Tecnoblog

Em um relatório publicado ontem, a Microsoft conseguiu ligar dois importantes fatos da área de tecnologia. Segundo a empresa, o número de computadores PC infectados em um determinado país é diretamente proporcional ao número de instalações piratas do seu sistema operacional Windows.

Em vermelho, pirataria. Em azul, uso do Windows Update

Segundo Jeff Williams, gerente do centro de proteção contra malware da Microsoft, isso acontece por que nos países com grandes números de cópias não-genuínas do Windows, os usuários hesitam em usar o Windows Update para receber os patches de segurança, o que tornaria os computadores menos vulneráveis. A taxa de infecção de computadores no Brasil é de 25,4 a cada 1000 computadores infectados analisados.

A pesquisa também revelou que no nosso país as principais ameaças encontrada em computadores são keyloggers e aplicativos de monitoramento (programas que gravam as teclas digitadas e capturam telas com objetivo de roubar senhas) e worms. Ja na área de cavalos-de-tróia, o mais presente nos PCs brasileiros foi o Win32/Bancos, cujo objetivo é roubar dados bancários dos usuários.

Os dados do relatório foram coletados entre janeiro e junho desse ano através da ferramenta de remoção de software mal-intencionado da Microsoft. [ComputerWorld]

Se você tem uma conta do Hotmail, cuidado redobrado. Surgiram informações hoje de que milhares de contas do Hotmail e do Windows Live haviam sido invadidas e as informações postadas no fórum Pastebin, voltado para desenvolvedores publicarem códigos-fonte.

Uma listagem com cerca de 100 mil 10 mil nomes de usuários do Windows Live, cujos e-mails são terminados em @hotmail, @live.com e @msn.com, foi publicada no fórum. Embora já tenha sido apagada, há suspeita de que muitas outras contas de e-mail tenham sido hackeadas. Isso porque na lista constavam contas inicias pelas letras A e B, o que pode indicar que outras listas com contas do Windows Live iniciadas por outras letras tenham sido feitas.

De acordo com o blog Neowin, a lista foi publicada originalmente em primeiro de outubro.

Aparentemente a reposta da Microsoft aos crackers foi rápida. A empresa informou que já está ciente do acontecimento e que investiga a situação.  [ZDNet/Neowin/BBC]

[Atualização] Eu escrevi erroneamente que foram 100 mil contas hackeadas, quando na verdade foram “só” 10 mil. Obrigado ao leitor Luan pela correção!

Se você, assim como eu, ainda não recebeu seu convite para o Google Wave, é hora de ter precaução. Aproveitando-se das dezenas de milhares de convites para Wave que o Google prometeu enviar a seus usuários, pessoas mal intencionadas então distribuindo malwares em forma de convite.

A técnica usada pelos ciberbandidos já uma velha conhecida: o black hat SEO. Normalmente o SEO (search engine optimization, ou otimização para motor de busca) é usado para que um site fique mais bem posicionado em serviços de busca como Google ou Bing. No caso do black hat SEO, páginas com vírus são criadas de forma que dêem a entender que contêm informações sobre como obter convites para o Google Wave.

Não pense que acaba na distribuição de malwares. Os bandidos também já oferecem um “complemento” ao usuário que foi atacado. Primeiro distribuem o vírus, depois fingem oferecer falsos anti-vírus, que naturalmente estão lotados de mais malwares.

De acordo com pesquisadores da Websense Labs Team, o Google Wave é atualmente o principal alvo do black hat SEO. Antes dele, o iPhone da Apple figurava como principal forma de tentar malware através da técnica maligna de SEO. [IT Business Edge]

Lembra-se do anti-vírus gratuito que a Microsoft lançou há dois dias? A empresa de segurança alemã AV-Test decidiu fazer um teste com o novo aplicativo, submetendo-o a meio milhão de malwares. O resultado: “muito bom”.

O Microsoft Security Essentials foi testado em Windows XP SP3, Windows Vista SP2 e no Windows 7 RTM. No primeiro teste, a AV-Test expôs o MSE a mais de 3.700 vírus, trojans e worms. Ao fim do teste, o anti-vírus conseguiu detectar e bloquear todos os códigos maliciosos.

Um segundo teste foi feito, dessa vez com 545 mil amostras de malwares. Não, dessa vez o Microsoft Security Essentials não detectou todas as ameaças: conseguiu capturar 536 mil amostras, o que um dos gerentes da AV-Test considerou como “muito bom”. O saldo final foi de 98,4% de acerto.

Em se tratando de adwares e spywares, a taxa de acertos caiu um pouco. Ficou em 90,9%, conseguindo capturar 12.935 malwares dos 14.222 presentes na amostra que a AV-Test utilizou.

Andreas Marx, gerente da empresa de testes, afirmou à PCWorld que o Microsoft Security Essentials não foi capaz de detectar malwares apenas pelo comportamento que os programas têm no sistema operacional. Em todos os casos, o anti-vírus da MS só conseguiu capturar malware que já estava presente no banco de dados do aplicativo. [PCWorld]

No relatório entitulado “os sites mais sujos do verão de 2009″ liberado hoje, a empresa de segurança Symantec, através do seu serviço Norton Safe Web, mostrou estatísticas sobre os sites mais perigosos da internet, aqueles em que certamente irão infectar o computador com vírus, cavalos-de-tróia, spyware ou todos os três juntos ao mesmo tempo e de uma vez só.

Em média, cada um dos 100 sites mais perigosos já foi reportado mais de 18 mil vezes como hospedeiro de código malicioso e 48% deles são de conteúdo adulto, sendo o resto dividindo entre as categorias de serviços legais, compra de eletrônicos, caça, dentre outras. A pesquisa também apontou que 75% de todos os sites na lista estão distribuindo códigos maliciosos há mais de 6 meses e que 40 dos 100 sites hospedam sozinhos mais de 20 mil ameaças cada um.

Para encontrar essas páginas, a Symantec busca na web e analisa milhões de sites que são enviados pelos mais de 20 milhões de membros da comunidade Norton Watch. A lista dos top 100 piores sites para a segurança do seu computador foi compilada baseada no número de ameaças detectadas até o mês de agosto.

[CNET]

Android: o próximo alvo.

Por que o Windows é o principal alvo de aplicativos maliciosos? A maioria dos analistas concorda que isso acontece porque o sistema operacional da Microsoft ainda é o mais usado no mundo. Mas as previsões do chefe de segurança do Android não são nada boas com relação à segurança dos dispositivos móveis.

Rich Cannings, que gerencia a equipe de segurança da plataforma móvel, disse que sistemas operacionais de smartphones se tornarão objetivos dos cibercriminosos no futuro. Com a popularização desses aparelhos, que custam cada vez mais barato (o iPhone sai nos Estados Unidos por US$ 99, com contrato de dois anos), crackers passarão a desenvolver com mais frequência códigos maliciosos que explorem falhas nesses sistemas.

O próprio Android, do Google, pode ser um dos alvos. Uma vez que utiliza componentes de código aberto, poderia se tornar uma “epifania para autores de malware”, nas palavras de Cannings. A equipe gerenciada por ele criou “potes de mel” (honeyspots; computadores propositalmente desprotegidos) para detectar aplicativos problemáticos que tentem ser aceitos no Android Maket, a central de aplicativos do sistema.

Também foi preciso modificar a forma como o Linux por trás do Android funciona. Cada aplicativo roda de forma independente, no que desenvolvedores chamam de “caixas de areia” (sandboxes). São como máquinas virtuais, que isolam o aplicativo caso ele dê problema, de modo a não comprometer o sistema por completo.

A Apple seria uma das menos afetadas por aplicativos maliciosos. Uma vez que controle cada app que entra na App Store de forma espartana, consegue impedir que malwares desenvolvidos por crackers entrem na loja. [ComputerWorld]

O serviço de microblog Twitter começou a suspender nessa sexta-feira (10) contas de pessoas cujos computadores estão infectados pelo malware Koobface. Ao ser ativado, o malware verifica se o usuário está logado em alguma rede social (como Facebook e MySpace) e se espalha publicando mensagens contendo links que levam a páginas com o vírus.

Os sites Bebo, Hi5, Friendster e LiveJournal também já foram alvos do malware; o Twitter é só o mais novo da lista. De acordo com Ryan Flores, pesquisador de ameaças da empresa de segurança Trend Micro, ao menos 200 contas foram infectadas. Em uma rápida pesquisa, o Tecnoblog News constatou que o vírus continua na ativa infectando usuários, pois ao procurar pela mensagem padrão publicada por ele (“My home video LINK”) no search do Twitter os resultados mostram mensagens de até 30 minutos atrás.

Se sua conta foi suspensa por esse motivo, instale um anti-vírus ou um programa que remova os componentes do Koobface (como o Sysclean da Trend Micro, sugerido por Ryan) e faça uma varredura do disco rígido. Depois, use a página de suporte do Twitter para avisar que seu computador já está limpo e que sua conta já cumpriu tempo suficiente na prisão. [PCWorld]

Segundo a última edição do relatório de Inteligência e Segurança publicado pela Microsoft, o Brasil é um dos países com maior incidência de ataques de malwares. O país está na sexta colocação, em um ranking que é liderado por (pasmem) Afeganistão.

Andrew Cushman, diretor sênior do Microsoft Security Response Center lá em Redmond, esteve no Brasil esta semana para participar do dia de segurança em informática. A convite da Microsoft, me encontrei com ele em São Paulo, e conversamos um pouco sobre o assunto.

É a primeira vez que este relatório traz informações específicas sobre o Brasil. Segundo Andrew, cada país possui um cenário específico, e é preciso conhecer a fundo cada um deles, para poder lidar com os diferentes tipos de ataques.

Os ataques predominantes no Brasil, por exemplo, são relacionados a roubo de credenciais (login e senha de bancos). Esses trojans estão presentes em pelo menos 60% das máquinas brasileiras.

Como a Microsoft sabe disso? Andrew disse que os dados se baseiam nas detecções feitas pelos softwares de segurança da Microsoft. Isso significa que a taxa é ainda maior, se levarmos em consideração as ameaças ainda não identificadas.

Só no primeiro semestre, houve um aumento de 92% de computadores brasileiros reportando a presença de algum software malicioso. Culpa da inclusão digital? Talvez.

Certamente, o melhor anti-vírus é o usuário. O efeito Casas Bahia está colocando muita gente das classes C e D na internet. Isso é bom, mas não quando não há um direcionamento. O resultado disso é que o usuário passa o dia inteiro em MSN e Orkut, e não tem um pingo de malícia antes de clicar em links duvidosos.

“Os brasileiros são muito calorosos e amigáveis, e percebo que eles também tem muito bom senso. Nenhum deles deixa desconhecidos irem entrando em suas casas, mas eles não agem da mesma forma quando estão no computador.” – afirmou Cushman.

Durante toda nossa conversa, Andrew disse várias vezes que ele é uma pessoa muito otimista. Ele sabe que a indústria de software sempre estará um passo atrás dos hackers, mas não acredita em um futuro caótico. Não se isso depender do trabalho dele.

“O que nós da Microsoft recomendamos, é que o usuário mantenha o Windows sempre atualizado. O hacker é preguiçoso, ele prefere desenvolver um vírus para Windows XP ao invés de procurar falhas no Windows Vista.” – disse Cushman

Quando fomos avisados que nosso tempo estava se esgotando, resolvi arriscar, e perguntar para Andrew que melhorias veremos no Windows 7 nesta parte de segurança. A resposta veio em tom de sarcasmo, acompanhada de gargalhadas:

- “Bela tentativa, mas eu seria demitido se lhe contasse!”

E dá-lhe clima de suspense em Redmond!

Imagem original via: Flickr jeffkee.

No último mês de Abril, foi lançado a nova versão do AVG anti-vírus. A versão 8, vem equipada com um novo motor anti-malware chamado LinkScanner, desenvolvido pela empresa Exploit Prevention Labs, que fora adiquirida a 6 meses atrás pelo AVG.

Quando você faz uma busca na internet pelo Google, Yahoo, ou Windows Live, a função do LinkScanner é abrir todos os resultados da página silenciosamente, e checar se você corre algum risco ao acessar estes sites. O detalhe é que o sistema faz isto automaticamente, antes que você pense em clicar em qualquer resultado.

Você pode pensar que isto é genial, assim como Roger Thompson (chefe de pesquisas do AVG), mas vamos aos efeitos colaterais.

Ao carregar as páginas da listagem, o AVG não esconde o IP do usuário, fazendo com que os sistemas que fazem as medições de visitação de um site, entendam que um usuário realmente passou por ali. A desculpa para não esconder o IP, é que as ameaças são treinadas para identificar os usuários. Agir como um robô, faria com que o anti-vírus não detectasse uma possível ameaça, deixando a máquina vulnerável.

Pelo lado do Webmaster, insto significa um aumento considerável na quantidade de acessos do site, gerando assim mais consumo de banda, e lógico, custos com hospedagem. Como se já não bastasse isso tudo, o webmaster ainda perde o controle sobre suas próprias estatísticas de visitação.

O novo recurso foi implementado na versão 8 do anti-vírus, que foi lançado em meados de Abril deste ano. No mundo todo, são mais de 70 milhões de máquinas rodando o AVG, sendo que pelo menos 20 milhões, já com a versão nova.

O site The Register é um dos que já estão sentindo na pele as consequências deste recurso. Eles dizem que no mês passado, seus webmasters notaram que o tráfego dobrou em certas páginas do site, causando um aumento considerável no número de visitas geral, e no consumo de recursos do servidor.

Pelo lado do usuário, este recurso também pode ser um problema, principalmente para aqueles que possuem planos de internet com limite de tráfego.

Há 2 anos atrás, quando o Google lançou o Web Accellerator, a grande preocupação dos webmasters era que isto iria afetar os logs de visitação. Felizmente a ferramenta não pegou, e apesar de ainda estar no ar, nunca mais se ouviu falar dela.

Roger Thompson disse que não tem interesse de desativar a ferramenta, e nem identificá-la nos logs, com um user-agent específico. Fazendo isso, os webmaster poderiam criar um filtro, e deixar de contabilizar esta ferramenta, assim como fazem com os spiders de motores de busca.

O grande problema em dar um nome para user-agent da ferramenta, é que assim ficaria fácil para os hackers burlá-la. Bastaria retornar uma página diferente para usuário e anti-vírus, já que seria possível saber que o requisitante é o LinkScanner.

De qualquer forma, mesmo criando filtros, a ferramenta continuaria consumindo tráfego desnecessário, e dando prejuízo para todos os webmasters.

Confesso que não notei nenhum aumento (além do natural) nos meus logs de acesso até o momento. É claro que uma notícia como esta, vai fazer muita gente sair caçando coisa onde não tem. Falar que suas visitas aumentaram ao analizar um log de 2 meses, pode não significar nada além do óbvio: você tem mais leitores.

Roger Thompson afirmou ainda, que a prioridade da empresa é garantir o mais alto nível de segurança para seus usuários. Segundo ele, eles só foram alertados sobre este problema recentemente¹, e ainda estão pesquisando uma possível solução para o caso.

É esperar para ver a continuação da novela.

1 – É preciso entender muito de internet, para saber que ao abrir uma página estamos consumindo banda e processamento do website em questão? Uma empresa de anti-vírus com tantos anos de mercado não consegue sacar isso sozinha?