:: Ameaça Fantasma ::

Através de um sistema do Windows, chamado ADO (Active Data Objects), indispensável a aplicativos que podem acessar bases de dados, incluindo o Word e Excel, é possível gerar um arquivo binário a partir de uma simples página de texto.htm. Parece absurdo?

De fato é. É absurdo que uma falha assim exista, mas infelizmente é real.

- Como funciona?

O ADO possui um recurso chamado “streaming” de dados, para transferência eletrônica de informação de qualquer tipo. Uma coisa importante que quem não é programador não costuma saber, é a seguinte: o que diferencia um arquivo de texto de um arquivo binário é a possibilidade da existência do caractere nulo, ou o Byte “0”.

Nenhum tipo de texto, inclusive página htm, podem conter esse caracter em seu interior, se o contiver, seu valor é trocado para 32 (espaço) – Esses valores zero e trinta e dois correspondem aos valores numéricos dos bytes correspondentes às letras – é por isso que, se tentarmos abrir um programa no bloco de notas e depois o editarmos e salvarmos, ele ficará “destruído”, porque todos os bytes 0 serão mudados para 32.

Mas, na página HTM não há bytes zero, não há nada binário, e sim instruções para que esse arquivo seja escrito.

No caso de nosso teste, é apenas uma calculadora, mas poderia ser qualquer coisa, inclusive um vírus!

Todos os bytes do programa estão escritos em uma matriz com seus valores “decimais”, valores esses que correspondem ao valor de cada Byte do programa. Posteriormente, usando um pouco de VBScript e do Windows Scripiting Host, geraremos o programa como se fosse um “streaming” de dados e sobrescrevemos o bloco de notas do windows. Pior ainda, abriremos, se tudo correr bem, essa calculadora sem que seu Windows o avise de nada!

Talvez você fique pasmo diante desse perigo e se pergunte: se essa falha existe por que não ouvimos falar dela?

Pense na gravidade dessa falha e imagine se todos os que se acham hackers ficassem sabendo dela – não teríamos mais qualquer segurança para navegar na internet, afinal, alterar a página inicial de um site é bem simples, qualquer pessoa faz isso, aí podemos embutir spyweres, trojans, keyloggers e, mesmo que estejamos em um site da mais alta confiabilidade, ele pode ter sito alterado sem que ninguém se desse conta.

Outra coisa importante: não há nenhum arquivo binário na página HTM, assim, um programa anti-vírus nada acusa.

Mas essa falha é de correção simples. Você pode alterar o nível de segurança do Internet Explorer (nosso teste não funcionará em Netscape porque ele não oferece suporte nativo a VBScript. Mas também é possível explorar essa falha usando JavaScript, como veremos no próximo exemplo). A alteração desses níveis de segurança para navegação segura foi descrita na revista PCExpert nº 40. O original do artigo pode ser encontrado em meu site para download (http://rczimmerl.vilabol.uol.com.br).

Porém, a ameaça vai muito além.

Existe um tipo de arquivo chamado HTA (Html Application). Esse arquivo também é textual, como o htm, mas tem diferenças arrepiantes!

Primeira delas: não é executado pelo Internet Explorer, e sim por um outro programa chamado “mshta.exe”.

E daí? Perguntaria você.

E daí que nenhuma restrição que se ponha para navegar pela internet será aplicável!!

Exatamente! Você pode desabilitar o que quiser no seu navegador, uma página .hta é lida com todos os recursos que seu computador tiver disponíveis, porque é interpretada por essa outra parte.

Segunda: é possível abrir uma página HTA de forma totalmente invisível, sem que ela sequer seja indicada na barra de tarefas!

Desta vez usamos o JavaScript. Por isso, embora o princípio seja exatamente o mesmo do exemplo anterior, a matriz contém valores hexadecimais.

A página também abrirá de forma quase oculta (se você notar no canto superior esquerdo de seu monitor poderá vê-la surgir) e, fora isso, só verá o programa ser aberto.

Essas vulnerabilidades “fantasmas” SÃO EXPLORADAS por sites “maliciosos” (o termo correto seria “criminosos”) para infiltrar adweres, apyweres e trojans no seu computador (é por isso que é difícil encontrar computador com Windows que acesse a internet e não tenha “um monte” desses programas instalados, sem que o usuário sequer saiba como isso ocorreu!

Como se livrar destes perigos?

Isso tudo é possibilitado por um recurso opcional do Windows, chamado de “Scripting Host”, que pode ser excluído do computador sem qualquer medo (os programas profissionais não usam essa ferramenta, já que ela não é considerada como padrão), mas é um recurso extremamente útil para worms, vírus, spyweres etc., ou seja, é algo que DEVEMOS excluir do computador.

Para fazer isso é bem simples: no Windows 98 é só acionar “Iniciar”->”Configurações” -> “Painel de Controle” - > “Adicionar/Remover Programas” - > “Instalação do Windows” -> “Acessórios”, e desmarcar a caixa Windows Scripting Host”. Clicar em “Aplicar” e depois em “OK”.

Outra coisa importante é desativar o HTA. É muito raro alguém empregar esse formato de arquivo (para fins lícitos, é claro), se tiver em sua empresa um sistema on-line de trabalho use esse recurso, converse com o pessoal do CPD para que troquem o formato dos arquivos ou estudem a questão da segurança mais atentamente. Para o usuário comum, doméstico, o HTSA normalmente não faz qualquer falta. Para eliminar esse recurso, no Windows Explorer, clique no menu “Exibir” -> “Opções de Pasta” - >”Tipos de Arquivo”, procure por “Application HTA” ou (.HTA), clique nessa opção e depois em “REMOVER”.

Isso feito, procure apagar o programa “mshta.exe” (fica na pasta de sistema do Windows), se não souber como fazê-lo, peça a ajuda de algum amigo com maior experiência.

Aproveite e baixe também o programa “Alerta-Z” em meu site. Além de ser uma boa ferramenta para prevenção e alerta quanto ao “aparecimento” de programas indesejáveis no computador (worms, spywares etc.), o “Gerenciados de Sistema” tem uma opção útil para bloqueio de ameaças (“Desabilitar janelas ocultas do Internet Explorer”), sem falar no sistema de bloqueio de janelas “Popup”.

Material gentilmente cedido por Ricardo C.Zimmerl, retirado da revista PC-Expert nº 46

Ricardo C.Zimmerl´,desenvolvedor

e-mail: zimmerl@infomarketing.cjb.net

Site: http://www.infomarketing.da.ru ou http://rczimmerl.vilabol.uol.com.br