Return Zero

Google anunciou o lançamento da sua plataforma OpenSocial. Ela vai permitir que programadores desenvolvam aplicativos para vários sites como MySpace, Orkut, e muitos outros. Se você já usou o Facebook, sabe do que estou falando.

São aplicativos na grande parte completamente inúteis, mas que todo mundo adora. Comparar gostos de filmes, jogos, frescuras para enfeitar seu profile, etc. Tudo interagindo com os outros usuários.

A grande diferença é que os aplicativos do Facebook só funcionam nele; mas no OpenSocial vários site irão fazer parte. A plataforma é totalmente aberta.

Não sou vidente e não vou ficar fazendo previsões sem fundamento, mas o pessoal do Facebook deve estar bastante preocupado XD

Pelo que eu vi ainda não dá para instalar os aplicativos. O acesso para programadores ainda não está totalmente aberto, eu me inscrevi lá, vamos ver se liberam…

***

Mas é claro que uma plataforma tão integrada vai acabar em problemas: já foi descoberta um falha de segurança gigantesca através de XSS no OpenSocial que permite um aplicativo ter controle total sob suas credenciais, significando que ele pode alterar o seu profile, roubar suas senhas, e outras coisas desagradáveis.

Tenham medo.

O computador mais poderoso do mundo entrou em operação recentemente. Até então, o número 1 na lista era o BlueGene/L da IBM, usado em estudo biomolecular no Lawrence Livermore National Laboratory. Só que este novo computador, que na verdade é uma rede de milhões de computadores, é muito mais poderoso que o BlueGene. Legal, não? Não.

O computador mais poderoso do mundo consiste numa rede de PC’s infectados pelo Storm worm, um vírus.

A maioria das pessoas não pára para pensar de onde vêm e para que servem os vírus, worms e companhia. Serão desocupados que não tem nada melhor para fazer e que ficam se divertindo em ferrar o PC dos outros? Alguns podem até ser, mas a grande maioria dos vírus não foi feita para encher seu saco ou para te ferrar, mas sim para dar dinheiro para seus criadores.

Quando seu PC é infectado, ele pode ser controlado por outras pessoas - são os chamados backdoors. Isso, por si só, pode ser usado para inúmeros fins maliciosos, mas o mais lucrativo é para enviar spams. Essa rede gigantesca de computadores infectados (também chamados de zumbis ou bots) é capaz de enviar bilhões de spams, o que gera um grande lucro para seus controladores.

Outro uso para esssa botnet é para realizar ataques de DDoS. É um conceito simples: toda vez que você acessa uma página na internet, o servidor que serve esta página leva um certo tempo para realizar a sua requisição. Mas e se você controlar milhares de computadores, e mandarem todos acessarem um site específico? O servidor não agüenta a sobrecarga e sai do ar. Agora, a botnet do Storm é tão poderosa que pode tirar até países inteiros da Internet.

Em termos de poder, [a botnet] supera totalmente os supercomputadores. Se você somar todos os 500 maiores supercomputadores, ela supera-os totalmente com apenas 2 milhões de suas máquinas. É assustador que criminosos tenham acesso a tanto poder computacional, mas não há muita coisa que possamos fazer a respeito.
- Matt Sergeant do MessageLabs

É realmente assustador. Mas o que pode ser feito a respeito? O worm se espalha não explorando falhas de segurança, mas explorando a inocência dos usuários. A engenharia social é, de longe, o método mais eficaz para se infectar um PC. A única solução é educar e conscientizar os usuários a não cair nos golpes que recebem por e-mail, mas será que isso vai acontecer algum dia?

O último rebuliço na net foram os pedidos da MPAA e AACS LA para a remoção de uma chave criptográfica que permite a cópia de HD DVD’s (nova geração de DVD’s) de vários sites que a publicavam.

Tal chave é um número, que em base hexadecimal, consiste em 16 pares de 2 dígitos e letras. Ela foi obtida no final do ano passado por um hacker e permitiu a criação de um programa para se copiar HD DVD’s. Com base na DMCA (uma lei americana que considera crime a divulgação de técnicas para evitar mecanismos de proteção de copyright), a MPAA (que já tem um grande histórico em incomodar e processar pessoas) saiu distribuindo avisos de violação do DMCA.

O absurdo da história é eles considerarem um número ilegal. Já aconteceu um rolo parecido com os DVD’s, cuja criptografia também foi quebrada. Só que naquele caso, o que foi “censurado” foi um algoritmo. Dessa vez, é um simples número… (sim, dá para transformar um algoritmo em número, mas essa já é outra história).

E é claro que o pessoal não deixou por menos. O número começou a se espalhar por todos os cantos: o Google dá 1.470.000 resultados para a sua busca; o Digg recebeu várias submissões envolvendo os número que acabaram sendo censuradas (depois voltaram atrás e permitiram, após revolta dos usuários); postaram na Wikipedia, mas os administradores deletaram; já fizeram camisetas com sem ele.

Esse foi um caso clássico do “efeito Streisand“: quando mais tentam censurar alguma coisa, mais ela irá se espalhar. E não dá para entender a insistência das empresas de entretenimento em tentar impedir a pirataria: sempre dão um jeito de piratear tudo. Se você pode ver ou ouvir, você pode gravar, e portanto pode piratear. Não há o que fazer, e todos esses mecanismos de proteção só incomodam os usuários: os legítimos precisam fazer montes de coisas para provar que são legítimos, e quem pirateia consegue assistir / ouvir de qualquer jeito.

Como disse Bruce Shneier, o papa da criptografia [eu quero essa camiseta!]:

Se você tem um aquivo digital - texto, música, vídeo, qualquer coisa - você pode fazer quantas cópias quiser dele e fazer o que quiser com as cópias. Essa é a lei natural do mundo digital (…) O que a indústria de entretenimento está tentando fazer é usar tecnologia para contradizer aquela lei natural. Eles querem um modo prático de fazer com que as cópias sejam difíceis o bastante de se fazer para salvar o seu negócio. Mas eles estão destinados a falhar.

Saiu o WordPress 2.0.7: sim, uma semana depois do 2.0.6. Outra falha de segurança foi descoberta, dessa vez no próprio PHP; portanto a culpa nem era deles.

Só estão vulneráveis aqueles cujos servidores rodam PHP 4 anterior a 4.4.3 ou PHP 5 anterior a 5.1.4 com o register_globals setado (o que é uma má idéia, pra começo de conversa). No caso, um atacante pode executar código PHP arbritário sem intervenção de ninguém.

Todos devem atualizar, pois além da falha ter sido contornada, alguns outros bugs também foram resolvidos (um deles nas feeds RSS). Se você tem o 2.0.6, só é necessário dar upload nesses arquivos:

• wp-admin/inline-uploading.php
• wp-admin/post.php
• wp-includes/classes.php
• wp-includes/functions.php
• wp-includes/version.php
• wp-settings.php

Não, não é pra ser cópia descarada do post do Clow (embora que tenha visto lá primeiro), mas: foi lançado o WordPress 2.0.6.

O principal motivo pelo qual é importante atualizar é que essa atualização conserta uma falha de segurança. (Para atualizar, baixe a última versão, e dê upload de tudo pro servidor.) Claro que eles não dizem de cara qual é a falha, então fui fuçar no bug tracker deles.

A falha de segurança permite um ataque de XSS nos comentários, no campo URL. Usando uma URL especialmente montada, o atacante pode inserir um comentário cuja URL, ao ser clicada, executa código javascript arbritário. Por exemplo, ele pode criar uma URL que envie todos os seus cookies para um servidor controlado por ele. Caso você esteja logado no seu WordPress e clique no link do autor do comentário no seu blog, o atacante terá acesso aos seus cookies e poderá logar como você, e a partir daí fazer o que quiser - postar por você, alterar posts, ou deletar todo o seu blog.

A solução é simples - atualize seu WordPress - mas também uma dica importante é ter o hábito de olhar o endereço para qual o link no qual você está prestes a clicar irá te levar. Se vir coisas suspeitas começando com “javascript:”, não clique.

(Um dia vou explicar melhor aqui o que é XSS)