Archive for the ‘Bugs’ Category

Estamos ao vivo!!!

Novo vírus no orkut - Worm no orkutNarração ao vivo de uma grande empreitada: foi descoberto uma nova vulnerabilidade no orkut que permite a ação de um worm (vírus) dentro dele. Entre outras coisas, o worm permite o sequestro (roubo) de cookies do orkut. Traduzindo em miúdos, alguém pode simplesmente se logar com a sua conta. Não preciso dizer o quanto isso pode ser desagradável, certo? Narrarei daqui por diante, em tempo real, a ação, e provavelmente amanhã isso caia no mundo. Fiquem ligados. Com a ajuda do sempre presente Vinicius K-max, passaremos a vocês as descobertas que forem sendo relatadas pelo hacker.

20:40hs – Começaram os testes. A falha atinge o Firefox, mas o erro está no código do orkut e não na máquina da raposa. Começo promissor de uma empreitada. 

21:37hs –  “@justplay por enquanto o bug tá sigiloso. Já já tem worm novo* rodando e dominando o orkut. Dica: o autor é o mesmo do último “causo” :P 

Worm novo: um bot (robô) roda um programa que faz a caça dentro do orkut pela brexa. Encontrando, ele retorna um resultado positivo. A fase de testes é importante para saber como e de que forma a brexa pode ser explorada.

22:03hs – “O hacker conseguiu fazer o bug no orkut funcionar em qualquer browser. Awesome! Vou assistir de camarote e narrar aqui em tempo-real ;)  from TwitterFox

O que era um perigo apenas para quem usava Firefox no começo já tomou outro rumo. Embora a princípio o bug tivesse sido encontrado via firefox, o erro mostra-se no código fonte do google, e não no motor do navegador. Ou seja, o alerta pode passar a valer para muitas pessoas a partir de agora.  

22:23hs – “@danih Leia tudo pra entender o que vai acontecer de novo no orkut daqui a poucas horas: http://twurl.nl/ej6qbi 

A dica aqui foi para um post do Inagaki que tratava um tema similar: um worm no orkut. Seria o mesmo RodLac novamente atacando a brexa? O que vale é que os testes continuam a todo vapor e a coisa pode começar a esquentar em breve.

22:11hs – “De acordo com o programador, o worm no orkut vai ser inofensivo e inicialmente só vai mudar a foto do perfil dos usuários infectados. 

Basicamente o mesmo procedimento da citação anterior, onde o intuito é a baderna aparentemente.  Continuamos esperando novas notícias.

22:25hs – “Graças ao XSS no Orkut + uma falha na implementação do HTTPOnly do IE e Firefox, ainda é possível roubar o cookie: http://twurl.nl/kygwel  

Roubando cookie no orkut

A imagem mostra o sequestro de um cookie. Pode ser uma prova definitiva que o worm começa a ser explorado em todo seu potencial. 

23:41hs – “O vírus vai trocar a foto dos perfis infectados pela foto do próprio criador do Orkut, o Mr. Buyukkokten :P

Orkut Buyukkokten - Novo vírus no orkut - Worm no orkutO bom humor dessas investidas é algo que sempre me atraiu. Imagina que amanhã centenas (milhares?) de pessoas ficarão sem entender nada, quando olharem para a foto de seus perfis e ver que o próprio Orkut Buyukkokten esta no lugar de suas fotos originais. Tacada de mestre. No último ataque, as pessoas eram redirecionadas para uma comunidade criada especialmente para a ação, sendo que no momento de pico passou de 700.000 o número de integrantes da mesma. Se esse ataque se aproximar do outro em números, teremos a verdadeira febre “orkut” instalada nos perfis das pessoas. 

23:42hs – A foto que será usada na ação será essa que segue abaixo:

Orkut Buyukkokten

Sim, a mesma foto do perfil dele no orkut. Muito estranho falar que o orkut tem um perfil no orkut, certo? Eu nunca daria o meu nome para uma comunidade por causa das óbvias e manjadas brincadeiras. Imagina chegando no buteco e a galera: “E ai, entrou no Rafael ontem? Te mandei um recado lá!” ou pior “Minha comunidade dentro do Rafael já tem 200 pessoas!”.  Péssima referência. 

00:00hs – “Assim como da outra vez, o worm (que é o termo correto) também vai forçar o usuário infectado a entrar em uma determinada comunidade. less than a minute ago from TwitterFox

Em instantes, poderemos conhecer a comunidade que só ficará conhecida do grande público amanhã. Esse é o lado bom de acompanhar ao vivo uma ação como essa. Continuem por aqui que as coisas prometem esquentar de agora em diante. 

00:06hs – “Código testado e funcionando. Hospedando o JS externo pra dar início a propagação, que acho que vai ser um pouco mais lerda que da outra vez 

Agora começa oficialmente a empreitada. Eu de vocês ficaria longe do orkut até a coisa se resolver. Mas se quiser ver a confusão in loco, sinta-se a vontade.  

00:17hs – A galera tava em dúvida sobre o que por na descrição da comunidade. Como bom adepto do twitter e aproveitando a deixa da foto, sugeri a eles que tivesse mencionado o “Orkut Day”, o dia onde muitas pessoas estarão celebrando o Orkut em toda sua plenitude. Seja o que quer que isso signifique. Em breve veremos se minha idéia foi acatada ou rejeitada. 

01:51hs –  Êxito. Os primeiros 10 infectados já apareceram e a tendência é subir durante toda a madrugada. Porém, as estimativas é que o negócio estoure mesmo depois de meio-dia, quando é possível que a disseminação automática comece a mostrar resultados. O plantão continua, o café ta quentinho aqui e o freela que eu tinha que adiantar está ganhando atenção, não posso reclamar de nada hoje.

02:16hs – Momentos de aflição. Por algum motivo, parece que o worm não tava mais funcionando com pessoas que usam Internet Explorer.  Após minutos de pesquisa, dedução e dúvidas, o negócio voltou a funcionar normalmente. Pois é, Bill Gates, não foi dessa vez que você ajudou seus amigos do google. ;D

03:05hs – O café já acabou, mas o worm ta rodando bonito agora. O legal é ver que realmente tem gente acompanhando o ao vivo, embora ninguém tenha se manifestado formalmente ainda. Pode ser que role uma mudança nos planos de ação daqui por diante, estamos estudando algumas possibilidade no momento.

03:54hs – “Sobre o Orkut Worm V2: depois de longas horas trabalhando na dura compatibilidade com IE7, finalmente ajustamos tudo.

Tem uma galera que adora enfeitar, eu sou um deles. Não consigo fazer coisas pela metade, isso quando consigo me concentrar em algo. O Worm v2 dos caras segue essa linha, a coisa parece que ficou afinada, funcional, calibrada. Sr. Orkut, se você não lê o meu blog, é melhor assinar o feed logo. Isso faria com o que senhor poupasse tempo e provavelmente evitasse esse sequestro-relâmpago-virtual. Em breve, volto com alguma coisa nova.  

03:55hs – Contagem de infectados: 20 e subindo. Se lembrarmos que instantes (horas?) atrás estavamos com 10, é uma melhora já. E agora com tudo funcionando redondinho, a coisa vai decolar finalmente.

04:08hs – Na comunidade Super Liga dos Moderadores, ta rolando o tópico iniciado pelo Fábio (possívelmente membro da Linha Defensiva, do Uol) declarando “ter sido notificado” a respeito da nova falha de XSS do Orkut. Na sequência ele revela um suposto esquema aos outros membros, explicando detalhes. 

Orkut worm

04:38hs – Assim que acordar, continuarei as atualizações aqui. Fique ligado. ;)

07:30hs – “A dúvida é: o staff do Orkut vai fechar o XSS antes do worm deslanchar ou o código foi mesmo um fiasco (mais provável)? Fui dormir :*

A lentidão para o código se espalhar sem dúvidas é um diferencial. Ao contrário da última vez, quando a coisa fluiu muito bem, dessa vez  o worm não se espalhou como previsto.  

12:14hs – Parece que a galera dormiu muito.  O número de infectados chega a mais de 100 agora, o ritmo parece bem lento mesmo. To procurando os responsáveis para saber o que anda rolando.

19:17hs – “Vulnerabilidade grave no orkut continua. Corrigiram parcialmente e porcamente. Esses programadores corporativos… Mestres.

Quase 24 horas de brincadeira. Parece que rolou uma correção parcial por parte do staff do orkut, mas o bug não foi completamente corrigido. Começa agora outra maratona em busca do worm perfeito.

08:45hs – Finalizando.

Embora o bug ainda exista e mais testes estejam sendo feitos, chegou a hora de encerrar a maratona live hacking. Como dessa vez a velocidade de propagação do worm está BEM menor que da vez anterior, será meio difícil que esse seja um bug conhecido pela massa e que cause pânico e caos dentro da orkutesfera. A dica que eu deixo de qualquer forma é aquela ja manjada: evitem clicar em links desconhecidos, marotos e estratégicamente alocados por ai, pois a curiosidade por mais que seja grande acaba saindo cara. Se por algum acaso o worm tomar maiores proporções nas próximas horas, eu voltarei aqui para avisar. Mas por hora parece que o staff do orkut tem a faca e o queijo na mão. O saldo foi positivo, mas uma mudança de postura do internauta comum do orkut aliada a um lance de pura sorte na investigação do bug impossibilitou uma infecção em massa dessa vez. Paciência, e melhor sorte pro hacker na próxima vez. 

A qualquer momento, novas informações sobre o caso. Voltamos agora com a nossa programação normal. 

Bug no Google Chrome: Hackers começaram a brincar já!

Posted on setembro 3rd, 2008 by Rafael R

Mural da Comunicação

Quentinha, direto do Evilfingers.com: contrariando o que foi dito na apresentação do Google Chrome, parece que já conseguiram um código malicioso que consegue atingir todas as abas do navegador clean. A famosa mensagem de erro é mostrada, e mais detalhes podem ser vistos na íntegra no artigo (print abaixo):

Bug no Google Chrome

Já é sabido por todos que quando um hype surge, muita gente tenta a todo custo se aproveitar um pouco para aparecer de alguma forma. Então, mesmo com o surgimento desse primeiro bug, podemos supor que outros surgirão em breve numa tentativa de atrair os olhares. Apesar de ser talvez o primeiro bug reportado, não enxerguei nele ainda muita gravidade. 

De qualquer forma, estamos alertas para outros bugs mais sérios que possam aparecer. Aliás, tks @viniciuskmax por colaborar com o link da parada. E sim, esse foi um post feito no Chrome. Depois falarei sobre minhas impressões, a quem possa interessar.

*Nota: O uso do termo hackers, no título, é apenas ilustrativo. Talvez numa tentativa de angariar visitas a mais, associando Google Chrome a hackers. Toda iniciativa visando o SEO é sempre bem vinda nesse blog, mesmo que tais procedimentos não agradem a todos.


Update importante
: Ta rolando uma discussão amistosa na Full-Disclosure, a lista de discussão do Security Focus, onde o pessoal está praticamente intimando o hacker HD Moore a produzir um exploit para exploração dessa falha. Se isso realmente acontecer, a coisa pode tomar outro rumo. A verdade é que, como sempre, vale aquela regrinha: evite sites suspeitos, não clique em links que chegam por e-mail (spam) e cuide da sua navegação. A curiosidade nessas horas sempre custa caro. E é impressionate o quanto a galera da lista está anciosa por isso, continuarei monitorando as conversas. 

Update importante 2: A citação no Gizmodo não passou despercebida. Valeu e continuem o ótimo trabalho. :)

Procurando fotografia? A Cia de Foto pode ajudar!

Posted on maio 23rd, 2008 by Rafael R

Boas novas para os amantes da fotografia[bb]. A Cia de Foto deu início a uma nova fase na sua história, abrindo o que eles chamam de “caixa de sapatos onde guardamos lembranças e história” e publicando no flickr (Cia de Foto) diversas fotos que podem ser baixadas para seu uso próprio. Tudo o que eles pedem em troca é que você deixe um recado dizendo no que exatamente pretende usar as fotos deles.

A ousadia dos temas é algo que chama a atenção. Aliás, ousadia é certamente a palavra chave da Cia de Fotos, seja qual for o tema da fotografia. O trabalho de produção e pós-produção das fotos é impecável, chegando a causar a impressão de você estar visitando uma exposição visual. E novamente a ousadia em liberar os direitos de imagem das fotos para que qualquer pessoa possa utilizar é algo que eu particularmente jamais havia visto.

O direito de uso é aplicado para distribuição e edição. Traduzindo em miúdos, você pode inclusive usar as fotos para suas publicações online e offline que não tem problema. O único requisito, repito, é que os informe sobre o uso que pretende fazer da imagem. Obviamente, eu informei sobre o uso dessas fotos que coloquei nesse post. Ótima dica para quem quer ilustrar algum texto[bb] com fotos de ótima qualidade, diga-se de passagem.

Use com criatividade! ;)

Garotas, carros e muita atenção!

Posted on maio 6th, 2008 by Rafael R

ImageShack As vezes me perguntam sobre as coisas que eu gosto. Raras vezes respondo, ultimamente não tenho sido bom para conversas devido motivos que sinceramente não sei explicar. Como são raras as vezes que posso conciliar algo útil com algo agradável, falarei aqui do meu gosto pela velocidade.

Tudo começou quando eu tinha 10, 11 anos. Eu sempre gostei de carros, desde que me lembro por gente, mas nessa idade meu pai se propôs a me ensinar a dirigir. Seria algo mais ou menos nos moldes “se você for bem na escola, te ensino a dirigir” e nesse quesito eu não poderia estar melhor. Sempre tive facilidade de aprender, podendo me dar ao luxo de participar da turminha do fundão e ainda assim tirar boas notas. Com uma motivação dessas, seria impossível não levar a escola a sério dali por diante. E assim o fiz. Com a chegada do boletim, tudo ficou mais fácil, e eu poderia enfim aprender a dirigir e cair na estrada da vida. Ledo engano, mas não custava nada sonhar.

E lá fomos nós para a casa da serra da cantareira, em um condomínio fechado com altas subidas e descidas. Era um lugar propício para o aprendizado, certamente. Tudo que recebi de dica naquele primeiro momento foi: “Embreagem devagar, soltando e acelerando, o carro anda, boa sorte e faça essa subida 20 vezes!”. Vago, confuso mas o que importava era eu estar ao volante. E lá fui eu empenhado na função que me faria enxergar a vida de outra forma.

ImageShack Lá pela sétima ou oitava tentativa, e pela segunda vez que eu consegui sem deixar morrer o carro, já estava saturado. Eu queria aventuras, queria ganhar a estrada e seguir sem rumo. Mal sabia que isso demoraria mais alguns bons meses de subir a ladeira sem deixar o carro[bb] morrer, balisas para alguém que só iria estacionar nessas condições anos depois, ao tirar a carteira, treinando em ruas sem movimento pra depois entender que dirigir no trânsito você precisa ter outras noções que as ruas vazias não dão, eu sentia que tava algo errado. E aprendi algo que, sem me tocar, é necessário em vários momentos da sua vida. Você precisa TREINAR para chegar ao seu melhor, você precisa tornar automático a reação diante de algum estímulo.

Foi mais ou menos nessa época que eu desisti de ser caminhoneiro. Imagina cruzar a régis até Curitiba andando a 40 km/h, não deve ser nada divertido. E o treino também não evitou que aquele maldito chevette viesse na contra-mão certa vez, atingindo meu carro de frente sem chances de reação, e o filho da puta bêbado que se negou a pagar meu carro porque sabia que eu era menor de idade. Tudo bem, o maldito não sabia o que fazia e meu saldo bancário nunca mais foi o mesmo, mas é algo que você deve pagar pra aprender.

E pra enfeitar um pouco mais a história, obviamente, as mulheres que seguram guarda-chuvas pros pilotos de fórmula 1, além de outras categorias. Certamente, é um atrativo que não deve ser evitado pelos olhos e que fazem com que você se empenhe um pouco mais pra ganhar uma corrida. Imagina? “Pô, você ficou do lado daquele Rubinho pé de chinelo cara que não acelera muito e perde as corridas.” Recebi as fotos por e-mail com os dizeres “Embaladas a vácuo”, e acredito que usar calcinha nessas condições seja prejudicial a geografia da coisa, melhor ainda.

Aliás, fotos de mulheres sem roupas, nuas e sem calcinha são o principal motivo da visita de pessoas nesse blog, segundo o relatório de visitas. Então entendam esse monte de letra em volta das fotos como uma moldura digital. ;)

Update: e caso queira conhecer um verdadeiro blog com noticias de celebridades, conheça o Zaranapoli. Recebi a dica por e-mail também, assim como as fotos, e vale a divulgação gratuita. Qualquer vodka como retribuição será sempre bem vinda.

Dicas: Como se comportar bem na Internet!

Posted on abril 25th, 2008 by Rafael R

Atendendo o chamado do Movimento Blog Voluntário, diversas pessoas estão postando hoje (irão postar amanhã e depois também!) pequenos manuais, dicas e tutoriais para aqueles menos afortunados que possuem pouco ou nenhum conhecimento sobre informática[bb] e internet. Impossível não participar de algo tão simples, bacana e com potencial assim. Afinal de contas, a gente pode ajudar um pouquinho aqui e outro pouquinho ali pra somar forças e tornar o mundo um pouco melhor, mesmo que seja difícil acreditar. É por isso que é justo pagar pra ver com ações assim, né?

Durante esse movimento eu vou estar aqui linkando o que encontrar de interessante e relevante com o que postei, numa forma de agradecimento a todos que participam do movimento. Ok, não tenho PR suficiente para isso ser considerado um “grande brinde”, mas acho que a proposta desses posts com certeza não vai ser essa, levar a sério e buscar resultados expressivos.

A quem for participar, obrigado. São de mais pessoas como nós que o mundo precisa. Boa leitura!

Como se comportar bem na Internet

Seguem algumas dicas que podem ser seguidas:

1. Lembre-se que, mesmo estando sozinho no seu quarto ou isolado numa lan house, você sempre tem companhia no outro lado da linha.

2. Muito cuidado com as palavras, porque o papo nunca é como se estivesse de cara a cara.

3. Não tecle palavras que você não digitaria se não estivesse emocionalmente alterado, ou frente a frente com a pessoa. Seja comedido com o que diz para e sobre os outros; você não é a única pessoa que se comunica na Internet; mais alguns milhões de pessoas também o fazem. Portanto, pense bem antes de enviar mensagens com informações pessoais para newsgroups, listas de discussão ou mesmo para endereços particulares.

4. Como e-mail não é contato face a face, é difícil expressar o seu real sentimento. Certos comentários seus podem esconder um duplo sentido. Para compensar este estado de coisas, a rede desenvolveu símbolos denominados emotions ou smiles. São carinhas: alegres, tristes, sérias, bravas, etc. Use esta forma com moderação.

5. Geralmente, as pessoas na internet vão lhe conhecer através da sua escrita. Portanto, muito cuidado com o nosso português, evitando ao máximo os erros gramaticais.

6. Não dê muitas voltas para expressar suas mensagens. Quanto mais curtas e objetivas, melhor. As pessoas não tem tempo a perder, lendo mensagens longas.

7. Se precisar incluir mensagem de outrem, faça-o em parte para ativar a memória. Não é necessário incluir a mensagem inteira.

8. Ao enviar mensagens para listas ou newsgroups, esteja certo de que você leu toda a discussão antes de responder, pois pode ser que alguém já tenha dito o que você quer saber.

9. A linha do subject de uma mensagem é primordial para alguém com uma caixa postal abarrotada decidir se vai ou não ler a sua mensagem. Seja claro e conciso ao expressar o assunto da mensagem, evitando títulos vagos ou incompreensíveis.

10. “Assinaturas” são informações que podem ser colocadas automaticamente no final de sua mensagem para ajudar os leitores a lhe localizarem. Uma assinatura com nome, telefone e celular é geralmente suficiente. Evite assinaturas longas e grafismos rebuscados que além de serem cansativos em listas, contribuem para congestionar as linhas de comunicação.

14. Cuidado ao enviar artigos, letras de músicas, resenhas de livros ou qualquer outra coisa que seja sujeita a copyright. Evite, dentro do possível, incluir esses tipos de documentos em sua correspondência em respeito aos direitos autorais (copyright).

15. Não use textos alheios como sendo de sua autoria. A mentira tem perna curta. Inclusive, o plágio é previsto em lei e você poderá receber um processo por essa prática, o que certamente não vai te ajudar na sua vida.

16. Ao copiar um programa disponível na rede, verifique se o mesmo é de domínio público ou se seu uso implica no pagamento de algum tipo de taxa, como é usual acontecer com programas shareware.

17. Não faça uso da rede para divulgar idéias racistas, neonazistas, pedofilias, prostituição, terrorismo, etc.

18. Antes de executar programas obtidos via rede, certifique-se de que a defesa antivírus de seu computador estão acionadas.

Finalizando

Quando estiver na internet, lembre-se que não se trata efetivamente de uma “segunda vida”, como muitos podem imaginar. Se trata apenas de uma FERRAMENTA que você usa para se comunicar com pessoas. Você recebe informações, você passa informações. Nunca encare isso como um mito, é tudo muito simples e prático. Nos últimos anos, inclusive, muitos sites e programas surgiram para facilitar ainda mais as pessoas a obterem aquilo que procuravam.

Para entender perfeitamente, imagine-se numa situação em que esteja interagindo com seus amigos da escola, da faculdade, do trabalho, da sua rua. Você pergunta, elas respondem. Elas perguntam, você responde. A base da internet é essa. A comunicação, com suas diversas variações.

Evite achar que você pode ter uma vida diferente, pode ter uma vida melhor, pode ser alguém que não é. Tudo o que estará fazendo é frustrando as pessoas que você atinge e você mesmo, que passará a acreditar naquilo que inventou.