Segurança: URLs no Twitter

URLs no Twitter: Pede-se Cautela

É inegável que o Twitter se alastrou com uma rapidez tamanha que a comunidade de desenvolvedores responsável por torná-lo funcional e eficiente teve problemas por várias vezes com excesso de tráfego. Desde o princípio até recentemente.

O termo baleiando, hoje bem difundido no internetês, tem sua origem no desenho de uma baleia que aparecia nas telas do Twitter quando o serviço de ‘microblogging’ enfrentava lags (lentidão) inconvenientes.

Isso tudo mostra que o Twitter é um dos hypes mais badalados desde o decadente Second Life.

O fenômeno é tamanho que no mês de maio, os principais veículos de comunicação fizeram dele um novo espaço de arregimento de visitantes fiéis. Afinal, estabelecer contato direto com a audiência, como profetizam os profissionais de marketing em relação às potencialidades do Twitter, é uma das grandes jogadas da comunicação moderna.

Mas muito se fala em possibilidades e potencialidades, mas pouco se fala no custo de tais opções, principalmente no que é referente a um tópico sério, mas pouco interessante à grande maioria dos usuários da Internet: a segurança.

SPAMs, Phising, Crise, Coréias e Twitter

O Spam State Report – Maio 2009, famoso relatório mensal da Symantec sobre a dinâmica do spam e das ameaças que circulam na web, aponta que neste último mês as ameaças de spam e phising se equilibraram sobre três grandes pilares do interesse global: a Crise Financeira; a Tensão entre as Coréias e o Sucesso do Twitter.

Ou seja, os grandes temas da atualidade são quase que automaticamente o foco de interesse dos crackers. Dos anúncios de oportunidades de negócios relacionados à grande queda de preços dos veículos, passando pela tensão entre Coréia do Norte e Coréia do Sul até alcançar o Twitter e serviços vinculados.

Muita gente ignora o perigo escondido por trás das máscaras de URLs (também chamados de compactadores de URLs) sem saber que, mesmo veiculadas em serviços que julgam confiáveis, estão recebendo de braços abertos um perigo potencial.

Em 2009, o boom do Twitter trouxe à tona esse tipo de problema. Mesmo sendo um recurso antigo, as máscaras de URLs podem se transformar em veículos eficientes de disseminação de perigos virtuais, de spams e worms até recolhimento de dados sigilosos que podem render anos de muita dor de cabeça.

Máscaras de URLs

Quando se insere um endereço web muito longo no campo de 140 caracteres do Twitter, o caminho é reduzido a uma linha de endereço bem reduzida, de maneira a permitir ao usuário inserir mais informações e deixar seus posts mais precisos e dinâmicos.

Em um primeiro momento, isso parece ser sensacional, mas pode também ser um problema enorme.

Muitas máscaras de urls permitem que o usuário possa, ao passar o mouse sobre o link, ver o real endereço mascarado. Isso é útil quando permite acessar sites nos quais confiamos e identificar, antes de qualquer coisa, para onde o link em questão está apontando.

No entanto, muitos outros serviços de máscaras de URLs não apresentam essa opção, o que os transforma em armas muito úteis aos disseminadores de ameaças digitais.

Quando uma máscara não possibilita a identificação imediata do endereço para o qual aponta, ela pode se transformar em uma armadilha, principalmente se vier inserida no tweet de um conhecido ou pessoa/instituição/entidade/empresa de confiança.

Basta que o cracker aponte o link para uma típica página de phising e a condicione a receber visitantes captados por uma mensagem espalhada no Twitter.

Um exemplo típico seria uma mensagem do tipo “Ganhe dinheiro rápido e fácil com o Twitter!”. Com certeza é o tipo de conteúdo que chama a atenção de grupos amplos de usuários e podem se espalhar por re-tweets com uma velocidade assombrosa.

Quando se clica no link, mascarado e reduzido, mal se pode saber para onde você vai ser levado até que a página em questão seja aberta no navegador.  É possível fechar a página e desconsiderar o link e sua promessa, mas muita gente simplesmente continua no processo, enviando, muitas vezes, informações variadas e/ou sigilosas e recebendo arquivos enviados por estes sites.

Assim, mesmo interessado em um determinado assunto, é vital que um usuário do twitter (ou de serviços do mesmo tipo), esteja muito atento aos endereços mascarados enviados. Mesmo sendo provenientes de contatos tidos como confiáveis, é preciso não arriscar, uma vez que tal contato possa ter feito um re-tweet de uma mensagem maliciosa ou mesmo esteja fazendo o papel de um hospedeiro involuntário das múltiplas ações criminosas praticadas por cibercriminosos.

TwitterFox

Atualmente utilizo o Twitter via TwitterFox, um programa rodado junto com o Firefox que me permite enviar e receber posts, RTs, replies e direct messages, sem ter que, sequer, acessar o domínio twitter.com. Nesta ferramenta recebo, a cada minuto, dezenas de links de amigos, canais de notícias e RTs. Estes links vêm substituídos por variados tipo de máscaras de URL.

Fiz um levantamento de quais destas máscaras permitem que eu veja o endereço real do link no TwitterFox:

As máscaras que não apontam seus links eu evito pelos simples motivo de não poder conferir o endereço mascarado. Mesmo sendo que o link seja enviado por amigos, basta ter ciência que muitas infecções e disseminações de worms ocorrem justamente pelo fato dos hospedeiros não saberem que estão infectados e muita vezes não saberem que estão replicando estas ameaças através de e-mails enviados automaticamente por worms a partir de seus computadores.

Segurança: Removedores Symantec

Vacinas 2009

Os links abaixo são para removedores disponibilizados pela Symantec para os worms/trojans/virus que mais fizeram destruição em 2009. Garanta a remoção dessas ameaças. Baixe os arquivos, execute-os e deixe seu computador em segurança. Os links levam direto aos downloads no servidor da Symantec.

• Worm Downadup/Conficker – >>download<< – >>referência<<
• Trojan Bankpatch – >>download<< – >>referência<<
• Worm Virut – >>download<< – >>referência<<
• Trojan Xrupter – >>download<< – >>referência<<
• Trojan Initbar – >>download<< – >>referência<<
• Trojan Ramson Unlock – >>download<< – >>referência<<

Hacking

Hackers, Dados e Dinheiro

De acordo com o  Underground Economy, relatório da Symantec de novembro de 2008 que trata das movimentações do mercado negro da Internet, o preço de cada pacote de informações pessoais pode variar de US$0,90 a US$25.

Estes pacotes de informações levam em conta nome, seguro social (equivalente ao nosso CPF), informações de contato e outros números de documentos.

A partir daí levamos em conta que os hackers que invadiram os servidores da Universidade da Califórnia, apanharam cerca de 160 mil pacotes de informações. Fazendo as contas, levando em consideração uma média de US$13 por pacote, chegamos ao valor de US2.080.000,00.

Esse seria o valor médio conseguido pelos hackers de Berkley, de acordo com as tabelas de preços utilizadas no mercado underground.

SuperThreats: Downadup

Uma Nova Era de Ataques

Sem dúvida o worm Downadup, também chamado chamado de Conficker, inaugurou uma nova era no conturbado mundo da Segurança Digital.

Suas capacidades de propagação, aliadas à versatilidade técnica e propriedades de atualização o transformaram no grande vilão dos antivirus e sistemas vulneráveis a partir de Outubro/2008.

Seu comportamento de P2P, mascaras, propriedades e estatísticas estão disponíveis em interessante documento disponibilizado pela Symantec.

O DOWNADUP CODEX!

Clique aqui para acessá-lo em pdf.

Conficker Removal Tool

Remova o Conficker de seu computador!

Produtora do Norton, um dos mais bem-sucedidos vírus da atualidade, a Symantec desenvolveu e disponibilizou em seu site uma ferramenta para a remoção direta do Conficker/Downadup.

_______________________________
Clique na imagem para baixar agora e executar. Boa sorte!

Clique na imagem para baixar o removedor da Symantec

Spams e o Caso McColo.com

O Caso McColo.com

Se pudéssemos enxergar todo o cenário dos SPAMs e outros Malwares como uma guerra real, poder-se-ia dizer que a queda da McColo.com assemelha-se à conquista de um ponto estratégico e à neutralização de centrais de controle de operações e armamento.

De fato, com o desligamento dos servidores da McColo.com, houve uma diminuição evidente no tráfego mundial de spams: foram reduzidos a apenas 1/3 do que eram horas antes.

No entanto, especialistas de vários centros de segurança apontam que este momento de triunfo na guerra contra os malwares não vai durar muito. O negócio é muito rentável para ser abandonado sem novas tentativas de fazê-lo funcionar novamente. E para tanto, indicam Rússia e China como possíveis novos centros de organização de facções criminosas da rede mundial de computadores.

O Cenário pós McColo.com

Às 21h30 do dia 11 de Novembro de 2008, provedores de acesso cortaram a conexão dos sistemas do domínio McColo.com, a partir de muitas solicitações de firmas de segurança que apontavam para os IPs da McColo.com.

Poucas horas depois do desligamento, o volume de tráfego de spams nas redes de observação da Symantec cai 65%. Um fato interessante e surpreendente.

Apesar dos registros se manterem estáveis durante todo o mês, com poucos picos de volume de spams, analistas da Symantec observaram que estes picos (gerados por Storms) estavam recheados de mensagens oriundas em sua grande maioria de servidores localizados na China.

Muitos dizem que em pouco tempo a atividade de spams voltará aos padrões de antes, em termos de periculosidade e volume, no entanto, o lado otimista da história vem de Matt Sergeant, especialista em tecnologia antispam da MessageLabs. Em entrevista ao site TheRegister.com, Matt disse que manter servidores em lugares como Rússia e China aumenta consideravelmente os custos operacionais da prática de SpamStorms e distribuição de malwares.

Aparentemente o ganho é mais quantitativo e menos qualitativo, uma vez que baseado nos altos valores envolvidos nesse tipo de negócios, o preço será justificável ante a possibilidade de lucros.

Volume Crescente e Preocupante

No entanto, falando em quantidade, de acordo com informações publicadas em Julho pela Kaspersky, o número de códigos maliciosos detectados em 2007 chegou aos 2 milhões, mais que o total de todos os anos anteriores juntos. A previsão é que em 2009 este número seja de 20 milhões. A Kaspersky Lab ainda aponta que nessa situação existe um risco sério: “o volume começa a sobrecarregar os laboratórios de segurança!”

Em seu relatório de 2008, a Cisco apresentou mais alguns dados:

• Spams correspondem a 90% do tráfego mundial de E-mails;
• Em Setembro e Outubro de 2008 a marca de spams por dia beirou os 200 bilhões;
• O número de Arquivos Anexos abertos a partir de e-mails diminuiu consideravelmente, enquanto o número de Links Maliciosos abertos a partir de e-mails aumentou.

________________________________________

Referências utilizadas

• Symantec State of Spam Report – November 2008
• Symantec State of Spam Report – December 2008
• Web Sense Security Labs – State of Internet Security – January/June 2008
• Information Week Articles – 12/2008
• 2008 Cisco Anual Report
• TheRegister.com
  
• Novos Padrões de Segurança na Internet – Kaspersky Lab – 07/2008

Spam Storms: Ondas de Perigo na Internet

Recentemente estive pesquisando assuntos relacionados à Internet Security, o que envolve todo tipo de questão relacionada à segurança de dados em ambientes conectados à Internet.

Navegando através de sites conhecidos, como Symantec e WebSense, fiquei impressionado com a situação global do tráfego de dados, e os maiores envolvidos diretamente neste drama são os famosos SPAMs.

No entanto, um dos pontos mais interessantes é o termo cunhado para lidar com verdadeiras ondas de infecção que assolam a rede mundial de computadores de tempos em tempos: Spam Storms, ou seja, Tempestades de SPAM.

Spam Storms

Não existem definições exatas do que são Spam Stormas. Serviços de proteção diferentes apontam para diferentes concepções sobre o modus operandi e a estrutura destes tipos de ataque, mas, pelo que percebi,  todos concordam em uma coisa, aliás, em 3 coisas:

1. Há uma conexão com sistemas que distribuem os programas geradores de tempestades, os StormNests. Esta conexão geralmente é feita a partir de um SPAM que induz o usuário a clicar em determinado link e fazer o download de programas executáveis (.exe, por exemplo).
2. Uma vez instalado (executado), a máquina já é considerada “insegura” e começa a espalhar mais spams, reprodutores de mensagens que redirecionam a sistemas onde o arquivo corruptor está instalado. Muitas vezes os sistemas acessam os bancos de dados de e-mails da máquina e espalham a mensagem por toda a lista, ou por qualquer e-mail disponível nas informações da máquina infectada. Vale lembrar que, assim como e-mails, quaisquer outros dados não são mais seguros, ou seja, são passíveis de violação, infecção, utilização, remoção e reprodução não autorizadas. As máquinas infectadas são então chamadas de ZombiesHosts (servidores zumbis).
3. Em determinados momentos todos os Zumbis e StormNests são utilizados para concentrar envio de mensagens e dados para servidores específicos, gerando Denial-of-Service (DoS), isto é, excesso de tráfego que causa a “queda” ou “lentidão” nos serviços e recursos dos sistemas alvo.

Durante todo este processo, milhões de máquinas são “infectadas e recrutadas”, ou “infectadas e deixadas à espera” para concentrar ataques em alvos comuns.

A Onda de Devastação

Apesar do desenvolvimento de ferramentas de defesa ser cada vez mais veloz e preciso, o número de SPAMs é cada vez maior. A característica básica das Spam Storms é a amplitude da mensagem. Geralmente são relacionadas a temas que sempre chamam a atenção e inflamam a curiosidade. O vírus “I LOVE YOU” foi um marco na história da segurança na Internet e sua propagação se deu justamente pela mensagem ser um tanto quanto “interessante” aos olhos de muitas pessoas. Entre os SPAMs que deixaram marcas nos gráficos de “Tráfego de Problemas” das empresas de segurança, os que eram referentes a Desastres Naturais, Agências de Segurança (FBI e CIA foram os mais citados) e Momentos Públicos (Dia da Independência dos Estados Unidos, Natal e Eleições Norte-Americanas, por exemplo) fizeram  a diferença e deixaram nas alturas os indicadores.

Quanto mais amplo e mais sedutor for, mais chances de sucesso um SPAM terá.

Estados Unidos e Brasil lideraram as ondas de Spams neste mês de Dezembro. Cada um dos países foi fonte de 16% no aumento do volume mundial de  SPAMs registrados pela Symantec, sendo acompanhados de perto pela China, com 14% do volume. No entanto, de maneira geral, os Estados Unidos é o líder na propagação de SPAMs, sendo responsável por 35% do tráfego. Brasil e China geram apenas 5% do tráfego mundial, cada um.

A SpamStorm responsável por esse crescimento em Dezembro foi o Natal, obviamente, com um número relevante de mensagens fazendo referências  aos Atentados de Mumbai, acontecidos entre os dias 26 e 29 de Novembro.

A Queda das ImageSpams

De acordo com a Symantec, 2007 foi o ano das imagens.

52% do tráfego de spams chegou a ser veiculado por meio de imagens. No entanto, devido ao tamanho das mensagens (superiores a 100k,b), o efeito não foi o esperado pelos spammers, que reduziram seus arquivos. Em Novembro de 2008, estas mensagens mantiveram média de 10 a 50 kb, uma mudança drástica no modus operandi, para fazer frente ao tamanho médio dos spams comuns (que vaira de 02 a 05kb).

Referências utilizadas:

• Symantec State of Spam Report – November 2008
• Symantec State of Spam Report – December 2008
• Web Sense Security Labs – State of Internet Security – January/June 2008
• Information Week Articles
  

Underground Internet Report – Symantec

Interessante material disponibilizado pela Symantec sobre o que vem acontecendo no mundo “Underground” da Internet.

O documento dispõe de dezenas de gráficos, pesquisas e estudos sobre o outro lado da Comunicação Mediada por Computadores que pouca gente conhece.

Preços de ataques hackers, de listas de cartões de crédito, spams e muito mais, além de apresentar relatos sobre ações de instituições de segurança, como CIA e FBI no combate aos cibercriminosos.

O Relatório está em inglês e foi atualizado em Novembro de 2008.

Vale a pena conferir!