Falhas mostram despreparo de sites de redes sociais

A semana começou a terminou do mesmo jeito: com ataques em alguma rede social. Na terça (21), Twitter. Na sexta (24) e sábado (25), Orkut. No domingo (26), Twitter e YouTube. De certa forma, a semana resume o mês, que no início teve um ataque às comunidades do Orkut, e em seguida dois dias seguidos de falhas no Twitter que permitiram a criação de vírus. O que esse cenário mostra é o despreparo das empresas que criam portais de internet para lidar com segurança. Entenda as falhas e por que elas são significativas na coluna Segurança para o PC de hoje. Chamar os códigos que se espalharam pelas redes sociais de "vírus", ou mesmo o termo mais técnico "worm", é um certo abuso do termo. Vírus infectam o computador. Essas pragas são no máximo "vírus de perfis", porque atuam somente no campo da rede social.Isso acontece porque um site não tem permissão para colocar arquivos maliciosos no computador do internauta. Isso só é possível por meio de um download ou por meio da exploração de uma falha de segurança no navegador.Para se espalhar de um perfil a outro, no entanto, basta uma falha no próprio site. A falha mais comum desse tipo é a chamada de Cross-site Scripting (XSS). É um tipo de brecha que permite ao atacante incluir um código no site.Por exemplo, um tweet deve conter apenas texto e links. Não é possível - sem o uso de vulnerabilidades - que a simples visualização de um tweet faça com que você abra um site ou poste algo no serviço de microblog.Proteções dos navegadores impedem que sites diferentes enviem comandos para outros. Por exemplo, o G1 não pode enviar comandos ao Orkut, mesmo que o Orkut esteja aberto no seu navegador.Quando há uma falha de XSS, ela é interessante porque permite ao invasor incluir código no contexto daquele site. No caso do Twitter, uma falha de XSS permite que códigos sejam inseridos para realizar tarefas dentro do serviço de microblog - como, por exemplo, o envio de outros tweets.Falhas de Cross-site Scripting são fáceis de evitar. Elas existem porque o desenvolvedor do site não fez alguma verificação no conteúdo enviado pelo internauta.Há dois tipos de Cross-site Scripting, e uma falha de cada tipo atingiu o Twitter. No tipo persistente, a falha está em alguma página que fica armazenada no banco de dados. É o caso de um tweet ou recado do Orkut que, por si mesmo, já traz o vírus; normalmente, nesses casos, basta visitar uma página do site para ser "infectado".No XSS refletido, o outro tipo, o problema existe em uma página que não armazena os dados. Foi o caso da primeira falha no Twitter, em que era necessário clicar em um link para que a página aberta fizesse a postagem.O Orkut foi alvo de um XSS permanente no sábado (25), que se espalhava por meio de recados. Bastava visualizar o recado.O que é relevante nas brechas de XSS é que elas são consideradas de baixo risco por muitos. Esses problemas precisam servir como alertas: uma falha de XSS aliada a uma falha em um navegador web pode gerar pragas digitais perigosas que se espalham rapidamente. Isso até hoje não aconteceu, mas a crescente incidência desses problemas é preocupante.A última falha explorada no Twitter, no domingo (26), era do tipo Cross-site Request Forgery. É um erro amador no qual o site não verifica a autenticidade de uma solicitação. Erros amadores também atingiram o Orkut e o YouTube, na questão das comunidades e dos títulos dos vídeos, respectivamente. Os sites simplesmente não verificam se as comunidades ou vídeos alterados pertenciam às pessoas que os estavam alterando.São falhas que colocam em dúvida a existência de procedimentos que buscam revisar código em busca de problemas de segurança. Isso é, aparentemente, reflexo da preocupação dos sites em adicionar cada vez mais recursos, em detrimento da qualidade deles. Mas esse modelo parece estar mostrando sua fragilidade com os ataques.Fonte: g1.globo.com