CAIS-Alerta: O worm Conficker e o dia 1 de abril

terça-feira, 31 de março de 2009

O worm Conficker, também conhecido como Downadup, surgiu em novembro de 2008. Entretanto, somente nas últimas semanas ganhou a atenção da mídia devido à proximidade de 1 de abril, uma data que desencadeia certas atividades do worm.


Casos de worms que tem uma data como gatilho são muitos, mesmo que historicamente poucos deles tenham efetivamente causado algum efeito notável. Há muitos worms que causam mais danos, mas os worms com datas relacionadas tem um apelo especial com na mídia.


É bom lembrar que a data 1 de abril é também o Dia da Mentira, data que não é comemorada apenas no Brasil. Todos os anos surgem diversas notícias, histórias, produtos e serviços fictícios divulgados na Internet, especialmente relacionados com tecnologia.


O principal objetivo deste alerta é enfatizar as características técnicas deste worm, não deixando dúvidas sobre o que realmente pode acontecer em 1 de abril. Outro objetivo deste alerta é enfatizar a importância de boas práticas de segurança e tratamento de incidentes. Não há razão para pânico se a rede está livre deste e de outros vírus.


A seguir apresentamos um breve resumo da atividade do worm Conficker no backbone RNP. O único fato no momento é que este worm tem se propagado com sucesso. Na sequência apresentamos um resumo de perguntas e respostas frequentes sobre o worm que esclarecem a relação com 1 de abril. Por fim, separamos uma seleção de referências essenciais sobre este worm, incluindo ferramentas de remoção recomendadas.



PROPAGAÇÃO DO CONFICKER NA RNP


Dentro da rede da RNP, o CAIS identificou neste ano níveis alarmantes de infecção em consequência da ação do worm Conficker.


Somente em Janeiro e Fevereiro de 2009 o CAIS já enviou 20.451 notificações reportando problemas em sistemas que utilizam a rede da RNP, o que corresponde a quase 57% do total de incidentes notificados em 2008,35.939 incidentes. Destes 20.451 incidentes, cerca de 70% correspondem à infecções pelo vírus Conficker na rede Ipê.



PERGUNTAS E RESPOSTAS MAIS FREQUENTES


Para responder de maneira mais objetiva possível as perguntas mais frequentes sobre este worm e sobre a data 1 de abril traduzimos os principais trechos de um post de 26 de março do blog "F-Secure Weblog".


Agradecemos a Mikko H. Hypponen, Chief Research Officer da F-Secure, por autorizar a tradução.


P: Ouvi falar que alguma coisa realmente ruim vai acontecer na Internet em 1 de abril! Realmente vai?

R: Não, na verdade não. O Conficker vai mudar um pouco seu comportamento, mas é improvável que ele cause qualquer efeito visível no dia 1 de abril.


P: Então o que este worm fará em 1 de abril?

R: Até o momento o Conficker tem consultado 250 domínios diferentes todos os dias para realizar o download e executar um programa de atualização. Em 1 de abril a última versão de Conficker vai começar a consultar 500 domínios de um conjunto de 50 mil domínios por dia para executar as mesmas operações.


P: Como assim, última versão do Conficker? Há versões diferentes?

R: Sim, e a última versão não é a mais comum. A maioria das máquinas infectadas foi infectada pela variante B, que se disseminou no início de janeiro. Com a variante B nada acontece em 1 de abril.


P: Acabei de verificar e constatei que minha máquina Windows está limpa. Alguma coisa vai acontecer em 1 de abril?

R: Não.


P: Uso Mac, alguma coisa vai acontecer em meu computador?

R: Não.


P: Então isto significa que os atacantes podem usar este canal de download para executar qualquer programa em todas as máquinas?

R: Sim, em todas as maquinas que estejam infectadas com a última versão do worm.


P: E sobre esta funcionalidade peer-to-peer (P2P) de que ouvi falar?

R: O worm tem alguma funcionalidade peer-to-peer (P2P), o que significa que computadores infectados podem se comunicar entre si sem a necessidade de um servidor. Isto permite que o worm atualize a si mesmo sem a necessidade de utilizar nenhum dos 250 ou 50 mil domínios.


P: Mas isto não significa que, se os atacantes quiserem executar alguma coisa nestas máquinas, eles não precisam esperar por 1 de abril?

R: Sim! Esta é outra razão pela qual é improvável que qualquer coisa significativa aconteça em 1 de abril.


P: A mídia irá exagerar sobre este worm?

R: Sim, certamente vai. Sempre há "hype" quando um worm que se espalha muito tem uma data como gatilho de propagação. Pense em casos como Michelangelo (1992), CIH (1999), Sobig (2003), Mydoom (2004) e Blackworm (2006).


P: Mas nestes casos nada demais aconteceu mesmo que todos estivessem esperando que alguma acontecesse!

R: Exatamente.


P: Então devo manter meu PC desligado em 1 de abril?

R: Não. Você deve ter certeza de que ele esteja limpo antes de 1 de abril.


P: Eu posso mudar a data na minha máquina para me proteger?

R: Não. O worm usa o horário local do seu computador para certas partes da funcionalidade de atualização, mas não utiliza exclusivamente esta fonte de horário.


P: Estou confuso. Como você pode saber de antemão que acontecerá um ataque global de vírus em 1 de abril? Deve haver uma conspiração nisso!

R: Sim, você está confuso. Não acontecerá um ataque global de vírus. As máquinas que já estão infectadas podem fazer algo de novo em 1 de abril.


A F-Secure sabe disto porque realizou a engenharia reversa do código do worm e pode ver que é isto que ele foi programado para fazer.


P: O programa copiado seria executado com privilégios de administrador?

R: Sim, com os direitos de administrador local, o que não é nada bom.


P: E eles podem realizar download daquele programa não apenas em 1 de abril mas também em qualquer dia depois disso?

R: Correto. Desta forma, não há razão pela qual eles não possam fazer isto, digamos, em 5 de abril em vez de 1 de abril.


P: OK, eles podem executar qualquer programa. Para fazer o que?

R: A F-Secure não sabe o que eles estão planejando fazer, ou se estão planejando alguma coisa. É claro que eles podem roubar seus dados, enviar spam, realizar ataques DDoS (Distributed Denial of Service), etc. Mas a F-Secure não sabe.


P: Eles? Quem são eles? Quem está por trás deste worm?

R: A F-Secure não sabe nada sobre isto também. Mas eles parecem ser bem profissionais no que eles fazem.


P: Profissionais? É verdade que o Conficker está usando o algoritmo de hash MD6?

R: Sim. Este foi um dos primeiros casos reais de aplicação deste novo algoritmo.


P: Por que vocês não podem simplesmente infectar um PC, alterar a data para 1 de abril e ver o que acontece?

R: Não é assim que o worm funciona. O worm se conecta a certos websites para obter o dia e horário.


P: Verdade? Então apenas desative os websites de onde ele obtém o dia e horário e o problema vai embora!

R: Não é possível. São websites como google.com, yahoo.com e facebook.com.


P: Mas a F-Secure poderia com certeza forjar google.com em um laboratório para fazer com que uma maquina infectada conecte-se a um site de download hoje!

R: Com certeza. E não há nada para ser copiado dos sites de download hoje. Pode ser que haja alguma coisa em 1 de abril, pode ser que não haja coisa alguma.


P: Agora estou preocupado. Como sei se estou infectado?

R: Visite http://www.f-secure.com, por exemplo. Se você não consegue abrir o site então seu computador pode estar infectado com Downadup/Conficker. Este worm bloqueia o acesso a websites de fornecedores de produtos de segurança.


P: De onde vem o nome "Conficker"?

R: Conficker é uma variação do nome "trafficconverter", um website no qual a primeira variante do worm se conectava.


P: Por que o worm tem dois nomes, Downadup and Conficker?

R: Ele foi encontrado quase simultaneamente por várias empresas de segurança, esta é a razão da existência de mais de um nome para o mesmo worm. Hoje a maioria das empresas usa o nome Conficker. Há ainda uma confusão sobre as letras de variantes do worm.


P. Quantos computadores estão atualmente infectados por Downadup/Conficker?

R: Aproximadamente 1-2 milhões de acordo com a F-Secure. A empresa não tem um número exato, deste conjunto de 1-2 milhões, de máquinas que estejam infectadas pela última versão do worm.


P: Como a indústria está reagindo a tudo isto?

R: A indústria reagiu formando o "Conficker Working Group". Os membros deste grupo incluem fornecedores de produtos de segurança, órgãos de domínio (registrars), pesquisadores e outros.


P: Gostaria de mais detalhes técnicos sobre o worm.

R: Na seção "Mais informações" você pode encontrar a descrição do worm. Há também um artigo excelente da SRI International, listado na mesma seção.


P: Quando foi descoberta a primeira variante de Downadup/Conficker?

R: Foi descoberto em 20 de novembro de 2008.


P: Foi descoberto há mais de 4 meses atrás? Gostaria de uma linha do tempo que mostre os eventos relacionados ao Conficker no decorrer do tempo.

R: Byron Acohido tem uma linha do tempo em seu blog, The Last Watchdog. O post está listado na seção "Mais informações".


P: Existe uma ferramenta de remoção disponível?

R: Há diversas ferramentas de remoção disponíveis. O CAIS recomenda as ferramentas da


F-Secure, Kaspersky e McAfee, relacionadas na seção "Mais informações".



MAIS INFORMAÇÕES


. Conficker Working Group

http://www.confickerworkinggroup.org/wiki/

. Questions and Answers: Conficker and April 1st (F-Secure Weblog)

http://www.f-secure.com/weblog/archives/00001636.html

. SANS ISC Handler's Diary 2009-03-29: April 1st - What Will Really Happen?

http://isc.sans.org/diary.html?storyid=6091

. An Analysis of Conficker C (SRI International)

http://mtc.sri.com/Conficker/addendumC/index.html

. Descrição: Worm:W32/Downadup.DY (F-Secure)

http://www.f-secure.com/v-descs/worm_w32_downadup_dy.shtml

. Ferramenta de remoção F-Secure

http://support.f-secure.com/enu/home/onlineservices/fsec/fsec.shtml

. Ferramenta de remoção Kaspersky

http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.3.3.zip

. Ferramenta de remoção McAfee

http://vil.nai.com/vil/stinger/

. SANS ISC Handler's Diary 2009-03-13: Third party information on conficker

http://isc.sans.org/diary.html?storyid=5860

. The evolution of an extraordinary globe-spanning worm (Blog The LastWatchdog)

http://lastwatchdog.com/evolution-conficker-globe-spanning-worm/


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.


Os Alertas do CAIS também são oferecidos no formato RSS/RDF:

http://www.rnp.br/cais/alertas/rss.xml


Atenciosamente,

###################################################

CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANÇA (CAIS)

Rede Nacional de Ensino e Pesquisa (RNP)


cais@cais.rnp.br http://www.cais.rnp.br

Tel. 019-37873300 Fax. 019-37873301

Chave PGP disponível http://www.rnp.br/cais/cais-pgp.key

###################################################


Via e-mail do amigo Airis Paraguassu

Hoplon e IBM lançam game Taikodom

terça-feira, 24 de março de 2009
Esta notícia normalmente não apareceria neste blog, afinal, lançamento de games não é meu forte.

Mas, assistindo uma palestra sobre mainframes, José Eduardo Varella, Gerente de Relacionamento de Universidades para Mainframe, da IBM, citou o game Taikodom, da brasileira Hoplon Infotainment, como um exemplo de inovação e robustez da plataforma mainframe.

O Taikodom é um desses jogos chamados de MMORPG, Massively ou Massive Multiplayer Online Role-Player Game, ou seja, um RPG para ser jogado online com muitos jogadores simultâneos.

Exemplos desse tipo jogo são o GunBound, WYD, Ragnarok Online, Trevian, MU, etc.

Esse jogos usam nos servidores um sistema chamado Cluster, onde vários computadores são interligados e funcionam como se fossem uma única máquina.

Pois bem, na Hoplon, a coisa é diferente. Em parceria com a IBM do Brasil, eles juntaram a capacidade de centenas de milhares de conexões e transações simultâneas dos mainframes IBM System z10, com o poder gráfico dos chips CELL, os mesmos do Playstation 3. Juntando tudo isso, surgiu o Gameframe.

O IBM System z10 equivale a aproximadamente 1500 servidores x86, apresenta 85% menos custo de energia e até 85% menos espaço físico.

Mais informações (e como jogar): www.taikodom.com.br

Gadget ajuda a matar mosquitos e prevenir doenças

O combate aos mosquitos parece realmente estar na mira dos cientistas. Depois da idéia do laser que pulverizaria a praga surge o ProVector Bt, armadilha em forma de flor que se aproveita de características do mosquito que poucos conhecem.

Thomas Kollars, da Universidade da Geórgia do Sul se baseou na premissa de que, embora apenas as fêmeas piquem, os mosquitos machos preferem sugar o néctar das flores ao invés de sangue humano, e daí teve a idéia de construir uma armadilha que lembrasse uma flor. Uma vez exterminados os machos, os mosquitos acabam em até 15 dias, ciclo de vida máximo desses insetos.

Feita do mesmo plástico utilizado para confeccionar capacetes de futebol, o ProVector Bt é dividido em quatro cores, vermelho, azul, verde e amarelo, utilizadas especialmente por serem as cores que atraem diversos tipos de mosquitos. O gadget foi desenvolvido para ajudar a diminuir a incidência de doenças como febre amarela, malária, dengue e outras, em países subdesenvolvidos e em desenvolvimento, uma vez que tem uma produção barata.

Apesar do objetivo mortal da flor de plástico, Kollars não deixou de pensar no meio ambiente quando planejou seu invento. A flor é alimentada com o biopesticida Bt, que age de forma seletiva, matando apenas os mosquitos. Uma tela no centro do produto também garante que apenas a “boca em formato de tubo” do inseto possa passar, garantindo que outras espécies não caiam na armadilha.

Outro modelo, o ProVector M, tem a capacidade de matar apenas o parasita que causa a malária, deixando o mosquito vivo para não desequilibrar o ecossistema, noticiou o site WSAV.

“Enganamos os mosquitos para que venham até a armadilha e comam-na”, disse Kollars. “Esse é um aparato muito ecológico que utiliza um biopesticida seguro, então pode ser seguramente utilizado em residências. Nenhum pesticida é borrifado no ambiente”, completou.

Em testes realizados em um instituto de pesquisa, o produto exterminou entre 50% a 100% dos mosquitos em questão de dias.

Segundo o site New Scientist o ProVector Bt está sendo atualmente testado nas matas de Porto Rico e em vários outros países, e a Medical Infusion Technologies pretende produzir e revender o produto ainda este ano. O preço será de aproximadamente US$ 10, com o refil valendo apenas US$ 1.

Via Geek

Gateway lança notebook para jogos

quarta-feira, 18 de março de 2009
A Gateway, subsidiária da Acer, lançou o P-7808u FX Edition, um notebook para jogos equipado com o processador Intel Core 2 Quad Q9000 (clock interno de 2 GHz, clock externo de 1.066 MHz, 6 MB de cache L2), 4 GB de memória RAM, chip gráfico GeForce 9800M GTS com 1 GB de memória GDDR3 dedicada, tela de 17” (resolução nativa de 1440 x 900), disco rígido de 500 GB, slot ExpressCard, rede Gigabit Ethernet e WiFi (802.11 a/g/n), leitor de cartões de memória, gravador de DVD 8x, webcam integrada de 1,3 Mpixel, três portas USB 2.0, uma porta Firewire, uma porta eSATA e vem com o sistema operacional Microsoft Windows Vista Home Premium 64 bits Edition instalado. O notebook Gateway P-7808u FX custa no Brasil R$ 6.590 (nos EUA ele custa US$ 1.799,99).

Mais informações aqui.

Via Clube do Hardware

IBM negocia compra da Sun

A IBM está negociando a compra da Sun Microsystems, afirma reportagem do Wall Street Journal desta quarta-feira (18/03).

A gigante azul teria oferecido 6,5 bilhões de dólares em dinheiro, diz a reportagem, sem citar fontes. Este valor é quase o dobro do que valiam os papéis da Sun no fechamento do mercado de ações, na terça-feira (17/03), quando cada ação estava cotada a 4,97 dólares.

A IBM e a Sun competem no mercado de servidores, computadores de alto desempenho, para o mercado corporativo.

A Sun registrou receita de 3,2 bilhões de dólares no último trimestre de 2008, cerca de 1,2 bilhão de dólares só das vendas de servidores. O resultado coloca a Sun em quarto lugar no mercado de servidores, atrás da IBM, HP e Dell. Apesar de trazer pouca receita, a Sun possui ainda um negócio de softwares, que registrou receita de 42 milhões de dólares, do sistema operacional Solaris. Além disso, a Sun possui softwares open source, incluindo a base de dados MySQL, que ainda não conseguiu monetizar.

Uma fusão entre a IBM e a Sun pode trazer benefícios às duas empresas, segundo o diretor de programa da European System Infrastructure Soluctions da IDC, Nathaniel Martinez. Com relação ao MySQL, “trazendo a IBM para o cenário, com sua ajuda em serviços, em um futuro as licenças poderiam se transformar em dólares de verdade”, diz o diretor.

A Sun também possui uma grande base de servidores instalada, muitos migrando para o Linux. Um acordo seria uma forma de a IBM incorporar os clientes da Sun que usam servidores baseados em RISC, diz Martinez.

Via IDG Now!

Como resetar a senha do administrador (Active Directory - Windows 2003)

quinta-feira, 12 de março de 2009
O blog americano Geeks are Sexy publicou um tutorial sobre como resetar a senha do administrador de um Active Directory do Windows Server 2003.

http://www.geeksaresexy.net/2009/03/12/how-to-reset-your-lost-2003-active-directory-admin-password/

Em inglês.

Com novo método, baterias recarregáveis recuperam carga em segundos

quarta-feira, 11 de março de 2009
Pesquisadores do Massachusetts Institute of Technology (MIT) anunciaram nesta quarta-feira (11/03) um novo método que permite a criação de baterias recarregáveis para celulares e outros dispositivos que recuperam sua carga em segundos.

A descoberta usa as já existentes baterias recarregáveis de íons de lítio, melhorando o trânsito da energia elétrica entre os componentes com a mudança da estrutura interna - que é, inclusive, mais leve.

A equipe fez com que as altas densidades de energia das atuais baterias, que armazenam boa quantidade de carga, funcionem com mais velocidade para aumentar sua capacidade em carregar e descarregar a energia.

Com a descoberta, foi criada uma pequena bateria que pode ser carregada entre 10 e 20 segundos.

Como os materiais utilizados já existem, os pesquisadores acreditam que estas baterias podem chegar ao mercado em cerca de dois anos.

Via IDG Now!

Porque pessoas de TI parecem estar sempre fazendo nada

quinta-feira, 5 de março de 2009

Via [Geeks are Sexy]

Padres italianos querem banir tecnologia durante quaresma

Padres italianos estão pedindo aos jovens de seu país para que deixem de lado sua vida tecnológica na época de Quaresma, abandonando iPods, celulares, vídeos online e comunidades sociais como o Facebook.

O Arcebispo Benito Cocchi declarou que o pedido de abstinência moderna será importante para que a juventude italiana “purifique a si mesma do mundo virtual e se voltem para seu interior”.

Para os mais velhos, os padres recomendam que, além de deixar de lado os iPods e a internet, que também evitem utilizar seus carros e jogar vídeo game. Para entrar em contato com amigos, a igreja católica sugere que as pessoas caminhem até a casa da pessoa para dar um pessoal e enorme “Olá”, noticiou o site TG Daily.

A Quaresma é uma tradição católica que teve início no ano de 325, no Conselho de Nicéia. É um período de quarenta dias no qual os católicos deixam de lado algo que lhes agrada, como chocolate, sexo, carne e televisão, num ato simbólico de reconhecimento pelo sofrimento de Jesus.

De acordo com o site IT Examiner, a juventude italiana considerou o pedido da igreja católica como uma piada, e acha que essa é só mais uma prova de que a congregação não está conectada com sua geração.

Via Geek

Sem TV analógica, parte dos EUA sofre com sinal digital

Sinal fraco. Pouca adesão por parte dos consumidores. E dúvidas, muitas dúvidas.

Falando assim, pode-se pensar que estamos criticando a TV Digital brasileira. Mas, não! Essa é a TV Digital americana, que vai de mal a pior!!

Os entraves se alastraram por parte dos EUA e devem se aprofundar no decorrer do ano no país. Isso porque um terço das emissoras de TV de lá desligaram os sinais analógicos. Muitos fizeram o desligamento a partir da data original, 17 de fevereiro, que foi postergada pelo governo para o dia 12 de junho.

A maioria de estações que efetuou o desligamento se localiza em cidades pequenas ou áreas com populações esparsas. As emissoras localizadas em grandes cidades esperarão o dia 12 de junho.

Não são apenas as regiões rurais ou pequenas cidades dos EUA que estão tendo problemas com a fase de desligamento do sinal analógico, que estava no ar há quase 70 anos por lá. Dificuldades também foram verificadas em salas de aeroportos com conexão wireless e TV para celulares.

No Brasil, o chamado "switch off' está marcado para 2016. O governo, no entanto, já admitiu a possibilidade de atrasar seu cronograma. A TV digital brasileira estreou oficialmente em 2 de dezembro de 2007. Cerca de um ano depois, 0,3% da população tinha acesso ao sinal.

Via Folha