Vírus no Orkut, você viu?

Enquanto você dormia rolou um vírus no Orkut. Apesar de inofensivo (o código simplesmente se propagava de usuário em usuário) e de eu ter achado o trabalho engenhoso esse assunto é complicado, obviamente, pelo seu potencial maléfico. O tal vírus começou a rolar com força depois da meia-noite, fico pensando no tamanho do estrago se acontecesse durante o dia.

O código maléfico usou o conceito de cross-site scripting (ou XSS para os íntimos), onde você roda código (Javascript) hospedado em um site externo para detonar um site vulnerável. É um daqueles problemas onde os espíritos de porco podem inviabilizar uma coisa boa. O boo-box, por exemplo, é um “cross-site scripting do bem”, já que também é um código Javascript externo que afeta o seu site, mostrando produtos relevantes[bb] no seu texto. Cabe aos programadores de sites onde o usuário entra com conteúdo (do Orkut ao WordPress, sistema que comanda este e milhares de outros blogs) filtrar a entrada deste conteúdo alheio para que não tenha código maléfico. Mas como já dizia Mestre Doctorow, essa é uma luta injusta: os criadores dos sites precisam acertar sempre, em todos os cantos do código, enquanto os furadores-de-bloqueio só precisam acertar uma vez.

Há quem defenda que “ações” como a desta noite tornam os sites mais seguros, expondo suas falhas. Mas é bom lembrar que hoje em dia vírus normal, aquele que infecta seu computador todo, não é mais usado para apagar todos os seus dados ou fazer brincadeiras e sim para transformar seu Windows em um zumbi enviador de spam. É bom lembrar também que, apesar do termo usado pelo Inagaki, o vírus desta noite não infectou seu computador no sentido literal da palavra. O que foi infectado foi sua página de scraps. Pode rodar o anti-vírus que for que você não vai pegar nada (ainda bem). Por definição um programa Javascript não pode acessar dados da sua máquina (de novo, senão os espíritos de porco iriam deitar e rolar).

Tudo indica que a equipe do Orkut já controlou o vírus mas se você é paranóico pode desabilitar o Javascript do seu navegador, mas vai ficar sem poder usar sites mais avançados como o GMail. Usuários avançados über-geeks podem fazer como eu e bloquear o site files.myopera.com, onde o código maléfico foi hospedado, direto no seu arquivo hosts.

8 thoughts on “Vírus no Orkut, você viu?

  1. Eu acompanhei essa infecção a uma distância segura já que a galera da comunidade do Opera no Orkut tinha criado a algum tempo atrás um UserJS que barra qualquer script que venha de fora.

    Ainda assim, acho que o Orkut deveria reconsiderar a idéia de deixar o scrapbook livre pra html. Não dou mais 2 meses pra acharem outro rombo…

  2. Hummm… É… Mesmo usuários de Firefox podem ser pegos por um esquema como este apesar da minha esposa ter clicado na versão Happy Tree Friends sem que ela funcionasse.

    Achei por bem tomar uma atitude e instalei o NoScript aqui:
    https://addons.mozilla.org/en-US/firefox/addon/722

    Deve ser o bastante, não acham? Tem outros bloqueadores de javascript no banco de extensões, mas esta me pareceu a mais completinha.

  3. boo!

    A maior parte dos widgets e medidores de visitacao atuais é XSS, exemplos: Google Analitycs, widgets do Last.fm e Twitter, Google AdSense…

    Mesmo assim, o problema de segurança do usuário é grave, e pode ser resolvido sem bloquear os “scripts do bem”, como o boo-box e os supracitados.

    Pra mim, o maior problema deste “virus” é que usar o Firefox/Safari/Opera não nos deixa mais seguro, mesmo com navegadores bons o usuário está vulnerável.

    from Brazil, Marco Gomes
    CTO of the boo-box team
    http://boo-box.com

  4. Isso é uma excelente prova de que SEMPRE estamos vulneráveis independetemente de Plataforma ou Navegador. Podemos estar mais seguros. Mas completamente seguros. Nunca.

Comments are closed.