Ataques de hackers causaram o apagão no Brasil?

Estranha a coincidência entre o apagão acontecido ontem e a exibição da reportagem na CBS 60 minutes,do último domingo, afirmando que o Brasil está sujeito a ataques de hackers no seu sistema de energia elétrica.

O governo brasileiro nega a relação, mas ninguém até agora apareceu na mídia para argumentar tecnicamente o que foi dito na reportagem exibida no TV dos EUA.

Em nota divulgada para a imprensa, a empresa Furnas e os técnicos de Itaipu dizem que causa do blecaute não teve origem na usina; o apagão afetou 15 Estados brasileiros.

O ministro de Minas e Energia, Edison Lobão, também negou que o incidente tenha sido causado por um hacker.

No último domingo dia 8, o programa “60 minutes”, da rede americana CBS, exibiu uma reportagem dizendo que dois apagões nos últimos quatro anos no Brasil foram causados por ataques de hackers a os sistemas de controle do sistema energético brasileiro.
http://noticias.uol.com.br/cotidiano

A reportagem da CBS e uma matéria publicada Folha foram citadas no post de Kevin Poulsen (ex-hacker black-hat já condenado) publicado no site da “Wired”. Este artigo publicado na Wired levanta dúvidas sobre as ações de hackers vinculadas aos apagões nas cidades brasileiras. Aqui, leia em inglês o post da Wired sobre o assunto.

O artigo de  7 de novembro de Kevin Poulsen na Wired, relata sobre um programa especial será exibido no domingo (8/11)  pela rede norte-americana CBS relatrá que um apagão elétrico brasileiro que afetou três milhões de pessoas, ocorrido no Espírito Santo em 2007, foi um corte no sistema elétrico realizado por ataques de hackers. Outro apagão menor teria ocorrido no norte do Rio de Janeiro em 2005, também teria sido realizado por hackers.

Segundo comentários de Tom Donahue, chefe do escritório de segurança da CIA, há relatos que hackers teriam causados pelo pelo um blackout fora do Estados Unidos no último ano, na entrevista ele não quis identificar qualquer país ou os detalhes das supostos ataques de hackers. No entanto no mês passado, o ex-czar cinernético Richard Clarke teria publicamente nomeado o Brasil como uma vítima de apagnao causado por hackers mas não entra em detalhes.

De acordo com Kevin Poulsen,   a “CBS 60 minutes” não tem acertado muito com suas entrevistas no mundo cibernético no passado: uma reportagem alarmista sobre uma quadrilha de hackers russos eram na verdade um grupo de adolescentes de uma escola na Finlândia; e o recente relatório sobre a pirataria na Internet foi também imprecisa. Em notícias anteriores, que hackers teriam desencadeados de apagões dentro dos USA, se provaram falsas.

Em 8 de novembro de 2009, o governo brasileiro e a companhia de energia Furnas negaram as alegações da CBS News, segundo a publicação do Jornal Folha de São Paulo.

Raphael Mandarino Junior, diretor do Departamento de Segurança da Informação e Comunicação do Gabinete de Segurança Institucional da Presidência da República, também disse ao jornal que o governo brasileiro investigou as alegações e não encontrou evidências de ataques de hackers. “Há sempre a possibilidade de um ataque de hackers para tentar derrubar uma subestação de energia, mas creio que estamos de certa forma protegidos pelo fato de termos chegado tarde aos avanços tecnológicos. As empresas não têm os seus sistemas operacionais conectados diretamente à internet. Isso dificulta muito a um hacker entrar na rede interna”, diz Mandarino.

A reportagem da CBS, que foi ao ar no domingo, exibiu um hacker falando de meia dúzia de ataques as forças armadas, serivços de inteligência e comunidades de segurança, mas não fornece detalhes. O que não significa que o relato é falso. Veja abaixo a reportagem sobre apagões no Brasil feita pela rede CBS:

Dois apagões nos últimos quatro anos no Brasil foram causados por ataques de hackers a os sistemas de controle do sistema energético brasileiro.

Watch CBS News Videos Online

Leia Mais:
Atualização: Blackout brasileira rastreada para Isoladores Sooty, não hackers)
http://www.wired.com/threatlevel/2009/11/brazil_blackout/

Leia reportagem na íntegra na Wired:
http://www.wired.com/threatlevel/2009/11/brazil/

Saiba mais em news:

• Google News
• GOVERNO DIZ DESCONHECER QUE ATAQUE DE HACKERS TERIA CAUSADO APAGOES NO BRASIL
• Ministro nega que “ataque” hacker possa ter causado apagão
• Rede de TV americana diz que apagão no Brasil foi causado por hackers
• Apagão: para CBS e até Obama, Brasil já foi alvo de hackers

Nyxem.E Novo Worm atacará sistemas Windows em 3 de fevereiro.

Novo Worm atacará sistemas Windows em 3 de fevereiro

*ALERTA* No. 20060127.01- Assunto: Novo Worm atacará sistemas Windows em 3 de fevereiro
15:15:00 GMT-03 (BRT) Registro do(s) analista(s) de plantão (Jorge Luiz Corrêa):

*DESCRIÇÃO:*
Um novo worm [1] descoberto recentemente, tem se propagado rapidamente pela Internet com *PROGRAMAÇÃO DE ATAQUE* datada de 3 de fevereiro, tendo como alvo sistemas Microsoft Windows. Denominado *Nyxem.E* (também conhecido como Kama Sutra, Blackmal ou Win32/Mywife.E@mm, entre outros nomes) tem como principais meios de propagação arquivos anexos em e-mails e compartilhamento de pastas entre sistemas remotos.

A infecção pode ocorrer clicando em um link ou abrindo arquivos anexos. Para enganar o usuário, o arquivo apresenta-se como do tipo ZIP, mostrando até mesmo o ícone característico desse tipo de arquivo.
Apoiando-se em uma configuração padrão de sistemas Windows, em que não são mostradas as extensões dos arquivos, o Nyxem.E pode levar o usuário a acionar o worm sem conhecimento, acreditando estar abrindo
um arquivo ZIP.

Uma vez que o sistema esteja infectado, o artefato pode realizar algumas operações como:
* buscar endereços de e-mails no sistema infectado
* utilizar sua capacidade de envio de e-mails para se
auto-disseminar entre os endereços capturados
* desabilitar programas anti-vírus e de compartilhamento de arquivos
* utilizar todos os compartilhamentos de rede do Windows para se auto-disseminar
* modificar o papel de parede
Além disso, o worm está programado para, em 3 de fevereiro (há suspeitas de que a ação ocorra todo dia 3), apagar todo o conteúdo de arquivos com as extensões *.doc, .xls, .mdb, .mde, .ppt, .pps, .zip, .rar, .pdf, .psd e .dmp*, substituindo o conteúdo original destes arquivos pelo texto “DATA Error [47 0F 94 93 F4 K5]“.

*SISTEMAS AFETADOS:*
Todo computador com o sistema operacional MICROSOFT WINDOWS.

*SOLUÇÕES:*

Como medidas *PALIATIVAS* ao problema:

1) Verificação de sistemas com anti-vírus atualizados

2) Não abrir e-mails com arquivos anexos suspeitos

3 Em um nível mais avançado:

Utilização das seguintes assinaturas no Snort, disponíveis no site
bleeding-snort (em inglês,

3a. Identificação de um sistema possivelmente infectado através de acessos ao contador desenvolvido pelo autor do worm:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS
(msg:”BLEEDING-EDGE VIRUS webstats.web.rcn.net count.cgi request
without referrer (possible BlackWorm/Nyxem infection)”; content:”GET
/cgi-bin/Count.cgi?”; depth:23; content:”df=”; within:20;
content:”Host|3a 20|webstats.web.rcn.net”; content:!”Referer|3a|”;
classtype:misc-activity; sid:2002788; rev:2;)

3b. Identificação de um sistema possivelmente infectado através de
acessos com características específicas ao site http://www.microsoft.com
(ausência de do cabeçalho User-agent:)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS
(msg:”BLEEDING-EDGE VIRUS Agentless HTTP request to www.microsoft.com
(possible BlackWorm/Nyxem infection)”; dsize:92; content:”GET /
HTTP/1.1|0d0a|Host|3a20|www.microsoft.com|0d0a|Connection|3a20|Keep-Alive|0d0a|
Cache-Control|3a20|no-cache|0d0a0d0a|”;classtype:misc-activity;
sid:2002789; rev:1;)

3c. Identificação de tentativa de propagação do worm através de SMTP:
alert tcp $HOME_NET any -> $EXTERNAL_NET 25 (msg:”BLEEDING-EDGE VIRUS
W32.Nyxem-D SMTP outbound”; flow:established,to_server;
content:”YmVnaW4gNjY0I”; content:”ICAgICAgICAgICAgICAgICAgICAgICA”;
distance:31; within:31; classtype:trojan-activity; reference:url,
www.sophos.com/virusinfo/analyses/w32nyxemd.html; sid: 2002778; rev:1;)

*Das SOLUÇÕES DISPONÍVEIS:*

Remoção do worm utilizando um anti-vírus atualizado que contenha as
assinaturas para o Nyxem
Remoção do worm seguindo as instruções disponibilizadas pela Microsoft
em (em inglês):
http://www.microsoft.com/security/

Remoção do worm com a ferramenta disponibilizada pela Symantec
Security em (em inglês):
http://securityresponse.symantec.com/avcenter/
Utilizar a ferramenta de desinfecção da F-Secure disponibilizada em:
ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip
http://www.f-secure.com/tools/f-force.zip

*REFERÊNCIAS (em português):*

[1] http://pt.wikipedia.org/wiki/Worm

CAIS - Centro de Atendimento a Incidentes de Segurança - Alerta do
CAIS 25012006
http://www.rnp.br/cais/alertas/2006/25012006.html

*REFERÊNCIAS (em inglês):*

US-CERT - Nyxem Mass-mailing Worm
http://www.us-cert.gov/current/current_activity.html

CME - Common Malware Enumeration - CME-24
http://cme.mitre.org/data/

SANS - Handler’s Diary January 24th 2006
http://isc.sans.org/

F-Secure Virus Information Pages: Nyxem.E
http://www.f-secure.com/

Firefox 1.5 e falha em Windows XP

Código malicioso que explora uma falha na última versão do navegador.

Programadores divulgaram ontem a existência de um código malicioso que explora uma falha na última versão do navegador Firefox (1.5). A informação foi divulgada hoje pelo “Cnet”, site especializado em tecnologia.

O alvo deste programa são os usuários do Service Pack 2 do sistema operacional Windows XP. A vulnerabilidade explorada está no arquivo history.dat, do Firefox, que arquiva o histórico de sites visitados.

Quando o código malicioso é executado no PC da vítima, ele trava o navegador –em alguns casos, impedindo seu uso por completo. O problema não permite que pessoas mal-intencionadas controlem remotamente o computador.

Ainda não há uma atualização para a falha. Segundo especialistas ouvidos pelo “Cnet”, os usuários devem desativar o arquivo history.dat até que a Mozilla Foundation ofereça uma correção.

Vulnerabilidade Antivirus Symantec

Realização de ataques de estouro de pilha (heap buffer overflow).

+ *ALERTA* No. 20051224.01
+ Assunto: Vulnerabilidade Crítica em 40 produtos Symantec.
19:00:00 GMT-03 (BRT) Registro do(s) analista(s) de plantão (Ronan Gaeti):

DESCRIÇÃO:
Uma vulnerabilidade foi encontrada no AntiVirus da empresa Symantec. A vulnerabilidade considerada crítica pode ser utilizada para a realização de ataques de estouro de pilha (heap buffer overflow) permitindo a execução de código malicioso enquanto se analisa arquivos do tipo RAR. O problema foi identificado na versão 3.4.14.3 do arquivo Dec2Rar.dll.

Estima-se que todos os produtos que fazem uso dessa dll estejam comprometidos, na listagem encontram-se desde programas voltados ao ambiente corporativo quanto ao ambiente doméstico.

PROGRAMAS AFETADOS:
Uma listagem completa dos programas afetados está disponível em:
http://securityresponse.symantec.com/

SOLUÇÃO:
Ainda não foi disponibilizado nenhum patch de segurança, mas a empresa divulgou que está estudando o caso e em breve disponibilizará as correções necessárias. Enquanto as correções não estão disponíveis, recomenda-se desabilitar urgentemente a análise de arquivos compactados do tipo RAR.

REFERÊNCIAS (em inglês):

Symantec AntiVirus RAR Archive Decompression Buffer Overflow
http://secunia.com/advisories/

Symantec AntiVirus Decomposition Buffer Overflow
http://securityresponse.symantec.com/

Critical Symantec bug hits 40 products
http://www.theregister.co.uk/

Vulnerabilidade no Macromedia Flash Player.

Vulnerabilidade pode ser explorada através de um arquivo SWF

[ACME-ALERTA] *ALERTA* No. 20051108.01
11:00:00 GMT-03 (BRT) - Registro dos analistas de plantão (Maria Carolina Matera Bozza):

DESCRIÇÃO:
Foi descoberta uma vulnerabilidade no Macromedia Flash Player, que pode ser explorada maliciosamente, e comprometer o sistema do usuário.
A vulnerabilidade é causada, devido a uma falta de validação do identificador de tipo do frame de um arquivo SWF. Esse valor é usado como um índice no Flash.ocx (componente do Flash PLayer) que referencia um vetor de ponteiros de funções.
A vulnerabilidade pode ser explorada através de um arquivo SWF intencionalmente modificado, fazendo com que o índice referencie um endereço de memória que esteja sob controle do atacante, permitindo-o fornecer valores arbitrários aos ponteiros de função.
VERSÕES AFETADAS:
Macromedia Flash Player 7.x
Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 5.01
RECOMENDAÇÕES:
Instalar a versão 8 (8.0.22.0) do Flash Player em: http://www.macromedia.com/shockwave/download/
Fazer a atualização da versão 7 (7.0.61.0 or 7.0.60.0) em: http://www.macromedia.com/go/
Recomendamos fortemente que os administradores mantenham seus sistemas e aplicativos SEMPRE atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.
REFERÊNCIAS (em Inglês):
http://www.macromedia.com/devnet/security/security_zone/mpsb05-07.html
http://secunia.com/advisories/17430/

Marfisa