Ataque infecta 500 mil páginas para envenenar resultados do Google.
Em 2007, a Agência Central de Inteligência dos Estados Unidos (CIA) retirou o sigilo de diversos documentos da época da Guerra Fria. Entre eles está um manual de truques e enganação criado em 1953 e que deveria ter sido destruído vinte anos depois. O documento foi obra de um ilusionista, John Mulholland, contratado exatamente para essa tarefa. Agora, editado e revisado, o manual foi publicado e está sendo vendido por 15 dólares.
Outras notícias nesta coluna: Microsoft confirma brecha “dia zero” no Internet Explorer 7, ataque infecta meio milhão de páginas para envenenar resultados do Google.
Outras notícias nesta coluna: Microsoft confirma brecha “dia zero” no Internet Explorer 7, ataque infecta meio milhão de páginas para envenenar resultados do Google.
Manual da CIA com técnicas para enganar é publicado
Já pode ser comprado na internet por US$ 15 um documento contendo técnicas para enganar, enviar mensagens secretas e esconder objetos. O documento, na verdade, pertence à agência de inteligência norte-americana CIA e foi redigido em 1953 com base em ilustrações do ilusionista John Mulholland, contratado na época, por US$ 3 mil para desenvolver truques com este fim.
Todas as cópias do manual, e um artigo relacionado sobre sinais secretos, deveriam ter sido destruídos em 1973.
No entanto, Robert Wallace e Keith Melton, conhecidos pelo trabalho em guias de espionagem, encontraram uma cópia em 2007 em meio a uma série de outros documentos que foram liberados ao público pela CIA. Agora, em edição revisada, “O guia oficial da CIA de truques e enganação” (em tradução livre) já pode ser comprado facilmente no site da Amazon, por exemplo.
O livro contém dicas sobre como parecer um idiota, como se esconder em meio a garrafas de água ou em outros compartimentos e como dizer “eu tenho informação” e “me siga” usando os cadarços do calçado. Também ensina como pegar um documento que está em uma mesa utilizando adesivos abaixo de um livro ou pasta, que, então, é colocado sobre o documento, que irá colar no adesivo e assim ser levado junto quando este for retirado pelo dono.
Outras técnicas incluem “colocar pílulas em bebidas sem ser notado” e “remoção sorrateira de objetos por mulheres”.
O manual foi parte de uma iniciativa da CIA denominada MK-ULTRA, que, na época da Guerra Fria, buscava encontrar maneiras de controlar a mente das pessoas. O projeto levou a uma série de experimentos secretos da agência com drogas como o LSD. Mas não foi a primeira vez que governos buscaram a ajuda de ilusionistas para táticas de guerra e espionagem. O mágico Harry Houdini trabalhou para o serviço secreto britânico em operações na Alemanha e na Rússia, por exemplo.
Todas as cópias do manual, e um artigo relacionado sobre sinais secretos, deveriam ter sido destruídos em 1973.
No entanto, Robert Wallace e Keith Melton, conhecidos pelo trabalho em guias de espionagem, encontraram uma cópia em 2007 em meio a uma série de outros documentos que foram liberados ao público pela CIA. Agora, em edição revisada, “O guia oficial da CIA de truques e enganação” (em tradução livre) já pode ser comprado facilmente no site da Amazon, por exemplo.
O livro contém dicas sobre como parecer um idiota, como se esconder em meio a garrafas de água ou em outros compartimentos e como dizer “eu tenho informação” e “me siga” usando os cadarços do calçado. Também ensina como pegar um documento que está em uma mesa utilizando adesivos abaixo de um livro ou pasta, que, então, é colocado sobre o documento, que irá colar no adesivo e assim ser levado junto quando este for retirado pelo dono.
Outras técnicas incluem “colocar pílulas em bebidas sem ser notado” e “remoção sorrateira de objetos por mulheres”.
O manual foi parte de uma iniciativa da CIA denominada MK-ULTRA, que, na época da Guerra Fria, buscava encontrar maneiras de controlar a mente das pessoas. O projeto levou a uma série de experimentos secretos da agência com drogas como o LSD. Mas não foi a primeira vez que governos buscaram a ajuda de ilusionistas para táticas de guerra e espionagem. O mágico Harry Houdini trabalhou para o serviço secreto britânico em operações na Alemanha e na Rússia, por exemplo.
Microsoft confirma brecha “dia zero” no Internet Explorer 7
O código para explorar uma nova brecha, ainda sem correção, no Internet Explorer 6 e 7 está disponível na internet. Com ele, um indivíduo mal-intencionado pode criar uma página web capaz de infectar o computador do internauta assim que um site for visitado, sem a necessidade de confirmar a execução do vírus. Quem não quer atualizar para o Internet Explorer 8, que não sofre do problema, terá de aguardar uma atualização de segurança da Microsoft.
A empresa confirmou o problema na segunda-feira (23) e identificou as versões 6 e 7 do Internet Explorer como vulneráveis. O Internet Explorer 5.01, que ainda recebe atualizações de segurança por ser o padrão do Windows 2000 SP4, também não possui o problema.
A recomendação da Microsoft é aumentar o nível de segurança na Zona de Internet para “Alto” nos Windows XP, Vista e 2003. No entanto, isso fará com que a maioria dos sites não funcione corretamente, tornando a navegação pouco produtiva. É mais viável o uso de outro navegador, como o Firefox, Opera ou Chrome, ou atualizar para a versão mais recente do navegador, IE 8.
O código publicado na internet que faz uso da brecha apenas causa o travamento do navegador na maioria das vezes. A Microsoft informa que não está sabendo de qualquer ataque com base na brecha até o momento. No entanto, como o código existe, a vulnerabilidade já pode ser considerada “dia zero”.
Os programas de correio eletrônico Outlook, Outlook Express e Windows Mail também fazem uso do componente vulnerável, mas a configuração padrão desses programas, que não executa “scripts”, impede que a brecha seja explorada, segundo a Microsoft. A Prevenção de Execução de Dados (DEP) e o Modo Protegido do Internet Explorer, ativado por padrão no Windows Vista, dificultam o ataque.
Ataque infecta 500 mil páginas para envenenar resultados do Google
A empresa de segurança Cyveillance detectou uma nova onda de ataques que envenenam exclusivamente os resultados de pesquisas no Google. Os resultados maliciosos não aparecem em concorrentes da gigante, como Bing e Yahoo. Além disso, as páginas são inofensivas se acessadas diretamente, fora do resultado das buscas.
Ao clicar em um dos resultados, o site tenta infectar o computador do internauta, instalando um antivírus fraudulento que tenta assustar a vítima até que ela compre o produto. O “antivírus”, porém, não realiza função alguma, e a fraude consiste exatamente nisso.
O curioso dessa onda ataques é que, segundo a Cyveillance, as páginas não apresentam qualquer comportamento malicioso se acessar diretamente. Quando um link é clicado, o navegador envia ao site que está sendo acessado a informação de referência, ou seja, quem fez o link. Usando essa informação, as páginas maliciosas restringem os ataques a apenas usuários que chegaram a elas por meio do Google.
Os links maliciosos, vários deles localizados em sites legítimos que foram comprometidos pelos criminosos, contém várias palavras populares. Com isso, eles esperam aparecer em buscas do Google, e serem eventualmente clicados por internautas.
Essas foram as principais notícias da semana em segurança. A coluna Segurança para o PC volta na segunda-feira (30) para comentar sobre os golpes que aparecem no final de ano. Até lá, deixe sua dúvida, sugestão ou crítica na área de comentários, logo abaixo. Bom final de semana!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na páginahttp://twitter.com/g1seguranca.
Nenhum comentário:
Postar um comentário