Blog do Márcio d’Ávila

Vulnerabilidades, configurações e atualizações com correções de segurança dos servidores web Apache HTTPd e Java Apache Tomcat foram a pauta das atualizações de hoje no artigo Tutorial Tomcat - Instalação e Configuração Básica (revisão 31) e na página de referências sobre Entidades e Centros de Segurança - Centros de Informação de Segurança de Empresas - Apache Software Foundation.

Confira nos links acima.

Mais um exemplo de fraude por e-mail, dessa vez na onda do processo eletrônico no Brasil.

A fraude se faz passar como originado do Ministério Público Federal, mas usa um endereço remetente (De) stradion.servicos@globo.com que nada tem a ver com o MPF.

Também manda baixar uma suposta “intimação”, mas aponta para um endereço destino ainda mais suspeito, em h1.ripway.com, igualmente nada relacionado com o Ministério Público Federal, cujo sítio real é em mpf.gov.br. Por sinal, no sítio real do MPF, um quadro em destaque no centro da página informa:

O MPF não envia e-mails. Se receber mensagem eletrônica com intimação ou divulgação de brasão, apague-a imediatamente.

Eis a imagem de reprodução da mensagem de fraude:

Ironicamente, o brasão exibido na mensagem de fraude é extraído do portal Denunciar.org.br - SaferNet Brasil, que oferece o serviço de Central Nacional de Denúncias de Crimes Cibernéticos.

Para saber mais:

• Mais fraudes na selva da Internet, por Márcio d’Ávila, 2008-02-16.
• Scam - A fraude inunda o correio eletrônico, por Márcio d’Ávila, atualizado em 2008-05-02.

Há muito tempo que eu não comentava ou alertava sobre fraudes circulantes na Internet. Não que elas tenham diminuído, pelo contrário, continuam circulando por e-mail todos os dias aos milhões, inundando caixas postais de todo mundo.

É que as fraudes por e-mail haviam se proliferado tanto nos últimos, e já há tanta informação e alertas sobre elas, que assumi que o assunto já não representava grande novidade e utilidade. Que nada!

As fraudes circulantes no Brasil praticamente sempre têm uma regra geral: Fazem proliferar em grande escala mensagens de correio eletrônico (spam) com um texto mentiroso qualquer — chamado de isca pesca-bobo ou phishing scam — que induza o usuário a clicar em um link, baixar e executar em seu computador um programa espião roubador de dados bancários e pessoais.

Monitorei e coletei por quase três anos (2004 a 2007) centenas de exemplos dessas mensagens de fraude, resultando no artigo Scam - A fraude inunda o correio eletrônico, que exibe imagens (inócuas) das amostras, que classifiquei em sete grupos de temas:

• Cartões e Mensagens
• Notificações Financeiras e Cadastrais
• Informações e Notícias Bombásticas & Apelos Dramáticos
• Download de Aplicativos/Utilitários
• Prêmios, Promoções e Campanhas
• Temas Adultos
• Formulários bancários

Também nesse artigo, listei os principais indícios de fraude, um ou mais aspectos que costumam ocorrer em uma mensagem fraudulenta e que devem aguçar a atenção e desconfiança do destinatário:

• Link destino suspeito
• Apresentação descuidada
• Informação improvável
• Impessoalidade
• Remetente desconhecido

Pode acontecer, porém, de uma fraude ser sofisticada de forma a evitar a maioria ou até todos desses aspectos. Por exemplo, o texto e a aparência da mensagem de fraude podem ser copiados de alguma mensagem legítima de algum serviço ou fonte notória, conferindo-lhe uma apresentação bem cuidada e conteúdo verossímil.

Outras fraudes podem combinar a técnica de capturar os dados do catálogo de endereços de e-mail de um computador infectado, fazendo parecer que o remetente e o destinatário sejam pessoas realmente conhecidas entre si, mitigando assim os aspectos de impessoalidade e uso de um remetente desconhecido aleatório. E é importante lembrar que a informação de remetente de um e-mail pode ser fraudada com certa facilidade, da mesma forma que se pode escrever qualquer coisa no campo de remetente ao enviar uma carta (papel) pelo Correio convencional.

Mesmo o aspecto de endereço destino suspeito em links apresentados nas mensagens às vezes podem ser dissimulados quando a fraude utiliza um domínio ou endereço que tenham correspondência lógica com o texto da fraude (por exemplo, a fraude fala de uma promoção da loja X e o fraudador consegue utilizar um endereço do tipo http://promolojax.atalho.com).

Programas antivírus e outros mecanismos de proteção Internet automatizada dificilmente conseguem ser muito efetivos para proteger os usuários nesses casos, pois fraudes diferentes se proliferam aos milhões a todo momento, com pequenas variações e mudanças entre uma e outra, o que dificulta a identificação de padrões comuns que permitam aos programas de proteção interceptarem com precisão toda a diversidade de fraudes.

Assim, o único instrumento realmente efetivo é o discernimento do usuário de Internet, ou seja, o exercício constante da desconfiança, da cautela e do bom-senso por todos que usam Internet.

No meu artigo citado, eu apresento mais informações que podem ajudar qualquer usuário a ser mais cuidadoso. Para lidar com os links suspeitos, por exemplo, a dica de segurança é relativamente simples: Sempre verifique o endereço de destino de um link antes de clicar nele. E, na dúvida, não clique.

Como quase todas as fraudes no Brasil tentam executar um programa malicioso em seu computador, outra dica central de extrema efetividade é a seguinte: se um link de uma mensagem solicitar a execução de um programa, não execute prontamente. Mesmo que a mensagem pareça ter vindo do seu melhor amigo, do seu banco, do Governo ou da sua loja preferida na Internet, duvide, questione, pergunte antes, mas não execute!

E um alerta adicional sobre a execução de programas a partir de links: Para piorar a situação, vez por outra ainda surgem fraudes que descobrem e se valem de uma falha ou vulnerabilidade de segurança de um programa de e-mail ou navegador Internet popular para conseguir fazer com que, uma vez que o link seja clicado, o programa consiga executar sem confirmação ou aviso prévio. Ou seja, é realmente melhor nem clicar em um link de uma mensagem suspeita de fraude.

Ficou assustando(a)? Infelizmente, é para ficar mesmo. A imensidão da Internet de hoje em dia é como viver nas grandes metrópoles: existe perigo em cada esquina e cada cidadão (e internauta) precisa ficar permanentemente alerta.

Apresento agora uma fraude brasileira que anda circulando por correio eletrônico nos últimos dias e que me motivou a escrever o presente post. Vi, com tristeza, que alguns conhecidos meus caíram na lorota e foram infectados!…

A fraude se faz parecer como o envio de uma charge (ilustração ou animação de humor) do UOL Charges, com um link para a suposta visualização (na verdade, instalação do programa malicioso). Esse é o tipo de tema que classifico como “Cartões e Mensagens”. Além disso, a fraude ainda combina o uso de nomes e endereços de e-mail de computadores infectados e, por isso, costuma indicar como remetente alguém que você realmente conhece.

Conforme citação que encontrei no fórum portal de segurança Linha Defensiva, esta fraude já circula há muito tempo. Eis um exemplo que coletei ontem (há variações do assunto e do texto da mensagem em circulação):

Assunto: Muito boa essa precisa ver
Remetente: (Alguém conhecido com computador infectado )

Olá fulano@dominio.com ,

Seu Amigo (a) Beltrano - ( beltrano@provedor.com )
Enviou uma WebCharges do UOLCharges no dia 15/02/2008!.

Para a visualização da Animação Utilize:

[:: Visualizar UOL Charge de fulano@dominio.com - lN4AIaCEGZkh5Sa::]

Caso o link não responda, Tente:

[:: Visualizar UOL Charge de fulano@dominio.com - lN4AIaCEGZkh5Sa_9::]

Veja uma imagem reproduzida da mensagem (por questão de privacidade, omiti o nome e e-mails do remetente e destinatário originais):

Note que o link destino (destacado em vermelho na barra de endereço, na imagem), nesse caso é suspeito e dá claro indício que nada tem a ver com o real portal de humor UOL Charges, cujos endereços são www.charges.com.br ou charges.uol.com.br. O link destino está no suspeitíssimo domínio restauracionesfr.com (existem variações desta fraude apontando para diversos outros domínios, todos eles sem nenhuma ligação ou sequer semelhança com o real Charges.com.br).

Por sinal, o portal UOL Charges já foi tão vitimado como tema freqüente de fraudes que desde 2006 tomou uma medida radical: parou de incluir links nas mensagens legítimas que o serviço permite a alguém enviar convidando um conhecido a ver uma charge. Eis a seguir reprodução do Aviso Importante divulgado no portal Charges.com.br:

Prezado(a) Internauta,

Devido o aumento do número de SPAM e vírus utilizando de forma criminosa nossa marca e a de vários outros sites de sucesso, o Charges.com.br modificou a sua forma de enviar os cartões.

À partir do dia 12/01/2006 o cartão do Charges.com.br terá apenas o código que deverá ser inserido no campo correspondente do endereço: http://charges.uol.com.br/cartao/.

O Charges.com.br está adotando a Política de Segurança de não enviar links nos cartões virtuais. Caso você receba um cartão que tenha um link, pedimos que apague, pois trata-se de um e-mail falso.

Uma sugestão final: Recomendo o uso do antivírus Kaspersky, que utilizo pessoalmente (não, não recebo nada por recomendar esse programa) há vários anos e posso atestar que é um dos mais rápidos e efetivos em detectar programas maliciosos usados nesse tipo de fraude. O Kaspersky, por sinal, foi recentemente avaliado como o melhor programa de proteção pessoal pela revista INFO Exame (fevereiro/2008) e a empresa Kaspersky Lab eleita como melhor desenvolvedor de soluções de segurança pelos leitores da revista em junho de 2007. Mas nunca se esqueça que as fraudes sempre surgem primeiro que as proteções contra elas, ou seja, nenhum programa garante proteção total nem instantânea.

É, a Internet continua uma selva.

Para saber mais:

• Malware - Software Malicioso, referências sobre vírus, pragas digitais, spyware, fraudes.
• Anatomia de uma fraude, 2007-01-04.
• Fraude do dia: Saddam, 2007-01-04. Ilustra outra fraude típica para instalar programa espião.
• Programas de fraude - nova rodada (4), 2006-09-27. Comparativo da evolução de detecção de cinco programas espiões proliferados por fraudes, entre os 27 utilitários antivírus no serviço VirusTotal.com.

O leitor de e-mail Mozilla Thunderbird 2 e o webmail GMail (Google Mail) têm em comum um recurso que agrega segurança, eficiência e praticidade. O bloqueio e a exibição seletiva de imagens externas dentro de mensagens de e-mail.

Imagens externas ou remotas são referências a imagens na web dentro de uma mensagem formatada, para compor o conteúdo. Em termos simples, é quando o remetente escreveu a mensagem formatada e usou para diagramação ou ilustração uma ou mais imagens mantidas na internet. Em termos técnicos: existe uma ou mais tags IMG no HTML da mensagem, cujo atributo fonte (SRC) aponta para uma imagem na internet.

Neste caso, o programa de e-mail, depois de baixar a mensagem, terá de acessar a internet novamente e baixar cada imagem remota referenciada, para que seja exibida a apresentação visual completa da mensagem recebida.

Tal uso de imagens pode ser usado de forma legítima e “inocente”, para compor uma mensagem formatada e ilustrada. É inclusive muito comum nas malas diretas de empresas, que usam imagens para ilustrar os produtos divulgados. Assim, as imagens não são incluídas no corpo de cada mensagem enviada — o que efetivamente reduz o tamanho da mensagem e o tráfego de envio — mas sim acessadas da web quando cada destinatário visualiza.

Pode ser prático para quem envia, mas é perigoso para quem recebe.

Os riscos

Para começar, podem me chamar de antiquado, mas eu particularmente sou favorável do correio eletrônico para mensagens de texto puro, sem formatação, como foi originalmente concebido. Formatação HTML (fontes, cores, tamanhos… etc.) aumenta muito o tamanho da mensagem trafegada, em comparação a se fosse enviado apenas o texto puro de seu conteúdo. Considerando que em geral os programas de e-mail, ao enviar uma mensagem formatada, enviam junto também uma versão alternativa em texto puro e que as informações de formatação ocupam “espaço”, o tamanho de uma mensagem formatada é mais de duas vezes maior que o tamanho do texto puro.

Mas mesmo que você considere essencial trazer para o correio eletrônico a riqueza visual que existe na web, com seus negritos, centralizados etc., existem riscos concretos nas mensagens formatadas com imagens.

Primeiro, tráfego de rede. Imagens em geral são muito maiores do que texto e, para exibir plenamente uma mensagem com diversas imagens, seu programa de e-mail terá que baixar todas as imagens remotas usadas. Porém, você pode ter uma boa banda larga e isso gasta poucos segundos.

Em seguida vêm os ricos sérios.

Segundo, a quebra de privacidade. Quando seu programa leitor de e-mail (mesmo que seja um webmail) baixa uma imagem remota para exibir em uma mensagem, ele tem que acessar o servidor web onde a imagem está. Este acesso fica registrado. Ou seja, o servidor web “sabe” que você (seu computador) buscou a imagem naquele momento. Algumas empresas utilizam imagens (às vezes “invisíveis”, com tamanho zero ou transparentes) em malas diretas exatamente para controlar quantos, quando e quem recebeu as mensagens, com base no registro de imagens acessadas em seu servidor.

Por fim, o risco de segurança. Fraudes, spams e outras incursões maliciosas freqüentemente utilizam o mecanismo de inserção de imagens remotas na mensagem formatada para explorar alguma vulnerabilidade de segurança, de forma a exibir conteúdo impróprio, introduzir no computador destino um arquivo maléfico, abrir uma brecha para invasão ou outro dano qualquer.

A precaução e as facilidades

É por esses riscos que o Thunderbird e o GMail — e outras aplicações de e-mail que seguirem o bom exemplo — bloqueiam por padrão a exibição de imagens externas nas mensagens recebidas. É oferecida uma opção para Carregar/Exibir as imagens, que pode ser acionada pelo usuário caso ele realmente deseje.

Na ilustração seguinte, você vê parte de uma mensagem formatada recebida pelo Thunderbird. No alto, há um aviso informando que as imagens externas foram bloqueadas (ou seja, ainda não foram baixadas) e um botão com a opção “Carregar imagens”. Na mensagem, pode-se perceber os espaços reservados para as imagens, não exibidas. Se, após conferir remetente, assunto e conteúdo textual, quiser exibir as imagens nesta mensagem específica, pressione o botão.

Porém, existem casos em que você confia bastante no remetente, sabe que ele comumente envia mensagens formatadas contendo imagens e quer que elas sejam sempre exibidas, de forma automática, sem que você tenha que solicitar a exibição de imagens a cada mensagem recebida. Para estes casos, também existe uma opção.

No Thunderbird 2, é o link “Sempre carregar imagens externas de email-remetente”.

O Thunderbird armazena esta opção com uma das informações de um contato (remetente), no Catálogo de Endereços. Quando se escolhe o link e o remetente da mensagem em questão ainda não está no seu catálogo de endereços, abre-se uma janela de diálogo para adicioná-lo.

Nessa janela, note a opção “Permitir imagens externas em mensagens com formatação HTML” marcada. Pronto. Com esta opção marcada em um contato adicionado a seu catálogo de endereços, o Thunderbird passa a baixar e exibir automaticamente as imagens nas mensagens formatadas recebidas deste remetente.

Para saber mais:

• Privacy basics - Thunderbird

Nota: uma mensagem do Submarino.com.br foi usada como exemplo nas ilustrações. A logomarca e o conteúdo ilustrativo exibidos são propriedade ou crédito do Submarino.

Joseph Ottinger anunciou no TheServerSide.COM o lançamento do Spring 2.5, com melhorias em anotações (dia 20), pela SpringSource. Fundada em 2004 como Interface21, a empresa de Rod Johnson, criador do Spring Framework, foi agora renomeada para SpringSource (InfoWorld Tech Watch, dia 19). Veja também Interface21 becomes SpringSource (dia 18), pelo próprio Rod Johnson.

Neal Gafter — engenheiro de software e Ph.D. em computação, atual evangelista Java do Google e antigo engenheiro sênior da Sun para implementação de recursos da linguagem Java 1.4 e 5.0, co-autor do ótimo livro “Java Puzzlers” (Addison Wesley, 2005) — escreveu novos recursos que devem entrar no Java 7: Closures Prototype Update and Extension Methods (dia 20). A postagem foi comentada por Marcos Silva Pereira no JavaFree e em seu blog (dia 22).

O indiano Amit Kumar Saha entrevistou James Branam, gerente do projeto NetBeans Community Docs, com perguntas e respostas sobre o programa: The NetBeans Community Docs Program Wants You! (dia 21). Em seu blog, James já havia apresentado Amit como coordenador de contribuições do programa.

Tim Boudreau — evangelista NetBeans e co-autor de “NetBeans, the Definitive Guide” (O’Reilly, 2002), americano radicado em Praga, na República Tcheca — comentou sobre seu NetBeans South American Tour (dia 24) no Brasil, com fotos de Natal a Florianópolis. Retrocendendo no blog, você encontra mais anotações e fotos do tour NetBeans pela América Latina, em companhia de Bruno Souza, o JavaMan.

Thiago Arrais escreveu “Testes não são para testar” (dia 22) e outros artigos interessantes refletindo sobre conceitos de test-driven development.

Está saindo em novembro pela editora O’Reilly Media o livro Design Accessible Web Sites, 36 Keys to Creating Content for All Audiences and Platforms, por Jeremy Sydik. Mas lembre-se: Acessibilidade não é só na web!

Em Ajax programming with the Java Scripting API (dia 20), o autor Jeff Friesen fala sobre essa API da JSR 223 com trechos do capítulo 9 de seu novo livro Beginning Java SE 6 Platform, From Novice to Professional (APress, 2007). No mesmo dia, também em JavaWord, saiu o artigo correlato Scripting on the Java platform — Using Groovy, Jython, and JRuby for Java development, por Gregor Roth.

A nota do IDG Now! Leitor eletrônico de livros Kindle da Amazon se esgota em quatro dias (dia 23) fala do mais recente lançamento de Jeff Bezos, criador da Amazon. Leia também Amazon Reading Device Doesn’t Need Computer (dia 20), por Saul Hansell, no New York Times. Jeff Bezos é um inovador nato, um dos precursores do futuro (Mario Persona, 2005) no mundo tech. A matéria Aluga-se a Amazon (dia 15), na revista Exame, fala de outras inovações de Bezos.

Nota no TG Daily (dia 21) diz que a fatia de mercado da pesquisa Google é de quase 60% nos EUA. Os dados são da comScore, empresa especializada em medição Internet. O release de imprensa comScore Releases October U.S. Search Engine Rankings (dia 21) mostra que em outubro o Google foi o único dos líderes que cresceu (1,5%), atingindo 58,5%, o equivalente a 6,6 bilhões de buscas. Yahoo (22,9%) e sites Microsoft (9,7%), segundo e terceiro colocados, cairam 0,8 e 0,6 pontos porcentuais respectivamente. Seguem-se Ask Network (4,7%) e Time Warner Network (4,2%). Não encontrei dados recentes para o Brasil, mas em 2005, medições da Nielsen//NetRatings em 11 países apontavam Portal MSN e Google como líderes de audiência no país. No ranking Brasil do Alexa Web Search, liderado pelo Orkut, Google Brasil aparece em 2º, Windows Live 3º, Yahoo 6º e Google.com 7º.

Destaco duas notícia do InfoWord Tech Watch no dia 15. SOA spec goes to OASIS committee diz que OASIS formou um comitê técnico para evoluir a especificação Service Data Objects (SDO), que visa simplificar a forma com que aplicações SOA tratam dados. A iniciativa tem a colaboração de Adobe, BEA Systems, IBM, Progress Software, SAP, e Xcalia. A outra nota, Microsoft Foundation Classes update planned, diz que o time de C++ da Microsoft está trabalhando em uma “significante” atualização da MFC, provendo a desenvolvedores o look-n-feel de Microsoft Office 2007, Internet Explorer 7 e Visual Studio 2008.

Finalmente, foi anunciada correção das falhas no tratamento de endereços Internet (URI) no Microsoft Windows (CAIS, dia 15) que afetavam a maioria dos programas que usam a API do Windows para acionar endereços Internet. A falha foi descoberta em julho, mas o alerta público da Microsoft (943521) só veio em 10 de outubro. Daí até a divulgada solução, conforme Boletim MS07-061 (dia 13) e Artigo técnico 943460, mais um mês se passou. Nesse tempo todo, a maioria das aplicações, como Firefox, Adobe Reader e muitos outros já haviam tomado suas próprias precauções para evitar o erro, conforme citei em A falha de URI com XP/2003+IE7 se espalha (dia 5). A Microsoft só identificou formas de explorar essa vulnerabilidade em sistemas com Internet Explorer 7 instalado, mas a falha existia na biblioteca Shell32.dll, usada por toda aplicação que interage com o Windows.

Para finalizar, mais alguns anúncios de software.

Apache Continuum 1.1 final foi lançado (dia 23). Continuum é um servidor de integração contínua para construção e teste de projetos baseados em Java, com suporte a Maven 1 e 2, Ant e scripts Shell; software livre sob licença Apache.

XWiki project releases 4 new versions (dia 21), por Vincent Massol em TSS.com. XWiki é um wiki escrito em Java, software livre de código aberto distribuído sob licença LGPL. Os quatro lançamentos anunciados foram XWiki Enterprise 1.1.2 (estável) e 1.2 Milestone 2 (em desenvolvimento); XWiki Enterprise Manager 1.0 Milestone 2; e XWiki Eclipse Integration 1.0.

OpenForum Wiki 2.0 (dia 19), por Nik Cross em JavaLobby. OpenForum Wiki é uma plataforma de colaboração em estilo wiki, que traz integrado servidor web e autenticação de usuário.

JPen: Java Pen Tablet Access Library Released (dia 19), por Nicolas Carranza em JavaLobby. JPen é uma interface Java para mesas digitalizadoras (pen tablets). Roda em Java 6 sobre Linux (XInput) e Windows (wintab) e é software livre lançado sob licença LGPL.