Discussoes de Programacao e Tecnologia

Wwww.sl - onde estão as informações corretas?

16 respostas
Sami_Koivu
Sami_Koivu

Olá,

Sexta-feira (dia 03) a noite eu estava lendo um blog de segurança (uhm, sim, é triste), quando eu percebi que o site queria rodar um applet assinado, com o pop-up em anexo.

Nem considerei em rodar o applet (na verdade rodar rodei, mesmo clicando em cancel o applet é executado, só que sem privilégios especiais) e fui atrás para ver do que se tratava, se era malicioso, etc.

Percebi que o DNS do meu provedor estava me fornecendo um IP errado para o servidor do Google AdSense (pagead2.googlesyndication.com). E esse servidor do IP errado estava me passando um javascript ofuscado do site wwww.sl que tentava rodar esse applet assinado. O applet assinado por sua vez ia baixar um arquivo imagem.exe (nome em português, mesmo) e em sequencia executar o .exe. 7 produtos de antivirus dos 40 do virustotal detectaram um virus (No momento, 15/40 já detectam o vírus). Meu teste empirico me deu a impressão que o virus estava mandando informações de eventos de mouse que me leva a suspeitar que o alvo são os internet banking. Tudo muito interessante e até documentei o caso no meu blog e reportei os arquivos para o F-Secure.

Agora, achei super triste o fato de não ter informações legais referente isso em nenhum site. Nenhum. Zero.

O que tinha por aí eram blogs, forum de jogos, etc:
http://bitaytes.com/2009/04/virus-perigoso-lancado-na-internet/
http://www.loucosporsoftwares.com/2009/04/atencao-um-virus-perigoso-esta-na.html
http://www.baixaki.com.br/info/1872-comunicado-importante-um-virus-perigoso-esta-assolando-a-internet.htm

todos com mais ou menos a mesma mensagem mal informada dizendo

  1. ou que era problema da Google
  2. ou que era problema do Java plugin
    que simplesmente é informação errada. E eu não estou defendendo o Java Plugin de uma forma geral, ele tem de fato vários problemas de segurança, o último release Java 6 update 13 corrigindo vários. Só que nesse caso não era problema do plugin e sim problema de registro DNS comprometido.

Eu entendo que misinformação espalha facilmente, mas o fato de nenhum site estar com as informações corretas é tão triste quanto eu estar em casa numa sexta-feira noite lendo blog de segurança.

Abraço,
Sami

Alura Git Flow: entenda o que é, como e quando utilizar Entenda o que é Git Flow, como funciona seu fluxo com branches como Master, Develop, Feature, Release e Hotfix, além de vantagens e desvantagens.

16 Respostas

Marcio_Duran
Marcio_Duran

Use sempre o TOR a internet é uma via infinita de situações mesmo inesperadas !!!

:arrow: http://www.torproject.org/

ramilani12
ramilani12

Olá
Sami,

Não me assustaria caso seja um problema do Google , só este ano foram 10 falhas criticas envolvendo gmail , google docs e orkut.

Sami_Koivu
Sami_Koivu

Marcio,

Anonimidade é bom, mas não exatamente a solução contra problema desse tipo. Pelo que eu entendo, pode ser que você ia usar o DNS de um chines que talvez está ainda mais vulnerável aos ataques.

Rafael,

Com certeza a Google também não é infalível nesse sentido, só estou dizendo que definitivamente não foi o caso desta vez.

[]s,
Sami

T
thingol

Para o pessoal que não entendeu o que o Sami disse e só leu a palavra “Google”:
não tem nada a ver com o Google, e o Google não poderia ter evitado o ataque.

O ataque do wwww.sl funciona assim:

  • Ele explora uma vulnerabilidade de muitos servidores DNS - como essa vulnerabilidade é intrínseca à definição do protocolo, ela aparece em N servidores diferentes; muitos deles foram corrigidos depois desta notícia:

Vulnerability Note VU#800113 - Multiple DNS implementations vulnerable to cache poisoning

Obviamente há ainda muitos servidores DNS que estão sujeitos a tal vulnerabilidade. O servidor de DNS que o Sami usa, ou o servidor de DNS “authoritative” que o servidor de DNS que o Sami usa, ficou com uma entrada errada para este IP aqui:

pagead2.googlesyndication.com

que acaba apontando para uma máquina maliciosa do atacante (wwww.sl).

O que ocorre é que essa tal máquina, em vez de servir um javascript normal do Google AdSense, serve uma outra coisa, que tenta instalar um applet malicioso. Antes essas coisas tentavam instalar ActiveX, mas como hoje em dia é mais difícil escrever um ActiveX e como nas máquinas com Windows Vista programas ActiveX têm muitas restrições para rodarem (eles rodam dentro de um ambiente “controlado” e não podem fazer muitos estragos, mesmo se o ActiveX for assinado), para você poder fazer algum estrago em uma máquina Windows Vista você precisa ter uma das seguintes condições:

  • UAC desligado, ou
  • Sun Java PlugIn 6.0 Update 10 ou superior (o que é bem mais provável ocorrer, já que o Java se atualiza automaticamente).
    É que o Sun Java PlugIn 6.0 Update 10 ou superior permite que uma applet assinada rode fora do contexto protegido que o Windows Internet Explorer roda as coisas.
Sami_Koivu
Sami_Koivu

Perfeito, thingol. Isso mesmo. Essa questão do Vista eu conheço muito mal, já que ainda estou usando XP.

Felizmente a parte de applet eles se concentraram em ter um applet assinado que parece oficial e bem-intencionado. Digo felizmente, porque existem várias falhas que iriam possibilitar ter um applet não-assinado fazer coisas mal intencionadas sem necessitar o usuário aceitar rodar.

ramilani12
ramilani12

Sami Koivu:
Marcio,

Anonimidade é bom, mas não exatamente a solução contra problema desse tipo. Pelo que eu entendo, pode ser que você ia usar o DNS de um chines que talvez está ainda mais vulnerável aos ataques.

Rafael,

Com certeza a Google também não é infalível nesse sentido, só estou dizendo que definitivamente não foi o caso desta vez.

[]s,
Sami

Ops realmente escrevi errado, caso a origem do problema era do Google,mas como vc disse não é…

articof
articof

eu tenho essa janela abrindo no meu xp cada 5 minutos, sempre clico em cancel .

Alguem sabe como desativar isto ??

O meu antivirus AVG não detecta nada.

Sami_Koivu
Sami_Koivu

articof:
eu tenho essa janela abrindo no meu xp cada 5 minutos, sempre clico em cancel .

Alguem sabe como desativar isto ??

O meu antivirus AVG não detecta nada.

Oi,

Provavelmente o javascript malicioso está no cache do seu browser ainda. Tente limpar os arquivos temporarios do seu navegador.

[]s,
Sami

Sami_Koivu
Sami_Koivu

BTW,

Parece que o alvo de vez é a entrada referente ao site de um banco Brasileiro:
http://stoa.usp.br/walrus/weblog/47454.html

http://stoa.usp.br/calsaverini/weblog/47461.html

http://stoa.usp.br/calsaverini/weblog/47466.html

Mauricio_Linhares
Mauricio_Linhares

Já faz um tempinho que eu migrei pro OpenDNS e não tive mais problemas com esse tipo de coisa.

Sami_Koivu
Sami_Koivu

É uma boa, Mauricio. Acho que vou começar a usar também. Mas não resolve para os usuários leigos que nem sabem da existencia de DNS.

Mauricio_Linhares
Mauricio_Linhares

É triste mas é verdade né :frowning:

O meu problema aqui foi com outages constantes por parte da operadora (a Oi), onde o servidor de DNS passava horas fora do ar, teve um dia que a Paraíba praticamente parou porque os servidores de DNS do provedor do Velox simplesmente morreram e eles demoraram um dia inteiro pra trazer eles pro ar denovo.

Desde esse dia eu configurei o meu roteador pra usar o OpenDNS e nunca mais tive problemas, mesmo em dias que amigos não conseguiam acessar a rede por falta de resolução dos servidores de DNS.

T
thingol

Um colega meu que tem conta nesse tal banco grande foi acessar ontem à noite e percebeu a invasão; infelizmente ele vai ter de ir à agência porque a “senha inicial” dele já foi roubada. (Os outros dados, como outras senhas, “passphrases” e outras coisas, ele não digitou.)
Ele tem contas em outro banco grande também e as entradas de DNS desse banco ainda não tinham sido atacadas.

Vamos ver se o banco vai processar o provedor ou se eles vão abafar o caso, já que não vi nenhuma referência e nenhuma notícia sobre isso nos principais sites de notícias (só falam do Speedy, e porque ele ficou “lento” esses dias).

Sami_Koivu
Sami_Koivu

Bom, só pra encerrar o assunto:

Banda larga Vírtua sofre ataque virtual que engana usuários de banco

A
andre_salvati

Eu uso e recomendo o DNS do UOL nos ips 200.221.11.100 e 200.221.11.101

Nem percebi os problemas com o Speedy da Lixõnica dessa semana… :wink:

Sami_Koivu
Sami_Koivu

Bom, vou adicionar mais um link, porque acabei de ver que saiu um artigo no theregister.co.uk, mais focado no caso do banco, mas que também fala sobre o AdSense.

EDIT: Tudo bem que o nome do banco tá um pouco errado no artigo :slight_smile:

Criado 9 de abril de 2009
Ultima resposta 21 de abr. de 2009
Respostas 16
Participantes 7

Topicos relacionados

Componente de forum 4 respostas Consultar CPF pelo nome na Receita Federal 5 respostas Pegadinhas que se fazem com os pobres estagiários 62 respostas [Resolvido] Como comparar Strings em C? 6 respostas Converter pixels para centímetros 9 respostas
Fiap Graduacao em Tecnologia — FIAP Analise e Desenvolvimento de Sistemas, Engenharia de Software e mais
Casa do Codigo Casa do Codigo — Livros de tecnologia Livros de programacao, infraestrutura e inovacao