Problemas são significativos, mas não afetam o PC do usuário.
A semana começou a terminou do mesmo jeito: com ataques em alguma rede social. Na terça (21), Twitter. Na sexta (24) e sábado (25), Orkut. No domingo (26), Twitter e YouTube.
De certa forma, a semana resume o mês, que no início teve um ataque às comunidades do Orkut, e em seguida dois dias seguidos de falhas no Twitter que permitiram a criação de vírus. O que esse cenário mostra é o despreparo das empresas que criam portais de internet para lidar com segurança. Entenda as falhas e por que elas são significativas na coluna Segurança para o PC de hoje.
XSS – o Cross-site Scripting e o “vírus de perfil”
Chamar os códigos que se espalharam pelas redes sociais de “vírus”, ou mesmo o termo mais técnico “worm”, é um certo abuso do termo. Vírus infectam o computador. Essas pragas são no máximo “vírus de perfis”, porque atuam somente no campo da rede social.
Isso acontece porque um site não tem permissão para colocar arquivos maliciosos no computador do internauta. Isso só é possível por meio de um download ou por meio da exploração de uma falha de segurança no navegador.
Para se espalhar de um perfil a outro, no entanto, basta uma falha no próprio site. A falha mais comum desse tipo é a chamada de Cross-site Scripting (XSS). É um tipo de brecha que permite ao atacante incluir um código no site.
Por exemplo, um tweet deve conter apenas texto e links. Não é possível – sem o uso de vulnerabilidades – que a simples visualização de um tweet faça com que você abra um site ou poste algo no serviço de microblog.
Proteções dos navegadores impedem que sites diferentes enviem comandos para outros. Por exemplo, o G1 não pode enviar comandos ao Orkut, mesmo que o Orkut esteja aberto no seu navegador.
Quando há uma falha de XSS, ela é interessante porque permite ao invasor incluir código no contexto daquele site. No caso do Twitter, uma falha de XSS permite que códigos sejam inseridos para realizar tarefas dentro do serviço de microblog – como, por exemplo, o envio de outros tweets.
Falhas de Cross-site Scripting são fáceis de evitar. Elas existem porque o desenvolvedor do site não fez alguma verificação no conteúdo enviado pelo internauta.
Há dois tipos de Cross-site Scripting, e uma falha de cada tipo atingiu o Twitter. No tipo persistente, a falha está em alguma página que fica armazenada no banco de dados. É o caso de um tweet ou recado do Orkut que, por si mesmo, já traz o vírus; normalmente, nesses casos, basta visitar uma página do site para ser “infectado”.
No XSS refletido, o outro tipo, o problema existe em uma página que não armazena os dados. Foi o caso da primeira falha no Twitter, em que era necessário clicar em um link para que a página aberta fizesse a postagem.
O Orkut foi alvo de um XSS permanente no sábado (25), que se espalhava por meio de recados. Bastava visualizar o recado.
O que é relevante nas brechas de XSS é que elas são consideradas de baixo risco por muitos. Esses problemas precisam servir como alertas: uma falha de XSS aliada a uma falha em um navegador web pode gerar pragas digitais perigosas que se espalham rapidamente. Isso até hoje não aconteceu, mas a crescente incidência desses problemas é preocupante.
A última falha explorada no Twitter, no domingo (26), era do tipo Cross-site Request Forgery. É um erro amador no qual o site não verifica a autenticidade de uma solicitação. Erros amadores também atingiram o Orkut e o YouTube, na questão das comunidades e dos títulos dos vídeos, respectivamente. Os sites simplesmente não verificam se as comunidades ou vídeos alterados pertenciam às pessoas que os estavam alterando.
São falhas que colocam em dúvida a existência de procedimentos que buscam revisar código em busca de problemas de segurança. Isso é, aparentemente, reflexo da preocupação dos sites em adicionar cada vez mais recursos, em detrimento da qualidade deles. Mas esse modelo parece estar mostrando sua fragilidade com os ataques.
Lentidão e precariedade nas respostas
Cerca de 600 mil perfis podem ter sido atingidos pela falha no Orkut que se alastrou no sábado. A resposta do Google foi apenas: "Tomamos medidas rápidas para corrigir uma vulnerabilidade do tipo cross-site scripting (XSS) no 'orkut.com' que foi descoberta algumas horas atrás. Nossa análise do código de script não revelou qualquer atividade maliciosa. O problema agora já está resolvido, mas continuamos estudando a vulnerabilidade para ajudar a evitar problemas semelhantes no futuro.” A assessoria de imprensa da empresa não informou a hora exata em que o problema foi identificado ou corrigido.
No início do mês, a falha no Twitter estava em uma página de baixa relevância, no site para desenvolvedores. A equipe do site tentou corrigir a falha diversas vezes, mas uma nova maneira de explorar o problema era descoberta. O Twitter tinha como opção derrubar por completo a página vulnerável, o que só foi feito muitas horas após o ataque iniciar.
Nenhuma das falhas teve uma resposta exemplar por parte dos desenvolvedores. Os comunicados à imprensa foram limitados, pouco transparentes, e as informações aos usuários também foram limitadas.
Os portais pecam por não ter um canal comunicando usuários a respeito das falhas em andamento ou das que foram corrigidas e o que fazer para se proteger ou remediar o problema. O Twitter tem feito isso por meio do perfil @safety. No caso do Orkut, nem o blog oficial do Orkut, nem as páginas internas do site, nem o blog oficial de segurança do Google possuem qualquer informação sobre os ataques.
G1
