Publicado em Sábado - 20 de Janeiro de 2007 | por Luiz Celso

Ataques aos antivírus Symantec aumentam

Os ataques worm direcionados aos programas Symantec Client Security e Symantec AntiVirus Corporate Edition já são antigos, no entanto estão se intensificando cada vez mais.

Através destas ofensivas, hackers são capazes de ganhar o controle dos computadores de suas vítimas e, assim, realizar ataques a servidores, ou ainda enviar spam, entre outras atividades ilegais. Os usuários finais do pacote Norton, no entanto, podem ficar tranqüilos já que não são afetados, conforme noticiou o site ZDNet.

Para Vincent Weafer, diretor sênior do departamento Security Response, da Symantec, o que está sendo visto hoje é relacionado a novas variantes do Spybot. Tivemos algumas versões do Spybot que não foram a lugar algum, mas estas encontraram uma maneira de se propagar de modo mais eficiente, explicou.

Embora seja um worm antigo, datado de 2003, algumas variantes do Spybot que atingiam especificamente uma falha em ferramentas de segurança da Symantec foram descobertas em novembro de 2006. Quando instaladas em um PC, abriam uma porta no sistema, através da qual se conectavam a um servidor IRC (Internet Relay Chat), por onde poderiam ser controladas remotamente por um hacker.

Em dezembro, uma outra praga conhecida como Sagevo, ou Big Yellow, foi descoberta. Tanto esta, quanto sua variante foram neutralizadas, porém o caso Spybot continua perigoso. Os ataques vêm aumentando desde o dia 20 de dezembro, com um aumento proporcional de atividade na porta 2967, utilizada pelos softwares vulneráveis.

Uma correção para a falha já existe desde 25 de maio de 2006, mas aparentemente os usuários não se deram conta de que é necessário baixar as atualizações a partir do site da empresa, já que a Symantec não faz atualização automática em produtos corporativos. De acordo com Weafer, uma correção de segurança é diferente da atualização das definições, que são automaticamente enviadas tanto para os consumidores finais quanto para os corporativos.

Segundo o site The Register, a Symantec está reavaliando o sistema de atualização de suas ferramentas corporativas. A companhia planeja lançar ainda hoje, dia 17 de janeiro, uma atualização do mecanismo de busca criada para detectar melhor o Spybot, que será enviada automaticamente a todos os usuários.
Leia mais...

PF: denúncias de pedofilia e notícias de operações são golpes virtuais

Publicado em Sábado - 20 de Janeiro de 2007 | por Luiz Celso

A Polícia Federal voltou a alertar os internautas na quinta-feira (18/01) que estão sendo enviadas mensagens eletrônicas falsas em nome do órgão nas últimas semanas.

Segundo o comunicado da PF, os e-mails falsos usam imagens do site do DPF para simular denúncias de pedofilia e notícias referentes a operações.

“É importante informar que a PF não envia mensagens eletrônicas para apuração de denúncias”, reiterou o órgão, que já alertou anteriormente para golpes em seu nome na web.

O único contato com a Polícia Federal por e-mail é pelo endereço da Divisão de Comunicação Social (dcs@dpf.gov.br), que pode ser usado para envio de dúvidas, reclamações e sugestões, diz o documento.

Ao receber o e-mail suspeito, os usuário deve apagá-lo imediatamente para evitar a instalação de arquivos maliciosos no computador, alerta a PF.
Leia mais...

Empresas de segurança se preparam para lançamento do Windows Vista

Publicado em Quinta - 18 de Janeiro de 2007 | por Luiz Celso

Tradicionais fabricantes de softwares de segurança preparam soluções para novo sistema operacional, que virá sem antivírus.

A Central de Segurança do Windows Vista vem com todas as categorias de defesa do micro ativadas e funcionando com soluções da própria Microsoft, com exceção de uma: o antivírus.

Para não deixar seu novo sistema operacional ser inundado por worms, vírus e malwares, o IDG Now! listou as conhecidas linhas de aplicativos de segurança que terão versão compatível com o Vista logo no seu lançamento.
Leia mais...

Novo golpe combina e-mail e telefone

Publicado em Quarta - 17 de Janeiro de 2007 | por Luiz Celso

Como muita gente já desconfia das promessas feitas por e-mail nos golpes de phishing scam, criminosos no Reino Unido começam a adotar uma estratégia casada para iludir suas vítimas. Segundo a empresa de segurança Sophos, as promessas de prêmios na loteria, por exemplo, chegam por correio eletrônico acompanhadas de números de telefones para confirmação dos dados.

A vítima liga e é atendida por uma pessoa que confirma “o prêmio” e pede uma série de informações, como nome completo e número da conta bancária. O criminoso também solicita cópia de documento de identidade, entre outros, que podem ser usados em vários crimes.

De acordo com a Sophos, os criminosos utilizam basicamente números 070, que parecem de telefones britânicos, mas que costumam ser redirecionados para telefones em outros países. A conta também é paga por quem liga. Não há registro dessa estratégia casada no Brasil, mas é sempre bom ficar de olho.
Leia mais...

Número de incidentes na web brasileira cresce 191% em 2006, diz Cert.Br

Publicado em Terça - 16 de Janeiro de 2007 | por Luiz Celso

O número de incidentes de segurança verificados na internet brasileira atingiu 197 mil durante 2006, quase três vezes mais que as cerca de 68 mil registrados em 2005.

Segundo balanço divulgado nesta terça-feira (16/01) pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), os worms puxaram o aumento das pragas gerais, atingindo 109.676 notificações, crescimento de 532% em comparação ao ano anterior.

O gigantesco crescimento referente a 2006 reverte a tendência de queda demonstrada nos dois anos anteriores - a comparação entre 2004 e 2005 indica que o número de incidentes caiu 11%, segundo os dados do Cert.Br.

Com menos índice de crescimento, as tentativas de fraudes onlines saltaram para 41.776 notificações durante o ano, acréscimo de 53% em comparação às 27.292 computadas em 2005.

Mesmo assim, o Cert.Br esclarece que tentativas de roubos online cresceram 52% em comparação com o terceiro trimestre do ano passado.

Klaus Steding-Jessen, analista do CERT.br, chama atenção para os aumentos nas invasões de sites que usem o protoclo PHP, assim como a serviços Virtual Network Computing (VNC), que atingiu o ápice de ataques maliciosos no último trimestre.

Já ataques contra serviços de Secure Shell mantêm posição de destaque no ranking da Cert.Br, liderando tentativas de invasões na internet brasileira durante os três primeiros trimestres de 2006.

Vale lembrar que os balanços trimestrais do Cert.Br levam em conta notificações feitas por usuários selecionados e provedores de ataques e infecções de malwares na internet brasileira, o que torna limitada a amostra da pesquisa.
Leia mais...

Fraude diz que internauta está na mira de assassino

Publicado em Sábado - 13 de Janeiro de 2007 | por Luiz Celso

A Sophos divulgou nesta quarta-feira (11/1) um alerta sobre uma mensagem fraudulenta que diz ter sido enviada por um assassino profissional contratado para matar o recipiente.

O “assassino” afirma ter recebido 50 mil dólares para cometer o crime, mas, após observar o alvo (o internauta) durante 10 dias, constatou que ele é inocente das acusações feitas por quem contratou o serviço. Para que a vítima saiba quem planejou seu assassinato, o criminoso pede um pagamento inicial de 20 mil dólares para que ele possa providenciar provas em vídeo do esquema.

Mensagens como essa são definidas pelo termo scam (fraude). Entre os scams mais comuns está o “nigeriano”, onde o criminoso diz que possui uma quantia em dinheiro alta trancada em algum banco e que necessita de ajuda para liberar os fundos. Caso o internauta envie o dinheiro necessário para a liberação ao criminoso, este retorna dizendo novos pagamentos são necessários, seja para pagar propina a oficiais do governo ou qualquer outro motivo inventado pelo “scammer”.

O golpe descoberto pela Sophos é parecido, mas ao invés de utilizar a ganância, usa o medo e a incerteza. O e-mail falso afirma que o internauta “não deve encaminhar a mensagem ao FBI, porque [o assassino] irá saber” e isso irá forçá-lo “a fazer o que ele foi pago para fazer”. A mensagem afirma que, após o pagamento inicial de 20 mil, outro pagamento de 80 mil será necessário para que o assassino produza provas em vídeo da contratação do serviço.

Todas as ameaças feitas no e-mail são falsas. De acordo com o FBI, e-mails semelhantes circularam também na metade de 2006. Caso um e-mail com ameaças contenha seus dados pessoais (como nome completo e endereço), o FBI aconselha que a polícia seja contactada.

A Sophos informa que o criminoso busca conseguir, além do dinheiro, dados pessoais da vítima, que podem ser usados para roubo de identidade. A Sophos recomenda que internautas não respondam mensagens desse tipo, pois é o retorno recebido pelos golpistas que os incentiva a criar novos e-mails para enganar os usuários da web.

Em outubro de 2005, scammers nigerianos “ganharam” o Prêmio IgNobel de Literatura pela criatividade envolvida na criação dos diversos enredos e tramas utilizados em suas mensagens fraudulentas.
Leia mais...

Bankers brasileiros exploram brechas de segurança

Publicado em Quinta - 11 de Janeiro de 2007 | por Luiz Celso

Criminosos virtuais brasileiros começaram a utilizar brechas de segurança presentes no Internet Explorer para aumentar o número de vítimas dos cavalos de tróia Banker. Estes cavalos de tróia roubam senhas de acesso usadas em Internet Banking e dados e números de cartões de crédito em lojas online. A técnica de infecção usando falhas de segurança é uma evolução se comparada com os métodos utilizados anteriormente, pois dificulta a identificação dos links maliciosos.

Muitas matérias sobre segurança na rede sugerem que o internauta verifique o endereço do link em mensagens de e-mail e veja se ele aponta para um arquivo terminado em .scr, .pif ou .exe. Arquivos com essas extensões caracterizam arquivos executáveis que podem conter vírus, portanto devem ser evitadas. Porém, observar o link somente o protegerá contra os ataques mais simples que, até recentemente, eram a regra em golpes de origem brasileira.

Alguns golpes já usam redirecionamentos para confundir o usuário, como o recente e-mail fraudulento que prometeu vídeos do enforcamento de Saddam. O link na mensagem aponta para um arquivo .avi (de vídeo), mas, ao clicar, o usuário é redirecionado para um arquivo .scr. O usuário ainda vê uma janela de download e tem a chance de cancelar a operação de download da praga digital.

Os golpes mais avançados da Internet brasileira que circulam atualmente, no entanto, tiram proveito de uma das diversas falhas presentes no Microsoft Internet Explorer. Qualquer link, independente de sua extensão, pode conter um código que tira proveito de uma brecha no navegador e instala um vírus no sistema. Não é necessário que o usuário autorize a execução ou o download de um programa — a infecção ocorre automaticamente.

Caso o usuário visite um site malicioso com o Internet Explorer sem as atualizações de segurança, basta acessar o site para ser infectado, nenhum download ou confirmação é necessária. Apesar de existirem falhas que afetam também os navegadores Firefox e Opera, a Linha Defensiva ainda não observou nenhum site malicioso que se utiliza dela para instalar pragas brasileiras.

O código malicioso usado pelos criminosos brasileiros é o JS.ADODB.Stream. Ele explora uma falha presente no Microsoft Data Access Components, que é instalado por padrão no Windows XP. A vulnerabilidade possibilita que um site possa executar um arquivo automaticamente, sem que o usuário tenha de baixá-lo manualmente. Basta acessar uma página maliciosa para que a falha seja explorada e Bankers sejam baixados e instalados no PC da vítima, sem que esta perceba.

A brecha utilizada é de fácil exploração e talvez por isso tenha se popularizado entre os criminosos. Existem falhas mais novas que também possibilitam a instalação de vírus, mas são mais difíceis de serem exploradas.

A Linha Defensiva constatou que os criminosos brasileiros não desenvolveram o código que explora a falha, mas copiaram um código pronto facilmente obtido na Internet. Como conseqüência, alguns antivírus conseguem detectar a tentativa de exploração da falha, porém algumas páginas maliciosas empregaram técnicas simples para esconder o código para escapar da detecção dos softwares de segurança.
Proteja-se

Para se proteger, basta baixar uma atualização diretamente do site da Microsoft, conforme seu sistema operacional:

http://www.microsoft.com/brasil/technet/security/bulletin/ms06-014.mspx

A Linha Defensiva sugere que os internautas atualizem seu sistema operacional sempre que novas atualizações forem disponibilizadas. A Microsoft lança atualizações sempre na segunda terça-feira de cada mês. As atualizações de janeiro de 2007 já foram publicadas e uma delas afeta o Internet Explorer e possibilita que ataques semelhantes ao descrito nesta matéria sejam efetuados.

Quando percebem que antigas técnicas de infecção não mais retornam os resultados esperados, criminosos virtuais procuram novas formas para enganar os usuários. O uso de falhas de segurança consegue aumentar o número de vítimas.

No Brasil, onde muitas pessoas usam software pirata, usuários não atualizam o sistema operacional devido aos programas antipirataria da Microsoft. Apesar de facilmente burlados por usuários mais experientes, alguns usuários mais leigos simplesmente não atualizam o sistema para não ter problemas com avisos sobre software falsificado.
Leia mais...

Brecha em laptops da Acer permite instalação de vírus

Publicado em Quarta - 10 de Janeiro de 2007 | por Luiz Celso

Uma vulnerabilidade em laptops da Acer, conhecida desde novembro de 2006, foi encontrada na ativa em um site malicioso. O site tenta instalar a praga digital conhecida como Gromozon e é direcionado principalmente a usuários italianos. A Acer é a empresa que mais vende notebooks na Itália.

A brecha se encontra em um componente ActiveX chamado LunchApp.APlunch que acompanha os portáteis da Acer. Explorar a falha não é complicado, pois o componente possui uma função específica apenas para executar programas. Isso significa que qualquer site pode, com poucas linhas de comando, executar qualquer programa presente no computador.

A falha está no fato de que o componente pode ser chamado por websites, quando isso não deveria ser permitido. O arquivo responsável pelo ActiveX possui a data de “Modificado em” como novembro de 1998, o que significa que o componente falho pode estar incluso em notebooks da Acer há vários anos.

Como o LunchApp.APlunch não permite executar um programa presente em um website, os criminosos virtuais estão executando um programa já presente no Windows para baixar a praga digital para o sistema. Após baixada, ela é executada e o sistema é infectado. Tanto o programa do Windows responsável por fazer o download da praga (tftp.exe) quanto a praga em si são executados acionando-se o controle ActiveX da Acer.

Somente o Internet Explorer é compatível com controles ActiveX, então a vulnerabilidade não pode ser usada para infectar usuários de Firefox ou Opera. O Internet Explorer 7 não executa o controle automaticamente e pede autorização do usuário. De acordo com o Internet Storm Center, o Internet Explorer 6 rodando no Windows XP SP2 também pede autorização.

Apesar dos ataques atuais serem direcionados a usuários italianos, a facilidade com que se pode tirar proveito da falha pode torná-la popular em outros sites maliciosos que utilizam brechas de segurança para infectar usuários.
Você está vulnerável?

Caso você utilize um notebook da Acer, visite a página da web abaixo:

http://linhadefensiva.uol.com.br/avs/research/xpl/acer-lunchapp.html

Se a calculadora do Windows for executada, você está vulnerável. Este teste é de autoria do pesquisador responsável pelo descobrimento do problema. A Linha Defensiva garante sua segurança, mas não pôde testar sua eficácia.

A Acer ainda não lançou uma correção para o problema, porém é possível configurar um killbit para desativar o controle da Acer. Veja o documento da Microsoft sobre como fazer isso.
Leia mais...

Falha no Adobe Reader permite ataques de XSS

Publicado em Sexta - 05 de Janeiro de 2007 | por Luiz Celso

Uma nova falha envolvendo links para documentos PDF foi confirmada pela Symantec na última quarta-feira (3/12) e pela WebSense ontem (4/12). A brecha, que afeta principalmente o Firefox, permite que Javascript seja executado no contexto de qualquer site que esteja hospedando um arquivo PDF. Com a possibilidade da execução de Javascript, a vulnerabilidade poderia ser usada de várias formas, mas não é capaz de instalar um vírus no sistema.

Análises iniciais apontaram que o problema estava limitado ao Firefox, porém em testes posteriores verificou-se que o Internet Explorer 6 rodando o Adobe Reader 7 em um Windows XP SP1 ou com Adobe Reader 4 em Windows XP SP2, pode ser explorado da mesma forma, de acordo com a Symantec. Ataques do tipo Cross-site Scripting (XSS) são facilitados pela brecha.

A peça central da falha é o plugin do Adobe PDF incorporado aos navegadores. O plugin existe para facilitar a vida do usuário, pois permite que um PDF seja aberto na tela do navegador quando um link para um arquivo PDF for clicado. O plugin aceita certos parâmetros, tal como o nível de zoom que será usado no documento, porém é possível colocar código Javascript em um parâmetro personalizado.

O link abaixo é um exemplo inofensivo:
www.google.com/librariancenter/downloads/Tips_Tricks_85×11.pdf

Se seu sistema estiver vulnerável, você verá um caixa de texto com o conteúdo ‘xss’ ao clicar no link acima.

Apesar de que links maliciosos usando a falha podem ser facilmente identificados, sites de redirecionamento de URLs podem ser usados para esconder o link verdadeiro, tornando o alcance de um ataque muito maior.

A gravidade dessa falha se encontra no fato de que um site não precisa possuir qualquer vulnerabilidade em seu sistema para que criminosos possam executar códigos Javascript no contexto daquele site. É possível roubar cookies, dados e até forçar postagens. Note que, caso o usuário visite um site malicioso, este pode simplesmente carregar o PDF automaticamente, sem necessidade de outra ação do usuário.
Como se proteger

1. Atualize sua versão do Adobe Reader. A versão 8.0 não é afetada por essa falha.
2. Utilize um leitor de documentos PDF alternativo, como o Foxit Reader, que não é afetado pela falha (note que é preciso desinstalar o Adobe Reader).
3. Desabilite o plugin do Adobe Reader em seu navegador. Ao tentar acessar um documento PDF, ao invés deste ser aberto no navegador, lhe será oferecido o download do documento.
Leia mais...

Site une oito medidores de ameaça à segurança virtual

Publicado em Quarta - 03 de Janeiro de 2007 | por Luiz Celso

A CERTStation lançou o Threat Level Agreggator, um agregador em tempo real dos medidores de ameaça à segurança virtual que une produtos de diferentes firmas em uma só página.

De acordo com o site The Register, são oito medidores ao todo, em um Flash atualizado a cada minuto, que inclui previsões de empresas como Symantec, SANS, ISS, McAfee, TrendMicro, CA SECCON e F-Secure, além da própria CERTStation, que normalmente não entram em um acordo entre si, e mostram avaliações diferenciadas da situação atual na web.

Com um clique sobre as avaliações é possível ver o endereço oficial do medidor e, assim, ter acesso às explicações de cada nível e, algumas vezes, a um sumário dos fatos que levaram a uma alta ou baixa no nível.

No site também é possível ver uma lista com vulnerabilidades encontradas por produtos, a cada semana, além de um feed RSS com as últimas notícias de segurança, o que o transforma em uma ferramenta muito mais interessante para aqueles que desejam estar por dentro dos últimos assuntos de segurança.

O serviço pode ser acessado através do endereço http://www.certstation.com/
Leia mais...