Não costumo falar muito das reportagens que eu saio aqui no Infopod (normalmente deixo isso no meu Facebook), mas como faz um tempinho que eu não atualizo por aqui (isso muda a partir de hoje), resolvi divulgar um post da semana passada no Brasil20 que conto um pouco da minha história e a do Migre.me! O post pode ser acessado em http://brasil20.org/?p=1338.

O Brasil20 é um site onde diversos empreendedores brasileiros contam sua trajetória, falando do trabalho e das dificuldades de se empreender no Brasil. Ele é escrito pela Nathalie Trutmann, diretora de inovação da FIAP. Vale a pena ler todas as biografias, independente se você pretende empreender ou não! Tem duas biografias de empreendedoras – a Natalia Monteiro do Zuggi e a Karla Lopez do Jobconvo – que além de comandarem  projetos que sou fã, possuem histórias de vida que são para motivar qualquer um.

Ps: Zuggi – Primeiro buscador voltado para crianças
Jobconvo – Entrevistas de emprego feitos pela internet.

Bug no Youtube permitiu que script trocasse nome de qualquer vídeo hospedado no site. Em poucos minutos, 1280 vídeos (e crescendo) já haviam sido afetados pelo mesmo usuário.

Esse final de semana foi bem tenso para os responsáveis pela segurança dos produtos do Google. Depois do problema com XSS no Orkut, hoje mais uma vulnerabilidade de um de seus produtos foi descoberta e explorada. Através da falha, QUALQUER usuário conseguiu alterar por quase 4 horas qualquer título dos vídeos no site, independente se tivesse permissão ou não para isso.

Após ficar sabendo, entrei em contato com o @migueltarga, que junto com o @saadzim_, foram as primeiras pessoas a detectarem o problema e usar a vulnerabilidade para trocar os títulos. Segue abaixo a entrevista, feita enquanto a vulnerabilidade estava no ar.

Jonny Ken: Segundo o RodLac, vc que descobriu a falha do youtube!
@migueltarga: exato,  eu descobri sim.

Você descobriu o bug do Youtube e falou que foi uma falha primária. Foi realmente tão primária assim? Qual foi o erro?
Sim, foi somente repetir uma requisição comum, alterando o id do filme

Reparei que os títulos tem um padrão no nome. Você pode escolher o que quer colocar ou fica sempre dentro desse padrão “Fulano  e Beltrano amaram seu vídeo”?
Exatamente, pode editar como se o vídeo fosse seu.

Você falou como faz isso? Sabe se já tem mais gente explorando?
Foi um erro tão de principiante que o Google cometeu, que após muitos olharem, já acharam o erro.
(abaixo tem um link com o código fonte usado para explorar a falha)

Só é possível alterar o nome ou é possível fazer um XSS (Cross-site scripting) para roubar cookies?
Somente explorei esta parte. Escutei que existia uma falha para “tomar posse” do vídeo de algum autor, e acabei achando esse. Onde achei não é possível explorar XSS.

Então NESSA falha os usuários não correm risco de perder suas contas. Essa falha que você citou é antiga? O google foi avisado?
Não tenho ideia de quanto tempo existe a falha. Não sou usuário nem mesmo fã de youtube, somente escuto algumas musicas às vezes. Só fui curioso por procurar falhas. Não avisei o google, eles nunca me escutam.

Ontem falei com o RodLac e com o Diogok a respeito disso. Pelo jeito o Google não dá muito ouvidos…
Sim, o suporte não é muito bom.

É comum isso em toda empresa? Tem casos que você conheça de empresas que trataram bem os descobridores de bugs?
Desconheço. Há algumas semanas me deletaram do orkut por descobrir uma falha deles.

Pessoal do Galo Frito, vencedores do VMB como melhor WebHit, tiveram os títulos de seus vídeos alterados.

Você disse que para usar a falha é só ir trocando o ID e mandar ver. Pelo jeito, depois você criou algum robozinho que faz isso. Sabe quantas páginas você já alterou o nome?
Sei! Tenho uma lista que meu amigo Saad fez. Teve alguns que nós pulamos, mas foram quase todos.

http://www.youtube.com/user/JustinBieberVEVO

http://www.youtube.com/user/BritneyTVSME

http://www.youtube.com/user/TaylorSwiftVEVO

http://www.youtube.com/user/EminemVEVO

http://www.youtube.com/user/AkonVEVO

http://www.youtube.com/user/RihannaVEVO

http://www.youtube.com/user/LadyGagaVEVO

http://www.youtube.com/user/bandarestart

http://www.youtube.com/user/felipeneto

http://www.youtube.com/user/maspoxavida

http://www.youtube.com/user/descealetra

http://www.youtube.com/user/gzaiden

http://www.youtube.com/user/jessicah25

http://www.youtube.com/user/luansantanaoficial

http://www.youtube.com/user/cineVEVO

http://www.youtube.com/user/programagalofrito

http://www.youtube.com/user/ShaneDawsonTV2

http://www.youtube.com/user/ShaneDawsonTV

http://www.youtube.com/user/realannoyingorange

http://www.youtube.com/user/Anon1modaTP

http://www.youtube.com/user/shane

http://www.youtube.com/user/nigahiga

http://www.youtube.com/user/Fred

http://www.youtube.com/user/malhacao

http://www.youtube.com/user/band

http://www.youtube.com/user/break

http://www.youtube.com/user/rederecord

http://www.youtube.com/user/blink182VEVO

http://www.youtube.com/user/AmyWinehouseVEVO

http://www.youtube.com/user/bbcworldwide

http://www.youtube.com/user/discoverynetworks

http://www.youtube.com/user/oasisinetofficial

http://www.youtube.com/user/twitter

http://www.youtube.com/user/warnerbrosrecords

http://www.youtube.com/user/warnerbrosonline

http://www.youtube.com/user/espn

http://www.youtube.com/user/emimusic

http://www.youtube.com/user/skankvideos

http://www.youtube.com/user/naosalvo

http://www.youtube.com/user/RayWilliamJohnson

http://www.youtube.com/user/failblog

http://www.youtube.com/user/videosimprovaveis

http://www.youtube.com/user/jonlajoie

http://www.youtube.com/user/vevo

http://www.youtube.com/user/jonlajoie

http://www.youtube.com/user/vevo

http://www.youtube.com/user/moymoypalaboy

http://www.youtube.com/user/keeptheheat

http://www.youtube.com/user/rafinhabastos

http://www.youtube.com/user/BlackEyedPeasVEVO

http://www.youtube.com/user/SouljaBoy

http://www.youtube.com/user/beyonce

http://www.youtube.com/user/UniversalMusicFrance

http://www.youtube.com/user/madonna

http://www.youtube.com/user/universalmusicgroup

http://www.youtube.com/user/michaeljackson

http://www.youtube.com/user/pepsi

http://www.youtube.com/user/cocacola

http://www.youtube.com/user/ferrariworld

http://www.youtube.com/user/bmw

http://www.youtube.com/user/hollywoodrecords

http://www.youtube.com/user/MileyCyrusVEVO

http://www.youtube.com/user/windowsvideos

http://www.youtube.com/user/nasatelevision

http://www.youtube.com/user/daneboe

http://www.youtube.com/user/chelseafc

http://www.youtube.com/user/skolweb

http://www.youtube.com/user/skoltv

http://www.youtube.com/user/fcbarcelona

http://www.youtube.com/user/AerosmithVEVO

http://www.youtube.com/user/linkinparktv

http://www.youtube.com/user/rammsteintheband

http://www.youtube.com/user/playboy

http://www.youtube.com/user/palpitabrasil

http://www.youtube.com/user/google

http://www.youtube.com/user/GleeOnFox

http://www.youtube.com/user/barackobama

http://www.youtube.com/user/justintimberlaketv

http://www.youtube.com/user/NellyFurtadoVEVO

http://www.youtube.com/user/JamesMorrisonVEVO

http://www.youtube.com/user/ArquivoCH

http://www.youtube.com/user/kellyclarkson

http://www.youtube.com/user/acdc

http://www.youtube.com/user/nikefutebol

http://www.youtube.com/user/CSPAN

http://www.youtube.com/user/TimothyDeLaGhetto2

Ufa! Não tem o meu! Já sabe se mais alguém está usando o bug agora?
Sim, MUITA GENTE está usando ele. Vou liberar o código fonte assim que o bug acabar.

É um filho que fugiu do controle?
Criamos um monstro

Sabe que esse bug pode causar um problema gigantesco, não? Como a busca do google dá grande importância para o título do vídeo, pode ser que a visitação dos vídeos despenquem absurdamente. Não tem medo que pelo fato de causar um prejuízo financeiro, o Google caia em vocês judicialmente, principalmente morando em um país onde as leis funcionam? (Ele mora nos EUA)
Sim. Medo, claro, muito! A falha não foi minha, eles tem que entender isso.

Espero que eles tenham backup!
Verdade, porque eu fiz e parei. Várias pessoas continuam ai brincando… Será que eu tenho que ser culpado por tudo isso?

Posso mandar um beijo pro @saadzim_? Ele foi quem estava ao meu lado e recolheu a lista. O credito não é somente meu, se isso pode ser chamado crédito.

Você falou que não dá para roubar cookies. Além do título, é possível mudar outros dados, como descrição, tags, etc?
Desconheço.

Pergunte para o @saadzim_ se a lista de vídeos que ele escolheu foi meramente ao acaso (levando em consideração os números de visitantes) ou teve algum outro motivo?
Segundo ele, foi os que viu na frente e canais de tv.

Até o Vlogger Felipe Neto do “Não faz sentido” sofreu com o ataque, vindo de um outro usuário que aproveitou a falha descoberta pelo @migueltarga. Em seu twitter, Felipe Neto, comentou: “Lembrando: hacker não altera titulozinho nem invade conta de Youtube, isso se chama Lammer, ou “adolescente espinhento e virgem”“.

O que vocês acham das pessoas que aproveitam dos bugs descobertos por terceiros para ganhar fama? Ou eles fazem isso somente pelo conhecimento?
Achei ridículo somente uma coisa: pesoas reescrevendo por cima do que já haviamos feito.

(20:46) Recebi noticia que o bug foi corrigido.

Até que foi rápido. Levou uma hora aproximadamente, não? Agora que corrigiram, pode detalhar a respeito do Bug?
Deixa eu ver o exato momento que descobri… 13:36. O momento que pus em prática – 17:51

Demorei 4 horas para fazer o script pois estava fazendo coisas na minha vida pessoal. Quando tinha uma folga explorava. 3 horas funcionando o bug.

Em se tratando de um domingo, até que corrigiram rapidamente.
Somente ataquei por 30 minutos. Depois não tentei mais, mas o @saadzim_ disse que corrigiram. Acredito que sim.

Você falou que outras pessoas escreveram por cima do seu código. Você divulgou o código fonte abertamente?
Não. Como disse, era tão simples que encontraram. Nós da OrkutExploits estamos acostumados a explorar erros.

(Logo depois, ele envia o link com o código fonte do programa)
http://pastebin.com/G0SzRYFi

Caramba ein, Youtube? Não verificavam o cookie do usuário para alterar os dados?
Exato.

——-

Até agora (Domingo, 26/09/2010 as 21:55), nenhum comunicado foi feito pelo Blog do Youtube a respeito da falha. Os títulos dos vídeos que voltaram ao normal foram todos alterados pelos seus usuários.

Editado: O Miguel Targa subiu um vídeo no Youtube explicando o que aconteceu.

Aproveitando o buzz sobre o problema do Orkut, resolvi fazer uma entrevista rápida com o Diogok, que junto com o RodLac, foram os primeiros a reportar e explorar o bug do Orkut.

O Bug atinge tanto a versão velha quanto a versão nova do Orkut, ao contrário do que muitos estão informando por ai…

Jonny Ken: Qual o bug do Orkut que foi explorado? Ele já existe faz tempo?
Diogok: Foi um bug que permitiu driblar as filtragens de códigos maliciosos, sendo assim, foi possível injetar HTML na página, possibilitando o ataque XSS. Não sei se já existe faz tempo, mas provavelmente foi com isso de “novo orkut”

Obviamente o Orkut tem um filtro anti XSS. Foi fácil burlar ou algo mirabolante? Outros usuários já estão usando esse bug para criar novas versões do script?
Foi até fácil demais, por isso possibilitou qualquer usuário com conhecimento mínimo em javascript criar códigos maliciosos. Esses usuários aproveitaram códigos prontos que possibilitavam o envio de recados em massa, e outros tipos de ações “virais” para poderem espalhar o worm.

Então a criação pode ter fugido do controle. Podem existir versões mais maliciosas e que envolvem roubo de cookies?
Sim, é possível. Apesar de orkut contar com um ótimo sistema de autenticação, informações podem ser capturadas via javascript. A versão do @RodLac foi possívelmente uma das primeiras de grande impacto, e nela os usuários só participavam de uma comunidade e espalhavam para seus amigos. Já em outra versão, os usuários faziam diversas ações, como por exemplo enviar recados, mudar o status, participar de comunidades, comentar em fotos de amigos, tudo isso com intenção de levar ao perfil e espalhar o worm. Nada garante que não possa surgir piores

Agora não dá para roubar comunidades pq precisa colocar a senha, não? Ou ainda é possível?
Não, não é possível roubar comunidades pois é preciso da senha. O script não consegue capturar senhas, atualmente só são usados pra encher comumidades e perfis mesmo.

Quanto tempo passou entre descobrir a falha, explorar a falha e avisar o Orkut/google? O que aconteceu primeiro – explorar a falha ou avisar o Orkut? Eles deram alguma resposta?
Foi bem rápido, quando a falha foi descoberta ninguém reportou, mas quando o Rodrigo resolveu colocar em prática, juntamente ele reportou e vários usuários que foram “infectados” resolveram reclamar também. Alguns usuários avançados, no forum de ajuda do orkut, recomendaram limpar os cookies e mudarem a senha, ação que não adianta.

Como está a situação agora (sábado, 25 de setembro de 2010, 13:41)? O Orkut já corrigiu a falha?
Vou ir testar pra dizer melhor.

Testando o bug na versão nova do Orkut. Falha permite inserção de códigos (maliciosos ou não) por um usuário.

(3 min depois)  Bom, parece que estão trabalhando nisso, um tópico que eu tinha feito uma postagem testando o funcionamento foi apagado, mas eu consegui usar um código diferente (variante) e funcionou. Testei no novo orkut e no velho.

Então a vulnerabilidade vale para as 2 versões (antigo e novo Orkut)? Tem alguns comentários dizendo que ele só funciona no novo…
Se isso acontece deve ser em partes, nas atualizações parece que não funciona mesmo no novo. Vou mandar o link do tópico que estou testando

(testei, e realmente abriu o alert javascript) Sim… verdade! Funcionou no velho e no novo Orkut!
O negócio é que parece que eles estão tentando sanar o bug filtrando algumas tags, outras não deixaram de funcionar… por isso a confusão de “acabou” “não acabou”

Como o Google / Orkut tratam os usuários que reportam bugs? Entram em contato confirmando? Agradecem? Reportam a correção? Ou simplesmente ignoram?
Geralmente eles respodem (demoram) que estão trabalhando pra corrigir o bug, mas isso demora MUITO pra um site desse porte (não é só com o orkut, a falha do twitter por exemplo deu na mesma), algumas vezes não temos reposta nenhuma, somos considerados perigosos e nos deletam imediatamente.

Ou seja, você reporta um bug e eles cancelam sua conta?
Na verdade, sempre que descobrimos bugs desse tipo procuramos reportar, mas com a demora, usuários mal-intencionados usam para roubar informações e fazem besteira com os perfis das pessoas (como por exemplo criar tópicos em todas comunidades em que a vitima participa, com notícias do tipo: fulano pelado e etc…). Sendo assim, criamos um grande tumulto, que na verdade não tem a intenção de prejudicar ninguém, mas sim alertar a equipe do site para que possamos navegar sem medo de dar de cara com recados do tipo citado.
(e por reportar desse modo, usando do bug, somos deletados de todo serviço existente na google)

É uma situação realmente complicada, principalmente quando o bug é descoberto com a ajuda de um grupo muito grande de colaboradores.

De acordo com a sua experiência, é realmente muito complexo alguém roubar os cookies do Orkut para acessar outros sites do Google, como por exemplo o Gmail? O Google Account é seguro nesse quesito, uma vez que é tudo interligado?
O orkut tem um sistema de autenticação digamos que razoável, mas não é nada que seja intocável. Sobre acessar outros sites do google, existe um problema, o mesmo cookie que usamos pra acessar o orkut, pode ser usado pra acessar outros serviços da google, ou seja: se alguém capturar seu cookie no orkut, pode ter acesso a diversos outros serviços google. Sendo assim, capturando os cookies de seu orkut, posso usar para acessar outros serviços google vinculadas a mesma conta. E vice-versa.

E caso o Cookie tenha sido roubado, não adianta nem apagar o Cookie, passar CClean ou trocar a senha, como estão sugerindo toda vez que acontece um ataque XSS (como aconteceu no twitter na semana passada), certo?
Medidas como todas essas que sites de segurança indicam devem ser analisadas minunciosamente para poder dizer que “não funcionam”, pois trocar a senha teoricamente não afetaria em um cookie, mas no twitter isso acontece. Eu no momento (não analisei profundamente o serviço de autenticação e sessões do orkut) digo que todo cuidado é pouco, não custa nada fazer os processos que são recomendados. Mais: alguns desses worms que se espalharam no orkut usaram o status para espalhar o suposto “vírus”, ou seja, você pode ver oque foi alterado no seu orkut e voltar pra o que era antes, lembrando que todo lugar que era possível usar HTML livremente no orkut ficou sujeito a esse worm.

Para terminar, o que você sugere para os programadores não criarem ferramentas com esse problema? Usar filtro em todo Post e Get ou existe algo mais seguro?
Eu sugiro oque eu faço sempre quando desenvolvo algo: manter em mente durante todo o processo que existem pessoas que só querem destruir coisas e ganhar com isso, e que o seu projeto não será perdoado. Sendo assim, FILTREM TUDO! Alias, existem muitos projetos de “filtragem” feitos com ótimas contribuições na internet, open source, se você não quer gastar muito tempo com isso, pode usar projetos como esses. O Negócio é estar sempre atualizado no quesito segurança, ler blogs que falam sobre isso e etc.

Gilmar Lopes & eu durante entrevista para o programa e-farsas (foto: @amandawy)

Dia 6 de junho eu tive o prazer de ser entrevistado pelo Gilmar Lopes, criador do site E-farsas.com (sobre farsas na internet) e entrevistador do programa E-farsas na Justtv.com.br . Lá falamos um pouco sobre a minha vida de blogueiro, podcaster e, é claro, o migre.me.

Vale a pena assistir esse e outros vídeos – a entrevista do Conrado Navarro (do blog Dinheirama) é uma aula de economia.

Domingo (03/ago) aconteceu a festa de lançamento do Yahoo! Posts lá no estádio do Pacaembu, em São Paulo. A idéia do projeto desenvolvido através da parceria do Yahoo! com a agência Live AD é basicamente pegar o conteúdo de aproximadamente 100 blogs escolhidos pelo Yahoo e selecionar os melhores posts do dia. A pré-seleção dos textos está a cargo dos consultores Nick Ellis, Edney Souza, Alexandre Inagaki e o Gilberto Knuttz, e a seleção final para o site está a cargo do editor do Projeto, o Pedro Jansen.

No final, todos os textos escolhidos terão uma chamada no site do Yahoo! Posts, e dependendo do conteúdo, podem até mesmo estampar a capa da home Page do Yahoo Brasil. O legal deste projeto é que o link do texto sempre irá apontar para o texto original do blogueiro, ou seja, o Yahoo só publica uma pequena chamada em seu site, jogando toda visitação para o blog. Ou seja, ganha o blogueiro porque pode ter a chamada de seu conteúdo em um grande portal, e também ganha o Yahoo, que passa a disponibilizar conteúdo relevante em seu site.

A Idéia

Segundo o Ian Black, a idéia do Yahoo! Posts é uma evolução do relacionamento “Blogueiros & Yahoo!” que aconteceu durante a cobertura do Campus Party. Ainda segundo ele, a seleção dos blogs levou em conta as “várias blogosferas”, selecionando desde blog de policial até mulheres que falam sobre futebol.

A “Panela”

Eu já li/ouvi várias críticas por causa da seleção fechada de “somente 100 blogueiros”. Segundo o editor do Y! Posts Pedro Jansen, a idéia é que esse número de blogs participantes aumente cada vez mais, conforme o crescimento do projeto. Eu até fui para o evento achando que iria encontrar as caras de sempre, mas ao entrar no “vestiário”, vi que estava redondamente enganado. 90% das pessoas presentes eram de blogs que eu já tinha ouvido falar mas não acompanhava ou que não conhecia.

A diferença entre outros portais agregadores de Blogs

Existem vários portais que selecionam conteúdos de blogs para exibir em suas páginas. Talvez um dos mais conhecidos da Internet seja o UEBA. Para o editor do UEBA e colaborador do Y! Posts Gilberto Knuttz, a diferença é o critério de seleção, já que 100% dos textos do Y! Posts são selecionados dos blogs participantes, enquanto o UEBA funciona como um “roteador” de conteúdo, independente dos textos serem de blogs ou não.

O Knuttz escreveu o primeiro texto “semi” oficial sobre o Yahoo Posts – O que é de fato o projeto, visto por dentro

Quais textos serão selecionados?

Segundo o colaborador Nick Ellis, qualquer tipo de texto (editorial, reportagens, etc) poderão ser selecionados, desde que sejam considerados bons. O Blogueiro só deve tomar cuidado em creditar o autor original ao publicar conteúdo protegido por direitos autorais.

3 blogueiros de tecnologia farão a pré-seleção dos textos. Isso não influencia no resultado dos posts selecionados?

Segundo o Inagaki (o único consultor que não mantém um blog de tecnologia) isso não influenciará na seleção dos posts, já que os outros consultores também escrevem posts não relacionados com informática, além de serem leitores de uma infinidade de blogs das mais diversas áreas.

Sobre o evento de lançamento.

A festa de lançamento aconteceu neste domingo no Estádio do Pacaembu. Além dos blogueiros conhecerem melhor a idéia do projeto, todos fizeram um tour pelo clássico estádio “do Corinthians”. Uma pena que não rolou um bate-bola (até tinha levado minha chuteira pensando nessa possibilidade).

Mas qual o endereço do Yahoo Posts?

O endereço oficial ainda não foi divulgado, mas você pode ver o possível layout que passou de mão em mão durante o evento.

Todas as fotos que eu bati durante o evento podem ser vistos no meu Flickr – http://www.flickr.com/jonnyken

Extras no Podcast

Audio das entrevistas e um “Boa Tarde Sr: Edney” – Como ele consegue tempo para fazer tanta coisa ao mesmo tempo?

Sites citados no podcast 06:
Boa Tarde Sr: Edney – http://www.interney.net/?p=9763100
Bar do Edney – http://www.interney.net/blogs/edney/
UEBA – http://www.ueba.com.br
Podpods – http://www.podpods.com.br
Decodificando #13 – http://www.decodificando.com.br/2008/08/01/decodificando-13-requentando-velhas-noticias/
Prêmio Podcast 2008 – http://www.premiopodcast.com.br