A grande quantidade de informações sobre o Conficker, o worm que ganhou sua segunda e “mais potente” versão no dia 1º de abril, pode ter distraído as pessoas de ameaças online reais, disse o líder de cibersegurança do FBI na quinta-feira (24/04).
”Para o público em geral, o foco estava no Conficker e está é a ameaça com a qual todos estavam preocupados. Mas há dúzias de vulnerabilidades e ameaças por aí tão perigosas quanto ele. Enquanto a mídia aumentava nossa preocupação sobre apenas esse aspecto, deveria chamar a atenção para ameaças de um modo geral”, disse Shawn Henry, diretor da Divisão de Informática da Agência Federal de Investigação dos Estados Unidos (FBI, da sigla em inglês).
Embora ninguém saiba o tamanho exato da rede worm, pesquisadores acreditam que pelo menos quatro milhões de computadores já foram infectados pelo Conficker. No entanto, existem várias outras ameaças na internet, como antivírus falsos, redes botnet e ataques phishing, muitas não divulgadas.
“Os alertas públicos são ótimos. Mas gostaria de ver a cobertura a respeito das ameaças como um todo”, opinou Henry.
Segundo o especialista, quando o 1º de abril finalmente chegou e o Conficker não causou tantos problemas quanto era esperado, foi criada nos usuários uma falsa sensação de segurança.
“Não gostaria que o público pensasse que só existe essa ameaça e que, se não virem nada acontecendo realmente, eles estão seguros”, completou.
Robert McMillan, editor do IDG News Service, dos EUA
sexta-feira, 24 de abril de 2009
Cavalo de troia russo pede SMS para destravar o computador
Especialistas da PandaLabs descobriram um cavalo de troia russo que “tranca” o computador da vítima e exige que um SMS seja enviado para um número que acarreta uma tarifa extra, como no caso dos 0900. A praga se enquadra na categoria de “sequestradores” ou “ransomware”.
Normalmente esse tipo de código malicioso encripta os documentos da vítima e deixa um aviso, exigindo pagamento para que os arquivos sejam recuperados. É assim que funciona o cavalo de troia Gpcode.
A nova praga, batizada de SMSlock.A, impede totalmente o computador de ser iniciado. Ela exibe uma mensagem, em russo, que instrui o usuário a enviar o SMS e digitar um código na mensagem, para então receber de volta outro, que deve ser digitado para a liberação do computador.
Por enviar a mensagem a um número premium, a vítima irá pagar o autor do vírus por meio da conta telefônica.
Tática semelhante era usada pelos chamados “dialers”. Esses eram softwares instalados normalmente por sites pornográficos que tentavam forçar o computador a discar um número premium para acessar a internet – às vezes até mesmo no lugar do acesso em banda larga – com a justificativa de que o acesso por meio de um número com pagamento de tarifa era necessário para acessar o site adulto.
O SMSlock.A, no entanto, cai na mesma categoria de outras pragas “ransomware”. O primeiro vírus da categoria, conhecido como PC Cyborg Trojan ou Aids Info Disk, surgiu em 1989 como explica a coluna Segurança para o PC de 30 de março.
Autor: Altieres Rohr - Especial para o G1
Dono e administrador do site Linha Defensiva
quinta-feira, 23 de abril de 2009
Obama quer criar comando militar para garantir segurança online
O governo do presidente dos Estados Unidos Barack Obama avalia a criação de um novo comando militar para proteger as redes do Departamento de Defesa. O comando pode ter habilidade para desenvolver uma ofensiva de “guerra cibernética”.
A notícia surge poucos dias após os computadores do Pentágono terem sido invadidos por crackers, que roubaram dados secretos relacionados ao projeto do caça F-35 Joint Strike Fighter.
De acordo com o The Wall Street Journal, o plano deve ser anunciado em breve pelo Secretário de Defesa Robert Gates. O comando seria liderado por um general de quatro estrelas e, inicialmente, faria parte do Comando Estratégico do Pentágono. O nome mais cotado para o cargo é o do general Keith Alexander, atual diretor da Agência de Segurança Nacional (NSA).
Em uma palestra na terça-feira (21/04), Alexander enfatizou que a NSA não tem interesse em ser responsável por garantir a cibersegurança do governo dos EUA. Segundo ele, entretanto, a agência poderia oferecer suporte técnico para completar a missão do Departamento de Defesa de reforçar a segurança de suas redes online após o ataque ao sistema do Pentágono ocorrido na segunda-feira (20/04).
Jaikumar Vijayan, editor da Computerworld, dos EUA
A notícia surge poucos dias após os computadores do Pentágono terem sido invadidos por crackers, que roubaram dados secretos relacionados ao projeto do caça F-35 Joint Strike Fighter.
De acordo com o The Wall Street Journal, o plano deve ser anunciado em breve pelo Secretário de Defesa Robert Gates. O comando seria liderado por um general de quatro estrelas e, inicialmente, faria parte do Comando Estratégico do Pentágono. O nome mais cotado para o cargo é o do general Keith Alexander, atual diretor da Agência de Segurança Nacional (NSA).
Em uma palestra na terça-feira (21/04), Alexander enfatizou que a NSA não tem interesse em ser responsável por garantir a cibersegurança do governo dos EUA. Segundo ele, entretanto, a agência poderia oferecer suporte técnico para completar a missão do Departamento de Defesa de reforçar a segurança de suas redes online após o ataque ao sistema do Pentágono ocorrido na segunda-feira (20/04).
Jaikumar Vijayan, editor da Computerworld, dos EUA
Bots mais eficientes produzem até 600 mil spams por dia, diz estudo
Alguns PCs infectados com bots podem produzir até 25 mil spams por hora, totalizando 600 mil por dia, afirma estudo da TRACElabs nesta quarta-feira (22/04).
A empresa Marshal8e6 infectou, de propósito, os PCs do laboratório de seu braço de pesquisa, a TRACElabs, com os bots - malwares que criam PCs 'zumbis' - responsáveis pelas 9 maiores redes de botnets do mundo, e observou o comportamento.
A TRACElabs concluiu que o Rustock e o Xarvester são os bots mais eficientes, espalhando até 25 mil mensagens não-solicitadas a cada hora, e responsáveis por 26% e 8% por todo o spam gerado no primeiro trimestre de 2009, respectivamente.
O Mega-D também aparece na lista, e é um dos que tiveram benefícios quando a rede de botnets McColo foi tirada do ar no fim de 2008 - ele enviou, no período citado, 22% de todo o spam mundial.
Ainda falando em participação no universo de spams, o bot da rede Pushdo foi responsável por 18% dos spams enviados nos primeiros três meses do ano.
Gregg Keizer, editor do Computerworld, de Framingham
quarta-feira, 22 de abril de 2009
85% dos sites maliciosos ficam no ar por apenas 24 horas
Quase 85% dos sites infectados por códigos maliciosos em 2008 e 2009 foram tirados do ar em até 24 horas, revela um estudo da AVG, empresa que desenvolve programas de segurança - entre eles o popular antivírus gratuito AVG Free Edition. Ainda assim, a empresa estima que entre 8 milhões e 14 milhões de internautas sejam expostos diariamente a algum tipo de golpe online.
Para Roger Thompson, chefe de pesquisa da companhia, os golpes baseados em engenharia social eventualmente se tornarão o tipo mais comum de ameaça de segurança. Thompson disse ainda ataques feitos por softwares de segurança falsos (que afirmam que vão resolver um problema, mas na verdade são um vírus) aumentaram 300% no primeiro trimestre de 2009, em comparação com o mesmo período do ano anterior.
Segundo Thompson, a crise global também está ajudando a difundir golpes online, Páginas com esquemas como pirâmides financeiras, que prometem enriquecimento rápido, estão mais ativas do que nunca disse o pesquisador. Na opinião do Chief Executive Officer (CEO) da AVG Technologies, J. R. Smith, “essas páginas com golpes são uma ameaça ainda maior do que os vírus para a internet”.
Carrie-Ann Skinner, editora da PC Advisor, no Reino Unido
Para Roger Thompson, chefe de pesquisa da companhia, os golpes baseados em engenharia social eventualmente se tornarão o tipo mais comum de ameaça de segurança. Thompson disse ainda ataques feitos por softwares de segurança falsos (que afirmam que vão resolver um problema, mas na verdade são um vírus) aumentaram 300% no primeiro trimestre de 2009, em comparação com o mesmo período do ano anterior.
Segundo Thompson, a crise global também está ajudando a difundir golpes online, Páginas com esquemas como pirâmides financeiras, que prometem enriquecimento rápido, estão mais ativas do que nunca disse o pesquisador. Na opinião do Chief Executive Officer (CEO) da AVG Technologies, J. R. Smith, “essas páginas com golpes são uma ameaça ainda maior do que os vírus para a internet”.
Carrie-Ann Skinner, editora da PC Advisor, no Reino Unido
Hackers invadem site do Pentágono e roubam projeto de avião de US$ 300 bi
Um grupo de hackers invadiu os sistemas de computação do Departamento de Defesa dos Estados Unidos e copiou informações sobre a construção do caça F-35 Lightning II, o mais caro projeto já conduzido pelo Pentágono.
De acordo com o "Wall Street Journal", os piratas copiaram informações que, em teoria, poderiam ensinar militares de outros países a se defender do avião, também conhecido como Joint Strike Fighter, cujo projeto está orçado em US$ 300 milhões (cerca de R$ 672 bilhões, pela cotação do dólar comercial do dia 20 de abril). Ex-oficiais do governo americano ouvidos pelo "Wall Street Journal" afirmam que os ataques aparentemente foram feitos a partir da China, embora não seja possível afirmar com precisão a identidade dos hackers. Também não é possível estimar, por enquanto, os danos ao projeto e o provável risco de segurança criado pelo roubo de informações.
Segundo o jornal americano, os invasores conseguiram baixar um grande volume de dados sobre o avião, mas as informações mais críticas não foram atingidas. Partes mais importantes do projeto são armazenadas em computadores que não estão ligados em rede. O F-35 Lightning II, construído por um consórcio liderado pela Lockheed Martin, é dotado de um software composto por mais de 7,5 milhões de linhas de código-fonte. O programa é três vezes mais complexo do que o utilizado em outros aviões de combate modernos.
No dia 8, o "Wall Street Journal" já havia revelado que espiões entraram na rede elétrica dos Estados Unidos e deixaram nela alguns softwares que poderiam ser usados para prejudicar o sistema.
Os hackers vieram da China, Rússia e outros países. Acredita-se que sua missão fosse investigar o sistema elétrico dos EUA e seus controles, informou o jornal, citando antigos e atuais dirigentes dos serviços de segurança norte-americanos. Os intrusos não tentaram danificar a rede elétrica ou outros elementos cruciais de infraestrutura, mas os funcionários disseram que poderiam fazê-lo durante uma crise ou guerra. "Os chineses tentaram mapear a nossa infraestrutura, como a rede elétrica. Os russos também", disse um funcionário dos serviços de inteligência ao jornal.
segunda-feira, 20 de abril de 2009
Novo worm no Twitter atrai vítimas citando celebridades em posts
Um novo worm está rapidamente se disseminando no Twitter, alertou a companhia de segurança Sophos na sexta-feira (17/04). A praga invade perfis no Twitter e envia updates não autorizados.
Os posts são sempre relacionados a celebridades. Os usuários que seguem os perfis invadidos e clilcam no nome dos famosos citados são automaticamente infectados e passam a também enviar posts não autorizados para seus contatos.
Possivelmente, as contas infectadas enviarão posts que mencionam nomes de celebridades que estão em evidência no Twitter, como Asthton Kutcher e Oprah Winfrey, afirmou Graham Cluley, consultor sênior da Sophos. Caso a vítima leia e clique sobre o link no post, a infecção pode se disseminar muito rápido. O consultor não está certo, porém, se as contas das celebridades estariam infectadas. Mas, caso alguma delas – como Kutcher, que tem mais de um milhão de seguidores – clique nos tais links, é possível que milhões de outros usuários sejam afetados, disse Cluley.
O Twitter afirmou que está trabalhando para corrigir o problema. O ataque é uma versão adaptada de um worm que aproveita vulnerabilidades de um site para enviar spams. Ele afeta apenas usuários do navegador Internet Explorer, disse o especialista.Para se prevenir, Cluley recomenda atualizar as versões de seus browsers e bloquear qualquer plug-in sem script. Para os infectados, a sugestão é limpar seus perfils, deletando todo o conteúdo que não tenha sido adicionado pelo próprio usuário.Apenas em abril, o Twitter já foi vítima de quatro ataques de worms.
Agam Shah, editor do IDG News Service, dos EUA
Os posts são sempre relacionados a celebridades. Os usuários que seguem os perfis invadidos e clilcam no nome dos famosos citados são automaticamente infectados e passam a também enviar posts não autorizados para seus contatos.
Possivelmente, as contas infectadas enviarão posts que mencionam nomes de celebridades que estão em evidência no Twitter, como Asthton Kutcher e Oprah Winfrey, afirmou Graham Cluley, consultor sênior da Sophos. Caso a vítima leia e clique sobre o link no post, a infecção pode se disseminar muito rápido. O consultor não está certo, porém, se as contas das celebridades estariam infectadas. Mas, caso alguma delas – como Kutcher, que tem mais de um milhão de seguidores – clique nos tais links, é possível que milhões de outros usuários sejam afetados, disse Cluley.
O Twitter afirmou que está trabalhando para corrigir o problema. O ataque é uma versão adaptada de um worm que aproveita vulnerabilidades de um site para enviar spams. Ele afeta apenas usuários do navegador Internet Explorer, disse o especialista.Para se prevenir, Cluley recomenda atualizar as versões de seus browsers e bloquear qualquer plug-in sem script. Para os infectados, a sugestão é limpar seus perfils, deletando todo o conteúdo que não tenha sido adicionado pelo próprio usuário.Apenas em abril, o Twitter já foi vítima de quatro ataques de worms.
Agam Shah, editor do IDG News Service, dos EUA
Saiba como golpistas da web levam internautas a sites falsos
A Net confirmou na semana passada que o Virtua foi alvo de um ataque de envenenamento do cache DNS, o que resultou no redirecionamento do site do Bradesco para uma página clonada, operada por criminosos com o intuito de roubar informações. A confirmação também deu voz a reclamações que apareceram há duas semanas sobre redirecionamentos do Google AdSense, que serve anúncios publicitários, para cavalos de troia.
Todos os computadores existentes na internet são identificados com um número chamado de endereço IP. É o Domain Name System (DNS) que consegue “traduzir” algo como “www.globo.com” para um endereço IP, o que facilita muito a localização das páginas na rede, dispensando a necessidade de lembrar e digitar longas sequências numéricas. Infelizmente, é possível interferir com esse processo de “tradução”. Ou seja, um indivíduo mal-intencionado pode fazer com que um endereço na internet seja traduzido para o IP errado. Assim, ele pode fazer com que um determinado endereço leve o internauta para o IP e, portanto, para o computador que ele deseja. Em outras palavras, um malfeitor pode fazer com que o endereço do site de um banco, por exemplo, aponte para um computador que ele mesmo controla. Ele pode criar uma página totalmente diferente, para assustar os usuários. Ou ainda colocar uma página idêntica à original, mas que, como está sob seu controle, rouba os dados que forem colocados nela.
O DNS é um sistema bem distribuído: cada provedor tem sua própria infraestrutura. Normalmente, são usados dois servidores de DNS na conexão com a internet: um principal e um reserva, caso o primeiro esteja lento ou inoperante. Os sites que existem na internet também têm dois ou mais Name Servers (NS) que são responsáveis por informar a cada servidor DNS o endereço IP correto do site. Existem ainda vários NSs operados pelas organizações responsáveis pelo funcionamento dos endereços na internet. Esses servidores têm como objetivo apenas informar ao servidor DNS qual é o NS específico de um site. Assim, a responsabilidade do sistema não está centralizada, garantindo que uma falha num único local não afete os demais usuários.
Por isso, o envenenamento de cache afeta apenas usuários de um determinado DNS, normalmente um grupo de usuários dentro de um provedor. O processo de “tradução” é um pouco complicado e irrelevante, portanto a coluna não irá descrevê-lo em detalhes. Vale dizer, no entanto, que, para otimizar tudo, o DNS usa uma memória temporária chamada cache. Ela serve para que o DNS guarde as informações que obtém, para não ter de repetir o processo inteiro se um mesmo site for acessado dezenas de vezes. Eventualmente essa memória é zerada, para que sites que mudaram de IP, por exemplo, sejam retraduzidos.
Para interferir com a tradução, o criminoso precisa se “disfarçar” de um NS. Ou seja, quando o DNS perguntar a um NS a respeito do IP de um endereço, o criminoso deve responder antes que o NS legítimo faça isso. Por causa da memória temporária (cache) explicada acima, a resposta falsa ficará ativa no DNS por algumas horas, dias ou semanas. Por isso, o ataque se chama Envenenamento de Cache DNS.
Usando uma analogia, imagine que você (“DNS”) está montando uma lista telefônica local (“cache”) e, hipoteticamente, você quer saber qual o número de telefone (“IP”) de uma pessoa de quem você tem apenas o endereço (“www.algumsite...”). O único meio disponível é enviando uma carta (“conexão”). A pessoa (“NS”) então responde a correspondência, informando o número de telefone.
Se alguém outro responder a carta com um número de telefone errado numa correspondência cujo remetente (“IP do NS”) foi falsificado, você não terá como saber que o número está errado e irá usá-lo mesmo assim. Com isso, sua lista telefônica será publicada com um erro até a edição seguinte (“limpeza do cache”), quando os números forem revisados. Durante esse período, todo mundo que usar sua lista para descobrir o número de quem mora naquele endereço estará discando o número informado pelo criminoso.
O DNS foi inventado em 1983, uma época bem diferente para a internet. Sistemas mais recentes usam um protocolo chamado TCP (Transmission Control Protocol), no qual a situação descrita acima ficaria mais complicada. Usando novamente a comparação com os correios, seria o equivalente a enviar uma carta registrada. Porém, o DNS usa o User Datagram Protocol (UDP), o equivalente a uma “carta simples”, sem verificação de entrega ou do remetente. Para evitar que o DNS aceite uma resposta falsa, cada tradução é marcada com um código de conexão, identificado como “Código X” no infográfico. São 65535 possibilidades, no mínimo. Podem ser ainda mais possibilidades se a configuração de “porta aleatória”, como é chamada, estiver ativa, porém nem todos utilizam essa configuração. Houve um grande alarde no ano passado por causa de uma nova maneira de explorar o DNS que dá os criminosos quase que infinitas tentativas, o que significa que as 65535 possibilidades não eram mais suficientes para proteger a conexão. O criminoso precisa conseguir adivinhar qual será o código identificador para plantar sua resposta falsa. Normalmente não é fácil descobrir com exatidão. Isso significa que é preciso enviar várias respostas forjadas, cada uma com um código diferente (X, Y, Z, no infográfico), esperando que um seja o certo, e que ele chegue antes ao DNS que o legítimo. Feito isso, a resposta falsa estará plantada e os internautas serão redirecionados.
Autor: Altieres Rohr - especialista em segurança de computadores e responsável pelo Linha Defensiva. Matéria retirada do G1.
Todos os computadores existentes na internet são identificados com um número chamado de endereço IP. É o Domain Name System (DNS) que consegue “traduzir” algo como “www.globo.com” para um endereço IP, o que facilita muito a localização das páginas na rede, dispensando a necessidade de lembrar e digitar longas sequências numéricas. Infelizmente, é possível interferir com esse processo de “tradução”. Ou seja, um indivíduo mal-intencionado pode fazer com que um endereço na internet seja traduzido para o IP errado. Assim, ele pode fazer com que um determinado endereço leve o internauta para o IP e, portanto, para o computador que ele deseja. Em outras palavras, um malfeitor pode fazer com que o endereço do site de um banco, por exemplo, aponte para um computador que ele mesmo controla. Ele pode criar uma página totalmente diferente, para assustar os usuários. Ou ainda colocar uma página idêntica à original, mas que, como está sob seu controle, rouba os dados que forem colocados nela.
O DNS é um sistema bem distribuído: cada provedor tem sua própria infraestrutura. Normalmente, são usados dois servidores de DNS na conexão com a internet: um principal e um reserva, caso o primeiro esteja lento ou inoperante. Os sites que existem na internet também têm dois ou mais Name Servers (NS) que são responsáveis por informar a cada servidor DNS o endereço IP correto do site. Existem ainda vários NSs operados pelas organizações responsáveis pelo funcionamento dos endereços na internet. Esses servidores têm como objetivo apenas informar ao servidor DNS qual é o NS específico de um site. Assim, a responsabilidade do sistema não está centralizada, garantindo que uma falha num único local não afete os demais usuários.
Por isso, o envenenamento de cache afeta apenas usuários de um determinado DNS, normalmente um grupo de usuários dentro de um provedor. O processo de “tradução” é um pouco complicado e irrelevante, portanto a coluna não irá descrevê-lo em detalhes. Vale dizer, no entanto, que, para otimizar tudo, o DNS usa uma memória temporária chamada cache. Ela serve para que o DNS guarde as informações que obtém, para não ter de repetir o processo inteiro se um mesmo site for acessado dezenas de vezes. Eventualmente essa memória é zerada, para que sites que mudaram de IP, por exemplo, sejam retraduzidos.
Para interferir com a tradução, o criminoso precisa se “disfarçar” de um NS. Ou seja, quando o DNS perguntar a um NS a respeito do IP de um endereço, o criminoso deve responder antes que o NS legítimo faça isso. Por causa da memória temporária (cache) explicada acima, a resposta falsa ficará ativa no DNS por algumas horas, dias ou semanas. Por isso, o ataque se chama Envenenamento de Cache DNS.
Usando uma analogia, imagine que você (“DNS”) está montando uma lista telefônica local (“cache”) e, hipoteticamente, você quer saber qual o número de telefone (“IP”) de uma pessoa de quem você tem apenas o endereço (“www.algumsite...”). O único meio disponível é enviando uma carta (“conexão”). A pessoa (“NS”) então responde a correspondência, informando o número de telefone.
Se alguém outro responder a carta com um número de telefone errado numa correspondência cujo remetente (“IP do NS”) foi falsificado, você não terá como saber que o número está errado e irá usá-lo mesmo assim. Com isso, sua lista telefônica será publicada com um erro até a edição seguinte (“limpeza do cache”), quando os números forem revisados. Durante esse período, todo mundo que usar sua lista para descobrir o número de quem mora naquele endereço estará discando o número informado pelo criminoso.
O DNS foi inventado em 1983, uma época bem diferente para a internet. Sistemas mais recentes usam um protocolo chamado TCP (Transmission Control Protocol), no qual a situação descrita acima ficaria mais complicada. Usando novamente a comparação com os correios, seria o equivalente a enviar uma carta registrada. Porém, o DNS usa o User Datagram Protocol (UDP), o equivalente a uma “carta simples”, sem verificação de entrega ou do remetente. Para evitar que o DNS aceite uma resposta falsa, cada tradução é marcada com um código de conexão, identificado como “Código X” no infográfico. São 65535 possibilidades, no mínimo. Podem ser ainda mais possibilidades se a configuração de “porta aleatória”, como é chamada, estiver ativa, porém nem todos utilizam essa configuração. Houve um grande alarde no ano passado por causa de uma nova maneira de explorar o DNS que dá os criminosos quase que infinitas tentativas, o que significa que as 65535 possibilidades não eram mais suficientes para proteger a conexão. O criminoso precisa conseguir adivinhar qual será o código identificador para plantar sua resposta falsa. Normalmente não é fácil descobrir com exatidão. Isso significa que é preciso enviar várias respostas forjadas, cada uma com um código diferente (X, Y, Z, no infográfico), esperando que um seja o certo, e que ele chegue antes ao DNS que o legítimo. Feito isso, a resposta falsa estará plantada e os internautas serão redirecionados.
Autor: Altieres Rohr - especialista em segurança de computadores e responsável pelo Linha Defensiva. Matéria retirada do G1.
Assinar:
Postagens (Atom)
