Um novo método de ataque de negação de serviço distribuída (DDoS, na sigla em inglês) permitiu que hackers quebrassem o recorde de tráfego gerado em ataques desse tipo. O ataque, realizado contra o site Github, atingiu a marca de 1,35 Tbps, sendo o maior ataque desse tipo já registrado publicamente. A Akamai, que protegeu o Github contra o ataque, confirmou o volume de tráfego nesta quinta-feira (1º).

Ataques de negação de serviço têm por objetivo retirar um site do ar. Na modalidade de DDoS, o método usado para isso normalmente consiste em "inundar" um site com um grande volume de tráfego de dados ou acessos. Se o ataque for bem-sucedido, o site não conseguirá lidar com o volume de acessos falsos e acabará deixando de atender aos acessos legítimos feitos por internautas.

O Github chegou a sair brevemente do ar, mas a Akamai conseguiu dissipar o ataque. O Github publicou um comunicado oficial sobre o incidente e prometeu melhorias em sua rede.

O tráfego gerado pelo ataque ao Github, de 1,3 Tbps, é suficiente para transmitir mais de seis filmes em alta definição e em alta qualidade em um só segundo. Esse nível de tráfego se aproxima dos pontos de interconexão de redes entre provedores. O recorde anterior, de 2016, atingiu 1,2 Tbps e conseguiu derrubar o provedor de internet Dyn, o que deixou indisponível uma série de sites da web, como Netflix, Twitter, Amazon e PayPal.

SAIBA MAIS
Como hackers tiram sites e serviços do ar: G1 Explica

O tráfego do ataque recente foi gerado usando amplificação através do memcached, um programa utilizado para acelerar o processamento de dados em servidores. Especialistas apostam que outros criminosos devem continuar recorrendo a esse método até que administradores de sistemas protejam suas instalações do memcached. Como a técnica é nova e os primeiros alertas foram divulgados esta semana, muitos sistemas estão vulneráveis.

Como o memcached não é usado em sistemas domésticos, esses computadores não foram envolvidos.

Imagem: Cabo de rede (Foto: Anders Engelbøl/Freeimages.com)

Ataque amplificado

A negação de serviço é um ataque de "força bruta": ele é facilmente detectado, então o objetivo é superar a capacidade da rede de defesa por um período prolongado a ponto de causar incômodos.

Para os criminosos, o desafio para a realização desses ataques é obter o controle de diversos computadores para que estes participem do ataque. O recorde anterior, de 1,2 Tbps, foi atingido pelo vírus Mirai, que criou uma rede mundial de câmeras de segurança infectadas para gerar o tráfego.

Em vez de depender apenas de uma grande rede de sistemas infectados, o ataque de 1,3 Tbps utilizou uma técnica chamada de "amplificação" ou "ataque refletido".

A amplificação é um truque no qual os criminosos enviam certas requisições para serviços específicos na internet. Essas requisições são enviadas em nome do alvo, ou seja, a origem é falsa. O intuito é fazer com que as respostas dessas requisições sejam encaminhadas ao alvo. Se a requisição gerar mais tráfego do que o pedido, o criminoso efetivamente "amplificou" sua capacidade de ataque e os dados foram "refletidos" ao alvo.

É como se você soubesse que, enviando uma pequena carta a um determinado endereço, outras 10 cartas seriam enviadas ao endereço informado no remetente. Logo, bastaria o envio de algumas cartas com remetente falso para que aquele endereço fosse inundado de correspondência, sem que você mesmo tivesse que pagar por tantas cartas.




Na proteção contra ataques de negação de serviço, uma rede intermediária precisa bloquear os acessos falsos e deixar passar o tráfego legítimo. (Foto: Arte/G1)

Na internet, isso é possível porque muitos provedores de internet ainda não adotaram uma regra de tráfego que impede a falsificação de origem de conexões. Alguns programas, como é o caso do memcached, envolvido neste ataque, não verificam a origem de um pedido antes de responder.

Muitos meios de amplificação já foram descobertos e, conforme criminosos se aproveitaram desses meios, os programas envolvidos sofreram mudanças para que respostas deixassem de ser maiores que pedidos sem origem confirmada. Por isso, ataques amplificados tendem a ocorrer em surtos sempre que um novo meio de amplificação é descoberto.

O abuso do memcached para amplificação é considerado novo. Os primeiros ataques foram anunciados no dia 27 de fevereiro. Segundo a Akamai, é possível que este novo recorde logo seja quebrado por novos ataques de amplificação.

O memcached tem o maior potencial de amplificação já registrado, pois o software não foi projetado para ser exposto à internet. Uma requisição de 203 bytes (o equivalente a 203 "letras") é capaz de gerar uma resposta de até 100 MB (aproximadamente 30 "livros"), um fator de amplificação de 500 mil. O fator de amplificação real obtido pelos criminosos, porém, é difícil de calcular. De acordo com a Akamai, há 50 mil sistemas vulneráveis com memcached na internet.

Quem administra sistemas que utilizam o memcached deve se certificar que o software está isolado da rede e não recebe conexões de sistemas não autorizados.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

>>> Por que dados bancários 'não vazam'?
Recentemente, o site da Netshoes sofreu um ataque hacker que resultou na divulgação de dados não-bancários de alguns clientes.

É só mais um ataque hacker dentre tantos outros que já aconteceram, mas me chama atenção é que mais uma vez números de cartões (e outros dados mais "sensíveis") não foram comprometidos.

Por que os hackers nunca conseguem acesso a esses dados? É por causa da segurança desses dados, que é maior? Se sim, por que os sistemas não usam essa mesma segurança nos dados normais (os que vazaram)?
Daniel

Não é verdade que informações de cartão de crédito nunca vazam. Na verdade, elas vazam bastante. Um caso recente foi o da fabricante de celulares OnePlus, que perdeu cartões de 40 mil usuários.

Se 40 mil parece pouco, tivemos muitos casos mais emblemáticos. Um deles, envolvendo a adquirente Heartland Payment dez anos atrás, capturou dados de 160 milhões de cartões de crédito. Dois responsáveis, os russos Vladimir Drinkman e Dmitriy Smilianets, foram condenados em meados de fevereiro: Drinkman a 12 anos de detenção, e Smilianets a quatro anos e três meses. Outro envolvido no caso, o norte-americano Albert Gonzalez, foi condenado a 20 anos de prisão.

Em 2014, 100 milhões de cartões foram clonados da varejista Target por meio de um software que contamina os sistemas de ponto de venda. No mesmo ano, a Home Depot, outra varejista, anunciou que 56 milhões de cartões foram obtidos por hackers.

Embora esses números impressionem, sua análise, Daniel, está correta. Dados pessoais vazam muito mais que dados financeiros. Mas sabe aquela pergunta de "por que os aviões não são todos feitos com o material da caixa-preta"? A questão é mais ou menos parecida.

Embora cuidados especiais sejam tomados com sistemas que armazenam dados bancários e cartões de créditos, nem todo o mérito por eles serem mais seguros reside apenas nisso. Em grande parte -- como acontece com a caixa-preta -- a defesa é circunstancial.

Quando você faz login em uma loja on-line, a loja precisa que você confirme o endereço da entrega. Ela também é obrigada a colocar seus dados no boleto bancário, caso você opte por esse meio de pagamento. Se fizer a compra, seus dados vão para a nota fiscal. E assim por diante.

Em outras palavras, esses dados ficam mais expostos pela própria necessidade operacional, não só de lojas on-line, mas de empresas em geral. Já pensou em quantos números de CPF, RG e nomes um operador de callcenter ouve em uma semana? Quantas empresas têm acesso aos banco de dados de proteção ao crédito?

Quanto mais pessoas precisam ter acesso a alguma informação, mas difícil é protegê-la.

Já os dados dos cartões são acessados em um único momento -- quando você realiza a compra. Um invasor precisa encontrar uma falha nesse processo e apenas nele. Não existem outros momentos em que aquele dado é utilizado ou alterado. Logo, o número de sistemas e a complexidade do código é menor.

Além disso, muitas empresas optam por terceirizar as operações de pagamento, usando empresas especializadas no ramo. Essas empresa podem investir em equipes de segurança melhores e trabalhar em um ritmo mais lento. Sites de varejo e serviço precisam mudar e inovar constantemente -- e muitas vezes não dá tempo de refinar (e proteger) o que já existe.

(Foto: Pierre Amerlynck/Freeimages.com)

>>> Restauração de agenda no celular
Uso muito a Google Agenda de meu celular. Caso tenha que vir a fazer uma restauração de meu aparelho para padrões de fabrica ou fique sem meu celular, tenho como recuperar todos os dados da minha agenda?
Luiz Fernando

Luiz, entre na sua conta do Google pelo computador e acesse o Google Agenda:
https://calendar.google.com

Se os seus compromissos agendados parecerem nesta agenda, é porque eles estão corretamente sincronizados com a sua conta do Google. Quando você sincronizar sua conta após a restauração do telefone, todos os seus compromissos serão restaurados.

O mesmo vale para contatos e diversas outras informações armazenadas no telefone.

>>> Conversa do WhatsApp enviada por e-mail
Usei o WhatsApp web no trabalho para pegar algumas coisas que eu tinha feito para o trabalho durante o final de semana.

Eu acho que, de alguma forma, um colega de trabalho teve acesso às minhas conversas.
Teria como eu saber se alguma conversa foi enviada por e-mail. E para qual e-mail?

Obrigada
(Anônima)

Infelizmente, não é possível. Embora o WhatsApp tenha um recurso específico para enviar conversas por e-mail dentro do próprio aplicativo, este não é o único meio de capturar uma conversa e enviá-la por e-mail. A pessoa pode simplesmente usar um "copiar e colar" ou até fazer uma captura de tela da conversa. Nenhuma dessas atividades criará qualquer registro ou notificação do WhatsApp.

Uma "espiã" minimamente inteligente não usaria um recurso do próprio WhatsApp para salvar suas conversas, justamente para não deixar vestígios. E mais: o recurso nem sequer está disponível no WhatsApp Web, então ele não poderia ter sido usado.

A única notificação que você vai receber, quando há qualquer acesso ao WhatsApp Web, é a da imagem que ilustra essa pergunta. No entanto, lembre-se que, se você acessou o WhatsApp Web no trabalho, suas conversas podem ser acessadas pelo próprio acesso que você realizou. O acesso deixa "vestígios" no computador ou, pior ainda, algumas empresas possuem softwares que registram o que foi acessado por meio de seus computadores. Alguém poderia ter acesso a esses dados.

Esta coluna não recomenda o acesso ao WhatsApp Web de computadores públicos ou mesmo qualquer máquina que não pertença a você. Você normalmente pode utilizar seu computador conectado a redes públicas (incluindo a do trabalho, caso a empresa ofereça um Wi-Fi), mas o mesmo não pode ser dito sobre computadores. Se for inevitável acessar no computador do trabalho... não acesse. Finja que o WhatsApp Web não existe. Você pode encerrar a sessão depois de usar, mas não é possível ter garantia de nada uma vez que o acesso foi realizado em um computador de terceiros.

O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para [email protected]. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

>>> Aviso de acesso ao WhatsApp Web
Minha amiga tem um iPhone, e recentemente apareceu essa mensagem pra ela:
"Acesso recente ao WhatsApp Web. Você iniciou uma sessão em um novo computador. Toque para visualizar."
Ela nunca usou o WhatsApp Web, e suspeita que o ex-namorado dela possa estar fazendo isso.
As dúvidas são:
- Pra acessar esse WhatsApp Web no PC precisa do e-mail ou de alguma senha da pessoa, ou de uma confirmação de mensagem que chega no celular? É fácil de um terceiro acessar?
- Tem como ela impedir que o Whats dela seja acessado pelos WhatsApp Web?
- E por último, se alguém tiver acessado, não tem acesso ao histórico de conversa não é, essas ficam no próprio celular?! A pessoa teria acesso só as mensagens recebidas do momento do acesso em diante?

Agradeço imensamente desde já se puder ajudar!
Atenciosamente,
Cesar Ian Galvão Borin

Cesar, começando pela sua terceira dúvida: o acesso ao WhatsApp Web permite visualizar, responder e acessar todas as conversas do WhatsApp. Você não pode ver as conversas apagadas, mas pode ver as conversas arquivadas (ocultadas da lista principal), enviar arquivos, entrar e sair de grupos, apagar mensagens, mudar a foto do perfil e o recado, enfim - praticamente todas as funções do aplicativo em si. Não há restrição quanto ao histórico das mensagens: você pode acessar tudo que está disponível no aplicativo, mesmo as conversas feitas antes do acesso ser autorizado.

Os passos para acessar o WhatsApp Web são os seguintes:

1. Abre-se o endereço do WhatsApp Web no PC (https://web.whatsapp.com)
2. Abre-se o aplicativo do WhatsApp no celular e acessa a função "WhatsApp Web"
3. Lê-se o código QR na tela do computador com o aplicativo do WhatsApp

Como você pode ver, é necessário ter o celular desbloqueado, mas não é preciso utilizar nenhum dado pessoal ou senha. Caso o celular fique desacompanhado em determinado momento, ou esteja nas mãos da pessoa, ela pode rapidamente configurar o WhatsApp Web. A sessão do WhatsApp Web fica aberta indefinidamente até que seja utilizado a opção de "sair" no aplicativo do celular.

Em outras palavras, em uma situação como esta que foi descrita, é possível que o ex-namorado tenha configurado o WhatsApp Web há mais tempo, ainda na época do namoro, quando tinha contato mais próximo com a vítima. Caso ele abra o WhatsApp Web apenas em certos horários (de madrugada, por exemplo), é possível que a vítima não perceba o acesso indevido.

Os acessos cadastrados no WhatsApp Web podem ser revogados no próprio aplicativo do WhatsApp, na tela "WhatsApp Web". Você verá uma opção para "sair de todos os computadores". Você pode também pode tocar em uma sessão específica para sair apenas dela. Infelizmente, o WhatsApp exibe apenas a data do último acesso e não quando aquele acesso foi criado.

Imagem 1: Aplicativo do WhatsApp. (Foto: Altieres Rohr/Especial para o G1)

Imagem 2: Sessões ativas no WhatsApp Web listadas pelo aplicativo no celular. (Foto: Reprodução)


>>> Vírus no roteador e no 'cabo de rede'
Olá, tenho duas dúvidas em relação a vírus no roteador. Recentemente estava conversando com um amigo e ele me falou sobre vírus no roteador e no vírus no cabo de rede. Fiquei pensando nisso: é possível existir vírus no cabo de rede? Eu não consigo entender isso, pois o cabo de rede é apenas isso, um cabo, um monte de fios, não tem memória, nem um sistema operacional. E no roteador? Também é possível existir? Estou com essas dúvidas, ficaria grato se me desse uma ajuda com essa dúvida. Desde já, agradeço.
Lucas Mariz

Você está certo, Lucas. Um cabo de rede comum não pode ter um "vírus". Em teoria, seria possível construir um cabo de rede com um "vírus" - na verdade, seria praticamente um microroteador, com um chip para executar funções ou guardar os dados em trânsito e uma bateria para mantê-lo funcionando. No entanto, teria que ser um "cabo espião" em si, não um cabo comum.

Isso já é muito mais simples em USB, porque o USB dispõe de uma fonte de energia de 5 volts e praticamente todos os dispositivos USB já possuem algum tipo de chip para falar com o computador. É isso que permite a criação do chamado "rubber ducky", um "pen drive" em USB que na verdade conecta dispositivos fantasmas ao computador (como teclado ou mouse "USB") para executar comandos de maneira automática.

O USB também suporta placas de rede, o que significa que um dispositivo USB pode se identificar como uma placa de rede para o computador e possivelmente roubar algumas informações dessa forma. Como no caso do cabo de rede, o dispositivo USB em geral precisa ser construído especialmente para realizar essas tarefas.

Muitos teclados e mouse USB possuem memória interna para executar as chamadas "macro", que são comandos em sequência. Em tese, você poderia fazer um vírus que reprograma as macros do teclado/mouse para fazer com que o teclado execute outros comandos quando você aperta determinadas teclas. Como a memória persiste após o dispositivo ser desconectado, o teclado continuaria "infectado" após ser conectado a outro computador.

No caso do roteador, a questão é mais simples. Muitos roteadores são pequenos computadores montados sobre processadores em arquitetura ARM (o mesmo tipo usado em smartphones). O roteador possui um sistema operacional destinado a realizar as tarefas do roteador e é possível modificar esse software, adulterando o comportamento do roteador para modificar ou capturar dados.

No linguajar comum, não é raro dizer que um roteador foi "infectado" quando na verdade ele apenas teve suas configurações modificadas. O principal truque dos bandidos nesse caso é mudar a configuração de Domain Name Service (DNS). O DNS é o "102" da internet e é ele que descobre o número IP a partir dos "nomes de internet, como "g1.com.br". Quando um invasor controla esse processo, ele pode enviar você para um site diferente daquele que você pretendia visitar, pois as máquinas apenas se conectam a números -- os nomes de internet que usamos são apenas uma conveniência criada pelo DNS.

Apesar do uso do termo "infectado" nessa circunstância, não há vírus, pois o comportamento do roteador em si não foi modificado. Ele ainda está com o software original e sem alteração. Esse tipo de ataque é viável em qualquer roteador, mesmo os mais simples e antigos que usam chips de processamento bem limitados.

Como os roteadores estão mais inteligentes hoje, até os modelos mais simples costumam usar processadores bem capazes e ter uma boa quantidade de memória RAM. Porém, o roteador normalmente não prevê a instalação e execução de nenhum software além daquele fornecido pelo fabricante. Os invasores precisam se valer de alguma deficiência de segurança ou desleixo do fabricante para poder executar um código malicioso no equipamento.

Imagem: Cabo de rede (Foto: Anders Engelbøl/Freeimages.com)

O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para [email protected]. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!

A agência de notícias russa Interfax noticiou que engenheiros foram presos depois de tentarem usar um supercomputador do Centro Nuclear Federal Russo localizado na cidade de Sarov para minerar uma criptomoeda. O Serviço Federal de Segurança da Rússia (FSB) começou a investigar o caso quando os engenheiros tentaram conectar o supercomputador à internet.

Sarov é uma cidade notória pela pesquisa e atividade nuclear. A primeira bomba atômica da União Soviética foi desenvolvida lá, a mais de 500 km ao leste de Moscou.

O local tem acesso restrito e controlado por militares, que verificam quem está autorizado a entrar, segundo conta o site "Russia Beyond". Segundo o "Mash", um serviço de notícias russo operado através do aplicativo Telegram, os computadores do centro de pesquisa normalmente não têm acesso à internet -- que é necessário para participar do processo de mineração de criptomoedas -- e foi essa conexão que alertou as autoridades.

O número de pessoas detidas não foi divulgado.

A mineração é um processo computacional repetitivo e intenso por meio do qual são encontrados números que fecham os chamados "blocos" que compõem o banco de dados descentralizado das criptomoedas. O processo se assemelha a uma loteria: quanto mais poder de processamento está disponível, mais "apostas" é possível fazer, aumentando as chances de fechar o bloco e receber a recompensa -- na forma de criptomoedas.

Muitas empresas e indivíduos se especializam no processo de mineração, adquirindo hardware caro e buscando fontes baratas de energia para diminuir os custos da atividade. Já criminosos virtuais têm realizado ataques para tirar proveito de máquinas de terceiros para realizar a mineração. Como a venda de criptomoedas não é coibida, é bastante fácil transformar o "lucro" dessa operação em dinheiro real.

Imagem: Ilustração de Bitcoin (Foto: Dado Ruvic/Reuters)

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

>>> Até quando dados ficam armazenados?
Estou com um problema, que pelo o que me parece é um problema recorrente na atualidade. De acordo com algumas informações que obtive por meio da internet, li que o Facebook armazena permanentemente nossas conversas enviadas em seus servidores. Com isso entrei em um dilema que parece não ter fim... gostaria de saber se tal informação procede.
Hugo Barros

Na verdade, Hugo, não dá para saber - logo, quem disse que o Facebook armazena "permanentemente" as conversas também está blefando. Tecnicamente, o Facebook permite que você exclua sua conta permanente e oferece um prazo de 90 dias para que todos os dados sejam excluídos, inclusive dos sistemas de backup (cópias extras que o Facebook faz para poder garantir acesso aos seus dados no caso de erros em determinados sistemas).

A documentação relativa a esse processo está aqui.

O Facebook também nega que seja possível recuperar mensagens já apagadas. Você pode ler sobre isso aqui.

Apesar disso, nenhum desses tópicos trata de solicitações judiciais. Embora você não possa recuperar uma mensagem apagada a partir das opções existentes em seu perfil, não quer dizer que o Facebook não possa fazê-lo se houver uma ordem judicial.

Primeiro, o óbvio: mesmo que você apague a conversa em seu perfil, é possível que a outra pessoa não tenha apagado a conversa. Dessa forma, alguém pode solicitar, judicialmente, que o Facebook forneça essa conversa sua ainda armazenada no perfil da outra parte.

Quanto a outros dados, a existência ou não deles vai depender do momento em que houver uma solicitação da justiça. Se uma conversa foi apagada por todas as partes, é improvável que o Facebook a mantenha para sempre em seus servidores, mas não há como afirmar isso com certeza. Vale ressaltar que o Facebook, assim como praticamente todas as grandes empresas de internet, não faz comentários sobre sua capacidade de atender demandas judiciais.

Legalmente, o Brasil exige retenção de dados por seis meses. Nos Estados Unidos, o prazo é de 180 dias, se houver pedido do governo. Na prática, a retenção de dados após eles não serem mais necessários é voluntária.

Caso você queira ter uma conversa realmente particular por meio do Facebook, você pode usar a função de chat secreto. Em seu celular ou tablet, toque no botão de detalhes do perfil e depois em "iniciar conversa secreta". Conversas secretas são criptografadas para que o Facebook não tenha acesso ao conteúdo das mensagens.

>>> E-mail 'adulterado' com mais anexos
Gostaria de saber como verificar um e-mail que um destinatário recebeu um anexo diferente do enviado. Exemplo: enviei um e-mail para 5 pessoais, 4 receberam o e-mail normal contendo 4 anexos e 1 recebeu o e-mail contendo 6 anexos. Acredito que seja um vírus trocando os anexos, mas não sei como verificar.

Já efetuei a verificação na máquina e na rede e não consta nada.
Rafael Andreassa

Em alguns casos, programas de e-mail ou serviços de e-mail podem exibir mais anexos do que outros. Não é porque a mensagem de e-mail é diferente, mas sim porque aquele programa de e-mail ou o serviço não reconhece o anexo da mesma forma que outro. Isso pode ocorrer especialmente quando o e-mail for em HTML (e-mail com formatação como negrito, itálico e imagens). Normalmente, os anexos "extras" não tem qualquer informação relevante.

De fato, existem vírus que acrescentam anexos a mensagens enviadas. Esse tipo de praga digital é bastante rara hoje em dia, então as chances de algo assim acontecer são pequenas. A verificação nesse caso deve ser feita com programas antivírus na máquina de onde os e-mails foram enviados.

De todo modo, é mais fácil verificar isso no e-mail em si. Quando um vírus altera um e-mail, ele adiciona anexos contendo códigos, como arquivos de programas (".exe", ".bat", ".cmd" e outros), scripts (".vbs"). Se o tipo de arquivo anexado "a mais" não for algum desses, é improvável que o e-mail tenha sido de fato alterado. É mais provável que há apenas alguma diferença de exibição, especialmente se quem está vendo os anexos diferentes usa um serviço ou programa diferente dos demais.


O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para [email protected]. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.


>>> Falhas da Intel
As falhas da Intel atingem computadores comuns? Eu corro algum risco sério? O que posso fazer para melhorar a segurança do meu computador em relação à essas falhas?

Grato,
Gustavo Lopes

As brechas "Spectre" e "Meltdown" afetam diversos processadores, não apenas produtos da Intel. As principais correções virão com as atualizações do sistema operacional (Windows, Linux, macOS, etc). Mas as falhas são mais graves em processadores Intel e, sim, todos os computadores são afetados.

Existem, porém, como foi detalhado nesta coluna outras duas falhas graves em chips da Intel foram reveladas ano passado e mais uma foi revelada este ano. Dessas três brechas, duas se localizam no AMT e a outra falha -- que na verdade é uma série de fragilidades - encontram-se no Intel Management Engine.

No caso do AMT, a maioria dos computadores "comuns" não está vulnerável. A brecha existe, porém, em máquinas voltadas ao setor corporativo, especialmente computadores de grandes fabricantes como Dell, HP e Lenovo. Mas não são todas as máquinas desses fabricantes -- apenas modelos específicos que trazem esses recursos. Os próprios fabricantes liberam atualizações para as máquinas afetadas.

O mesmo se aplica a falhas no Trusted Execution Engine (TXE) e Server Platform Services (SPS). Esses também são recursos corporativos e as vulnerabilidades foram identificadas pela própria Intel.

O Management Engine está presente em todos os processadores, mas nem todos são vulneráveis. Em alguns casos, pode depender da configuração feita pelo fabricante. A Intel disponibilizou uma ferramenta de detecção. Depois de executar essa ferramenta (após descompactar o arquivo, deve-se abrir a pasta "DiscoveryTool.GUI" para executar o programa "Intel-SA-00086-GUI"), você precisa consultar o fabricante do seu computador ou da placa-mãe para obter instruções, caso o seu sistema seja detectado como vulnerável. Essa ferramenta detecta apenas as brechas no Management Engine e não outras falhas.


Ferramenta da Intel avalia se sistema está vulnerável a uma das brechas encontradas no processador, mas sistema ainda pode sofrer com outros problemas. (Foto: Reprodução)

A Intel tem uma página de suporte com links para as ferramentas e downloads de cada fabricante.

Imagem: O escudo da falha Meltdown, que afeta, em computadores e notebooks, principalmente máquinas com processadores Intel. O derretimento do escudo é uma alusão à perca de uma das defesas básicas que deveriam existir no processador.. (Foto: Natascha Eibl/Domínio Público)

>>> Vírus de Mac e teclado
Boa noite, temos 4 computadores Mac Pro numa rede. Os 4 foram contaminados (começou com um e depois foi espalhando) por uma espécie de vírus que dá erro no teclado, digitando letras contrárias ou várias ao mesmo tempo quando digitamos a tecla. Todos estão instalados com OS Sierra. Estamos tentando resolver, mas está difícil, pois não acho nada parecido.

Você já viu algo parecido em um Mac!?
O Malwarebytes é um bom antivírus pra Mac?

Obrigado e aguardo....
Fernando Alves

Fernando, de modo geral -- e isso vale para qualquer sistema operacional --, nenhum vírus ou espião teria interesse em fazer "alterações" no teclado ou na digitação, justamente pela possibilidade de a praga digital ser percebida e eventualmente removida do sistema. Também é muito esquisito que qualquer vírus tenha "passado" de um computador para outro, pois isso requer a exploração de uma falha de segurança grave e não há registro desse tipo de ataque contra versões recentes do macOS.

Por esse motivo, o cenário que você descreve, no todo, é bastante improvável. Que tipo de invasor ou atacante seria capaz de desenvolver um código de ataque sofisticado a ponto de se espalhar automaticamente de um sistema para outro, mas seria ao mesmo tempo desleixado e descuidado para que o vírus fosse facilmente detectado?

Problemas com mouse e teclado costumam ter outras causas, incluindo conflitos de software, defeitos no hardware (incluindo bateria/pilhas fracas e interferência, no caso de equipamentos sem fio). O ideal é que você experimente uma troca de hardware, com um teclado USB comum e cabeado, antes de começar a investigar problemas de software. É um teste simples e barato. Investigar problemas de software, especialmente vírus, é difícil. Por isso, comece pelo mais simples.

Programas antivírus podem ajudar a identificar o problema e a prevenir alguns ataques. De modo geral, programas antivírus para Mac tem baixa eficácia. Como os ataques são relativamente raros, é comum que arquivos maliciosos continuem despercebidos por mais tempo ou até que os ataques sejam feitos com códigos inéditos, o que inutiliza o antivírus. Sua primeira preocupação deve ser manter o sistema operacional atualizado.

Imagem: Teclado Apple (Foto: Manu Mohan/Freeimages.com)


O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para [email protected]. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!