Em memória de Giordani Rodrigues

Publicado em Quarta - 10 de Janeiro de 2007 | por Luiz Celso

Windows Microsoft libera pacote de correções para o mês de janeiro

A Microsoft liberou nesta terça-feira (09/01), seu pacote mensal de correções de segurança para seus produtos. Os patches corrigirão três falhas críticas sendo duas no pacote de aplicativos Office e uma na linguagem de programação VML (Microsoft Security Bulletin MS07-004 ), cuja vulnerabilidade afeta principalmente o navegador Internet Explorer. A quarta falha, considerada importante, é direcionada ao Office 2003 (Microsoft Security Bulletin MS07-001), mais precisamente no corretor gramatical português.

Todas as brechas de segurança permitem que um cracker possa executar códigos maliciosos no computador da vítima de forma remota. Os aplicativos do Office que ganharam correções para suas falhas críticas são o editor de planilhas Excel (Microsoft Security Bulletin MS07-002 ) e o cliente de e-mail Microsoft Outlook (Microsoft Security Bulletin MS07-003).
Leia mais...

Network Os perigos das redes sociais

Publicado em Segunda - 08 de Janeiro de 2007 | por Luiz Celso



A web é social. Chegou-se nessa conclusão com a explosão dos sites de redes sociais, que buscam formar comunidades virtuais e disponibilizar ao usuário um meio para se apresentar ao mundo. Se de um lado estes sites apenas exploram o lado mais social do meio de comunicação que é a Internet, do outro estão os riscos à privacidade e à segurança do internauta que fizer uso desses serviços.

No Brasil, o site mais visitado por internautas interessados em uma rede social é o Orkut, do Google. Nos Estados Unidos e em outros países de língua inglesa, o MySpace, da News Corp., é mais popular. Apesar de possuírem funcionalidades e recursos diferentes, esses dois sites (e outras dezenas que surgiram para tentar sugar um pouco dos usuários que procuram por uma rede social) possuem o mesmo objetivo.
Um pouco de história

Os ataques mais violentos ao Orkut começaram no início de 2006, talvez um pouco antes, mas foi só na metade daquele ano que eles se intensificaram. No início de abril de 2006, a matéria Bankers utilizam Orkut para se espalhar, publicada aqui na Linha Defensiva, comunicou a existência de mensagens maliciosas que circulavam pelo Orkut. As mensagens espalhavam vírus, mas ainda não se sabia se as mensagens eram enviadas automaticamente pelo vírus ou manualmente por criminosos que roubaram dados da conta de um internauta.

A resposta chegou no mês seguinte, em maio, quando uma praga digital automatizada atacou o Orkut. A agressividade com que a praga se espalhou deixava claro que os outros ataques que se tinha conhecimento até aquele momento tinham sido feitos manualmente. Em matéria do dia 22 de maio, a Linha Defensiva publicou uma ferramenta para remover a praga.

Em alguns dias, a ferramenta alcançou a marca de 300 mil downloads. Os próprios usuários do Orkut é que espalharam links pelas comunidades divulgando a ferramenta. Mais tarde, criminosos se aproveitaram da situação para enviar mensagens maliciosas que ofereciam a “ferramenta de remoção”, mas que na verdade distribuíam um vírus semelhante ao que a ferramenta verdadeira se encarregava de remover.
Porque atacar usuários de redes sociais

Sites de redes sociais dependem exclusivamente de conteúdo enviado por seus usuários. Qualquer tentativa de restringir ou dificultar o envio ou o acesso a informações pode resultar numa queda no número de recados, depoimentos ou discussões que acontecem dentro da rede. O site não deve testar a paciência dos usuários com verificações de legitimidade de cada ação que ele faz, pois isso pode diminuir o interesse do internauta em usá-lo.

A facilidade com que um humano ou ferramenta automatizada pode enviar mensagens aos sites de redes sociais é um claro incentivo para criminosos. É fácil poluir a rede com mensagens maliciosas para espalhar todo tipo de praga digital e o primeiro passo de evolução nesse sentido foi automatizar o ataque.

As pragas espalhadas pelo Orkut geralmente roubam senhas de banco, o que também demonstra um incentivo financeiro. É um mercado negro e, quanto mais dinheiro se ganha, mais se pode investir na evolução das técnicas de infecção e disseminação. Há uma necessidade constante de evolução para acompanhar melhorias em ferramentas de segurança e no conhecimento do usuário, que vai aprendendo a lidar com golpes mais antigos.

O número de sites que as pragas digitais monitoram também aumentou e com ele o número de possíveis vítimas. Não só de bancos, mas usuários de lojas online e de sites de companhias aéreas — que vendem passagens pela Internet — também são alvo do roubo de dados.

Ao utilizar a rede social, o criminoso recebe um grande bônus. Se um usuário está infectado, este enviará as mensagens que espalham a praga digital para as pessoas que estão em seu círculo de amigos. Isso significa que apenas pessoas que já o conhecem e confiam de alguma forma é que receberão a mensagem, aumentando as chances de a infecção ir adiante.

Abusando da confiança entre os usuários das redes sociais e das próprias redes e seus usuários, os vírus podem se espalhar facilmente, mesmo com táticas simples de engenharia social. Em outras palavras, ataca-se redes sociais porque é fácil e efetivo.
Fim da privacidade?

Ser alvo de um código malicioso automatizado é um problema, sem dúvida, mas muitos internautas participantes de redes sociais jogam fora o pouco que lhes resta da privacidade, já corroída no mundo globalizado.

Alguns empregadores perguntam pelo endereço do perfil do Orkut de candidatos. Os motivos variam, mas estar exposto em uma rede social já não é mais diferente e muitas crianças já querem ter seu perfil online para adicionar seus amigos e participar de comunidades.

O uso de nicks ou apelidos para se comunicar na Internet sempre foi a regra, porém as redes sociais fazem a conexão do internauta com o mundo real. As conseqüências dessa ligação estão apenas começando a aparecer, mas está ficando claro que a sociedade offline parece já esperar que qualquer pessoa tenha suas ações online expostas em um perfil de uma rede social.

Se as informações disponíveis online forem utilizadas cada vez mais para julgar uma pessoa no mundo real, pode ser que essas informações sejam transformadas ou alteradas para sempre apresentar um lado positivo de cada um, servindo como ferramenta de marketing pessoal.

Os perfis são também minas de ouro para criminosos, tanto reais como virtuais. Roubos e seqüestros podem ser facilitados. Ataques de engenharia social, isto é, enganação, também são facilitados quando se conhece a vítima de forma mais pessoal. A própria natureza da rede social exige que seus participantes informem preferências e dados pessoais para facilitar que outras pessoas de interesses semelhantes os encontrem.

Qualquer um ainda pode tirar proveito dos recursos de redes sociais preservando sua identidade e sua privacidade. O MySpace, por exemplo, permite que o perfil seja configurado como privado para que somente amigos possam ver as informações ali presentes. Isso diminui de forma significativa a exposição gerada pelo uso da rede social. Entretanto, o MySpace também tem seus problemas, tanto de privacidade como de segurança, e já foi alvo de códigos maliciosos e adwares várias vezes, porém, por não ser tão popular aqui no Brasil, não será discutido a fundo.

O importante é que cada usuário esteja consciente da exposição e avalie se ela é mesmo desejada e positiva. É preciso estar longe da ilusão de que existe algo protegendo os dados dentro da rede, tal como o requerimento de convite exigido por algumas delas. Qualquer um que realmente queira pode conseguir um sem dificuldade. No entanto, ele só poderá ver aquilo que cada um estiver disposto a mostrar e, se informações falsas encontrarem um lugar dominante nas redes sociais, pode ser que elas percam seu valor.
Leia mais...

Gerais Zone-H vítima do seu próprio veneno

Publicado em Segunda - 08 de Janeiro de 2007 | por Luiz Celso

O site de mirror deface mais conhecido do mundo foi invadido por hackers da Arábia Saudita nesse dezembro passado.
Leia mais...

Gerais Apple e Microsoft duelam pela 'casa digital' do futuro

Publicado em Sábado - 06 de Janeiro de 2007 | por Luiz Celso

As gigantes rivais do mundo da tecnologia, Microsoft e Apple, vão mostrar suas visões do futuro digital em dois eventos diferentes nos próximos dias. No domingo, o fundador da Microsoft, Bill Gates, vai inaugurar a feira de tecnologias Consumer Eletronics Show (CES, na sigla em inglês), com uma palestra sobre o papel da sua empresa no futuro do mundo interligado.

A casa digital e a chegada da era de alta definição serão os principais temas da CES, de acordo com especialistas. Na terça-feira, em São Francisco, o diretor da Apple, Steve Jobs, vai falar aos fãs da marca.

Duelo

Aparelhos que transportam conteúdos digitais pela casa ¿ de computador para computador, ou para TV, hi-fi e outros produtos ¿ já estão disponíveis há alguns anos, mas a batalha pela sala de estar digital ainda está sendo travada. Empresas como a Netgear, D-Link, HP e Intel devem mostrar novos produtos na CES que facilitarão a montagem de uma casa digital e a troca de arquivos como filmes e músicas.

Essas empresas se aliaram à visão da Microsoft de conectividade. A multinacional tem feito parcerias em diversas partes do mundo para levar conteúdo de vídeo pela internet e para usar uma plataforma para compartilhamento de conteúdo com o novo sistema operacional da Microsoft, o Vista. Essa deve ser a despedida de Bill Gates da CES. Espero uma boa dose de nostalgia nessa noite, afirma o especialista Michael Gartenberg, diretor da consultoria em tecnologia Jupiter. A Apple não estará presente, mas vai projetar uma enorme sombra na feira.

É possível que acontece uma fuga em massa na noite de segunda-feira das pessoas que vão acompanhar o discurso de Jobs em São Francisco. A Apple deixou de ser apenas outra empresa de computadores para se tornar uma parte importante da indústria de consumo de eletrônicos, diz Gartenberg.

Espera-se que a Apple revele novos detalhes da sua tecnologia iTV, que compartilha vídeo e outros conteúdos digitais pela casa. A casa interconectada é uma tecnologia muito complicada ¿ você precisa de uma infra-estrutura de rede no lugar certo, de aparelhos que possam se ligar nessa estrutura e de conteúdo, afirma o especialista em tecnologias, Sean Wargo.

DVD de última geração

Mais de 140 mil pessoas devem comparecer à CES. Haverá muitas novidades sobre a casa digital, especialmente para pessoas com problemas para formar e administrar grandes acervos de vídeo, música e fotos, afirma Gartenberg. Uma das novidades da feira deve ser o DVD de última geração. Duas tecnologias incompatíveis de alta definição rivalizam na feira. De um lado, está o Blu-ray, desenvolvido pela Sony. Do outro, o HD-DVD, defendido por Toshiba e Microsoft. Quem visitar a feira vai ver sinais de qual formato está mais desenvolvido e se ambos podem encontrar uma forma de coexistir, diz Wargo.

Há informações de que a empresa coreana LG pretende lançar um aparelho de DVD compatível com as duas tecnologias. Outra novidade importante na feira, este ano, é o impacto da televisão de alta definição no mercado. Televisão de alta definição está liderando o crescimento da indústria agora. Nos Estados Unidos estamos passando por um enorme ciclo de atualização de tecnologia, afirma Wargo, que é um dos organizadores da CES. Estamos vendo uma quantidade inédita de televisões sendo vendidas no varejo agora. Isso está levando o mercado para novos picos. É agora a maior categoria de produtos.

O embate do ano passado entre Yahoo e Google também deve estar presente na edição da CES de 2007. Estamos vendo duas frentes em formação ¿ uma de hardware e de sistemas operacionais para controlar as novas tecnologias e outra de conteúdo para alimentar essa tecnologia, afirma Wargo.

Empresas de conteúdo, como as americanas Disney e CBS, também farão palestras na feira.
Leia mais...

Segurança Falha no Adobe Reader permite ataques de XSS

Publicado em Sexta - 05 de Janeiro de 2007 | por Luiz Celso

Uma nova falha envolvendo links para documentos PDF foi confirmada pela Symantec na última quarta-feira (3/12) e pela WebSense ontem (4/12). A brecha, que afeta principalmente o Firefox, permite que Javascript seja executado no contexto de qualquer site que esteja hospedando um arquivo PDF. Com a possibilidade da execução de Javascript, a vulnerabilidade poderia ser usada de várias formas, mas não é capaz de instalar um vírus no sistema.

Análises iniciais apontaram que o problema estava limitado ao Firefox, porém em testes posteriores verificou-se que o Internet Explorer 6 rodando o Adobe Reader 7 em um Windows XP SP1 ou com Adobe Reader 4 em Windows XP SP2, pode ser explorado da mesma forma, de acordo com a Symantec. Ataques do tipo Cross-site Scripting (XSS) são facilitados pela brecha.

A peça central da falha é o plugin do Adobe PDF incorporado aos navegadores. O plugin existe para facilitar a vida do usuário, pois permite que um PDF seja aberto na tela do navegador quando um link para um arquivo PDF for clicado. O plugin aceita certos parâmetros, tal como o nível de zoom que será usado no documento, porém é possível colocar código Javascript em um parâmetro personalizado.

O link abaixo é um exemplo inofensivo:
www.google.com/librariancenter/downloads/Tips_Tricks_85×11.pdf

Se seu sistema estiver vulnerável, você verá um caixa de texto com o conteúdo ‘xss’ ao clicar no link acima.

Apesar de que links maliciosos usando a falha podem ser facilmente identificados, sites de redirecionamento de URLs podem ser usados para esconder o link verdadeiro, tornando o alcance de um ataque muito maior.

A gravidade dessa falha se encontra no fato de que um site não precisa possuir qualquer vulnerabilidade em seu sistema para que criminosos possam executar códigos Javascript no contexto daquele site. É possível roubar cookies, dados e até forçar postagens. Note que, caso o usuário visite um site malicioso, este pode simplesmente carregar o PDF automaticamente, sem necessidade de outra ação do usuário.
Como se proteger

1. Atualize sua versão do Adobe Reader. A versão 8.0 não é afetada por essa falha.
2. Utilize um leitor de documentos PDF alternativo, como o Foxit Reader, que não é afetado pela falha (note que é preciso desinstalar o Adobe Reader).
3. Desabilite o plugin do Adobe Reader em seu navegador. Ao tentar acessar um documento PDF, ao invés deste ser aberto no navegador, lhe será oferecido o download do documento.
Leia mais...

Gerais Roubando Cookies: Estilo AJAX

Publicado em Quinta - 04 de Janeiro de 2007 | por Luiz Celso

Artigo que explica passo-a-passo a nova técnica de roubo de cookies, por meio de AJAX.
Leia mais...

Hackers e Cia Criminosos virtuais utilizam dados obtidos no registro.br para aplicar golpes,

Publicado em Quinta - 04 de Janeiro de 2007 | por Luiz Celso

Criminosos virtuais utilizam dados obtidos no registro.br para aplicar golpes, alertam especialistas. Os fraudadores fazem uma busca no site que registra e controla os domínios .br e obtêm os dados do responsável por qualquer domínio cadastrado, já que as informações são públicas. Em seguida, enviam por meio do correio comunicações falsas para empresas ou pessoas que têm domínios registrados com este sufixo. Os criminosos enviam cobranças por serviços supostamente oferecidos, como se fossem provedores de domínios.

Tive acesso a um destes boletos falsos, emitido em nome da Central Registration Service (CRS), oferecendo um serviço para registrar e publicar o domínio no banco de dados de negócios da Internet após o pagamento de US$ 966,00. A CRS está sediada nos Estados Unidos, mas o envelope foi postado em Praga, diz Marcelo Okano, professor de cursos superiores de tecnologia da informação.

Em alguns casos, a cobrança é realizada em altas somas em moeda estrangeira. Em outros, o falso boleto de cobrança está em nome do registro.br, conforme alerta publicado no site do órgão. Para não cair neste tipo de golpe, Okano dá quatro dicas:

1) O boleto emitido pelo registro.br para a cobrança anual de cada domínio deve ser verificado junto aos dados da entidade, que podem ser encontrados no link http://registro.br/anuncios/20060925.html Certifique-se sempre com o seu provedor de Internet sobre os boletos enviados para a hospedagem;
3) Desconfie de todas as correspondências e e-mails com cobranças sobre o domínio, principalmente, se foram postadas fora do Brasil;
4) Fique atento a todos os tipos de correspondências, pois os fraudadores utilizam-se de todas as formas possíveis para conferir maior veracidade às suas fraudes.
Leia mais...

Antivírus Enforcamento de Saddam Husseim é a nova “isca” dos hackres para disseminar prag

Publicado em Quinta - 04 de Janeiro de 2007 | por Luiz Celso

O correio eletrônico com o link para o vídeo do enforcamento do ex-ditador Saddam Hussein é a nova isca dos hackers para disseminar pragas, segundo a Bluepex, companhia sediada em Limeira, focada em desenvolvimento e produção de “appliances” de gestão da Internet em redes corporativas.

De acordo com a companhia, a praga virtual que circula via correio eletrônico é um trojan, programa que captura as informações digitadas pelos usuários. A mensagem traz um link, oferecendo o vídeo com imagens do enforcamento de Saddam Husseim, ocorrido no dia 30 de dezembro.

Ao clicar no link, o código malicioso é instalado. Os dados são encaminhados para hackers, que invadem contas bancárias e desviam dinheiro dos correntistas. A empresa acrescenta que até o momento nem todos os anti-vírus conseguem detectar a nova praga.
Leia mais...

Gerais Liminar da Justiça pede que YouTube saia do ar no Brasil por vídeos de Cicarelli

Publicado em Quinta - 04 de Janeiro de 2007 | por Luiz Celso

Uma liminar do Tribunal de Justiça de São Paulo pode tirar do ar o site de compartilhamento de vídeos YouTube no Brasil.

A decisão do desembargador Ênio Santarelli Zuliani seria uma punição pelo site não ter respeitado a decisão da Justiça tirando do ar os vídeos da modelo Daniella Cicarelli com o namorado em uma praia na Espanha.

As supostas cenas de sexo na praia foram divulgadas no YouTube e ganharam a rede, levando o casal a mover duas ações na Justiça - uma pedindo indenização por danos morais, contra as Organizações Globo, o Internet Group (iG) e o YouTube; e a outra pedindo a retirada dos vídeos do ar.

O Tribunal de Justiça de São Paulo concedeu a liminar obrigando os sites a retirarem as cenas do ar, sob pena de multa de 250 mil reais. Segundo Rubens Decossau Tilkian, que representa Tato, a multa já está sendo executada, mas o pedido de bloqueio ao site é uma forma de fazer valer a decisão da Justiça brasileira, que estaria sendo negligenciada.

“Eles não têm um sistema eficaz para evitar que o vídeo volte a ser publicado”, argumenta o advogado. Segundo Tilkian, as empresas que detém os canais de comunicação que permiotem que o conteúdo chegue aos internautas brasileiros é que serão responsáveis por barrar o acesso ao YouTube no Brasil.

O bloqueio ao site enfrentaria dificuldades técnicas, na opinião do procurador do Ministério Público Federal em São Paulo, Sérgio Suiama. “É tecnicamente inviável. A Justiça vai intimar os provedores de acesso de todo o País para bloquear o conteúdo?”, questiona o procurador.

Além disso, lembra Suiama, volta à pauta a questão de quem responde pelo site no País, como nos casos de quebra de sigilo na comunidade virtual Orkut (que, como o YouTube, pertence ao Google): a matriz ou a subsidiária?

O Ministério Público Federal entende que o Google Brasil deveria responder, mas o Google Inc. insiste que todas as solicitações devem ser enviadas à matriz, onde estão hospedados os servidores dos serviços.

No caso da ação movida por Tato e Cicarelli, o réu é o YouTube Inc., portanto ainda não está claro quem responderá pela ação no País.

Procurada pela redação do IDG Now!, a assessoria de imprensa do Google no Brasil afirmou que, por enquanto, a companhia não responde a solicitações ligadas ao YouTube.
Leia mais...

Segurança Site une oito medidores de ameaça à segurança virtual

Publicado em Quarta - 03 de Janeiro de 2007 | por Luiz Celso

A CERTStation lançou o Threat Level Agreggator, um agregador em tempo real dos medidores de ameaça à segurança virtual que une produtos de diferentes firmas em uma só página.

De acordo com o site The Register, são oito medidores ao todo, em um Flash atualizado a cada minuto, que inclui previsões de empresas como Symantec, SANS, ISS, McAfee, TrendMicro, CA SECCON e F-Secure, além da própria CERTStation, que normalmente não entram em um acordo entre si, e mostram avaliações diferenciadas da situação atual na web.

Com um clique sobre as avaliações é possível ver o endereço oficial do medidor e, assim, ter acesso às explicações de cada nível e, algumas vezes, a um sumário dos fatos que levaram a uma alta ou baixa no nível.

No site também é possível ver uma lista com vulnerabilidades encontradas por produtos, a cada semana, além de um feed RSS com as últimas notícias de segurança, o que o transforma em uma ferramenta muito mais interessante para aqueles que desejam estar por dentro dos últimos assuntos de segurança.

O serviço pode ser acessado através do endereço http://www.certstation.com/
Leia mais...