Tecnoblog

Uma das maiores operadoras de telefonia da Europa, Vodafone, foi acusada de vender aparelhos HTC Magic incluindo uma característica extra além do sistema operacional Android: malware. Mais especificamente um cavalo de tróia que transforma o computador em um zumbi da botnet chamada Mariposa, que foi tirada do ar em dezembro do ano passado e tinha mais de 12 milhões de computadores-zumbi ativos.

A descoberta foi feita acidentalmente por uma pesquisadora da empresa de segurança online Panda Software, que recebeu um dos aparelhos e percebeu a presença do malware assim que o conectou ao computador no trabalho. Depois de realizar uma pesquisa mais profunda o colega da pesquisadora, Pedro Bustamante, descobriu que se tratava de uma nova versão da botnet, controlada dessa vez por um indivíduo (ou grupo de hackers) chamado tnls, e que o celular também havia sido pré-carregado com uma versão do Conficker e um programa para roubar senhas.

Como essa é a primeira notícia desse tipo de malware se espalhando através do HTC Magic (que já está à venda desde o ano passado na rede da Vodafone) a possibilidade do celular ter sido infectado na fábrica é praticamente nula. Bustamante suspeita de que pode se tratar de um aparelho devolvido por um cliente insatisfeito à Vodafone ou HTC e que não passou pela devida inspeção antes de ser colocado novamente à venda. [Slashdot]

As últimas brechas de seguranças descobertas no Internet Explorer, que vieram à tona depois da ameaça do Google em sair do mercado chinês depois que algumas contas de usuário de ativistas dos direitos humanos foram invadidas por hackers orientais, fizeram com que o Escritório da Segurança da Informação do governo alemão alertasse a todos os navegantes do país que evitassem usar qualquer versão do browser da Microsoft (6, 7, 8 e até a 9, ainda em fase de testes). Em seu comunicado oficial, o escritório governamental diz que navegador foi o “ponto em comum” em todas as invasões ou tentativas de invasões registradas do outro lado do mundo.

O órgão aponta que a própria Microsoft reconhece que seu programa vem apresentando algumas falhas de segurança que podem comprometer a privacidade de seus usuários e recomenda que em seu lugar o navegante prefira programas concorrentes, como o Firefox (atualmente o navegador mais usado por lá), Chrome, Opera e até mesmo do Safari, feito por sua arqui-rival Apple.

Por sua vez, a empresa de Bill Gates se defende afirmando que os riscos para os usuários comuns são “baixos”.

Thomas Baumgaertner, porta-voz da companhia na Alemanha lembra que “os recentes ataques feitos contra o Google tinham alvos certos e motivações bem específicas” e que “não foram registrados ataques contra pessoas comuns em outros pontos do mundo”. “Não existe qualquer ameaça à maioria absoluta dos internautas, e por isso não concordamos com a recomendação do governo”, completou à rede BBC.

Leia mais:

• Firefox é o navegador mais usado na Alemanha

Já especialistas de segurança vêm se mostrando preocupados com a nova falha. “O código que fez com que as máquinas chinesas fossem invadidas já caiu na internet, e a Microsoft ainda não conseguiu lançar uma correção para o problema, o que significa que agora todos são um alvo em potencial”, afirmou o Graham Cluley, da empresa Sophos, à rede britânica.

De qualquer maneira, desde que o caso se tornou público a Microsoft vem pedindo que os usuários dos Internet Explorer ajustem o nível de segurança de seus browser para “alto” além de, claro, pedir que todos mantenham seus sistemas operacionais e antivírus devidamente atualizados. Mas para Cluley, isso pode não ser o suficiente: “Eles ainda estão analisando a primeira versão do malware chinês, enquanto novas versões podem estar sendo criadas”, completa.

Malware ou Censura?

A China tornou mais difícil o registro de domínios “.cn”. Agora todos que quiserem registrar precisarão provar que tem uma empresa aberta através de algum documento ou certificado que aponte para isso. O objetivo é evitar que golpistas de internet usem domínios chineses para suas práticas criminais, além de limpar os domínios chineses de pornografia. Na prática isso impede que pessoas físicas tenham seus próprios sites.

Sites já existentes – são 10 milhões de domínios .cn – terão também que provar pertencer a alguma operação comercial, caso contrário serão tirados do ar. Uma pesquisa da McAfee apontou domínios chineses como a segunda maior fonte de malware da internet, apenas atrás de domínios “.cm”, dos Camarões. O “.cm” é provavelmente o mais usado por golpistas pois trata-se de um “typo” (erro de digitação) muito comum quando tentamos escrever “.com”.

O objetivo supostamente nobre pode esconder a verdadeira vontade do governo chinês que é impedir que cidadãos comuns tenham seus sites pessoais, o que pode ser considerado um bloqueio à liberdade de expressão, uma forma de censura velada. Em se tratando de China essa teoria nada conspiratória tem tudo para ser verdade. [The Register]

Em um relatório publicado ontem, a Microsoft conseguiu ligar dois importantes fatos da área de tecnologia. Segundo a empresa, o número de computadores PC infectados em um determinado país é diretamente proporcional ao número de instalações piratas do seu sistema operacional Windows.

Em vermelho, pirataria. Em azul, uso do Windows Update

Segundo Jeff Williams, gerente do centro de proteção contra malware da Microsoft, isso acontece por que nos países com grandes números de cópias não-genuínas do Windows, os usuários hesitam em usar o Windows Update para receber os patches de segurança, o que tornaria os computadores menos vulneráveis. A taxa de infecção de computadores no Brasil é de 25,4 a cada 1000 computadores infectados analisados.

A pesquisa também revelou que no nosso país as principais ameaças encontrada em computadores são keyloggers e aplicativos de monitoramento (programas que gravam as teclas digitadas e capturam telas com objetivo de roubar senhas) e worms. Ja na área de cavalos-de-tróia, o mais presente nos PCs brasileiros foi o Win32/Bancos, cujo objetivo é roubar dados bancários dos usuários.

Os dados do relatório foram coletados entre janeiro e junho desse ano através da ferramenta de remoção de software mal-intencionado da Microsoft. [ComputerWorld]

Se você tem uma conta do Hotmail, cuidado redobrado. Surgiram informações hoje de que milhares de contas do Hotmail e do Windows Live haviam sido invadidas e as informações postadas no fórum Pastebin, voltado para desenvolvedores publicarem códigos-fonte.

Uma listagem com cerca de 100 mil 10 mil nomes de usuários do Windows Live, cujos e-mails são terminados em @hotmail, @live.com e @msn.com, foi publicada no fórum. Embora já tenha sido apagada, há suspeita de que muitas outras contas de e-mail tenham sido hackeadas. Isso porque na lista constavam contas inicias pelas letras A e B, o que pode indicar que outras listas com contas do Windows Live iniciadas por outras letras tenham sido feitas.

De acordo com o blog Neowin, a lista foi publicada originalmente em primeiro de outubro.

Aparentemente a reposta da Microsoft aos crackers foi rápida. A empresa informou que já está ciente do acontecimento e que investiga a situação.  [ZDNet/Neowin/BBC]

[Atualização] Eu escrevi erroneamente que foram 100 mil contas hackeadas, quando na verdade foram “só” 10 mil. Obrigado ao leitor Luan pela correção!

Se você, assim como eu, ainda não recebeu seu convite para o Google Wave, é hora de ter precaução. Aproveitando-se das dezenas de milhares de convites para Wave que o Google prometeu enviar a seus usuários, pessoas mal intencionadas então distribuindo malwares em forma de convite.

A técnica usada pelos ciberbandidos já uma velha conhecida: o black hat SEO. Normalmente o SEO (search engine optimization, ou otimização para motor de busca) é usado para que um site fique mais bem posicionado em serviços de busca como Google ou Bing. No caso do black hat SEO, páginas com vírus são criadas de forma que dêem a entender que contêm informações sobre como obter convites para o Google Wave.

Não pense que acaba na distribuição de malwares. Os bandidos também já oferecem um “complemento” ao usuário que foi atacado. Primeiro distribuem o vírus, depois fingem oferecer falsos anti-vírus, que naturalmente estão lotados de mais malwares.

De acordo com pesquisadores da Websense Labs Team, o Google Wave é atualmente o principal alvo do black hat SEO. Antes dele, o iPhone da Apple figurava como principal forma de tentar malware através da técnica maligna de SEO. [IT Business Edge]

Lembra-se do anti-vírus gratuito que a Microsoft lançou há dois dias? A empresa de segurança alemã AV-Test decidiu fazer um teste com o novo aplicativo, submetendo-o a meio milhão de malwares. O resultado: “muito bom”.

O Microsoft Security Essentials foi testado em Windows XP SP3, Windows Vista SP2 e no Windows 7 RTM. No primeiro teste, a AV-Test expôs o MSE a mais de 3.700 vírus, trojans e worms. Ao fim do teste, o anti-vírus conseguiu detectar e bloquear todos os códigos maliciosos.

Um segundo teste foi feito, dessa vez com 545 mil amostras de malwares. Não, dessa vez o Microsoft Security Essentials não detectou todas as ameaças: conseguiu capturar 536 mil amostras, o que um dos gerentes da AV-Test considerou como “muito bom”. O saldo final foi de 98,4% de acerto.

Em se tratando de adwares e spywares, a taxa de acertos caiu um pouco. Ficou em 90,9%, conseguindo capturar 12.935 malwares dos 14.222 presentes na amostra que a AV-Test utilizou.

Andreas Marx, gerente da empresa de testes, afirmou à PCWorld que o Microsoft Security Essentials não foi capaz de detectar malwares apenas pelo comportamento que os programas têm no sistema operacional. Em todos os casos, o anti-vírus da MS só conseguiu capturar malware que já estava presente no banco de dados do aplicativo. [PCWorld]

No relatório entitulado “os sites mais sujos do verão de 2009″ liberado hoje, a empresa de segurança Symantec, através do seu serviço Norton Safe Web, mostrou estatísticas sobre os sites mais perigosos da internet, aqueles em que certamente irão infectar o computador com vírus, cavalos-de-tróia, spyware ou todos os três juntos ao mesmo tempo e de uma vez só.

Em média, cada um dos 100 sites mais perigosos já foi reportado mais de 18 mil vezes como hospedeiro de código malicioso e 48% deles são de conteúdo adulto, sendo o resto dividindo entre as categorias de serviços legais, compra de eletrônicos, caça, dentre outras. A pesquisa também apontou que 75% de todos os sites na lista estão distribuindo códigos maliciosos há mais de 6 meses e que 40 dos 100 sites hospedam sozinhos mais de 20 mil ameaças cada um.

Para encontrar essas páginas, a Symantec busca na web e analisa milhões de sites que são enviados pelos mais de 20 milhões de membros da comunidade Norton Watch. A lista dos top 100 piores sites para a segurança do seu computador foi compilada baseada no número de ameaças detectadas até o mês de agosto.

[CNET]

Android: o próximo alvo.

Por que o Windows é o principal alvo de aplicativos maliciosos? A maioria dos analistas concorda que isso acontece porque o sistema operacional da Microsoft ainda é o mais usado no mundo. Mas as previsões do chefe de segurança do Android não são nada boas com relação à segurança dos dispositivos móveis.

Rich Cannings, que gerencia a equipe de segurança da plataforma móvel, disse que sistemas operacionais de smartphones se tornarão objetivos dos cibercriminosos no futuro. Com a popularização desses aparelhos, que custam cada vez mais barato (o iPhone sai nos Estados Unidos por US$ 99, com contrato de dois anos), crackers passarão a desenvolver com mais frequência códigos maliciosos que explorem falhas nesses sistemas.

O próprio Android, do Google, pode ser um dos alvos. Uma vez que utiliza componentes de código aberto, poderia se tornar uma “epifania para autores de malware”, nas palavras de Cannings. A equipe gerenciada por ele criou “potes de mel” (honeyspots; computadores propositalmente desprotegidos) para detectar aplicativos problemáticos que tentem ser aceitos no Android Maket, a central de aplicativos do sistema.

Também foi preciso modificar a forma como o Linux por trás do Android funciona. Cada aplicativo roda de forma independente, no que desenvolvedores chamam de “caixas de areia” (sandboxes). São como máquinas virtuais, que isolam o aplicativo caso ele dê problema, de modo a não comprometer o sistema por completo.

A Apple seria uma das menos afetadas por aplicativos maliciosos. Uma vez que controle cada app que entra na App Store de forma espartana, consegue impedir que malwares desenvolvidos por crackers entrem na loja. [ComputerWorld]

O serviço de microblog Twitter começou a suspender nessa sexta-feira (10) contas de pessoas cujos computadores estão infectados pelo malware Koobface. Ao ser ativado, o malware verifica se o usuário está logado em alguma rede social (como Facebook e MySpace) e se espalha publicando mensagens contendo links que levam a páginas com o vírus.

Os sites Bebo, Hi5, Friendster e LiveJournal também já foram alvos do malware; o Twitter é só o mais novo da lista. De acordo com Ryan Flores, pesquisador de ameaças da empresa de segurança Trend Micro, ao menos 200 contas foram infectadas. Em uma rápida pesquisa, o Tecnoblog News constatou que o vírus continua na ativa infectando usuários, pois ao procurar pela mensagem padrão publicada por ele (“My home video LINK”) no search do Twitter os resultados mostram mensagens de até 30 minutos atrás.

Se sua conta foi suspensa por esse motivo, instale um anti-vírus ou um programa que remova os componentes do Koobface (como o Sysclean da Trend Micro, sugerido por Ryan) e faça uma varredura do disco rígido. Depois, use a página de suporte do Twitter para avisar que seu computador já está limpo e que sua conta já cumpriu tempo suficiente na prisão. [PCWorld]