Um pesquisador de segurança ucraniano que utiliza o nick “MustLive” prometeu esta semana que junho será o mês das falhas em sites de busca. Ele pretende divulgar pelo menos uma falha que afete algum site de busca todos os dias. MustLive quer “demonstrar o real estado da segurança dos sites de busca, que são os mais populares da Internet” e “permitir que usuários e a comunidade da web como um todo entenda os ricos que os sites de busca trazem”.
A maioria das falhas, afirmou o pesquisador em seu blog, serão de Cross-site Scripting (XSS). Estas brechas geralmente permitem que sejam criados links que alteram o conteúdo da página exibida no navegador de quem acessá-la por meio destes links. Se um website possui uma brecha de XSS, é possível que um invasor se aproveite dela para fazer parecer que o site publicou ou afirmou algo, quando na verdade isto não ocorreu. Nestes casos o XSS pode ser útil para ataques de engenharia social (enganação).
Ataques mais graves baseados em falhas de XSS podem permitir o roubo de cookies e isto permite que o invasor consiga fazer login no site como se fosse a vítima. Nem todas as falhas de XSS permitem que isto aconteça.
Outros detalhes sobre as falhas ainda não foram revelados.
Tendência
Os projetos de “Mês das Falhas” começaram com o “Mês das Falhas de Navegadores“, em julho de 2006. Depois dele vieram vários outros: o Mês das Falhas de Kernels (novembro de 2006), da Apple (janeiro de 2007), do PHP (março de 2007) e do MySpace (abril de 2007). Uma “Semana de Falhas do Vista” também foi anunciada, mas acabou sendo uma mentira de 1º de abril. Este mês (maio) é o Mês dos Bugs de ActiveX.
“No fim, estes projetos são sobre a educação — das empresas, administradores e desenvolvedores. Quem pode discordar disto?”, questiona o pesquisador Kevin Beets, da McAfee, em uma análise no blog do AVERT Labs onde Beets diz que estas iniciativas tem “potencial para o bem”. “Acho que teremos que nos acostumar com esta tendência — não parece que ela vai embora tão cedo”, comenta.
Linha Defensiva 