Em memória de Giordani Rodrigues

Publicado em Quinta - 22 de Fevereiro de 2007 | por Luiz Celso

Antivírus Trojans brasileiros usam servidores falsos para roubar senhas

Janelas pop-ups falsas, telas sobrepostas e falsos navegadores são técnicas utilizadas por criminosos virtuais em seus códigos maliciosos para roubar senhas. Uma nova técnica — redirecionamento para sites falsos –, que antes já era usada, está começando a se popularizar.

A técnica já havia sido utilizada por alguns cavalos de tróia brasileiros, especialmente o Banhost-B. Com seu uso, os criminosos conseguem hospedar uma cópia do site do banco em um servidor falso e redirecionar o endereço do site verdadeiro para este site falso.

O resultado é que o endereço apresentado na barra de endereços será o mesmo do site real, porém o usuário estará navegando em um site controlado por criminosos.

A maior dificuldade dos criminosos para realizar esta façanha é manter os sites falsos no ar. Geralmente são usados servidores invadidos, pertencentes a outras pessoas, que estão sendo abusados ilegalmente. Quando o dono ou a empresa de hospedagem responsável por estes servidores toma conhecimento do problema, os sites falsos são retirados do ar imediatamente.

Um dos ataques observados pela Linha Defensiva utilizava 4 servidores diferentes, todos localizados no mesmo provedor nos Estados Unidos. Os principais alvos eram a Caixa Econômica Federal, Banco do Brasil e Hotmail. Outro golpe utilizava um servidor localizado no México e possuía sites falsos para 6 bancos diferentes.

Para efetuar o redirecionamento, o código malicioso altera o arquivo hosts do computador, redirecionando sites de bancos para os servidores falsos. Ao acessar o site do banco digitando o endereço correto no navegador, o computador — ao invés de consultar o provedor de acesso pelo destino correto — conecta ao endereço informado no hosts. O usuário então já estará em um site falso e tudo que ele enviar será recebido pelos golpistas. [ Leia mais sobre o hosts ]
SSL

O “cadeado” presente em sites de bancos poderia prevenir que esta técnica tivesse qualquer impacto. Um site de banco falso não pode apresentar o cadeado (HTTPS) ao usuário. Este cadeado é o resultado da utilização de SSL (Secure Sockets Layer), uma camada de segurança que, além de proteger a informação enviada, também certifica que o endereço do site atual é realmente o site que você quer.

Se o internauta for direcionado a um site malicioso pelo hosts (ou pelo DNS, como no Drive-by Pharming), o endereço que aparece no navegador ainda é o mesmo do site real, mas na verdade não se trata da mesma página do banco e sim de uma página controlada pelo criminoso. Usando SSL, o navegador não consegue verificar a autenticidade da página falsa e o cadeado não aparece.

Infelizmente, muitos bancos não utilizam o SSL de forma correta. Alguns não possuem a página principal protegida, mesmo que esta tenha um formulário onde a senha deve ser digitada. O correto seria possibilitar a verificação da presença do cadeado assim que o site fosse aberto, mesmo se não houvesse formulário na página principal.

Como a página principal não é protegida pelos bancos (por decisão dos próprios), a verificação não é possível. O usuário só consegue saber se o site é falso ou verdadeiro após digitar as informações no formulário, quando finalmente verá o “https://” na barra de endereço. E, se não ver, será tarde demais, pois já terá enviado sua senha aos criminosos.

Nos casos de código malicioso, SSL não é muito útil, pois, no momento que o computador está infectado, o criminoso possui, de uma forma ou outra, acesso aos dados que passam pelo sistema. Em casos de redirecionamento malicioso, como nesta técnica específica, Drive-by Pharming e envenenamento do cache DNS, o SSL seria uma peça importante.
Leia mais...

Gerais Apple e Cisco chegam a acordo sobre uso da marca iPhone

Publicado em Quinta - 22 de Fevereiro de 2007 | por Luiz Celso

A Apple Inc. e a Cisco Systems anunciaram no fim do dia de ontem (21/2) que chegaram a acordo na disputa pelo uso da marca iPhone.

O acordo prevê que ambas as empresas podem usar livremente a marca iPhone no mundo todo como bem quiserem.

Segundo a nota à imprensa, as duas empresas reconhecem os direitos de propriedade concedidos sobre a marca e encerrarão quaisquer ações judiciais referentes a ela.

Adicionalmente, Cisco e Apple explorarão oportunidades de implementar compatibilidade entre produtos de ambas as marcas nas áreas de segurança e comunicabilidade corporativa e doméstica.

Os demais termos do acordo são confidenciais, diz a nota.

Em janeiro Jim Cramer, respeitado colunista da área de tecnologia, publicou artigo no qual comentou que, ao abrir processo contra a Apple por infração de marca, a Cisco estava sendo movida por segundas intenções. A Cisco não está nem aí para o nome iPhone e creio que o que a Cisco realmente quer é que a Apple abra-lhe o Apple TV -- o recém-anunciado aparelho que transmite vídeo do PC para a TV -- e outros produtos para que a Cisco possa fazer uma interface com eles, disse ele.

Quase ao mesmo tempo, especialistas afirmavam que a Cisco poderia ter perdido os direitos de uso da marca iPhone por ter aparentemente sido abandonada.

Poucos dias depois, a Cisco demonstrou em evento reservado e cercado de mistério um produto concorrente do Apple TV, fato que indicava que Cramer podia ter razão.

A prova foi dada na nota divulgada ontem por ambas as empresas, na qual afirmam que trabalharão juntas na compatibilidade entre produtos das marcas.

Comentando o fato, observadores afirmam que a pendenga judicial aberta pela Cisco não foi mais que uma jogada de marketing planejada para obter publicidade grátis e costurar uma parceria visando tentar tornar-se atraente como a Apple.
Leia mais...

Antivírus Novo phishing scam usa Google Maps

Publicado em Quarta - 21 de Fevereiro de 2007 | por Luiz Celso

Clientes de, no mínimo, dois bancos se tornaram vítimas de um phishing scam no qual códigos maliciosos a localização física do IP afetado usando o Google Maps. Clientes alemães e norte-americanos também já foram vítimas do truque.

O software instala um cavalo-de-tróia capaz de rastrear as atividades dos usuários, seqüestrando computadores infectados.

O scam circula como uma falsa notícia alegando que o primeiro-ministro australiano sofreu um ataque cardíaco. A praga se instala como um cavalo-de-tróia e captura dados inseridos pelo usuário assim como compromete o servidor a permitir o seqüestro do PC da vítima.

O cracker ganha acesso a detalhes sobre o número de máquinas infectadas em casa país, enquanto o servidor do Google Maps é usado para traduzir os IPs em marcadores no mapa global do serviço, indicando seu posicionamento físico.

O diretor da Websense na Nova Zelândia e Austrália, Joel Camissar, acredita que crackers podem potencialmente usar o Google Maps para ajudar no roubo de dados.

Os crackers podem relacionar informações dos usuários com as informações geográficas do Google Maps para localizá-los, afirma Camissar. Com isto, é mais fácil ter acesso a dados como conta bancária e número do seguro social.

Os bancos Westpac e Commonwealth Bank estavam entre os atingidos pela praga na Austrália, enquanto o Bank of America, nos Estados Unidos, e o Deutsche Bank, na Alemanha, também foram alvos do ataque. Nenhum representante dos bancos australianos estava disponível para comentar a história.

O consultor de tecnologia-sênior da Sophos, Graham Cluley, afirmou que usuários são redirecionados a uma página de erro 404 que baixa automaticamente o código.

Usuários que recebem o e-mail são encorajados a clicar em um link para obter as últimas informações sobre a saúde de Howard. No entanto, o link leva o usuário a um site que baixa malware para o PC, e então apresenta a página de erro 404, afirmou Cluely.

Os scammers registraram dezenas de nomes de domínio que parecem ser associados com um jornal, e se esforçaram muito para forçar a pessoas a visitar o site forjado para que o malware seja instalado, diz o executivo da Sophos.
Leia mais...

Bugs Cisco alerta que 77 modelos de roteador são vulneráveis

Publicado em Quarta - 21 de Fevereiro de 2007 | por Luiz Celso

A Cisco está alertando aos usuários que cerca de 80 dos seus modelos de roteadores estão vulneráveis a uma técnica hacker descoberta na última semana.

Apelidado de drive-by pharming pela Symantec e pesquisadores de universidades que divulgaram a ameaça, o ataque consiste em atrair usuários a sites maliciosos em que a senha padrão do roteador é usada para redirecioná-lo a uma outra página falsa.

Uma vez neste site, o usuário pode ter suas identidades roubadas ou ser infectado por códigos maliciosos.

Em um boletim de segurança, a Cisco alertou que 77 roteadores para pequenos escritórios e filiais estão vulneráveis.

A companhia aconselha que os usuários mudem o nome e a senha padrão dos equipamentos e desabilitem o recurso de servidor http, mesma medida de precaução sugerida pela Symantec e pelos pesquisadores da Universidade de Indiana.

Segundo os especialistas, o uso de senhas simples ou óbvias também coloca os equipamentos em risco.
Leia mais...

Windows Windows Defender funciona ou não?

Publicado em Quarta - 21 de Fevereiro de 2007 | por Luiz Celso

De acordo com a companhia australiana Enex Testlab, o Windows Defender só conseguiu perceber apenas 53,3% de uma lista de programas maliciosos que atingiram a internet em 2006 em modo scan completo. Quando o tipo de scan é rápido, essa taxa caiu para menos da metade dos malware.

O resultado ruim contrasta com o bom desempenho de outras soluções, incluindo o melhor resultado registrado, do PC Spyware Doctor.

Defensores da Microsoft destacam que o teste foi patrocinado pela PC Spyware Doctor, o que justificaria os resultados. No entanto, existem outras evidências que mostram que o Windows Defender não é um dos melhores programas do mercado. Um teste realizado por outra companhia rival, a Webroot, definiu que a solução da Microsoft teve resultados ainda piores, já que em uma lista com 25 ameaças, perdeu 84% delas.

“Queremos provar, por via de um teste independente e que não tivemos acesso à pragas utilizadas, que a proteção contra os programas espiões do Vista é inadequada e pode causar uma falsa sensação de segurança nos consumidores”, afirma Simon Clausen, CEO da PC Tools.
Leia mais...

Network Al Qaeda resiste graças à internet

Publicado em Terça - 20 de Fevereiro de 2007 | por Luiz Celso

Embora debilitada militarmente, a rede terrorista Al Qaeda resiste graças à internet, que lhe permite manter contato com seus partidários...
Leia mais...

Segurança Segredos de um golpe de 1,5 bilhão de e-mails

Publicado em Terça - 20 de Fevereiro de 2007 | por Luiz Celso

Saiba como funciona o envio em massa de spam para oferta de Viagra, ataque que envolve 100 mil PCs zumbis e 119 países.
Leia mais...

Gerais Mitsubishi demonstra criptografia em redes de alta velocidade

Publicado em Terça - 20 de Fevereiro de 2007 | por Luiz Celso

A Mitsubishi Electric desenvolveu um dispositivo de criptografia capaz de trabalhar com o padrão de segurança IPsec v2 em redes Ethernet de 10 Gbps.

As unidades de codificação e decodificação são melhorias no atual hardware da empresa para Gigabit Ethernet e foram demonstradas em um centro de pesquisa e desenvolvimento da Mitsubishi Electric no Japão.

A companhia conseguiu aumentar o volume de dados que pode ser processado a cada segundo expandindo a criptografia paralela de pacotes de dados no dispositivo, disse Shinobu Ushirozawa, gerente de arquitetura de segurança em rede na Mitsubishi Electric.

Este era o gargalo que impedia velocidades maiores, mas com 50 unidades de processamento paralelo a velocidade de 10 Gbps pode ser suportada.

Quatro algoritmos de criptografia - AES, Camellia, MISTY e 3DES - podem ser utilizados pelo dispositivo e dois algoritmos de autenticação - SHA1 e 256-bit SHA2 - estão prontos, segundo Ushirozawa.

A Mitsubishi Electric já começou a promover a unidade para clientes em algumas indústrias e está trabalhando em um modelo ainda mais veloz para redes de 100 Gbps. O dispositivo deve estar disponível no próximo ano, disse Ushirozawa.

A companhia também desenvolveu quatro circuitos integrados necessários para redes de fibra para a casa de 10 Gbps. Atualmente, as conexões de banda larga no Japão usam linhas de acesso de 1 Gbps, tipicamente compartilhadas entre várias casas ou apartamentos, mas as operadoras já estão olhando para a próxima geração de serviços que aumenta as velocidades em dez vezes.

Para viabilizar estas redes o desenvolvimento de vários componentes de baixo custo se faz necessário. Entre eles, estão os quatro chips que a Mitsubishi Electric mostrou como protótipos. Mas ainda falta uma série de componentes, como novos lasers e diodos tanto para a linha de transmissão da operadora quanto para a unidade de rede óptica na casa do cliente.

Os engenheiros da Mitsubishi Electric estimam que as implementações ao longo dos próximos anos irão levar à comercialização de redes de 10 Gbps residenciais no Japão por volta de 2010.
Leia mais...

Segurança RBS investe em TI contra o roubo de informações

Publicado em Terça - 20 de Fevereiro de 2007 | por Luiz Celso

Presença em seis estados brasileiros, mais de 5,5 mil funcionários e com uma infra-estrutura de TI com 200 servidores e três mil estações de trabalho. Esse é o ambiente de tecnologia do grupo de mídia RBS que, em 2006, estava enfrentando uma ameaça que crescia sensivelmente no mercado como um todo: o roubo de informações. A empresa entrou em contato com a Trend Micro, sua parceira há três anos, para controlar esse risco.

“Os relatórios enviados pelas nossas soluções comprovaram que o foco dos ataques à empresa tinha mudado. O número de mensagens bloqueadas por vírus caiu muito, mas cresceram os códigos maliciosos durante a navegação e as mensagens com links maliciosos. Para se ter uma idéia, bloqueamos mais de 200 mil e-mails e sites com spywares e phishings scam apenas em dezembro”, conta Marco Spadoni, consultor de segurança do grupo de mídia.

Os logs gerados pelas ferramentas de proteção são coletados e tratados pela PBI, canal da empresa de segurança, que cria relatório executivo para a área de TI e para a diretoria do grupo. “O levantamento realizado em dezembro indicou que 68% dos nove milhões de mensagens trafegadas pela nossa rede eram spam. Um número desses é muito significativo e justifica novas ações”, diz Spadoni.

Ele revela que os relatórios executivos foram fundamentais para readequar a estratégia da empresa, reforçando certas áreas da política de segurança conforme as pragas migravam. “Os relatórios também nos auxiliaram a aumentar a conscientização da alta diretoria em relação ao tema, além de facilitar a justificativa de investimentos”, destaca o consultor.

Spadoni afirma que o grupo está estudando implementar soluções de criptografia de arquivos críticos e tokens com certificação digital para um futuro próximo. “O mais interessante é que essa demanda surgiu da própria diretoria. Com a preocupação presente em várias áreas, segurança está se tornando mais popular.”
Leia mais...

Network Cientista admite ter roubado US$ 400 milhões em segredo

Publicado em Terça - 20 de Fevereiro de 2007 | por Luiz Celso

Em um caso que demonstra o perigo da ação de infiltrados, um antigo cientista da DuPont admitiu que baixou e roubou informações proprietárias e técnicas avaliadas em 400 milhões de dólares da companhia.

Gary Min confessou ser culpado de roubar segredos de mercado da companhia em novembro de 2006, mas detalhes dos caras foram oficialmente revelados apenas na quinta-feira pelo promotor oficial dos Estados Unidos, Colm Connolly, na Corte Distrital de Delaware.

Min, cujo primeiro nome verdadeiro é Yonggang, passará 10 anos na cadeia e terá que pagar uma multa de 250 mil dólares quando for condenado em 29 de março.

De acordo com os detalhes, Min começou a trabalhar como cientista da DuPont em 1995, focado na pesquisa com filmes de alta performance. Em 2005, ele começou a negociar com a multinacional Victrex sobre um possível emprego na Ásia e aceitou a oferta em outubro.

Mesmo que tenha começado a trabalhar na Victrex em janeiro de 2006, Min não informou à DuPont sobre o novo emprego até 12 de dezembro e 2005.

Entre agosto e dezembro de 2005, Min baixou aproximadamente 22 mil abstratos e viu aproximadamente cerca de 16.700 documentos em PDF do servidor onde está a Biblioteca de Dados Eletrônicos da DuPont.

O servidor hospeda bancos de dados primários da empresa para informações confidenciais. Uma grande parte do material baixado não tinha nada a ver com sua área de pesquisa; ao invés disto, o material cobria tecnologias e produtos da DuPont, incluindo novidades que ainda estavam no estágio de desenvolvimento.

O roubo foi notado apenas após Min anunciar planos de deixar a DuPont, quando uma investigação interna descobriu uso irregular do servidor e grande volume de abstratos e relatórios acessados por ele - cerca de 15 vezes maior que o segundo usuário do sistema.

A DuPont imediatamente contatou o FBI e o Departamento de Comércio dos Estados Unidos, que começaram a investigar as ações de Min. Cerca de um mês após Min começar seu trabalho na Victrex, ele compartilhou 180 documentos da DuPont, incluindo um com segredos de mercado, para um laptop com o logo da nova empresa.

Representantes da Victrex foram contatados e informados sobre o rouvo. A companhia então entregou o laptop de Min para o FBI.

Uma batida na casa de Min revelou diversos computadores com informações confidenciais da DuPont, sacos de lixos cheios de documentos técnicos da empresa assim como evidências queimadas na lareira.

Um anúncio divulgado na quinta pela DuPont saudou a Promotoria dos Estados Unidos e outras agências federais envolvidas na investigação pela liderança e profissionalismo no tratamento do caso. A DuPont também afirmou que não houve evidência até agora de que Min disseminou os dados acessados ilegalmente.
Leia mais...