Especialistas criticam atualização do Windows que interferia no Firefox

o final da semana passada, após a publicação do resumo na sexta-feira, pesquisadores de segurança criticaram duramente uma decisão da Microsoft: instalar automaticamente uma extensão no Firefox por meio do Windows Update. Para piorar, a extensão ainda permite que alguns programas sejam baixados em um único clique, o que, alegam os pesquisadores, reduz a segurança do navegador da Mozilla.

Também no resumo de notícias de hoje: Pidgin ganha nova versão para corrigir falhas de segurança, e um pesquisador alerta para cuidados ao interagir com a API do Twitter.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.


>>>> Pesquisadores criticam extensão do Firefox 'forçada' pela Microsoft

Plugin do .NET é instalado pela Microsoft junto do .NET Framework, que chega com as atualizações do Windows

O pesquisador de segurança Chris Sullo, da fabricante de computadores HP, criticou na sexta-feira passada (22) o plug-in “ClickOnce”, instalado pela Microsoft no Firefox de forma silenciosa. O componente faz parte do framework .NET e, segundo o especialista, reduz a segurança do navegador web da Mozilla, ao permitir que softwares sejam instalados de forma automatizada.

O framework do .NET é necessário para a execução de aplicativos da plataforma de mesmo nome. É um componente quase obrigatório atualmente, e é instalado pelo Windows Update (atualizações automáticas). Além de permitir que os programas “ClickOnce” sejam executados sem a intervenção habitual do usuário, o plug-in ainda envia informações sobre a versão instalada do framework para todos os websites que o internauta visitar.

Sullo publicou um post em um blog de segurança da HP.Para ele, a empresa não deveria instalar forçosamente uma extensão em um navegador concorrente e, em vez disso, deveria ter colocado o plug-in no site de complementos ("add-ons") da Mozilla, “como todo mundo”.

O especialista da HP cita um texto de fevereiro escrito por Brad Abrams, um blogueiro da Microsoft. Na época – quando a ação da Microsoft já estava causando polêmica – Abrams publicou, porque não era possível remover o plug-in por meio do próprio Firefox. No início deste mês, a Microsoft disponibilizou uma atualização que deve permitir uma remoção facilitada do componente.

Mas o pesquisador de segurança da nCircle Tyler Reguly em suas críticas. “Eu não sei se horrificado é uma palavra forte o suficiente para expressar como isso me faz sentir. Chocado, enojado... desculpem-me se eu alguma vez defendi a Microsoft no passado... essas são algumas coisas que vêm à mente. Não apenas eles reduziram a segurança do Firefox, eles destruíram minha confiança neles”, escreveu Reguly, que ficou sabendo do incidente após ler o post de Sullo.

O Microsoft .NET Framework Assistant pode ser desativado ou configurado no Firefox no menu Ferramentas > Complementos.

Pacotão de segurança: respostas secretas e desfragmentação no Vista

A quarta-feira é dia de pacotão na coluna Segurança para o PC. As dúvidas respondidas hoje abordam a identificação do país de origem do e-mail, o processo 'System' do Windows, avisos sobre ataques do vírus Helkern, respostas secretas e ferramentas de diagnóstico no Vista. Vamos lá!

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

>>> Identificação do país de origem do e-mail

Plugin 'Display Mail Route' para o Thunderbird exibe toda a trajetória da mensagem, com ícones

Sobre o assunto ´identificação de e-mail´, pergunto: a extensão Country Lookup, do Thunderbird, oferece alguma informação complementar às já existentes no cabeçalho da mensagem?
Paulo Roberto

Não, Paulo. O endereço IP disponível no cabeçalho “Received” da mensagem já é o suficiente para determinar o país de origem de um e-mail. Endereços IP são gerenciados pela IANA, e ela aloca os endereços em blocos chamados CDIR. Portanto, o país a qual pertence o IP pode ser facilmente determinado se você souber para onde foram alocados os blocos.

Às vezes é possível até mesmo determinar a qual estado ou região um IP pertence. Não é possível fazer isso com 100% de precisão, no entanto. Vale dizer ainda que o Country Lookup determina apenas o país de origem do servidor de e-mail, e não do usuário que enviou a mensagem. O do mesmo autor, é mais completo.

>>> Worm Helkern
Gostaria que a coluna explicasse qual é o verdadeiro risco que o worm Helkern pode causar. Todo dia meu Kaspersky detecta tentativas de invasão dele.
Marcelo

Provavelmente, nenhum. O vírus Helkern explora uma brecha no Microsoft SQL Server 2000, um software que você provavelmente não tem no computador de casa. No entanto, esses programas de proteção de rede preferem bloquear tudo e dar os avisos, porque eles não tentam determinar se o ataque teria ou não efeito no seu PC.

Minha sugestão é que você verifique a possibilidade de configurar o seu firewall para não exibir alertas e apenas gravar as informações sobre os ataques bloqueados em log. Assim o programa não irá incomodá-lo com os constantes avisos sobre ataques que não são capazes de danificar o seu sistema.

>>> Processo 'System'

Processo System no Gerenciador de Tarefas do Windows Vista

Gostaria de saber do processo System. Ouvi comentários dizendo que o mesmo seria um vírus. A informação procede?
Andrew Santos Silva

Essa informação não procede, Andrew. O processo "System" engloba os drivers que estão em execução no sistema. É possível que um vírus se instale no computador como um driver, de modo que ele estaria rodando “dentro” do System. Mas o System, em si, não se trata de um vírus. Pelo contrário. Ele “hospeda” componentes essenciais para o funcionamento do Windows.

>>> Resposta secreta como segunda senha única
O melhor é você definir uma senha padrão pra todas respostas secretas. Por exemplo, sua senha pode ser 4454aDDCvg. Então você responde a sua senha para qualquer pergunta. Qual o nome da sua mãe, da sua irmã, escola onde estudou, profesor favorito? A resposta será sempre 4454aDDCvg.
Marco Matos

O leitor Marco não deixou exatamente uma dúvida, mas uma sugestão. Infelizmente, Marco, seguir sua dica não é uma boa ideia.

Sempre que se fala em senha, especialistas enfatizam a necessidade de serem usadas senhas diferentes para cada serviço. Se uma resposta secreta idêntica for usada para recuperar a senha, o que você estaria fazendo é ainda pior – criando uma “senha” mais vulnerável que a própria senha (que deve ser quase sempre diferente) para fazer algo ainda mais importante do que a senha!

Criminosos exploram falha no Windows com arquivos multimídia

Arquivos de música e vídeo podem conter vírus? Normalmente, a resposta para essa pergunta é negativa. No entanto, a Microsoft disponibilizou um alerta informando a respeito de uma vulnerabilidade no componente do Windows chamado DirectShow, parte do DirectX (responsável pelo processamento de vários conteúdos multimídia), o que permite que pragas sejam colocadas em arquivos de áudio ou vídeo. Também nesta semana, a Apple lançou uma atualização para o QuickTime para eliminar falhas que permitam vírus em arquivos abertos com o QuickTime.

Outras notícias no resumo de hoje: Websense alerta para invasão em massa de 20 mil sites; provedor de e-mail cria competição que oferece US$ 10 mil a quem conseguir acessar de maneira não-autorizada a conta do diretor.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

>>> Brecha no Windows viabiliza vírus em arquivos de áudio e vídeo

Microsoft disponibiliza 'solução alternativa' enquanto a brecha não é eliminada em definitivo

Na quinta-feira passada (28), pouco após o fechamento do resumo de notícias da coluna Segurança para o PC, a Microsoft alertou que criminosos estão explorando uma brecha no DirectShow, componente do Windows responsável por funções multimídia. O código vulnerável, responsável pelo processamento do formato QuickTime, está presente nos Windows 2000, XP e 2003, mas foi removido do Windows Vista, o que significa que este último não sofre do problema.

Embora ainda não tenha sido criada uma solução definitiva para o erro, a Microsoft em sua base de conhecimento contendo um botão “Fix It” (“Corrija”). Se ativado, o botão inicia instala um programa que desativa o componente vulnerável.

Para explorar a brecha, criminosos criaram arquivos maliciosos do QuickTime. No entanto, o QuickTime, reprodutor multimídia da Apple, não precisa estar instalado para a brecha funcionar. Instalá-lo também não irá eliminar a vulnerabilidade, segundo a Microsofit.

A falha traz mais um exemplo de uso malicioso de arquivos multimídia. Normalmente, esses arquivos não podem ser usados para espalhar nenhum tipo de código malicioso. Vulnerabilidades, no entanto, podem viabilizar um ataque, como está acontecendo nesse caso.

A Microsoft deve disponibilizar uma correção definitiva para o problema, que será distribuída pelo Windows Update. O próximo pacote de correções da Microsoft é na terça-feira (9), mas não trará consigo uma atualização para corrigir essa vulnerabilidade. Se a Microsoft decidir não lançar a correção de forma emergencial, ela não chegará antes do dia 14 de julho.

>>> Golpe usa nome da Globo.com e da Catho

Golpe usou nome da Globo.com e da Catho em mensagem falsa para distribuir pragas digitais

Uma fraude que circulou esta semana via e-mail usa uma notícia falsa de que a Globo.com teria aberto 500 vagas de emprego e as estaria oferecendo em parceria com a Catho, empresa que mantém um site de currículos e vagas de emprego com o mesmo nome.

A mensagem chega em nome da Catho, mas o texto teria sido escrito pela Globo.com. Os golpistas escreveram que a Globo.com estaria passando por uma “grande transformação”, o que justificaria as vagas de emprego.

Para conferir as “vagas” o internauta precisa clicar em links no e-mail, que levam a pragas digitais brasileiras que roubam senhas bancárias. Vale mencionar que as mensagens não partiram dos servidores da Globo.com ou da Catho; o visual delas foi apenas desenhado com o uso dos logotipos dessas empresas.

>>> Apple lança atualização para corrigir falhas crítica no QuickTime
Pelo menos 10 vulnerabilidades foram corrigidas na versão mais recente do reprodutor multimídia QuickTime, da Apple. As brechas permitem que arquivos multimídia maliciosos sejam criados para executar códigos maliciosos no PC quando abertos no QuickTime.

Como a falha no DirectShow acima, arquivos de áudio ou vídeo poderiam instalar vírus no PC usando esses erros. São problemas diferentes, no entanto. Enquanto a brecha no DirectShow existe em um componente do próprio Windows responsável pelo processamento de arquivos do QuickTime, essas brechas estão no próprio software da Apple.

A atualização é altamente recomendada para todos os usuários do aplicativo. Ela pode ser feita pelo programa de atualização automática que acompanha o QuickTime.

>>> Ataque na web altera 20 mil sites
A empresa de segurança norte-americana Websense alerta para uma campanha de “invasão em massa” que teria comprometido pelo menos 20 mil páginas na internet. Segundo a empresa, embora outras invasões em massa do gênero estejam ocorrendo, o ataque parece ser novo, sem relações com qualquer outro observado.

Por meio de falhas de segurança, criminosos inserem códigos maliciosos em sites legítimos da web. Esse código tenta explorar vulnerabilidades no navegador do internauta para instalar uma praga digital no PC, sem que seja preciso autorizar a execução de qualquer aplicativo.

Golpe no Twitter se aproveita de assuntos populares para disseminar vírus

Uma onda de ataques no Twitter se intensificou esta semana. Criminosos estão enviando mensagens, ou "tweets", maliciosos, aproveitando as "hashtags" populares e os Trending Topics, que auxiliam a organizar o conteúdo da rede de microblog ao identificar os assuntos mais populares entre os usuários. Com isso, um internauta que for atrás desses conteúdos, acessíveis por meio da página de pesquisa do Twitter, pode – e irá – se deparar com mensagens cujos links levam para vírus.

Também nesta semana: Cavalo de troia se mascara de desbloqueador do iPhone; Microsoft corrige número recorde de falhas de segurança; Adobe "pega carona" e lança atualização para eliminar 13 falhas no Reader e no Acrobat.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

>>> Criminosos espalham vírus no Twitter

Mensagens deixadas por perfil malicioso 'robotizado' exploram o tema 'Shocking video today'

As “hashtags”, que marcam o assunto de um post no serviço de microblog Twitter, e os “Trending Topics” – assuntos populares que aparecem na estão sendo exploradas por criminosos para disseminar vírus, de acordo com alerta da companhia de segurança Panda Security. Os malfeitores estão usando “contas-robô” para enviar um grande número de "tweets" contendo links para um cavalo de troia.

Se acessado, o link leva a uma página com a imagem de um vídeo sendo carregado. Em seguida, uma mensagem informando a falta de um codec é exibida. Codecs são os programas necessários para a reprodução de áudio e vídeo no computador. Nesse caso, porém, não há video nenhum. O erro é falso e o "codec" é apenas um programa malicioso.

Após executado, o vírus se encarrega de instalar um antivírus fraudulento no computador da vítima.

As mensagens com os links infecciosos começaram a ser enviadas na semana passada. Os hackers parecem ter criado um sistema capaz de adaptar-se automaticamente aos novos assuntos que são discutidos no Twitter, mas em muitos casos há uma oferta de um vídeo, especialmente de celebridade, de acidentes de avião ou de supostas cenas de estupro.

Cerca de 150 tweets maliciosos são enviados diariamente por essa “campanha” maliciosa, segundo o especialista em segurança Dancho Danchev.

>>> Desbloqueador de iPhone é cavalo de troia

Página falsa tentava se passar por canal oficial de distribuição do desbloqueador 'yellowsn0w'

Indivíduos mal-intencionados criaram uma página falsa promovendo o desbloqueador de iPhone "Yellowsn0w" para o firmware 2.2.1. A página tentava se passar por um canal oficial do "the DevTeam", que desenvolve o o programa verdadeiro, mas o arquivo oferecido era, na verdade, um código malicioso.

Uma vez instalado, o vírus modificava do Windows para redirecionar centenas de sites, entre eles, portais de notícias e páginas de outros desbloqueadores de iPhone, para um endereço IP que atualmente está sem conteúdo, mas que pertence, segundo os registros do site, a alguém relacionado a outro desbloqueador de iPhone, o “iPhone Unlock”.

>>> Microsoft corrige 31 falhas de segurança
No pacote de atualizações de segurança da Microsoft deste mês, a empresa disponibilizou correções para 31 vulnerabilidades. Segundo a Symantec, este é um número recorde, superando as 28 brechas corrigidas em dezembro de 2008.

Dentre os 10 boletins de segurança publicados, o mais importante é o que traz uma atualização cumulativa para o Internet Explorer. Pelo menos oito vulnerabilidades foram corrigidas no navegador, inclusive no IE8. Essa atualização é relevante porque o Internet Explorer é o principal alvo de criminosos na web. As brechas são usadas em “kits” preparados especialmente para infectar o sistema do internauta por meio de problemas no navegador ou nos plugins.

Um dos problemas corrigidos no Internet Explorer é o que foi utilizado.

Há também atualizações para serviços usados por empresas e redes corporativas, como o Active Directory (AD) e o Internet Information Services (IIS). Três boletins de menor gravidade corrigem componentes do Windows, como o serviço de busca e o kernel – “coração” do sistema operacional. Um outro boletim, sobre uma falha no spooler de impressão, é considerada “crítica”.

Três boletins críticos envolvem aplicativos de escritório. Um elimina problemas no Word, outro, maior, no Excel e um terceiro, no Microsoft Works, a alternativa barata da Microsoft ao pacote Office. As atualizações que ficaram faltando para o Works e para o Office do Mac no pacote de maio, quando 16 falhas foram corrigidas no PowerPoint, também foram disponibilizadas.

'Genética' dos vírus indica comportamento das pragas virtuais

Se você desconhece o nome das pragas de computador, possivelmente não saberá de imediato como reagir quando seu antivírus alertar sobre o JS/Downloader.gen, o W32.Netsky.a@mm ou o Backdoor.HackDefender. No entanto, a existência de alguns padrões permite que, apenas pelo nome, o usuário tenha uma boa ideia do comportamento desses códigos maliciosos. A coluna de hoje decifra a "genética" dos nomes de vírus, para facilitar a identificação dessas pragas.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Decifrando os termos em nomes de pragas

Cada antivírus usa termos diferentes em seus nomes. A barra na tabela abaixo separa alguns termos iguais que são escritos de forma diferente. Esses termos podem ser prefixos (vir antes da família) ou sufixos (depois). Com base na tabela abaixo, por exemplo, dá para saber que o W32.HLLW.Lovgate@mm é uma praga da família Lovgate e que ela foi programada em uma linguagem de alto nível para se espalhar pela rede e por e-mail. Confira:

@m	Envia e-mails para se espalhar. Exemplo: W32/Ska@M
@mm/Email-Worm/I-Worm	Envia grande quantidade de e-mails para se espalhar. Exemplo: Email-Worm.Win32.Sober.c
! e outros sufixos não-variante	Utilizado para dar informações adicionais. Por exemplo, um “Algumvírus.dam” significa um arquivo danificado, enquanto um “Algumvírus!dll” se refere a um componente DLL do vírus especificado na família. Exemplo: W32/Pinkslipbot!dll
Backdoor	Permite o controle do PC pelo criador da praga. Exemplo: Backdoor.SubSeven
Downloader/Dldr	Instala arquivos no PC, baixados da internet. Exemplo: Downloader.Trojan
Dropper/Drop/Dr	Instala arquivos no PC sem precisar baixar nada. Exemplo: Trojan-Dropper.Win32.Yabinder.a
Exploit	Código usado somente para explorar falha de segurança (raramente usado para vírus que exploram falhas). Exemplo: Exploit-MS04-028
Gen	Vírus genérico, sem variante. Quando há muitas variantes de uma praga, ou quando não vale a pena catalogá-la sob uma família nova, usa-se o “gen”. Exemplo: Win32:trojan-gen
HLLC/HLLW/HLLP/HLLO (Vírus de Companhia, Rede, Parasita, Destruidor de arquivos, respectivamente)	Estes termos têm caído em desuso. Significam que o vírus foi programado em uma linguagem de alto nível. Fazia sentido antigamente, mas hoje todos os vírus são feitos em alto nível. O mais relevante é o HLLO, que significa um vírus que destrói arquivos de maneira irreparável. Exemplo: W32.HLLO.Videoinf
Joke	Um programa não malicioso, mas que prega uma “peça”. Exemplo: Joke.Win32.VB.h
JS/HTML/VBS	É um código em formato script (texto – o normal é binário, código) que faz uso da referida linguagem (Javascript, HTML, VBScript...). Exemplo: VBS.LoveLetter
M (Macro) MS/O (Office) W (Word)/A (Access)/X (Excel)	São vírus de macro do Microsoft Office. Raríssimos hoje. São combinações dessas letras que dão o significado. Por exemplo, OM é “Office Macro”. A2KM é “Macro do Access 2000”. X97M é “Macro do Excel 97” e assim por diante. Exemplo: W97M.Melissa.A
PUP/PUA	Programa Potencialmente Indesejado (acrônimo do inglês: potentially unwanted program/application). Exemplo: Generic PUP.x!06F91978
PE	Usado por poucas companhias antivírus. PE significa “Portable Executable”, ou seja, programas. Significa que o vírus infecta programas ou é um programa. Exemplos: NewHeur_PE; PE_WINDANG
Proxy	Abre um proxy no computador, normalmente de e-mails. Com isso, o criador da praga pode enviar e-mails ou navegador na web pelos computadores infectados. Exemplo: Trojan-Proxy.Win32.Mitglieder.a
PWS/PWSteal/Infostealer	Rouba senhas ou outras informações valiosas. Exemplo: PWS-Mmorpg.gen
Spy	Faz algum tipo de espionagem no computador. Exemplo: Trojan-Spy.Win32.Banker
Trojan/Troj	Praga que, de modo geral, não se espalha sozinha e, por isso, é “semeada” por seu criador. Exemplo: Troj/Ransom-A
W32/Win32	É uma praga que ataca sistemas Windows. Praticamente irrelevante hoje, mas antigamente se usava muito para diferenciar dos vírus de DOS. Ainda se usa em alguns casos, especialmente em pragas clássicas. Exemplo: W32.Blaster.Worm
I-Worm/Worm/P2P	Um vírus que ataca pela rede. No caso de P2P, redes de trocas de arquivo. I-Worm aparece aqui novamente, porque algumas empresas usam tanto para um quanto para outro. Exemplo: P2P-Worm.Win32.Tibick

Às vezes esses termos fazem parte da própria família do vírus. E em alguns casos, a família do vírus poderá dar a informação que falta. Por exemplo: não é difícil deduzir que tipo de informação o “Infostealer.Bancos” rouba, ainda mais com o nome em português.

Microsoft disponibiliza correções de emergência para Internet Explorer

A Microsoft surpreendeu muitos usuários e especialistas ao anunciar que disponibilizaria duas correções “extras”, em regime de urgência, nesta semana. As atualizações foram lançadas, eliminando uma vulnerabilidade no Internet Explorer e outra em uma biblioteca do Visual Studio 2008, que pode também deixar vulnerável outros programas desenvolvidos.

Também nesta semana: especialista diz que criptografia do iPhone 3GS é inútil, sites de pesquisadores de segurança são violados.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

>>> Microsoft corrige falha que compromete outros desenvolvedores

A Microsoft liberou na terça-feira (28) duas correções de segurança. Elas foram disponibilizadas em caráter emergencial, porque a empresa normalmente lança atualizações apenas uma vez por mês. Neste mês.

Uma das correções resolve um problema nos “killbits” do Internet Explorer. Muitas brechas existem nos chamados componentes ActiveX e podem ser corrigidas configurando-se um registro chamado killbit. A Microsoft tem instalado uma série de killbits para desativar componentes vulneráveis a ataques que não precisam ser acessados pelo Internet Explorer. No entanto, pesquisadores descobriram que é possível burlar essa proteção, acessando os componentes desativados.

A outra falha corrigida é considerada a primeira em uma “biblioteca” da Microsoft. Uma biblioteca é um componente usado e compartilhado por vários programas. A brecha encontra-se no Visual Studio, um programa de desenvolvimento da Microsoft usado para que programadores façam outros aplicativos para o Windows. Por causa disso, vários programas podem apresentar problemas. Está confirmado que componentes ActiveX da Adobe e da Sun são vulneráveis. O problema foi detalhado
Todos os programadores que usaram a biblioteca vulnerável terão de redistribuir versões corrigidas dos softwares.

As correções da Microsoft podem ser obtidas pelas Atualizações Automáticas do sistema,