Na semana passada, foi noticiado que peritos da NetWitness, uma empresa de segurança especializada em forense computacional, durante atividades de rotina, descobriram uma botnet composta por mais de 75 mil computadores pertencentes a mais de 3 mil organizações ao redor do mundo, incluindo algumas das 500 maiores empresas segundo a Fortune e órgãos do governo norte-americano.

Uma botnet é uma rede formada por computadores contaminados e controlados remotamente por crackers. Sem conhecimento de seus donos, esses computadores passam a executar quaisquer tarefas desejadas pelos malfeitores, como ataques em larga escala, envio de spam, distribuição de pornografia ou roubo de dados.

A botnet descoberta, denominada “Kneber botnet” em decorrência do nome de usuário usado para conexão entre as máquinas, baseia-se no Zbot ou ZeuS, um pacote malicioso existente desde 2007 e comercializado pelos malfeitores em fóruns especializados. Naturalmente perigoso, esse malware atualiza-se periodicamente nas máquinas infectadas, evoluindo constantemente. Na Kneber botnet, sua periculosidade foi potencializada pelo uso concomitante do Waledac, malware conhecido por disseminar spam em redes ponto-a-ponto, possivelmente como forma adicional de contágio.

Fonte: The Wall Street Journal.

Os especialistas identificaram, no período de apenas um mês, mais de 75GiB de dados roubados. São mais de 68 mil credenciais para acesso a contas bancárias, redes sociais (como Facebook, hi5 e Sonico) e e-mails (como Yahoo! e Hotmail). Também foram roubados cerca de 2 mil certificados digitais, além de verdadeiros dossiês dos proprietários das máquinas contaminadas.

A variante do ZeuS usada no ataque explora falhas de segurança em programas como Internet Explorer, Mozilla Firefox, Adobe Flash e Adobe Reader, e, até o momento, não é detectada pela maioria dos antivírus existentes. Contudo, restringe-se apenas a sistemas operacionais da família Windows, especialmente Windows XP e Windows Vista (mais uma vez, ponto para os usuários Linux).

Segundo o Amit Yoran, presidente da NetWitness, a proteção convencional contra malware e detecção com base em assinatura de sistemas são, por definição, inadequados para identificação do Kneber ou outras ameaças mais avançadas.

Ou seja, como afirmei anteriormente, os usuários precisam deixar de confiar cegamente no seu software antivírus e, entre outras coisas:

• usar sistemas operacionais e programas atualizados (muito difícil com cópias piratas);
• evitar sites suspeitos;
• observar com atenção antes de clicar em links na web;
• verificar a procedência das mensagens de e-mail; e
• evitar abrir anexos de e-mail.

Eu te disse! Eu te disse!

Para aqueles que desejarem uma leitura mais aprofundada, recomendo os artigos originais:

• The “Kneber” BotNet – A ZeuS Discovery and Analysis;
• Zeus: King of the Bots; e
• The ZeuS, ZBOT and Kneber Connection.

Atualização em 26/02/2010: acrescentado link para o Perguntas e respostas da Trendmicro.

Há alguns meses, o plugin do Adobe Flash continha uma vulnerabilidade grave. Segundo o último boletim de segurança, essa e outras onze vulnerabilidades foram corrigidas com a versão 10.0.32.18, liberada no último dia 30 de julho.

Depois de duas semanas, creio que maioria dos usuários já atualizou o seu plugin. Mas, para ter certeza, acesse a página que verifica as informações da sua instalação.

Uso o Ubuntu 9.04 e, curiosamente, alguns arquivos do Flash haviam sido atualizados mas o plugin, não. Se esse for o seu caso, basta baixar o arquivo .deb para Ubuntu 8.04 ou superior, através da Central de Downloads Adobe ou por esse link direto.

Eu gosto do formato PDF e aconselho a todos que o usem. Eu mesmo o usei por muito tempo (e pretendo voltar a usar logo) aqui no site. Isso porque esse formato, entre outras coisas:

• mantém a formatação do texto digitado, independente do equipamento em que é lido;
• se necessário, impede a cópia e a impressão do texto;
• possui uma grande variedade de bons leitores, em sua maioria, gratuitos; e
• é menos vulnerável a malwares, como os vírus de macro que ameaçam os usuários do Microsoft Office.

Acontece que, talvez para enfrentar a concorrência, a Adobe vem implementando funcionalidades no formato PDF e, em conseqüência, aparecendo nos relatórios de segurança.

Dessa vez, é uma vulnerabilidade no Flash. O curioso é que, segundo especialistas em segurança, a vulnerabilidade já é conhecida há sete meses e a Adobe só começou a “se mexer” depois que os ataques se intensificaram. Segundo o comunicado oficial da Adobe, uma correção estará disponível até o fim do mês. Enquanto isto, as recomendações são:

• desabilitar a execução de conteúdo flash no seu navegador (se precisar de ajuda, veja essas orientações da US-Cert); e
• desabilitar o suporte a conteúdo flash no Adobe Reader (excluindo os arquivos authplay.dll e rt3d.dll, no Windows e os arquivos libauthplay.so e librt3d.so no Linux);

O formato PDF ainda é menos vulnerável que os documentos do MS-Office, mas é bom tomar cuidado com os sites e os arquivos acessados.

A boa notícia é que eu uso o Evince (leitor PDF padrão no Ubuntu) e o plugin do Flash 10 no meu Jaunty e os arquivos listados acima não estão no meu sistema. Sendo assim, usuários Linux não devem se descuidar, mas podem ficar mais tranqüilos.

E quanto aos usuários da plataforma Windows? Não sei dizer se o plugin do Flash 10 instala esses dois arquivos ou se há mais arquivos para excluir, mas quanto ao Adobe Reader, há várias alternativas. Recomendo o Foxit Reader.