Estamos ao vivo!!!
Narração ao vivo de uma grande empreitada: foi descoberto uma nova vulnerabilidade no orkut que permite a ação de um worm (vírus) dentro dele. Entre outras coisas, o worm permite o sequestro (roubo) de cookies do orkut. Traduzindo em miúdos, alguém pode simplesmente se logar com a sua conta. Não preciso dizer o quanto isso pode ser desagradável, certo? Narrarei daqui por diante, em tempo real, a ação, e provavelmente amanhã isso caia no mundo. Fiquem ligados. Com a ajuda do sempre presente Vinicius K-max, passaremos a vocês as descobertas que forem sendo relatadas pelo hacker.
20:40hs – Começaram os testes. A falha atinge o Firefox, mas o erro está no código do orkut e não na máquina da raposa. Começo promissor de uma empreitada.
21:37hs – “@justplay por enquanto o bug tá sigiloso. Já já tem worm novo* rodando e dominando o orkut. Dica: o autor é o mesmo do último “causo” :P about 1 hourago from TwitterFox in reply to justplay”
Worm novo: um bot (robô) roda um programa que faz a caça dentro do orkut pela brexa. Encontrando, ele retorna um resultado positivo. A fase de testes é importante para saber como e de que forma a brexa pode ser explorada.
22:03hs – “O hacker conseguiu fazer o bug no orkut funcionar em qualquer browser. Awesome! Vou assistir de camarote e narrar aqui em tempo-real ;) about 1 hour ago from TwitterFox”
O que era um perigo apenas para quem usava Firefox no começo já tomou outro rumo. Embora a princípio o bug tivesse sido encontrado via firefox, o erro mostra-se no código fonte do google, e não no motor do navegador. Ou seja, o alerta pode passar a valer para muitas pessoas a partir de agora.
22:23hs – “@danih Leia tudo pra entender o que vai acontecer de novo no orkut daqui a poucas horas: http://twurl.nl/ej6qbi about 1 hour ago from TwitterFox in reply to danih”
A dica aqui foi para um post do Inagaki que tratava um tema similar: um worm no orkut. Seria o mesmo RodLac novamente atacando a brexa? O que vale é que os testes continuam a todo vapor e a coisa pode começar a esquentar em breve.
22:11hs – “De acordo com o programador, o worm no orkut vai ser inofensivo e inicialmente só vai mudar a foto do perfil dos usuários infectados. 36 minutesago from web”
Basicamente o mesmo procedimento da citação anterior, onde o intuito é a baderna aparentemente. Continuamos esperando novas notícias.
22:25hs – “Graças ao XSS no Orkut + uma falha na implementação do HTTPOnly do IE e Firefox, ainda é possível roubar o cookie: http://twurl.nl/kygwel … 25 minutesago from TwitterFox”

A imagem mostra o sequestro de um cookie. Pode ser uma prova definitiva que o worm começa a ser explorado em todo seu potencial.
23:41hs – “O vírus vai trocar a foto dos perfis infectados pela foto do próprio criador do Orkut, o Mr. Buyukkokten :P2 minutes ago from TwitterFox”
O bom humor dessas investidas é algo que sempre me atraiu. Imagina que amanhã centenas (milhares?) de pessoas ficarão sem entender nada, quando olharem para a foto de seus perfis e ver que o próprio Orkut Buyukkokten esta no lugar de suas fotos originais. Tacada de mestre. No último ataque, as pessoas eram redirecionadas para uma comunidade criada especialmente para a ação, sendo que no momento de pico passou de 700.000 o número de integrantes da mesma. Se esse ataque se aproximar do outro em números, teremos a verdadeira febre “orkut” instalada nos perfis das pessoas.
23:42hs – A foto que será usada na ação será essa que segue abaixo:

Sim, a mesma foto do perfil dele no orkut. Muito estranho falar que o orkut tem um perfil no orkut, certo? Eu nunca daria o meu nome para uma comunidade por causa das óbvias e manjadas brincadeiras. Imagina chegando no buteco e a galera: “E ai, entrou no Rafael ontem? Te mandei um recado lá!” ou pior “Minha comunidade dentro do Rafael já tem 200 pessoas!”. Péssima referência.
00:00hs – “Assim como da outra vez, o worm (que é o termo correto) também vai forçar o usuário infectado a entrar em uma determinada comunidade. less than a minute ago from TwitterFox”
Em instantes, poderemos conhecer a comunidade que só ficará conhecida do grande público amanhã. Esse é o lado bom de acompanhar ao vivo uma ação como essa. Continuem por aqui que as coisas prometem esquentar de agora em diante.
00:06hs – “Código testado e funcionando. Hospedando o JS externo pra dar início a propagação, que acho que vai ser um pouco mais lerda que da outra vez …1 minute ago from TwitterFox“
Agora começa oficialmente a empreitada. Eu de vocês ficaria longe do orkut até a coisa se resolver. Mas se quiser ver a confusão in loco, sinta-se a vontade.
00:17hs – A galera tava em dúvida sobre o que por na descrição da comunidade. Como bom adepto do twitter e aproveitando a deixa da foto, sugeri a eles que tivesse mencionado o “Orkut Day”, o dia onde muitas pessoas estarão celebrando o Orkut em toda sua plenitude. Seja o que quer que isso signifique. Em breve veremos se minha idéia foi acatada ou rejeitada.
01:51hs – Êxito. Os primeiros 10 infectados já apareceram e a tendência é subir durante toda a madrugada. Porém, as estimativas é que o negócio estoure mesmo depois de meio-dia, quando é possível que a disseminação automática comece a mostrar resultados. O plantão continua, o café ta quentinho aqui e o freela que eu tinha que adiantar está ganhando atenção, não posso reclamar de nada hoje.
02:16hs – Momentos de aflição. Por algum motivo, parece que o worm não tava mais funcionando com pessoas que usam Internet Explorer. Após minutos de pesquisa, dedução e dúvidas, o negócio voltou a funcionar normalmente. Pois é, Bill Gates, não foi dessa vez que você ajudou seus amigos do google. ;D
03:05hs – O café já acabou, mas o worm ta rodando bonito agora. O legal é ver que realmente tem gente acompanhando o ao vivo, embora ninguém tenha se manifestado formalmente ainda. Pode ser que role uma mudança nos planos de ação daqui por diante, estamos estudando algumas possibilidade no momento.
03:54hs – “Sobre o Orkut Worm V2: depois de longas horas trabalhando na dura compatibilidade com IE7, finalmente ajustamos tudo.less than 20 seconds ago from TwitterFox”
Tem uma galera que adora enfeitar, eu sou um deles. Não consigo fazer coisas pela metade, isso quando consigo me concentrar em algo. O Worm v2 dos caras segue essa linha, a coisa parece que ficou afinada, funcional, calibrada. Sr. Orkut, se você não lê o meu blog, é melhor assinar o feed logo. Isso faria com o que senhor poupasse tempo e provavelmente evitasse esse sequestro-relâmpago-virtual. Em breve, volto com alguma coisa nova.
03:55hs – Contagem de infectados: 20 e subindo. Se lembrarmos que instantes (horas?) atrás estavamos com 10, é uma melhora já. E agora com tudo funcionando redondinho, a coisa vai decolar finalmente.
04:08hs – Na comunidade Super Liga dos Moderadores, ta rolando o tópico iniciado pelo Fábio (possívelmente membro da Linha Defensiva, do Uol) declarando “ter sido notificado” a respeito da nova falha de XSS do Orkut. Na sequência ele revela um suposto esquema aos outros membros, explicando detalhes.

04:38hs – Assim que acordar, continuarei as atualizações aqui. Fique ligado. ;)
07:30hs – “A dúvida é: o staff do Orkut vai fechar o XSS antes do worm deslanchar ou o código foi mesmo um fiasco (mais provável)? Fui dormir :*about 7 hours ago from TwitterFox”
A lentidão para o código se espalhar sem dúvidas é um diferencial. Ao contrário da última vez, quando a coisa fluiu muito bem, dessa vez o worm não se espalhou como previsto.
12:14hs – Parece que a galera dormiu muito. O número de infectados chega a mais de 100 agora, o ritmo parece bem lento mesmo. To procurando os responsáveis para saber o que anda rolando.
19:17hs – “Vulnerabilidade grave no orkut continua. Corrigiram parcialmente e porcamente. Esses programadores corporativos… Mestres.5 minutes ago from TwitterFox”
Quase 24 horas de brincadeira. Parece que rolou uma correção parcial por parte do staff do orkut, mas o bug não foi completamente corrigido. Começa agora outra maratona em busca do worm perfeito.
08:45hs – Finalizando.
Embora o bug ainda exista e mais testes estejam sendo feitos, chegou a hora de encerrar a maratona live hacking. Como dessa vez a velocidade de propagação do worm está BEM menor que da vez anterior, será meio difícil que esse seja um bug conhecido pela massa e que cause pânico e caos dentro da orkutesfera. A dica que eu deixo de qualquer forma é aquela ja manjada: evitem clicar em links desconhecidos, marotos e estratégicamente alocados por ai, pois a curiosidade por mais que seja grande acaba saindo cara. Se por algum acaso o worm tomar maiores proporções nas próximas horas, eu voltarei aqui para avisar. Mas por hora parece que o staff do orkut tem a faca e o queijo na mão. O saldo foi positivo, mas uma mudança de postura do internauta comum do orkut aliada a um lance de pura sorte na investigação do bug impossibilitou uma infecção em massa dessa vez. Paciência, e melhor sorte pro hacker na próxima vez.
A qualquer momento, novas informações sobre o caso. Voltamos agora com a nossa programação normal.