Magnet

Notícias » Leia a notícia da falha do IE no Terra Informática » Conheça o Orkut Sites Relacionados » Leia o texto do site Cocadaboa » Leia a nota do grupo Mozilla/Brasil Enquete O que você acha dessa história? Uma grande bobagem O Cocadaboa agiu certo O Cocadaboa agiu errado Orkut? Cocadaboa? O que é isso?

Últimas sobre Informática » Exportações de produtos de informática supera US$ 100 bilhões » Acusado de matar por comentário em site é solto » Polícia investiga pornografia infantil no MS » 35% dos softwares no mundo são piratas, diz estudo Busca Saiba mais na Internet sobre: Download E-business Games Hacker Hardware Informática Internet Linux Macintosh MP3 Software Tecnologia Vírus Windows Faça sua pesquisa na Internet:

Comunidades como "Eu amo chocolate", que possuía quase 150 mil integrantes, e "Só mais 5 minutinhos...", com mais de 113 mil integrantes, simplesmente deixaram de ser controladas por seus fundadores e, de uma hora para outra, passaram ao controle de um usuário fictício de nome "Firefox Rules".

Aqui entra outro ingrediente da história: Wagner Martins, o MrManson, responsável pelo Cocadaboa, e Vinicius K-Max, ambos criadores do falso usuário, aproveitaram o ensejo para fazer propaganda do navegador Mozilla Firefox, que estaria imune à falha explorada no Internet Explorer. Em todas as comunidades desviadas também foi incluído um link para o site Cocadaboa. No total, foram 26 comunidades seqüestradas e mais de 700 mil usuários atingidos.

Apesar das alegadas boas intenções de MrManson e Vinicius K-Max, muita gente criticou suas atitudes. "Não preciso invadir e roubar uma casa para mostrar que a segurança dela não é boa. Havia outros meios de fazer isso", dispara Jaqueline Brandão, fundadora da comunidade "Eu amo chocolate" e uma das que mais lutou para reaver o que perdeu.

O Cocadaboa também foi acusado de ter se associado aos ataques apenas para se autopromover e alavancar o donwload do Mozilla Firefox, já que é um dos afiliados do programa Spread Firefox, criado para disseminar o uso do navegador entre os internautas e tomar fatias do mercado do Internet Explorer. Usuários do Orkut insatisfeitos chegaram a denunciar o Cocadaboa ao programa de afiliação por atitude abusiva. Outros inundaram os scrapbooks (lista de recados deixados por integrantes do Orkut no perfil de outros integrantes) de MrManson e Vinicus K-Max com centenas de mensagens geradas automaticamente.

Até o grupo Mozilla/Brasil, que promove o Firefox no país, chegou a publicar uma nota afirmando que nem a organização nem a Mozilla Foundation tiveram qualquer ligação com os ataques e condenando o ato. Um representante da comunidade do Firefox também postou um recado a MrManson afirmando que sua atitude estava denegrindo a imagem do navegador ao associar o nome do programa aos seqüestros das comunidades.

Wagner Martins admite que o seu site ganhou projeção e milhares de visitas extras com os ataques, mas questiona usando um jogo de palavras: "O Cocadaboa faz isso para ser bem visitado, ou o Cocadaboa é bem visitado porque é o único que faz isso?". Quanto ao programa de afiliação, ele garante que o site não recebe absolutamente nada pelo download do Firefox. "Como muitas pessoas e empresas ao redor do mundo, resolvemos aderir à campanha voluntária de divulgação do Firefox desde seu início porque acreditamos que é necessário haver opções. A competição vai fazer com que o Internet Explorer tenha que melhorar e sanar seus problemas para continuar no mercado, e isso é bom para todos".

De fato, o programa Spread Firefox não remunera seus afiliados, mas quem consegue estimular o maior número de downloads acumula pontos, que podem ser trocados depois por brindes, que vão de uma conta de e-mail personalizada até um reprodutor de música digital iPod, da Apple. Por outro lado, atitudes consideradas abusivas para induzir ao download do software podem ser punidas com a eliminação dos pontos ou o cancelamento da conta de afiliado.

Como foram feitos os ataques
O Cocadaboa é famoso por pregar trotes em internautas e na imprensa, mas dessa vez o site não estava mentindo. Porém, para não perder o hábito, exagerou na história. O que o site chamou de "estarrecedora descoberta", de fato não era nenhuma novidade. A falha do Internet Explorer, principal responsável pelos ataques, já era conhecida há dias e já havia sido divulgada pelas principais empresas de segurança, nos sites InfoGuerra e Terra Informática e em outros veículos. Já o chamado bug no Orkut não passou de uma implementação que facilitava a vida dos usuários da rede, mas que, por isso mesmo, foi aproveitada pelo atacante.

A vulnerabilidade no navegador da Microsoft, descoberta por um hacker de nome Paul e ainda sem correção definitiva, permite ataques do tipo cross site scripting e injeção de scripts, com possibilidades de forjar sites falsos para que pareçam verdadeiros, ou o seqüestro de sessões cuja autenticação se baseia em cookies. Esta segunda técnica foi aproveitada por Vinicius K-Max.

Outro ponto omitido pelo Cocadaboa foi o de que, apesar da atual ausência de patches para a falha do IE, não é realmente necessário chegar ao ponto de trocar de navegador, pois é possível se proteger dos ataques apenas alterando uma configuração do programa. Quem possui o Windows XP SP2 deve desativar especificamente um componente chamado controle ActiveX DHTML Edit, no qual se encontra a vulnerabilidade. Para isso, basta abrir o IE, acessar o item "Ferramentas" e depois "Gerenciar Complementos". Usuários de outras versões do Windows devem desabilitar a execução geral dos controles ActiveX aumentando o nível de segurança padrão do navegador, de "médio" para "alto". Isto é feito no menu "Ferramentas", "Opções da Internet", "Segurança".

Pouca gente sabe, mas Vinicius K-Max é a mesma pessoa que usava o apelido de VîÞ no grupo de defacers (desfiguradores de sites) Man in Hack (MIH), que esteve bastante ativo durante o ano de 2001 e chegou a "pichar" o site do Exército Brasileiro.

Para seqüestrar as comunidades do Orkut, ele criou uma página (já fora do ar) contendo um código malicioso que explorava a falha do IE. Este código usava um javascript para roubar as informações do cookie usado pelo Orkut para autenticar seus usuários. As informações eram redirecionadas para uma página PHP que, por sua vez, enviava os dados para uma conta de e-mail do atacante. De posse desse cookie, Vinicius K-Max injetava-o em seu próprio navegador e acessava o site do Orkut, que reconhecia o cookie. Assim, ele se fazia passar pelo dono das comunidades atacadas e, em seguida, transferia a responsabilidade pelas comunidades para o usuário Firefox Rules, criado por ele e por MrManson.

Para induzir os moderadores legítimos a acessarem a página com o código malicioso, ele usou de engenharia social. Criou um falso usuário, de nome Antonio Bitencourt e, com este perfil, deixou um recado no scrapbook dos moderadores contendo o seguinte texto:

"Parabens pela comunidade Fulano!
Conheci sua comunidade nesta reportagem
http://www.precisa-se.com.br/rir/noticias.asp?id=0234
Nao sei c vc ja conhecia, mas ai esta a dica!
Parabens!!"

O truque funcionou porque vários moderadores clicaram no link e porque o cookie do Orkut demora algumas horas para expirar. Esta demora evita que os usuários tenham de fazer a autenticação repetidas vezes num curto espaço de tempo, mas também facilitou o seqüestro da sessão de acesso à rede. "O Orkut tem um péssimo gerenciamento de cookies", afirma o atacante. "Eles demoram a expirar, além de não serem devidamente validados quando chegam ao servidor. Poderiam ser restritos ao número IP que os criou, por exemplo, mas não têm restrição alguma".

Só depois que os ataques tiveram sucesso é que o Cocadaboa entrou na história, segundo Jaqueline Brandão, da comunidade "Eu amo chocolate". "Todos os moderadores roubados viram a mensagem do 'ladrão' no scrapbook do dono do Cocadaboa, pedindo para que a notícia do roubo das comunidades fosse comentada no site. O Cocadaboa se apoderou da história e está agindo como se eles tivessem tido a idéia", afirma.

Ela também culpa o Orkut de descaso no incidente. "Os moderadores roubados entraram em contato com o Orkut diversas vezes e eles apenas disseram para pedirmos as comunidades de volta".

Problemas na devolução
Desde o dia 5 de janeiro, as comunidades começaram a ser devolvidas por Vinicius K-Max, mas agora ele está enfrentando um problema. Para que uma comunidade seja transferida, a pessoa que irá tomar posse precisa clicar em um link aceitando a ação. E alguns moderadores estão ausentes há dias.

Para piorar ainda mais a situação, Vinicius K-Max esqueceu de anotar quem era moderador de qual comunidade, e agora não consegue lembrar de todos. Assim, teve de passar pela situação um tanto vexatória de postar um pedido de ajuda na comunidade "Panelite ¿ SuperModeradores", que reúne os responsáveis por algumas das maiores comunidades do Orkut, para que eles o auxiliem a encontrar todos os antigos "donos". Cerca de dez comunidades ainda não foram devolvidas.

O incidente gerado teve uma repercussão tão grande, que a administração do Orkut resolveu mudar as regras e agora está exigindo, também desde o dia 5, que aquele que irá fazer a transferência insira sua senha. Isto evita transferências baseadas apenas na sessão de quem está "logado" no momento.

Perguntado se não teme que os advogados do Google ou Orkut o processem por seus atos, Wagner Martins não se abala: "Não fiz nada de errado. Acho que quem merecia ser processado eram eles, que negligenciam descaradamente a segurança de seus usuários. Quem disse que administração de sua vida social ou seus gostos pessoais não é algo importante? É mais importante do que dados bancários! Invadindo o perfil de Orkut de alguém , uma pessoa mal-intencionada pode causar um imenso transtorno, enviando mensagens falsas para amigos, namorada, chefe... Enfim, o que fizemos foi um ato inofensivo, não feriu ninguém. Se tivéssemos sido mais 'corretinhos', a coisa nunca atingiria as mesmas proporções para alertar tanta gente".