Postagens
Atualizado 00h57. Agora sim existe a confirmação da invasão ao site do PT em matéria da Conceição Lemes aqui no Vi o Mundo. Mantenho o texto original, afinal, foi publicado antes da confirmação. Isto não invalida a análise abaixo e a necessidade, sempre, de se confirmar tecnicamente qualquer dúvida sobre violação de sites.
Até o momento não temos confirmação se o site do PT foi realmente crackeado. Seria até bom se o presidente do partido, ou alguém da secretaria de comunicação, esclarecesse os motivos do site ter ficado fora do ar. Além de tirar a dúvida, o partido prestaria um serviço, alertando as pessoas sobre como se defender de prováveis ataques, se é que aconteceram. Em tempos de eleições os ânimos se acirram e tudo pode virar teoria da conspiração. Claro, existe o trabalho sujo? Existe. Mas é preciso antes checar com técnicos especializados as possibilidades de isso acontecer. Solicitei ao técnico @gutocarvalho uma análise sobre o que poderia ter acontecido nestes dias com o site do partido. Acompanhe.
Possivelmente os administradores retiraram o site para manutenção, mas isso eu não posso afirmar, é preciso checar com os responsáveis técnicos do partido.
O Google Safe Browsing, a mensagem de alerta que surgiu antes da página, é automática e não funciona através de denúncias como o botão SPAM do Twitter. A ferramenta precisa encontrar alguma característica no site que “case” com um comportamento de malware, spyware, worm ou vírus para classificar o site desta forma.
A única coisa que podem ter feito (os atacantes) é forçar uma checagem do site em questão.
Veja aqui alguns exemplo de checagens:
Todos estes acima estão ok.
Já o site do PT está listado como suspeito.
O Google nos diz o seguinte:
— google cut ——————-
Qual é o status de listagem atual de pt.org.br?
O site está listado como suspeito; o acesso a esse site pode prejudicar seu computador.
Parte deste site foi listada por apresentar atividades suspeitas 1 vez(es) nos últimos 90 dias.
O que aconteceu quando o Google visitou este site?
Das 54 páginas testadas no site nos últimos 90 dias, 5 páginas resultaram no download e na instalação de software suspeito sem o consentimento do usuário. O Google visitou este site pela última vez em 2010-04-12 e conteúdo suspeito foi encontrado pela última vez em 2010-04-12.
O software suspeito está hospedado em 2 domínios, incluindo convart.com/, baidustatz.com/.
1 domínios parecem estar funcionando como intermediários na distribuição de malwares para os visitantes deste site, incluindo baidustatz.com/.
This site was hosted on 3 network(s) including AS18479 (Plug-In Vanet Sistemas de Comunicao LTDA), AS27699 (TELECOMUNICACOES), AS7738 (Telecomunicacoes da Bahia).
Este site agiu como intermediário, resultando na distribuição de outros malwares?
Nos últimos 90 dias, pt.org.br pareceu funcionar como intermediário na infecção de 3 sites, incluindostelles.blogspot.com/, rogeliocasado.blogspot.com/, 3.ly/.
Este site hospedou malware?
Não, este site não hospedou software suspeito nos últimos 90 dias.
Como isso aconteceu?
Em alguns casos, terceiros podem adicionar código suspeito a sites legítimos e, por isso, a mensagem de aviso pode ser exibida.
— google cut ——————-
A mensagens do Google deixam bem claro que a ferramenta alerta um POSSÍVEL comportamento suspeito, mas não confirma que realmente possa comprometer seu computador. O alerta apenas orienta a verificação, pois pode ser um falso positivo ou um problema real.
Sem uma análise mais profunda, posso pensar em 3 cenários básicos:
1. Crackers (não use o termo hackers, estes são do bem, veja o texto ética hacker) exploraram falhas e utilizaram exploits nestes site, inserindo arquivos, links ou trechos de código maliciosos que direcionavam os usuários para os sites com malwares. Após fazer isto eles podem ter forçado uma checagem no Google Safe Browsing para “queimar” a credibilidade no site.
2. Tais usuários/sites podem ser instalado plugins ou scripts que contém código malicioso, algo que foi detectado pelo Google Safe Browsing e classificado como perigoso/suspeito.
3. Tais usuários/sites podem ter inserido fotos ou imagens com código malicioso, embutido dentro da foto, em seus sites.
Acho prematuro levantar a bola de invasão via crackers. Pode ter sido simplesmente uma foto com vírus replicada nos 3 sites ou mesmo falta de conhecimento dos profissionais que administram tais sites, inserindo códigos sem a devida auditoria e cuidado.
Temos que tomar cuidado para a paranóia não tomar conta. É claro que eles estão de olho e estão trabalhando para afetar a credibilidade, porém nem tudo é um ataque, nem tudo esta sendo rastreado a todo o momento. Pode ser apenas uma triste falha administrativa.
É importante uma profunda análise técnica antes de levantar uma bola dessas, pois desta forma damos “bala” para o lado de lá nos bater, e com razão.
Preciso inclusive alertar do uso indiscriminado do termo hackers ou crackers apenas para chamar atenção para uma notícia, como fez o Sérgio Telles. Explico:
1. Mesmo que o site tenha sido atacado e tenham inserido arquivos ou scripts maliciosos, isso é uma ação criminosa, de fato, mas pode ter sido executada por um simples usuário/micreiro seguindo uma “receita de bolo”, um passo-a-passo sem nem mesmo ter a certeza do que está fazendo: ele pode simplesmente ter sorte e dar certo.
2. Tirar um perfil do Twitter do ar não é um ataque hacker/cracker. Isso significa que alguém deve ter pago ou mobilizado um monte de matutos digitais para clicar no botão SPAM com o objetivo de bloquear o usuário.
3. Denuncias em Blocklists/Blacklists que tiram sites e domínios do ar também não são ações de cracker. São simples denúncias, geralmente via e-mail, que até serem apuradas podem tirar o site do ar em alguns países ou sistemas de proxy e segurança.
A comunidade científica fica bastante aborrecida quando existe esse tipo de referência em sites com boa credibilidade e visibilidade, pois isso deixa evidente a distância do jornalista com a realidade da tecnologia hoje em dia, passando uma falsa sensação de insegurança na rede, e principalmente enaltecendo o trabalho de ‘curiosos’ que se passam por especialistas. Isso alimenta curiosos e ajudar a aumentar a neurose de insegurança na rede. Por isso para manter a credibilidade dos dados divulgados, é sempre bom consultar um especialista dá área.
Abaixo alguns links para esclarecer os termos técnicos:
0 comentários:
Postar um comentário