segunda-feira, 28 de novembro de 2011

Como funcionam os antivírus?


Olá pessoal!
No último post um colega levantou uma questão sobre os antivírus não detectarem vírus em alguns programas.
Ele tem razão.
Mas você sabe porque?
Não pretendemos aqui esgotar o assunto, mas vamos tratar o caso mais comum: um arquivo executável infectado com vírus.
Primeiro vamos estabelecer o seguinte:
1 - é impossível ler um executável. Você não consegue abrir um executável no word ou no notepad para ver o que tem dentro. Ele é codificado, e é justamente esta codificação que permite que ele seja executado pelo sistema. A codificação é feita em um processo chamado compilação, no qual você pega o código fonte, este sim legível, e gera o executável. Existem algumas técnicas de engenharia reversa para tentar "descompilar" um executável, mas nenhum antivírus faz isso.
2 - nem tudo é vírus. Quando você usa o Gmail ou o Latitude, informações suas são capturadas e enviadas para a Google, mas não há nada de malicioso nisso, pois estava tudo claramente descrito nos Termos de Uso que você leu e aceitou (você leu né?).
Vírus, ou Malware como eu prefiro, é um código, um programa, ou uma parte de um programa, que usa de artifícios para fazer algo que você não autorizou, como por exemplo, ser executado disfarçado dentro de um jogo, capturar tudo o que você digita e enviar para hacker@deusmelivre.com, ou criptografar todo o conteúdo da pasta Meus Documentos e depois mandar um email pra você dizendo "paga milão que eu te falo a senha".
Ok?
Vamos em frente...
Os antivírus dispõem basicamente de duas maneiras para reconhecer um vírus: Assinatura e Heurística.
Como mais de 90% dos vírus são reconhecidos por assinatura, vamos deixar a heurística para outro post.
Essa tal assinatura é o seguinte.
Digamos que a cada letra do alfabeto corresponde um número: a=01, b=02, c=03, e assim por diante.
Imagine que você tem um texto qualquer. Uma frase. Você pega uma por uma as letras que formam esta frase e executa uma operação matemática com o valor a que ela corresponde, por exemplo, somar os valores das letras.
No final dos cálculos você irá obter um número.
Este número seria a "assinatura" da frase, pois se mudarmos uma letra na frase o resultado final também mudará.
Tecnicamente, a operação matemática se chama ALGORÍTIMO, e o número resultante dela é o HASH.
No nosso mundo de TI, os algorítimos mais comuns são o MD5 e o SHA, que produzem hashes semelhantes a isso:
6559f1c832e7a6dda1ee7485073743d5 (MD5)
67827fb805c4ad04fd9f1c6f0f22cd731d6a21754438c9af7791f9f1c6ebf092 (SHA256)
Para que um algorítimo seja bom é muito importante que origens diferentes não possam gerar o mesmo hash, que é o que chamamos de colisão de hash.
Tá acompanhando?
Então vamos adiante.
Quando você atualiza seu antivírus, o que você faz é download de um arquivo contendo uma lista enorme de hashes de arquivos identificados como vírus, que é a tal da "pattern". Um banco de dados de hashes de vírus.
E quando você faz uma varredura, o que seu antivírus faz é aplicar o algorítimo a cada arquivo do seu disco, e comparar o resultado com a pattern. Se o resultado for encontrado é virus, senão... não é.
Simples não é?
Pois é... Mas vamos aos problemas...
Você sabe quantos arquivos existem no seu micro?
Num micro típico, apenas com Windows e Office, são cerca de 100mil, e se você tem mais uma dúzia de programas instalados e o computador está em uso a mais de 1 ano, este número deve ter passado de 1milhão de arquivos.
E tem ainda os arquivos da rede... sabe quantos temos?
Só arquivos .exe no nosso servidor são cerca de 135mil.
A esta altura você já deve ter percebido que o tal banco de dados de hashes de vírus, deveria ter o hash de cada um destes arquivos. Não só os do meu micro, do seu micro, e do servidor, mas de todos os arquivos existentes no mundo.
Você acha que ele tem isso?
Pois é... não tem.
E é por isso que em alguns casos os antivírus não detectam um vírus.
Na prática, para que o hash de um vírus passe a integrar esta base de dados, é necessário que alguém envie ao fabricante do antivírus o arquivo que supostamente é o vírus. Sem isso o fabricante não pode fazer a análise, confirmar que é vírus, gerar o hash para colocar na base de dados, e trabalhar em uma vacina.
Mas o caos não termina ai...
Se eu alterar um único bit no arquivo, altera-se completamente o hash, e o que acontece...
ISSO MESMO!!!
O antivírus não vai detectar novamente.
Que encrenca não é?
É quase desanimador... Mas... se é ruim com ele, sem ele é muito pior!
Então por mais que o seu antivírus seja falho, mantenha ele instalado e sempre atualizado!
Até o próximo!
Postado por às Nenhum comentário:
Marcadores: , , , , ,

segunda-feira, 21 de novembro de 2011

Cada um com seus problemas.

Se eu já tenho problemas de mais, por que devo me preocupar com o problema dos outros?
Esta parece que foi a linha que orientou a decisão (ratificada) da Microsoft com respeito a atualização de programas e aplicativos de terceiros.
 
A gente já comenta aqui bastante sobre como é importante manter seu computador atualizado.
Não estamos falando de ter a máquina mais rápida do mercado, mas sim de ter sempre os programas com as últimas versões e PRINCIPALMENTE com todas as correções instaladas.
Muita gente até já criou o hábito.
O que algumas pessoas não sabem é que acessar o WindowsUpdate e mandar atualizar tudo não tapa todos os buracos...
Através do WindowsUpdate, a Microsoft se limita a disponibilizar SOMENTE as atualizações dos programas de sua responsabilidade, e recentemente Farzana Rahman, diretora de programação da companhia, deu o recado "cada um com seus problemas", afirmando que nada muda nesta estratégia com o lançamento do Windows8.
Então quem tem que se preocupar com atualizar e instalar correções dos aplicativos que tem instalado?
Só tem uma chance...
Muito bem!
Isso mesmo!
Acertou!
VOCÊ.
E para ter noção do tamanho deste trabalho, olhando apenas o Adobe Reader e o Flash Player (que todo mundo tem), só em 2011 um teve 9 e o outro 5 atualizações (correções de segurança).
Isso significa dizer que se você não atualizou nenhum desses 2 programas, existem 14 formas diferentes, bem documentadas, com passo-a-passo e vídeo no Youtube, mostrando como explorar estas vulnerabilidades e hackear o seu comutador, ter acesso a seus dados, suas senhas, tudo o que você digita, tudo que você vê, acesso a seu microfone, sua webcam, MSN, email, etc. etc. etc.
Você instalou estas correções?
Sabe se os outros programas que você tem instalado têm correções?
Você sabe quais são todos os programas que estão instalados?
Xiiiii... Acho que seu computador está vulnerável.
Corre lá e atualiza!
Até o próximo.
Postado por às Nenhum comentário:
Marcadores: ,

quarta-feira, 16 de novembro de 2011

Boatos...



Olá pessoal!
Comente aqui quem nunca recebeu um email com aquelas famosas correntes, ou com aquelas histórias do amigo da minha amiga que tinha um sobrinho que falou da vizinha, com uma história intrigante, chocante ou dramática.
Pois é... existem emails com essas "lendas urbanas" circulando pela internet a anos!!!
As pessoas recebem, lêem, acreditam, e repassam, e repassam... e repassam... e seguem repassando.
Segue aqui alguns já famosos.
Peixe Panga - Perigo para a saúde!
Em outubro de 2011, começou a circular pela web texto no qual o autor divulga notícia de que não deveríamos comer o tal peixe, pois estaria contaminado com altos níveis de venenos e bactérias nocivas à saúde humana!
Telamonia dimidiata - A aranha venenosa dos vasos sanitários!
História de que 3 mulheres haviam morrido na Flórida, nos EUA, depois de usarem o mesmo vaso sanitário. De acordo com o texto, a causa da morte seria a picada da tal aranha.
Mondex - A nova moeda do mundo!
Está sendo criado um micro-chip que será implantado sob a pele, e com este projeto mundial, os governos instalarão um micro-chip nas pessoas que, com esse implante, poderão fazer transações financeiras e inclusive abolir o uso de outros documentos.
OVNI - O Disco Voador de Embu da Artes!
Várias pessoas avistaram um estranho objeto sobrevoando os céus, e inclusive postaram vídeo no Youtube. As luzes rodando em volta de seu eixo formaram uma enorme circunferência que, segundo testemunhas, teria ficado várias horas no céu.
Desaparecimento - Funcionário do Banco do Brasil busca filho desaparecido!
Já circula há vários anos email no qual o autor pede ajuda para encontrar o filho de um colega do Banco do Brasil, em Franca. Junto com o texto, o autor anexa 3 fotos de um garoto.
Câmera grava um anjo caindo do céu em Jacarta!
Sem comentários...
O site é meio poluído, mas fica como dica - http://www.e-farsas.com.
Tem outras matérias no Terra, Quatrocantos, Tecmundo, SuperInteressante, e ainda a sempre útil Cartilha de Segurança do CERT.br.
Além de encher nossas caixas postais com besteiras, o maior risco é que muitas destas mensagens nos levam a sites comprometidos, que podem nos infectar com vírus. Outras mensagens já trazem o bichinho anexado.
Muito cuidado!
Você não vai querer passar a vergonha de cair numa mentira dessas e sair por ai espalhando não é?
Até o próximo!
Postado por às Nenhum comentário:
Marcadores: , ,

segunda-feira, 14 de novembro de 2011

Android - você ainda vai ter um monstrinho desses.

Não precisa nem de bola de cristal para afirmar que um dia você vai usar Android, o sistema operacional para dispositivos móveis da Google.
E eu diria que este dia vai chegar bem rápido.
E o que é esse tal Android?

É um sistema operacional (como Windows, Linux, MacOS, etc.), como núcleo Linux, cujo desenvolvimento é mantido pela Google.

Era uma vez uma empresa chamada Android Inc. que em 2005 foi adquirida pela Google.
Em 2006 o mercado já estava cheio de especulações sobre a Google estar entrando no mescado de celulares.
Em 2007 foi anunciada a criação da Open Handset Alliance, uma associação de grandes empresas como HTC, Dell, Intel, Motorola, Qualcomm, Texas Instruments, Samsung, LG, T-Mobile e Nvidia, capitaneadas pela Google, com objetivo de criar tecnologias e estabelecer padrões abertos para telefonia móvel, e já começou anunciando que tomaria conta do projeto Android dali pra frente.
A lista de membros atuais (e atuantes) da Open Handset Alliance impressiona. Vou citar 3: China Mobile Communications Corporation, China Telecommunications Corporation, e China United Network Communications.
Em 2008 o telefone Dream, da HTC, foi o primeiro aparelho de mercado a utilizar Android, e no começo de 2011 o Motorola XOOM foi o primeiro tablet comercial a usar este sistema operacional.

Se você resolver passear em Foz do Iguaçu neste final de ano, e for dar uma voltinha do outro lado da ponte, vai ver que nas lojas de eletrônicos a grande maioria dos tablets vendidos rodam Android, com preços que começam abaixo da faixa de US$100,00. Como é difícil argumentar contra números!!!
Desde o primeiro aparelho em 2008 até os dias atuais, o Androiod saiu do zero e alcançou 1/3 do mercado de tablets e 1/2 do mercado de smartphones.
Estima-se que em 2012 70% do mercado esteja "consumindo" Android.

Uma curiosidade... em 19 de Outubro foi lançada a versão 4.0, que recebeu o nome "Ice Cream Sandwich". Desde a primeira versão elas são "batizadas" com nomes de doces ou bolos em inglês, e seguem uma ordem alfabética: 1.0 - Apple Pie, 1.1 - Banana Bread, 1.5 - Cupcake, 1.6 - Donut, 2.1 - Eclair, 2.2 - FroYo, 2.3 Gingerbread, 3.0 - Honeycomb.
Legal, mas o blog aqui é de segurança... e ai?
É o preço da fama...O hacker pensa assim: "Porque vou gastar meu tempo com Symbian, IPhone ou BlackBerry? Vou no Android que tá bombando!"

Assim como nos computadores com Windows, se você tem um celular ou tablet com Android, você está bem no meio do alvo.

Estive brincando com um tablet da Foston. Usando as configurações e aplicativos que vêm de fábrica posso acessar meu Gmail, GoogleMaps, GPS, Skype, MSN, fazer e receber ligações, SMS, Latitude, GoogleTalk, Youtube, email corporativo, etc.
Acontece que ele nem pede senha para desbloquear a tela.
Que interessante!
Quer dizer que qualquer pessoa que colocar as mãos nele pode acessar meu Gmail, GoogleMaps, GPS, Skype, MSN, fazer e receber ligações, etc. etc. etc.
Não tem antivírus e está rodando a versão 2.2, ou seja, não houve nenhuma preocupação com segurança por parte do fabricante.
Legal! E quem tem que se preocupar com a segurança então?
:(
Já que é assim... lá vai algumas dicas:
Atualize o Android - MUUUUITO cuidado nesta hora!!! Se você não sabe como fazer, procure alguém que saiba, e que seja de sua confiança. Nem todos os aparelhos suportam atualizações do Android, e normalmente cada fabricante lança seu pacote de atualização.
Instale um Antivírus - Existem os pagos e os free. Você pode escolher no Android Market entre Lookout Mobile Security, AVG Anti-virus Pro, NetQin Anti-virus, Dr. Web Anti-Virus, TrendMicro Mobility Security, Kaspersky e outros. Não esqueça de mantê-lo sempre atualizado.
Instale ferramentas de Lock&Wipe - São ferramentas que permitem a você remotamente "zerar" o aparelho, apagando dele todas as suas informações. Isso é muito útil em caso de perda ou furto. IMPORTANTE - Faça testes e esteja pronto para usar. O momento de pânico não é o melhor para aprender a fazer o wipe.
Desconfie dos aplicativos - A plataforma é aberta, e qualquer um pode escrever uma aplicação para Android. Já existem vários casos de aplicações contendo código malicioso, e lembre: Um malware no seu Android pode fazer tudo o que você faz e mais o que você não sabe fazer.
Por enquanto é isso pessoal.
Postado por às Nenhum comentário:

terça-feira, 8 de novembro de 2011

Exposição Voluntária


Olá pessoal!
Já faz tempo que estamos falando dos riscos de publicarmos por ai nossas informações.
Endereço, telefone, fotos... enfim informações que alguém mal intencionado pode usar para fazer o que bem entender.
Cyberstalking é o uso da internet para vigiar ou rastrear pessoas, grupos, empresas, etc.
O Facebook, que vem substituindo o Orkut com folga, é um prato cheio para esta prática, e o fato de as pessoas "abrirem sua vida" na web torna muito fácil obter informações extremamente críticas.
O diretor de cinema Jason Zada criou um projeto chamado "Take this Lollipop" (pegue este pirulito), que procura sensibilizar as pessoas sobre este risco.
Trata-se de um aplicativo do Facebook que interage com um vídeo no qual a vítima é você.
Através do site do projeto você permite que o aplicativo se conecte ao seu perfil e tenha acesso às informações públicas.
Eu poderia colocar aqui um vídeo, mas certamente o efeito que a experiência causa só pode ser alcançado se você individualmente vivenciá-la, portanto, o desafio que proponho é o seguinte:
- acesse ai o endereço do projeto (http://www.takethislollipop.com)
- é preciso ter conta no Facebook e aceitar o aplicativo
- escreva um comentário neste post contando sua experiência
Até mais!
Postado por às Um comentário:

SPAM + Vírus

Olá pessoal!


Uma das formas mais comuns de se disseminar vírus é o envio de SPAM.
Não custa nada!
Basta criar uma conta qualquer, pegar uma lista com trocentos endereços e enviar.
Se tiver 0,quasenada% de sucesso já é sucesso.
Se o Spamer enviar para 100mil endereços e apenas 1 retornar informando dados para acesso ao banco, já dá para limpar a conta da vítima, e ainda, quem sabe, se o saldo for baixo, dá pra fazer um empréstimo e usar a grana.
Pois é... mesmo sendo o meio mais comum deste tipo de fraude, muita gente ainda cai nessa.
Recentemente, respondendo a um incidente, fizemos uma análise que, apesar de simples, acho que pode ajudar alguém, e seguindo o mesmo raciocínio do spamer... se ajudar uma só pessoa já é lucro!!!
Então vamos lá.
Suponha que você recebeu o email abaixo

A técnica é a seguinte:
Clique com o botão direito no link e escolha a opção "Copiar atalho"
Abra o navegador e vá para o site da VirusTotal (http://www.virustotal.com), e escolha a opção "Submit a URL".
Clique com o botão direito no espaço disponível e selecione "Colar" para gravar ai o endereço que você copiou no link do email.
Em seguida clique em "Submit URL".
O site irá submeter este endereço à análise de 16 ferramentas diferentes de reputação.
Neste nosso caso, duas delas informam tratar-se de um site com vírus.
É possível ainda verificar a análise do arquivo oferecido para download, neste caso um ZIP, e de seu conteúdo, clicando em "View downloaded file analysis", e neste nosso caso, 22 das 42 ferramentas informam tratar-se de vírus.
Conclusão?
É vírus do brabo!!!
A diferença entre ser vítima e não ser vítima se resume a ter a capacidade de desconfiar do email recebido e usar técnicas e ferramentas como esta.
O que você acha?


Dá um pitaco ai...
Postado por às Nenhum comentário:
Assinar: Postagens (Atom)