Dia Internacional da Seguranca em Informatica

Conscientizar à comunidade Internet sobre questoes de seguranca

A Rede Nacional de Ensino e Pesquisa, atraves do seu grupo de seguranca CAIS/RNP, estará comemorando este ano o Dia Internacional da Seguranca em Informática (DISI 2005 - Brasil). Desde 1988, este evento é celebrado
oficialmente na data de 30 de novembro - embora muitas organizacoes mudem esta data para adequar melhor seus calendarios. Maiores informacoes em http://www.computersecurityday.org.

O DISI tem como objetivo conscientizar à comunidade Internet sobre questoes de seguranca e lembrar às pessoas sobre a importancia de proteger suas informacoes e seus recursos computacionais.

A cada ano um tema é escolhido com o intuito de focar as atividades de conscientizacao, neste ano em particular o tema será "Seguranca Responsavel". Atraves deste tema pretende-se lembrar a cada individuo de uma organizacao sobre o importante papel que ele/ela desempenha na seguranca da sua organizacao e, principalmente, sobre a responsabilidade que ele/ela tem neste processo global. Os administradores e usuarios sao encarregados de criar ´Seguranca Responsavel´ atraves da implementacao de medidas de seguranca, tais como: instalacao, atualizacao e administracao de software antivirus, de um firewall pessoal, de um anti-spyware; implementacao de mecanismos de controle; criacao de senhas consideradas fortes, etc. Ou seja, cada um fazendo a sua parte!

Neste sentido, e buscando apoiar este importante movimento, o CAIS estará promovendo neste dia um "Ciclo de Palestras" que devera ocorrer entre as 08:30 a 13:00, e transmitidas publicamente via streaming.

A agenda do evento encontra-se em: http://www.rnp.br/eventos/

Em breve, nesta mesma pagina, voce encontrará informacoes sobre como acompanhar o evento remotamente.

Alem disso, o CAIS estará disponibilizando para download material de conscientizacao para ser usado pelo publico em geral nesse dia, que inclui:

1. Uma palestra sobre o tema, produzida pelo CAIS, feita para uso publico. A versao .pps será disponibilizada para quem quiser usar este material nesse dia.
A ideia é que esta palestra possa ser usada pelos administradores, CSIRTs e publico em geral para promover a cultura de seguranca na sua instituicao, replicando-se esta iniciativa localmente e aderindo-se ao movimento.
Acreditamos que isto possa facilitar a vida de algumas pessoas que, ou nao dispoem do material adequado para iniciar esta labor na sua instituicao ou sequer do tempo necessario para elaborar algo neste sentido.

2. Folder contendo "Dicas Basicas de Seguranca para o usuario domestico".
Desde já agradecemos à comunidade Internet.BR pela divulgacao que possam dar a esta iniciativa mundial e pelas acoes de conscientizacao que venham a desenvolver nesse dia nas suas respectivas instituicoes.

CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)

Vulnerabilidade no Internet Explorer

Vulnerabilidade no Internet Explorer
Execução remota de código, inclusive em sistemas Windows atualizados.

14:30:00 GMT-03 (BRT) Registro dos analistas de plantão (Maria Carolina Matera Bozza):

DESCRIÇÃO:

Foi descoberta uma falha no Internet Explorer da Microsoft, capaz de permitir a execução remota de código, inclusive em sistemas Windows devidamente atualizados.
Trata-se de uma falha já conhecida na função Javascript "window()" que, quando utilizada em conjunto com a TAG HTML , permite a execução de código arbitrário no sistema afetado.
Para que a falha possa ser explorada, o usuário deve ser persuadido a clicar em uma url especialmente criada por um atacante. A gravidade da vulnerabilidade deve-se ao fato da inexistência de correções disponíveis até o momento.

VERSÕES AFETADAS:

. Internet Explorer 5.01 Service Pack 4 instalado em Microsoft Windows 2000 Service Pack 4
. Internet Explorer 6 Service Pack 1 instalado em Microsoft Windows 2000 Service Pack 4
. Internet Explorer 6 Service Pack 1 instalado em Microsoft Windows XP Service Pack 1
. Internet Explorer 6 instalado em Microsoft Windows XP Service Pack 2
. Internet Explorer 6 instalado em Microsoft Windows Server 2003
. Internet Explorer 6 instalado em Microsoft Windows Server 2003 Service Pack 1
. Internet Explorer 6 instalado em Microsoft Windows Server 2003 para sistemas baseados em Itanium
. Internet Explorer 6 instalado em Microsoft Windows Server 2003 com Service Pack 1 para sistemas baseados em Itanium
. Internet Explorer 6 instalado em Microsoft Windows Server 2003 x64 Edition
. Internet Explorer 6 instalado em Microsoft Windows XP Professional x64 Edition
. Internet Explorer 5.5 Service Pack 2 instalado em Microsoft Windows Millennium Edition
. Internet Explorer 6 Service Pack 1 instalado em Microsoft Windows 98
. Internet Explorer 6 instalado em Microsoft Windows 98 SE
. Internet Explorer 6 instalado em Microsoft Windows Millennium Edition

SOLUÇÂO:

*Não existem correções disponíveis para este problema até o momento.*

RECOMENDAÇÕES:

Recomendamos que utilize um navegador alternativo, como o OPERA[1] ou o
FIREFOX[2]. Se necessária a utilização do Internet Explorer, restrinja o
acesso somente para páginas confiáveis;

REFERÊNCIAS (em Inglês):

[1] Opera Web Browser
http://www.opera.com

[2] Firefox Web Browser
http://www.getfirefox.com

1. SA15546 - Microsoft Internet Explorer "window()" Arbitrary Code
Execution Vulnerability
~ http://secunia.com/advisories/15546

2. VU#887861 - Microsoft Internet Explorer vulnerable to code execution
via scripting "window()" object
~ http://www.kb.cert.org/vuls/id/887861

Maria Carolina

Sistemas para Voz pela Internet . VoIP

O setor movimentou 208,7 milhões de dólares em 2004.

O mercado de circuitos integrados de VoIP (voz sobre IP) - componentes eletrônicos que permitem agregar o recurso a modens, roteadores e gateways residenciais , por exemplo - deverá crescer mundialmente em torno de 600% nos próximos 5 anos.

O setor movimentou 208,7 milhões de dólares em 2004 e deve atingir a marca de 1,3 bilhão de dólares em 2009, segundo a empresa de pesquisas norte-americana In-Stat. A empresa acrescenta ainda que o mercado de telefonia móvel também crescerá de maneira acelerada pois os telefones celulares, cada vez mais, agregarão servicos de telefonia VoIP .

A pesquisa também mostra que está próxima a adoção de centrais telefônicas IP e celulares que funcionarão tanto na rede fixa como pela internet.

Ainda segundo a In-Stat, o segmento de telefones IP , que atualmente gera menor receita para os fabricantes de circuitos integrados de VoIP , deverá ser o setor mais importante e o maior comprador de circuitos em 2009.

Sony e VoIP. IVE - Telefone e video camera versus Skype

IVE - "Instant Video Everywhere" ( video instantaneo em qualquer lugar).

A SONY anunciou um sistema de VoIP ( voz sobre internet - telefone pela internet) similar ao SKYPE que traz, particularmente, funcionalidade a mais com video camera pela web.

O sistema se chamará IVE , que signigfica "Instant Video Everywhere" ( video instantaneo em qualquer lugar), e estará disponível para download pela internet.
Segundo alguns notícias a Sony pretende lançar este novo sistema de video pela web junto com o novo laptop ( computador portátil) VAIO BX , que providencialmente vem com webcamera integrada
Assim como o SKYPE , o IVE permitirá ao usuário efetuar chamadas através de linhas telefônicas fixas e celulares. Por um valor mensal de US$ 9,95 dolares poderá obter um número telefônico ( 10 cifras) para receber chamadas de outras pessoas que não utilizam VoIP , ou sejam que façam chamadas de telefones comuns.

Mas, a grande novidade é mesmo a video conferência e o fato de permitir o uso de web cameras , cujo desenvolvimento teve participação da GlowPonit que é uma empresa líder em serviços de conferências de vídeos sobre IP, vídeo mail e web conferências.

Esta notícia da SONY apagou um pouco o anúncio do SKYPE, que divulgou que a próxima versão do badalado software, a versão Skype 1.5, terá vídeo conferência.

Mais informações, acesse os sites ( em inglês):
http://sony.glowpoint.com/
http://www.glowpoint.com/

Sky e Direct TV juntas. Enfim, a fusão. Monopólio a vista.

TV por assinatura via satélite Sky e DirectTV.

Plínio de Aguiar Júnior, presidente substituto da Anatel, divulgou que a agência (Agência Nacional de Telecomunicações) aprovou parecer favorável à fusão das operadoras de TV por assinatura via satélite Sky e DirectTV, Estas duas principais empresas do setor detêm cerca de 95% do mercado.
Pelo acordo de fusão, os 425 mil assinantes da DirectTV passarão para SKY, que atualmente já possui 829 mil assinantes.
O CADE (Conselho Administrativo de Defesa Econômica) deverá ainda analisar a fusão para avaliar se a união não fere normas da concorrência.
Nos próximos dias, a ANATAEL dará mais detalhes da operação, mas sabe-se que a agência recomendou ao CADE que conselho que imponha condições para a formalização do processo para evitar a exclusividade dos canais. Entre as restrições que foram sugeridas estão o fim da exclusividade de programação e regras para evitar aumentos abusivos de preço.
No entanto, o CADE não é obrigado a seguir as recomendações da Anatel.
O processo de fusão começou em 2003, quando a News Corp adquiriu 34% das ações da DirecTV dos EUA. Com isso, passou a ter participação indireta na DirectTV no país.
Antecipando-se ao anúncio de fusão no Brasil, a NEO TV (grupo de 51 operadoras de TVs pagas) entrou com pedido de medida cautelar no CADE, e em abril de 2004 fechou um acordo com Sky e DirecTV, no qual elas se comprometeram a seguir em operações separadas até o julgamento final da medida cautelar.
Em maio deste ano, o Grupo Bandeirantes de Comunicação recorreu ao Cade justificando que a fusão cria um monopólio.
A Neo TV, que é contra os contratos de exclusividade, afirmou que não irá se posicionar até ler o documento da ANATEL. Sky e DirecTV ainda não se posicionaram oficialmente sobre o assunto.

Computador de 100 dólares.

Nicholas Negroponte planeja mostrar funcionando o primeiro protótipo.

Nicholas Negroponte planeja mostrar funcionando o primeiro protótipo do seu novo projeto, o computador de US$ 100, desenvolvido para ser um computador acessível a milhões de estudantes que não possuem renda.

Este projeto está sendo apresentado com detalhes durante o WSIS (World Summit on the Information Society) que acontece em Túnis, de 16 a 18 de novembro.

No Media Lab do MIT , laboratório de pesquisas que Nicholas Negroponte fundou a 20 anos atrás nos Estados Unidos, pesquisadores não estão somente trabalhando para tornar o produto o mais econômico possível, mas também em interfaces nas quais as crianças possam aprender sem professores.

O MIT Media Lab acredita que o notebbok é ideal, pois facilmente pode ser levado da escola para casa, incentivando um maior estudo fora da sala de aula.

O projeto prevê um processador de 500 MHz, 1GB de memória com uma tela que pode funcionar mesmo em ambientes muito claros. Assim o equipamento pode funcionar tanto como um laptop ou um e-book. Isto me recorda os e-Mate da Apple, cuja a idéia era sensacional, mas não foi adotado por seu custo ser muito alto. Por questões óbvias, o sistema operacional é Linux

A idéia de Negroponte é simples e seduz. Ele diz em uma entrevista: " Um computador para uma criança: crianças são os recursos mais preciosos que temos, e cada uma delas pode aprender sozinha e ensinar as outras crianças. Fim da estória."

Ele tenta vender os computadores aos milhões. Segundo o MIT (Massachusetts Institute of Technology) , o projeto "computador portátil por 100 dólares", no qual ele figura como desenvolvedor, é um franco sucesso. 4,5 milhões de máquinas já teriam sido encomendadas.

O Lula concordou em comprar um milhão destas maquininhas. Negroponte também esteve conversando no Chile, Argentina , Tailândia, Egito e África do Sul. A proposta é que cada país interessado pague por um milhão de unidades adiantado para garantir a produção em escala. Porém enquanto a Argentina recentemente se comprometeu a adquirir ao menos meio milhão dos computadores de 100 dólares , as autoridades chilenas não mostraram nenhum interesse nestas máquinas.

Os chilenos negaram a oferta pois alegam que estes computadores somente deverão estar no mercado em dezembro de 2006 ou janeiro de 2007, e eles não querem comprometer-se com um número de computadores que ainda não existem. Além do mais, os chilenos também levantam questões sobre seu uso educacional e sobre os conteúdos que estariam dentro da máquina.

Telefonar pela Internet. Serviços de VoiP por telefones USB

Serviços de Telefone VoIP pel internet.

Segue aqui serviços de Telefone VoIP ( telefonar pela internet) que estão funcionando no Brasil:

BRAVO IP http://www.bravoip.com.br
Apenas R$ 130,00 pode ligar a vontade para o Brasil todo e 34 países….tarifa adicional somente para ligações para celulares.

HIP BR http://www.hip.com.br
Operadora de abrangência nacional oferece tarifas nacionais e internacionais com preços até 70% mais baixos; Oferece pacotes de minutos incluindo 10 serviços gratuitos como caixa postal, identificador de chamadas, conferência a três, bloqueador de chamadas, transferência de chamadas e rediscagem.

TMAIS http://www.tmais.com.br
Oferece o voipMais que promete economia de até 80% em sua conta telefônica substituindo sua linha convencional por telefonia via internet banda larga. Habilitação promocional de R$40,00 por R$9,90.

BROAD VOICE http://www.broadvoice.com
Você liga a vontade para o Brasil todo e mais 34 países, por USD$24,95 (R$ 56,00). Ligações para celular são
cobradas por fora, a R$0,35 o minuto. devolvem o dinheiro pago pelas ligações, caso não esteja satisfeito com o produto. Site em inglês e italiano.

APEK VOIP http://www.apeknet.com.br
Ligações para qualquer telefone do Brasil com impostos, apenas R$ 0,16 para fixo e R$ 0,36 para móvel.

Telemar e Velox. Contrato agora permite VoIP

TELEMAR estava proibindo serviços de telefonia IP (VoIP) dos clientes.

Há alguns dias, está sendo divulgado em inúmeros fórums e listas de discussão a suposta notícia que a TELEMAR estava proibindo serviços de telefonia IP (VoIP) dos clientes. Circulou a notícia que usuários da conexão de banda larga VELOX, oferecido pela TELEMAR, não poderiam contratar outras empresas que oferecem mecanismos para usar telefone pela internet. A clásula 2.9 do contrato VELOX, realmente diz que não é permitido o tráfego de voz sobre IP através da utilização do serviço Velox.

A TELEMAR, até pouco tempo, se defendia, dizendo que tal proibição estava dentro de seus direitos legais, o que era confirmado pela ANATEL (Agência Nacional de Telecomunicações). Por sua vez, a ANATEL garantia que a proibição não fere a Lei Geral de Telecomunicações, pois, com o VELOX na condição de serviço de regime privado, o prestador tem o direito de estabelecer as cláusulas que o convém, sem interferência do órgão regulador.

Mas, com o aumento da pressão dos usuários, a empresa de telefonia preocupou-se com a polêmica do contrato do Velox; e tratou de divulgar uma nota na imprensa, na última quarta- feira, com seu novo posicionamento.

Segundo esta nota, eles afirmam que as operadoras não podem proibir VoIP em conexões de banda larga. Os contratos não podem impor restrições à transmissão de nenhum tipo de sinal, por ser um serviço abrangente que, por definição, possibilita a oferta de capacidade de transmissão, emissão e recepção de informações multimídia definidas como sinais de áudio, vídeo, dados, voz e outros sons, imagens, textos e outras informações, informa na nota.

Resultado da pressão dos usuários, a TELEMAR alterou seu contrato para determinar que o uso de VoIP esteja em conformidade com a regulamentação. No entanto, a própria assessoria de imprensa da empresa, faz questão de salientar que o VoIP ainda não é regulamentado no país.

Segundo a nota, “VoIP não é serviço, mas sim uma tecnologia, e, como órgão regulador, a Anatel tem por diretriz não regulamentar tecnologias utilizadas na prestação de serviço”, diz a nota da agência.

A medida não inclui o uso de softwares de telefonia IP, como Skype, MSN Messenger, Yahoo e outros, pois a empresa não tem como bloquear uso de software, apenas de hardware. Ou seja, o usuário não pode é fazer chamada de telefone comun para outro, usando a rede do Velox para estabelecer chamadas em VoIP.

Está nos planos da TELEMAR, assim como a TELEFÔNICA e outras operadoras de telefonia fixa, lançar serviços próprios de VoIP ( telefone pela Internet ). No entanto, por razões de negócios a empresa ainda não divulga nada sobre isto.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Segue aqui serviços de Telefone VoIP ( telefonar pela internet) que estão funcionando no Brasil:

BRAVO IP http://www.bravoip.com.br
Apenas R$ 130,00 pode ligar a vontade para o Brasil todo e 34 países….tarifa adicional somente para ligações para celulares.

HIP BR http://www.hip.com.br
Operadora de abrangência nacional oferece tarifas nacionais e internacionais com preços até 70% mais baixos; Oferece pacotes de minutos incluindo 10 serviços gratuitos como caixa postal, identificador de chamadas, conferência a três, bloqueador de chamadas, transferência de chamadas e rediscagem.

TMAIS http://www.tmais.com.br
Oferece o voipMais que promete economia de até 80% em sua conta telefônica substituindo sua linha convencional por telefonia via internet banda larga. Habilitação promocional de R$40,00 por R$9,90.

BROAD VOICE http://www.broadvoice.com
Você liga a vontade para o Brasil todo e mais 34 países, por USD$24,95 (R$ 56,00). Ligações para celular são
cobradas por fora, a R$0,35 o minuto.

APEK VOIP http://www.apeknet.com.br
Ligações para qualquer telefone do Brasil com impostos, apenas R$ 0,16 para fixo e R$ 0,36 para móvel.

Spyware? Sony Suspende Sistema Anti Piratatia.

Sony decidiu suspender temporariamente o uso do sistema

Por enquanto, Sony decidiu suspender temporariamente o uso do sistema criado para limitar o número de cópias de CDs.
A controvérsia começou no final de outubro quando foi descoberto que CDs que possuem tecnlogia XCP automaticamente instalavam um "rootkit" dentro o Windows.

Rootkits são geralmente utlizados para acesso rodar softwares não autorizado em computadores e permitir que invasores de sistemas tenham acesso, que muitas vezes, danoso.

Muitas crítricas foram feitas com relação a este atitude da Sony BMG. A empresa alegou que o sistema ajuda a controlar a pirataria de músicas que, por sua vez, causar sérios danos ao computador que faz uso dela, expondo-o a ataques de vírus, crash de sistemas ou abrindo os sitema a hackers.

A suspensão da distribuição de CDs com este sistema, veio depois do grande número de críticas que a empresa recebeu pois o sistema criado por ela é um tipo de spyware. Este spyware da Sony, além de espionar é claro, deixa o computador vulnerável aos ataques de hackers.. No entao, apesar de temporariamente ter suspenso o uso deste, a empresa não admite que estava agindo de modo errado e nega a acusação de que o sistema é um spyware.

Ainda bem que a Sony não publica livros. Imagine que você não poderia reler os livros que mais gostou.

Marfisa

Sony BMG e os Spywares. Vírus ou Trojan? Saiba tudo!

Tecnologia hacker em seu software intitulado DRM.

A gravadora Sony BMG foi acusada recentemente de utilizar tecnologia hacker em seu software intitulado DRM - Digital Rights Management. Esse software assemelha-se com rootkits pelo uso de técnicas que permitem esconder arquivos e diretórios do sistema. A solução adotada pela Sony para a proteção de conteúdo expõe seus usuários a sérios problemas de segurança, bem como problemas relacionados a privacidade. É sobre isso que conversaremos com Ronan Gaeti, analista de segurança ACME! Computer Security Research - Laboratório de Pesquisa de Segurança em Redes de Computadores, localizado no campus da Unesp de São José do Rio Preto.

1) Inicialmente vamos tentar entender a tecnologia associada ao problema. O que significa o termo RootKit?

O termo rootkit é usado para descrever mecanismos e técnicas utilizadas por malwares, incluindo vírus, spywares e trojans, que tentam esconder sua presença de Spywares Blockers, Antivírus e utilitários de gerenciamento de sistema. Há diversas classificações de rootkits dependendo se ele permanece ativo ou não após o reinício do sistema se executa em modo usuário ou em modo de kernel.

PERSISTENT ROOTKITS: ativado a toda vez que o sistema é inicializado. Deve armazenar o código em uma meio persistente de armazenamento, podendo ser tanto o Registry ou o sistema de arquivos. O código é automaticamente! Mememory-Based Rootkits: malware que não posse código persistente, não sobrevive a um reboot.

USER-MODE ROOTKITS: intercepta diretamente as APIs do Windows FindFirstFile/FindNextFile, que são usadas por aplicativos de visualização de arquivos, incluindo o IE e o command Prompt.

KERNEL-MODE ROOTKITS: manipula diretamente as estruturas de dados do kernel. Uma técnica comum de esconder um processo é removê-lo da lista de processos ativos do kernel. Um vez que as APIs destinadas ao gerenciamento de processos confiam nessa lista, o processo não aparecerá em ferramentas como Task Manager ou Process Explorer.

2) Como foi descoberto o uso da técnica de root-kit no Software DRM?

Mark Russinovich, do site Sysinternals, ficou surpreso enquanto testava a última versão do RootkirRevealer, um software de detecção de root kits, e encontrou a evidência de um rootkit em seu sistema. O software em questão identificou diretórios escondidos, diversos drivers e um aplicação escondida. Esse foi o ponto de partida para uma investigação minuciosa para descobrir a origem desse rootkit.

É relativamente simples olhar as chamadas de sistemas fazendo um dumping do conteúdo da Tabela de Serviços. Todas as entradas devem apontar para endereços pertencentes ao espaço de memória do Kernel do Windows, todas
as chamadas que não pertencerem são patched functions.

Mar Russinovich fez o dumping da tabela de serviços utilizando o software LikeKd, que revelou algumas patched functions. Ainda em sua análise, Russinovich descobriu que essas chamadas externas pertenciam ao driver Aries.sys pertencente ao diretório $sys$filesystem, ambos identificados pelo RootKitRevealer.

É comum que rootkits escondam arquivos e pastas sem necessariamente bloquear o acesso direto a eles. Russinovich abriu um Command Prompt e tentou entrar no diretório escondido:

c:\Windows\system32\$sys$filesystem\.

Sem maiores surpresas conseguiu entrar no diretório e listar os arquivos. Tentando descobrir o que realmente o Aries.sys estava fazendo ele copiou o arquivo para outro diretório e abriu-o no IDA Pro, um poderoso disassembler. Estudando as funções de inicialização do driver ele descobriu que o driver interferia diretamente na tabela de chamadas de sistema escondendo qualquer arquivo, diretório ou chave de registro iniciada por $sys$. Para provar sua conclusão ele realizou uma copia do arquivo Notepad.exe renomeando-o para $sys$Notepad.exe e o arquivo simplesmente desapareceu.

Observando a assinatura dos arquivos contido no diretório oculto, por meio do software Sigcheck, ele conseguiu identificar uma empresa chamada First 4 Internet. Tentou achar algo relacionado ao Aries.sys no site da empresa porém não obteve sucesso. Entretanto descobriu que a empresa vende a tecnologia chamada XCP, o que o fez pensar que aqueles arquivos encontrado fariam parte de algum Sistema de Proteção de Conteúdo.
Pesquisando pela internet, descobriu que a empresa First 4 Internet tinha contrato com diversas gravadoras incluindo a Sony, para implementar o software Digital Rights Management (DRM) para CDs.

Essa referência ao DRM o fez lembrar que havia comprado um CD recentemente que só poderia ser tocado por meio de um media player que veio com CD, e que limitava até três o número de cópias. O CD que ele havia comprado era o Van Zant Brothers - Get Right with the Man (um nome um tanto quanto irônico, dado as devidas circunstâncias) que é protegido com o software DRM

Para provar sua tese ele colocou o CD no computador e notou um aumento do uso de CPU pelo processo $sys$DRMServer.exe, que se auto intitulava Plug and Play Device Manager, o que obviamente representa a tentativa de mascarar o serviço. Retirando o CD esperava-se que o uso da CPU voltasse ao normal, porém para uma surpresa não muito agradável o software, ainda por cima, era mal escrito! Utilizando os softwares "Regmon" , e "Filemon", ele descobriu que o software scaneava os executáveis correspondentes ao processo a cada dois segundos, em busca de informações básicas sobre os arquivos incluindo o tamanho (oito vezes a cada scan). Para confirmar a conexão entre o processo e o CD Playes Mark observou mais atentamente os processos. Baseado nos pipe handles ele descobriu a comunicação entre o player e o DRMServer.

Conclusão: Foi provado que o RootKit encontrado pelo RootKitRevealer estava associado ao software da empresa First 4 Internet que a Sony disponibiliza em seus CDS.

3) É possível a remoção desse software? Quais os riscos de segurança associados?

Quando Mark Russinovich concluiu a relação entre o CD e o RootKit, e começou uma jornada na tentativa de remover o software. Porém, não foi encontrado nenhuma referência em Adicionar ou Remover Programas no Painel de Controle, nem no site da First 4 Internet. Procurando na EULA (END-USER LICENSE AGREEMENT), que é apresentada na instalação do software, não foi encontrado nenhum termo que mencionava na aceitação da instalação de um software que não poderia ser removido.

Tentando a desinstalação manual, Mark removeu as entradas no Registro do windows, parou o serviço DRMServer e deletou sua imagem. Enquanto removia as entradas no registro do windows descobriu que o software se auto intitulava como SafeBoot, ou seja os drivers são carregados até mesmo em modo de segurança, tornando a recuperação do sistema extremamente difícil, se houver um bug em um desses serviços que previnam o sistema de iniciar.

Para sua surpresa maior ao reiniciar o computador Mark descobriu que o seu driver de CD havia desaparecido do Explorer. Ao deletar os drivers, ele havia desabilitado o drive de CD.

O WINDOWS suporta um esquema de "Filtros" que permite um driver se inserir acima ou abaixo de outro driver para que ele possa ver e modificar as requisições de I/O. Abrindo o Device Manager descobriu que a CD-ROM estava associado o driver escondido, Crater.sys Infelizmente só é possível visualizar os nomes dos filtros registrados mas não há nenhuma interface administrativa que permita a remoção. Entrando no Registro, Mark encontrou o registro associado ao filtro do CD-ROM. Na tentativa de removê-lo obteve um erro de acesso negado. Só é possível alterar esse tipo de registro com a conta Local System. Entrando do Register como Local System obteve sucesso na remoção do filtro e na remoção de outro dispositivo chamado Cor.sys. Ao reiniciar o sistema obteve seu drive novamente.

A SONY é responsável pela instalação de um Software repleto de técnicas utilizada por malwares que tentam mascarar sua existência. Pior ainda, qualquer usuário que utilizar o RootKitRevealer e tentar remover os arquivos sem maiores cuidados, danificará o sistema, como mencionado anteriormente.

4) Esse caso teve uma grande repercussão na mídia, houve alguma preocupação por parte da Sony para desenvolver algum patch ou um desisntalador do Software DRM?

A Sony se recusa em disponibilizar um desisntalador para o seu software. Na página de FAQ da Sony o usuário é direcionado a outra página em que é necessário o preenchimento de um formulário requisitando a desinstalação do software.
Após preencher o formulário, recebe-se um e-mail contendo um "Case ID" e um link para outra página onde deve-se novamente solicitar o desinstalador, e esperar por mais um segundo e-mail.
O download que era para ser pequeno, é de 3.5 mb, pois inclui update para os drivers e para os executáveis do DRM.
Após o patch um novo software é identificado no computador, o MediaJam. Na tentativa de remover o MediaJam, mais um erro.

* * * * * * * * *
An error occurred trying to remove MediaJam. It may have already been unistalled.
Whould you like to remove MediaJam from the Add or Remove programs list?"
* * * * * * * * *

É importante ressaltar que cada link fornecido para a remoção do software só pode ser utilizado uma única vez, o que inviabiliza a redistribuição (deveras importante em grandes organizações) , e obriga os usuários a adotarem todo o processo burocrático que envolve a disponibilização de informações pessoais.

E OS PROBLEMAS CONTINUAM…

Após a aplicação do patch, o driver é descarregado da memória. A correção imposta pelaSony, leva aos usuários o risco da temida TELA AZUL pois o driver Aries não fornece o descarregamento seguro do driver.

"Cada serviço de kernel que é exportado para uso pelas aplicações do Windows tem um ponteiro em uma tabela que é indexada com um número interno de serviço que o Windows atribui a API.

Se um driver modifica uma entrada nessa tabela, com um ponteiro para sua própria função, o kernel então, invoca a função do driver toda vez que a aplicação utilizar a API e o driver pode controlar o comportamento dessa API"

Nunca é seguro descarregar um driver que aplica patches na tabela de chamada do sistema. Um thread pode estar a ponto de executar a primeira instrução de uma função que tem uma ligação externa à tabela de chamada de sistema.

Se isso acontecer o thread saltará para um posição inválida de memória.
Não há uma forma de um driver se proteger dessa ocorrência. Para solucionar esse problema o sistema deveria manter o drive ativo durante o período de desligamento e não ser mais carregado na próxima inicialização..

5) Há alguma forma de prevenção que possa ser tomada pelos usuários?
Uma boa forma de se prevenir é desabilitar o Autorun no computador. Isso irá prevenir que programas em um CD executem automaticamente quando o CD é inserido. Mas é importante saber que isso desabilitará toda e qualquer auto execução, não estando apenas restrito aos CDs de áudio. Portanto quando o Autorun é desabilitado é necessário executar os programas manualmente do CD.

6) Após toda essa cobertura na mídia a Sony ainda pretende continuar com esse esquema de proteção de conteúdo?

A Sony BMG disse que iria suspender a produção de CDs que usem XCP Technology, o rootkit-style DRM desenvolvido pela empresa britânica First4Internet. Entretanto a empresa se recusou pedir desculpas pelo software e também se recusou fazer o recall dos cds que possuem essa tecnologia. Ao todo são 20 CDs que utilizam o XCP Technology, esses produtos estão no mercado desde abril.

Lista dos CDs infectados:
http://www.eff.org/deeplinks/archives/004144.php

Formulário de desinstalação:
http://cp.sonybmg.com/xcp/english/uninstall.html

Referências:
http://www.sysinternals.com/utilities/rootkitrevealer.html

http://www.theregister.co.uk/2005/11/01/sony_rootkit_drm/
http://www.rootkit.com/
http://cp.sonybmg.com/xcp/english/updates.html

Email de contato do Ronan: click aqui.

Página Seguinte »