O Globo Informática
Etc..
Como funciona um cavalo-de-tróia. E como ele pode entrar
na sua casa
Por André Machado
Você sabe como trabalha um cavalo-de-tróia —
um daqueles softwares que vêm ocultos em anexos, ou mascarados
como aplicações benignas, e são executados
inadvertidamente pelos usuários incautos ou distraídos?
Pois acredite, ele é de uma sofisticação
assombrosa. Pude observar recentemente, pelas mãos de
Alexandre Freire, consultor de segurança da informação
da SchlumbergerSema, os comandos de um cavalo-de-tróia
que trabalha também como um “keylogger”,
capturando tudo o que é digitado pelo usuário
no teclado de seu micro.
O programinha é um perigo. Primeiro, mesmo após
se aboletar no micro, ele consegue sem esforço ficar
fora daquela janelinha do Gerenciador de Tarefas em que vemos
os softwares ativos no PC. É possível personalizá-lo,
criando filtros para que só capture da digitação
as palavras que interessam ao hacker (como o login que antecede
a senha na hora de um internet banking, por exemplo). Outra
configuração permite marcar os intervalos regulares
a que a área de trabalho será fotografada, com
os screenshots enviados ao invasor. Pode-se enviar ainda logs
por email ou ftp a intervalos de horas ou mesmo minutos —
tudo o que se escreveu, o histórico do navegador web,
e assim por diante. Inclusive, a informação mandada
ao hacker pode ir criptografada, para maior... “segurança”.
Mas é na hora de preparar o ataque ao micro indefeso
que a engenhosidade do cavalo-de-tróia fica mais explícita.
O comando de instalação remota cria um pacote
completo de instalação automática do bicho
— que pode ser mascarado como QUALQUER arquivo executável,
inclusive um com o nome do antivírus que você usa,
se ele não estiver configurado. (Isto é, se você
tiver um ZoneAlarm mas achou difícil setá-lo,
o cavalo-de-tróia pode aparecer como um zonealarm.exe
no meio dos seus arquivos, tendo previamente apagado o original.)
Uma vez confortavelmente instalado no computador, ele envia
a seu criador um email confirmando a infecção.
Por fim, o software pode ser programado para se autodestruir
após cumprir sua função.
Segundo Alexandre, esse tipo de ameaça virtual é
multiplicada, hoje em dia, pelo compartilhamento de arquivos
no ambiente doméstico, em especial quando a conexão
é em banda larga.
— O computador está aos poucos virando um eletrodoméstico,
e algumas famílias de classe média alta já
têm mais de um micro em casa — diz. — Então
é comum a instalação de uma rede, para
jogos em família e compartilhamento de arquivos em geral.
As máquinas também são usadas para acessar
arquivos no trabalho. O servidor dessa rede doméstica
pode estar conectado a um Velox ou Vírtua. E aí,
se as máquinas não tiverem padrões de segurança
previamente setados e configurados, elas ficarão expostas
na rede exatamente como um servidor não-configurado de
uma empresa. Em outras palavras, viram alvos.
Busca revela arquivos pessoais, de finanças, fotos...
Segundo ele, quando se compartilha assim, sem proteção,
uma pasta de arquivos, é possível entrar nela
sem qualquer autenticação.
— De modo que, quando se faz no Velox uma busca por quem
está online, as máquinas respondem com um ping
(recurso que mostra se dado endereço IP está acessível)
e basta rodar um Nmap (ferramenta que verifica o sistema operacional
das máquinas) para achar o SO e as portas abertas. Trata-se
das portas NetBIOS, que proporcionam compartilhamento de arquivos.
E, quando você entra por elas, dá de cara com várias
pastas. É impressionante o descuido das pessoas: encontram-se
facilmente pastas de finanças, planilhas, informações
sobre salários, contas, senhas de banco anotadas, fotos
da família, da namorada...
A troca de arquivos peer-to-peer (P2P) também representa
perigo. Se ao instalar um programa como o Kazaa o usuário
não marcar direitinho que arquivos deseja compartilhar
(o software oferece tal possibilidade de controle), ele pode
indexar todo o HD, tornando o micro mais vulnerável.
— Outro lado da questão: o Velox é uma
conexão PPP (ponto a ponto) sobre Ethernet, através
do seu par telefônico. Não há ninguém
entre você e seu prestador — diz Freire. —
No entanto, em provedores como Ajato e Vírtua, a internet
é toda compartilhada no mesmo cabo que sai, digamos,
de um prédio. Mesmo que você tenha sua banda bem
definida, outras pessoas no comdomínio, estando no mesmo
barramento que você, podem rodar sniffers (programas que
monitoram informações que trafegam numa rede)
e depurar os pacotes de dados que estão passando de sua
máquina para a internet.
Com isso, é possível capturar e pegar senhas
como a do POP3 na hora que o usuário for baixar emails
do trabalho, ou a do ftp na hora transferir arquivos. Por isso,
Freire aconselha o uso de um webmail seguro, com SSL (Secure
Socket Layer, protocolo que permite a transmissão de
dados pela internet criptografando-os via chave privada).
A solução para tais ameaças? Prevenir.
Manter o sistema operacional sempre atualizado e pedir ajuda
para configurar corretamente o firewall pessoal, que oculta
as portas compartilhadas, e o antivírus. E jamais instalar
programas de procedência duvidosa.
RETORNAR
PARA PÁGINA PRINCIPAL |
