Cada desafio requer uma análise detalhada, conhecimento de algumas ferramentas usadas por profissionais de segurança da informação e muita paciência!

Nem sempre o óbvio é a resposta!

Acesse www.100security.com.br/wargame, participe e comente seus resultados.

Ano novo, vida nova… Feliz 2012 para você.

Bom, vamos começar uma nova fase e quero começar bem, falando a verdade para quem deseja a verdade pura e simplesmente real.

Eu sei que muitas pessoas vão discordar do contexto do artigo, a começar pelo título, mas eu o desafio a ler o artigo até o final e se mesmo assim discordar, pode me xingar, espernear, pular, comentar, enfim… mas se concordar, deixe seu recado no comentário.

Sou usuário dos produtos da Microsoft desde o famigerado MSDOS 6, na época ainda não existia a possibilidade de executar uma tarefa de cada vez, pois o sistema ainda era monousuário, ou seja, somente um usuário poderia usá-lo de cada vez – e sob essa premissa nao seria possível abrir e imprimir ao mesmo tempo, não existia o particionamento do sistema em tempo real, como nos sistemas atuais. Naquele tempo já existiam alguns vírus muito potentes que vinham inclusos no sistema, ex:  format c: /q – deltree *.* /y #troll

Embora seja apenas uma piada a dica acima, eu mesmo cometi algumas burradas executando esses comandos que aprendia numa escolinha e depois praticava em casa e hoje ainda a maioria dos usuários caem em armadilhas parecidas com essa.

Quando eu digo que o Windows seria menos vulnerável se o usuário fosse mais inteligente, eu falo daqueles usuários que abrem anexos sem saber de que se trata, mesmo se dando conta de que não conhece a pessoa que enviou…

Num desses dias de helpdesk eu fui chamado por uma cliente para resolver um problema de um vírus que teimava em não sair… fui até o local, excluí o vírus, deixei o sistema limpo… mas no outro dia fui chamado novamente… só depois do serviço pronto, a secretária me diz: “Neto, espera aí… eu queria que você me auxiliasse… meu irmão me mandou umas fotos e eu não consigo abri-las…”, pronto, aí estava a chave do problema… as tais fotos eram um arquivo com extensão dupla (“fotos.exe.zip”), que na verdade era um arquivo infeccioso.

Se fôssemos analisar as situações em que as infecções do sistema ocorrem, 99% se devem à imprudência do próprio usuário, analisemos algumas delas:

Primeiro caso: O usuário recebe uma mensagem do tipo “Olha ae aquelas fotos que tiramos juntos…” com anexo, a primeira coisa que ele deveria fazer é se certificar que é verdadeira, “se fazendo” a pergunta: “Eu e o fulano tiramos fotos juntos? onde? quando?” ou então ligando/mandando uma mensagem para o remetente, mas a primeira coisa que ele faz é tentar abrir o anexo. Resultado? Vírus!

Observe na imagem acima que o link para o arquivo a ser baixado é estranho, não aponta para o arquivo a ser baixado.

Segundo caso: O usuário recebe uma notificação de segurança de um banco qualquer (ex: Santander), naturalmente ele teria que saber se é correntista do tal banco, se fosse, ligaria para o banco para saber se a mensagem é verdadeira, no máximo ele poderia investigar se os dados/link da mensagem são verdadeiros… mas a primeira coisa que ele faz é baixar a tal atualização. Resultado? Vírus!

Veja na imagem acima que o link apresentado na barra de status não tem nada a ver com o nome/site do banco, o endereço do servidor é igualmente estranho e o link do servidor de email www.santanderempresas.com.br aponta para um outro link, que está sendo bloqueado com suspeita de pishing (site falso que tem como função “pescar” informações verdadeiras).

Terceiro caso: O usuário está conectado via Messenger e recebe uma mensagem de um de seus contatos do tipo: “hey, e essas fotos, hein?” e com um link… qual a primeira coisa que ele faz? Clica no link, depois pergunta pra pessoa que enviou… Resultado? Vírus!

Quarto caso: A pessoa recebe um link no Orkut ou qualquer outra rede social, com aquelas animações, fotos, etc, a primeira coisa que ele faz é clicar no link e quando se dá conta da burrada, sua conta foi hackeada e está sendo usada para disseminar o viral que pode bloquear a conta de seus amigos.

Quinto caso:  O usuário entra na internet, pesquisa algo sobre antivírus e recebe um aviso: “Seu sistema não tem um antivírus instalado… clique aqui e instale um gratuitamente…”, ele nem sequer saber se existe um antivírus (normalmente é de se prever que um técnico, por mais ruim que seja, tenha instalado um antivírus, nem que seja esses que valem por um ano) instalado e, antes de certificar, clica no tal link e… pronto! Está instalado um falso antivírus, que checa o sistema, exibe um monte de falso positivo e na hora de “limpar”, pede para ser registrado…

Sexto caso: O usuário coloca um pendrive – sabe-se lá onde ele esteve conectado – e ao ser alertado sobre vírus, simplesmente NÃO LÊ a mensagem e executa o conteúdo… isto me parece imprudência, pra não dizer burrice.

Recentemente alertamos em nosso blog sob o tema Fique alerta! Novo pishing avisa que conta do hotmail sera bloqueada de um caso de pishing que simulava perfeitamente o site do hotmail e capturava a conta e a senha do usuário. Com certeza milhões de pessoas caíram na armadilha.

Ainda culpam o sistema… e sempre tem um adepto do Linux de plantão pra disparar a famosa frase: “instala linux que não pega vírus”…

Os motoristas-bêbados deveriam processar a empresa que fabrica a bebida alcoólica…

Não se trata de usar esse ou aquele sistema, cada um usa aquele que deseja ou que atenda às suas expectativas. Eu, por exemplo, uso – e gosto – tanto do Linux quanto do Windows. O Linux me oferece coisas que o Windows não tem (rapidez, compatibilidade, liberdade, segurança, etc) e o Windows me possibilita certos recursos que o Linux ainda não pode oferecer (ex: maior gama de softwares/utilitários, beleza, entre outras coisas). Um usuário inteligente não troca de sistema operacional no primeiro problema, mas ultrapassa barreiras e aprende com a situação… eu recomendo que troque somente se for EXTREMAMENTE NECESSÁRIO.

Já dizia Aristóteles: O ignorante afirma, o sábio duvida, o sensato reflete, portando antes de tomar uma decisão, pense!

E a mais pior das imprudências é usar um sistema não original, pois somente o original garante que todas as falhas de segurança serão resolvidas através da atualizações e não adianta afirmar que este ou aquele crack que um amigo/sobrinho/técnico instalou burla o sistema de validação, mais cedo ou mais tarde ele será descoberto e quanto mais cedo isso acontecer, mais cedo o usuário descobre que só tem duas alternativas: Ou aprende a usar o sistema ou adquire um sistema operacional que ofereça menos risco, embora ainda não tenham desenvolvido um que seja à prova de imprudência, pois mesmo o linux, se o usuário fizer a atualização do pacote errado (por falta de conhecimento de compatibilidade), pode resultar em erros de sistema (Kernel Panic).

Como evitar cair nesse tipo de armadilha?

Primeiramente, fuja dessas correntes de email apelativas, que trazem imagens de crianças desaparecidas, com doenças raras, e até aquelas com paisagens suntuosas, com promessa de sorte, signos, outras que têm (aparentemente) tons de informação (tipo: o Hotmail será pago… tirar nome do SPC/SERASA sem gastar nada), etc, todos são armadilhas! Não passe adiante, exclua;

Nunca abra um anexo a menos que tenha sido notificado pelo remetente que se trata de algo que realmente esteja esperando, mesmo assim, confirme o nome e tipo de arquivo enviado/recebido;

Jamais instale barras de ferramentas do tipo Ask.com, Emoticons, rádios, redes sociais… ao invés de facilitar, isto prejudica e polui o ambiente de navegação na web;

Bancos NUNCA mandam emails e caso receba um, desconfie, ligue para seu banco ou pesquise no Google sobre o assunto;

Recebeu um link? Passe o mouse sobre ele e verifique se o endereço que está recebendo coincide com o que aparece na barra de status do navegador (barra inferior do navegador);

Compre um sistema operacional ou use a versão que já veio instalada quando adquiriu seu equipamento (OEM) e se não precisar de nenhum programa em especial, use o Linux, que é seguro e serve para qualquer usuário comum (exceto empresas que geralmente necessitam de algum programa/software de banco de dados, etc), o Linux tem tudo que um usuário necessita para acessar internet, usar messenger, imprimir, digitar textos, criar apresentações, elaborar demonstrações, planilhas, editar imagens, vídeos, música, enfim, nada que um sistema básico não ofereça, além de ser gratuito.

Você usa seu equipamento apenas para acessar internet, ouvir música, assistir vídeos, digitar textos? Use o Linux, ele pode te oferecer tudo isto e muito mais…

Gosta do Linux mas não quer abrir mão de certos jogos/aplicativos? Que tal emular o ambiente Windows dentro do Linux?

Tem dúvida? Consulte um profissional capacitado – ninguém é obrigado a saber tudo – (fuja do sobrinho que aprendeu rapidamente como “formatar” um computador), participe de fóruns ou mande sua pergunta pra gente que teremos o prazer de ajudá-lo sem cobrar nada por isso. Existem milhares de pessoas que estão prontas à te ajudar.

Deixe seu comentário / sua dúvida que responderemos o quanto antes.

Passe esse artigo adiante (esse pode!).

Siga-me no Twitter | Facebook | Meu blog.

Por que afirmo isso? Simples! Porque a tecnologia é incapaz de se proteger do ser humano. Uma rede de computadores possui administradores e usuários, todos humanos. Quanto maior a organização, maior é a quantidade desses e maior ainda é a preocupação das áreas de segurança digital. Engenharia Social é o nome da maior vulnerabilidade de segurança que qualquer empresa pode ter. E contra isso, só podemos contar com a conscientização e ética dos colaboradores. Muitas empresas possuem ótimos técnicos super qualificados em tecnologias que oferecem proteção a sistemas.

Mas, será que esses mesmos técnicos também têm a mesma eficiência na conscientização de colaboradores? Saber comunicar isso o suficiente? Sua empresa possui um “conscientizador” que trabalha na área de segurança digital?

Nenhuma empresa está livre de ter um funcionário com acesso a grande quantidade de informações confidenciais e que não possa vir a ser assediado por um concorrente. Ou mesmo que tenha um surto a Lá estilo WikiLeaks e que crie um blog com bastante informações do seu dia a dia de trabalho. São situações factíveis, não?!

Pois então, com base nesses e em alguns outros exemplos, reforço minha teoria de que não existe uma solução em tecnologia de segurança da informação que ofereça 100% de eficiência.

Sendo assim, deixando a paranoia de lado, o que podemos fazer então para garantir o melhor nível possível de segurança às informações da empresa? Em minha opinião, em primeiro lugar, deve ser trabalhada a questão Conscientização de TODOS os colaboradores que possuem ou não acesso as informações (Dados) da empresa. Esse é um trabalho que deve ser constante, assim como a área de Marketing faz Endomarketing com os colaboradores, a área de Segurança deveria promover o “Endosecurity”. A empresa deve “amarrar” todas as pontas de modo que o colaborador saiba de sua responsabilidade para com o uso das informações e das consequências que o uso indevido pode trazer.

Dado o primeiro passo, é importante afirmar que também é necessário fazer a lição de casa e investir em tecnologias de segurança digital. Vamos então as tão faladas tecnologias de segurança. Firewall, Anti-vírus, Anti-Spam, IPS, Proxy, Application Control, VPN, Criptografia etc. É desnecessário conceituar aqui o que cada uma dessas ferramentas fazem. Tenho certeza de que muitos já conhecem ou já ouviram falar. O que muitos ainda não sabem, é que existem caixas (Appliances) que já trazem embarcadas todas essas tecnologias. São as novas tecnologias de segurança UTM (Unified Threat Management).

Muito mais fácil do que gerenciar contratos com diversas empresas, sendo uma para cada solução de segurança, é ter um único fornecedor de segurança que já entregue uma solução mais completa possível. Isso também reduz o custo no investimento da equipe técnica, permitindo a certificação da equipe em uma quantidade menor de fabricantes. Há então a consolidação das tecnologias de segurança digital.

É fato de que ainda existe uma resistência grande com ideias pré-concebidas por parte de equipes de segurança com relação à adoção das tecnologias UTM. Toda nova tecnologia enfrenta resistência no começo até que os primeiros “Early adopters” provem o contrário as ideias pré-concebidas. Cedo ou tarde, os UTMs serão realidade nas empresas. Eis aí a tendência da Centralização.

Casando Conscientização + Tecnologia, podemos então ter uma solução de segurança que realmente atinja um alto percentual de eficiência. Isso parece uma coisa óbvia, porém por incrível que pareça, o óbvio ainda passa longe de muitas empresas, mesmo de médio e grande porte.

por Gustavo Pimentel, Diretor de Marketing e Vendas da Centric System.

O assunto abordado explorará uma vulnerabilidade do Internet Explorer em conjunto com o ActiveX para que, utilizando-se de engenharia social e um servidor FTP, possa-se implantar arquivos intrusos no computador alvo sem que o mesmo perceba.

Tecnologias Utilizadas e como Proceder

A tecnologia que nos garante acesso à máquina alvo nesse estudo é a tecnologia ActiveX. O Internet Explorer utiliza-se do ActiveX como um componente para executar determinadas funções que para não ele seria possível sem as funções destas tecnologias. Uma ferramenta criada com o ActiveX é o Chilkat FTP, um recurso multiplataforma pra facilitar desenvolvimentos de cliente FTP.

Para este estudo de caso será utilizado o cliente FTP Chilkat FTP2 e um servidor FTP criado no sistema operacional Debian. Também é necessária a criação de uma página HTML contendo linhas de código fonte onde será chamada função Chilkat FTP2 do ActiveX e o direcionamento da pasta para onde irá ser alocado nosso arquivo intruso.

Primeiro passo é a criação do servidor FTP com acesso anônimo. Com algumas linhas de comando a criação do servidor é rápida e fácil.

Siga os seguintes passos:

1. Instale o vsftpd:
sudo apt-get install vsftpd

2. Alterar as configurações de arquivo. Abra o arquivo de configuração vsftpd.conf com um editor de texto. O arquivo está localizado no diretório /etc/vsftpd.conf

Faça as seguintes modificações no arquivo:

sudo vi /etc/vsftpd.conf

anonymous_enable=YES (é necessário deixar habilitado o acesso anonimo ao servidor)
#local_enable=YES (habilite essa função apagando o caractere # da linha)

3. Adicionando um shell “falso” e crie uma conta de usuário FTP:
Edite o arquivo /etc/shells e adicione um nome de shell inexistente como /bin/false, por exemplo. Este shell falso pode limitar o acesso no sistema para usuários de FTP.

sudo vi /etc/shells

exemplo de um /etc/shells:

/bin/sh
/bin/bash
/bin/false

4. Crie um usuário e o faça utilizar o shell criado
sudo mkdir -p /home/ftp/ftpuser
sudo useradd ftpuser -d /home/ftp/ftpuser/ -s /bin/false
sudo passwd ftpuser
sudo /etc/init.d/vsftpd restart

Pronto, você já tem um servidor FTP linux com acesso anônimo.

5. O próximo passo é a criação de uma pagina HTML que chame o Chilkat FTP2 e contendo o caminho para onde o arquivo será alocado. É importante que o download seja feito diretamente com o carregamento da página, sem ser necessário clicar em quais quer botões para efetuar o download.

Como Evitar a Invasão

A melhor maneira de evitar a invasão é não usar o Internet Explorer. Mas há também outras maneiras, tal como aumentar o nível de segurança do navegador.

Confira aqui o artigo acadêmico completo no formato PDF.

De fato devemos estar atentos a esses fatores, e manter nossos softwares sempre atualizados. Mas nesse cenário entra em cena algo muito comum diariamente e que passa despercebido aos nossos olhos. São os chamados exploits.

Os exploits podem ser usados diretamente, ou serem incorporados em vírus, cavalos de tróia, ferramentas de detecção de vulnerabilidades e outros tipos de softwares. Podem ser encontrados de diferentes tipos como; exploits locais, remotos, de aplicações web, entre outros. Eles são trechos de códigos escritos em alguma linguagem de programação, criados exclusivamente para explorar uma vulnerabilidade, como por exemplo, destravar o Xbox, tirar do ar uma página de internet através de um ataque de negação de serviço, ou ainda forjar o serial do Windows para ativá-lo.

Grandes empresas já foram prejudicadas por exploits. A PSN (PlayStation Network) em abril desse ano desativou seus serviços de jogos online durante alguns dias por causa de exploits. É devido exploits como esses que a Microsoft, por exemplo, disponibiliza boletins de segurança para que os usuários atualizem seus sistemas e fiquem livres de mais uma vulnerabilidade.

Toda vez que uma nova ameaça é encontrada ela fica conhecida como ataque zero-day devido ao fato dos programadores terem zero dias para solucionarem o problema, ou seja, devem resolver o mais rápido possível.

A criação de códigos como esses não são nada simples. O programador deve ter muito conhecimento em várias linguagens de programação, deve conhecer perfeitamente o software a ser atacado para que possa estudar as falhas, deve saber sobre engenharia reversa, para conseguir filtrar informações e efetuar o processo inverso, além de entender sobre as áreas da memória para conseguir estourar o buffer e injetar o exploit no local desejado, que é umas das técnicas mais utilizadas.

Existem algumas ferramentas que auxiliam na utilização do exploits. A mais conhecida delas é um framework denominado Metasploit, ideal para realizar auditorias. Com ele, é possível que administradores testem suas próprias redes a procura de falhas, para que possam prover maior segurança e confidencialidade.

Essa ferramenta é muito interessante, porque além de muito eficiente e eficaz, já vem com muitos exploits pré-definidos para vários sistemas operacionais, com isso, não é necessário muito conhecimento para conseguir utiliza-la, mas é importante lembrar que a ferramenta deve ser usada apenas para testes e que em caso contrário pode ser considerado crime pela legislação brasileira.

Confira aqui o artigo acadêmico completo no formato PDF.

Bom, mas e daí? Com avanço da computação móvel e popularização do acesso a rede, a necessidade de aplicações distribuídas é hoje uma realidade. Se o seu sistema ainda não roda em múltiplas plataformas e permite múltiplos acessos, você pode estar atrasado. Trabalhar questões comuns a esses tipos de sistemas é um dos objetos dos Middlewares, que funcionam como uma camada intermediára entre o sistema e o cliente, como você pode ver na figura abaixo:

Como exemplo de uma camada de middleware podemos citar o CORBA, que fornece a abstração necessária para a criação de classes para os ambientes de rede, sistemas operacionais e aplicações, mascarando a heterogeneidade entre os sistemas.

Para se adequar aos sistemas e técnicas de desenvolvimento utilizadas hoje, temos a utilização dos middlewares orientados a objetos, que adequam-se melhor às linguagens OO e são mais flexíveis devido também a possibilidade da utilização de interfaces. Contudo, para que esse tipo de tecnologia possa ser utilizada, métodos comuns devem ser retirados das aplicações e/ou alterados (incluídos em um repositório) utilizando uma tecnologia de objetos distribuídos, para que esse tipo de middleware possa ser utilizado e cada aplicação necessita ser testada e redefinida. Por isso é considerado uma tecnologia invasiva, exigindo grandes mudanças para a utilização do mesmo.

Enfim, esse artigo não tem como função lhe tornar um especialista em middlewares, mas sim fazer uma introdução a um tema que com certeza você ainda ouvirá por aí! Lembre-se que considerando o modelo de referência OSI, a camada de middleware inclui funcionalidades do nível Sessão, nível Apresentação e do nível Aplicação.

Para acessar uma página de internet ou enviar/receber e-mails, basta que seja digitado o site no navegador, e num clique as informações solicitadas são transferidas e acessadas.

O serviço responsável por este processo de resolução de nomes é realizado por um sistema chamado Domain Name System (Sistema de Nomes de Domínio), ou DNS.

O objetivo geral do desenvolvimento desse artigo é apresentar de forma clara o funcionamento de um dos recursos mais importantes dentro da área da internet, o DNS, estudar as vulnerabilidades do serviço, demonstrar sua importância e as conseqüências que sua indisponibilidade pode provocar. Apresentar a solução DNSSEC e como ele funciona.

O SISTEMA DE NOMES DE DOMÍNIOS (DNS)

Trata-se de um recurso usado em redes TCP/IP (o protocolo utilizado na internet e na grande maioria das redes) que permite acessar computadores pelo nome a ele associado, sem que o usuário ou sem que o próprio computador tenha conhecimento de seu endereço IP, o sistema de nomes de domínio:

[...] é um banco de dados distribuído. Isso permite um controle local dos segmentos do banco de dados global, embora os dados em cada segmento estejam disponíveis em toda a rede através de um esquema cliente-servidor. (CAMPOS, DANTAS, 2011).

SERVIDORES NO MUNDO

“[...] Existe, atualmente, 13 servidores raiz com nome no formato letter.roott-servers.net”. (ZILLI, 2006, p.22).

PROBLEMAS E VULNERABILIDADES DO DNS

No DNS, quando uma resposta é recebida e aparentemente é quem diz ser, ou seja, parece responder a solicitação/pergunta enviada, ela é aceita como correta. Sendo assim, atacantes podem explorar essa vulnerabilidade falsificando uma resposta e fazendo com que ela chegue à origem antes da resposta legítima. Isso pode levar os ataques de envenenamento de cachê e impersonificação do recursivo.

Impersonificação do Recursivo

Este ataque é conhecido como Man-in-The-Middle (homem no meio), ocorre quando o cliente pede ao servidor local para resolver um domínio, mas antes que o servidor DNS faça consultas recursivas para obter a solução do nome, o atacante responde mais rápido, spoofando o endereço do recursivo.

Poluição do Cachê

Ao resolver um domínio o servidor recursivo armazena a resposta em uma memória temporária, chamada cachê, assim quando o mesmo domínio for novamente solicitado o servidor já terá a resposta armazenada, tornando dispensável consultas a outros servidores. Porém, esse mecanismo de eficiência em cachê traz consigo o risco de uma vulnerabilidade: a poluição do cachê. Quando um atacante consegue enganar um servidor, fazendo com que ele guarde em cachê uma resposta falsa, ele consegue fazer com que o servidor use essa resposta em consultas futuras.

Por esses ataques há a necessidade de transformar as operações envolvendo o DNS em um processo seguro e confiável.

DNSSEC

Assim, as alterações ao protocolo DNS foram propostas, as extensões de segurança: DNSSEC (Domain Name Security Extensions – proposto pelo IETF):

DNSSEC é um padrão internacional que estende a tecnologia DNS. O que DNSSEC adiciona é um sistema de resolução de nomes mais seguro, reduzindo o risco de manipulação de dados e informações. O mecanismo utilizado pelo DNSSEC é baseado na tecnologia de criptografia de chaves públicas (REGISTROBR, 2011).

Quatro novos tipos de Resource Records são adicionados:

O Registro Key – Dnskey
O DNSKEY é a chave publica enviada junto com a resposta da consulta, utilizada para validar a assinatura e garantir a integridade da consulta. O DNSKEY deve apresentar formato padrão definido, informando o protocolo e o algoritmo utilizado (ARENDS, 2005).

O Registro SIG – RRSIG Assinatura do Resource Records (Rrsets)
“O registro SIG armazena a assinatura digital da chave privada em um RRset. O RRset é um grupo de registros de recursos com o mesmo proprietário, classe e tipo”. (PAUL ALBITZ E CRICKET LIU, pag 377).

O Registro Nsec
O registro NSEC armazena informações sobre o próximo nome na zona (em ordem canônica), que passa a ser ordenada. Cada registro mantém um apontador, através de seu NSEC, para o próximo registro; o último “aponta” para o primeiro. Assim é resolvido o problema de assinar respostas negativas.

O Registro DS Delegation Signer (Ponteiro Para A Cadeia de Confiança)
De acordo com a RFC 4034 o registro DS armazena um hash do DNSKEY da zona que será delegada. No processo de consulta recursiva, o cliente, requisita o DS da zona parent e verifica com o DNSKEY da zona que foi delegada.

Confira aqui o artigo acadêmico completo no formato PDF.

Estamos publicando mais um artigo técnico e neste a proposta é recuperar um sistema operacional totalmente corrompido sem ter que formatar o disco.

Suponhamos que um cliente (ou mesmo você) tenha um programa/aplicativo que não pode ser reinstalado por algum motivo. Para citar um exemplo, um cliente tinha um programa chamado ITISCad cuja empresa/desenvolvedor fechou e não tem mais suporte, por essa razão a formatação era inviável, o quê fazer?

Primeiramente é necessário que você conheça o tipo de infecção/vírus que está agindo no sistema, geralmente é do tipo win32 (File Infector: Sality, etc) e este tipo de vírus corrompe todos os executáveis do sistema e usar antivírus como Avast, Avira, entre outros pode resultar em perda dos executáveis e até dos arquivos do sistema.

Mas você diria: O sistema não trabalha no modo protegido? Sim, mas a primeira coisa que o File Infector faz é contaminar o Explorer, que é o sistema de janelas do Windows. Alguns aplicativos quando chamados, assim que forem encerrados, sairão do modo protegido e assim pode ser infectado como qualquer outro executável.

#ComoFazer

Descoberto o tipo de infecção, observe o seguinte:

• não use Avast ou AVG genérico, ou seja, antivírus comum, use uma ferramenta própria para a remoção do vírus, tipo Sality Killer, que remove o vírus sem apagar o arquivo infectado;
• antes do escaneamento verifique (e desative) opções de remoção;
• e fique observando se o aplicativo que deseja preservar se ele será apagado, se não puder verificar “in loco”;
• configure para que os arquivos infectados sejam renomeados ou enviados para a quarentena (é para isto que a quarentena existe!), se for arquivos do sistema, delete-os; Este monitoramento é super-importante para evitar que os executáveis do aplicativo (que não pode ser reinstalado) sejam apagados (eles devem ser mantidos, mesmo infectados, pois no final vamos desinfectá-los).

Coloque um outro HD ou instale o sistema em outra partição (no mesmo disco) e imite a estrutura do sistema danificado, ou seja, crie os mesmos usuários, mesmas senhas.

Desinstale TODOS os aplicativos/programas que você pode reinstalar e deixe no sistema que está danificado aquilo que deve ser reaproveitado, ou seja, só o necessário.

Inicie o boot com um Live CD (Linux ou do tipo Hiren’s Boot | recomendo o Ubuntu), tendo o HD /Partição  do sistema “limpo” no mesmo computador que o sistema danificado.

ATENÇÃO: Copie a pasta C:\WINDOWS\SYSTEM32\CONFIG (do disco danificado) para outro local (é essa pasta que guarda as configurações do usuário, link dos programas, etc).

Agora COPIE a pasta WINDOWS do disco limpo e cole no disco danificado – solicitar permissão para substituir/sobrescrever os arquivos antigos, clique em SIM;

Copie a pasta CONFIG que você fez cópia e cole-a dentro de C:\WINDOWS\SYSTEM32\

IMPORTANTE! Observe que NÃO apagamos a pasta WINDOWS e sim substituímos os arquivos contidos nela por outros que não foram modificados, isto é importante pois se houver alguma biblioteca ou arquivo de configuração que o aplicativo (que não pode ser reinstalado) necessitar, serão preservados.

Verifique se não está faltando nenhum arquivo na raiz do disco (C:\), compare o sistema de arquivos do sistema limpo com o sistema danificado, devem ficar idênticos.

Remova o HD (limpo) e deixe somente o que estava danificado, dê boot pelo HD (o que estava danificado) e veja como o sistema se comporta. Se tudo der certo, se ligar normalmente, vamos à outros passos.

NÃO instale nada! É importante observar isto!

Use o removedor Sality Killer (ou a ferramenta de opção para o vírus que você identificou) novamente (observe que você está usando os arquivos do sistema limpo no sistema danificado) e se houver alguma infecção, mande limpar (clean) e NUNCA apagar. Se não existir a opção de limpar, use o antivírus Dr. Web (a versão trial já resolve) que ele limpa sem excluir.

Se não houver mais nenhuma infecção, antes de executar seus programas, INSTALE E ATUALIZE um antivírus e só depois então, comece executando os aplicativos que foram preservados.

Alguns aplicativos exigem a instalado do gerenciador de banco de dados (Firebird, BDE, etc).

A primeira vez que você iniciar o sistema pode se comportar um pouco estranho, isto se deve ao fato de estar usando a configuração de um usuário (Pasta /WINDOWS/SYSTEM32/CONFIG) em outro sistema, se for preciso recrie o usuário.

Considerações finais

Isto pode não dar certo se o aplicativo que deseja preservar for do tipo que registra as bibliotecas no sistema de registros do sistema, porém, na maioria dos casos esses registros são mantidos pois são gravados no arquivo SOFTWARE que está dentro da pasta C:\WINDOWS\SYSTEM32\CONFIG;

Em todos os casos de aplicativos que usam gerenciador de banco de dados como BDE, Firebird, e não-relacionais (DBF) desenvolvidos no Clipper, foram resolvidos com sucesso e sem perda de dados.

Qualquer dúvida antes de começar a tarefa, email-me ou deixe seu comentário aqui.

Abraços

Como funciona o brute force

Para exemplificar, vamos imaginar que você precise entrar em uma determinada sala, em mãos você possui três chaves que encaixam na fechadura, mas nenhuma delas abre a porta, mas ainda assim você precisa entrar. Existem dois modos de entrar na sala sem possuir a chave correta. A primeira é chamar um chaveiro para que ele abra a porta em questão, já a segunda, é utilizar força bruta e arrombar a porta.

O brute force em tecnologia tem o mesmo princípio e geralmente é aplicado para conseguir acesso a contas em determinado site, serviço, desktop ou servidor. A força bruta pode ser aplicada tanto manualmente quanto automaticamente, por meio de softwares.

Aplicação

Manual: Funciona basicamente fazendo a tentativa de um login e senha preenchendo os campos de forma manual, digitando palavra por palavra e efetuando tentativas de login no serviço em questão.

Automática: Um software é responsável por pegar palavras salvas em um arquivo, preencher os campos necessários e tentar efetuar login no serviço em questão.

Dicionários em ação

Palavras que são encontradas em dicionários podem ser utilizadas na técnica de brute force, pois infelizmente existem muitas pessoas que utilizam simples palavras para login e senha, assim como nomes simples, cidades, modelos de carro e etc.

Proteção contra brute force

Existe uma proteção contra técnicas de brute force que é bem simples, no caso de você ser um programador, é sempre bom utilizar funções que bloqueiam uma determinada conta após X tentativas de login e esta conta ser liberada para tentativas de login novamente após x minutos, assim, seu site, serviço, servidor e etc estará menos propício a ataques deste tipo.

Há programadores que efetuam o bloqueio da conta para um determinado IP, porém, esta técnica acaba sendo falha caso a pessoa que aplica o brute force utilize uma técnica chamada IP Spoofing.

Se você é usuário final (ou administrador de sistemas, redes e etc), não deixe se criar senhas seguras para dificultar ao máximo a técnica de brute force.

Caso você tenha alguma outra dica ou queira complementar com algo, deixe seu comentário!

Basicamente, toda esta informação está em contas do Google (Gmail, Orkut, Agenda e etc), Yahoo, Hotmail e outros serviços web. Mas, você imagina o que aconteceria se alguém se apossasse da sua conta e você perdesse o acesso aos seus e-mails importantes, contatos em redes sociais ou mesmo arquivos que não deveriam ser divulgados a qualquer pessoa?

É praticamente a mesma coisa que alguém clonar seu cartão do banco e retirar todo o dinheiro de sua conta. Para garantir que fatos como o citado acima não ocorram, deve-se utilizar senhas seguras (fortes) ao criar contas em serviços disponíveis na internet.

Senhas inseguras

A melhor maneira de resolver um problema é analisando o mesmo, ver o que está errado, para então fazer a correção do mesmo. Por isso, veja o que deve ser evitado em senhas.

Nomes, apelidos e datas de nascimentos: Nomes próprios, de parentes e apelidos devem sempre ser evitados, pois na maioria das vezes é a primeira coisa a ser tentada como senha, junto de datas de nascimento. Exemplo: Elias Junior, é casado com Gabriela Junior, ele nasceu em 1985 e ela em 1988. Eles tem um filho chamado Marcelo Junior, que nasceu em 2008. Senhas como “junior2008″, “elias88″, “marcelo03″, “gabi85″ e “858808jr” devem ser evitadas. Claro que existem dezenas de outras combinações com os dados acima, porém, não precisamos de mais exemplos para mostrar como uma senha com tais dados pode ser facilmente tentada por qualquer pessoa, principalmente com o uso de Brute Force.

Endereço de residência, telefone e placas de veículos: Uma combinação utilizando as primeiras letras do nome da sua rua, ou mesmo a placa do seu carro devem ser mais evitadas do que nomes e apelidos, pois possuem menos combinações possíveis, a não ser que você embaralhe os dados, mas mesmo assim a senha não seria segura. Mas onde alguém conseguiria estes dados? Você deve estar se fazendo esta pergunta, mas se você pensar bem, muitos usuários acabam entregando estes dados de mão beijada, principalmente em redes sociais. Lembrando que certas informações devem ser evitadas nestes locais.

Senhas seguras (Fortes)

Senhas seguras devem ter pelo menos 8 caracteres, de preferência com 3 tipos diferentes de caracteres, como números, letras maiúsculas, letras minúsculas e caracteres especiais.

Vamos utilizar o mesmo exemplo citado acima: Elias Junior, é casado com Gabriela Junior, ele nasceu em 1985 e ela em 1988. Eles tem um filho chamado Marcelo Junior, que nasceu em 2008. Um exemplo de combinação para senhas, deveria ter letras maiúsculas e minúsculas, além dos números. JuNI0RO8 – Observe que a senha é composta por um “J” maiúsculo, um “u” minúsculo, “N” e “I” são maiúsculos, a letra “o” foi substituída pelo número “0″, o “0″ do ano, foi substituído pela letra “O” maiúscula e o “8″ foi mantido” A senha acima se tornou segura, pois tem exatamente 8 caracteres, dentre eles letras maiúsculas e minúsculas, além dos números. Indo mais além ainda, apesar dos números serem mantidos, eles foram invertidos com letras (no caso do número zero e da letra “O”).

Senha segura e de fácil memorização: Além da vantagem de uma senha segura, difícil de ser adivinhada devido as alterações de caixa e inversão de números, é uma senha fácil de memorizar. Sempre que o usuário se esquecer, basta ele escrever a palavra “junior08″, e se lembrar das alterações de caixa feitas. Uma pessoa pode utilizar um padrão próprio e pessoal para a troca de caixa, assim ela nunca irá esquecer a senha.

Senhas com pouca, ou nenhuma relação pessoal: Apesar da senha acima ter se tornado mais segura, ela ainda é composta pelo nome de um parente. Para tornar uma senha mais segura, não utilizaremos nada que tenha uma ligação pessoal tão direta. Exemplo: Elias está passando na sala de sua casa e seu filho Junior está assistindo “Família Dinossauros” (Um clássico da década de 90), que está sendo reprisado na Bandeirantes às 19:30h (horário apenas para exemplo). Com isso, podemos formar diversas combinações, vamos ao exemplo. F@md1No0391 – Letra “F” maiúscula, a “@” entra como caractere especial, letras “m” e “d” minúsculas, letra “N” maiúscula, número “1″ substituindo a letra “i”, letra “o” minúscula, e a numeração “0391″, referente ao horário 19:30H invertido. Pronto, temos uma senha completamente segura, pois temos mais de 8 caracteres, letras maiúsculas e minúsculas, números e caracteres especiais. Esta com certeza é mais difícil de lembrar do que a “junior08″, porém, em compensação, é muito mais forte.

Aceitação em sites

Você já deve ter observado em algum site, uma caixa que mostra a força de sua senha. Geralmente serviços como Google e WordPress possuem a mesma. Serviços como estes sempre mostram senhas como fortes ou muito fortes quando se utiliza pelo menos 8 caracteres e 3 tipos de caracteres diferentes, principalmente quando são utilizados caracteres especiais, como “@”, “$” e etc.

Altere sua senha agora mesmo!

Se ao ler este artigo você se lembrou de alguma senha que seja fraca, vá agora mesmo até o serviço em questão e altere sua senha para uma senha segura. Não deixe para depois, pois pode ser tarde demais.