Vírus no Orkut, você viu?

Enquanto você dormia rolou um vírus no Orkut. Apesar de inofensivo (o código simplesmente se propagava de usuário em usuário) e de eu ter achado o trabalho engenhoso esse assunto é complicado, obviamente, pelo seu potencial maléfico. O tal vírus começou a rolar com força depois da meia-noite, fico pensando no tamanho do estrago se acontecesse durante o dia.

O código maléfico usou o conceito de cross-site scripting (ou XSS para os íntimos), onde você roda código (Javascript) hospedado em um site externo para detonar um site vulnerável. É um daqueles problemas onde os espíritos de porco podem inviabilizar uma coisa boa. O boo-box, por exemplo, é um “cross-site scripting do bem”, já que também é um código Javascript externo que afeta o seu site, mostrando produtos relevantes[bb] no seu texto. Cabe aos programadores de sites onde o usuário entra com conteúdo (do Orkut ao Wordpress, sistema que comanda este e milhares de outros blogs) filtrar a entrada deste conteúdo alheio para que não tenha código maléfico. Mas como já dizia Mestre Doctorow, essa é uma luta injusta: os criadores dos sites precisam acertar sempre, em todos os cantos do código, enquanto os furadores-de-bloqueio só precisam acertar uma vez.

Há quem defenda que “ações” como a desta noite tornam os sites mais seguros, expondo suas falhas. Mas é bom lembrar que hoje em dia vírus normal, aquele que infecta seu computador todo, não é mais usado para apagar todos os seus dados ou fazer brincadeiras e sim para transformar seu Windows em um zumbi enviador de spam. É bom lembrar também que, apesar do termo usado pelo Inagaki, o vírus desta noite não infectou seu computador no sentido literal da palavra. O que foi infectado foi sua página de scraps. Pode rodar o anti-vírus que for que você não vai pegar nada (ainda bem). Por definição um programa Javascript não pode acessar dados da sua máquina (de novo, senão os espíritos de porco iriam deitar e rolar).

Tudo indica que a equipe do Orkut já controlou o vírus mas se você é paranóico pode desabilitar o Javascript do seu navegador, mas vai ficar sem poder usar sites mais avançados como o GMail. Usuários avançados über-geeks podem fazer como eu e bloquear o site files.myopera.com, onde o código maléfico foi hospedado, direto no seu arquivo hosts.


:: Escrito por Cristiano Dias, dia 19 Dec 2007, 08:44, em Pontocom, Sai pra lá bug!.

8 Comentários

  1. Davis Sousa

    Eu acompanhei essa infecção a uma distância segura já que a galera da comunidade do Opera no Orkut tinha criado a algum tempo atrás um UserJS que barra qualquer script que venha de fora.

    Ainda assim, acho que o Orkut deveria reconsiderar a idéia de deixar o scrapbook livre pra html. Não dou mais 2 meses pra acharem outro rombo…

    19 Dec 2007, 10:09, via Opera Opera 9.24 no Windows Windows XP
    IP: 83.15.248.10
  2. Rodrigo

    há um ótimo artigo da BusinessWeek comentando sobre a migração de usuários para redes sociais cada vez mais fechadas e menores fugindo dos vírus, spams, propagandas e afins que assolaram Orkut e outros.
    http://www.businessweek.com/innovate/content/dec2007/id20071213_733494.htm

    19 Dec 2007, 16:28, via Mozilla Firefox Mozilla Firefox 2.0.0.11 no Windows Windows XP
    IP: 201.8.173.69
  3. rascunho » Blog Archive » links for 2007-12-19

    [...] Virus no Orkut (tags: http://www.crisdias.com 2007 mes11 dia19 at_tecp orkut virus segurança) [...]

    19 Dec 2007, 17:37, via WordPress WordPress 2.0.10
    IP: 200.234.200.50
  4. Roney Belhassof

    Hummm… É… Mesmo usuários de Firefox podem ser pegos por um esquema como este apesar da minha esposa ter clicado na versão Happy Tree Friends sem que ela funcionasse.

    Achei por bem tomar uma atitude e instalei o NoScript aqui:
    https://addons.mozilla.org/en-US/firefox/addon/722

    Deve ser o bastante, não acham? Tem outros bloqueadores de javascript no banco de extensões, mas esta me pareceu a mais completinha.

    20 Dec 2007, 00:05, via Mozilla Firefox Mozilla Firefox 2.0.0.11 no Mac OS Mac OS X
    IP: 201.19.73.158
  5. Marco Gomes

    boo!

    A maior parte dos widgets e medidores de visitacao atuais é XSS, exemplos: Google Analitycs, widgets do Last.fm e Twitter, Google AdSense…

    Mesmo assim, o problema de segurança do usuário é grave, e pode ser resolvido sem bloquear os “scripts do bem”, como o boo-box e os supracitados.

    Pra mim, o maior problema deste “virus” é que usar o Firefox/Safari/Opera não nos deixa mais seguro, mesmo com navegadores bons o usuário está vulnerável.

    from Brazil, Marco Gomes
    CTO of the boo-box team
    http://boo-box.com

    23 Dec 2007, 18:08, via Safari Safari 523.12 no Mac OS Mac OS X
    IP: 201.10.168.97
  6. Davi Valente

    Isso é uma excelente prova de que SEMPRE estamos vulneráveis independetemente de Plataforma ou Navegador. Podemos estar mais seguros. Mas completamente seguros. Nunca.

    28 Dec 2007, 08:42, via Safari Safari 523.10 no Mac OS Mac OS X
    IP: 201.81.161.246
  7. Daniel

    Pode usar o No-Script também no Firefox o meu bloqueou o XSS agora numa imagem que me mandaram!

    21 Feb 2009, 00:40, via Mozilla Firefox Mozilla Firefox 3.0.6 no Windows Windows XP
    IP: 189.20.195.144
  8. Repercussão – 2008 vem ai… que ele comece mto bem para vc

    [...] também fizeram posts sobre o assunto, alguns com backlink, outros sem, mas ainda assim gostei [...]

    9 Nov 2009, 23:42, via WordPress WordPress 2.8.5
    IP: 174.37.22.11

Deixe seu comentário

Acompanhe os comentários via RSS.

Quer assinar os comentários sem deixar um? Use RSS ou receba por e-mail ligando a opção abaixo:

© 2000-2008 Cristiano Dias. Alguns direitos reservados. Só alguns, não se preocupe.
Based on a tbeseda & 5ThirtyOne design. doismidela primeraza
RSS