Hoje é o último dia do ano, estou me preparando para o réveillon e preferia não postar nada mais sério do que uma bonita mensagem de feliz ano-novo. Infelizmente, parece que scammers não descansam… E não deixam ninguém descansar!

Recentemente, tem havido um aumento no número de mensagens de phishing. Muitas são as costumeiras mensagens de instituições bancárias mas, creio eu, a maioria das pessoas aprendeu a ignorá-las.

A novidade agora são falsas mensagens de programas de fidelidade, de milhas aéreas a cartões de crédito… Pelo menos desde 2004 malfeitores tentam roubar milhas aéreas por e-mail aqui no Brasil. Mas essa nova geração de mensagens é mais rebuscada, mais difícil de detectar!

Essa semana, recebi quatro mensagens falsas, três da TAM e uma da Cielo (máquinas de cartões de crédito). Vou reproduzi-las a seguir, apontando os detalhes que servem como indícios (destacados nas reproduções das mensagens).

Primeira mensagem (TAM)

A primeira mensagem trouxe poucos erros de português e seguiu o padrão da maioria das mensagens de propaganda atualmente, usando imagens, e trazendo inclusive a instrução Se você não conseguir visualizar esta mensagem, Clique aqui! antes da imagem:

De: TAM FIDELIDADE <atendimento[@]tam[.]com[.]br>
Para: Recipients <atendimento[@]tam[.]com[.]br>
Assunto: Cadastre-se na Promocao Milhas de Viagens TAM Fidelidade

  

Observei as áreas em destaque

Devem chamar a atenção:

• o remetente em letras maiúsculas;
• o endereço do destinatário (normalmente é um endereço no padrão “noreply@...“);
• o assunto escrito errado (promoção sem cedilha ou acento);
• a instrução no corpo da mensagem, continha uma letra maiúscula no meio da frase (Clique aqui);
• os cantos da imagem presente no e-mail, fora de padrão;
• o link presente no e-mail apontava para o domínio milha21.com, diferente dos domínios da TAM; e
• os campos solicitando endereço e senha do e-mail.

Se você só desconfiou quando viu o campo solicitando endereço e senha do e-mail, arriscou-se demais! É interessante observar que os dados completos do cabeçalho do e-mail traziam o seguinte aviso: domain of tam.com.br does not designate 210.14.81.209 as permitted sender, confirmando que endereço do remetente era falsificado. Aliás, o endereço IP localiza-se fora do Brasil…

Segunda mensagem (TAM)

Esta mensagem, também trouxe a instrução comum em mensagens gráficas, orientando o destinatário a clicar seguir um determinado link caso não visse a mensagem corretamente:

De: "promocao[@]tam[.]com[.]br" <promocao[@]tam[.]com[.]br>
Para: promocao[@]tam[.]com[.]br
Assunto: MEGA PROMO TAM FIDELIDADE: Inscreva-se e obtenha 100 Mil Pontos!

Observei as áreas em destaque

Devem chamar a atenção:

• o remetente exibindo o endereço diretamente;
• o endereço do destinatário (normalmente é um endereço no padrão “noreply@...“);
• o assunto escrito em maiúsculas;
• o botão de cadastramento que parece ter sido “colado” na mensagem;
• a formatação do texto na imagem (espaçamento ruim, texto com visualização ruim, etc.);
• os erros de português, especialmente concordância, existentes na mensagem; e
• os links apontando para um endereço IP (http://208.64.128.20/images/tam2.html – também fora do Brasil).

Os dados completos do cabeçalho do e-mail também traziam o aviso: domain of tam.com.br does not designate 74.220.193.181 as permitted sender, confirmando que endereço do remetente era falsificado. Mais uma vez, o endereço IP localiza-se fora do Brasil…

Terceira mensagem (TAM)

Desta vez, a mensagem não trouxe a costumeira instrução para visualização. Em compensação, disfarçou-se como uma mensagem que respeitava o direito do usuário de evitar spam.

De: TAM <starairlines[@]tam[.]com[.]br>
Assunto: promoção Milhas de Viagens TAM Fidelidade.

Observei as áreas em destaque

Devem chamar a atenção:

• o assunto iniciando com letra minúscula;
• alguns erros de português, começando com o acento em Ola Cliente;
• algumas contradições, por exemplo, saúda o destinatário como “cliente fidelidade”, para pouco depois supor que ele não cliente fidelidade; e
• os links apontando para o domínio elvinsantiago.com, diferente dos domínios da TAM.

Mais uma vez, os dados completos do cabeçalho do e-mail traziam o aviso: domain of cl-t229-141cl.privatedns.com does not designate permitted sender hosts, confirmando que endereço do remetente era falsificado. Dessa vez, a mensagem nem se referia ao domínio da TAM…

Quarta mensagem (Cielo)

Desta vez, a mensagem não trouxe a costumeira instrução para visualização nem se disfarçou de uma mensagem que respeitava o direito do usuário de evitar spam.

De: Reveillon 2012 Cielo <comunicado[@]cielo[.]com[.]br>
Assunto: Participe Agora é Gratuito.

Observei as áreas em destaque

Devem chamar a atenção:

• o assunto contendo letra minúscula no meio da frase;
• alguns erros de português, como frases começando com letra minúscula;
• alguns detalhes estranhos, como o sorteio em “15 de outubro” (de que ano?);
• o link aponta para o endereço de um encurtador de domínio (zip.net); e
• o endereço real aponta para o domínio vemcadastrar.com, não relacionado com a Cielo.

Os dados completos do cabeçalho do e-mail informavam o endereço de retorno como trampatam07[@]trampatam07[.]vpslink[.]com, não relacionado com a Cielo ou com a própria promoção. Além disso, mais uma vez trazia o aviso de domínio não permitido: domain of trampatam07.vpslink.com does not designate permitted sender hosts. Outra vez, um domínio completamente diferente do verdadeiro…

É chato encerrar o ano com uma mensagem dessas, mas alguém precisa fazê-lo… Independentemente disso, um feliz 2012!

Atualização: Por alguma razão, a parte final do post (relativa ao suposto e-mail da Cielo), não saiu originalmente. Peço desculpas, já está corrigido.

Como de costume, a tragédia ocorrida na Escola Municipal Tasso da Silveira, no último dia 7, está sendo explorada de todas as formas, especialmente pela mídia.

Acontece que, ao contrário da mídia, que pelo menos tem a justificativa de informar as pessoas, certas coisas não têm desculpa: menos de uma semana depois do massacre, já circula na internet uma mensagem que supostamente divulga uma carta deixada pelo atirador. Na verdade, ela traz o link para um arquivo que contamina a máquina do internauta.

Que os golpistas não costumam ter ética, não é novidade, basta ver como se aproveitaram dos desastres dos vôos Gol 1907 e do TAM 3054. Mas um e-mail que tenta contaminar as máquinas de internautas explorando a trágica morte de doze crianças em sala de aula, ocorrida há poucos dias, é o cúmulo!

Mas, voltando ao assunto, reproduzo o e-mail como aviso para os “incautos”:

Remetente: <globo@mail.com>
Assunto: Carta deixada por atirador divulgada
Conteúdo do e-mail:

Prestando atenção, é fácil concluir que se trata de um e-mail falso:

1. não foi solicitado o envio de e-mails ao suposto remetente (Globo.com);
2. logo na primeira linha há uma estranha referência a Ivete Sangalo;
3. no texto após as fotos, há vários erros de formatação e de pontuação;
4. o e-mail está mal formatado, incomum em e-mails institucionais, que prezam a apresentação; e
5. o link “VEJA AQUI” leva a um arquivo executável (.EXE) para download.

Enviei o arquivo executável para o serviço VirusTotal e 15 antivírus o identificaram como uma ameaça (malware):

Cuidado com os cliques! Afinal, como diz o ditado: a curiosidade matou o gato…

Tenho usado o Linux há quase cinco anos e estou muito satisfeito. Uma das razões para minha satisfação é que o Linux é um sistema operacional bastante seguro: nas principais distribuições (como Fedora, openSuse, Debian, Mandriva, Slackware e Ubuntu, por exemplo), as configurações de fábrica já provêm um nível de segurança aceitável.

Não digo que o Linux seja imune a ameaças como alguns afirmam por aí; nenhum sistema operacional é. Mas, em muitos casos, alguns cuidados simples por parte do usuário dão uma certa tranquilidade quanto a vírus, cavalos de tróia e outros malwares existentes. Como por exemplo: não usar a conta de administrador rotineiramente, apenas executar programas e scripts obtidos de fontes seguras, manter o sistema atualizado e ler com atenção as mensagens do sistema antes de clicar no botão “OK”.

Entretanto, relembrando meu tempo de usuário Windows e, como forma de auxiliar aqueles que ainda usam esse sistema operacional, apresento a classificação das principais ferramentas de segurança segundo o instituto de pesquisa alemão AV-Test.

As ferramentas foram avaliadas em três critérios: proteção (detecção de ameaças), correção (correção ou eliminação da ameaça) e usabilidade (número de falsos-positivos e impacto no desempenho do computador), podendo atingir um total de 18 pontos.

O instituto analisou apenas as versões pagas de cada produto, mas o trabalho permite estimar o desempenho de alguns antivírus gratuitos como AVG, Bit Defender, Microsoft Security Essentials, Avira, PC Tools e avast!.

As páginas a seguir trazem a classificação em ordem decrescente de desempenho, com a pontuação em cada critério e um link para a análise detalhada de cada produto.

Quem desejar mais detalhes, como a classificação de antivírus para o Windows Vista, ainda não concluída quando da publicação deste post, pode obtê-los diretamente no site do instituto.

De forma geral, produtos tradicionais como Panda, Symantec e Kaspersky obtiveram bons resultados. Porém, dois concorrentes me surpreenderam: avast! e McAfee, que tiveram resultados bem baixos, na minha opinião

Aliás, o site da AV-Comparatives, uma organização austríaca sem fins lucrativos, contém outros comparativos de ferramentas antivírus, aparentemente mais detalhados. Os comparativos austríacos levam em consideração a versão gratuita do avast! e lhe dão resultados bem mais favoráveis. É algo para ser analisado com cuidado, mas em outro momento, com mais tempo…

Os crackers não perdem tempo! A vulnerabilidade no tratamento de atalhos (arquivos .lnk) do Windows, oficialmente denominada CVE-2010-2568, já começou a ser explorada por pelo menos dois malwares, segundo pesquisadores da empresa de segurança ESET.

O primeiro caso, denominado por eles Win32/TrojanDownloader.Chymine.A, menos sofisticado, explora a vulnerabilidade para instalar um keylogger. Aparentemente, sua propagação é feita por outro método.

Por outro lado, o segundo caso é mais perigoso. Trata-se de uma praga já conhecida, denominada Win32/Autorun.VB.RP, atualizada para criar atalhos explorando a nova vulnerabilidade como vetor adicional de propagação mais uma forma de contaminar computadores.

Apesar de ainda serem poucos os casos reais, especialistas esperam inúmeros malware explorando essa falha nos próximos meses.

A Microsoft afirma que está trabalhando no problema mas, até o momento, publicou apenas uma solução temporária para a vulnerabilidade. Espera-se que uma correção definitiva seja divulgada na próxima Terça-feira de Atualizações, no dia 10 de agosto.

Atualização: A falha foi mais grave do que o esperado, obrigando a Microsoft a antecipar a correção, no Boletim de Segurança da Microsoft MS10-046 – Crítica, que abrange todas as versões suportadas do Windows (Windows XP SP3 e posteriores). Os usuários que ativaram as atualizações automáticas do Windows não precisarão tomar nenhuma providência porque a atualização será instalada automaticamente. Os demais, devem instalá-la manualmente o mais rápido possível.

Há alguns meses, fiquei feliz em descobrir o Panda USB Vaccine, uma ferramenta contra vírus em pendrives.

Na época, a maior ameaça era o sistema de reprodução automática do Windows, usado pelos vírus para se instalar no computador sem o conhecimento do usuário. O utilitário da Panda, substituía o arquivo autorun.inf por uma versão inócua e impedia que sofresse alterações futuras. Dessa forma, o pendrive ficava imune a contaminações futuras. Para terminar, desabilitava a execução automática no equipamento.

O Panda USB Vaccine ainda existe, e funciona muito bem, obrigado. Mas já não deixa os usuários Windows tão tranquilos quanto antigamente, porque recentemente foi descoberta uma via de contaminação por meio de pendrives sem usar a reprodução automática.

Segundo os especialistas, uma vulnerabilidade no Windows, permite que este, ao exibir os ícones dos arquivos presentes num pendrive, execute instruções maliciosas contidas em um atalho (um arquivo com extensão .lnk) preparado com esse fim. O malware capaz de explorar essa falha, até o momento, instala os arquivos mrxnet.sys e mrxcls.sys e tenta ocultar sua presença tanto do usuário quanto das ferramentas de segurança instaladas. Ainda não há certeza quanto ao objetivo dessa infecção, mas não deve ser bem-intencionada.

A Microsoft reconheceu que todas as versões do Windows são afetadas pelo problema no Recomendação de Segurança nº 2286198, mas ainda não definiu data para sua solução. Provavelmente será corrigido no próximo ciclo de atualizações, dia 10 de agosto. Mas, até lá, recomenda duas “soluções de contorno“, ambas com efeitos colaterais:

• desabilitar a exibição de ícones para atalhos, fazendo com que todos os atalhos “percam” seus ícones; ou
• desabilitar o serviço WebClient, impactando nos serviços de rede, especialmente aqueles voltados para a internet.

Então, atenção redobrada com pendrives pelos próximos 22 dias e torçamos que, na próxima Terça-feira de Atualizações, o problema seja resolvido.

Para mais detalhes, sugiro a leitura dos seguintes posts:

• Novo malware para Windows 7 – arquivos de atalho;
• Vulnerabilidade de arquivos de atalho (.lnk) é confirmada pela Microsoft, e não é exclusiva do Windows 7; e
• Experts Warn of New Windows Shortcut Flaw.

A botnet ZeuS, depois de contaminar milhares de máquinas ao redor do planeta, inovou mais uma vez: as máquinas contaminadas estão exibindo telas falsas da Visa e da Mastercard para capturar dados sigilosos dos usuários.

O Verified by Visa e o Mastercard SecureCode são programas legítimos, criados pelas operadoras para aumentar a segurança dos seus clientes nas transações comerciais eletrônicas. Eles solicitam aos usuários algumas informações extras como medida de segurança adicional.

O problema é que o botnet ZeuS, controlado remotamente por criminosos, aguarda até que a vítima acesse um banco ou instituição financeira na lista dos alvos e utiliza várias técnicas para roubar credenciais ou executar transferências bancárias não autorizadas. Na maioria das vezes, ele exibe uma falsa tela de inscrição nos programas da Visa e da Mastercard, solicitando aos usuários que informem suas senhas ou outras informações sigilosas como números de cartões de crédito e de débito e data de vencimento, entre outros, segundo a empresa de segurança Trusteer.

No momento, a principal característica das telas falsas é estarem em inglês. Mas, considerando que, segundo a VeriSign, os internautas brasileiros não conseguem identificar um golpe virtual, não deve demorar muito até surgirem versões em nosso idioma.

Em uma pesquisa recente, a VeriSign montou um site e pediu a internautas que identificassem qual das imagens de dois web sites, mostradas lado a lado, representava um site falso. A empresa concluiu que a maioria dos internautas corre o risco de sofrer fraudes on-line por não ser capaz de identificar as diferentes formas golpes virtuais. Por exemplo:

• 73% das pessoas não conseguiram identificar erros ortográficos que denunciariam a fraude;
• 54% das pessoas não observaram a inexistência do símbolo do cadeado na barra de endereço do navegador;
• 36% das pessoas concordaram a dar informações adicionais sigilosas sobre suas contas; e
• 33% das pessoas não foram capazes de perceber um nome de domínio alterado de forma suspeita.

Sendo o IDG Now!, a pesquisa também se aplica ao internauta brasileiro. Quer testar se você seria enganado? Acesse o site criado para a pesquisa, Phish or No Phish, um exercício interessante. O teste é promoção do VeriSign^® Extended Validation (EV), um produto de segurança da VeriSign que, ao confirmar a autenticidade do site, deixa verde a barra de endereços, como no exemplo abaixo:

versão mais atualizada do seu navegador predileto.

A seguir, alguns dos navegadores compatíveis:

• Microsoft Internet Explorer 8 (ou superior);
• Mozilla Firefox 3 (ou superior);
• Opera 9.5 (ou superior);
• Apple Safari 3.2 (ou superior);
• Google Chrome; ou
• Flock.

A Mozilla divulgou, no último dia 18, que a versão 3.6 do Firefox apresenta uma vulnerabilidade que permite o controle remoto da máquina por parte do atacante.

A empresa já avisou que o problema ocorre apenas na versão 3.6 e que já está corrigido na versão 3.6.2, a ser lançada no dia 30 deste mês.

Alguns pontos interessantes:

• o problema afeta apenas os usuários deste navegador no ambiente Windows (ponto para aqueles que, como eu, preferem Linux);
• se é uma vulnerabilidade crítica, por que não publicar um patch imediatamente? Por ser no ambiente Windows precisam se comportar como a Microsoft?

Enquanto o dia do lançamento oficial não chega, usuários do Windows podem obter a versão 3.6.2 beta nos servidores de desenvolvimento da própria Mozilla.

Atualização: Menos de duas horas depois deste post, a Mozilla decidiu antecipar o lançamento oficial do Firefox 3.6.2. Pelo visto, não fui eu o único a questionar a demora. Basta aguardar a atualização automática, ou fazer o download a partir da página oficial.

Desde o surgimento da Common User Access (CUA), um conjunto de diretrizes para interface com o usuário, publicado pela IBM em 1987, a tecla F1 é usada como tecla de ajuda, tornando-se praticamente um sinônimo para essa função.

Ironicamente, no último dia primeiro, a Microsoft divulgou um Comunicado de Segurança recomendando os usuários do Windows 2000, Windows XP e Windows Server 2003 do Windows, não mais a usassem, pelo menos ao navegar na Web…

Segundo o comunicado, há uma falha na maneira como o VBScript interage com arquivos de Ajuda do Windows quando o Internet Explorer é usado. Se o usuário acessar um site contendo código malicioso e pressionar a tecla F1, permitirá que “códigos arbitrários” sejam executados.

O problema afeta apenas as versões anteriores ao Windows Vista, mas engloba qualquer versão do Internet Explorer, inclusive o Internet Explorer 8, que se auto-intitula o browser mais seguro do mercado.

Enquanto não é oferecida uma correção oficial para o problema, a Microsoft recomenda como ações paliativas:

• definir as configurações de zona de segurança do Internet Explorer como “Alta”;
• ativar a notificação de execução scripts no Internet Explorer;
• desativar a execução de scripts no Internet Explorer;
• restringir o acesso ao sistema de Ajuda do Windows; ou
• simplesmente não pressionar a tecla F1 quando solicitado por um site da Web;

Todas essas orientações estão descritas em detalhes na seção Soluções alternativas do Comunicado de Segurança n.º 981169. Contudo a solução mais prática (e definitiva) é abandonar o Internet Explorer (especialmente o vetusto IE6) e migrar para um navegador melhor como o Firefox, Chrome, Opera ou Safari.

Na semana passada, foi noticiado que peritos da NetWitness, uma empresa de segurança especializada em forense computacional, durante atividades de rotina, descobriram uma botnet composta por mais de 75 mil computadores pertencentes a mais de 3 mil organizações ao redor do mundo, incluindo algumas das 500 maiores empresas segundo a Fortune e órgãos do governo norte-americano.

Uma botnet é uma rede formada por computadores contaminados e controlados remotamente por crackers. Sem conhecimento de seus donos, esses computadores passam a executar quaisquer tarefas desejadas pelos malfeitores, como ataques em larga escala, envio de spam, distribuição de pornografia ou roubo de dados.

A botnet descoberta, denominada “Kneber botnet” em decorrência do nome de usuário usado para conexão entre as máquinas, baseia-se no Zbot ou ZeuS, um pacote malicioso existente desde 2007 e comercializado pelos malfeitores em fóruns especializados. Naturalmente perigoso, esse malware atualiza-se periodicamente nas máquinas infectadas, evoluindo constantemente. Na Kneber botnet, sua periculosidade foi potencializada pelo uso concomitante do Waledac, malware conhecido por disseminar spam em redes ponto-a-ponto, possivelmente como forma adicional de contágio.

Fonte: The Wall Street Journal.

Os especialistas identificaram, no período de apenas um mês, mais de 75GiB de dados roubados. São mais de 68 mil credenciais para acesso a contas bancárias, redes sociais (como Facebook, hi5 e Sonico) e e-mails (como Yahoo! e Hotmail). Também foram roubados cerca de 2 mil certificados digitais, além de verdadeiros dossiês dos proprietários das máquinas contaminadas.

A variante do ZeuS usada no ataque explora falhas de segurança em programas como Internet Explorer, Mozilla Firefox, Adobe Flash e Adobe Reader, e, até o momento, não é detectada pela maioria dos antivírus existentes. Contudo, restringe-se apenas a sistemas operacionais da família Windows, especialmente Windows XP e Windows Vista (mais uma vez, ponto para os usuários Linux).

Segundo o Amit Yoran, presidente da NetWitness, a proteção convencional contra malware e detecção com base em assinatura de sistemas são, por definição, inadequados para identificação do Kneber ou outras ameaças mais avançadas.

Ou seja, como afirmei anteriormente, os usuários precisam deixar de confiar cegamente no seu software antivírus e, entre outras coisas:

• usar sistemas operacionais e programas atualizados (muito difícil com cópias piratas);
• evitar sites suspeitos;
• observar com atenção antes de clicar em links na web;
• verificar a procedência das mensagens de e-mail; e
• evitar abrir anexos de e-mail.

Eu te disse! Eu te disse!

Para aqueles que desejarem uma leitura mais aprofundada, recomendo os artigos originais:

• The “Kneber” BotNet – A ZeuS Discovery and Analysis;
• Zeus: King of the Bots; e
• The ZeuS, ZBOT and Kneber Connection.

Atualização em 26/02/2010: acrescentado link para o Perguntas e respostas da Trendmicro.

O uso da internet parece-se um pouco com a colonização do continente americano. No começo, o mundo virtual (o Novo Mundo) parecia um paraíso, cheio de oportunidades e bastante seguro. Contudo, à medida que oportunistas passaram a frequentá-lo, mostrou-se tão arriscado quanto o mundo real (o Velho Mundo). As ferramentas de proteção, como antivírus e programas anti-spyware, têm muito trabalho para se manter atualizados frente ao número cada vez maior de ameaças.

Em virtude dessa mutabilidade, antivírus, anti-spyware, vacinas e toda a parafernália de proteção são o último recurso de segurança. São como as redes usadas pelos trapezistas, ou os cintos de segurança nos veículos: estão lá para prevenir maiores danos em caso de acidente, mas não se deve contar exclusivamente com eles.

Infelizmente, isso não ocorre com a maioria dos usuários. Eles tendem a relaxar ao instalar um antivírus (muitas vezes pirateado, mas isto é assunto para outro post) e ficam descuidados. Confiando numa suposta infalibilidade do programa de proteção, clicam em qualquer propaganda, figura animada ou alguma variação da expressão “clique aqui” e terminam contaminados com uma variedade de vírus, worms, spywares e adwares de fazer inveja a algumas empresas de segurança.

Um estudo feito pela Websense Security Labs traz informações preocupantes como as listadas abaixo:

• o número de sites apresentando conteúdo malicioso (como vírus, worms, spywares e adwares) cresceu 233% no primeiro semestre de 2009;
• 95% dos comentários em blogs e redes sociais (como orkut, Twitter e Facebook) eram spam ou apresentavam conteúdo malicioso;
• 78% das páginas com temas questionáveis (como sexo, violência, drogas e jogos de azar) apresentavam pelo menos um link para conteúdo malicioso;
• mais de 85% dos e-mails eram spam ou apresentavam conteúdo malicioso; e
• o Brasil é (infelizmente) o terceiro país com mais hospedagem de software relacionado a crimes eletrônicos, atrás apenas dos Estados Unidos e China.

Com o volume de lixo na internet hoje, não há antivírus que aguente! Os usuários precisam se acostumar a evitar sites suspeitos, a observar qualquer mudança nas páginas de sites conhecidos, a suspeitar de mensagens de e-mail e a escolher melhor seus navegadores, por exemplo.

Se não fizerem isso, estarão condenados, a não ser que tenham esperança que a situação melhore nos próximos anos…

Pelo que tenho observado, a maioria dos usuários de computador não quer entender de informática, preferindo computadores que simplesmente funcionem. Não posso recriminá-los por isso: não precisamos entender em detalhes como funciona um carro, um forno de micro-ondas ou uma calculadora para usá-los diariamente.

Infelizmente, em nome da facilidade de uso, os fabricantes de software vêm trocando segurança por comodidade. A partir do Windows 95, os sistemas operacionais da Microsoft passaram a contar com a “reprodução automática” (também conhecida como autorun): ao detectar uma mídia removível (CD, DVD, pendrives e discos rígidos externos), o sistema operacional procurava um arquivo autorun.inf contendo instruções para sua execução.

À medida que os espíritos de porco mal-intencionados de plantão descobriram formas de explorar essa funcionalidade, o que deveria ser uma comodidade para os usuários, tornou-se uma enorme dor de cabeça. Pendrives contendo arquivos maliciosos tornaram-se vetores para contaminação mais eficientes do que os antigos discos magnéticos. O Conficker, a praga virtual com maior disseminação até hoje (dados apontam para até 15 milhões de máquinas no mundo), deve parte de sua rápida disseminação ao uso de pendrives contaminados.

A McAfee dispõe do World Virus Map, um levantamento atualizado e bastante interessante, da disseminação de vírus no mundo. Vale a pena visitar.

É possível verificar rapidamente a contaminação de uma máquina pelo Conficker, acessando o Conficker Eye Chart, ferramenta oferecida pelo Grupo de Trabalho do Conficker: se as seis figuras aparecerem, pode ficar tranqüilo! Para verificar um maior número de máquinas, a McAfee oferece a Conficker Detection Tool, uma ferramenta que varre uma rede buscando por máquinas contaminadas. Não necessita de instalação e, apesar de estar em inglês, é fácil de usar.

Outra ferramenta gratuita e bastante eficaz para prevenir a contaminação por meio da reprodução automática é a Panda USB Vaccine, oferecida pela Panda Security. Além de desabilitar a reprodução automática no equipamento, a ferramenta permite vacinar qualquer pendrive inserido na máquina por meio da gravação de um arquivo autorun.inf inócuo e impossível de ser alterado posteriormente, mesmo por malwares.

Com a atual má fase de seus produtos (baixa aceitação do Windows Vista e os recentes problemas enfrentados pelo internet Explorer), a Microsoft, mesmo após publicar a correção MS08-067, específica para a falha de segurança explorada no ataque, viu-se forçada a publicar a nota KB967715, com instruções para desabilitar manualmente a reprodução automática, e a atualização KB971029, que restringe a funcionalidade apenas a unidades de CD e DVD.

Bem… antes tarde do que nunca, diz o ditado.

Para maiores informações, vale a pena ler o texto Proteja-se do Conficker e de outras pragas virtuais da atualidade.

Atualização em 09/02/2010: Acrescentadas as referências ao World Virus Map e à Conficker Detection Tool.

O mês de janeiro foi tão tumultuado que nem a tradicional retrospectiva foi publicada. Mas preciso comentar as últimas notícias de segurança…

Em 12 de janeiro, o Blog Oficial da Google publicou uma nota informando uma nova abordagem para a China, deflagrada por um ataque proveniente daquele país contra ela própria e várias outras empresas, como a Adobe Systems, Juniper Networks, Rackspace, Yahoo, Symantec, Northrop Grumman e a Dow Chemical.

Segundo a nota, o ataque visava roubar propriedade intelectual. No caso da Google, o conteúdo das contas do Gmail de alguns ativistas de direitos humanos chineses. Apesar de não atingir totalmente seu objetivo (apenas duas contas foram parcialmente violadas), os executivos da empresa decidiram suspender a censura imposta, por exigência do governo local, ao conteúdo da filial chinesa. Ou mesmo, interromper suas operações naquele país.

A discussão rapidamente tornou-se um delicado incidente diplomático entre os Estados Unidos e a China, e parece longe de terminar (a versão chinesa da ferramenta de busca, por exemplo, está funcionando sem censura).

Paralelamente, o caso vem suscitando algumas interessantes reflexões sobre a postura dos dois oponentes: há realmente um mocinho e um bandido nessa contenda, ou apenas variações de um mesmo tom de cinza? Talvez seja melhor deixar essas considerações filosóficas para outro post…

O que interessa no momento, é que especialistas da McAfee concluíram que os ataques exploraram uma vulnerabilidade conhecida, mas não divulgada, do internet Explorer. Segundo os mesmos especialistas, apesar de o mais do que ultrapassado IE6 ter sido o vetor do ataque, todas as versões do navegador estão vulneráveis. A situação agravou-se quando, poucos dias depois, o código tornou-se público. Um “prato cheio” para mal-intencionados…

A Microsoft reagiu à crise publicando, no dia 19 de janeiro, uma Recomendação de Segurança onde afirma que o IE8 é hoje o browser mais seguro do mercado e recomenda sua instalação com o nível máximo de segurança como uma proteção efetiva contra as vulnerabilidades noticiadas. Dois dias depois, contudo, publicou o Boletim de Segurança MS10-002, reconhecendo que todas as versões do navegador são vulneráveis.

Com esse incidente, a reputação do internet Explorer, tradicionalmente duvidosa no quesito segurança, sofreu o que parece ser o maior revés até hoje: os governos alemão e francês publicaram notas oficiais recomendando que seus cidadãos passem a usar outros navegadores como forma de aumentar sua segurança na internet (notas originais alemã e francesa).

E pode piorar: o governo britânico já avisou que está monitorando a situação e que adotará postura semelhante se os riscos mudarem…

Enquanto não surge orientação semelhante para conscientizar os internautas brasileiros, fica minha contribuição:

Por favor, atualizem seu navegador!

Na verdade, sugiro mudar completamente para o Firefox, o Chrome ou o Opera. Todos seguros, rápidos e com versões em português para os principais sistemas operacionais.

Para aqueles que desejarem uma leitura mais aprofundada, recomendo o excelente texto do blog SSegurança.