ZuQuEtO.CoM

A Apple publicou nesta quinta-feira, 31/7, um pacote de correções para o Mac OS X que atacam, entre outros, o bug do DNS. A falha no DNS, divulgada em 8/7 e corrigida nessa mesma data por uma série de empresas, permite o redirecionamento de internautas para sites falsos. Isso é obtido mediante a adulteração das tabelas de DNS, que fazem as associações entre nomes de domínio e endereços IP. A falha no DNS localiza-se no software que faz parte da própria infra-estrutura da internet. Desse modo, a correção da Apple para o Mac OS, assim como outras atualizações já liberadas (a do Windows saiu no dia 8/7), introduz procedimentos randômicos nas pesquisas de DNS que impedem a exploração da vulnerabilidade. O pacote da Apple traz também mais de uma dezena de outras atualizações. Para mais detalhes, veja o alerta da empresa neste endereço.

Divulgado o primeiro caso concreto de exploração do bug no sistema de DNS.

A empresa americana BreakingPoint Systems, de Austin, Texas, que fornece equipamentos para redes, tornou-se a primeira vítima conhecida de um ataque de “envenenamento de cache” do DNS. Segundo relato da Security Focus, a página inicial do Google, no browser dos empregados da BreakingPoint, apareceu esta semana com quatro janelas. Isso aconteceu não apenas na empresa, mas também em muitas residências em Austin, Texas, cidade onde fica a sede da BreakingPoint.

Uma investigação apurou que o caso não tinha nada a ver com o Google. Um dos dois servidores de nomes (DNS) da BreakingtPoint estava fornecendo a direção errada do Google. Assim, quando os usuários digitavam o endereço do mecanismo de busca, seu browser era levado para um falso site do mecanismo de busca, controlado por crackers.

Continuando a investigação, descobriu-se que aquele servidor de DNS na verdade consultava outro computador da AT&T, o qual fornecia o endereço IP errado. Mudada a fonte de consulta, o problema foi resolvido. Ao mesmo tempo, a AT&T foi alertada sobre o problema: um de seus servidores possivelmente estava envenenado.

Esse caso, embora único, mostra a importância dos provedores de acesso à internet no caso do DNS. Se eles não aplicam as correções, empresas e usuários individuais podem tornar-se vulneráveis. E, nesse caso, vale a pena insistir: não importa a maior ou menor segurança do sistema local.

Grande parte dos sites mais visitados pelos internautas hospedam scripts ou direcionam o usuário, inadvertidamente, para páginas com conteúdo perigoso. Apesar de isso não ser novidade, a continuidade do problema assusta os especialistas. A pesquisa é da Websense e relata que a maioria dos usuários da internet estão expostos a conteúdo malicioso, principalmente o contido em sites antes "confiáveis" como redes de relacionamento e grandes portais de notícias. O estudo abrange o período dos últimos seis meses. Endereços que de alguma forma apresentaram ameaças nesse período foram listados pela pesquisa. A surpresa reside na informação de que até mesmo sites idôneos, que deveriam oferecer o mínimo de segurança aos usuários, estão infectados (e não sabem disso). Segundo o MacWorld, endereços como Cnet.com e Yahoo.com apresentariam algum tipo de código malicioso. Na lista também entram blogs do Google e o YouTube, diz Stephan Chenette, gerente do Websense Security Labs ao site. Chanette afirma que esses 60% correspondem a três entre quatro sites maliciosos na internet: "75% do conteúdo perigoso reside em sites comuns". A preferência por utilizar redes de relacionamento e o YouTube para a difusão do mal é clara, devido o crescente uso dessas ferramentas. Segundo o The Register, Carl Leonard, gerente de pesquisa de segurança da Websense, afirma que além de código perigoso há também ataques de injeção de SQL (SQL Injection Attacks) ou de código de scripts (PHP Injection e ASP Injection, por exemplo) e que 29% das ocorrências consistem em roubo de informações. Embora brasileiros e chineses sejam amplamente culpados pela conduta criminosa, metade dos roubos direcionam as informações obtidas para sistemas localizados nos EUA. Apenas 6% retornam dados para a China e 4% para o Brasil, diz o site. Por outro lado a pesquisa também mostra que houve uma queda na utilização de kits de desenvolvimento de código malicioso, além da redução do spam de imagens: "parece que os filtros estão funcionando bem", fala Tom Cross, da IBM, ao site Computer World. Segundo dados da empresa, que também realiza um levantamento da periculosidade da internet, 90% do spam mundial agora se baseia em links. Pesquisas como essa não são novidade, mas é interessante notar que todas elas sempre apontam para o mesmo problema: a internet é insegura e algumas das falhas mais antigas perduram por anos sem ter solução. Um resumo do relatório publicado pelo Websense pode ser conferido em tinyurl.com/6nnoyd (em inglês, uma tradução aproximada pode ser encontrada no atalho tinyurl.com/5ngnsr).

O novo navegador Firefox 3.5 possui uma falha crítica na linguagem Javascript, que pode abrir brechas para uma série de ataques remotos, alertou a empresa Secunia, que rastreia vulnerabilidades de segurança, na terça-feira (14/7).Uma amostra do código do ataque já está disponível online e, por enquanto, ainda não há qualquer notificação de ataque que tenha se aproveitado da falha.O jornal Washington Post sugeriu uma medida que contorna o problema, para que os usuários se protejam contra a falha enquanto a Mozilla não publica uma correção. O reparo temporário desabilita o recurso de processamento do Javascript no Firefox 3.5, o que o torna mais lento, mas protege o PC da vítima.Os usuários do Firefox 3.0 que ainda não atualizaram o navegador para a nova versão não estão expostos à vulnerabilidade. O Firefox 3.5 terá seu primeiro pacote de correções publicado dentro de alguns dias, conforme prometeu a Mozilla no fim de junho.

A Microsoft vai publicar 12 atualizações de segurança na próxima Terça-Feira de Correções, 12/8.   Entre as 12 atualizações, sete são consideradas críticas e cinco marcadas como importantes. Entre os títulos que contêm vulnerabilidades críticas estão Windows, Internet Explorer, Windows Media Player, Access, Excel, PowerPoint e Office. Entre os que têm correções importantes estão Windows, Outlook Express, Messenger e Office. Entre as versões do Windows corrigidas no pacote estão o Windows Server 2003 e o Windows Server 2008, sistemas que exigirão a reinicialização dos servidores.

Pesquisador apresenta novo ataque que ameaça sistemas DNS - Código de russo mostra como é possível explorar falha, que não é grave, para inserir dados falsos nos sistemas da internet. Os servidores do sistema de nomes e domínios na internet (DNS, do inglês Domain Name System), afetados por um código malicioso em julho, ainda não foram completamente recuperados por correções, afirmou um pesquisador russo na sexta-feira (08/08). Evgeniy Polyakov mostrou um código que, ao explorar uma falha no DNS, torna possível a inserção de dados falsos em sistemas que usam a versão mais atualizada do software open source BIND (Berkeley Internet Name Domain), que roda a maioria dos servidores DNS da web. Esta versão é a BIND 9.5.0-P2, lançada no dia 2 de agosto como um complemento da atualização inicial, divulgada em 8 de julho, quando o pesquisador Dan Kaminsky revelou a falha no DNS e coordenou seu ajuste. Ambas as atualizações incluíram a randomização das portas do servidor para reduzir as probabilidades de “envenenamento de cachê”, termo usado para descrever os ataques que têm relação com a maneira com que clientes e servidores DNS obtém dados de outros servidores DNS na internet. Segundo a demonstração da falha feita por Polyakov, contudo, é possível inserir instruções maliciosas em um servidor DNS rodando o BIND 9.5.0-P2. Para tal, foram necessárias 10 horas e dois PCs conectados ao servidor via uma rede Gigabit Ethernet (GigE). Segundo o presidente do Internet Software Consortium, Paul Vixie, a ameaça mostrada por Polyakov é pequena em comparação com a facilidade com que os atacantes podem ‘envenenar’ os cachês de servidores DNS desatualizados. “Qualquer servidor DNS com um firewall pode suavizar o ataque de Polyakov”, explica Vixie. “E, em algum ponto, o ISC precisará incluir esta ação no BIND, é claro.” O próprio pesquisador russo disse que há pouco para se preocupar em relação ao problema.

Nova versão do cavalo-de-tróia Gpcode criptografa arquivos e cobra resgate do usuário. Segundo a Kaspersky, o novo Gpcode criptografa arquivos na máquina invadida e deixa um arquivo chamado crypted.txt contendo uma nota (em russo) pedindo resgate. Exige o pagamento de 10 dólares para que o usuário tenha de volta seus arquivos – normalmente arquivos comuns como .doc, .xls, .jpg etc. Para não restar dúvida, o Gpcode também substitui o papel de parede do micro por uma imagem que mostra uma caveira e dois ossos cruzados, além de um endereço web e um número de ICQ para que o usuário entre em contato com o autor do programa seqüestrador. A criptografia usada no seqüestro dos arquivos tem chave de 1024 bits, e é praticamente impossível reaver os arquivos sem a ajuda do autor.

Especialistas analisaram ferramentas para criação de fraudes online, o chamado phishing, e descobriram que grande parte continha vulnerabilidades que permitem ao criador acesso ao computador de seu utilizador.

Segundo o site InformationWeek, estes kits estão disponíveis de forma gratuita ou paga pela internet, e trazem os arquivos necessários para facilitar a duplicação de sites legítimos para fins fraudulentos, bem como scripts prontos para o roubo de informações. O que os pesquisadores descobriram, entretanto, é que muitos destes softwares contêm "recursos escondidos". Foram analisados 379 kits distribuídos em 21 diferentes sites. 129 deles continham "portas de trás" que permitiriam aos criadores dos kits invadir os PCs dos cibercriminosos. Portanto, além de roubar as vítimas da fraude online, os kits roubam também os cibercriminosos que os utilizam. Os kits atingiam 49 diferentes organizações, entre elas bancos e sites de leilão, porém não ficaram de fora serviços de email e portais de jogos. Entre os alvos mais populares estão o Bank of America (21 dos kits), eBay (19), Wachovia (18), HSBC (18) e PayPal (15). A informação não surpreende, porém é interessante ver que muitos cibercriminosos acabam por cair em suas próprias armadilhas. Esse espírito de "ladrão que rouba ladrão" não é novo na internet: em uma matéria de 2006, o site The Register noticiou que um grupo de estelionatários usava os números de cartões de crédito de empresas que promoviam spam para comprar produtos dessas mesmas empresas - na prática, desviando uma parte do lucro obtido pelos spammers.

A Microsoft, desenvolvedora norte-americana de softwares, alertou nesta segunda-feira (13/7) sobre uma nova vulnerabilidade no controle ActiveX no Microsoft Office, que pode permitir a execução remota de um código malicioso no PC da vítima.Com o anúncio, agora são duas falhas críticas e não reparadas envolvendo o ActiveX, que é uma linguagem de programação criada pela Microsoft para a inclusão de elementos multimídia em páginas da web, aumentando sua interatividade.A primeira foi uma falha anunciada na semana passada, que tem tomado proporções maiores nos últimos dias. Especialistas de segurança afirmam que crackers estão aumentando o número de golpes online que exploram a vulnerabilidade.A Microsoft não especifica se o IE 8 pode amenizar o impacto da nova ameaça, mas lista alguns componentes de softwares que instalam o ActiveX defeituoso:- Microsoft Office XP Service Pack 3- Microsoft Office 2003 Service Pack 3- Microsoft Office XP Web Components Service Pack 3- Microsoft Office 2003 Web Components Service Pack 3- Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1- Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3- Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3- Microsoft Internet Security and Acceleration Server 2006- Internet Security and Acceleration Server 2006 Supportability Update- Microsoft Internet Security and Acceleration Server 2006 Service Pack 1- Microsoft Office Small Business Accounting 2006O Office 2000 Service Pack 3 e o Office 2007 não são um risco por si só, mas usuários podem estar vulneráveis se instalarem o pacote “Office 2003 Web Components” listado acima.Embora a atualização mensal de segurança da Microsoft esteja marcada para esta terça-feira (14/7), é improvável que inclua correção para esta falha. Por enquanto, os usuários podem usar o recurso "Fix It", da Microsoft, clicando em "Enable Workaround".

Setenta e cinco por cento dos web sites que têm malware são endereços legítimos que foram contaminados.

Essa informação é uma das conclusões do estudo State of Internet Security, relativo ao primeiro semestre de 2008, publicado pela Websense. Segundo o documento, a presença de códigos maliciosos em sites legítimos cresceu 50% em relação ao semestre anterior (julho-dezembro/2007).

O relatório também concluiu que 60% dos 100 web sites mais populares ou abrigaram códigos nocivos ou estiveram de alguma forma envolvidos em atividades maliciosas na primeira metade de 2008.

Uma forma de explorar o bug do sistema DNS consiste em usar sistemas de atualização online.

A ferramenta de ataque, denominada Evilgrade, foi demonstrada pela entidade Infobyte Security Research. Ela usa o recurso de atualização automática de vários produtos, como Java, Winzip, Winamp, Mac OS X, OpenOffice, iTunes e LinkedIn Toolbar.

Segundo a Infobyte, o Evilgrade é modular, e cada módulo implementa um falso sistema de atualização desses produtos.

O ataque usa a brecha no sistema de nomes de domínio da internet (DNS) e as brechas nesses serviços de atualização para invadir os micros vulneráveis. O usuário, ao tentar fazer uma atualização, é redirecionado para um site falso, que instala programas maliciosos em sua máquina.

Na última sexta-feira, 25/7, o CERT da Áustria informou que, embora Microsoft, Cisco e várias outras empresas tenham lançado correções para o problema no dia 8/7, quase 70% dos servidores DNS de seu país ainda não tinham sido atualizados.

A Vasco Data Security International, empresa líder de software para segurança corporativa e especializada em produtos voltados para autenticação forte, alerta sobre o drive-by pharming, modalidade de crime pela internet na qual os usuários são redirecionados a uma página da web fraudulenta ou recebem algum e-mail contendo vírus em linguagem Java. O vírus faz uma tentativa de se logar no roteador doméstico do usuário para tentar mudar o DNS do seu servidor, de modo a deixá-lo vulnerável a um ataque de um servidor mal-intencionado. Esta modalidade de ataque não requer que o usuário faça o download de qualquer vírus, pois o simples acesso à webpage fraudulenta ou a leitura do e-mail contendo o código criminoso em linguagem Java já é suficiente para a contaminação. Este tipo de ação criminosa ocorre porque o roteador doméstico freqüentemente trabalha empregando configurações padrão e as senhas de acesso raramente são alteradas. Os hackers adivinham as senhas padrão e desta forma ganham acesso aos roteadores.Mesmo a mudança destas senhas não é garantia de que se possa prevenir estes ataques.

O verme Koobface ataca as redes sociais MySpace e Facebook e transforma os PCs infectados em zumbis.

O Koobface se propaga em duas versões, Win32.Koobface.a e Win32.Koobface.b. A primeira ataca o MySpace e gera muitos comentários quando uma conta da rede social é acessada. A outra envia mensagens de spam a todos os amigos do usuário por meio do Facebook.

Nos dois casos, as mensagens contêm links para vídeos do YouTube. Se o destinatário tenta ver um desses supostos clipes, recebe um aviso para baixar a versão mais recente do Flash Player. O falso Flash Player é na verdade um arquivo, codesetup.exe, que se instala no micro e continua a se disseminar, via Facebook ou MySpace.

O Koobface mantém o micro invadida sob controle controle. Ao mesmo tempo, cria uma rede de máquinas-zumbi que podem executar tarefas (como atacar outros sistemas, por exemplo) sob comando de seus responsáveis.