conceitos básicos de seguranca

Cada cliente AIM se conecta aos servidores da América Online, e envia mensagens através dele. 
Assim, fica mais difícil de descobrir o endereço IP de alguém. 
 
 Porém, o AIM possui uma função para envio de arquivos, e imagens na própria janela do programa. 
Ao escolher esta opção, o programa fechará uma conexão diretamente com a pessoa na qual está 
conversando, e deseja enviar/receber o arquivo ou imagem. 
 
 
 
 
 
 
 Esta opção habilita a conexão direta. De qualquer forma, se o 
usuário desejar enviar um arquivo, seja através do menu ao lado, ou 
arrastando uma imagem para a tela de Chat, o programa irá adverti-lo 
que, para continuar, uma conexão será estabelecida diretamente entre 
os dois computadores. 
 
 Pelos motivos explicados anteriormente, este tipo de função 
deve ser evitado. 
 
 
 
 
 
Windows Messenger 
 
 A Microsoft obviamente descobriu o mercado para os programas de mensagens instantâneas, e 
embarcou nele. O software da Microsoft chama-se Windows Messenger, e usa como protocolo de comunicação 
apenas http (o mesmo usado para o serviço web – de páginas). 
 
 
 
O Windows Messenger, por ser o mais simples, trazendo menos recursos, é 
um dos menos susceptíveis a falhas. Ele também usa o princípio do AIM, onde a 
mensagem circula através do servidor que provém a infra-estrutura. Vantagem de 
ambos, pois a lista de contatos fica guardada lá, e não se perde. 
 
Porém, ele possui uma função de conversação, onde é possível estabelecer 
contato com alguém de sua lista via voz, como em um telefone, usando os 
recursos multimídia do computador. Ele também permite enviar e receber arquivos. 
Nestes casos, uma conexão direta entre os dois computadores será estabelecida, e 
será possível descobrir o seu endereço IP. Devem ser evitados. 
 
 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
 
 Em todos os casos, a principal preocupação com os serviços de mensagens instantâneas é a 
divulgação de seu endereço IP. No caso do AIM e do MSN Explorer, isto pode ser ainda evitado, com algumas 
medidas simples, como vimos. Já o ICQ, por ser o mais usado em todo o mundo, e o mais complexo, é o que 
reúne o maior potencial para insegurança. 
 
Contudo, deve ficar claro que todos eles, corretamente configurados, podem ser usados. Lembre-se 
que, qualquer um que receba um arquivo que seja um cavalo de tróia, e o execute, não poderá colocar a 
culpa no método usado para compartilhá-lo. Neste caso, é apenas uma questão de educação e hábito. 
 
 
Correio Eletrônico 
 
 O correio eletrônico, hoje em dia, é claramente o meio mais usado para disseminação de vírus e 
cavalos-de-tróia. O email de certa forma é uma aplicação bastante invasiva hoje em dia, e, por este motivo, 
todo cuidado é pouco ao receber qualquer mensagem que seja, com um arquivo anexo. A maioria dos 
usuários de rede e Internet hoje no mundo todo, acessam suas contas de correio através de um protocolo de 
recepção de mensagens chamado POP3 (Post Office Protocol v. 3). Este protocolo, aliado à configuração 
padrão da maioria dos programas clientes de correio, faz com que, ao checar sua caixa postal, todas as 
mensagens sejam baixadas de forma não interativa. Caso algum dos correios esteja infectado com um script 
ou cavalo-de-tróia, o usuário somente saberá quando o correio já estiver dentro de sua caixa postal local. 
 
 Assim sendo, é muito comum o usuário, movido pela curiosidade, tentar abrir qualquer documento 
anexo à mensagem. Boa parte dos cavalos-de-tróia são programinhas gráficos apelativos, com mensagens que 
alimentam a curiosidade do usuário, como pequenas animações, desenhos, ou coisas do gênero. Ao executar 
algum programa destes, o usuário tem a impressão de que nada ocorreu. Contudo, o cavalo-de-tróia tem uma 
segunda função, que geralmente abre o computador para um ataque via Internet. Os cavalos-de-tróia serão 
discutidos mais a frente. 
 
 
Exemplo de uma mensagem de 
correio com o happy99.exe anexo. Este 
trojan/worm foi lançado no final de 1998, e 
ainda hoje, circula em grande quantidade na 
Internet. 
 
 Foi o primeiro vírus a realmente 
“popularizar” a onda que vemos hoje de 
disseminação pelo correio. Isto forçou os 
fabricantes e desenvolvedores de programas 
antivírus a adatar seus softwares, de forma 
que eles chequem “no vôo” as mensagens que 
são depositadas na caixa postal local. 
 
 
 
 
 
 
 O grande problema que tira o sono da maioria dos administradores de rede de empresas é a queda do 
conceito que se tinha de que, “se não executar um anexo, nunca será infectado”. Esta frase perdeu a 
validade, uma vez que existem scripts e programas que exploram falhas nos software de correio, e se “auto-
executam”. 
 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
Obviamente, este definitivamente não é o comportamento padrão que um programa de correio deve 
ter. Estes scripts ou programas maliciosos usam falhas para se executarem automaticamente, e isso só é 
possível por causa delas. Para ficar protegido contra este tipo de ameaça, a melhor saída é sempre manter o 
seu sistema atualizado. Estas falhas são corrigidas antes que algum script seja difundido o suficiente 
(infelizmente, a maioria das pessoas não costuma manter seus sistemas atualizados). 
 
Contudo, o risco maior neste caso passa a ser dos administradores de grandes ambientes, que terão 
de efetuar atualizações praticamente durante à noite, para poder concluir o trabalho antes que as falhas se 
tornem perdas reais, no dia seguinte. Todo administrador de rede já possui trabalho o suficiente, pois por 
mais que instrua os usuários de uma rede a não executarem arquivos anexos, os avisos não funcionam. 
Agora, imaginemos este ambiente, com vírus e worms que sequer precisem ser executados. 
 
 
 
 
 
 Apesar dos antivírus hoje em dia detectarem estes 
vermes que usam falhas de segurança, pela característica 
de alguns, quando o arquivo ou o email chega ao 
antivírus, pode já ter sido interpretado pelo núcleo do 
programa. Isto acontece com o browser, ao visitar uma 
página que possua o “JS.Exception” ou o “Happytime”. O 
js.exception.exploit basicamente explora uma falha de 
javascript, e o Happytime, de VB Script. 
 
 
 
 
 
 
 
 
 
 
 Para maiores informações sobre o “js.exception.exploit” e o Happytime: 
 
http://www.symantec.com/avcenter/venc/data/js.exception.exploit.html 
http://www.symantec.com/avcenter/venc/data/vbs.haptime.a@mm.html 
 
 Como o email é a forma mais usada para disseminação de vírus e programas maliciosos, alguns 
programas já incorporam funcionalidades que impeçam o usuário de executar ou abrir arquivos anexos a 
mensagens, com extensões suspeitas. 
 
 O Personal Firewall “ZoneAlarm” possui o recurso de renomear automaticamente arquivos anexos em 
mensagens com extensões perigosas, como .exe, .com, .pif, .vbs, entre outras (falaremos dele na secção 
“Personal Firewalls”). Programas de correio, como o Outlook XP (que faz parte do Office XP) por padrão, não 
aceitarão arquivos com estas extensões, automaticamente ignorando-os. Isso infelizmente não os torna mais 
seguros, diante da avalanche de falhas que estes programas têm apresentado. 
 
 
Gerência Remota 
 
 Hoje em dia, existem diversos programas para gerência remota disponíveis. Com o aumento da 
velocidade dos meios de comunicação de dados, vemos que as facilidades para gerência remota têm 
melhorado, principalmente, em qualidade. Hoje, apenas com uma linha discada,