Cada cliente AIM se conecta aos servidores da América Online, e envia mensagens através dele. Assim, fica mais difícil de descobrir o endereço IP de alguém. Porém, o AIM possui uma função para envio de arquivos, e imagens na própria janela do programa. Ao escolher esta opção, o programa fechará uma conexão diretamente com a pessoa na qual está conversando, e deseja enviar/receber o arquivo ou imagem. Esta opção habilita a conexão direta. De qualquer forma, se o usuário desejar enviar um arquivo, seja através do menu ao lado, ou arrastando uma imagem para a tela de Chat, o programa irá adverti-lo que, para continuar, uma conexão será estabelecida diretamente entre os dois computadores. Pelos motivos explicados anteriormente, este tipo de função deve ser evitado. Windows Messenger A Microsoft obviamente descobriu o mercado para os programas de mensagens instantâneas, e embarcou nele. O software da Microsoft chama-se Windows Messenger, e usa como protocolo de comunicação apenas http (o mesmo usado para o serviço web – de páginas). O Windows Messenger, por ser o mais simples, trazendo menos recursos, é um dos menos susceptíveis a falhas. Ele também usa o princípio do AIM, onde a mensagem circula através do servidor que provém a infra-estrutura. Vantagem de ambos, pois a lista de contatos fica guardada lá, e não se perde. Porém, ele possui uma função de conversação, onde é possível estabelecer contato com alguém de sua lista via voz, como em um telefone, usando os recursos multimídia do computador. Ele também permite enviar e receber arquivos. Nestes casos, uma conexão direta entre os dois computadores será estabelecida, e será possível descobrir o seu endereço IP. Devem ser evitados. Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. Em todos os casos, a principal preocupação com os serviços de mensagens instantâneas é a divulgação de seu endereço IP. No caso do AIM e do MSN Explorer, isto pode ser ainda evitado, com algumas medidas simples, como vimos. Já o ICQ, por ser o mais usado em todo o mundo, e o mais complexo, é o que reúne o maior potencial para insegurança. Contudo, deve ficar claro que todos eles, corretamente configurados, podem ser usados. Lembre-se que, qualquer um que receba um arquivo que seja um cavalo de tróia, e o execute, não poderá colocar a culpa no método usado para compartilhá-lo. Neste caso, é apenas uma questão de educação e hábito. Correio Eletrônico O correio eletrônico, hoje em dia, é claramente o meio mais usado para disseminação de vírus e cavalos-de-tróia. O email de certa forma é uma aplicação bastante invasiva hoje em dia, e, por este motivo, todo cuidado é pouco ao receber qualquer mensagem que seja, com um arquivo anexo. A maioria dos usuários de rede e Internet hoje no mundo todo, acessam suas contas de correio através de um protocolo de recepção de mensagens chamado POP3 (Post Office Protocol v. 3). Este protocolo, aliado à configuração padrão da maioria dos programas clientes de correio, faz com que, ao checar sua caixa postal, todas as mensagens sejam baixadas de forma não interativa. Caso algum dos correios esteja infectado com um script ou cavalo-de-tróia, o usuário somente saberá quando o correio já estiver dentro de sua caixa postal local. Assim sendo, é muito comum o usuário, movido pela curiosidade, tentar abrir qualquer documento anexo à mensagem. Boa parte dos cavalos-de-tróia são programinhas gráficos apelativos, com mensagens que alimentam a curiosidade do usuário, como pequenas animações, desenhos, ou coisas do gênero. Ao executar algum programa destes, o usuário tem a impressão de que nada ocorreu. Contudo, o cavalo-de-tróia tem uma segunda função, que geralmente abre o computador para um ataque via Internet. Os cavalos-de-tróia serão discutidos mais a frente. Exemplo de uma mensagem de correio com o happy99.exe anexo. Este trojan/worm foi lançado no final de 1998, e ainda hoje, circula em grande quantidade na Internet. Foi o primeiro vírus a realmente “popularizar” a onda que vemos hoje de disseminação pelo correio. Isto forçou os fabricantes e desenvolvedores de programas antivírus a adatar seus softwares, de forma que eles chequem “no vôo” as mensagens que são depositadas na caixa postal local. O grande problema que tira o sono da maioria dos administradores de rede de empresas é a queda do conceito que se tinha de que, “se não executar um anexo, nunca será infectado”. Esta frase perdeu a validade, uma vez que existem scripts e programas que exploram falhas nos software de correio, e se “auto- executam”. Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. Obviamente, este definitivamente não é o comportamento padrão que um programa de correio deve ter. Estes scripts ou programas maliciosos usam falhas para se executarem automaticamente, e isso só é possível por causa delas. Para ficar protegido contra este tipo de ameaça, a melhor saída é sempre manter o seu sistema atualizado. Estas falhas são corrigidas antes que algum script seja difundido o suficiente (infelizmente, a maioria das pessoas não costuma manter seus sistemas atualizados). Contudo, o risco maior neste caso passa a ser dos administradores de grandes ambientes, que terão de efetuar atualizações praticamente durante à noite, para poder concluir o trabalho antes que as falhas se tornem perdas reais, no dia seguinte. Todo administrador de rede já possui trabalho o suficiente, pois por mais que instrua os usuários de uma rede a não executarem arquivos anexos, os avisos não funcionam. Agora, imaginemos este ambiente, com vírus e worms que sequer precisem ser executados. Apesar dos antivírus hoje em dia detectarem estes vermes que usam falhas de segurança, pela característica de alguns, quando o arquivo ou o email chega ao antivírus, pode já ter sido interpretado pelo núcleo do programa. Isto acontece com o browser, ao visitar uma página que possua o “JS.Exception” ou o “Happytime”. O js.exception.exploit basicamente explora uma falha de javascript, e o Happytime, de VB Script. Para maiores informações sobre o “js.exception.exploit” e o Happytime: http://www.symantec.com/avcenter/venc/data/js.exception.exploit.html http://www.symantec.com/avcenter/venc/data/vbs.haptime.a@mm.html Como o email é a forma mais usada para disseminação de vírus e programas maliciosos, alguns programas já incorporam funcionalidades que impeçam o usuário de executar ou abrir arquivos anexos a mensagens, com extensões suspeitas. O Personal Firewall “ZoneAlarm” possui o recurso de renomear automaticamente arquivos anexos em mensagens com extensões perigosas, como .exe, .com, .pif, .vbs, entre outras (falaremos dele na secção “Personal Firewalls”). Programas de correio, como o Outlook XP (que faz parte do Office XP) por padrão, não aceitarão arquivos com estas extensões, automaticamente ignorando-os. Isso infelizmente não os torna mais seguros, diante da avalanche de falhas que estes programas têm apresentado. Gerência Remota Hoje em dia, existem diversos programas para gerência remota disponíveis. Com o aumento da velocidade dos meios de comunicação de dados, vemos que as facilidades para gerência remota têm melhorado, principalmente, em qualidade. Hoje, apenas com uma linha discada,