Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Comprometimento em massa: como funciona o Gumblar

Enviado por Luciano Barreto (expertvixΘhotmail·com):

“O blog de tecnologia “Techno Café” publicou um artigo explicando como funciona o Gumblar (veja descrição no ISS), uma forma de ameaça de comprometimento em massa, que está infestando mais de 30.000 sites em todo o mundo (agências governamentais, blogs, portais, fóruns, e outros), fazendo com que o internauta seja redirecionado para sites de malware, onde, então, o computador do visitante será exploitado.” [referência: technocafe.scampini.net]

• Publicado por Augusto Campos em 2009-06-20

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Rafael A. de Almeida (usuário não registrado) em 20/06/2009 às 12:22 pm

    Qual a real chance desse problema ocorrer com quem usa Linux, já que Linux não pega vírus?

    Adilson dos Santos Dantas (usuário não registrado) em 20/06/2009 às 12:35 pm

    Segundo o site http://www.iss.net/threats/gumblar.html já citado acima:

    Affected Platforms:

    The malware affecting PCs targets prevalent Microsoft platforms:

    * Microsoft Windows 2000
    * Microsoft Windows XP
    * Microsoft Windows Server 2003

    Por enquanto, quem usa Linux, estamos seguros,

    O desktop Linux aparentemente não é afetado ainda por variantes dele, mas sites baseados em plataformas livres estão sendo usados para espalhar o malware, como o artigo explica. Aparentemente não se trata de vulnerabilidades específicas sendo exploradas de modo automatizado, mas convém ficar atento, especialmente nas plataformas ou aplicativos listados (versões do phpBB, do WordPress, etc.).

    Alvaro (usuário não registrado) em 20/06/2009 às 1:13 pm

    Qual a real chance desse problema ocorrer com quem usa Linux, já que Linux não pega vírus?

    A chance é bem grande, desde que alguém se disponha a portar o malware para Linux. Não esqueça que grande parte dos usuários Linux desktop possui plugin Flash (da própria Adobe! mesma base de código que a versão Windows), player multimídia e leitor PDF (alguns usam o próprio Adobe Reader!) ;)

    Se os usuários Linux não largarem essa mentalidade totalmente infundada de “estamos seguros, Linux não pega vírus”, logo serão alvos fáceis. Se querem evitar isso, não deixem de atualizar o sistema de vocês, de usar NoScript, de não abrir qualquer porcaria, bla bla bla

    Damarinho (usuário não registrado) em 20/06/2009 às 1:52 pm

    (*_*)
    A priori, o Linux não produz nem executa programas-virus, pois condiciona-se a operacionalidade por sessão, usuário, controle de acersso, header de arquivos, configuração.
    Um arqui vo-programa pode ser reconhecido por seu Header ou por seus sufixos (.tgz, .rpm, .exe, .com, .pdf). E há tabelas de configuração para exequibilidade.

    Há décadas que se produz controle de segurança, cujas soluções são previstas por equacionamento de “bugs”, inoperâncias ou inexequibilidade.

    A história e estórias sempre se repetem, quando se trata de operacionalidcade MSWindows, e suas vítimas residem no mesmo ambiente executivo, que é degradado
    com seus controles e antivirus e abusos de segurança, e por primário a ignorância de usuários comuns.

    Não se concebe mais que um desenpenho em degradação de 60% ainda seja aceitável em estado críti co num sistema operaciional, pois esse percentual é agigantado com os anti-virus e agentes executivo-operaconais, que afetam a produtividade.
    E mesmo que haja 2 núcleos executivo-operacionais.

    Os recursos alienados e corrompidos convivem com a insensatez em usar um sistema operaconal já moribundo, pois há subsitutos que as culturas fazem prevalecer, por beneficio de intelectos propulsores da liberdade de expressão cibernética.

    Opero e trabalho sem as rédeas do medo, pois meu sistema é Linux.

    o/

    Alvaro (usuário não registrado) em 20/06/2009 às 2:21 pm

    A priori, o Linux não produz nem executa programas-virus, pois condiciona-se a operacionalidade por sessão, usuário, controle de acersso

    Eu não vejo por que divisão em usuários tornaria o Linux imune a malwares.

    Como usuário comum (veja bem, não é necessário rot), um malware tem acesso a uma série de tarefas: executar programas (usando o processamento da máquina para tarefas como quebrar senhas, transformando o computador em parte de uma botnet-grid), utilizar a rede (como proxy, darknet, intermediação de ataques), roubar arquivos e senhas salvas na sua home, e até mesmo monitorar seu teclado (keylogger), seu monitor e sua webcam.

    A única coisa na qual a divisão de usuários ajuda é que, se um dos usuários contrair um malware, o outro não necessariamente contrairá também. Mas quantos computadores temos hoje em dia que são usados por uma única pessoa? Ou nos quais mais de uma pessoa usa a mesma conta de usuário? A divisão em usuários realmente trás algum benefício nesse cenário? Dificilmente.

    Sem contar que hoje em dia a maioria dos SOs dominantes no mercado possuem divisão de usuários. Mesmo o Windows possui esse recurso há cerca de 9 anos – o problema no caso do Windows são os usuários que usam conta de Administrador indiscriminadamente, e alguns desenvolvedores que ainda hoje não planejam seu software para rodar corretamente em sistemas com usuário não-administrador.

    header de arquivos, configuração

    Não entendi o que quis dizer com isso.

    Um arqui vo-programa pode ser reconhecido por seu Header ou por seus sufixos (.tgz, .rpm, .exe, .com, .pdf). E há tabelas de configuração para exequibilidade.

    Assim como em outros sistemas.

    E isso não impede nem dificulta a exploração por meio de falhas como as citadas no artigo, que se aproveitam de vulnerabilidades de plugins ou de leitores de certos formatos.

    Há décadas que se produz controle de segurança, cujas soluções são previstas por equacionamento de “bugs”, inoperâncias ou inexequibilidade.

    Sim, e infelizmente poucos usuários vem se atentando a isso na comunidade Linux. São poucos os que hoje usam SELinux, por exemplo, enquanto sistemas como BSD, MacOS X e até mesmo Windows integram soluções semelhantes diretamente em suas instalações padrão. Excetuam-se aqui distribuições como o Fedora, que incluem o SELinux por padrão.

    Mesmo assim o SELinux ainda tem muito o que crescer para chegar ao mesmo nível de recursos de sandbox, por exemplo, que os outros sistemas supracitados.

    A história e estórias sempre se repetem, quando se trata de operacionalidcade MSWindows, e suas vítimas residem no mesmo ambiente executivo, que é degradado com seus controles e antivirus e abusos de segurança, e por primário a ignorância de usuários comuns.

    Realmente esse é um fator preocupante.

    Não se concebe mais que um desenpenho em degradação de 60% ainda seja aceitável em estado críti co num sistema operaciional, pois esse percentual é agigantado com os anti-virus e agentes executivo-operaconais, que afetam a produtividade.

    Certamente o uso de antivírus não é a solução. Eu acredito mais em soluções que tentem fazer com que o sistema seja seguro por construção, e em métodos de isolamento como sandboxes para trazer uma camada a mais de segurança.

    Opero e trabalho sem as rédeas do medo, pois meu sistema é Linux.

    Não se trata necessariamente de ter medo. Mas sim de levar em conta a realidade de que todo sistema pode ter falhas, sem qualquer tipo de preconceito.

    Damarinho (usuário não registrado) em 20/06/2009 às 3:36 pm

    (*_*) Álvaro
    Grato pelos lúcidos comentários.

    header de arquivos, configuração

    Não entendi o que quis dizer com isso.

    O processo executivo requer uma premissa de identificação para que um fluxo programado tenha curso efetivo. Tanto um fluxo-shell, bash, ou um programa de processo interativo e de linguagem interpretativa ou um programa compilado – todos obedecem a premissas de identificação para execução e operação.
    O primeiro registro de qualquer arquivo-programa refere-se a informação primária e singuar sobre o processo executor, que a seguir analisa seus parâmetros e configurações – e antes que inicie o processo alternante em memória ou periféricos..

    Alguns programadores e analistas não confiam no referido header e submetem outro crivo analítico para dedução de segurança e expurgo.

    O reconhecimento de um ciber-virus inicia-se por seu header. E a capacidade invasiva para qualquer recurso baseia-se em portas abertas por vício e falha de configuração. A virtuosidade obtem-se pelo b aixo nível de programação e execução como ocorre na programação em assembly.

    Doutra forma uma denominação “quixote.com” (exemplo), mesmo em assembly, pode ser viciada por alteração e substituição, usando qualquer editor de texto, negando segurança de dados e fatos.

    Um programa terá curso e êxito final se seus parâmetros forem obedecidos, conforme intencionalmente programado, mas que sua identidade executiva seja preservada de invasão ou substituição.

    2. Acho extensamente proveitoso que esta abordagem seja questionada, pois qualquer intenção de produzir em cibernética requer conhecimento de causa e efeito. Muitos sistemas operacionais operam com base defensiva de firewall, que é um sequencial primeiro que precede uso de recursos executivo-operacionais.

    3. O MSWindows até o ano 2000, mas ainda persiste, opera em modalide defensiva por tragédia. Numa tabela de decisão de processamento crítico, nenhum programa dessa plataforma merece fidedignidade executiva.
    Naqueles idos, o Linux ensinou ao MSWindows a operar com insulamento de usuário e dados, segregando valores, dados, fatos e todo o sistema dependente.

    O Linux avança em sua comunidade produtiva, enquanto o windows continua uma tarefa defensiva para virus e outros agentes espúrios.

    Há uma resistencia passiva e cultural dos usuários MSwindows para permacerem na
    inglória definição de plataforma que lesa-segurança.

    Parodiando Pascal: Eu defino e configuro, logo subexisto e sobrevivo.

    o/

    Damarinho (usuário não registrado) em 20/06/2009 às 3:54 pm

    (*_*)

    in:
    http://en.wikipedia.org/wiki/Executable_and_Linkable_Format

    Executable and Linkable Format

    Destaque-se:”

    Unlike many proprietary executable file formats, ELF is very flexible and extensible, and it is not bound to any particular processor or architecture. This has allowed it to be adopted by many different operating systems on many different platforms.”

    E mais da mesma fonte:

    ELF file layout
    An ELF file has two views: The program header shows the segments used at run-time, whereas the section header lists the set of sections of the binary.

    Each ELF file is made up of one ELF header, followed by file data. The file data can include:

    * Program header table, describing zero or more segments
    * Section header table, describing zero or more sections
    * Data referred to by entries in the program header table, or the section header table

    The segments contain information that is necessary for runtime execution of the file, while sections contain important data for linking and relocation. Each byte in the entire file is taken by no more than one section at a time, but there can be orphan bytes, which are not covered by a section. In the normal case of a Unix executable one or more sections are enclosed in one segment.

    Aqui é onde tudo começa.

    o/

    lol (usuário não registrado) em 20/06/2009 às 4:12 pm

    Damarinho sem ser chato e já sendo, acho melhor vc estudar um pouco, e parar de simplesmente colar coisas da wikipédia, a maio parte do que você falou e colou nada tem a ver, isso não impede de um ELF ser infectado, tanto em arquivo como em runtime.

    Damarinho (usuário não registrado) em 20/06/2009 às 4:41 pm

    Se os usuários Linux não largarem essa mentalidade totalmente infundada de “estamos seguros, Linux não pega vírus”, logo serão alvos fáceis. Se querem evitar isso, não deixem de atualizar o sistema de vocês, de usar NoScript, de não abrir qualquer porcaria, bla bla bla

    1. Não podemos generalizar a negação. Se um usuário resolve executar um programa, via Menu ou via Ícone-desktop, qualquer mensagem programa pode ter saída de erro para “dummy” ou /dev/null, – escondendo o que a princípio foi programado para visibilidade de erros e informações.

    2. Quando um programa é executado via Terminal (rxvt, rxvt-unicode, mxterm, xterm …) diversas informações estarão disponíveis e visíveis e com necessária interpretação e dedução.
    e.g: –
    a) firefox – via ícone não mostra inoperância
    b) firefox – via terminal: comando: firefox – mostra informações e críticas

    Deduz que:
    - preciso ser informado pelo que ocorre
    - preciso de níveis de informação (debug, exceção …)
    - preciso de nível decisório (administrador, usuário, visitante)
    - preciso de submeter a critérios de segurança.
    : e.g.: meus arquivos terão permissão 700.
    etc.

    3. Recursos
    NoScript
    Este produto tornou-se disponível por sua habilidade executivo-informativa
    , preventiva, com níveis de seleção e continuidade.

    É desconfortante que o usuário seja interrompido diversas vezes por um programa interativo e decisões em “foreground.”

    4. Optativamente:
    web developer – mais substancial e com recursos variados e extensivos, interativo ou configurado, podendo ainda mais usar recurso de
    Tecla de Função. .

    in:
    https://addons.mozilla.org/pt-BR/firefox/addon/60

    https://addons.mozilla.org/pt-BR/firefox/search?q=web+develop&cat=all

    o/

    Damarinho (usuário não registrado) em 20/06/2009 às 5:11 pm

    lol (usuário não registrado) em 20/06/2009 às 4:12 pm

    Se voce produzir uma informação de real grandeza e significação, eu poderia citá-la como adicional instrutivo ou formativo. Isto é polarização e democratização de informação.

    O foco da consideração é “header de arquivo”, onde tudo começa, seja
    um processo em FTP, HTTP, MAIL, em comunicação ce dados, ou shell-bash em background.

    Conf. Fonte do tópico
    em que “função é anônima e se auto-invoca” e que está inscrita por subsituição ou translação.

    o/

    sem@email.org (usuário não registrado) em 20/06/2009 às 5:59 pm

    Damarinho (usuário não registrado) em 20/06/2009 às 1:52 pm disse:

    Não se concebe mais que um desenpenho em degradação de 60% ainda seja aceitável em estado críti co num sistema operaciional, pois esse percentual é agigantado com os anti-virus e agentes executivo-operaconais, que afetam a produtividade.
    E mesmo que haja 2 núcleos executivo-operacionais.

    Positivo, e operante!

    Eh inaceitavel um “desenpenho em degradação de 60%” num mundo que esta lutando pela economia de recrusos energeticos!

    Ah dez anos atras o banco de dados do antivirus lider era de 2 megas. Hoje passa de 500 megas (zipado)! E esta aumentando! Em mais dez anos vai estar em 5 gigas! Agora, quem sabe fazer conta me diga como eh que um programa antivirus vai comparar um arquivo suspeito com um banco de dados de 5 gigas? Em tempo real? Os PCs atuais ja esgotaram a tecnologia existente no que concerne velocidade da CPU. A soluçao veio com acrescimo de mais uma CPU (multi-core). Se nada for feito, em poucos anos nos vamos ouvir falar de um novo acronimo:

    “coProcessador antiviral”.

    O PC vai vir com um processador exclusivo para rodar o antivirus (como ha o coprocessador aritimetico).

    Sera que nao eh assim que a Skynet vai nascer? Uma mistura de mega-antivirus e Cloud computing?

    Asta la vista, baby

    lol (usuário não registrado) em 20/06/2009 às 6:30 pm

    Damarinho voce não sabe do que está falando, isso já deu para perceber, por isso disse para ir estudar, até minha vó infecta um ELF, vá ao google e procure tutoriais de como fazer, há milhares deles, até na phrack, pessoas já infectavam elf “antes de você nascer”, pare de falar baboseiras.

    Damarinho (usuário não registrado) em 20/06/2009 às 6:47 pm

    (*_*) lol
    REF:
    “antes de você nascer”, – eu já conhecia a lei de causa e efeito. Não me iludem fantasias e buraco-negro de sistemas operacionais, pois fui um “Geek” para saber como produzir e destuir; a fim de demonstrar o caminho do erro e evitar o caos.

    o/

    André Caldas (usuário não registrado) em 21/06/2009 às 10:36 pm

    @Rafael,

    Qual a real chance desse problema ocorrer com quem usa Linux, já que Linux não pega vírus?

    Quando você diz “Linux”… tá falando do Kernel?

    Como assim, não pega vírus? Já ouviu falar em “buffer overflow”?

    André Caldas.

Este post é antigo (2009-06-20) e foi arquivado. O envio de novos comentários a este post já expirou.