A semana começou a terminou do mesmo jeito: com ataques em alguma rede social. Na terça (21), Twitter. Na sexta (24) e sábado (25), Orkut. No domingo (26), Twitter e YouTube. De certa forma, a semana resume o mês, que no início teve um ataque às comunidades do Orkut, e em seguida dois dias seguidos de falhas no Twitter que permitiram a criação de vírus. O que esse cenário mostra é o despreparo das empresas que criam portais de internet para lidar com segurança. Entenda as falhas e por que elas são significativas na coluna Segurança para o PC de hoje.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários, que está aberta para todos os leitores. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Chamar os códigos que se espalharam pelas redes sociais de “vírus”, ou mesmo o termo mais técnico “worm”, é um certo abuso do termo. Vírus infectam o computador. Essas pragas são no máximo “vírus de perfis”, porque atuam somente no campo da rede social.
Isso acontece porque um site não tem permissão para colocar arquivos maliciosos no computador do internauta. Isso só é possível por meio de um download ou por meio da exploração de uma falha de segurança no navegador.
Para se espalhar de um perfil a outro, no entanto, basta uma falha no próprio site. A falha mais comum desse tipo é a chamada de Cross-site Scripting (XSS). É um tipo de brecha que permite ao atacante incluir um código no site.
Por exemplo, um tweet deve conter apenas texto e links. Não é possível – sem o uso de vulnerabilidades – que a simples visualização de um tweet faça com que você abra um site ou poste algo no serviço de microblog.
Proteções dos navegadores impedem que sites diferentes enviem comandos para outros. Por exemplo, o G1 não pode enviar comandos ao Orkut, mesmo que o Orkut esteja aberto no seu navegador.
Quando há uma falha de XSS, ela é interessante porque permite ao invasor incluir código no contexto daquele site. No caso do Twitter, uma falha de XSS permite que códigos sejam inseridos para realizar tarefas dentro do serviço de microblog – como, por exemplo, o envio de outros tweets.Falhas de Cross-site Scripting são fáceis de evitar. Elas existem porque o desenvolvedor do site não fez alguma verificação no conteúdo enviado pelo internauta.
Há dois tipos de Cross-site Scripting, e uma falha de cada tipo atingiu o Twitter. No tipo persistente, a falha está em alguma página que fica armazenada no banco de dados. É o caso de um tweet ou recado do Orkut que, por si mesmo, já traz o vírus; normalmente, nesses casos, basta visitar uma página do site para ser “infectado”.
No XSS refletido, o outro tipo, o problema existe em uma página que não armazena os dados. Foi o caso da primeira falha no Twitter, em que era necessário clicar em um link para que a página aberta fizesse a postagem.
O Orkut foi alvo de um XSS permanente no sábado (25), que se espalhava por meio de recados. Bastava visualizar o recado.
O que é relevante nas brechas de XSS é que elas são consideradas de baixo risco por muitos. Esses problemas precisam servir como alertas: uma falha de XSS aliada a uma falha em um navegador web pode gerar pragas digitais perigosas que se espalham rapidamente. Isso até hoje não aconteceu, mas a crescente incidência desses problemas é preocupante.
A última falha explorada no Twitter, no domingo (26), era do tipo Cross-site Request Forgery. É um erro amador no qual o site não verifica a autenticidade de uma solicitação. Erros amadores também atingiram o Orkut e o YouTube, na questão das comunidades e dos títulos dos vídeos, respectivamente. Os sites simplesmente não verificam se as comunidades ou vídeos alterados pertenciam às pessoas que os estavam alterando.
São falhas que colocam em dúvida a existência de procedimentos que buscam revisar código em busca de problemas de segurança. Isso é, aparentemente, reflexo da preocupação dos sites em adicionar cada vez mais recursos, em detrimento da qualidade deles. Mas esse modelo parece estar mostrando sua fragilidade com os ataques.
Lentidão e precariedade nas respostas
Cerca de 600 mil perfis podem ter sido atingidos pela falha no Orkut que se alastrou no sábado. A resposta do Google foi apenas: "Tomamos medidas rápidas para corrigir uma vulnerabilidade do tipo cross-site scripting (XSS) no 'orkut.com' que foi descoberta algumas horas atrás. Nossa análise do código de script não revelou qualquer atividade maliciosa. O problema agora já está resolvido, mas continuamos estudando a vulnerabilidade para ajudar a evitar problemas semelhantes no futuro.” A assessoria de imprensa da empresa não informou a hora exata em que o problema foi identificado ou corrigido.
No início do mês, a falha no Twitter estava em uma página de baixa relevância, no site para desenvolvedores. A equipe do site tentou corrigir a falha diversas vezes, mas uma nova maneira de explorar o problema era descoberta. O Twitter tinha como opção derrubar por completo a página vulnerável, o que só foi feito muitas horas após o ataque iniciar.
Nenhuma das falhas teve uma resposta exemplar por parte dos desenvolvedores. Os comunicados à imprensa foram limitados, pouco transparentes, e as informações aos usuários também foram limitadas.
Os portais pecam por não ter um canal comunicando usuários a respeito das falhas em andamento ou das que foram corrigidas e o que fazer para se proteger ou remediar o problema. O Twitter tem feito isso por meio do perfil @safety. No caso do Orkut, nem o blog oficial do Orkut, nem as páginas internas do site, nem o blog oficial de segurança do Google possuem qualquer informação sobre os ataques.
Orkut Exploits
Se as informações para os usuários chegam truncadas e restritas, as informações técnicas sobre as brechas, por outro lado, circulam sem grandes problemas. As falhas que atingiram o Orkut, o Twitter e o YouTube este mês, com exceção da que atingiu o Twitter neste domingo, têm algo em comum: quem descobriu ou explorou tem relação com a comunidade Orkut Exploits, existente no próprio Orkut – o maior afetado pelos problemas.
Na comunidade, os membros discutem as falhas e a cobertura que a imprensa realiza dos casos. A maior parte do conteúdo é apenas informativa; alguns poucos tópicos beiram o legalmente questionável, no entanto. Em um tópico, um membro da comunidade fornece senhas para acessar serviços do Serasa, por exemplo, que requerem assinaturas pagas.
Com falhas amadoras em serviços populares e informações facilmente disponíveis – como, aliás, deve ser –, é preciso que os usuários criem a consciência de que tudo pode ser feito de outro jeito. Sites precisam aprender algumas lições com aplicativos comuns, que recebem boletins de segurança e informações detalhadas de cada brecha corrigida. Hoje, falhas em programas on-line não são registradas, por exemplo, nos bancos dedados de vulnerabilidades oficiais.
No entanto, enquanto caminhamos em direção a uma época em que cada vez mais “programas” que usamos está online, “nas nuvens”, é preciso começar a questionar até que ponto é correta essa noção de que o aplicativo web deve ser tratado de forma diferenciada – ainda mais considerando as tentativas se tornar esses programas aparentemente nativos ao PC.
A coluna Segurança para o PC de hoje fica por aqui. Volto na quarta-feira (29). Deixe sua dúvida na área de comentários para o pacotão, e até a próxima!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página
http://twitter.com/g1seguranca.
FONTE: G1(Falhas mostram despreparo de sites de redes sociais)
