Será que vamos ajudar alguém a derrubar algum grande site?

Maior botnet de todos os tempos pode estar pronta a atacar.

Estima-se que a maior botnet do mundo tenha em torno de 1,7 milhões de computadores aguardando um comando para iniciar o que pode ser o maior ataque online da história.

Uma botnet, normalmente, quando muito grande, não passa de algumas dezenas de milhares de computadores que iniciam um ataque simultâneo a um alvo específico na internet. Este alvo pode ser um web server ou ainda um roteador responsável por grande tráfego.

Alguns podem estar imaginando uma grande organização de milhares de hackers pelo mundo afora com seus relógios sincronizados em uma contagem regressiva prontos a atacar o alvo, mas não é nada disso. Na hora do ataque, até mesmo seu computador pode estar participando sem que você perceba.

Botnets são compostas por milhares de ”computadores zumbis” que foram infectados por algum trojan ou até mesmo por um vírus que tem como característica não causar danos ao computador, mas ficam literalmente aguardando ”ordens do mestre” para formar um ataque em grandes proporções. Esta é uma das maneiras mais eficazes de se atacar algum sistema remotamente, mesmo que este sistema esteja fortemente protegido, o Cracker primeiro espalha uma praga pela internet contagiando o maior número de computadores possível, que ficam aguardando um comando do cracker para então, todos de uma só vez, atacarem o alvo sem mesmo que seus donos percebam.

Mesmo que um sistema esteja fortemente protegido, devido ao enorme número de computadores zumbis atacando simultaneamente, grande parte dos recursos do sistema são gastos para se descartar as conexões oriundas destes bots. Imagine que um serviço essencial como policia ou bombeiros passem a receber um incrível numero de trotes, fazendo com que os atendentes passem todo o tempo descartando trotes e assim os cidadãos que realmente precisam de socorro não conseguem comunicar uma situação de emergência. É isto que ocorre em um ataque de uma botnet (rede zumbi), este ataque é conhecido como DDos (Distributed Denial of Service) ou seja: Negação de serviço distribuída.

Grande ameaça

As botnets não costumam passar de 20 mil computadores, no entanto, a rede Storm Worm parece ser diferente. A praga teve uma enorme propagação durante o último semestre, na maioria das vezes o contágio se dá através de um anexo em email que contém um link com a seguinte frase: ”Your system is infected, please click on this link” (Seu sistema está infectado, por favor click neste link).

Durante as ultimas duas semanas de Julho foram detectados mais de 450 milhões de spams com a praga Strom Worm. Se o sistema for infectado, este se instala em um rootkit difícil de ser detectado e eliminado, o rootkit fica em ”hibernação” escutando a internet a espera de um comando para entrar em ação.

Uma curiosidade a respeito da praga Storm Worm, é que o comando para o ataque ainda não aconteceu. Existem estimativas de que atualmente existam cerca de 1,7 milhões de computadores contaminados com o Storm Worm ao redor do mundo, uma parte desta botnet parece estar sendo usada para propagar a praga, enquanto outra pequena parte realiza ataques-testes contra sites anti-spam, tudo indica que se trate de ensaios para um iminente ataque de grandes proporções.

Até agora não se sabe quem controla esta gigantesca rede de zumbis, nem qual seu objetivo. Caso os 1,7 milhões de computadores afetados até agora sejam ativados para um ataque simultâneo, veremos o maior ataque da internet até agora.

 

Fonte: informatizando


Falha de injeção HTML no GTalk

Em meados de 1997, um israelense criou o ICQ, então programinha desconhecido que fazia com que pessoas de qualquer lugar do planeta se comunicasse instantaneamente [fora o delay]. Em 1999, prevendo a expansão do mercado de comunicadores instantâneos, a Yahoo comprou a Mirabilis [empresa do ICQ] e assim, a Microsoft, para não perder tempo, criou o MSN para concorrer com o Yahoo que já tinha o ICQ _o mais usado na época_ e o seu AIM.

Logo, um pouco mais tarde [6 anos], a prodígio com ares de 'dona da internet' [Google] lançou mais um serviço para concorrer com a Yahoo e a MS; era o GTalk, comunicador instantâneo que apostava na tecnologia VoIP. Com um visual limpo, carregamento rápido e recursos simples, mas bem trabalhados, conseguiu tirar um pouco da fatia desse mercado, que até hoje a Microsoft abocanha com o seu MSN.

O especialista em segurança, Alec Storm, que trabalha para o site syhunt.com, declarou que achou um erro no GTalk. Erro de injeção HTML quando se envia um arquivo para a pessoa. Executando o código, mesmo não aceitando o arquivo. Já que o GTalk desenha a janela do chat em HTML usando um plugin do navegador da Microsoft [IE].

Usando o IESpy [18kb] para visualizar o código fonte de qualquer aplicativo _até o próprio Internet Explorer_ usando o plugin do mesmo para visualização de páginas web.

O erro ocorre, quando se recebe um arquivo com uma extensão específica e com um código HTML malicioso. Causado no atributo DXImageTransform, contido no código da página, especificamente, onde o ícone de mostragem do tipo de arquivo a ser recebido.

Aqui está o código conseguido com a ajuda do IESpy, no ato do recebimento de um arquivo malicioso.

Fonte: C9 Security Blog