Anteriores:
< Trilha Zero > |
|
|
19/10/1998
|
< Back Orifice VI: No BO: BO Não! > |
Se o número de mensagens que tenho recebido sobre o BO espelha o interesse no assunto, ainda daria para estender esta série por muitas semanas. Mas já gastamos mês e meio com ela e se vocês ainda não cansaram, eu já. Portanto, hoje ela será encerrada com os comentários sobre a posição oficial da Microsoft sobre o BO e o melhor meio que já vi até agora de defendermo-nos dele. A posição oficial da Microsoft sobre o BO está expressa no Boletim de Segurança MS98-010 e, a se acreditar nela, o problema não é dos mais graves. O boletim diz, textualmente, que o BO "não expõe nem explora qualquer problema de segurança de Windows, Windows NT ou do conjunto de produtos Microsoft Back Office" e que "Os usuários não precisam tomar nenhuma precaução especial contra ataques externos através desse programa, já que ele teria que ter sido instalado no sistema antes que quaisquer vulnerabilidades possam ser criadas". Segundo a MS, para estar imune basta que os usuários mantenham seu software atualizado e jamais instalem ou rodem programas de fontes desconhecidas e que os administradores de rede fiscalizem os programas instalados. O boletim está à disposição de quem desejar mais detalhes em [http://www.microsoft.com/security/bulletins/ms98-010.htm]. Do ponto de vista legal, a posição da MS é inquestionável já que, ao fim e ao cabo, a responsabilidade sobre a invasão não deixa de ser do usuário pois foi ele quem, ainda que inadvertidamente, instalou o BO. Uma atitude que corresponde mais ou menos a um muxoxo de descaso acompanhado de um "quem mandou rodar programas de fontes pouco confiáveis?" e que, na prática, só serve para eximi-la da responsabilidade de ter feito um sistema operacional tão pouco seguro. Pois, a julgar pelas mensagens que recebo de pessoas que, "só para testar", iludiram otários levando-os a instalar o BO em suas máquinas (pena que a série tenha que ser encerrada e não dê para contá-las: algumas histórias revelam uma ingenuidade deliciosa), o perigo existe e é sério. Porque o que estes beócios não percebem (ou talvez percebam mas não liguem) é que, depois de instalado, o BO Server permite a qualquer pessoa (e não apenas a quem o enviou) acessar a máquina. E palerma perscrutando a rede em busca de vítimas incautas é o que não falta: ainda há pouco, enquanto conectava para aferir os URLs citados nesta coluna, em cerca de meia hora foram feitas sete tentativas de invasão de minha máquina que só não tiveram êxito porque eu estava alerta. Como eu soube das tentativas? Graças ao NoBO, um programeto simples mas extraordinariamente útil desenvolvido pelo Flávio Veloso e equipe do provedor carioca CentroIn. Ao contrário dos que foram discutidos no início desta série (e que, se você ainda não tem, acha links para seus sítios na Trilha Zero de 21 de setembro, que pode ser encontrada na seção Escritos de minha página pessoal em [www.bpiropo.com.br]), o NoBO não detecta nem remove o BO da sua máquina. Sua função é diferente: ele ocupa a porta normalmente usada pelo BO e permanece alerta, monitorando seu uso. Diante de qualquer tentativa de invasão, abre uma janela informando a data, a hora, o endereço IP do patife e o nome de seu (dele) provedor (sim, foi ele que me informou sobre as tentativas de invadir minha máquina). E, se você o desejar, o NoBO envia uma mensagem ao meliante informando que a tentativa foi frustrada e que seu (dele) endereço de IP foi anotado para providências futuras. O NoBO dispensa instalação. Consiste apenas de um único arquivo executável, o Nobo.Exe, com somente 68K. Pode ser encontrado em [http://web.cip.com.br/nobo/] ou em [http://www.centroin.com.br/cliente/servicos/ftpindica.html]. Para estar protegido, basta transferi-lo para seu disco rígido e executá-lo antes de iniciar uma conexão com a Internet (uma boa providência seria criar um atalho para ele no folder "Iniciar", o que o fará ser carregado automaticamente sempre que sua máquina for inicializada). Assim que é carregado, o NoBO ocupa a porta 31337, usada por padrão pelo BO, e inicia sua vigília (segundo um leitor, em "haxor", uma notação que substitui letras por números usada pelos hackers, 31337 corresponde a "eleet", ou "elite", um nome sem dúvida apropriado, já que os usuários do BO são a elite dos panacas). Como eu disse, o NoBO não foi concebido para detectar o BO na máquina. Mas o faz indiretamente: ao ser executado, se a porta já estiver ocupada, emite uma mensagem alertando sobre o fato e informando que o responsável pode ser o BO. Caso isto ocorra, rode imediatamente um dos programas de detecção e remoção como o BO Detect. E, se você incluiu um atalho para o NoBO em seu folder "Iniciar" e a mensagem apareceu logo após você ligar sua máquina, é provável que ela tenha sido contaminada na última vez que foi usada. Nesse caso a mensagem indica que o BO está carregado (ele se carrega antes do NoBO, pois funciona como um serviço de Windows) e já ocupou a porta. Mas não precisa afobar: basta removê-lo com um dos programas que você já conhece e, precavidamente, já baixou para sua máquina. Algumas observações finais sobre o NoBO: embora muito útil, ele não é a solução definitiva, já que somente monitora a porta padrão e o BO pode ser configurado para usar uma porta diferente (o NoBO também, mas se a configuração do BO foi alterada, não é fácil descobrir a nova porta). Mas é eficaz na imensa maioria dos casos, já que os idiotas que investigam a rede em busca de máquinas infectadas costumam invadi-las através da porta padrão. E um ponto importante: como nenhum provedor aprova o uso do BO, pois que a falta de segurança na rede é um espantalho para sua freguesia, quando o BO detectar uma tentativa de invasão de sua máquina, avise ao provedor do pilantra para que este tome as devidas providências. Copie (pode ser na base do copiar-e-colar a partir da própria janela de mensagens do NoBO) os dados, sem esquecer de anotar data e hora (o mais exata possível, portanto ajuste o relógio de seu micro) e envie-os para o webmaster do provedor que consta no final da mensagem. Por último, uma informação importante: os avisos do NoBO sobre tentativas de invasão não significam - repito: NÃO significam - que sua máquina foi contaminada, mas sim que um desocupado qualquer estava fuçando a rede em busca de máquinas para serem invadidas, se deparou com seu endereço IP, tentou entrar e o NoBO bateu-lhe a porta nas fuças. Portanto, não se assuste. E nem me mande mensagens desesperadas perguntando o que fazer. Não é preciso fazer coisa alguma: se o NoBO detectou a tentativa, ele mesmo providenciou a defesa. E, de lambuja, mandou uma mensagem para o bundão avisando-o que dessa vez ele quebrou a cara. B. Piropo |