Último Segundo
/ O DIA
Depois de hackeado, Orkut passa a exigir senha para várias
transações
Por Marlos Mendes
A estudante de comunicação Jacqueline Brandão,
22 anos, recebeu na quarta, 29, mensagem de um estranho que
dizia ter visto uma reportagem sobre a "Eu amo chocolate",
comunidade criada por ela e que conta com mais de cem mil integrantes.
Como não era a primeira citação ao grupo,
Jacqueline não titubeou em clicar no link indicado. Ela
não imaginava que estava abrindo a porta para um hacker
tomar o controle de sua comunidade e lhe causar uma bela dor
de cabeça.
Jacqueline foi um dos moderadores atacados por um especialista
que queria mostrar uma falha de segurança no Orkut e
no Internet Explorer. A tática de invasão foi
a mesma com várias vítimas. Uma mensagem deixada
no scrapbook (livro de visitas) sugeria que o usuário
visitasse um link. Ao clicar, ele era, inadvertidamente, levado
a uma outra página, fora do Orkut, onde estava encondido
um código malicioso.
A ação chegou a ser noticiada pelo Dia Online
como boato, por ter sido publicada inicialmente por um site
de humor famoso por pegar peças na imprensa brasileira.
Desta vez era verdade. Contudo, em vez de explicar claramente
o procedimento que resultou na invasão, o site apenas
mostrou que algumas comunidades tiveram suas imagens alateradas
e receberam um texto que dava o endereço do site como
o local onde obter maiores informações sobre o
ataque. Assim, a denúncia acabou tomando contornos de
auto-promoção.
As vítimas viram a foto de suas comunidades serem trocadas
por um ícone do Firefox, browser de código aberto,
e a moderação do grupo (owner) passar para o usuário
Firefox Rules. "O Orkut tem um péssimo gerenciamento
de cookies. Eles demoram várias horas para expirar e
não são devidamente validados quando chegam ao
servidor", disse o autor da invasão, que se identifica
como Vinicius K-Max.
O especialista em segurança sênior da Schlumberger
Information Solutions, Alexandre Freire,
confirma que a invasão é viável. "A
vulnerabilidade existe devido ao bug do Internet Explorer que
ainda não teve correção assim como pelo
tempo excessivo de duração da sessão de
um cookie do Orkut". Em tempo: o bug (11950) foi identificado
em 15 de dezembro.
Para permitir o ataque, o usuário tem que acessar um
link externo enquanto estiver conectado ao Orkut com o Internet
Explorer. A tecnologia ASP, na qual o Orkut é desenvolvido,
usa arquivos chamados cookies para registrar parâmetros
e preferências do usuário. Esses cookies, servem,
por exemplo, para identificar um usuário durante a navegação
em um site e não pedir senha a cada clique. Como os cookies
têm validade longa no Orkut, o pirata consegue capturar
o cookie que identifica o usuário assim que ele acessar
a página de código malicioso. Feito isso, ele
se faz passar pelo usuário. "Ao manter a janela
do Orkut aberta, o cookie não expira a sessão
e este ponto é explorado por hackers", explica Alexandre
Freire. De posse dos cookies, o invasor conseguiu
entrar na conta dos moderadores e transferir o controle dos
grupos.
Para testar se os usuários correm de fato o risco de
ter sua identidade no Orkut usada por outros, pedi ao invasor
que tomasse meu perfil. Ele deixou em meu scrapbook um link
e a instrução de que o acessasse com o navegador
da Microsoft. Sem avisá-lo, usei o Netscape e, como era
de se esperar, ele não conseguiu me atacar. Depois de
visitar a mesma página com o Internet Explorer, pedi
que ele tomasse meu perfil e o controle da comunidade "Por
favor, roube meu profile", criada especialmente para isso.
Ele conseguiu mudar meu nome para Marlos K-Max, mas não
tomou o controle do grupo. Segundo ele, o Orkut começou
nesta quarta-feira a pedir senha para transferir o controle
de comunidades.
Não satisfeito, pedi que ele dissesse a meus amigos
que eu havia decidido a deixar o Rio de Janeiro para viver de
vender coco no Suriname. Em minutos, os scrapbooks de cinco
amigos meus passaram a exibir minha foto e a decisão
de trocar o jornalismo pelo comércio autônomo no
exterior.
Segundo o especialista da Schlumberger, se o usuário
não acessar um link externo enquanto estiver conectado
ao Orkut, as chances desse tipo de ataque acontecer são
reduzidas. "O usuário deve ter bom senso durante
a navegação e não acessar sites de conteúdo
duvidoso", aconselha.
Apesar da boa intenção do hacker de alertar para
uma falha de segurança, os moderadores atacados ficaram
obviamente irritados. "Você não precisa arrombar
uma casa para mostrar que a segurança é falha.
Há outras maneiras de fazer isso", diz Jacqueline.
RETORNAR
PARA PÁGINA PRINCIPAL |
