31/10/2003 - 19:28 Giordani Rodrigues

Empresas antivírus como Trend Micro, F-Secure, Symantec e McAfee estão emitindo alertas, hoje, por causa da nova versão do worm Mimail, que está se propagando com certa velocidade pela Internet. No momento, as empresas estão atribuindo à praga um risco de infecção médio. O Mimail.C usa o e-mail para se espalhar e, de acordo com a F-Secure, tenta lançar ataques de negação de serviço (DoS) contra alguns sites e furtar informações dos computadores infectados. As plataformas atingidas são Windows 95, 98, NT, 2000, ME e XP.

O worm utiliza recursos de engenharia social para convencer o internauta a abrir o arquivo anexado à mensagem, tentando fazê-lo crer que se trata de fotos picantes. Segundo a Trend Micro, as características da mensagem contaminada são as seguintes:

Para: admin@(domínios variáveis)
Assunto: Re[2]: our private photos ???
Corpo da mensagem:
Hello Dear!,
Finally i've found possibility to right u, my lovely girl :) All our photos which i've made at the beach (even when u're without ur bh:)) photos are great! This evening i'll come and we'll make the best SEX :)

Right now enjoy the photos.
Kiss, James.
(seqüência aleatória de letras)

Anexo: photos.zip

Aqui começa uma confusão entre as informações prestadas pelas empresas de segurança. Segundo a Symantec e a F-Secure, a mensagem contaminada é forjada para simular que provém do endereço james@ seguido do domínio do usuário para o qual o e-mail está sendo enviado. Já a Trend Micro não cita isso e informa que o endereço presente no campo Para: (To:) da mensagem é admin@ seguido de dados variáveis.

Além disso, a Trend Micro afirma que o arquivo compactado photos.zip contém dois outros arquivos, um HTML e um UPX Win32 EXE. Quando o arquivo HTML é aberto, o código malicioso é executado e o vírus começa a explorar uma vulnerabilidade do Internet Explorer. Ao mesmo tempo, no final da página com informações técnicas sobre o vírus, a Trend informa que o Mimail.C é uma variante do Worm_Mimail.A, com a diferença de que a exploração das vulnerabilidades divulgadas nos boletins MS02-015 e MS03-014 da Microsoft foi eliminada.

Porém, a Symantec e a F-Secure dizem que o arquivo compactado contém apenas um arquivo, de nome PHOTOS.JPG.EXE. A F-Secure também garante: "O worm não usa nenhum exploit (ferramenta) para fazer com que seu arquivo seja executado automaticamente. O worm irá infectar o computador de um destinatário apenas se ele ou ela descompactar o arquivo executável e rodá-lo". Já a Symantec afirma que o Mimail.C usa um exploit para criar e executar uma cópia do arquivo PHOTOS.JPG.EXE na pasta “Temporary Internet Files” e que a vulnerabilidade explorada está explicada numa página da Microsoft que faz referência justamente ao boletim MS03-014.

Seja como for, o importante é manter atualizados os programas instalados na máquina e não rodar anexos desconhecidos.

O Mimail.C utiliza seu próprio sistema SMTP (Simple Mail Transfer Protocol) para se auto-enviar e, após sua execução, faz uma cópia de si próprio como NETWATCH.EXE, na pasta do Windows. Em seguida, cria entradas no sistema, que são executadas a cada reinício do computador. O worm também cria os arquivos EML.TMP, ZIP.TMP e EXE.TMP no diretório do Windows.

29/10/2003 - 19:01 Helena Nacinovic

A Microsoft anunciou que vai desativar o serviço Windows Messenger e ativar o Internet Connection Firewall (ICF) no sistema operacional Windows XP. As novas configurações farão parte do padrão (default) do sistema. O objetivo é tornar as máquinas mais seguras contra ataques virtuais, sem exigir que o usuário tenha de fazer muitas mudanças na configuração padrão. A empresa também tem planos de implementar configurações default mais seguras para o navegador Internet Explorer.

O Windows Messenger, também chamado de Mensageiro, é um programa para enviar mensagens à area de trabalho dos computadores, planejado principalmente para ser usado por administradores que desejam enviar avisos aos usuários de sua rede. O serviço, porém, é pouco utilizado e ultimamente tem sido explorado por spammers para mandar mensagens em janelas pop-up diretamente aos computadores das vítimas. Além disso, foram descobertas várias falhas de segurança no serviço, que permitem que crackers o utilizem para comandar as máquinas vulneráveis.

Com o novo Windows XP Service Pack 2, o serviço vai ser desativado e os usuários que ainda assim quiserem usá-lo poderão ativá-lo manualmente. O service pack está previsto para chegar aos consumidores até a primeira metade de 2004.

Segundo o site britânico The Register, a Microsoft também planeja desativar o serviço em outras versões do Windows, mas não deu detalhes de como isso será feito. Na semana passada, a AOL já tinha tomado a decisão arbitrária de desativar o Windows Messenger nas máquinas de seus clientes, devido aos problemas de segurança.

Existem outras configurações padrão do Windows que facilitam ataques virtuais, como o serviço Windows Scripting Host (WSH), usado como porta de entrada para vírus em Visual Basic, como I Love You, Anna Kournikova, Haptime e Homepage. O WSH fica ativo como padrão em várias versões do Windows e serve para executar scripts de várias linguagens, incluindo Visual Basic. No entanto, a menos que o usuário use especificamente o serviço, ele pode ser desativado sem problemas, aumentando a segurança da máquina.

Outra configuração padrão perigosa do Windows é a função que oculta as extensões dos arquivos reconhecidas pelo sistema. Os criadores de vírus tiram vantagem dessa função para produzir arquivos maléficos com duas extensões, uma falsa e a verdadeira. Desta forma, a verdadeira fica oculta e a falsa, geralmente com aparência inofensiva, é exibida. Um bom exemplo disso foi o vírus Homepage, que vinha em arquivos com extensões “.TXT.VBS”. Como “.VBS” é uma extensão reconhecida pelo Windows, o sistema a ocultava e as vítimas acreditavam estar abrindo um inocente arquivo de texto (TXT), em vez de um perigoso vírus.

Leia também:

Não dê dinheiro a spammers

Spam via Windows já é uma realidade

Spam está sendo enviado por meio do Mensageiro do Windows

Previna-se contra o vírus Homepage e outras pragas de VBS

Identifique a extensão dupla do vírus Kournikova

29/10/2003 - 16:35

A empresa de segurança Trend Micro está disponibilizando em seu site uma ferramenta gratuita, que permite aos administradores de Tecnologia da Informação (TI) calcular o quanto o spam representa de despesas desnecessárias para uma companhia. O sistema se aplica a empresas de diferentes portes e foi desenhado a partir de um estudo do Ferris Research e da experiência da Trend Micro em filtragem de conteúdo.

Após preencher os campos propostos pela ferramenta, o administrador de TI verá, em dólares, o custo anual do spam por empregado, para o seu setor e para a empresa como um todo. O sistema também permite calcular o quanto seria possível economizar com a implantação de um software anti-spam.

A ferramenta está disponível no endereço www.trendmicro.com/form/spam/default.asp. É necessário preencher um cadastro antes de utilizá-la e a página está em inglês.

28/10/2003 - 19:13 Redação

Os gastos de empresas com segurança da informação aumentaram em 2003, segundo a mais recente pesquisa da PricewaterhouseCoopers. Os resultados mostram que 62% das empresas entrevistadas investiram mais em segurança neste ano, em comparação com um percentual de 50% em 2002. Foram ouvidos 7,5 mil executivos de TI do mundo todo, incluindo profissionais de cerca de 450 empresas no Brasil.

O estudo indica que os principais investimentos na área foram aplicados em campanhas internas de conscientização de funcionários, além da criação de políticas mais rígidas de segurança. Apenas 29% das empresas pesquisadas declararam investir menos que US$ 10 mil anualmente em segurança, contra 39% do ano anterior. As empresas investem em média 11% do orçamento de TI em segurança.

A pesquisa revelou que existem diferenças regionais quanto ao tratamento da segurança. Nos EUA, 67% dos entrevistados disseram que suas decisões na área são tomadas pelas áreas de TI e negócios. Já na América do Sul, apenas 29% das empresas usam esse método. Os americanos também têm mais consciência e padrões nos processos de segurança, segundo o que se infere das respostas de 71% dos entrevistados. Apenas 49% dos sul-americanos disseram haver padrões ou grande nível de conscientização entre os funcionários.

A pesquisa será apresentada na próxima quinta-feira, dia 30 de outubro, no Paulista Plaza Hotel, durante seminário sobre Tecnologia, Políticas e Práticas de Segurança, realizado pelo IDG Brasil. O seminário também vai mostrar casos de estudo de projetos de segurança no setor financeiro, como o Banco Opportunity, BM&F e Visanet. Maiores informações sobre o evento podem ser obtidas aqui.

28/10/2003 - 18:41 Helena Nacinovic

A Microsoft relançou o patch (correção de segurança) contido no boletim MS03-045, para corrigir problemas criados pelo patch lançado anteriormente. A correção inicial causava erros de execução de alguns programas e instabilidade no sistema operacional Windows 2000 SP4 em alguns idiomas, entre os quais o português do Brasil e de Portugal.

O boletim MS03-045 alertava sobre uma falha que permite a execução de código não autorizado ao se explorar um estouro de buffer (memória temporária) nos controles ListBox e ComboBox do Windows. A nova versão do patch para essa falha corrige não apenas o problema original, mas também os erros da primeira versão.

A Microsoft também anunciou um novo patch relacionado ao boletim MS03-047, que alerta sobre uma vulnerabilidade no gerenciador de correio eletrônico Exchange Server 5.5. A correção anterior não abrangia algumas das versões em certos idiomas instalados pelos “Language Packs for Outlook Web Access”. A empresa alerta que, para o funcionamento correto do patch, é preciso que o servidor tenha uma versão do Internet Explorer igual ou superior à 5.01.

A vulnerabilidade abre brechas no Exchange Server devido à forma como o Outlook Web Access codifica a linguagem HTML no formulário de um nova mensagem. Um atacante que explore a falha pode fazer com que um usuário execute um script malicioso para, a partir daí, acessar qualquer dado do site a que a vítima tenha acesso.

Leia também:

Correção do Windows trava programas

Microsoft lança 7 boletins de segurança de uma vez

28/10/2003 - 17:33 Helena Nacinovic

A lista de alertas de segurança do site SecurityTeam anunciou a descoberta de uma nova vulnerabilidade na versão 6.12 do mIRC, popular software de bate-papo pela rede IRC (Internet Relay Chat). A nova falha permite que um atacante force o fechamento do programa enviando um arquivo com um nome excessivamente longo por meio da função DCC (Direct Client-to-Client), usada para comunicação direta entre dois usuários da rede.

Até o momento, os únicos usuários que parecem estar vulneráveis a esse ataque são os que minimizam sua caixa de diálogo do DCC, manual ou automaticamente, e depois abrem essas janelas para receber um arquivo com nome longo.

A versão 6.12 do mIRC foi lançada há duas semanas para corrigir outras falhas no programa. Ainda não há previsão para o lançamento da correção desta nova vulnerabilidade, mas os usuários do mIRC podem adotar algumas medidas de precaução, entre as quais:

- Desativar todos os pedidos recebidos pelo DCC com o comando /ignore -wd *
- Ativar a opção “auto-get file” no menu do protocolo DCC

Outras alternativas mais técnicas podem ser encontradas no alerta do Securiteam.

Leia também:

Falhas em programa de bate-papo são corrigidas

Falha em programa de chat permite invadir PC

28/10/2003 - 1:00 Helena Nacinovic

A Rede Nacional de Ensino e Pesquisa (RNP) vai realizar de 10 a 14 de novembro o 9º Seminário de Capacitação Interna (SCI). O objetivo principal do evento é capacitar os técnicos dos Pontos de Presença (PoPs) da RNP nas várias cidades em que a rede opera.

Neste ano, o SCI vai ser realizado em Salvador, nas instalações da Universidade Federal da Bahia (UFBA). O seminário incluirá laboratórios, minicursos, palestras e discussões nas seguintes áreas temáticas: vídeo digital, telefonia IP, MPLS e VPN, segurança de redes, multicast, roteadores Unix, tráfego, medidas e estatísticas em redes, videoconferências, spam e tecnologia P2P (peer-to-peer).

As atividades são voltadas para técnicos com conhecimentos básicos de TCP/IP, administração de redes e sistemas computacionais, mas o evento também terá espaço para alguns convidados de instituições usuárias da rede RNP2 ou com as quais a RNP mantém relacionamento. As incrições devem ser feitas por e-mail.

28/10/2003 - 0:31 Helena Nacinovic

Uma nova lista por e-mail quer reunir profissionais e empresas de segurança para trocar informações de trabalho e estágios, além de mensagens de interesse profissional. A SecurityGuys funciona no serviço YahooGroups e será moderada, para evitar o envio de mensagens fora do tópico. A lista não permitirá discussão entre os participantes, apenas informativos e anúncios de empregos na área.

A inspiração para a lista veio da americana SecurityJobs, que faz parte do site SecurityFocus.com. Ronaldo Vasconcellos, criador da SecurityGuys, diz que "a lista só vai funcionar se os interessados a divulgarem, seja entre seus colegas de trabalho ou para um potencial empregador”.

Pessoas de fora da lista também podem mandar e-mails para a comunidade, mas as mensagens também serão moderadas. O endereço para enviar um anúncio sem receber outros é securityguys@yahoogroups.com. Para participar da lista, é necessário se inscrever.

27/10/2003 - 20:15 Helena Nacinovic

Um novo worm, batizado de W32/Sober.A, está usando nomes de produtos antivírus para atrair vítimas. O vírus se espalha por e-mail e vem com arquivos anexos que copiam nomes de antivírus famosos. A nova praga está preocupando empresas de segurança, devido ao aumento do relato de incidentes. A Panda Software, a Symantec e a Network Associates já emitiram alertas sobre a nova ameaça.

Assim como outros worms, o Sober.A chega às vítimas numa mensagem com texto, nome do anexo e assuntos variados, os quais podem estar em inglês ou alemão. Uma particularidade do Sober é deixar duas cópias de si mesmo nas máquinas infectadas. Portanto, mesmo que o usuário remova uma delas, ele ainda vai continuar ativo.

O worm não parece ter efeitos destrutivos, mas se instala na memória da máquina infectada e usa o programa de e-mail da vítima para se distribuir para mais pessoas, utilizando um mecanismo SMTP próprio. Quando o arquivo anexo é executado, ele exibe uma falsa mensagem de erro na tela da vítima, semelhante à da figura abaixo:


Para se propagar por e-mail, o Sober busca endereços em arquivos com as seguintes extensões: HTT, RTF, DOC, XLS, INI, MDB, TXT, HTM, HTML, WAB, PST, FDB, CFG, LDB, EML, ABC, LDIF, NAB, ADP, MDW, MDA, MDE, ADE, SLN, DSW, DSP, VAP, PHP, ASP, SHTML, SHTM, DBX, HLP, MHT e NFO. Depois cria, no diretório System do Windows, o arquivo Macromed\Help\Media.dll, que serve para armazenar todos os endereços encontrados.

Veja o exemplo de uma das mensagens usadas pelo Sober.A:

Assunto: A worm is on your computer!

Corpo da mensagem: I permanently get Spam-Mails from you and inside is a virus!! You should remove these thing. Read the document, before another or my mailbox explode! Yours sincerely.

Anexo: anti_virusdoc.pif

26/10/2003 - 7:21 Redação/Divulgação

A Associação Cidade Verde (ACV), organização não-governamental de Porto Velho, em Rondônia, dedicada à defesa dos consumidores e dos direitos dos cidadãos, realizará de 10 a 14 de novembro um ciclo de palestras com o tema “O Direito do Consumidor e a Internet”. O objetivo é difundir as melhorias que as novas tecnologias promovem para o relacionamento entre consumidores e mercado, bem como esclarecer as novas situações que daí surgem.

“A Internet faz parte do dia-a-dia de parcelas cada vez maiores da população, por isso precisamos difundir e estimular o mais rápido possível o aprendizado de toda a gama das situações criadas pelas novas formas de publicidade, compra e venda de bens e serviços”, disse Paulo Xisto, presidente da entidade.

Para o evento, que conta com o patrocínio da Secretaria de Direito Econômico do Ministério da Justiça, a ACV convidou especialistas locais e de outros estados em diversas áreas ligadas ao tema. O jornalista Giordani Rodrigues, fundador e editor do site InfoGuerra, participará do evento apresentando duas palestras, uma delas sobre segurança na Internet para o usuário comum e outra sobre jornalismo investigativo na Internet.

O advogado Omar Kaminski, especializado em Direito na Internet, falará sobre marcas e domínios e estará lançando o livro "Internet Legal - O Direito na Tecnologia da Informação", organizado por ele. O delegado Mauro Marcelo de Lima e Silva, que já esteve no comando do setor de crimes de informática da Polícia Civil de São Paulo, também estará presente, falando sobre crimes na Internet. A grade completa de palestrantes pode ser vista no site da ACV.

As apresentações serão realizadas nos auditórios de diversas instituições de ensino ― Ulbra, Faro, Fatec, Uniron e São Lucas ―, cada dia num local, sempre a partir das 19 horas.

23/10/2003 - 9:47 Helena Nacinovic

Mais um golpe virtual está sendo aplicado contra internautas crédulos. Trata-se de um spam sobre uma suposta loteria holandesa, no estilo do clássico golpe nigeriano. O e-mail chega em inglês com o assunto “Congratulations” e o texto anuncia que o destinatário pode ter sido um dos ganhadores de uma loteria internacional baseada na Holanda. O golpe alega que a pessoa recebeu a mensagem porque seu endereço eletrônico foi sorteado entre vários e-mails de usuários freqüentes da Internet.

O scam (esquema fraudulento enviado por meio de spam) tenta seduzir os internautas com a afirmação de que a pessoa tem direito a prêmios milionários. Uma das mensagens que chegou até a redação InfoGuerra oferecia US$ 5,5 milhões, parte de um prêmio total de US$ 80 milhões dividido entre 17 "participantes internacionais". A suposta loteria teria sorteado por computador alguns internautas do mundo todo como parte do “Programa de Promoções Internacionais”.

Há várias versões do mesmo esquema, mas no exemplo em questão a "loteria holandesa" pede que o contemplado entre em contato com uma certa "Sra. Mary Moore", em Amsterdã, até 30 de outubro para receber o dinheiro. Se uma pessoa demonstrar interesse em tentar receber o prêmio, começará a ser explorada financeiramente, pois os responsáveis irão cobrar uma "taxa" pelos “serviços lotéricos”.

Na verdade, todo o esquema é falso, como o famigerado golpe nigeriano, que pede ajuda numa transação mirabolante para recuperar milhões de dólares ilegais. A mensagem está sendo enviada pelo mundo também com variação que envolve uma lotérica espanhola, mas o golpe é o mesmo.

No site Snopes.com, especializado em hoaxes (boato), há mais detalhes (em inglês) sobre o golpe lotérico e o golpe nigeriano. Uma cópia da mensagem fraudulenta que recebemos, incluindo seu cabeçalho, pode ser vista aqui.

23/10/2003 - 7:59 Helena Nacinovic

O Grupo de Trabalho em Segurança de Redes (GTS) vai realizar um encontro da comunidade brasileira de segurança, de 1 a 3 de dezembro, no Rio de Janeiro. Essa será a 16ª edição da reunião e a segunda a ser feita em conjunto com o Grupo de Trabalho de Engenharia e Operação de Redes (GTER).

Quem estiver interessado em participar como apresentador no evento, ainda pode submeter seus trabalhos para apreciação até a próxima segunda-feira, dia 27 -- o prazo final era até o dia 20, mas foi prorrogado. Há várias sugestões de tópicos a serem abordados, como detecção de intrusos, prevenção e combate ao spam, assinaturas digitais, entre outros. As apresentações devem ter o formato de palestras com até 60 minutos de duração ou minicursos de até oito horas.

O evento é gratuito para todos os participantes e custeado pelo Comitê Gestor da Internet no Brasil. A organização é do Registro.br em conjunto com voluntários do GTS. Essa será a primeira edição da reunião no Rio de Janeiro e, segundo a organização, há planos de realizá-la futuramente em outras capitais brasileiras.

Para obter mais informações, visite a página do GTS.

22/10/2003 - 18:29 Redação InfoGuerra

Uma das correções de segurança divulgadas pela Microsoft na semana passada pode causar erros de execução de alguns programas e instabilidade no sistema operacional. O problema, confirmado pela empresa, só afeta o Windows 2000 SP4 em alguns idiomas, entre os quais o português do Brasil e de Portugal.

O patch lançado com o boletim MS03-045 corrige uma vulnerabilidade importante, que permite a execução de código não autorizado ao se explorar um estouro de buffer (memória temporária) nos controles ListBox e ComboBox do Windows. Mas alguns usuários que instalaram a correção tiveram vários problemas com determinados programas ― incluindo antivírus ―, bloqueios do sistema e telas azuis.

No boletim de segurança, que foi atualizado para incorporar o alerta sobre o problema, a Microsoft afirmou que os erros causados pela correção não estão relacionados à vulnerabilidade em questão, mas sim a um erro de espaço designado na memória para os arquivos KERNEL32.DLL e MPR.DLL. Ainda não existe uma solução para os problemas de compatibilidade do patch, mas a Microsoft garante que a vulnerabilidade inicial foi corrigida.

É possível contornar os problemas gerados pelo patch desinstalando-o. Isso poderá deixar o sistema vulnerável a ataques, mas a gravidade da situação é amenizada pelo fato de que a falha no sistema só permite a elevação dos privilégios de um usuário com acesso prévio ao computador, mas não pode ser explorada remotamente.

22/10/2003 - 15:29 Helena Nacinovic

Uma variante de um hoax (boato) conhecido está circulando pela Internet brasileira. A mensagem seria de uma mãe pedindo ajuda aos internautas para conseguir dinheiro para a operação de sua filha recém-nascida, Natalie. Krista Marie pede que os destinatários repassem a mensagem para ajudar a criança, que teria câncer no cérebro.

O e-mail está circulando em português, mas já circulou em outros idiomas e é apenas uma das versões de um formato clássico de hoax. Segundo a mensagem falsa, a AOL teria se comprometido a pagar 5 centavos por e-mail encaminhado para terceiros e a renda iria para a operação da criança.

Na realidade, a bebê Natalie não existe, muito menos o compromisso da AOL. Tampouco existe uma ferramenta que seja capaz de contabilizar o número de e-mails encaminhados ao redor do mundo. A mensagem inclui a foto de um bebê que, na verdade, foi retirada do site BabyPics.com, onde os pais legítimos da menina Megan Olivia Cronce exibiram a filha.

Veja, abaixo, uma reprodução do hoax (os erros de português foram mantidos):

Olá meu nome é Krista Marie e acabo de ter uma filha , que se chama Natalie. Aos olhos do mundo, e recentemente os dotores descubriram que minha pequena Natalie tem um câncer no cérebro . Desafortunadamente meu marido e eu não temos o dinheiro para pagar a operação, mas meu esposo e eu conseguimos uma ajuda da AOL , e eles nos ajudarão com 5 centavos por cada pessoa que receber este e-mail . Por favor, reenvie este e-mail pra cada pessoa que você conhece, e ajudem a minha pequena Natalie.

21/10/2003 - 18:02 Helena Nacinovic

Os novos tipos de spam e malware (código malicioso em geral) que estão circulando hoje pela Internet dão dicas preocupantes sobre os futuros vírus, worms e cavalos de Tróia que vão infestar a rede. A consultoria britânica de segurança mi2g criou um relatório reunindo as características mais prováveis dos futuros ataques virtuais, que já apontam para o surgimento do que a empresa convencionou chamar de "agentes malware inteligentes distribuídos", ou DIMA, na sigla em inglês.

Segundo o relatório, os novos agentes malware serão mais perigosos do que os existentes hoje por misturar características de worms, trojans e vírus numa só ameaça, criada para permanecer oculta até que um número significativo de computadores tenha sido infectado. A expectativa é de que os DIMA também tenham recursos para apagar seus rastros e, portanto, dificultar ainda mais a descoberta dos responsáveis por sua disseminação.

A mi2g alertou que não é possível prever os motivos que levem programadores a produzir estas pragas, já que sua criação vai depender do esforço combinado de muitas pessoas com motivações totalmente distintas. No entanto, é possível prever, com base nos ataques de ameaças combinadas deste ano, como o Sobig, que os novos códigos maliciosos terão um potencial destrutivo grande, além de serem capazes de causar um prejuízo financeiro considerável.

A empresa acredita que tais ataques, no entanto, ainda vão demorar para se tornarem realidade, já que ameaças mistas são complexas. A previsão é de que os primeiros ataques aconteçam entre o fim de 2003 e 2005.

A mi2g criou uma lista com as 10 principais características dos futuros ataques, incluindo a capacidade de infectar plataformas de software e dispositivos variados. Os DIMA também poderão fazer o download de cavalos de Tróia, spyware (programas que monitoram a navegação), ou código malicioso de locais remotos, passando por redes com e sem fio, independentemente das barreiras de hardware, software e firmware (software armazenado na memória de leitura). O principal canal de distribuição dos malware serão conexões de banda larga permanentemente ligadas e os ataques vão demonstrar características de vírus clássicos, worms, cavalos de Tróia, código ativado por hacker (Hacker Activated Code ou HAC) e spyware de forma simultânea e coordenada.

Outras características serão a busca de vulnerabilidades nas máquinas infectadas e sua conseqüente exploração, a possibilidade de montar ataques DoS (negação de serviço) em grandes redes, furtar dados, identidades e perfis, e mapear a topologia de sistemas para coordenar a proliferação, distribuição e execução de danos. Os agentes terão uma estrutura modular que vai distribuir fragmentos dos códigos maliciosos para evitar a detecção do ataque e também vão ter capacidade de latência ou incubação, permitindo a realização de ataques coordenados.

21/10/2003 - 9:30 José Luis Lopez

A NTT DoCoMo, importante companhia japonesa de telecomunicações, decidiu desenvolver junto com a Network Associates (McAfee) um software antivírus específico para seus microcelulares, com a intenção de prevenir o que a empresa denomina "um possível desastre social causado por vírus dirigidos a tais dispositivos".

A idéia é proteger os futuros serviços de comunicações móveis em um projeto que tem os últimos dias de 2004 como data final. Ainda que os especialistas em segurança estejam prevendo há tempo a chegada de vírus ou worms que afetem os telefones celulares, até hoje só se conhece um, o “Timofonica”, surgido em junho de 2000, na Espanha.

Este worm reenvia mensagens SMS (Short Message Service) a números telefônicos de celulares, cujos prefixos são gerados aleatoriamente pelo vírus. SMS é um correio eletrônico que pode ser lido na tela do celular.

Segundo algumas estatísticas, mais de 60 mil vírus que afetam computadores pessoais foram descobertos até agora (a cifra varia porque cada fabricante de antivírus lhes dá diferentes nomes, inclusive a versões da mesma família de vírus). A maioria dos modelos atuais de telefones móveis permite a descarga de software, o que em qualquer momento poderia ser usado por programas maliciosos.

Por todos esses motivos, muitos desenvolvedores de antivírus estão reforçando suas pesquisas sobre o tema. Para a maioria, não falta muito para que surja algum código maligno que se propague através deste meio.

Se algo assim acontecesse hoje mesmo, poderia causar um grande dano devido ao seu poder de propagação e, além disso, porque significaria no mundo dos negócios uma falha generalizada deste sistema, provocada, neste caso, por algum vírus.

José Luis Lopez é editor do site VSantivirus. Texto publicado sob autorização. URL original: http://www.vsantivirus.com/20-10-03.htm. Tradução de Giordani Rodrigues


Leia também:

O spam e os vírus nos telefones celulares

McAfee alerta para boato sobre vírus de celular

Vírus de telefone celular é trote

E-mail faz celular ligar para polícia japonesa

20/10/2003 - 19:02 Redação

Servidor Gruponet IE-2020, agora com filtro anti-spam

A Gruponet Tecnologia anunciou nesta semana o lançamento do Filtro AntiSpam, um novo software que se integra aos servidores Web Gruponet IE-2020 para bloquear mensagens indesejadas. O novo filtro permite a criação de regras anti-spam usando todos os campos do cabeçalho dos e-mails.

Com o aumento contínuo do volume de spam na Internet, a Gruponet estima um aumento de 15% nas vendas do equipamento para os próximos três meses. A empresa anunciou também que os clientes que já possuem contrato de serviço receberão a nova ferramenta automaticamente pelo sistema de atualização. O preço sugerido do equipamento é de R$ 5.999,00.

20/10/2003 - 17:24 Helena Nacinovic

A Microsoft já começou a implantar as anunciadas mudanças na divulgação dos seus alertas de segurança, e os boletins lançados na semana passada já fazem parte do novo formato. A partir deste mês, os alertas, que antes eram semanais, serão agrupados em um boletim mensal, divulgado sempre na segunda terça-feira de cada mês, às 15 horas (horário de Brasília).

A empresa justificou a mudança dizendo que o novo formato vai simplificar e tornar mais previsíveis as datas de divulgação das correções, afirmando ainda que vai continuar a lançar alertas para as falhas mais perigosas fora do boletim mensal.

Os alertas também vão incluir informações novas, algumas de cunho técnico e outras sobre a instalação e gestão dos patches (correções) disponíveis. A Microsoft também está incentivando os usuários de seus produtos a acessar as dicas de segurança disponíveis no site oficial da empresa, entre as quais a configuração do firewall interno do Windows XP como medida básica de proteção.

A novidade, no entanto, está causando polêmica em alguns sites especializados. Os críticos dizem que a Microsoft poderia criar os alertas mensais sem acabar com alertas específicos para cada nova falha, permitindo que os usuários escolhessem o melhor método para cada caso.

Os alertas de segurança da Microsoft estão sendo criticados desde a praga Slammer, worm que desestabilizou a Internet no mundo todo e explorava uma vulnerabilidade conhecida, cuja correção estava disponível há meses.

Leia também:

Microsoft lança 7 boletins de segurança de uma vez

20/10/2003 - 16:14 Helena Nacinovic

O novo alvo dos spammers são computadores domésticos com conexão de banda larga, segundo a empresa britânica de segurança mi2g. Num relatório recente, a empresa alerta que os sistemas domésticos e de pequenas empresas estão sendo "seqüestrados" para enviar spam e que os rastros das mensagens não-solicitadas geralmente levam até spammers da Ásia e América Latina.

O Brasil figura entre os países com maior número de casos de abuso por parte de spammers. Os outros países apontados pela empresa foram China, Rússia, Argentina, Guatemala, Hungria, Malásia, Nicarágua, Filipinas, Romênia, Arábia Saudita, Coréia do Sul, Espanha, Tailândia e Taiwan.

A mi2g afirma que a crescente monitorização dos servidores corporativos e as novas diretrizes de segurança colocadas em prática após os atentados de 11 de setembro de 2001 contribuíram para a mudança de alvo dos spammers, que antes se concentravam em servidores corporativos comprometidos.

Na China e na Rússia existem grandes pólos de envio de spam, mas no ocidente a maior parte do spam vem de computadores públicos e domésticos seqüestrados, que não têm nem a proteção de um firewall simples. Além da facilidade de atacar essas máquinas, existe a vantagem de que a maioria delas tem endereços IP dinâmicos, dificultando ainda mais o rastreamento do spammer.

O esquema foi descoberto pela polícia especializada quando computadores domésticos começaram a chamar a atenção por usarem quase toda sua largura de banda disponível sem serem desligados. Em todos os casos descobertos, os donos das máquinas não sabiam que seus sistemas estavam sendo usados para enviar mensagens não-solicitadas.

O problema fica mais grave com a recente onda de spam com cavalos de Tróia incluídos, que atacam novas máquinas e abrem novas rotas para spammers.

16/10/2003 - 18:53 Helena Nacinovic

A Microsoft publicou nesta quarta-feira nada menos do que sete novos boletins de segurança, cinco dos quais corrigem falhas críticas em seus softwares. Quatro das vulnerabilidades críticas permitem a execução remota de código nas máquinas vulneráveis e atingem todas as versões mais recentes do Windows (XP, NT, 2000, Millenium e Server 2003). A quinta falha crítica atinge especificamente o Microsoft Exchange Server 5.5 e o Microsoft Exchange 2000 Server e, da mesma forma que as outras quatro, permite a execução de códigos.

A sexta vulnerabilidade encontrada também atinge as várias versões do Windows e permite que um atacante eleve as configurações locais de privilégios de usuários. Ela foi classificada como "importante". A sétima falha atinge o Exchange Server 5.5 e foi classificada apenas como "moderada", apesar de também possibilitar a execução remota de código malicioso.

A Microsoft já disponibilizou em seu site oficial o download das correções para todas as falhas descobertas. Para saber mais detalhes sobre cada vulnerabilidade, acesse o boletim da Microsoft sobre as cinco falhas do Windows e o boletim sobre as duas falhas no Exchange Server (ambos em inglês).

As vulnerabilidades foram divulgadas poucos dias depois do anúncio de novas medidas de segurança para os produtos Microsoft, feito pelo presidente Steve Ballmer. Ele disse que a periodicidade do lançamento de correções vai mudar de semanal para mensal, além de disponibilizar um "service pack" (pacote de correções e atualizações) para o Windows XP e Server 2003. A novidade está causando polêmica na comunidade de segurança internacional, pois os analistas vêem com ceticismo os desdobramentos do Trustworthy Computing, a iniciativa de computação segura da Microsoft.

Leia também:

Processo contra MS pode melhorar segurança de softwares

16/10/2003 - 15:52 Redação

No próximo dia 29 de outubro, a Associação dos Advogados de São Paulo (AASP) promove o seminário "Aspectos Legais do Software Livre", que pretende discutir questões jurídicas atuais relacionadas ao software livre. O encontro abordará temas como licença pública genérica, questões ligadas a licitações, direitos autorais, contratos de software, e as diferenças entre software livre e comercial sob a ótica jurídica.

O evento está sendo coordenado pelo advogado Renato Ópice Blum e vai contar com palestras dos advogados Alexandre Pesserl, da Associação Brasileira de Direito e Tecnologia da Informação (ABDTI), Ronaldo Lemos, da Fundação Getúlio Vargas e Alessandra Del Debbio, da Microsoft.

O seminário acontece no dia 29 de outubro a partir das 18h30 na Rua Álvares Penteado, 151, 1º andar, no centro de São Paulo. Para participar, sócios da AASP pagam uma taxa de R$ 20,00 e não-sócios pagam R$ 40,00. Mais informações podem ser obtidas pelos telefones (11) 3291-9219 e (11) 3291-9220, ou pelo e-mail inscricao.cursos@aasp.org.br.

16/10/2003 - 15:28 Redação

A Westcon Brasil, provedora de tecnologia de redes, anunciou esta semana a distribuição no país de duas ferramentas de segurança Blue Coat ProxySG, família de programas que controla comunicações corporativas via Web. O produto funciona como um filtro de conteúdo integrado, que inclui funções de autenticação e gerenciamento de dados pela Web.

Outras funções incluem antivírus, controle da utilização de mensagens instantâneas e suporte ao filtro de conteúdo da empresa SurfControl, com a criação de categorias para os endereços visitados. A segurança no Blue Coat ProxySG é feita com o controle dos dados em tráfego pela porta 80, de acesso a servidores Web, permitindo o controle do conteúdo de informações das aplicações liberadas pelo firewall.

No próximo dia 21 de outubro, a Westcon e a revendedora Actar vão apresentar os produtos num seminário em Belo Horizonte, Minas Gerais.

15/10/2003 - 20:53 Redação InfoGuerra

A última pesquisa feita pelo NBSO (Grupo de Resposta a Incidentes para a Internet Brasileira) mostra que o número de notificações de ataques digitais no país aumentou quase 40% no terceiro trimestre deste ano, em relação ao segundo trimestre. Entre abril e junho houve um total de 10.414 notificações de incidentes. Na pesquisa mais recente, o número cresceu para 14.556 notificações.

Os maiores responsáveis pelo aumento nas estatísticas foram os ataques de worms, gerando 1.508 notificações a mais no último trimestre. Outro fator que se destacou na pesquisa do NBSO foi o aumento do número de fraudes reportadas, que nesse trimestre foi superior ao total do ano de 2002 inteiro. Os scans (rastreamentos) por portas continuam estáveis em comparação com o trimestre anterior. As portas mais “escaneadas” são TCP/1080 e TCP/17300 (explorada pelo worm kuang2).

As redes de origens dos ataques mudaram um pouco no período analisado. No segundo trimestre, a Telesp liderava o ranking de origem dos ataques, seguida por Cyberangels e Kerntec. A última pesquisa mostra que agora a Kornet lidera a lista, seguida pela Centurytel e Telesp.

Segundo o especialista Klaus Steding-Jessen, do NBSO, a presença da Kerntec no trimestre anterior foi um caso isolado. Os Cyberangels, que faziam scans de open proxy (servidores geralmente usados para spam), foram substituídos pela Centurytel no mesmo tipo de atividade. A atividade vinda da Telesp continua constante e a Kornet, da Coréia, que tem o mesmo perfil da Telesp, engloba o tráfego originado em um grande número de máquinas ADSL domésticas, provavelmente sendo abusadas por terceiros.

A segunda-feira continua sendo o dia em que há o maior numero de notificações de incidentes na semana. Uma boa dica para os administradores é redobrar a atenção nos fins de semana, já que, na opinião de Steding-Jessen, é bem provável que o alto índice de notificações nas segundas-feiras se deva a ataques durante o fim-de-semana, quando muitos profissionais estão descansando. A pesquisa completa pode ser encontrada em www.nbso.nic.br/stats.

Tendência mundial

A empresa de segurança Symantec também divulgou neste mês o relatório “Symantec Internet Security Threat Report”, que faz uma análise das tendências mundiais relacionadas à segurança da Internet em mais de 180 países.

O relatório mostra que o aumento das ameaças combinadas representa um dos principais problemas enfrentados pelas empresas este ano, correspondendo a 60% das notificações de códigos maliciosos registradas no primeiro semestre de 2003. O volume de ameaças combinadas cresceu 20% e continua sendo o tipo de ataque mais freqüente.

A velocidade de propagação dessas ameaças é preocupante, como a crise do worm Slammer ilustrou claramente. Outra praga que também teve uma velocidade de difusão muito grande foi o worm Blaster, que chegou a infectar aproximadamente 2,5 mil computadores por hora. A pesquisa também mostrou que o tempo entre a descoberta e a disseminação do ataque está cada vez menor. O Blaster, por exemplo, foi criado apenas 26 dias após o anúncio da vulnerabilidade que ele explora.

A pesquisa também inclui a análise das vulnerabilidades mais exploradas pelos invasores. Segundo a Symantec, 64% dos novos ataques têm como alvo vulnerabilidades conhecidas há menos de um ano. Além disso, 66% das invasões detectadas no primeiro semestre deste ano usaram brechas de segurança classificadas como críticas. O relatório completo pode ser encontrado aqui. É preciso preencher um cadastro para baixar o relatório.

15/10/2003 - 18:44 Redação InfoGuerra

O mIRC, um dos programas mais populares para acessar as redes de bate-papo do IRC (Internet Relay Chat), lançou duas novas versões nos últimos dias para corrigir vulnerabilidades descobertas recentemente. A mais nova versão é o mIRC 6.12 e a equipe técnica do programa recomenda a instalação para todos os usuários, já que as falhas atingem todas as versões do programa a partir da 6.0 e estão sendo bastante exploradas em canais de IRC, de acordo com notícias publicadas por sites especializados em segurança.

A falha mais recente permite, segundo seus descobridores, que um atacante feche arbitrariamente o mIRC e tome o nick (apelido) de alguém no chat, ou derrube todos os operadores de um canal para se apoderar da sala de bate-papo. No início do mês, houve outro alerta para uma falha que permitia explorar o programa e executar comandos
nos sistemas das vítimas. Para baixar as últimas versões do mIRC acesse www.mirc.com/get.html.

Leia também:

Falha em programa de chat permite invadir PC

15/10/2003 - 10:42 Redação

Um representante da Microsoft, maior fabricante de software proprietário do planeta, e outro da Conectiva, maior distribuidor do sistema de software livre Linux na América Latina, estarão debatendo hoje, em Curitiba, no Paraná, os prós e contras de cada solução para o mercado corporativo.

A vantagem mais óbvia do software livre é o fato de que seus programas normalmente são gratuitos ou muito mais em conta do que o software proprietário. Além disso, as soluções de software livre possuem o código de programação aberto e podem ser modificadas de acordo com as necessidades de seus usuários, ao contrário do software proprietário, cujo código é fechado e não pode ser alterado sem permissão do fabricante.

Mas será que o software livre, por ser aparentemente mais barato, é a melhor opção para todas as empresas? Será que a economia em licenças não resulta em maiores gastos com suporte e treinamento de pessoal? Em quais empreendimentos a opção por software livre é realmente lucrativa? É possível criar soluções mistas?

Para esclarecer dúvidas como essas e ajudar os empresários na tomada de decisão, o gerente de produtos da Microsoft no Brasil, Eduardo Campos, falará em defesa do software comercial e Rodrigo Stulzer Lopes, diretor de Marketing da Conectiva, representará os defensores do software livre no debate "Software Livre e Software Comercial: como extrair o melhor dos dois mundos em benefício do seu negócio".

O evento será realizado nesta quarta-feira, dia 15, às 19 horas, no Sesc da Esquina, na Rua Visconde do Rio Branco, 969, no centro de Curitiba. A platéia será restrita a empresários, convidados e jornalistas credenciados.

15/10/2003 - 7:34 Giordani Rodrigues

Um cracker, mais especificamente um carder (indivíduo que faz uso de números de cartões de crédito alheios) está de posse de centenas de cadastros com informações privadas, incluindo informações financeiras, de pessoas que criaram sites no provedor de hospedagem hpG Plus e no de comércio eletrônico bpG , pertencentes ao mesmo grupo empresarial. O cracker afirma que teve acesso aos servidores dos sites há cerca de 15 dias. A empresa nega que houve o ataque.

A informação circulou entre grupos do underground da Internet brasileira no início deste mês. Ao mesmo tempo, o repositório de espelhos Zone-H publicou cópias de um mass defacement (desfiguração em massa), datado do dia 30 de setembro, de cerca de uma centena de sites com domínios hpgplus.com.br, hospedados no servidor de número IP 200.226.139.117. Este IP está registrado para o iG, que atualmente possui controle sobre os sites hpG.

O autor dos defacements usa o apelido de Prof_JJ, freqüentador de canais de carders da rede de IRC Brasnet. Pela Internet, InfoGuerra fez contato com o cracker, que forneceu detalhes e provas sobre o ataque. Ele disse que além de desfigurar os sites, também explorou uma falha de configuração do servidor Web e, por meio de um ataque chamado SQL Injection, teve acesso a um banco de dados hospedado num determinado diretório do domínio bpg.com.br.

Segundo ele, neste diretório estariam centralizados cadastros do hpG Plus e bpG, contendo informações como nome, números de documentos, números de contas bancárias e de cartões de crédito de clientes dos dois provedores. “Em vez de deletarem os números de cartões de crédito, não, deixaram todos expostos”, comentou. O cracker, que diz ter 16 anos, afirma que copiou todos os cadastros ― cerca de mil – presentes na pasta acessada. Para provar o que disse, enviou meia dúzia de arquivos, totalizando algumas centenas de cadastros.

As datas presentes nos cadastros vão de meados deste ano até as vésperas do suposto ataque. InfoGuerra escolheu aleatoriamente alguns nomes e telefones, desde os assinalados com data mais recente até outros com datas mais antigas e, em cerca de uma dúzia de telefonemas, pôde constatar que os dados eram verdadeiros. Várias pessoas confirmaram não só os nomes, como números de documentos, contas bancárias e endereços físicos. Todas também disseram que haviam criado sites no hpG Plus ou no bpG em data correspondente à que constava nos arquivos. Havia ainda muitos cadastros com números de cartões de crédito.

A assessoria do iG também foi contatada desde o início das investigações. O grupo WFG S.A., titular dos serviços hpG Plus e bpG, enviou uma resposta oficial assinada por seu diretor, Maurício Meismith, na qual afirma que, após a denúncia de suposta invasão ao sistema, foi iniciada uma auditoria nos servidores e não foi identificado o problema nas dimensões apontadas.

“Não houve alteração no ritmo e no padrão dos chamados em nosso suporte técnico e recebemos até o momento apenas nove chamadas sobre páginas corrompidas, no período de 26/09 a 03/10, volume que está em nosso padrão habitual, considerando o número de clientes que temos”, afirma o comunicado. A empresa garante que aplica as melhores práticas de prevenção a invasões digitais e conta com firewall, IDS (Intrusion Detection System) e sistemas de criptografia (SSL) para coleta e armazenamento dos dados dos servidores. A íntegra da resposta pode ser vista aqui.

Um detalhe: o cracker disse, no dia primeiro de outubro, que depois do alegado ataque “o hpG ficou paradão” e que o cadastro de novos usuários estava desativado. De fato, desde aquela época até o momento de publicação desta matéria, 15 dias depois, quem tenta fazer um novo cadastro no hpG Plus recebe a seguinte mensagem: “O cadastro de novos usuários está temporariamente indisponível. Por favor tente novamente mais tarde”.

15/10/2003 - 4:02 Redação InfoGuerra

O Uol está bloqueando mensagens de e-mail que trazem endereços do Yahoo no campo do remetente, mas que não foram enviadas pelos servidores do próprio Yahoo. A decisão, divulgada no final de semana em uma lista do Comitê Gestor da Internet brasileira, tem como objetivo diminuir a quantidade de mensagens não solicitadas (spam).

A medida causou polêmica depois de anunciada, pois há a possibilidade de um usuário legítimo do Yahoo usar os servidores SMTP de outros provedores para enviar suas mensagens eletrônicas, as quais serão bloqueadas automaticamente, sendo spam ou não. Os servidores do provedor Bol, que pertence ao mesmo grupo do Uol, também foram configurados para bloquear tais mensagens.

Segundo o anúncio do setor de segurança do UOL, a nova regra foi definida em acordo com a equipe de engenharia do Yahoo. A medida, em vigor desde o último dia 2, está servindo como um teste. O Uol disse que vai avaliar os resultados e, dependendo do seu sucesso, vai "ampliar a medida para outros domínios que ofereçam apenas o serviço de webmail, notoriamente usados para o envio de spam".

Caso os procedimentos dêem resultado, a empresa pretende orientar administradores de outras redes para, em contrapartida, só aceitarem e-mails de endereços do Bol que tenham sido enviados por servidores deste provedor. Em paralelo, deverá recomendar aos usuários do Bol para não usar outros servidores SMTP para enviar e-mails de contas @bol.com.br.

O responsável pelo setor de segurança do Uol disse que em apenas um dia de aplicação da nova regra cerca de um milhão de mensagens foram bloqueadas, mas não especificou que porcentagem delas era realmente spam.

Sobrecarga ao usuário final

Nas últimas semanas, o Uol vem tomando várias medidas para conter o spam. Em comum, todas sofreram críticas por transferirem o peso e as conseqüências das decisões para o usuário final. Esta semana, o site Magnet publicou uma nota informando que o provedor limitou o envio de e-mails para até 50 destinatários simultâneos. O suporte técnico do provedor estaria orientando seus usuários a enviar mensagens em "grupos de 40" para evitar qualquer problema. Quando o usuário envia e-mail para mais de 50 endereços, recebe uma mensagem de erro de que houve "problema no servidor SMTP".

Há alguns meses, foi lançado um serviço anti-spam do Uol que causou verdadeiras manifestações de repúdio entre vários usuários, principalmente entre os não clientes do provedor. O cliente que ativasse o serviço, deveria configurar uma “lista branca” de pessoas autorizadas a lhe enviar mensagens. Por outro lado, quem enviasse um e-mail a este usuário do Uol seria submetido a um exercício chamado tecnicamente de “desafio-resposta”: o remetente receberia outro e-mail, com um link para confirmação da mensagem que havia acabado de enviar.

O sistema possui vantagens, mas na prática causou vários inconvenientes, principalmente em listas de discussão, pois os clientes do Uol “esqueciam” ou não foram suficientemente orientados a liberar o endereço de e-mail das listas de que participavam. Assim, toda vez que algum outro integrante destas listas de discussão postava uma mensagem, recebia várias outras, às vezes dezenas, pedindo confirmação.

Resultado: muita gente se cansou de confirmar, e os usuários do Uol deixaram de receber mensagens de seu interesse. Por causa das reclamações, alguns moderadores de listas simplesmente bloquearam usuários do provedor que não liberaram os endereços. No auge do problema, InfoGuerra procurou a assessoria de imprensa do Uol para que a empresa se manifestasse sobre o assunto, mas não recebeu resposta.

Colaborou Helena Nacinovic


Leia também:

Uol e Mandic brigam por causa de software anti-spam

14/10/2003 - 23:20 Redação InfoGuerra

O site DoutorPenis.com, cujo nome foi associado ao envio de um spam com um arquivo espião, entrou em contato com InfoGuerra para esclarecer a situação e afirmou que nunca enviou spam, muito menos com vírus.

Segundo Luiz Augusto Pessoa da Silva, de 27 anos, responsável pelo site, seu negócio também foi vítima dos golpistas, que teriam usado o logotipo do site para enviar uma mensagem para “pessoas do Brasil inteiro”, estimulando-as a clicar num link (hospedado na Kit.Net) e inadvertidamente instalar um trojan ladrão de senhas em seus computadores.

“Estamos recebendo centenas de mensagens por dia de pessoas nos acusando de spam, mas a nossa empresa nunca teve essa prática", afirma Luiz Augusto, que mora em Fortaleza, no Ceará. O site divulgou uma nota explicando a mensagem fraudulenta para as pessoas atingidas.

Luiz Augusto também afirma que já recebeu telefonemas até de pessoas que se identificaram como policiais, incluindo agentes da Polícia Federal, que estariam "investigando" a mensagem. Ele também se queixa de prejuízos com o golpe. “Depois que este golpe começou a circular, as vendas praticamente pararam”.

O site vende manuais para crescimento do órgão genital masculino, o produto que estava sendo oferecido no spam – por sinal, um dos principais temas de spams no mundo. Apesar do produto que vende, Luiz Augusto garante que não é spammer.

Leia detalhes sobre o golpe aqui. Uma cópia da mensagem fraudulenta pode ser vista aqui.

14/10/2003 - 22:15 Helena Nacinovic

Um novo exploit (programa para explorar falhas em sistemas) está circulando na Internet, aproveitando-se de vulnerabilidades recentemente descobertas no protocolo RPC/DCOM do Windows, o mesmo componente explorado nos ataques com o worm Blaster, considerado o mais ativo no mês de agosto. Segundo notícias divulgadas em sites e listas de discussão especializados, mesmo quem instalou todas as atualizações de segurança do Windows até o momento está com o sistema vulnerável.

O RPC (Remote Procedure Call) serve para comunicação e execução de tarefas entre duas máquinas distantes entre si. As falhas presentes no serviço deveriam ter sido corrigidas no boletim de segurança MS03-039, da Microsoft, mas não foram, conforme já alertava o site VSAntivirus, há poucos dias.

Inicialmente, constatou-se o problema no Windows XP SP1, mesmo nas máquinas que possuem todas as correções de segurança. Os relatos atuais identificaram a existência da falha nas versões Professional e Home do Windows XP, além do Windows 2000 Workstation. Existe a suspeita de que outras versões do sistema operacional também possam estar vulneráveis, mas ainda não há confirmação oficial.

O exploit existente utiliza as vulnerabilidades para lançar ataques DoS (negação de serviço) contra os computadores afetados, mas suspeita-se que as falhas podem ser exploradas também para a execução de código remotamente. O código malicioso ataca as mesmas portas usadas pelo worm Blaster: TCP/135, TCP/139, TCP/445, TCP/593, UDP/135, UDP/137, UDP/138, UDP/445.

Todos os alertas recomendam que os usuários dos sistemas afetados usem firewalls em suas conexões como uma solução temporária para o problema.

Leia também:

Blaster infectou mais que o Sobig.F em agosto

Vírus explora falha recente do Windows

Falhas no Windows e ISA Server são corrigidas

14/10/2003 - 10:06 Helena Nacinovic

O mais novo processo contra a Microsoft pode estimular os fabricantes de software a melhorar a segurança de seus produtos. Essa foi a análise divulgada pelo Gartner Group, empresa dedicada a pesquisas e consultoria. A Microsoft está sendo processada com uma ação conjunta na Califórnia, EUA, sob a acusação de expor os usuários de seus produtos a furto de identidade por causa de métodos ineficientes de segurança dos softwares.

O processo foi aberto no dia 30 de setembro por um morador da Califórnia e se tornou uma ação coletiva que acusa a empresa de Redmond de vender sistemas operacionais e aplicativos altamente vulneráveis a vírus e outros ataques maliciosos que causam falhas nas redes de computador. Além disso, os alertas de segurança da Microsoft foram considerados complexos demais para os usuários comuns de computadores, ajudando os crackers a fazer ataques com mais rapidez.

O Gartner Group declarou que o nível de vulnerabilidades em softwares hoje é um "problema atraente" que torna o trabalho dos criminosos fácil demais. Apesar de não prever nenhum impacto imediato no setor de segurança de software devido ao processo, o Gartner Group acredita que os fabricantes ficarão atentos à decisão final do processo, além de criar novas regras e métodos para diminuir a incidência de vulnerabilidades em seus produtos. Em seu relatório, o Gartner sugere que os fabricantes de software devem assegurar que seus produtos tenham o máximo de segurança na instalação padrão, além de limitar as vulnerabilidades reduzindo a complexidade dos produtos.

A Microsoft já anunciou, na semana passada, que vai atualizar seu sistema operacional no começo de 2004 para diminuir os riscos para os usuários. As mudanças foram anunciadas pelo presidente da empresa, Steve Ballmer, e incluem um "service pack" para Windows XP e Windows Server 2003. Entre as alterações previstas, a Microsoft destacou melhorias na forma como o Windows gerencia a memória do computador, numa tentativa de proteger os usuários das falhas mais comuns do sistema operacional. Alguns dos vírus mais perigosos atualmente exploram essas falhas. Outra mudança será a inclusão de um firewall integrado, que a empresa promete ser mais eficiente do que as versões anteriores.

A Microsoft prometeu também reformular seu sistema de divulgação e distribuição dos patches de segurança, que hoje são disponibilizados semanalmente. Agora eles serão mensais e mais simples de instalar ou remover. No entanto, a empresa frisou que não vai deixar de disponibilizar patches no meio do mês, caso seja encontrada alguma falha séria. Os consumidores dos produtos Microsoft estão preocupados com a segurança de seus dados e máquinas, já que os ataques virtuais, vírus e outras pragas estão se tornando cada vez mais comuns.

11/10/2003 - 22:54 Omar Kaminski

O deputado Ronaldo Vasconcellos (PTB/MG) apresentou em plenário, na quarta-feira (8/10), projeto de lei que regula o uso do spam. Trata-se de mais um projeto que propõe o combate às mensagens indesejadas, mas que admite o envio único sob determinadas condições.

Vasconcellos aponta, na justificação, as inúmeras vantagens para aqueles que exploram essa forma de publicidade: "é muito barato enviar mensagens, pois um cadastro com milhões de e-mails pode ser facilmente obtido, ilegalmente, não custando mais do que uns quarenta reais. E com um pequeno índice de respostas, da ordem de 1% das mensagens enviadas, consegue-se um retorno adequado para o empreendimento propagandeado. É uma propaganda barata e segura, que atinge um público seleto, mas que inferniza impunemente a vida de milhões de usuários".

A preocupação do deputado é quanto ao uso ilegal de endereços de terceiros para envio de mensagens, seja pela apropriação de servidores abertos da rede, seja pelo uso indevido de compartilhamento do computador de um usuário inocente. "A maior parte dos usuários da Internet não possui conhecimento técnico nem dispõe de consultoria para detectar tais situações, e podem ser surpreendidos por uma acusação injusta de envio dessas mensagens, inclusive com conteúdo ilegal", justificou.

O parlamentar afirma que "não se deseja, com a iniciativa, impedir o uso do correio eletrônico, mas apenas regulamentá-lo minimamente, de modo a que os usuários que se sintam vítima de abusos possam recorrer à autoridade em busca de apoio".

Conforme o artigo 3º do projeto, o spam poderá ser enviado uma única vez, sendo vedada a repetição, a qualquer título, sem o prévio consentimento pelo destinatário. A mensagem deve estar claramente identificada como não solicitada e o texto deve conter identificação "válida e confirmável" do remetente, prevendo-se o opt-in (autorização do usuário para recebimento de mensagens futuras).

A utilização não autorizada de endereços de terceiros para o envio de mensagens é considerada crime pelo artigo 4º, apenado com detenção de seis meses a dois anos e multa de até quinhentos reais por mensagem enviada. E ainda, para os casos de "infrações no envio de mensagem não solicitada", o artigo 5º prevê outra multa de até duzentos reais por mensagem enviada, acrescida de 1/3 na reincidência.

Leia a íntegra do projeto aqui.


Omar Kaminski é advogado, diretor de Internet do Instituto Brasileiro de Política e Direito da Informática (IBDI) e responsável pelo site Internet Legal.

Leia também:

Criado mais um projeto de lei contra o spam

Projeto de Lei contra spam é renovado

Projeto para limitar spam volta reformulado

10/10/2003 - 20:11 Redação InfoGuerra

O site do BrTurbo, um dos maiores provedores de Internet do Brasil, sofreu um ataque de crackers na quarta-feira. Os piratas modificaram um box de notícias à esquerda da página principal do portal, que passou a apresentar um texto com o título “Nosso site foi invadido”.

O BrTurbo é o provedor de banda larga da operadora de telefonia Brasil Telecom. Ainda não se sabe qual foi a extensão do dano causado com o ataque ou a brecha de segurança que permitiu a desfiguração do site.

A empresa foi procurada por InfoGuerra, mas até o fechamento desta matéria não havia se pronunciado sobre o episódio. Uma cópia da página alterada pode ser vista no site Delta5.

10/10/2003 - 17:46 Helena Nacinovic

O SANS Institute, renomado centro de segurança americano, divulgou sua lista anual das 20 vulnerabilidades mais perigosas para sistemas Windows e Unix. As falhas nos sistemas operacionais e programas em geral permitem invasão e manipulação de computadores por meio de ataques diversos, incluindo vírus, worms e cavalos de Tróia. A lista foi preparada pelo SANS em conjunto com o Departamento de Segurança dos EUA, o National Infrastructure Security Coordination Centre (NISCC) da Grã-Bretanha e o governo do Canadá.

No anúncio oficial da lista, o grupo afirmou que a eliminação das vulnerabilidades incluídas é essencial para "manter um nível mínimo de segurança em computadores conectados a redes". O SANS alertou também que os ataques costumam explorar falhas conhecidas e com correção disponível, mas negligenciadas pelas empresas e usuários, como foi o caso da crise com o SQL Slammer.

As vulnerabilidades são divididas em duas listas de 10 itens, uma para sistemas Windows e outra para sistemas Unix. A lista dedicada ao Windows é encabeçada pelas falhas do Internet Information Services (IIS), comumente explorado em ataques de negação de serviço (DoS ou Denial of Service), furto de dados, execução involuntária de programas e destruição do servidor.

Já nos sistemas Unix, a lista é liderada pelas falhas no pacote BIND (Berkeley Internet Name Domain), geralmente alvo de ataques DoS devido ao seu uso comum em implementações de DNS (Domain Name Service).

A lista completa, junto com a explicação (em inglês) de cada uma das vulnerabilidades, está disponível no site do SANS Institute.

10/10/2003 - 4:41 Redação InfoGuerra

A associação entre fraudadores e spammers está cada vez mais comum, e a prova disso é uma mensagem que está sendo enviada em massa a internautas brasileiros, oferecendo um produto para aumento do pênis ― item tradicional na lista de spammers. Ocorre que tudo não passa de uma farsa para instalar um arquivo espião no computador dos usuários.

O e-mail, supostamente de uma empresa chamada "DoutorPenis.com", vem em português e promete um manual para "aumentar permanentemente o órgão sexual masculino em até 40% do comprimento e diâmetro". O falso manual está hospedado no endereço http://www.cityshop.kit.net/mastersaude/manual.zip e ainda estava disponível para download até o momento de publicação desta matéria.

O serviço Webimmune, da McAfee, identificou no arquivo manual.zip um malware (arquivo maléfico) de nome Keylog-spider.dr. O sufixo “.dr” provém da palavra inglesa dropper, significando que o arquivo serve para descarregar no sistema o malware cujo nome vem antes, no caso Keylog-Spider, classificado como trojan ou cavalo de Tróia.

Informações da empresa dão conta de que o trojan tem capacidade de registrar qualquer tecla pressionada, bem como alguns movimentos do mouse, e enviar os dados para para um usuário remoto por e-mail, tudo sem o conhecimento do dono do computador infectado. A McAfee informa também que o Keylog-Spider permite capturar informações críticas, como senhas, e que foi projetado para atingir especificamente alguns bancos brasileiros.

Há várias versões desse trojan, que já foi enviado em mensagens com outros apelos. Outras empresas antivírus batizaram o malware com o nome de BackDoor.Badco ou BackDoor.Badcodor. A Symantec é uma delas, e traz uma página em português com explicações sobre o cavalo de Tróia, acrescentando que ele “fornece a seu criador acesso total ao computador infectado”.

Um dos exemplos de mensagens fraudulentas que a Symantec cita e que utilizaram o trojan circulou há algumas semanas no Brasil. Era uma oferta de um falso software de proteção contra um vírus e trazia um trecho escrito “Virus Win32 Prejudicial e capiturador” (sic), com os típicos erros de gramática que se encontram em tais golpes por e-mail.

O mesmo cavalo de Tróia já foi usado no falso formulário para inscrição no Big Brother Brasil 4, que circulou intensamente alguns meses atrás e que de vez em quando reaparece.

Uma cópia da mensagem com o falso manual que está circulando esta semana pode ser vista aqui.

9/10/2003 - 18:32 Helena Nacinovic

A McAfee Security lançou um alerta, hoje, sobre um novo cavalo de Tróia batizado de W32/Sdbot.18976, que se disfarça como um e-mail proveniente da concorrente Symantec e está sendo enviado como spam. Descoberto há dois dias, o cavalo de Tróia vem anexado numa mensagem com um texto em inglês, supostamente alertando o internauta sobre o worm W32.SobigF e tentando induzi-lo a instalar uma falsa vacina contra o vírus.

O anexo é um arquivo compactado de nome nav32.zip, que contém o arquivo nav32.exe, utilizando, portanto, o nome comum do arquivo de instalação do antivírus Norton para inserir o cavalo de Tróia no computador. Uma vez instalado, ele se copia para a pasta System do Windows com o nome de RPCXlsq23.exe, além de criar uma chave de registro que o carrega na inicialização do computador.

Imediatamente o cavalo de Tróia tenta se conectar ao servidor de IRC (Internet Relay Chat) itc.ourmoney.pp.ru, onde aguarda comandos para fazer um ataque remoto. Com esse método, o computador fica vulnerável e o atacante pode obter as informações do sistema, como o espaço disponível em disco. Além disso, ele também pode fazer downloads e executar arquivos, também sendo capaz de interromper a execução de programas. Outra ação possível é o uso da máquina infectada para lançar ataques DoS (negação de serviço).

A McAfee alertou que, apesar de o W32/Sdbot.18976 ter sido classificado como de baixo risco, há possibilidade de que ele se espalhe rapidamente. Já existe uma vacina para o cavalo de Tróia no site da empresa.

Veja, abaixo, o texto do e-mail que contém o arquivo maléfico:

Remetente: updates@symantec.com
Assunto: Last Update.
Corpo da Mensagem:
Intruder Alert 4.1 W32_Webb_Worm Policy
This policy detects the propagation of the W32.SobigF.Worm through changes in the registry. W32.Webb.F@mm is a mass-mailing, network-aware worm that sends itself to all the email addresses it finds in various files. The worm uses its own SMTP engine to propagate and attempts to create a copy of itself on accessible network shares, but fails due to bugs in the code. In attachment you can find program that update your Norton Antivirus to Norton Antivirus 2004.

9/10/2003 - 17:56 Redação

A RSA Security anunciou hoje o lançamento de novas versões do seu software de autenticação RSA SecurID Token para as plataformas BlackBerry e PalmTop. A empresa, que se especializa em gerenciamento de identidade, está apostando no crescimento dos dispositivos móveis no mercado corporativo.

As novidades permitem que os usuários de plataformas BlackBerry RIM e PalmTop usem o software para garantir a proteção dos dados, sem a necessidade do uso de hardware extra para autenticar os dispositivos e evitar o vazamento de informações.

A empresa lançou também o software RSA SecurID Web Express 1.2, que gerencia a autenticação de credenciais, ajudando os clientes a implantar hardware e software nas redes corporativas com um custo menor de desenvolvimento e gerenciamento.

9/10/2003 - 16:57 Helena Nacinovic

O futuro dos bancos online será a guarda e transferência segura de informações pessoais e empresariais na Internet. Esse é o resultado de uma pesquisa feita pela empresa britânica mi2g, especializada em segurança da informação.

O estudo prevê que o crescimento de vírus, spam e fraudes online vai criar a necessidade de um serviço confiável e confidencial para o armazenamento de informações digitais particulares ou corporativas. Além disso, com a expansão das redes wireless (sem fio) e dos dispositivos móveis, estas informações precisarão estar disponíveis em qualquer lugar do mundo.

A tendência é que os bancos, como instituições que garantem a segurança de transações financeiras e dinheiro há séculos, fiquem em posição privilegiada para incorporar os serviços de segurança de informações digitais.

Para isso, no entanto, os bancos ainda precisam aperfeiçoar muito a segurança dos serviços já existentes na Internet. As fraudes e os roubos de identidade de bancos online estão se tornando cada vez mais comuns, mas segundo a mi2g ainda não são suficientemente freqüentes para forçar as instituições financeiras a desenvolver sistemas de autenticação e identificação mais eficientes.

Recentemente, 17 dos maiores bancos do mundo foram atingidos por fraudes online, que instruíam os clientes, via e-mail, a reinserir suas informações cadastrais em sites falsos, imitações dos sites reais dos bancos. O objetivo era o roubo dos dados de identidade dos clientes, para a realização de transações financeiras fraudulentas. Os sites falsos estão sendo retirados do ar com mandados judiciais e alguns bancos, como o Citibank, limitaram o valor dos saques e transações para evitar grandes prejuízos para os clientes afetados.

A reação dos bancos, apesar de rápida, mostrou que ainda existem brechas no sistema de segurança atual. Para ganhar a confiança dos clientes e entrar de cabeça na era digital, os bancos ainda precisam investir mais em sistemas de autenticação, além de conscientizar mais seus clientes.

Leia também:

Golpes contra bancos ganham variante

Falsos brindes e sites clonados atingem bancos

7/10/2003 - 19:59 Redação

Quem for à Infoimagem, que acontece de 6 a 9 de outubro no Shopping Frei Caneca, em São Paulo, poderá pedir a emissão de seu CPF eletrônico. É que a empresa TCI vai instalar em seu estande uma Autoridade Registradora (AR) reconhecida pela Infra-estrutura de Chaves Públicas (ICP-Brasil).

As ARs confirmam a identidade de pessoas físicas e empresas no meio digital, ao cadastrarem e reconhecerem suas assinaturas digitais como legalmente válidas. A AR é uma das iniciativas da nova unidade de negócios da TCI, a empresa especializada em certificação digital TCI Sign, que será lançada durante a Infoimagem. A empresa afirma que já está habilitada para emitir todos os tipos de certificados digitais reconhecidos pela ICP-Brasil e pretende criar uma rede de quiosques para distribuição de certificados digitais junto com soluções que envolvam esta tecnologia.

Os candidatos ao e-CPF serão fotografados na hora com uma câmera digital e precisam apresentar RG, CPF, título de eleitor e comprovante de residência. O CPF eletrônico será impresso num cartão inteligente (SmartCard) em seguida, ao custo de R$ 140,00 e válido por dois anos. Outra opção, que custa R$ 80 e vale por um ano, é retirar o certificado para ser armazenado em software que será instalado no computador da pessoa. Além dos certificados, a empresa comercializa a leitora de SmartCards, pelo valor de R$ 120,00.

A cadeia do ICP-Brasil é composta por uma Autoridade Certificadora (AC) Raiz, representada pelo Instituto Nacional de Tecnologia da Informação (ITI), seis ACs (Presidência da República, Serasa, Serpro, Receita Federal, Caixa Econômica Federal e Certisign) e, por fim, as ARs, que credenciam usuários para assinar documentos em meio digital.

A Infoimagem é o segundo maior evento mundial dobre Gerenciamento Eletrônico de Documentos (GED) e tecnologias correlatas. O evento é dividido em duas partes: a feira de exposições e o congresso. Na feira estarão presentes empresas como Datasul, IBM, Kodak e Xerox e Fujitsu, em um total aproximado de 100 marcas. O congresso é composto por cerca de 90 sessões técnicas nacionais e internacionais, com tutoriais, conferências e painéis. A visita à feira é aberta ao público, bastando solicitar convites ao Cenadem, organizador do evento. Para o congresso, é preciso inscrever-se. Outras informações podem ser encontradas aqui.

7/10/2003 - 17:55 Redação InfoGuerra

A Microsoft disponibilizou mais um pacote com correções (patches) cumulativas para o navegador Internet Explorer (IE). O patch parece ter finalmente corrigido uma falha grave do programa, que já deveria ter sido eliminada há mais de um mês, quando foi lançado o boletim de segurança MS03-032.

A falha, batizada de "Object Type Vulnerability", ocorre porque o Internet Explorer não determina de forma correta o tipo de objeto retornado de um servidor Web numa janela pop-up ou durante a comunicação com o servidor feita pela linguagem XML (Extensible Markup Language). Isto permite a um cracker explorar a brecha e rodar, por exemplo, um arquivo executável em uma máquina afetada, apenas induzindo o usuário a visitar uma página ou a abrir um e-mail em formato HTML.

Alguns trojans já estavam sendo criados para explorar a falha indevidamente corrigida, entre os quais o QHosts-1 e o Surfrbar. O QHosts-1 é acionado quando o usuário visita um site malicioso, que ativa o script automaticamente. O código modifica o registro do Windows relacionado à configuração de DNS no computador. Já o Surfrbar se espalha por mensagens em HTML, que contêm o script contaminado. Ele também modifica o registro do Windows, alterando a página inicial da máquina, que é redirecionada para o site www.surferbar.com.

A vulnerabilidade pode ser explorada em ataques DoS (negação de serviço) e dando acesso ao registro do Windows na máquina afetada, além de permitir que o atacante faça uma conexão discada automática para serviços pagos sem o conhecimento do usuário.

Para testar o seu computador e verificar se a vulnerabilidade está corrigida ou não, basta acessar o site da Hispasec Sistemas (em espanhol), que oferece um teste inofensivo da falha. Caso ela não tenha sido corrigida, a tela do computador ficará invertida, bastando clicar com o mouse para que ela volte ao normal.

O pacote de correções também resolve um problema em servidores Web com Windows XP que hospedam páginas em ASP.NET e também rodam o Internet Information Services (IIS) 5.1. Antes do patch, os clientes recebiam uma mensagem de erro ao tentar acessar essas páginas. O problema afeta exclusivamente as máquinas com o Windows XP. O novo pacote continua a corrigir todas as falhas anteriores do IE, a partir da versão 5.01, incluindo o IE 6.0 para Windows Server 2003.

Há ainda correções no funcionamento de um controle ActiveX e alterações na forma como o navegador monta arquivos em HTML dinâmico. É possível explorar essa última falha usando a capacidade de abrir arquivos do Windows Media Player via Web para atacar o computador em questão. A Microsoft recomenda também a instalação da mais recente correção do Windows Media Player para evitar que o programa seja usado em ataques via Web.

Veja mais detalhes sobre os patches no boletim de segurança MS03-040 e faça o download do pacote no site da Microsoft.

Leia também:

Pacote corrige todas as falhas anteriores do IE

6/10/2003 - 17:29 Redação InfoGuerra

Se você instalou no seu computador um software para troca de arquivos chamado EarthStation 5 (ES5 ou ESV), cuidado: sua máquina pode estar em perigo. O Centro de Atendimento a Incidentes de Segurança (CAIS), da Rede Nacional de Ensino e Pesquisa (RNP), divulgou um alerta sobre a presença de um malware (código maléfico) descoberto no software.

De acordo com o descobridor do problema, que se identifica como "random nut", não se trata de uma falha de programação e sim de um código intencionalmente implantado no ES5 pelos desenvolvedores do software. Na mensagem que publicou em listas especializadas, ele afirma que o malware permite a um usuário remover, remotamente e sem autorização, arquivos da máquina em que o ES5 se encontra instalado.

O EarthStation 5 foi lançado há alguns meses e se tornou bastante popular ― a equipe por trás do programa afirma que possui mais de 15 milhões de usuários conectados simultaneamente 24 horas por dia, enquanto o Kazaa possui uma média de 4 milhões de usuários simultâneos. Um dos principais motivos para tanta popularidade seria a promessa de que o programa permite que seus usuários fiquem totalmente anônimos para trocar arquivos. Isto faria com que escapassem de ser identificados e processados pela associação das gravadoras americanas (RIAA), que há muito tempo luta contra os usuários de softwares P2P, como Kazaa, Napster e outros.

"Random nut", no entanto, lança a hipótese de que os desenvolvedores do ES5 podem estar trabalhando justamente para a RIAA, para a associação da indústria cinematográfica dos Estados Unidos (MPAA), ou para organizações similares. "Uma vez que eles tivessem uma quantidade suficiente de usuários em sua rede ES5, poderiam começar a deletar todos os arquivos dos quais possuíssem o copyright e que estivessem sendo compartilhados. Assim, os usuários não saberiam o que os atingiu", arrisca.

As versões identificadas com o trecho maléfico anexado ao seu código são ES5 build 1266 e ES5 build 2180. Já está disponível na Internet um exploit (programa) criado para se aproveitar da brecha de segurança do software, portanto é imprescindível que seus usuários desinstalem as versões afetadas ou tomem outras medidas preventivas. Aparentemente, na nova versão, o malware já foi removido. Mais detalhes (em inglês) sobre o problema podem ser encontrados aqui.

Leia também:

Nova arma na guerra P2P versus RIAA vem da Palestina

3/10/2003 - 23:01 Giordani Rodrigues

O advogado paulistano Amaro Moraes e Silva Neto relançou, no dia primeiro deste mês, seu portal Advogado.com, também chamado de Avocati Locus, o primeiro site jurídico do Brasil, criado há mais de sete anos. A versão atual, ainda não totalmente finalizada, traz uma apresentação do site ― com um texto escrito pelo advogado Omar Kaminski ―, a última edição do portal, que havia sido publicada há mais de dois anos, e a principal iniciativa da nova fase, chamada de Frente Anti-Spam (FAS).

Segundo a definição presente no site, a FAS é "um movimento civil contra o envio de mensagens eletrônicas não solicitadas (spam)" e um de seus objetivos é auxiliar os cidadãos a "exercerem seus indisponíveis direitos contra os spammers diretamente, sem intermediários".

Nesta seção, Silva Neto organizou diversos artigos e informações sobre o spam. Como advogado e autor da primeira provocação ao Ministério Público de São Paulo para a apuração de responsabilidades de spammers, ele reuniu material útil para quem quer conhecer mais sobre o assunto, mas também lutar por seus direitos. "A FAS não se satisfaz em reclamar", afirma. "A proposta da FAS é agir."

Por este motivo, o internauta também pode encontrar no site ferramentas para processar "seu spammer favorito". Por enquanto, Silva Neto forneceu um modelo de reclamação criminal contra a prática do spam, a qual pode ser apresentada em qualquer juizado especial, sem necessidade de intervenção de um advogado.

Mas a próxima etapa do projeto é disponibilizar ao público um formulário online que, após preenchido com alguns dados fornecidos pelo próprio internauta, produza uma petição adequada para cada caso, que possa ser impressa e usada pelo autor do processo.

Amaro Moraes e Silva Neto é autor de dois livros na área de direito na Internet: Privacidade na Internet e emails indesejados à luz do direito. Para quem quer conhecer seu trabalho nesta área, o advogado põe à disposição dos leitores, gratuitamente, o primeiro deles, publicado em 2001. É possível fazer o download do corpo da obra (excluídos os adendos), com índice e formatação, em três formatos distintos -- .doc , .pdb (para Palm) e .lit (para eBooks em Microsoft Reader).

O site original foi lançado em 3 de junho de 1996. Ainda é possível ver seus primórdios acessando o mais antigo registro do site feito pela Wayback Machine, em 28 de dezembro de 1996, e ler documentos que Silva Neto já disponibilizava na época, como um habeas corpus contra o primeiro interrogatório feito por videoconferência no país. O portal pode ser acessado no endereço www.advogado.com.

Leia também:

Advogado denuncia spammers à polícia

3/10/2003 - 3:06 Omar Kaminski

O deputado Enio Bacci (PDT/RS) apresentou nesta quarta-feira (1/10) o projeto de lei nº 2.130/03, com o objetivo de preservar os direitos dos que não gostam e não desejam comprar produtos e serviços via telefone ― o chamado "telemarketing".

Segundo a justificativa, "há uma enxurrada de propostas via telefone, diariamente, para milhões de brasileiros que não suportam este tipo de contato". Para ele, os cidadãos têm o direito de não serem incomodados em horários inoportunos, especialmente nos horários de descanso e lazer, "mesmo que haja um comportamento padrão e ético do vendedor de telemarketing".

Para Enio Bacci, "é um direito inalienável de um cidadão, não querer atender o telefone fora de hora, para ouvir proposta de compra de produtos ou serviços que não conhece e não precisa".

O deputado propõe a criação de um "bloqueio especial", pelo Ministério das Comunicações, que consiste na criação de cadastro nacional contendo nome e telefone de pessoas e entidades que não desejam receber propostas via telefone. A inserção se dará por meio de chamada gratuita ou via Internet, e as empresas que trabalham com esse tipo de serviço deverão consultar e manter em dia o cadastro, e não contactar as pessoas e entidades que não desejam receber ligações.

No caso de descumprimento, o parlamentar sugere penas de advertência, multa, interdição e o fechamento da empresa em caso de reincidência. O valor da multa deverá ser determinado pelo Ministério das Comunicações.

O projeto não previu como se dará a identificação da empresa no caso de infração. E o banco de dados ou "cadastro nacional", para que possa ser consultado e divulgado, terá de ser público. Isso traz conseqüências de ordem contrária ― ao invés de proteger a privacidade dos solicitantes, pode acabar expondo-os ainda mais.

"Do Not Call"

Nos Estados Unidos, foi instituido por lei o "National Do Not Call Registry", que já conta com mais de 50 milhões de números de telefone e celulares de pessoas que se inscreveram previamente. O início oficial das operações estava previsto para esta quarta-feira (coincidente com a data de apresentação do projeto brasileiro), mas decisões judiciais determinaram seu bloqueio.

O juiz federal Edward W. Nottingham, de Denver, no estado de Colorado, decidiu em 25 de setembro que a lista é inconstitucional porque prejudica o direito à liberdade de expressão das empresas de telemarketing. Logo depois, descobriu-se que o telefone do gabinete do juiz também constava da lista, mas não foi possível apurar se a inserção se deu por iniciativa do próprio magistrado. A FTC (Comissão Federal de Comércio dos EUA) já recorreu à 10ª corte de apelações.

Leia a íntegra do projeto brasileiro aqui.


Omar Kaminski é advogado, diretor de Internet do Instituto Brasileiro de Política e Direito da Informática (IBDI) e responsável pelo site Internet Legal.

2/10/2003 - 19:31 Toni Edgar da Silva

O CERT Coordination Center, um instituto que pesquisa de segurança na Internet que recebe financiamento do governo norte-americano, divulgou um alerta sobre uma série de falhas que atingem as versões do OpenSSL. Ainda não se sabe se alguma destas vulnerabilidades pode ser explorada por um invasor para execução de códigos no sistema-alvo, mas todas podem ser usadas em ataques de negação de serviço.

O OpenSSL, largamente utilizado por sites na Internet, é uma implementação "open source" (código aberto) dos protocolos SSL v2/v3 (Secure Sockets Layer) e TLS v1 (Transport Layer Security), bem como uma biblioteca criptográfica completa de propósito geral. Os protocolos SSL e TLS são utilizados para prover uma comunicação segura entre um cliente e um servidor para protocolos como o HTTP.

Existem quatro situações que possilitam um "buffer overflow" (estouro de memória) no OpenSSL, e que podem ser exploradas remotamente. Duas destas vulnerabilidades estão relacionadas a problemas na biblioteca ASN.1 (Abstract Syntax Notation One), um conjunto de regras de codificação utilizado pelo OpenSSL. A primeira falha ocorre com um problema de liberação de memória quando o parser (analisador) do software rejeita uma codificação inválida. A segunda se baseia em uma leitura fora dos limites determinados quando se inclui uma etiqueta (tag) ASN.1 inválida.

A terceira vulnerabilidade ocorre quando o OpenSSL é usado em modo debug (depuração de código). Uma chave pública maliciosa incluída em um certificado pode fazer com o que o código de verificação deixe de funcionar. A última falha pode fazer com que o OpenSSL trate e analise certificados de uma máquina cliente mesmo quando não está configurado para tal. Isto faz com que qualquer servidor que utilize o OpenSSL possa ser atacado pela exploração de alguma das falhas anteriores, mesmo quando não está com a opção de autenticação do cliente habilitada.

Para solucionar os problemas é preciso atualizar o OpenSSL para a versão 0.9.6k ou 0.9.7c (a mais recente), as quais podem ser encontradas no endereço http://www.openssl.org. Mais detalhes sobre as falhas podem ser encontradas no alerta do CERT.

Colaborou Giordani Rodrigues

2/10/2003 - 13:35 Toni Edgar da Silva

O CERT Coordination Center enviou um e-mail para administradores de todo o mundo esclarecendo as recentes vulnerabilidades encontradas no OpenSSH, software aberto utilizado para acesso remoto a máquinas que tenham o sistema instalado. Com o alerta, o CERT espera que os administradores não deixem de atualizar seus sistemas, evitando assim que ocorram invasões e prejuízos paras instituições e usuários. No e-mail são citadas as seguintes falhas encontradas no OpenSSH, junto de seus respectivos códigos:

VU#333628 - OpenSSH contains buffer management errors: as versões anteriores à 3.7.1 do OpenSSH contêm um erro no gerenciamento do buffer (espaço de memória temporária), que pode levar a uma corrupção da memória e a uma situação de negação de serviço. Outras informações no link www.kb.cert.org/vuls/id/333628.

VU#602204 - OpenSSH PAM challenge authentication failure: uma falha em um mecanismo de autenticação do OpenSSH, chamado de Pluggable Authentication Modules (PAM), permite que um invasor entre no sistema como qualquer usuário, inclusive "root" (administrador), sem usar uma senha. As versões 3.7p1 e 3.7.1p1 do software são afetadas pela vulnerabilidade. Mais detalhes no link www.kb.cert.org/vuls/id/602204.

VU#209807 - Portable OpenSSH server PAM conversion stack corruption: esta falha é encontrada nas versões 3.7p1 e 3.7.1p1. O bug permite que um atacante possa quebrar o mecanismos de criptografia utilizado pelo sistema OpenSSH. Mais detalhes no link www.kb.cert.org/vuls/id/209807.

A melhor maneira para os administradores evitarem problemas com novas falhas é manter sempre seus sistemas atualizados com as versões mais recentes dos softwares utilizados em suas máquinas. Claro que para isso também devem se manter sempre informados quanto à descoberta de novas vulnerabilidades. A versão mais recente do OpenSSH, na qual todas as falhas descritas acima já foram corrigidas, é a 3.7.1p2, disponível para download no site www.openssh.org.

2/10/2003 - 10:37 Redação

A Invenci.com, distribuidora no Brasil e América Latina de soluções para tecnologia da informação, está anunciando o lançamento da versão 7.1 do Connected DataProtector with EmailOptimizer. O sofware faz cópias (backup) dos arquivos, recupera dados e é acompanhado de um aplicativo para proteção dos arquivos e textos contidos nos e-mails corporativos.

O pacote inclui um novo processo de entrega e armazenamento de arquivos e documentos nos servidores e centraliza a manutenção e administração de dados. O processo de backup automático protege contra ataques de vírus, defeitos em discos, corrupção de dados, perda de laptop e erros dos usuários no manuseio de aplicativos e sistemas. Maiores informações sobre o produto podem ser encontradas em www.invenci.com.

1/10/2003 - 18:09 Marcos Machado

Universidade H4ck3r: conteúdo deixa a desejar

Discutir segurança da informação se tornou uma prática comum. Sua importância, cada vez mais notória na era digital, tem impulsionado o lançamento de novas publicações (livros, revistas e sites) que tratam dos mais variados assuntos relacionados a proteção, ataques e defesas de sistemas informatizados.

Este mercado tem se tornado, para escritores e editoras, um dos grandes filões da indústria de conteúdo de informática. Existem muitas publicações sérias, voltadas para o profissional de segurança que realmente busca conhecimentos valiosos para seu trabalho, mas também existem os que cultuam a ideologia anárquica-hacker, alimentando essa cultura underground com técnicas de destruição e um "quê" de sociedade secreta.

Entre os livros desta segunda categoria, o mais expressivo é o Universidade H4ck3r (Universidade Hacker), um compêndio dos conhecimentos de segurança que permeiam os círculos de usuários de computadores e sistemas online.

Sua proposta é ensinar, de forma muito abrangente, as principais técnicas de ataques realizadas por hackers e crackers. Tal qual uma universidade, seus capítulos são divididos em aulas e tópicos, levando o leitor a perambular pelo seu "campus".

As semelhanças não terminam aqui: assim como numa universidade, o conteúdo apresentado no livro é extremamente superficial e, quando muito, atinge somente o objetivo de informar sobre a existência desta ou daquela técnica, deixando para o leitor todo o trabalho de pesquisa e aprendizagem.

Além da tentativa de "abraçar o mundo com as pernas", o livro peca pela inconsistência. Seus primeiros capítulos, onde estão as descrições sobre o underground, parecem ter saído de uma obra de ficção científica, com história de clãs, grupos fechados e vinganças fatais.

Ao iniciar a parte técnica torna-se evidente a falta de didática. A ordenação dos assuntos tratados é bizarra. Ensina-se sobre vulnerabilidades em pacotes TCP/IP com flags SYN antes mesmo de ensinar sobre o próprio TCP/IP que, aliás, é ensinado antes do modelo OSI, no qual foi baseado. Some-se a isto o inadequado vocabulário, os problemas de gramática, erros de digitação e a péssima pontuação (que denotam a fraca ou inexistente revisão por parte dos editores). Temos, por exemplo, o cúmulo de um parágrafo inteiro repetido em dois capítulos diferentes, sobre assuntos distintos.

O nível de conhecimento exigido para acompanhar sua leitura sofre, a cada capítulo, saltos que vão da mais completa simplicidade aos tópicos de conhecimento ultra-especializados (para os quais, é claro, não são fornecidas as bases para estudo). Esta falha ― de não poder apresentar dados mais detalhados sobre os assuntos tratados ― é incansavelmente citada pelos próprios autores, que pedem desculpas por não poderem incluir pormenores, o que torna o livro uma coleção de introduções aleatórias e inúteis.

Sua proposta de ensinar métodos de ataques e defesas se perde em meio aos textos sobre redes e sistemas operacionais, assuntos que certamente devem ser tratados por um estudioso de segurança da informação, mas com um foco totalmente diferente. Por exemplo, ao falar dos registros do Windows ou da arquitetura dos sistemas de arquivos, o importante seria tratar dos seus aspectos de segurança e não das suas funcionalidades básicas.

Seu capítulo sobre aspectos jurídicos está recheado de leis, copiadas na íntegra, sem comentários especializados ou análises profissionais, mesmo que superficiais. Não se encontram, ao menos, os conceitos básicos da segurança da informação, como os pilares da integridade, confidencialidade e disponibilidade, além dos riscos, ameaças, impactos etc. Todo o conteúdo é, aparentemente, voltado para crianças e adolescentes com tendências destrutivas.

E felizmente o livro fracassa.

O conteúdo apresentado é incompleto e incorreto. Quase nada do que é apresentado pode ser utilizado na prática e nenhum dos assuntos representa, verdadeiramente, um risco para a comunidade Internet.

Ao entrar na "parte avançada", por exemplo, o primeiro tutorial é sobre proxies anônimos e, quando finalmente chegamos à terceira seção do livro, intitulada "Tornando-se um hacker", os autores ensinam a invasão por compartilhamento de pastas do Windows. Ou pelo menos tentam ensinar.

Visões limitadas como estas estão por toda parte, seja na afirmativa de que o SQL Injection serve apenas para burlar esquemas de login de sites, seja na obstinada afirmação de que ataques por brute force solucionariam todos os pequenos detalhes (como proteção por senhas) que poderiam impedir uma invasão.

Os 5 CDs que acompanham o livro são, literalmente, um capítulo à parte. O livro indica trechos que podem ser consultados nos CDs, mas, na realidade, este conteúdo precisa ser baixado do site da editora. Só que, até o momento, nem todos estão disponíveis. Além de textos, programas de ataques e defesas estão presentes, mas sem instruções referentes aos assuntos tratados no livro. Ou seja, estão lá tal qual foram copiados da Internet.

Este é um livro para ser evitado. Seu principal erro foi tratar a segurança da informação de forma leviana. Simplificações extremas e títulos sensacionalistas podem ajudar a vender livros, mas seus leitores perceberão que o verdadeiro conhecimento, principalmente o respeitoso e benigno, somente será encontrado em publicações sérias, que não estão, exclusivamente, buscando fama e fortuna.


Universidade H4ck3r
Henrique Cesar Ulbrich e James Della Valle
Editora Digerati Books - 348 pgs. - R$ 44,80
Para comprar este livro, clique aqui.

Marcos Machado é analista de segurança com pós-graduação em redes de computadores e Internet e coordenador do fórum InfoSecurity Task Force.

1/10/2003 - 17:10 Toni Edgar da Silva

A criatividade dos golpistas que utilizam a Internet para enganar clientes de bancos online parece não ter fim. Até agora, os métodos mais comuns para aplicar esses golpes eram mensagens com links para programas que roubam senhas do computador ou para sites bancários clonados, que pediam cadastramento de senha e número da conta. Mas neste final de semana surgiu uma variante.

O "golpe do momento" também é um falso e-mail, supostamente enviado pelo Banco do Brasil, mas sem nenhum link no qual o cliente precise clicar. A própria mensagem já traz um formulário que envia os dados dos correntistas para o criador da fraude. O argumento para que o formulário seja preenchido é o sorteio de um seguro de vida.

O e-mail vem assinado por um certo Marcelo de Souza Franco, que seria "Gerente de Promoções Banco do Brasil". A mensagem parece provir do endereço BB@bancodobrasil.com.br, mas isso é apenas mais uma tática usada pelos golpistas para dar credibilidade à mentira. Quem abrir o cabeçalho do e-mail verá que o endereço verdadeiro é outro, completamente diferente.

Golpes como este vêm aumentanto de forma muito rápida nos últimos meses, e a dificuldade de se identificar e punir os golpistas é uma grande preocupação. Este tipo de fraude pode causar grandes perdas para cidadãos, que por um descuido acabam caindo na cilada e tendo seu dinheiro desviado por pessoas de má-fé.

Os usuários devem sempre desconfiar de mensagens não-solicitadas supostamente enviadas por instituições financeiras e devem sempre procurar se atualizar quanto à política de privacidade do seu banco. Uma cópia da mensagem fraudulenta que circulou nos últimos dias pode
ser vista aqui.

Leia também:

Raspadinha virtual em nome da Americanas.com é golpe

Falsos brindes e sites clonados atingem bancos

Falso BBB4 serve para roubar senhas bancárias

Como evitar fraudes no acesso a bancos online

Programas roubam senhas de teclados virtuais

A sua cultura em segurança contra fraudes

Unibanco é o novo alvo de golpe pela Internet

Falsa notícia da CNN é usada para roubar senhas

Ferramentas, sites e serviços viram armadilhas para internautas

As armadilhas para internautas - parte 2

As armadilhas para internautas - como se proteger

1/10/2003 - 14:33 Toni Edgar da Silva

Uma nova vulnerabilidade foi descoberta no mIRC, um dos mais populares programas do mundo para bate-papo em redes de IRC (Internet Relay Chat). A falha, descoberta pelo pesquisador canadense Sylvain Descoteaux, permite que um atacante use o software para invadir um computador e executar códigos de sua escolha no sistema.

A falha afeta as versões 6.01 à 6.1 (versão atual) do mIRC. O bug pode ser explorado pelo envio de um pedido de informação ao software da vítima. Caso essa requisição seja maior que 110 bytes, o programa sofre um buffer overflow (estouro de memória), dando assim o privilégio de execução de comandos pelo atacante.

Já está disponível na Web um exploit (arquivo) para explorar o bug, capaz de executar comandos supostamente em qualquer versão do Windows e fazer com que o mIRC pare de funcionar. O responsável pelo programa já foi notificado sobre a falha e, segundo informou, a correção estará disponível na próxima versão do mIRC.