Em memória de Giordani Rodrigues

Publicado em Sexta - 12 de Janeiro de 2007 | por Luiz Celso

Gerais Internet Explorer no seu Linux

Rode o navegador da Microsoft no seu sitesma operacional Linux.
Leia mais...

Windows iDefense oferece até US$12 000 por falha crítica no Windows Vista

Publicado em Quinta - 11 de Janeiro de 2007 | por Luiz Celso

A empresa de consultoria em segurança iDefense Labs anunciou que irá pagar 8 mil dólares para quem revelar a ela informações exclusivas de vulnerabilidades presentes no Windows Vista ou no Internet Explorer 7. Pesquisadores de segurança que participarem podem ganhar ainda um bônus de até 4 mil dólares caso enviem também um código malicioso que demonstre como a vulnerabilidade pode ser explorada.

Interessados em receber o dinheiro devem informar a iDefense sobre uma falha em um canal privado e não pode revelar as informações publicamente em fóruns ou listas de discussão. Para serem consideradas, as brechas devem permitir a execução de código, o que, na maioria das vezes, significa o mesmo que facilitar a instalação de vírus.

A oferta faz parte do VCP [Vulnerability Contributor Program]. O programa é uma iniciativa da iDefense Labs que paga e recompensa quem enviar à empresa dados exclusivos sobre uma falha de segurança. Em cada trimestre do ano, a iDefense especifica um conjunto de aplicativos cujas falhas serão recompensadas com valores acima do normal.

O Windows Vista e o Internet Explorer 7 foram os escolhidos para o primeiro trimestre de 2007. No primeiro trimeste de 2006, a iDefense ofereceu 10 mil dólares por uma falha que resultasse na publicação de um boletim de segurança de classificação crítica em qualquer produto da Microsoft. Falhas em bancos de dados, navegadores web e aplicativos de mensagens instantâneas foram as recompensadas nos trimestres seguintes de 2006.

A iDefense informa que, neste trimestre, somente as seis primeiras vulnerabilidades que forem julgadas válidas para receber o pagamento serão recompensadas. As informações sobre as falhas devem ser enviadas até o fim de março. Qualquer vulnerabilidade enviada após esse período não receberá o valor especial.

A iDefense, apesar de ter sido pioneira, não é a única a pagar pesquisadores independentes pela exclusividade de informações sobre vulnerabilidades. O Zero Day Initiative [ZDI], da 3Com, recompensa quem descobrir brechas de segurança de forma semelhante. As duas empresas trabalham com desenvolvedores de software para assegurar que uma correção seja lançada antes que detalhes sobre uma falha sejam disponibilizados na rede.

Programas como o VCP e o ZDI sofrem críticas de alguns pesquisadores que acham que não é correto recompensar quem encontra falhas de segurança. Empresas de software não pagam nada para quem descobre novas brechas em seus produtos, mesmo que as informações sejam enviadas de forma privada por quem as descobriu. No entanto, vulnerabilidades podem ser vendidas para criminosos virtuais por milhares de dólares e alguns pesquisadores simplesmente publicam na Internet todos os detalhes necessários para que um criminoso possa tirar proveito da falha, antes mesmo do desenvolvedor ter uma chance de divulgar uma correção.
Leia mais...

Windows NSA ajudou Microsoft a desenvolver Windows Vista

Publicado em Quinta - 11 de Janeiro de 2007 | por Luiz Celso

A NSA (Agência de Segurança Nacional dos EUA) auxiliou a Microsoft no desenvolvimento dos recursos de segurança do seu novo sistema operacional, o Windows Vista. A informação é do jornal Washington Post.

Em entrevista ao veículo, Tony Sager, chefe de análise de vulnerabilidades e do grupo de operações da NSA, disse que a intenção da agência era a de ajudar a empresa da melhor forma possível. A entidade utilizou duas equipes para analisar o sistema. A primeira tinha a missão de corromper ou roubar informações, como se fosse um cracker muito bem treinado. O segundo time tinha a tarefa de impedir tais ataques, ajudando os administradores do departamento de defesa com a configuração do Windows Vista.

A Microsoft informou que a colaboração da NSA vem sendo feita há quatro anos. Alguns frutos desta parceria já poderiam ser apreciados em algumas versões do Windows XP e no Windows Server 2003.

Com as críticas de que tal colaboração foi feita com o dinheiro dos contribuintes, a NSA rebate, afirmando que não só estão ajudando a proteger o setor de negócios dos EUA, como também o Departamento de Defesa do país, que utiliza os softwares da Microsoft.

A Microsoft não é a única fabricante de softwares a buscar ajuda para desenvolver melhor suas ferramentas de segurança. A Apple, com o seu Mac OS X e a Novell, com sua distribuição SUSE Linux , também entraram em contato com a NSA, para saber a opinião da agência sobre seus produtos.
Leia mais...

Segurança Bankers brasileiros exploram brechas de segurança

Publicado em Quinta - 11 de Janeiro de 2007 | por Luiz Celso

Criminosos virtuais brasileiros começaram a utilizar brechas de segurança presentes no Internet Explorer para aumentar o número de vítimas dos cavalos de tróia Banker. Estes cavalos de tróia roubam senhas de acesso usadas em Internet Banking e dados e números de cartões de crédito em lojas online. A técnica de infecção usando falhas de segurança é uma evolução se comparada com os métodos utilizados anteriormente, pois dificulta a identificação dos links maliciosos.

Muitas matérias sobre segurança na rede sugerem que o internauta verifique o endereço do link em mensagens de e-mail e veja se ele aponta para um arquivo terminado em .scr, .pif ou .exe. Arquivos com essas extensões caracterizam arquivos executáveis que podem conter vírus, portanto devem ser evitadas. Porém, observar o link somente o protegerá contra os ataques mais simples que, até recentemente, eram a regra em golpes de origem brasileira.

Alguns golpes já usam redirecionamentos para confundir o usuário, como o recente e-mail fraudulento que prometeu vídeos do enforcamento de Saddam. O link na mensagem aponta para um arquivo .avi (de vídeo), mas, ao clicar, o usuário é redirecionado para um arquivo .scr. O usuário ainda vê uma janela de download e tem a chance de cancelar a operação de download da praga digital.

Os golpes mais avançados da Internet brasileira que circulam atualmente, no entanto, tiram proveito de uma das diversas falhas presentes no Microsoft Internet Explorer. Qualquer link, independente de sua extensão, pode conter um código que tira proveito de uma brecha no navegador e instala um vírus no sistema. Não é necessário que o usuário autorize a execução ou o download de um programa — a infecção ocorre automaticamente.

Caso o usuário visite um site malicioso com o Internet Explorer sem as atualizações de segurança, basta acessar o site para ser infectado, nenhum download ou confirmação é necessária. Apesar de existirem falhas que afetam também os navegadores Firefox e Opera, a Linha Defensiva ainda não observou nenhum site malicioso que se utiliza dela para instalar pragas brasileiras.

O código malicioso usado pelos criminosos brasileiros é o JS.ADODB.Stream. Ele explora uma falha presente no Microsoft Data Access Components, que é instalado por padrão no Windows XP. A vulnerabilidade possibilita que um site possa executar um arquivo automaticamente, sem que o usuário tenha de baixá-lo manualmente. Basta acessar uma página maliciosa para que a falha seja explorada e Bankers sejam baixados e instalados no PC da vítima, sem que esta perceba.

A brecha utilizada é de fácil exploração e talvez por isso tenha se popularizado entre os criminosos. Existem falhas mais novas que também possibilitam a instalação de vírus, mas são mais difíceis de serem exploradas.

A Linha Defensiva constatou que os criminosos brasileiros não desenvolveram o código que explora a falha, mas copiaram um código pronto facilmente obtido na Internet. Como conseqüência, alguns antivírus conseguem detectar a tentativa de exploração da falha, porém algumas páginas maliciosas empregaram técnicas simples para esconder o código para escapar da detecção dos softwares de segurança.
Proteja-se

Para se proteger, basta baixar uma atualização diretamente do site da Microsoft, conforme seu sistema operacional:

http://www.microsoft.com/brasil/technet/security/bulletin/ms06-014.mspx

A Linha Defensiva sugere que os internautas atualizem seu sistema operacional sempre que novas atualizações forem disponibilizadas. A Microsoft lança atualizações sempre na segunda terça-feira de cada mês. As atualizações de janeiro de 2007 já foram publicadas e uma delas afeta o Internet Explorer e possibilita que ataques semelhantes ao descrito nesta matéria sejam efetuados.

Quando percebem que antigas técnicas de infecção não mais retornam os resultados esperados, criminosos virtuais procuram novas formas para enganar os usuários. O uso de falhas de segurança consegue aumentar o número de vítimas.

No Brasil, onde muitas pessoas usam software pirata, usuários não atualizam o sistema operacional devido aos programas antipirataria da Microsoft. Apesar de facilmente burlados por usuários mais experientes, alguns usuários mais leigos simplesmente não atualizam o sistema para não ter problemas com avisos sobre software falsificado.
Leia mais...

Gerais Especialista em segurança da informação será cargo promissor em 2007

Publicado em Quinta - 11 de Janeiro de 2007 | por Luiz Celso

Especialista em segurança da informação. Para o site FindTheRightSchool, este será um dos profissionais mais procurados pelo mercado de Tecnologia da Informação (TI) em 2007.

A valorização da função é resultado do crescente uso de serviços de mensagens instantâneas (IM, da sigla em inglês) como ferramenta de comunicação corporativa.

De acordo com a American Management Association (AMA) e o ePolice Institute, 35% dos funcionários norte-americanos usam programas de IM no local de trabalho, dos quais 50% usam softwares gratuitos baixados da internet. Apesar de a prática ser comum, apenas 31% das empresas têm algum tipo de norma para o uso desses programas.

Segundo uma pesquisa da Akonix Systems, fornecedora de serviços de IM para empresas, um terço dos usuários já sofreram alguma ameaça via mensagem instantânea no trabalho. Foi constatado pela companhia que, em 2006, houve 15% mais ataques através de IM entre seus clientes que no ano anterior.

A expectativa é de que o número de novas pragas (como programas espiões, worms, vírus e outros códigos maliciosos) continue a crescer fortemente. Entre 2005 e 2006, o avanço foi de 92%, e para este ano, a perspectiva é a mesma.

Dessa forma, a preocupação das empresas deve se intensificar nesse sentido e impulsionar a busca por profissionais qualificados para garantir segurança no uso dos programas de IM.

De acordo com o Bureau of Labor Statistics (Agência de Estatísticas de Trabalho), a demanda por empregos de TI deve crescer mais rapidamente que a média, em relação a outras áreas, até o ano de 2014.
Leia mais...

Antivírus Volta a circular na Internet worm Happy New Year

Publicado em Quinta - 11 de Janeiro de 2007 | por Luiz Celso

Ainda circula pela Internet o e-mail que espalha worm intitulado de Happy New Year. Ele é um dos candidatos a se tornar o surto de infecção do ano. Desta forma, atenção às mensagens que chegam à dcaixa de entrada com desejos de boas festas na linha de assunto.

O worm é disseminado por e-mail que contêm anexos como Greeting Card.exe, Greeting Postcard.exe, Postcard.exe, greeting card.exe, greeting postcard.exe ou postcard.exe. Após a execução, o worm tenta desativar o antivírus e descarrega o cavalo de Tróia Tibs no computador infectado. Em seguida tentar fazer download de mais códigos maliciosos armazenados em um site remoto.

Uma vez infectado o computador, o worm procura proxies de correio e começa a enviar e-mails para infectar outros computadores. Esta ameaça que envia e-mails em massa está se disseminando rapidamente pela Internet, instalando vários códigos nos computadores das vítimas e protegendo-os com rootkit.

Durante o processo de propagação, o worm envia uma cópia de si mesmo utilizando seu próprio mecanismo SMTP para os endereços de e-mail do catálogo de endereços do PC infectado. Algumas vezes o worm envia uma cópia executável defeituosa (por exemplo, com um cabeçalho executável incorreto) que poderia ser considerada inofensiva e que pode ser considerada como e-mail de spam.

As primeiras amostras dessa variante do worm Nuwar foram descobertas no dia 29 de dezembro de 2006.
Leia mais...

Network Google assusta sites com alertas de malwares supostamente falsos

Publicado em Quinta - 11 de Janeiro de 2007 | por Luiz Celso

Alguns responsáveis pro sites estão reclamando que o Google está apontando suas páginas como contendo softwares maliciosos quando acreditam que o site não tem perigo algum.

O problema foi descoberto graças a uma página intermediária que o Google reproduz após o usuário clicar sobre um link dentro dos resultados de seu sistema de buscas. Caso o Google acredite que a página contenha malware, a página alertará: Cuidado - visitar este site pode danificar seu computador! (tradução livre do português).

O Google não bloqueio acesso ao site, mas o usuário precisaria digitar manualmente o endereço do site para continuar. Organizações estão reclamando que seus sites não contêm códigos maliciosos, e que o alerta é constrangedor.

Não temos softwares maliciosos ou qualquer coisa que indicaria uma necessidade de banir a pessoa de visualizar nosso site, escreveu Matt Blatchley, que trabalha para o Centro Greenbush de Serviços de Educação do Sudeste do Kansas, em um comentário no Google Groups.

A página de alerta do Google contém um link para o Stopvadware.org, projeto desenvolvido para estudar questões legais e técnicas a respeito de spywares, adwares e outros softwares maliciosos.

O Stopbadware.org é liderado pelo Centro Berkman de Internet e Sociedade da Escola de Direito de Harcard e o Instituto de Internet da Unviersidade de Oxford, com a ajuda de parceiros, como Google, Sun Microystems e Lenovo.

O site afirmou nesta quinta-feira (11/01) que recebeu informações do Google sobre o caso. O buscador tem uma determinação de marcar sites baseado em checagens independentes da web, de acordo com uma página de FAQ do buscador.

O Stopbadware.org, no entanto, revisará a decisão do Google caso um usuário envie reclamação para o e-mail appeals@stopbadware.org. O Google removerá a página da sua listagem maliciosa caso o site seja livre de badware.

Organizações com sites que figuram no alerta do Google apelaram em massa ao processo de apelação. Um e-mail automático do Stopbadware.org disse que a resposta seria enviada em até dez dias comerciais.

Entendemos que pode ser uma situação incrivelmente frustrante, afirma o Stopbadware.org. No entanto, descobrimos que muitos donos de site não sabem que suas páginas têm links para badwares.

Isto pode ocorrer, segundo a Stopbadware.org, caso um site contenha propaganda de empresas terceiras que ofereçam links para sites com malware. Também, o servidor de uma organização ou o próprio site podem também ter sido hackeados.

Organizações deveriam trabalhar com seu provedor para checar problemas de segurança, sugeriu a Stopbadware.org.
Leia mais...

Gerais Adobe divulga correção para falha crítica no Adobe Reader e Acrobat

Publicado em Quinta - 11 de Janeiro de 2007 | por Luiz Celso

A Adobe Systems divulgou uma atualização de segurança para corrigir um vulnerabilidade de script em múltiplos sites nas versões 7.0.8 e anteriores dos softwares Adobe Reader e Acrobat.

Nesta terça-feira (09/01), a companhia também publicou um boletim de segurança detalhando novidades no lado dos servidores para que donos de sites podem usar para prevenir que páginas sejam seqüestradas usando o vulnerabilidades, divulgada na semana passada.

As atualizações são divulgadas menos de uma semana após duas pesquisadores de segurança na Itália descobrirem uma falha no Adobe Reader chamada Open Parameters que permitiria a crackers injetar código arbitrário em JavaScritp em um navegador.

A descoberta da falha causou uma preocupação generalizada pela facilidade com que poderia ser explorada e por permitir que qualquer site hospedando arquivos PDF fosse usado para conduzir o ataque.

Em resposta às preocupações, a Adobe na semana passada sugeriu que todos os usuários atualizassem para a versão 8 do adobe Reader e Acrobat, já que ambos não eram afetados pela falha. Na ocasião, a companhia também disse que divulgaria patchs corrigindo a questão para usuários que queriam continuar usando versões antigas dos dois programas.

A atualização de segurança da Adobe também corrigiu vulnerabilidades identificadas nas verões 7.0.8 e anteriores do Reader e Acrobat, disse a companhia.

As brechas, assinaladas como críticas pela Adobe, permitiam que crackers tomassem controle de um sistema afetado.

Uma maneira de prevenir o Adobe Reader e o Acrobat Plugin de ser atingido por códigos em JavaScritp a partir do navegador é forçar arquivos PDFs a abrir fora do programa, afirma a companhia.

Outra maneira de minimizar o risco é considerar a criação de um código no servidor (ColdFusion, Java, PHP, ASP.NET, etc.) para ler o arquivo e devolvê-lo como parte da resposta, notou.

Passos que o usuário pode seguir em ambos os processos foram detalhados no boletim de segurança divulgado nesta terça.
Leia mais...

Antivírus Roubo de dados é foco da ação dos vírus

Publicado em Quarta - 10 de Janeiro de 2007 | por Luiz Celso

A ausência de grandes epidemias de vírus de computador tem sido, há alguns anos, a principal característica dos relatórios sobre a incidência das ameaças no mundo virtual. Além disso, a lista dos TOP 10 sofreu poucas alterações durante todo o ano de 2006. Porém, o usuário não deve se deixar levar por uma aparente tranqüilidade ao analisar este cenário e acreditar que o risco de contaminação de seu PC é baixo.

O que ocorre é que os ataques são mais silenciosos e personalizados, pois têm, cada vez mais, como finalidade a obtenção de ganhos financeiros a partir de roubo de dados pessoais e financeiros dos usuários de computador, ao contrário de anos atrás quando as contaminações não possuíam esta finalidade. De fato, o relatório do terceiro trimestre do PandaLabs deste ano revelava que 72% das ameaças on-line tinham como objetivo o roubo de dinheiro via Internet de contas bancárias dos usuários de computador.

No relatório 2006 divulgado pela Panda Software, baseado nas informações coletadas pelo serviço gratuito ActiveScan, este cenário é comprovado a partir da constatação do comportamento das dez pragas mais atuante durante o ano. No primeiro posto da lista de 2006 aparece o worm Sdbot.ftp, que surgiu em dezembro de 2004 e seis meses depois já ocupava a liderança nas listas divulgadas pelo PandaLabs. Ele possui uma periculosidade média, mas tem sofrido inúmeras variações cujo padrão comum de comportamento é se descarregar nos PCs via FTP para atacar endereços IPs aleatório objetivando explorar as vulnerabilidades dos sistemas. Durante 2006 contaminou 2.62% dos computadores em todo o mundo. No Brasil, este vírus também obteve a liderança na lista, com uma participação de 2.82% do total de computadores contaminados.

Outro veterano neste tipo de lista e que ficou na segunda colocação em 206 é o Netsky.P, com um percentual de infecção de 1.22% dos PCs analisados pelo ActiveScan. Este worm surgiu em 2004 e se propaga por intermédio de correio eletrônico escrito em Inglês e através de redes P2P (peer to peer). Seu objetivo é explorar uma vulnerabilidade do Internet Explorer denominada Exploit/iframe. No terceiro posto da lista do PandaLabs está o Exploit/Metafile,com 1,08% de computadores infectados. Este código malicioso foi criado para se aproveitar de uma vulnerabilidade crítica da biblioteca GDI32.DLL do Windows versões 2003/XP/2000 para permitir a execução de um código que permite descarregar e executar um programa spyware.

O quarto posto é do Tearec.A (0,79%). Este worm se propaga por meio de correio eletrônico e de redes de computadores e desabilita e fecha certos programas antivírus. A quinta colocação ficou com o cavalo de tróia Q.host.gen (0,76%). Nos demais postos da lista TOP 10 da Panda, estão o Torpig.A, um cavalo de tróia que busca e roubo as senhas armazenadas em determinados serviços do Windows; o Sober.AH, um worm que finaliza vários processos, entre eles alguns pertencentes a ferramentas de segurança; Parite.B, que ocupa o oitavo lugar na lista e que é um vírus que infecta arquivos PE com extensão EXE ou SCR; Gaobot.gen, uma detecção genérica para worms da família Gaobot que se aproveita de diversas vulnerabilidades de software para levar a cabo suas ações; e, finalmente, o Bagle.pwdzip, uma detecção da famosa e extensa família de worms Bagle.

Lista mundial: Vírus - % de infecção

# W32/Sdbot.ftp - 2,62
# W32/Netsky.P - 1,22
# Exploit/Metafile - 1,08
# W32/Tearec.A - 0,79
# Trj/Qhost.gen - 0,76
# Trj/Torpig.A - 0,69
# W32/Sober.AH.worm - 0,67
# W32/Parite.B - 0,62
# W32/Gaobot.gen - 0,55
# W32/Bagle.pwdzip - 0,54

Os dez mais atuantes no Brasil em 2006: Virus - % de infecção

# W32/Sdbot.ftp.worm - 2,82
# Trj/Downloader.DQK - 1,47
# Trj/Banker.gen - 1,36
# Bck/mIRCBased.X - 1,15
# W32/Netsky.AG.worm - 0,78
# Exploit/Metafile - 0,77
# W3 2/Parite.B - 0,70
# W32/Gaobot.gen.worm - 0,67
# W32/Bagle.pwdzip - 0,66
# Bck/Graybird.AN - 0,55
Leia mais...

Segurança Brecha em laptops da Acer permite instalação de vírus

Publicado em Quarta - 10 de Janeiro de 2007 | por Luiz Celso

Uma vulnerabilidade em laptops da Acer, conhecida desde novembro de 2006, foi encontrada na ativa em um site malicioso. O site tenta instalar a praga digital conhecida como Gromozon e é direcionado principalmente a usuários italianos. A Acer é a empresa que mais vende notebooks na Itália.

A brecha se encontra em um componente ActiveX chamado LunchApp.APlunch que acompanha os portáteis da Acer. Explorar a falha não é complicado, pois o componente possui uma função específica apenas para executar programas. Isso significa que qualquer site pode, com poucas linhas de comando, executar qualquer programa presente no computador.

A falha está no fato de que o componente pode ser chamado por websites, quando isso não deveria ser permitido. O arquivo responsável pelo ActiveX possui a data de “Modificado em” como novembro de 1998, o que significa que o componente falho pode estar incluso em notebooks da Acer há vários anos.

Como o LunchApp.APlunch não permite executar um programa presente em um website, os criminosos virtuais estão executando um programa já presente no Windows para baixar a praga digital para o sistema. Após baixada, ela é executada e o sistema é infectado. Tanto o programa do Windows responsável por fazer o download da praga (tftp.exe) quanto a praga em si são executados acionando-se o controle ActiveX da Acer.

Somente o Internet Explorer é compatível com controles ActiveX, então a vulnerabilidade não pode ser usada para infectar usuários de Firefox ou Opera. O Internet Explorer 7 não executa o controle automaticamente e pede autorização do usuário. De acordo com o Internet Storm Center, o Internet Explorer 6 rodando no Windows XP SP2 também pede autorização.

Apesar dos ataques atuais serem direcionados a usuários italianos, a facilidade com que se pode tirar proveito da falha pode torná-la popular em outros sites maliciosos que utilizam brechas de segurança para infectar usuários.
Você está vulnerável?

Caso você utilize um notebook da Acer, visite a página da web abaixo:

http://linhadefensiva.uol.com.br/avs/research/xpl/acer-lunchapp.html

Se a calculadora do Windows for executada, você está vulnerável. Este teste é de autoria do pesquisador responsável pelo descobrimento do problema. A Linha Defensiva garante sua segurança, mas não pôde testar sua eficácia.

A Acer ainda não lançou uma correção para o problema, porém é possível configurar um killbit para desativar o controle da Acer. Veja o documento da Microsoft sobre como fazer isso.
Leia mais...