Um pesquisador de segurança ucraniano que utiliza o nick “MustLive” prometeu esta semana que junho será o mês das falhas em sites de busca. Ele pretende divulgar pelo menos uma falha que afete algum site de busca todos os dias. MustLive quer “demonstrar o real estado da segurança dos sites de busca, que são os mais populares da Internet” e “permitir que usuários e a comunidade da web como um todo entenda os ricos que os sites de busca trazem”.

A maioria das falhas, afirmou o pesquisador em seu blog, serão de Cross-site Scripting (XSS). Estas brechas geralmente permitem que sejam criados links que alteram o conteúdo da página exibida no navegador de quem acessá-la por meio destes links. Se um website possui uma brecha de XSS, é possível que um invasor se aproveite dela para fazer parecer que o site publicou ou afirmou algo, quando na verdade isto não ocorreu. Nestes casos o XSS pode ser útil para ataques de engenharia social (enganação).

Ataques mais graves baseados em falhas de XSS podem permitir o roubo de cookies e isto permite que o invasor consiga fazer login no site como se fosse a vítima. Nem todas as falhas de XSS permitem que isto aconteça.

Outros detalhes sobre as falhas ainda não foram revelados.

Tendência

Os projetos de “Mês das Falhas” começaram com o “Mês das Falhas de Navegadores“, em julho de 2006. Depois dele vieram vários outros: o Mês das Falhas de Kernels (novembro de 2006), da Apple (janeiro de 2007), do PHP (março de 2007) e do MySpace (abril de 2007). Uma “Semana de Falhas do Vista” também foi anunciada, mas acabou sendo uma mentira de 1º de abril. Este mês (maio) é o Mês dos Bugs de ActiveX.

“No fim, estes projetos são sobre a educação — das empresas, administradores e desenvolvedores. Quem pode discordar disto?”, questiona o pesquisador Kevin Beets, da McAfee, em uma análise no blog do AVERT Labs onde Beets diz que estas iniciativas tem “potencial para o bem”. “Acho que teremos que nos acostumar com esta tendência — não parece que ela vai embora tão cedo”, comenta.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s