Criminosos alteram DNS de modems usando falha para realizar fraudes

Falha está em modems ADSL de diferentes fabricantes. (Foto: 4shaws / SXC)

Alguns criminosos brasileiros têm preferido atacar modems e roteadores em vez de infectar diretamente o sistema operacional do internauta. Eles fazem isso por meio de uma falha de segurança presente em alguns modelos de modems ADSL, alteram o servidor DNS e depois redirecionam os sites alvo, como os bancos ou grandes portais.

Atacar dispositivos de rede como modems, roteadores e gateways não é algo novo no mundo da segurança. Existem centenas de exploits e backdoors que permitem a um atacante acessar esses dispositivos remotamente, alterar a configuração ou ter total controle sobre o equipamento – se ele estiver mal configurado ou vulnerável com uma falha de programação.

Isso porque geralmente esses exploits abusam de falhas de segurança presentes no firmware[1. Firmware é o conjunto de instruções operacionais programadas diretamente no hardware de um equipamento eletrônico. É armazenado permanentemente num circuito integrado (chip) de memória de hardware.] do equipamento, o que lhes permite ter acesso ao painel de administração. Ali os criminosos podem mudar toda a configuração do equipamento, ver a estrutura da rede conectada ao dispositivo, entre outros.

No Brasil, isso tem sido usado para invadir modems e alterar os servidores DNS, que estão normalmente configurados para o provedor, para um sistema controlado pelos criminosos.

Desde meados do ano passado temos presenciado muitos desses ataques no Brasil. No fórum da Linha Defensiva existe um tópico sobre o assunto, no qual diversos usuários, clientes dos maiores provedores de internet no país, relataram sofrer redirecionamentos. Cibercriminosos brasileiros comprometeram modems ADSL pelo país, numa onde ataques regulares, silenciosos e efetivos, com o objetivo de instalar malware nas máquinas ou direcionar as vítimas para sites falsos.

Como funcionam os ataques

Se um modem ADSL está exposto na internet e usa a senha padrão, não é difícil ele ser atacado e os servidores DNSs do equipamento trocados. Como os números IP são em ordem numérica, os criminosos brasileiros estão utilizando scripts automatizados que varrem os endereços IP, sequencialmente, buscando um equipamento vulnerável e exposto.

A Linha Defensiva tem observado vítimas entre os mais diferentes provedores de internet, desde grandes até pequenos – isso não é exclusividade de um ou de outro.

Por falha ou senha fraca configurada no roteador, os servidores de DNS são alterados. (Foto: Reprodução)

Trocar a senha, no entanto, não impede o ataque em alguns modems. Certos aparelhos possuem uma brecha que permite descobrir a senha remotamente – e os criminosos brasileiros tem tirado proveito disso também.

Logo após ter acesso, o criminoso irá alterar os servidores DNS e a senha do equipamento. Se o usuário tentar acessar o  painel de administração do modem, não irá conseguir. Nos casos analisados e reportados por alguns usuários, as senhas usadas pelos criminosos geralmente tem sido “dnschange”, “dn5ch4ng3” ou “ch4ng3dn5,  por exemplo.

Para saber se o modem que você usa é vulnerável, basta tentar acessar o arquivo “password.cgi” no modem. Se o acesso funcionar, o modem provavelmente é vulnerável, porque a senha estará revelada no código fonte da página. Um exploit específico, tornado público em março de 2011, consegue explorar esse problema.

Entre os modems confirmados com a falha estão o 500B e o 2640B da D-Link, mas outros fabricantes como Comtrend e Intelbrás também tem modelos afetados. O problema existe no chipset da Broadcom, que é usado por vários fabricantes.

Sintomas: como saber se fui atacado?

É preciso verificar a configuração de DNS do roteador para ter certeza, mas normalmente há alguns sintomas visíveis.

Nos primeiros ataques registrados os usuários eram direcionados pelo DNS malicioso configurado no equipamento para uma página maliciosa oferecendo um suposto “Google Defence”:

Redirecionamento do Google oferecia praga digital. (Foto: Reprodução)

Algumas vezes, por problema de sobrecarga nos servidores de DNS maliciosos as vitimas viam uma página de hospedagem ao tentar acessar portais web populares:

Páginas de grandes portais e serviços de e-mail também eram redirecionadas. (Foto: Reprodução)

Nos piores ataques os usuários estão sendo direcionados para páginas falsas de banco, nas quais as credencias são roubadas. Há também relatos de páginas falsas de serviços de webmail como Gmail, Hotmail, e outros. Nos ataques monitorados pela Linha Defensiva observou-se que vários modems ADLS comprometidos direcionavam para páginas falsas de banco em apenas alguns horários do dia, para não levantar suspeita do usuário.

Lembre-se: com os servidores DNS alterados no seu modem todo o trafego de internet do seu computador pode ser monitorado.

Como se Proteger dos ataques?

Existe um procedimento bastante simples que permite saber se seu modem ADSL está vulnerável e suscetível a ataques:

1. Descubra o IP que seu modem está usando. Isso pode ser feito por meio da configuração de “Gateway” na sua configuração de rede e, em alguns casos, o IP externo também funciona. Você pode descobri-lo visitando sites como ohttp://www.omeuip.com
2. Abra seu navegador e digite na barra de endereço: http://[ip do seu modem]/password.cgi
3. Verifique o código fonte da página que será exibida. Se seu modem estiver vulnerável você verá a senha do equipamento.

Caso seu modem esteja vulnerável ou não, é necessário tomar alguma atitude:

1. Atualize o firmware do seu modem. Geralmente no site da fabricante você verá o download disponível gratuitamente conforme o modelo. Porém para fazê-lo é necessário extremo cuidado, pois uma atualização problemática pode fazer o equipamento parar de funcionar. Se não souber como fazer, não faça! Solicite ajuda ao seu provedor de internet.
2. Outra possibilidade é usar o modem no modo Bridge
3. Force o uso de servidores DNS alternativos (como o Google DNS ou o OpenDNS) diretamente nas configurações da placa de rede (no sistema operacional).
4. Configure seu modem do modo correto: desative serviços como o acesso HTTP através da porta WAN, configure uma senha de acesso ao painel de configuração, troque as senhas padrões e portas padrões .
5. Se nada disso resolver, solicite ao seu provedor de internet a troca do modem por outro modelo.
6. Verifique a presença e a autencidade dos certificados de segurança presente em conexões HTTPS. Várias páginas falsas não os exibem

Fonte: Linha Defensiva

Menor computador do mundo

Até hoje conhecido como o menor computador comercial desenvolvido para usuários finais, as primeiras unidades do micro-mini-nano-piquitico computador Raspberry Pi foram colocadas às venda no eBay.

Até o momento uma série limitada a 10 unidades, o chamado “Model B” ainda é um protótipo que chegou ao site de leilões para tentar arrecadar fundos para o desenvolvimento da versão final do computadorzinho, que ainda este ano deverá chegar às lojas pelo equivalente a R$ 43.

De acordo com Eben Upton, diretor executivo da Raspberry Pi Foundation, as maiores diferenças da nova versão em relação aos protótipos mostrados no ano passado estão em pequenas correções de hardware e na presença de um leitor de cartões SD – até hoje o modelo só era compatível com unidades MicroSD.

O lote com as primeiras cinco placas-mãe já foi comercializado e as placas 5 a 10 ainda estão sendo oferecidas no site de leilões por preços que variam de R$ 1.780 a R$ 5.900.

“Para quem está procurando um computador de baixo custo, essa não é a hora de adquirir um desses”, brinca Upton no vídeo em que apresenta a iniciativa.

“Acreditamos que existem três tipos de pessoas que vão comprar um desses. Primeiro, aqueles que colecionam primeiras edições de gadgets. Segundo, quem tem interesses de conhecer um produto próximo à sua versão comercial. E terceiro, aqueles que querem fazer uma doação à fundação”, completa.

Fonte: http://tecnoblog.net

Nova tv Samsung, com tela transparente

 

Se você já quis ter aquelas telas sensíveis ao toque e quase invisíveis que aparecem nos cinemas, como nos filmes “Minority Report”, “Avatar” e “Eu, robô”, saiba que elas estão bem mais próximas da realidade do que você imagina.

No início do ano, o Tecmundo noticiou que a Samsung se tornou a pioneira no desenvolvimento de telas de LCD transparentes, tendo até um protótipo de 22 com resolução de 1680 por 1050 pixels, taxa de contraste de 500:1 e conexões HDMI e USB em teste.

Em uma publicação recente no seu blog oficial Samsung Tomorrow, a empresa revelou mais alguns detalhes sobre essa tecnologia. Os displays de LCD convencionais precisam de um sistema de iluminação, chamado Back Light Unit (BLU), para reproduzir as imagens. Esse mecanismo é essencial para que você visualize qualquer coisa na sua TV ou monitor, por exemplo.

 

A grande diferença das telas transparentes da Samsung é que elas podem aproveitar a iluminação externa (do sol ou da sua sala) para promover a reprodução dos conteúdos. Assim, esses dispositivos podem poupar até 90% de energia em relação aos equipamentos tradicionais.

Durante a noite, as telas transparentes contam com um sistema BLU desenvolvido especificamente para elas. A aplicação dessa tecnologia é ilimitada, mas sua grande utilidade será na exposição de produtos com recursos interativos. A Samsung deve demonstrar o modelo LTI460AP01 Transparent LCD durante a CES 2012 – evento que terá cobertura do Tecmundo.

Fonte:http://www.tecmundo.com.br/telas/17049-samsung-esta-chegando-com-telas-transparentes-e-sensiveis-ao-toque.htm#ixzz1i45Km9ur

Chrome é o navegador mais seguro, diz estudo financiado pelo Google

Teste da Accuvant mostra que filtros da Microsoft e o do Google têm desempenho semelhante. (Foto: Accuvant Labs)

Enquanto a Microsoft fica arredondando números, o Google ajudou a financiar uma pesquisa da empresa Accuvant Labs que aponta o navegador da gigante de buscas, oChrome, como o mais seguro do mercado.

Os pesquisadores avaliarem os browsers e concluíram que o Google é o que mais tem recursos para impedir que um código malicioso em um site de internet consiga infectar o computador do internauta. No entanto, os especialistas também mostram que nenhum dos navegadores é capaz de detectar e filtrar URLs maliciosas. Todos os navegadores – Internet Explorer, Firefox e Chrome – detectaram apenas 13% dos sites maliciosos.

O número de 13% está bem abaixo do que foi encontrado por uma pesquisa da NSS Labs na metade do ano, na qual os resultados do Internet Explorer variaram entre 92% e 100%. O Chrome e o Firefox tiveram os mesmos 13% naquele teste.

Fonte: Linhadefensiva.org

Validar Windows XP

Siga os seguintes procedimentos para uma efetivação do seu Windows XP Pirata!

1. Vá em Iniciar > Executar

2. Digite regedit e clique em OK.

3. Já dentro do regedit, navegue até a chave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
WPAEvents

4. No painel à direita, clique duas vezes em OOBETimer

5. Na janela que foi aberta, apague qualquer valor e clique em OK. Feche o regedit

6. Vá novamente em Iniciar > Executar e dessa vez digite:
%systemroot%\system32\oobe\msoobe.exe /a

7. Na janela que foi aberta, escolha a opção Sim, desejo telefonar…

8. Na próxima etapa, clique no botão Alterar chave de produto.

9. Na etapa seguinte, digite a CD-Key:
THMPV-77D6F-94376-8HGKG-VRDRQ
e clique no botão Atualizar

10. Após clicar no botão Atualizar, o assistente para ativação voltará para a janela anterior, então, clique em Lembrar mais tarde e reinicie o Windows.

11. Reiniciado o Windows vá novamente em Iniciar > Executar e digite:
%systemroot%\system32\oobe\msoobe.exe /a

12. Aparecerá a seguinte mensagem:

Ativação do Windows
O Windows já está ativado. Clique em OK para sair.

Pronto! Windows validado com sucesso!****

UBUNTU não pega vírus?

 

 

Muito se ouve falar sobre a não existência de vírus para GNU/Linux ou sobre o próprio sistema operacional ser imune a esses. Mas pior do que isso são os argumentos e explicações, muitas vezes fantasiosas, para sustentar tais afirmações. Vamos esclarecer nesse artigo, os reais motivos que ao longo do tempo foram resumidos em apenas uma frase: “O GNU/Linux não pega vírus”.

O principal argumento utilizado atualmente para explicar o motivo do GNU/Linux ser invulnerável a vírus, trojans e afins, é o seu baixo índice de utilização. Atingindo pela primeira vez a marca de 1% dos computadores do mundo em 2009 (os mais otimistas falam em atuais 5%), o GNU/Linux representaria um índice desprezível para os crackers criadores de vírus. Porém esse argumento está longe de ser o principal e na minha opinião, sequer deve ser considerado um argumento, uma vez que criar um vírus não é algo assim tão complexo a ponto de desmotivar um destruidor compulsivo por causa de uma quantidade baixa de usuários.

 

 

Então, o que pode ser considerado um argumento?

O que caracteriza o sucesso de um vírus de computador é o mesmo que caracteriza o sucesso de um vírus biológico, ou seja, seu poder de propagação. Um vírus precisa de uma taxa de reprodução maior do que sua taxa de erradicação para que ele possa se propagar com sucesso. No GNU/Linux não temos apenas um motivo para seu sucesso em relação a vírus, mas sim um conjunto deles. Vamos começar pelo mais comum.

Existem atualmente diversos tipos de vírus, que usando um linguajar menos técnico são os que destroem dados, os que roubam suas informações, os que usam seu computador como host para realizar outros ataques, entre outros; porém vamos deixar de lado essas várias vertentes e vamos falar sobre infecção de uma forma geral.

Para que um vírus possa fazer o seu trabalho, ele deve estar o máximo de tempo ativo na memória do seu computador e para que ele possa fazer isso é importante que ele se instale em algum programa essencial para o funcionamento do seu computador, ou seja, um programa que é carregado sempre que seu computador estiver em funcionamento. Dessa forma o vírus será carregado juntamente com esse programa e uma vez na memória ele poderá realizar qualquer tarefa que ele almeja.

Para que esse vírus possa “infectar” esses arquivos considerados essenciais, ele precisa de um acesso privilegiado a estes, ou seja, ele precisa ser executado por um usuário que tenha permissão de gravação/modificação desses arquivos essenciais e via de regra o único usuário com essa característica no GNU/Linux é o usuário root. É nesse momento que entra a primeira barreira a ser ultrapassada pelo vírus. A maioria das distribuições GNU/Linux voltada para usuários e atualmente até algumas utilizadas paraservidores, não permitem que o sistema seja acessado através do usuário com superpoderes, o root.

Você não é capaz de fazer um login no sistema utilizando o root e só consegue permissão de superusuário após o login com um usuário menos privilegiado. Só depois, através de alguns comandos especiais, você poderá solicitar superpoderes de root para realizar ações especiais no sistema. É claro que através de algumas configurações você pode mudar esse comportamento, porém geralmente quem as utiliza são usuários mais experientes.

Uma vez que utilizamos o sistema através de um usuário menos privilegiado, nós só temos permissão de leitura nesses arquivos considerados essenciais, assim se por um acaso acionamos um vírus, o máximo que ele poderá atingir são seus arquivos pessoais e provavelmente apenas naquele momento uma vez que ao ser reiniciado o vírus não terá mais como se auto instalar na memória, a não ser que seja novamente executado pelo usuário. Se estivermos abrindo um e-mail, um arquivo de procedência duvidosa ou realizando uma tarefa que solicite permissões especiais, devemos nos certificar que esse realmente é um arquivo de confiança e só então digitar a senha e confirmar a operação. Em outros sistemas operacionais que utilizam usuários com super-poderes para realizar tarefas banais, essa tela de confirmação não é necessária e quando você percebe, o vírus já se alojou nos arquivos essenciais.

Se alguém não sabe sobre qual tela de permissão de super-poderes que eu estou falando, abaixo está um exemplo:

Por isso é muito importante utilizarmos sempre um usuário comum para as tarefas do dia a dia e somente executarmos com superpoderes os aplicativos de confiança. Fique de olho na tela acima e só prossiga se estiver certo da origem do aplicativo que está solicitando as permissões. É aqui que entra a segunda barreira pelo qual o vírus deve passar.

Por ser um sistema de código livre, e na maioria das vezes gratuito, podemos instalar e utilizar softwares originais sem nenhum problema, a maioria das vezes instalamos a partir de repositórios oficiais que por padrão já vem configurado na maioria das distribuições. Isso já limita a ação do vírus de forma considerável e podemos fornecer permissão administrativa a esses softwares, uma vez que são provenientes de uma fonte confiável. Mesmo que o software desejado não faça parte do repositório oficial, não faz sentido ficarmos navegando em sites não oficiais procurando por versões “alternativas”, conhecidas também como crackeadas, para usarmos esses softwares, sendo que o mais inteligente é baixá-lo diretamente do fornecedor oficial.

Softwares como TweetDeck, Picasa, Opera, são softwares que não fazem parte do repositório oficial do Ubuntu, mas que podem ser baixados livremente através do site oficial de cada fornecedor. Mas se ainda assim você é fã de sites estilo baixaki (ieca!) você ainda pode verificar o checksum do arquivo. Talvez eu fale mais sobre checksum em um outro artigo, mas de forma resumida o checksum é uma “impressão digital” de um arquivo de qualquer formato, isso garante que o arquivo que você baixou é o mesmo disponibilizado pelo fabricante oficial, ou seja, se alguém alterou 1 byte sequer seja por boa intenção ou para adicionar um trojan, você pode se certificar pegando o checksum (ou hash) no site do fabricante e comparando.

Agora qual o motivo de você ir no site oficial baixar um checksum e depois baixar o arquivo por outro site não me pergunte. Talvez seja interessante se você está baixando por torrent ou algo do gênero. Portanto segue um exemplo rápido de como eu poderia validar o checksum do Banshee versão 1.9.0:

sha256sum banshee-1-1.9.0.tar.bz2

O que me retornaria:

90f70897b99574b82df65c5435c0691760a5f88f488d25b5bd2ad0a7a2cb986c banshee-1-1.9.0.tar.bz2

Depois seria só comparar com o valor oficial emhttp://download.banshee.fm/banshee/unstable/1.9.0/banshee-1-1.9.0.sha256sum

Com esse simples procedimento você pode assegurar que nenhum código malicioso estará embutido em um arquivo de origem duvidosa antes de “executá-lo”.

Pegando um gancho na palavra “executá-lo” podemos considerar este como sendo outra barreira para que o vírus ultrapasse. O sistemas GNU/Linux não possuem arquivos executáveis, o que determina se ele poderá ou não ser executado é a permissão de execução que você atribui a um arquivo. Dessa forma um arquivo descarregado no seu computador não pode ser autoexecutado pelo sistema operacional como um .SCR por exemplo. Antes, você terá que atribuir uma permissão de execução para que este possa ser executado e se ele precisar acessar arquivos restritos voltamos a etapa inicial da barreira que são as permissões de superusuário.

 

É esse conjunto de barreiras, e não um efeito isolado, que faz com que o GNU/Linux tenha um nível mínimo de infecção por vírus e é pela dificuldade de proliferação e não pelo número de usuários que não se tem interesse em desenvolver vírus para esse sistema operacional.

Lembre-se de que um software ou sistema operacional pode aumentar sua imunidade a vírus e afins através de uma arquitetura inteligente, porém os principais anticorpos de um sistema operacional são seus usuários que devem procurar obter o maior conhecimento possível do produto que estão utilizando.

Fonte: http://www.ubuntudicas.com.br/blog/2010/12/gnulinux-nao-pega-virus/

Flash player no Ubuntu 11.10

Instalação do Adobe Flash 64bits

A instalação do Adobe Flash de 64bits, é feita através de um repositório que fará com que tenha sempre a última versão do Flash. Sendo assim, comece por adicionar o repositório abrindo o terminal e escrevendo o seguinte:

sudo add-apt-repository ppa:sevenmachines/flash && sudo apt-get update

Quando o processo terminar, deverá ou clicar no botão seguinte ou escrever o seguinte no terminal para instalar o Adobe Flash 64Bits:

sudo apt-get install flashplugin64-installer

Após a instalação do pacote, reinicie o seu browser e desfrute desta aplicação tão essencial!