Falhas mostram despreparo de sites de redes sociais

A semana começou a terminou do mesmo jeito: com ataques em alguma rede social. Na terça (21), Twitter. Na sexta (24) e sábado (25), Orkut. No domingo (26), Twitter e YouTube. De certa forma, a semana resume o mês, que no início teve um ataque às comunidades do Orkut, e em seguida dois dias seguidos de falhas no Twitter que permitiram a criação de vírus. O que esse cenário mostra é o despreparo das empresas que criam portais de internet para lidar com segurança. Entenda as falhas e por que elas são significativas na coluna Segurança para o PC de hoje.


Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários, que está aberta para todos os leitores. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Chamar os códigos que se espalharam pelas redes sociais de “vírus”, ou mesmo o termo mais técnico “worm”, é um certo abuso do termo. Vírus infectam o computador. Essas pragas são no máximo “vírus de perfis”, porque atuam somente no campo da rede social.

Isso acontece porque um site não tem permissão para colocar arquivos maliciosos no computador do internauta. Isso só é possível por meio de um download ou por meio da exploração de uma falha de segurança no navegador.

Para se espalhar de um perfil a outro, no entanto, basta uma falha no próprio site. A falha mais comum desse tipo é a chamada de Cross-site Scripting (XSS). É um tipo de brecha que permite ao atacante incluir um código no site.

Por exemplo, um tweet deve conter apenas texto e links. Não é possível – sem o uso de vulnerabilidades – que a simples visualização de um tweet faça com que você abra um site ou poste algo no serviço de microblog.

Proteções dos navegadores impedem que sites diferentes enviem comandos para outros. Por exemplo, o G1 não pode enviar comandos ao Orkut, mesmo que o Orkut esteja aberto no seu navegador.

Quando há uma falha de XSS, ela é interessante porque permite ao invasor incluir código no contexto daquele site. No caso do Twitter, uma falha de XSS permite que códigos sejam inseridos para realizar tarefas dentro do serviço de microblog – como, por exemplo, o envio de outros tweets.Falhas de Cross-site Scripting são fáceis de evitar. Elas existem porque o desenvolvedor do site não fez alguma verificação no conteúdo enviado pelo internauta.

Há dois tipos de Cross-site Scripting, e uma falha de cada tipo atingiu o Twitter. No tipo persistente, a falha está em alguma página que fica armazenada no banco de dados. É o caso de um tweet ou recado do Orkut que, por si mesmo, já traz o vírus; normalmente, nesses casos, basta visitar uma página do site para ser “infectado”.

No XSS refletido, o outro tipo, o problema existe em uma página que não armazena os dados. Foi o caso da primeira falha no Twitter, em que era necessário clicar em um link para que a página aberta fizesse a postagem.

O Orkut foi alvo de um XSS permanente no sábado (25), que se espalhava por meio de recados. Bastava visualizar o recado.

O que é relevante nas brechas de XSS é que elas são consideradas de baixo risco por muitos. Esses problemas precisam servir como alertas: uma falha de XSS aliada a uma falha em um navegador web pode gerar pragas digitais perigosas que se espalham rapidamente. Isso até hoje não aconteceu, mas a crescente incidência desses problemas é preocupante.

A última falha explorada no Twitter, no domingo (26), era do tipo Cross-site Request Forgery. É um erro amador no qual o site não verifica a autenticidade de uma solicitação. Erros amadores também atingiram o Orkut e o YouTube, na questão das comunidades e dos títulos dos vídeos, respectivamente. Os sites simplesmente não verificam se as comunidades ou vídeos alterados pertenciam às pessoas que os estavam alterando.

São falhas que colocam em dúvida a existência de procedimentos que buscam revisar código em busca de problemas de segurança. Isso é, aparentemente, reflexo da preocupação dos sites em adicionar cada vez mais recursos, em detrimento da qualidade deles. Mas esse modelo parece estar mostrando sua fragilidade com os ataques.

Lentidão e precariedade nas respostas

Cerca de 600 mil perfis podem ter sido atingidos pela falha no Orkut que se alastrou no sábado. A resposta do Google foi apenas: "Tomamos medidas rápidas para corrigir uma vulnerabilidade do tipo cross-site scripting (XSS) no 'orkut.com' que foi descoberta algumas horas atrás. Nossa análise do código de script não revelou qualquer atividade maliciosa. O problema agora já está resolvido, mas continuamos estudando a vulnerabilidade para ajudar a evitar problemas semelhantes no futuro.” A assessoria de imprensa da empresa não informou a hora exata em que o problema foi identificado ou corrigido.

No início do mês, a falha no Twitter estava em uma página de baixa relevância, no site para desenvolvedores. A equipe do site tentou corrigir a falha diversas vezes, mas uma nova maneira de explorar o problema era descoberta. O Twitter tinha como opção derrubar por completo a página vulnerável, o que só foi feito muitas horas após o ataque iniciar.

Nenhuma das falhas teve uma resposta exemplar por parte dos desenvolvedores. Os comunicados à imprensa foram limitados, pouco transparentes, e as informações aos usuários também foram limitadas.

Os portais pecam por não ter um canal comunicando usuários a respeito das falhas em andamento ou das que foram corrigidas e o que fazer para se proteger ou remediar o problema. O Twitter tem feito isso por meio do perfil @safety. No caso do Orkut, nem o blog oficial do Orkut, nem as páginas internas do site, nem o blog oficial de segurança do Google possuem qualquer informação sobre os ataques.



Orkut Exploits

Se as informações para os usuários chegam truncadas e restritas, as informações técnicas sobre as brechas, por outro lado, circulam sem grandes problemas. As falhas que atingiram o Orkut, o Twitter e o YouTube este mês, com exceção da que atingiu o Twitter neste domingo, têm algo em comum: quem descobriu ou explorou tem relação com a comunidade Orkut Exploits, existente no próprio Orkut – o maior afetado pelos problemas.

Na comunidade, os membros discutem as falhas e a cobertura que a imprensa realiza dos casos. A maior parte do conteúdo é apenas informativa; alguns poucos tópicos beiram o legalmente questionável, no entanto. Em um tópico, um membro da comunidade fornece senhas para acessar serviços do Serasa, por exemplo, que requerem assinaturas pagas.

Com falhas amadoras em serviços populares e informações facilmente disponíveis – como, aliás, deve ser –, é preciso que os usuários criem a consciência de que tudo pode ser feito de outro jeito. Sites precisam aprender algumas lições com aplicativos comuns, que recebem boletins de segurança e informações detalhadas de cada brecha corrigida. Hoje, falhas em programas on-line não são registradas, por exemplo, nos bancos dedados de vulnerabilidades oficiais.

No entanto, enquanto caminhamos em direção a uma época em que cada vez mais “programas” que usamos está online, “nas nuvens”, é preciso começar a questionar até que ponto é correta essa noção de que o aplicativo web deve ser tratado de forma diferenciada – ainda mais considerando as tentativas se tornar esses programas aparentemente nativos ao PC.

A coluna Segurança para o PC de hoje fica por aqui. Volto na quarta-feira (29). Deixe sua dúvida na área de comentários para o pacotão, e até a próxima!



* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.


FONTE: G1(Falhas mostram despreparo de sites de redes sociais)

TECNOLOGIA E RELACIONAMENTO:

FONTE:http://wilmarx.blogspot.com/2008_02_01_archive.html

            Após interpretarmos a HQ acima podemos ver o quanto as vezes a tecnologia passa dos limites e irá um vicio assim fazendo com que as pessoas percam o seu relacionamento uma para com  a outra.Assim após interpretarem a HQ espero que as pessoas tenham um relacionamento melhor e mais próximo uns com os outros.

China aumenta equipe de 'guardiões' para censurar conteúdo na internet:

As autoridades chinesas anunciaram a contratação dez novos supervisores para revisar os conteúdos vulgares ou pornográficos publicados na internet, informa o jornal local "Beijing Morning Post".

Citando a associação de comunicação online de Pequim, a publicação indicou que oito dos maiores portais na internet com sede na capital chinesa deverão contratar supervisores "responsáveis e disciplinados".

Os inspetores terão a missão de procurar e elaborar relatórios sobre os sites com conteúdos pornográficos, de apostas ou violentos, assim como os que alardeiem a riqueza e que possam atentar contra a estabilidade social e a segurança nacional. Entre as páginas afetadas estão as mais populares na China, como os portais "163" e "hexun", que contam com fórums de internautas bastante ativos.

Grupos de liberdade de imprensa, como Anistia Internacional (AI) e Repórteres Sem Fronteiras (RSF), denunciam que por meio das campanhas contra pornografia do governo acabam cancelando sites de dissidentes ou com conteúdos críticos ao regime.

O número de usuários da internet passa por período de forte crescimento na China. Segundo estudos, o país já conta com mais de 420 milhões de internautas, e é o maior mercado on-line do planeta.


FONTE:http://blogs.estadao.com.br/link/tag/supervisores/

Como proteger os navegadores de Vírus:

Uso da Internet é “comum entre todos”, sendo que grande parte da população usa desse meio, tão extraordinário para fazerem suas tarefas, como: enviar e-mail, acessar sites de relacionamento, fazer pesquisas, baixar musicas e programas e entre outras “coisas” que são acessadas pela a população; para terem acesso a tais “coisas” pessoas usam de alguns navegadores (Internet Explorer,Firefox, Chrome), mas muitos de nós não preocupamos, com a maneira correta de usar desses meios, e muitas vezes nos não preocupamos com os vírus e como podemos acabar com eles, para que assim possamos usufruir de uma maneira melhor desses navegadores para tais práticas. Assim para que os terríveis vírus não afetem os seus computadores assim trago essas informações tiradas do G1(Desenvolvedores correm para consertar falhas de navegadores).

Passo a Passo para a prevenção de Vírus nos Navegadores:

Internet Explorer: Ferramentas, Opções da Internet. Na aba “Programas”, clique no botão Gerenciar complementos. Na lista, procure o Java. Clique nele e então no botão Desabilitar.

Firefox: O uso do plugin NoScript ajuda muito a proteger o internauta durante a navegação. Em Ferramentas, Opções, Conteúdo, basta desmarcar a caixa “Permitir Java” para desativar o Java por completo.

Chrome: É preciso acessar o endereço chrome://plugins . O Java estará na lista. Basta desativar. Nessa mesma tela é possível ativar o leitor embutido de PDFs do Chrome

Fonte: G1 (Desenvolvedores correm para consertar falhas de navegadores)