07 novembro 2005

Agora a sério...

Este post é a sério.



Neste post vou falar de spyware, virus de computador, rootkits e da Sony Music.



Por esta altura já toda a gente ouviu falar de spyware e virus de computador. Pelas estatísticas que conheço e pelo que tenho visto, mais de metade dos meus leitores terá bichos destes instalados no seu computador (a página inicial do vosso browser está sempre a mudar para uma cena qualquer de publicidade/jogo online/pornografia/outro site do sub-mundo da internet, ou têm barras estranhas instaladas no vosso browser?). O que nem toda a gente terá ouvido falar é de rootkits.



Um rootkit é uma ferramenta, ou conjunto de ferramentas, destinadas a esconder coisas ou alterar comportamentos. O nome vem da sua utilização original que era esconder a presença de um hacker num sistema. Neste momento são utilizados para outros fins: esconder virus, spyware ou backdoors instaladas no computador. Um rootkit funciona da seguinte maneira: instala-se ao nível mais baixo de funcionamento do sistema operativo e serve para, por exemplo, esconder certos ficheiros (que ficam invisíveis no explorador do windows ou quando se faz um scan com o anti-virus) ou partes do registo (escondendo por exemplo um programa que está a correr no arranque do computador). Um rootkit em si mesmo não é nefasto, mas tipicamente existe com um único fim: esconder a presença de coisas que não deviam estar lá.



Agora surgiu uma nova aplicação dos rootkits: a Sony Music inclui nos seus CD's um programa para tocar os CD's. Nada de novo, muitos CD's fazem o mesmo. O problema é que utilizam um rootkit para esconder certos ficheiros e não permitem que o software seja desinstalado.



Porquê? Bem, este programa, escondido pelo rootkit, é o que permite que a Sony consiga impedir os utilizadores de copiar os CD's (têm direito a 3 cópias de backup).



Mas qual é o problema? O problema é que um computador que tenha este rootkit instalado fica impossibilitado de ver qualquer ficheiro que começe por $sys$. Querem ver se têm esse rootkit instalado? Renomeiem o ficheiro do Notepad (tipicamente c:\windows\notepad.exe) para $sys$notepad.exe. Se ele pura e simplesmente desaparecer, então vocês já têm o rootkit.



E a partir daí, as possibilidades são muitas: um virus que tenha ficheiros que comecem por $sys$ fica invisível para os anti-virus! Ou seja, é o tipo de software que vocês não querem a correr no vosso computador! Aliás, já existe uma aplicação deste rootkit: no jogo "World of Warcraft" existem ferramentas que permitem detectar se um jogador está a utilizar batota. Agora, basta ter este rootkit instalado e renomear os programas que fazem batota para que a ferramenta anti-batota não detecte nada. Agora imaginem o que vai ser quando um virus de elevada disseminação começar a esconder-se desta maneira...



Para já, o que podemos fazer é, pura e simplesmente, não instalar nenhum programa que venha num CD audio. E além disso, podemos boicotar os CD's da Sony Music. Afinal, se eles estão dispostos a pôr os nossos computadores em risco para proteger os seus direitos de autor, eu prefiro correr os riscos e sacar as músicas piratas da net!



E então como é que se detecta este tipo de programas? Bem, com um detector de rootkits. A Sysinternals tem um muito bom. Aliás, foi um tipo da Sysinternals que descobriu e denunciou este rootkit. Eles produzem uma série de ferramentas gratuitas de segurança que dão imenso jeito. Eu utilizo frequentemente umas 5 ou 6.



Como este blog não é para servir de fonte de informação em segurança informática, deixo-vos aqui o link para o post original que denuncia este rootkit:

Sony, Rootkits and Digital Rights Management Gone Too Far.



Obrigado ao Pedro Pinheiro que me alertou para esta história.

Sem comentários: