internacionais que permitem afirmar que a quadrilha desbaratada caracteriza-se como organização criminosa especializada. Segundo o ministro, os conhecimentos técnicos de Nascimento, programador e responsável pela criação dos cavalos-de-tróia, permitiriam a rápida reativação dos programas e da quadrilha, em um momento especialmente sensível para o grupo. O ministro considerou que a gravidade do crime é condição válida para a manutenção da prisão provisória e que as condições positivas do réu não garantem a possibilidade de ele responder ao processo em liberdade. O voto do relator foi acompanhado pelo da presidente da Quinta Turma, ministra Laurita Vaz, e o do ministro José Arnaldo da Fonseca.

Há indícios de que membros da quadrilha presa no ano passado continuam enviando e-mails fraudulentos a partir de contas de provedores situados no Norte do Brasil. As fases do processo contra Nascimento podem ser conferidas aqui.


Com informações da assessoria de imprensa do STJ

Leia também:

Scam usa até Polícia Federal para enganar usuários

Perito da PF fala sobre os crimes pela Internet

Presos 23 acusados de aplicar golpes pela Internet

11/8/2004 - 20:57 Redação InfoGuerra

A empresa antivírus Sophos lançou um alerta sobre o aparecimento de um novo trojan batizado de Mosqit, capaz de infectar telefones celulares. O cavalo-de-tróia foi criado especificamente para funcionar no sistema operacional Symbian rodando em aparelhos compatíveis com o Nokia Series 60. Segundo a empresa, o programa maléfico foi colocado num grande número de sites e redes peer-to-peer. Usuários de aparelhos afetados poderão se surpreender com uma conta telefônica exorbitante.

O Mosqit faz com que os celulares atingidos enviem mensagens de texto para números com tarifa chamada de "premium", existente em alguns países e referente a serviços com custo de ligação mais elevado do que as tarifas normais. Apesar das últimas notícias, os especialistas da Sophos aconselham os usuários de telefones celulares a manterem-se calmos.

O trojan, que se disfarça em uma versão roubada do jogo chamado "Mosquitos", pode ser instalado apenas em modernos smartphones, após o usuário ter sido avisado diversas vezes sobre os possíveis perigos de se instalar aplicações de origem indefinida. "Obviamente a descoberta de um cavalo-de-tróia com a capacidade de enviar mensagens SMS irá certamente atrair o interesse da mídia, mas voltamos a enfatizar que o maior problema de vírus continua a ser os ataques aos PCs com Windows, que são infectados regularmente por worms via internet", afirmou Graham Cluley, consultor sênior de tecnologia da Sophos.

O Mosqit traz a seguinte mensagem escondida: "This version has been cracked by SODDOM BIN LOADER No rights reserved. Pirate copies are illegal and offenders will have lotz of phun!!!" O texto traz gírias e trocadilhos, mas pode ser razoavelmente traduzido da seguinte forma: "Esta versão foi 'crackeada' por SODDOM BIN LOADER. Nenhum direito reservado. Cópias piratas são ilegais e os transgressores terão um monte de diversão!!!"

"Esta versão roubada do jogo Mosquitos poderá dar uma picada desagradável no usuário. Nossa recomendação aos usuários de PCs ou aparelhos celulares é para que eles sempre tenham a maior precaução ao instalar aplicações de origem desconhecida em seus aparelhos", conclui Cluley.

Há cerca de dois meses foi criado o primeiro worm capaz de verdadeiramente infectar um celular. Batizado de Cabir, o programa foi apenas uma experiência feita pelo grupo internacional de criadores vírus 29A e não se tem notícia de nenhum aparelho usado no dia-a-dia infectado pelo worm. O Cabir foi projetado para atacar também celulares Nokia da série 60, com sistema Symbian e tecnologia bluettoth ativada.

Leia também:

Criado primeiro vírus para celulares

10/8/2004 - 21:47 Redação InfoGuerra

O Bagle.AC está se alastrando rapidamente pela Internet e, conforme boletim da Trend Micro, já colocou o Brasil em terceiro lugar no ranking dos países mais atingidos. No topo da lista estão os Estados Unidos e Canadá. A nova variante chega por e-mail, anexado como um arquivo compactado .ZIP, que contém um executável e um arquivo do tipo HTML. Se for executado, o worm vasculha o HD da máquina infectada em busca de endereços eletrônicos de e-mail para os quais se auto-enviar, tenta conectar–se a sites maliciosos na Internet e ainda finaliza a execução de programas de segurança instalados no computador, como antivírus e firewall.

O worm já recebeu vários nomes, como Beagle.AL, Bagle.AL, I-Worm.Bagle.al, TROJ_BAGLE.AC, W32/Bagle-AQ, W32/Bagle.AJ@mm, Win32/Bagle.AG.Worm, Win32/Bagle.AI, Win32/WDirect.DLL.Worm e Win32/WDirect.Trojan, dependendo da empresa antivírus pela qual foi detectado.

O e-mail usado para sua propagação contém um endereço de remetente forjado, o campo de assunto é vazio e o corpo da mensagem apresenta o texto "new price". Caso o arquivo anexado possua uma senha, o texto da mensagem é acrescido com "The password is" e "Password:", seguidos da senha.

Os arquivos anexos podem vir nomeados como 08_price.zip, new_price.zip, newprice.zip, price.zip, price_08.zip, price_new.zip e price2.zip. Em seu interior estão o arquivo "price.html" e uma pasta contendo o executável price.exe. Ao dar um duplo clique no HTML, o arquivo .exe é executado e o sistema será contaminado. Este arquivo HTML é detectado por alguns antivírus como Win32/IE.DWord (Exploit) ou JS/IllWill.

Ao entrar em atividade, o worm faz uma cópia de si mesmo para c:\windows\system32\windirect.exe e também libera um arquivo DLL em c:\windows\system32\_dll.exe. A DLL é injetada como umo processo do EXPLORER.EXE, um dos programas básicos do Windows, simulando suas ações e, assim, mantendo-se oculta na lista de processos ativos do sistema.

O worm ainda adiciona as seguintes entradas no registro do Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
win_upd2.exe = c:\windows\system32\windirect.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
win_upd2.exe = c:\windows\system32\windirect.exe

Segundo a Sophos, a nova variante do Bagle ainda tenta acessar diversos sites hospedados na Internet, para fazer o download de um falso arquivo de imagem do tipo JPG que, na verdade, trata-se de um .EXE renomeado. Todos os endereços dos sites possuem "2.jpg" como referência à imagem. Assim que o acesso é feito, o worm copia o arquivo 2.JPG como ~.EXE para a pasta do Windows, onde é executado automaticamente (c:\windows\~.exe). Esse procedimento é refeito a cada 10 horas.

O Bagle também cria um mutex (objeto de exclusão mútua), para impedir a execução simultânea de si mesmo e, como em suas versões anteriores, bloqueia a atividade do Netsky na mesma máquina. Além disso, ainda abre a porta TCP/80 e uma porta UDP ao acaso, para notificar sua presença a um usuário remoto.

Outra forma de propagação do Bagle.AC é via pastas compartilhadas em rede que contenham a palavra "shar" no nome. O alerta das empresas de segurança é para que os usuários não abram arquivos anexados de procedência duvidosa e atualizem seus antivírus.

9/8/2004 - 18:50 Redação InfoGuerra

De origem russa, o primeiro trojan detectado para Pocket PC foi batizado como Troj/Brador.A, Backdoor.Bardor.A e WinCE.Brador.a, dependendo do fabricante de antivírus. Classificado como de baixa periculosidade, atinge dispositivos com o sistema operacional WinCE 2.0 ou superior, da Microsoft, e processadores padrão ARM.

Assim que executado, o Brador.A envia uma mensagem de e-mail ao seu autor e informa o IP da vítima. Ao mesmo tempo, abre a porta TCP 2989, permitindo que um atacante remoto assuma o controle do equipamento comprometido e possa fazer download e upload de arquivos, mostrar mensagens ao usuário e executar comandos específicos. O trojan faz uma cópia de si mesmo na pasta Iniciar do Windows para que seja executado sempre que o sistema for iniciado, além de modificar o arquivo SVCHOST.EXE a cada
reinício. Para eliminar manualmente o cavalo-de-tróia basta apagar o arquivo SVCHOST.EXE da pasta Windows\StartUp e reiniciar o dispositivo.

Como não se trata de um worm, o programa não tem capacidade de se disseminar por conta própria. Sua propagação requer a ação de um usuário mal-intencionado e pode ser feita por e-mail com anexos e redes IRC e P2P.


As empresas antivírus ainda não receberam relatos de ataques do trojan. Para o consultor-sênior de tecnologia da Sophos, Graham Cluley, o Brador-A não representa uma ameaça real. "O perigo atual e real está no grande número de ataques de vírus que acontecem diariamente nos PCs que rodam versões desatualizadas do Windows. É nesse ponto que as empresas devem concentrar sua atenção quando decidirem proteger seus sistemas", alerta o executivo.

A recomendação é para que não sejam executados os arquivos anexados recebidos. A Microsoft declarou que está investigando os relatórios sobre a atuação do trojan e recomenda a seus clientes que instalem um antivírus em seus handhelds e ativem a proteção de senha no dispositivo.

No mês passado, foi identificado o WinCE4.Dust, primeiro vírus para Pocket PCs com Windows CE. O vírus foi desenvolvido pelo grupo internacional de criadores de vírus 29A VX, o mesmo que produziu o Cabir, primeiro worm para celulares com sistema operacional Symbian. As duas versões são apenas "proof of concept" (prova de conceito) e não oferecem risco na prática. Os códigos foram distribuídos para as empresas de segurança, em vez de serem enviados para usuários dos sistemas e dispositivos afetados.

O Cabir só entra em atividade caso o usuário faça o download do código malicioso. Já o WinCE4.Dust exibe uma caixa de mensagem pedindo permissão para rodar outros arquivos.

Leia também:

Criado primeiro vírus para celulares

6/8/2004 - 19:12 Redação InfoGuerra

O número de ataques do tipo phishing cresceu assustadoramente no segundo trimestre de 2004, conforme o “Relatório de Tendências de Ataques Phishing”, publicado pelo Anti-Phishing Working Group (APWG). Os Estados Unidos são o país mais atingido, seguido de perto pelos asiáticos.

Os ataques do tipo phishing usam falsos e-mails e sites clonados de empresas idôneas, geralmente financeiras, com o propósito de capturar dados confidenciais do usuário, como senhas bancárias e números de cartões de crédito, para posteriormente usá-los de forma fraudulenta.

A equipe da Websense Security incluiu no relatório do APWG uma análise dos ataques de phishing scam submetidos ao grupo. No mês de junho, 1.422 novos ataques diferentes foram reportados. O número médio de ataques diários foi de 47,4, ultrapassando os 38,6 reportados no mês anterior. Os dados representam um aumento de 19% em relação aos 1.197 ataques informados em maio. Como em meses anteriores, a corporação mais visada pelos golpistas em junho foi o Citibank, com 492 ataques, seguido pelo eBay (285 ataques) e US Bank (251).

Os Estados Unidos, com 27% dos casos, são o líder em hospedagem de sites usados para a prática de phishing, seguido por países asiáticos, como Coréia (20%) e China (18%). Segundo o relatório, o Brasil ocupa a nona posição, com 1% de hospedagem dos sites fraudulentos.

Para a associação, a preferência por locais que oferecem barreiras de idioma dificulta a localização e fechamento dos sites. O tempo médio de vida de um site de phishing em junho foi de 2,25 dias.

A análise indica que aproximadamente 25% das páginas usadas nestes ataques estão hospedadas em servidores hackeados, sem que seus proprietários tenham conhecimento do fato. Como exemplo, um dos últimos golpes reportados no Brasil usava o nome da Varig e oferecia uma falsa promoção para o Dia dos Pais, utilizando um cavalo-de-tróia hospedado num site belga, provavelmente invadido.

O estudo também revela que grande parte das informações capturadas das vítimas é armazenada no próprio servidor que hospeda o site e retirada periodicamente pelo “phiser”. Só uma pequena porcentagem desta informação é automaticamente enviada a algum outro local ou endereço de e-mail. O relatório informa que o percentual de sites de phishing configurados para permitir que criminosos fizessem o download remoto dos dados pessoais coletados foi de 94 por cento.

Em relação ao endereço eletrônico usado pelos scammers para enviar as mensagens fraudulentas, pelo menos 92 por cento deles foram forjados durante o mês de junho. Comparado ao mês anterior, houve uma queda de três pontos percentuais no método.

Outra técnica é a chamada "engenharia social de e-mail", que utiliza falsos endereços de e-mail com domínios reais, para que pareçam tão autênticos como os usados pelas empresas. Por exemplo, o endereço "support@verify-visa.org”, utilizado em alguns ataques, não é válido para a Visa, porém é usado para ludibriar o usuário e arrecadar informações sobre seu cartão de crédito.

No Brasil, o índice de fraudes pela Internet no segundo trimestre de 2004 apresentou uma queda em relação ao período anterior, mas o número total de casos continua em alta. Nos primeiros seis meses do ano, as fraudes já representam mais do que o dobro do total de 2003. O relatório sobre os dados nacionais foi apresentado recentemente pelo NBSO, grupo de resposta a incidentes para a Internet brasileira.

Leia também:

Falsa promoção Dia dos Pais Varig serve para roubar senhas

E-mail alega falta de crédito para roubar senhas bancárias

Fraudes eletrônicas desviam mais de US$ 2 bi de bancos nos EUA

6/8/2004 - 10:10 Redação InfoGuerra

Foram descobertas múltiplas vulnerabilidades na biblioteca libpng, utilizada por diversos aplicativos para o processamento de imagens em formato PNG (Portable Network Graphics). A mais séria destas vulnerabilidades permite que um atacante remoto execute códigos arbitrários no sistema afetado e consiga os mesmos privilégios do usuário legítimo. O formato PNG é usado como alternativa a outros formatos de imagem, como o popular GIF (Graphics Interchange Format).

De acordo com relatório do US-CERT, as vulnerabilidades detectadas durante o processamento da imagem pela biblioteca podem ser exploradas por meio de uma página Web ou mesmo de uma mensagem de e-mail. Basta que estejam previamente preparadas com uma imagem PNG malformada, fazendo com que a aplicação seja terminada ou permitindo a execução de arquivos maléficos. Na prática, isto significa que um anexo PNG num e-mail poderia conter um vírus, por exemplo.

Estão vulneráveis todos os sistemas e aplicativos que utilizem a biblioteca. A recomendação é de que seja feita a atualização de acordo com o sistema ou aplicativo usado. No site da libpng pode ser encontrada uma versão atualizada, a 1.2.6rc1.

5/8/2004 - 15:28 Redação InfoGuerra

Foi malsucedida a tentativa de ataque DoS (negação de serviço) contra o site da Microsoft por computadores infectados pelo worm Zindos. A empresa de segurança Netcraft, que monitorou o site www.microsoft.com durante cinco dias, de 26 a 30 de julho, período de maior atividade do MyDoom, não constatou efeitos significativos que pudessem colocar o servidor em risco.

O Zindos foi descoberto dois dias após a disseminação da última variante do vírus MyDoom na Internet. Durante o processo de contaminação, o MyDoom faz o download do trojan Zincite.A, que abre a porta 1034 nos sistemas infectados, sem que o usuário perceba. Aproveitando-se disso, o Zindos.A faz uma varredura pela Web e tenta localizar os endereços IP das máquinas que apresentarem esta brecha de segurança. Após instalado, utiliza a conexão Internet do usuário para lançar imediatamente um ataque DoS contra o site da Microsoft.

Alvo também em ocasiões anteriores, a Microsoft já recebeu ataques de antigas variantes do vírus, como MyDoom.B, MyDoom.C e MyDoom.F, desenvolvidas com o mesmo propósito. Ao tomar conhecimento sobre um novo ataque, a empresa declarou que o Zindos não representaria perigo, diante do reforço de segurança implantado em seu site.

Leia também:

Vírus Zindos usa brecha do MyDoom e ataca a Microsoft

Como age a nova versão do MyDoom

5/8/2004 - 13:30 Redação InfoGuerra

A Check Point confirmou a existência de uma vulnerabilidade no software Check Point VPN-1 relacionada ao tratamento de determinados pacotes de dados. Um usuário remoto que explore a falha pode assumir o controle dos sistemas afetados. O problema foi levantado pela empresa de segurança Internet Security Systems (ISS) e os patches de atualização já estão disponíveis.

A vulnerabilidade se encontra em pacotes IKE com valores codificados em linguagem ASN.1. IKE ― Internet Key Exchange ― é um protocolo usado para negociar e trocar chaves criptográficas que trafegam por uma Rede Privada Virtual (VPN), através do protocolo ISAKMP (Internet Security Association and Key Management Protocol). ASN.1 (Abstract Syntax Notation One) é uma linguagem para descrição abstrata de mensagens trocadas por diversos tipos de aplicativos.

De acordo com o relatório divulgado pela ISS, um usuário remoto pode enviar pacotes IKE especialmente projetados para provocar um buffer overflow (estouro de memória) no sistema e possibilitar a execução de código arbitrário no gateway de rede. O ataque pode chegar a comprometer a segurança de toda a rede interna. Caso o sistema esteja configurado no "Aggressive Mode", um único pacote pode ser suficiente para explorar a falha. Devido às limitações de seguraça, a Check Point desaconselha o uso dessa opção.

As falhas estão presentes nos sistemas que usen VPNs de acceso remoto, os VPNs "gateway a gateway". Em comunicado, a Check Point afirma que nenhum cliente de seus produtos foi afetado, porém, o envio de pacotes pode gerar confusão e dar oportunidade para que terceiros assumam o controle da rede. As atualizações necessárias para os sistemas afetados e o alerta da Check Point estão disponíveis aqui.

4/8/2004 - 20:12 Redação InfoGuerra

Um falso e-mail em nome da Câmara de Dirigentes Lojistas é uma das mais recentes armadilhas lançadas na Internet para a captura de dados de usuários. Um falso link é usado como ponte para o download de um cavalo-de-tróia, hospedado em uma página da Aol.

A mensagem chega com o assunto “Pendencias Financeiras” e apresenta o logotipo da Câmara de Dirigentes Lojistas e do SPC (Serviço de Proteção ao Crédito) da Bahia. Informa que, por causa de pendências financeiras, o CPF/CNPJ do usuário está incluso nos cadastros da entidade. Também cita uma empresa de cobranças e o valor de R$ 3.754,74 a ser pago. “Para sua segurança e praticidade é necessário baixar o arquivo do relatório de pendências”, alega a mensagem, cuja reprodução pode ser vista aqui.

Obviamente, o tal “relatório de pendências” é um arquivo maléfico. Ao clicar sobre o link indicado, o usuário é transferido para a página http://paginas.aol.com.br/spcpendencia1975/pendencias.zip, que ainda estava no ar até o início da tarde de hoje. Uma análise do arquivo feita com o serviço VirusTotal mostrou que se tratava do TrojanSpy.Win32.Banbra.j ou Bancodor.H, dependendo da empresa antivírus. Este trojan foi projetado especificamente para imitar telas de acesso de alguns bancos brasileiros, como Banco do Brasil, Caixa e Bradesco, e roubar senhas e outros dados dos clientes.

Um golpe utilizando a mesma mensagem e logotipo circulou pela rede no início do mês passado. Na mensagem atual, foram feitas alterações no assunto e sobrenome do suposto diretor do SPC. A diferença mais significativa está no fato de que o trojan, antes hospedado em páginas do Bol, foi transferido para os servidores da Aol.

Uma das pessoas que receberam o falso e-mail foi o especialista em segurança Francisco Milagres que, ao identificar a existência do cavalo-de-tróia e sua localização, tentou, sem sucesso, contato com o provedor. Suas mensagens de alerta para o contato principal do domínio Aol.com.br, de acordo com o cadastro do Registro.br, retornaram com o aviso de endereço inexistente. Diante disso, Milagres enviou nova mensagem, desta vez para o Registro.br, alertando o órgão para o cadastro irregular do provedor.

Falhas de detecção

Muitos dos trojans usados em golpes para captura de senhas bancárias não estão sendo detectados pelos programas antivírus mais conhecidos no mercado. Isto acontece porque integrantes das quadrilhas de golpistas alteram freqüentemente os códigos maléficos, além de compactar os arquivos executáveis para dificultar seu reconhecimento pelos antivírus.

Na análise feita no arquivo “pendencias.zip”, dentre 12 antivírus diferentes, somente três deles ― Kaspersky, Norman e Sybari ― detectaram positivamente a existência de códigos maliciosos. Entre os outros antivírus que não acusaram nada estão os mais populares e vendidos no Brasil.

Leia também:

Supostos problemas com CPF são isca para scam

3/8/2004 - 21:42 Redação InfoGuerra

Correntistas do banco Itaú formam o alvo de um dos mais recentes golpes do tipo phishing scam que circulam pela Internet. Desta vez, os fraudadores hospedaram um site clonado da instituição em um domínio “.com.br”, aparentemente criado apenas com essa finalidade. O objetivo desse tipo de golpe, cada vez mais freqüente na Internet, é capturar dados confidenciais, como senhas bancárias e números de cartões de crédito dos usuários, para depois desviar dinheiro de suas contas ou fazer compras fraudulentas em seu nome.

Um falso e-mail contendo o logotipo do banco informa que a instituição recebeu o prêmio "Global Classic", por ser considerado "o melhor e mais seguro banco digital do Brasil". Devido à suposta premiação, o correntista é convidado a participar de um sorteio comemorativo que tenta seduzir os mais incautos ou afoitos, oferecendo 10 carros aos vencedores.

Para se cadastrar aos "prêmios", o correntista deveria acessar um link (www.promocaoitau.com.br) inserido no corpo da mensagem. Porém, o endereço remetia ao site www.bankofficeonline.com.br/itau/indexIE.html, uma página clonada do banco. Neste site, o usuário é levado a preencher uma série de campos, como o número do seu cartão de crédito, agência, conta corrente, senha eletrônica, senha do cartão e data de nascimento. Depois disso, clicando em “ok”, as informações eram enviadas para o fraudador, enquanto o internauta era redirecionado ao site verdadeiro do Itaú. Uma cópia do site clonado, que ainda estava no ar no momento em que esta matéria foi publicada, pode ser vista aqui.

Os dados cadastrais presentes no Registro.br referentes ao domínio bankofficeonline.com.br informam que o endereço foi criado hoje, dia 2 de agosto, e está sob responsabilidade de uma certa empresa de nome “design bankoffice", que estaria sediada em São Paulo. Uma consulta ao site dos Correios mostra que o CEP informado está associado à Avenida Guilherme, apesar de no cadastro constar “rua das orquideas, 123”. Ligações para os telefones cadastrados também não são completadas pela operadora e uma pesquisa no site da Receita Federal mostra que o CNPJ da “empresa” não existe. Em suma, o cadastro é completamente falso. Para não deixar margem a dúvidas, o e-mail do responsável pelo domínio, de nome “Dorival Russo”, é officebanki@HACKER.AM. Uma cópia desse cadastro pode ser vista aqui.

O Registro.br possui um script que verifica se o CNPJ ou CPF associados a um domínio são válidos ou não. Mas o programa se baseia apenas no algoritmo que calcula os dois últimos dígitos dos números dos documentos, por isso foi possível para os golpistas registrarem um domínio com CNPJ falso. “No passado, quando a interface do site da Receita Federal não se utilizava do desafio gráfico, nós tínhamos algum tipo de validação, hoje não mais”, esclarece Frederico Neves, coordenador técnico do Registro.br.

Ele também afirma que o órgão está em negociações com a Receita para ter acesso à sua base de dados e fazer verificações mais rígidas no futuro. “De qualquer forma, estes procedimentos somente impedirão os casos que hoje são facilmente identificados pelo whois, mas não evitarão as situações de uso de dados de terceiros”, acrescenta. “O procedimento de revisão de dados atual continuará a ser a única forma de resolver os abusos ao serviço”.

Como o procedimento para registro de domínio é de caráter declaratório e realizado eletronicamente, o requerente assume total responsabilidade pelos dados que fornece, afirma o departamento jurídico do Registro.br. No entanto, ao tomar conhecimento de alguma irregularidade, normalmente por meio de denúncias, o órgão instaura uma verificação administrativa. Caso a irregularidade seja comprovada, a entidade que fez o registro é removida do seu banco de dados e todos os domínios associados a ela são cancelados.

Leia também:

Como denunciar domínios de spammers com dados falsos

O que fazer ao receber um falso e-mail de banco?

3/8/2004 - 17:52 Redação InfoGuerra

A Microsoft lançou na última sexta-feira um pacote de correções cumulativas para vulnerabilidades do seu navegador Internet Explorer (IE). Três delas foram detectadas recentemente e são consideradas como "críticas". As falhas permitem a execução remota de códigos maliciosos (malware) implantados por terceiros em páginas Web ou e-mails em formato HTML.

Dependendo do nível de privilégio do usuário, o sistema afetado permite que um atacante assuma o controle total da máquina, com a possibilidade de instalar, mover e apagar programas e dados. Também pode criar novas contas, com todos os privilégios da conta original.

Uma das correções se refere à vulnerabilidade de execução remota de um código no Internet Explorer, por meio do controle ActiveX chamado de ADODB.Stream. A falha, amplamente divulgada durante o mês passado, pode ser explorada apenas com a visita a um site e foi utilizada nos ataques envolvendo o trojan Scob ou Download.ject. Ao visitar um site infectado, o usuário era automaticamente redirecionado a um servidor russo, encarregado de inserir o trojan no sistema da vítima, o qual servia para roubar senhas e outros dados digitados.

A segunda correção diz respeito a uma vulnerabilidade de buffer (memória temporária) no tratamento de imagens do tipo BMP, que também pode permitir a execução remota de códigos maliciosos nos sistemas afetados. Para isso, basta que o atacante desenvolva uma página na Web ou um e-mail em formato HTML com uma imagem propositalmente malformada e, como resultado, poderá adquirir o controle da máquina de acordo com as permissões do usuário ao iniciar a sessão.

Outra falha de buffer, porém, desta vez, envolvendo o tratamento de imagens com extensão .GIF, está na terceira vulnerabilidade anunciada no boletim da Microsoft. Assim como a correção anterior, esta também
impediria a execução remota de malware nos sistemas afetados.

As versões do navegador vulneráveis vão desde o IE 5.01 até o 6.0 SP, para várias versões do sistema da Microsoft, desde o Windows 98 até o Windows 2003 Server 64-Bit Edition, passando pelo XP, NT e 2000.

A Microsoft aconselha seus usuários a atualizarem imediatamente os sistemas afetados. Apesar de a empresa não oferecer mais suporte para as versões Windows 98, 98 SE e Millennium Edition, as correções para as vulnerabilidades críticas estão disponíveis também para estes sistemas, através do Windows Update. O boletim MS04-025, com mais detalhes (em inglês) sobre os problemas, pode ser conferido aqui.