Um pesquisador de segurança ucraniano que utiliza o nick “MustLive” prometeu esta semana que junho será o mês das falhas em sites de busca. Ele pretende divulgar pelo menos uma falha que afete algum site de busca todos os dias. MustLive quer “demonstrar o real estado da segurança dos sites de busca, que são os mais populares da Internet” e “permitir que usuários e a comunidade da web como um todo entenda os ricos que os sites de busca trazem”.

A maioria das falhas, afirmou o pesquisador em seu blog, serão de Cross-site Scripting (XSS). Estas brechas geralmente permitem que sejam criados links que alteram o conteúdo da página exibida no navegador de quem acessá-la por meio destes links. Se um website possui uma brecha de XSS, é possível que um invasor se aproveite dela para fazer parecer que o site publicou ou afirmou algo, quando na verdade isto não ocorreu. Nestes casos o XSS pode ser útil para ataques de engenharia social (enganação).

Ataques mais graves baseados em falhas de XSS podem permitir o roubo de cookies e isto permite que o invasor consiga fazer login no site como se fosse a vítima. Nem todas as falhas de XSS permitem que isto aconteça.

Outros detalhes sobre as falhas ainda não foram revelados.

Tendência

Os projetos de “Mês das Falhas” começaram com o “Mês das Falhas de Navegadores“, em julho de 2006. Depois dele vieram vários outros: o Mês das Falhas de Kernels (novembro de 2006), da Apple (janeiro de 2007), do PHP (março de 2007) e do MySpace (abril de 2007). Uma “Semana de Falhas do Vista” também foi anunciada, mas acabou sendo uma mentira de 1º de abril. Este mês (maio) é o Mês dos Bugs de ActiveX.

“No fim, estes projetos são sobre a educação — das empresas, administradores e desenvolvedores. Quem pode discordar disto?”, questiona o pesquisador Kevin Beets, da McAfee, em uma análise no blog do AVERT Labs onde Beets diz que estas iniciativas tem “potencial para o bem”. “Acho que teremos que nos acostumar com esta tendência — não parece que ela vai embora tão cedo”, comenta.

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.