Resolvendo Todos Os Problemas Do Windows E Outros Programas

O adolescente usa o worm para aumentar as avaliações no MySpace.com

Usando um worm de autopropagação que explora uma vulnerabilidade de script comum à maioria dos sites dinâmicos, um adolescente de Los Angeles tornou-se o membro mais popular do site da comunidade MySpace.com no início deste mês. Embora o ataque tenha causado poucos danos, a técnica pode ser usada para destruir dados de sites ou roubar informações privadas - até mesmo de usuários corporativos atrás de redes protegidas, de acordo com uma empresa de serviços de segurança.

O desconhecido de 19 anos, que usava o nome de 'Samy', colocou um pequeno código em seu perfil de usuário no MySpace, um site de 32 milhões de membros, a maioria dos quais com menos de 30 anos. Sempre que o perfil de Samy era visualizado , o código foi executado em segundo plano, adicionando Samy à lista de amigos do visualizador e escrevendo na parte inferior de seu perfil, '... e Samy é meu herói.'



'Este é um ataque aos usuários do site, usando o próprio site', disse Jeremiah Grossman, diretor técnico da WhiteHat Security Inc. de Santa Clara, Califórnia.



O worm se espalha copiando a si mesmo no perfil de cada usuário. Por causa da popularidade do MySpace - teve 9,5 bilhões de visualizações de página em setembro, tornando-se o quarto site mais popular da web, de acordo com a comScore Media Metrix - o worm se espalhou rapidamente. Em seu site http://namb.la/popular/ , Samy escreveu que lançou o worm logo após a meia-noite de 4 de outubro. Treze horas depois, ele adicionou mais de 2.500 'amigos' e recebeu outras 6.400 solicitações automatizadas de outros usuários para se tornar amigo.

'Não era preciso ser um foguete ou um cientista da computação para descobrir que seria exponencial, só não tinha ideia de que iria proliferar tão rapidamente', disse Samy em uma entrevista por e-mail postou Sexta-feira no Google Blogoscoped. 'Quando vi 200 pedidos de amizade após as primeiras 8 horas, fiquei surpreso. Depois de 2.000 horas depois, eu estava preocupado. Assim que atingiu 200.000 em algumas horas, eu não tinha certeza do que fazer a não ser aproveitar a liberdade que me restava, então fui para Chipotle e pedi um burrito. Eu fui para casa e atingiu 1.000.000. '



Samy também recebeu centenas de mensagens de usuários furiosos do MySpace. Ele não foi contatado por funcionários do MySpace de Los Angeles, embora sua conta tenha sido excluída. O MySpace foi comprado em julho pela News Corp. de Rupert Murdoch por US $ 580 milhões. O MySpace não retornou solicitações de comentários.

O ataque dependia de uma vulnerabilidade conhecida, mas pouco protegida, chamada cross-site scripting (XSS). O XSS surge porque muitos sites - além dos sites estáticos que usam apenas código HTML simples - são dinâmicos, permitindo que os usuários manipulem o código-fonte do site.

Sites e navegadores da Web como o Internet Explorer e o Firefox tentam bloquear essas falhas de XSS, disse Grossman. Mas as vulnerabilidades continuam existindo, pelas quais ele culpa tanto os criadores do navegador quanto os operadores do site.



Ferramentas de segurança de rede corporativa padrão, como firewalls, antivírus e Secure Sockets Layer não impedem ataques de XSS e outros aplicativos da Web porque o usuário afetado já está atrás de seu firewall, disse Grossman, cuja empresa de 14 pessoas é uma provedora de serviços de segurança gerenciada.

'A rede está bastante bloqueada. Mas todos os novos ataques têm como alvo onde ninguém está olhando - a camada de aplicativo da Web ', disse ele.

Outras invasões na camada de aplicativos da Web incluem um caso no início deste ano em que mais de cem candidatos à Harvard Business School deram uma espiada em seus arquivos de admissão simplesmente modificando a URL digitada na caixa de endereço do navegador. Em um ataque de phishing mais sério no ano passado, alguém injetou um código no site da SunTrust Banks Inc. projetado para enviar e-mails do site da SunTrust solicitando detalhes das contas aos titulares de contas.

Uma versão inicial de uma vulnerabilidade relacionada ao XSS foi descoberta no Hotmail em 2001. Essa falha permitia que um invasor enviasse um e-mail com código HTML malformado para um usuário do Hotmail, cujo navegador interpretaria os comandos quebrados como script legítimo que diria ao Web site para roubar as informações privadas do usuário.

Grossman disse que a maioria desses casos não é relatada.

Enquanto o Firefox e o Internet Explorer prometem melhorias de segurança nas próximas versões, Grossman disse que duvida que eles consertem inteiramente os problemas do XSS.