Ao vivo: Novo vírus no orkut! Narração dos eventos em tempo real!
Posted on setembro 29th, 2008 by Rafael R
Estamos ao vivo!!!
Narração ao vivo de uma grande empreitada: foi descoberto uma nova vulnerabilidade no orkut que permite a ação de um worm (vírus) dentro dele. Entre outras coisas, o worm permite o sequestro (roubo) de cookies do orkut. Traduzindo em miúdos, alguém pode simplesmente se logar com a sua conta. Não preciso dizer o quanto isso pode ser desagradável, certo? Narrarei daqui por diante, em tempo real, a ação, e provavelmente amanhã isso caia no mundo. Fiquem ligados. Com a ajuda do sempre presente Vinicius K-max, passaremos a vocês as descobertas que forem sendo relatadas pelo hacker.
20:40hs – Começaram os testes. A falha atinge o Firefox, mas o erro está no código do orkut e não na máquina da raposa. Começo promissor de uma empreitada.
21:37hs – “@justplay por enquanto o bug tá sigiloso. Já já tem worm novo* rodando e dominando o orkut. Dica: o autor é o mesmo do último “causo” :P ”
Worm novo: um bot (robô) roda um programa que faz a caça dentro do orkut pela brexa. Encontrando, ele retorna um resultado positivo. A fase de testes é importante para saber como e de que forma a brexa pode ser explorada.
22:03hs – “O hacker conseguiu fazer o bug no orkut funcionar em qualquer browser. Awesome! Vou assistir de camarote e narrar aqui em tempo-real ;) about 1 hour ago from TwitterFox”
O que era um perigo apenas para quem usava Firefox no começo já tomou outro rumo. Embora a princípio o bug tivesse sido encontrado via firefox, o erro mostra-se no código fonte do google, e não no motor do navegador. Ou seja, o alerta pode passar a valer para muitas pessoas a partir de agora.
22:23hs – “@danih Leia tudo pra entender o que vai acontecer de novo no orkut daqui a poucas horas: http://twurl.nl/ej6qbi ”
A dica aqui foi para um post do Inagaki que tratava um tema similar: um worm no orkut. Seria o mesmo RodLac novamente atacando a brexa? O que vale é que os testes continuam a todo vapor e a coisa pode começar a esquentar em breve.
22:11hs – “De acordo com o programador, o worm no orkut vai ser inofensivo e inicialmente só vai mudar a foto do perfil dos usuários infectados.
Basicamente o mesmo procedimento da citação anterior, onde o intuito é a baderna aparentemente. Continuamos esperando novas notícias.
22:25hs – “Graças ao XSS no Orkut + uma falha na implementação do HTTPOnly do IE e Firefox, ainda é possível roubar o cookie: http://twurl.nl/kygwel … ”
A imagem mostra o sequestro de um cookie. Pode ser uma prova definitiva que o worm começa a ser explorado em todo seu potencial.
23:41hs – “O vírus vai trocar a foto dos perfis infectados pela foto do próprio criador do Orkut, o Mr. Buyukkokten :P ”
O bom humor dessas investidas é algo que sempre me atraiu. Imagina que amanhã centenas (milhares?) de pessoas ficarão sem entender nada, quando olharem para a foto de seus perfis e ver que o próprio Orkut Buyukkokten esta no lugar de suas fotos originais. Tacada de mestre. No último ataque, as pessoas eram redirecionadas para uma comunidade criada especialmente para a ação, sendo que no momento de pico passou de 700.000 o número de integrantes da mesma. Se esse ataque se aproximar do outro em números, teremos a verdadeira febre “orkut” instalada nos perfis das pessoas.
23:42hs – A foto que será usada na ação será essa que segue abaixo:
Sim, a mesma foto do perfil dele no orkut. Muito estranho falar que o orkut tem um perfil no orkut, certo? Eu nunca daria o meu nome para uma comunidade por causa das óbvias e manjadas brincadeiras. Imagina chegando no buteco e a galera: “E ai, entrou no Rafael ontem? Te mandei um recado lá!” ou pior “Minha comunidade dentro do Rafael já tem 200 pessoas!”. Péssima referência.
00:00hs – “Assim como da outra vez, o worm (que é o termo correto) também vai forçar o usuário infectado a entrar em uma determinada comunidade. less than a minute ago from TwitterFox”
Em instantes, poderemos conhecer a comunidade que só ficará conhecida do grande público amanhã. Esse é o lado bom de acompanhar ao vivo uma ação como essa. Continuem por aqui que as coisas prometem esquentar de agora em diante.
00:06hs – “Código testado e funcionando. Hospedando o JS externo pra dar início a propagação, que acho que vai ser um pouco mais lerda que da outra vez …
Agora começa oficialmente a empreitada. Eu de vocês ficaria longe do orkut até a coisa se resolver. Mas se quiser ver a confusão in loco, sinta-se a vontade.
00:17hs – A galera tava em dúvida sobre o que por na descrição da comunidade. Como bom adepto do twitter e aproveitando a deixa da foto, sugeri a eles que tivesse mencionado o “Orkut Day”, o dia onde muitas pessoas estarão celebrando o Orkut em toda sua plenitude. Seja o que quer que isso signifique. Em breve veremos se minha idéia foi acatada ou rejeitada.
01:51hs – Êxito. Os primeiros 10 infectados já apareceram e a tendência é subir durante toda a madrugada. Porém, as estimativas é que o negócio estoure mesmo depois de meio-dia, quando é possível que a disseminação automática comece a mostrar resultados. O plantão continua, o café ta quentinho aqui e o freela que eu tinha que adiantar está ganhando atenção, não posso reclamar de nada hoje.
02:16hs – Momentos de aflição. Por algum motivo, parece que o worm não tava mais funcionando com pessoas que usam Internet Explorer. Após minutos de pesquisa, dedução e dúvidas, o negócio voltou a funcionar normalmente. Pois é, Bill Gates, não foi dessa vez que você ajudou seus amigos do google. ;D
03:05hs – O café já acabou, mas o worm ta rodando bonito agora. O legal é ver que realmente tem gente acompanhando o ao vivo, embora ninguém tenha se manifestado formalmente ainda. Pode ser que role uma mudança nos planos de ação daqui por diante, estamos estudando algumas possibilidade no momento.
03:54hs – “Sobre o Orkut Worm V2: depois de longas horas trabalhando na dura compatibilidade com IE7, finalmente ajustamos tudo. ”
Tem uma galera que adora enfeitar, eu sou um deles. Não consigo fazer coisas pela metade, isso quando consigo me concentrar em algo. O Worm v2 dos caras segue essa linha, a coisa parece que ficou afinada, funcional, calibrada. Sr. Orkut, se você não lê o meu blog, é melhor assinar o feed logo. Isso faria com o que senhor poupasse tempo e provavelmente evitasse esse sequestro-relâmpago-virtual. Em breve, volto com alguma coisa nova.
03:55hs – Contagem de infectados: 20 e subindo. Se lembrarmos que instantes (horas?) atrás estavamos com 10, é uma melhora já. E agora com tudo funcionando redondinho, a coisa vai decolar finalmente.
04:08hs – Na comunidade Super Liga dos Moderadores, ta rolando o tópico iniciado pelo Fábio (possívelmente membro da Linha Defensiva, do Uol) declarando “ter sido notificado” a respeito da nova falha de XSS do Orkut. Na sequência ele revela um suposto esquema aos outros membros, explicando detalhes.
04:38hs – Assim que acordar, continuarei as atualizações aqui. Fique ligado. ;)
07:30hs – “A dúvida é: o staff do Orkut vai fechar o XSS antes do worm deslanchar ou o código foi mesmo um fiasco (mais provável)? Fui dormir :* ”
A lentidão para o código se espalhar sem dúvidas é um diferencial. Ao contrário da última vez, quando a coisa fluiu muito bem, dessa vez o worm não se espalhou como previsto.
12:14hs – Parece que a galera dormiu muito. O número de infectados chega a mais de 100 agora, o ritmo parece bem lento mesmo. To procurando os responsáveis para saber o que anda rolando.
19:17hs – “Vulnerabilidade grave no orkut continua. Corrigiram parcialmente e porcamente. Esses programadores corporativos… Mestres. ”
Quase 24 horas de brincadeira. Parece que rolou uma correção parcial por parte do staff do orkut, mas o bug não foi completamente corrigido. Começa agora outra maratona em busca do worm perfeito.
08:45hs – Finalizando.
Embora o bug ainda exista e mais testes estejam sendo feitos, chegou a hora de encerrar a maratona live hacking. Como dessa vez a velocidade de propagação do worm está BEM menor que da vez anterior, será meio difícil que esse seja um bug conhecido pela massa e que cause pânico e caos dentro da orkutesfera. A dica que eu deixo de qualquer forma é aquela ja manjada: evitem clicar em links desconhecidos, marotos e estratégicamente alocados por ai, pois a curiosidade por mais que seja grande acaba saindo cara. Se por algum acaso o worm tomar maiores proporções nas próximas horas, eu voltarei aqui para avisar. Mas por hora parece que o staff do orkut tem a faca e o queijo na mão. O saldo foi positivo, mas uma mudança de postura do internauta comum do orkut aliada a um lance de pura sorte na investigação do bug impossibilitou uma infecção em massa dessa vez. Paciência, e melhor sorte pro hacker na próxima vez.
A qualquer momento, novas informações sobre o caso. Voltamos agora com a nossa programação normal.