01/03/2005 19:16
Como evitar penetras em sua festa no Orkut
Espertinhos disfarçados de amigos podem aproveitar falhas de segurança do Orkut para fazer brincadeiras de mau gosto online ou mesmo invadir sua vida real. Evite descuidos.
Marcelo Godoy
Vinicius Kmax, o mesmo programador que descobriu montes de falhas no Orkut e assustou comunidades(veja ao lado), aponta mais brechas de segurança no famoso site de relacionamentos.
Bom, em primeiro lugar, o objetivo aqui é comentar, para que as pessoas tenham noção destas falhas e evitem criar oportunidades para malandros e mal intencionados. O Orkut é um parque de diversões gratuito, onde não podemos esperar o mesmo investimento em segurança que existe em bancos, empresas e lojas virtuais.
Conversamos com Vinícius sobre estas falhas e descobrimos como evitar que alguém que não foi convidado faça você passar um papelão em sua própria festa, na sua própria casa.
Vinícius nos relatou ter encontrado na semana passada duas vulnerabilidades na programação do Orkut que permitem que sessões sejam seqüestradas, sem depender de uma vulnerabilidade do lado do cliente (browser). Ou seja, usuários de Internet Explorer, do Mozilla Firefox e mesmo usuários Linux estariam vulneráveis a ambas as vulnerabilidades e podem ter seus profiles "seqüestrados".
Vulnerabilidade 1. Desde o dia 28 de setembro de 2004, foi implementada uma mudança dentro dos links postados dentro do Orkut, de modo com que o usuário perceba a diferença entre links internos do próprio Orkut (comunidades, tópicos, scrabooks etc.) e links externos, que podem levar um usuário para um site com conteúdo mal intencionado ou malicioso. Leia aqui a notícia oficial da implementação da mudança.
Como mostrado no exemplo, todos os links externos passaram a apresentar ao lado um adendo em verde, que informa qual é o destino verdadeiro do link.
A primeira vulnerabilidade consiste em “enganar” esta checagem através de uma página de redirecionamento do próprio Orkut, que ao receber via string de consulta (querystring) o valor do destino do redirecionamento não checa corretamente se o destino vai ser uma página dentro do próprio Orkut ou uma página de fora dele.
Vulnerabilidade 2. Vinicius também relata ter encontrado um bug XSS (cross site scripting) no campo "Home Page" da página "profile.aspx", que é a página que exibe o Profile dos usuários no Orkut. O campo "Home Page" não checa corretamente o endereço inserido e assim permitiria que um usuário mal intencionado insira um comando de javascript. Ao ser executado dentro do contexto do Orkut.com, o comando pode roubar a sessão (cookie) e enviá-la para um site externo que receberia esse valor.
Na posse desse cookie, um hacker pode “seqüestrar” temporariamente um profile e fazer absolutamente tudo que pode ser feito dentro do Orkut sem a necessidade de senha.
Agora vamos deixar de lado os detalhes técnicos e tentar pensar na natureza humana.
Muita gente gosta de entrar em festas de penetra ou de bicão, por curiosidade, diversão ou mesmo com segundas intenções.
Na juventude, não era uma delícia ir a festinhas de primas e primos ou de amigos do amigo do vizinho e chegar lá e encontrar aquele monte de gente feliz, arrumada e perfumada, todos prontos para uma diversão? Você novinho, ninguém conhece seus defeitos, ninguém sabe que recebeu uma bronca de sei pai de manhã, que você não pagou aquela conta em dia... tudo é alegria.
Imagina que uma pessoa, bonitão (ona) como você, chegue na sua festa de penetra. O malandro em pouco tempo já conhece todo mundo da sua família (sobrinhos, filhos, tios etc) amigos, colegas etc.
De cara ele vai sacando o perfil sócio-econômico da tchurma. Como um sorriso e um copo de cerveja ou whisky na mão, ele começa a escutar as conversas, vai entendendo tudo e de leve começa a entrar nos papos (afinal, deve ser seu amigo, pois está na sua festa). Inventa histórias sobre você - conta uma para a vovó, outra para aquela sua amiga meio fofoqueira, fica íntimo de todo mundo... o tempo vai passando e ele lá, conquistando a confiança dos seus amigos. Quem viu o filme “O talentoso Ripley” pode fazer uma idéia do estrago.
Bom, determinada hora ele finge que vai ao banheiro e entra nos quartos da casa.
A festa rolando lá embaixo e ele lá, sozinho (a) mexendo nas suas coisas, seus segredos, seu extrato bancário, seu mundo particular, suas fotos etc. Você lá na festa e o cara mexendo nas suas coisas mais sagradas.
É mais ou menos isso o que acontece hoje em alguns salões de festas do Orkut. Confira algumas dicas do Vinicius para você se proteger e evitar aborrecimentos:
Cuidado com estranhos. É pena, mas o conselho de não conversar ou aceitar convites de estranhos tem sua validade. Há ciladas no Orkut e em todo o mundo virtual. Não clique em hipótese alguma em links suspeitos deixados por estranhos em seu scrapbook. O mesmo vale para links suspeitos postados em comunidades.
Também não confie no adendo em verde ao lado do link (que deveria avisar que o link é externo, mas não o faz). Na dúvida, passe o mouse em cima do link e confira o endereço mostrado na barra de status do seu navegador: o link deve começar com www.orkut.com e não pode conter “coisas estranhas” no final.
Amigos desconhecidos. O link veio de um “amigo”? Pois será mesmo que ele é o amigo que aparenta ser? Pois saiba que criar um profile clonado no Orkut com a foto do seu melhor amigo (sim aquele que deixou um lindo testemonial pra você!) requer apenas poucos minutos e pouco caráter. Na dúvida, entre no dito profile e confira se é ele mesmo.
Resista à tentação de adicionar “amigos” no Orkut somente para ganhar um maior número de fãs. Lembre-se que toda pessoa que você adicionar no Orkut terá conhecimento do seu e-mail de cadastro no site.
Esse endereço de e-mail pode ser usado para enviar um vírus ou um link malicioso que poderá roubar o seu profile. Um hacker experiente é capaz de ganhar acesso à sua conta de e-mail e também à sua conta do Orkut.
E para que ter um milhão de amigos? Amigos mesmo a gente conta nos dedos da mão direita, o resto é conhecido. Melhor uma festa menor com um monte de gente entrosada, querida e conhecida, do que um festão com um monte de quase desconhecidos jogando cinza no carpete, colocando o pé na sua parede e falando mal de tudo, inclusive de você.
Seja discreto. Tente não demonstrar uma condição financeira capaz de atrair interesse. Também não torne públicas informações confidenciais em seu profile, como MSN, ICQ e número do celular(!!!). Estas informações podem ser usadas para ganhar sua confiança e levar você a clicar num link malicioso. Imagine alguém mal intencionado ligando para o seu celular, sabendo quando você está online, seguindo seus passos?
Use uma senha difícil. O Orkut ainda não implementou uma proteção contra ataques do tipo bruteforce/dictionary. Portanto, evite senhas óbvias e jamais use palavras existentes no dicionário. Uma senha assim pode ser descoberta em algumas horas por um hacker.
No mínimo, lembre como pode ser ruim ter e manter um monte de amigos legais, convidar todos para a sua festa e depois aparecer uma fulaninha (o) que faz o maior estrago, leva a melhor e ainda deixa você com cara de mané na frente de todo mundo.
fonte: [Webinsider]