Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)
Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler um artigo da Reuters informando sobre caso.
Para ler esse artigo, clique no botão abaixo.
A história começa lá em 2006, quando uma possível vulnerabilidade na linguagem de programação Flash, da Adobe foi descoberta. A própria Adobe, naquela época, instruiu a comunidade de programadores sobre como evitar o problema utilizando técnicas simples de programação. Infelizmente, os avisos da empresa não têm sido levados em consideração, e o resultado é um problema que ameaça vários sites conhecidos, como informa o pesquisador Mike Bailey, da Foreground Security.
Segundo Bailey, a vulnerabilidade é um problema mais de programação imprópria do que uma falha da Adobe, e é aí que a situação fica mais grave. Se fosse algo a ser corrigido pela empresa, esta certamente o faria e resolveria o problema de uma vez por todas. Contudo, como é uma questão de utilização da linguagem de programação, todos os milhares de programadores em Flash pelo mundo afora são passíveis de inserir o erro nos programas que criam, e quando esses programas são embutidos em sites da Web, o erro pode levar usuários desses sites a ficarem expostos aos bandidos.
O exemplo dado por Bailey de como a falha pode ser nociva foi nada mais nada menos do que invadir uma conta do Twitter (criada especialmente para a demonstração) e enviar mensagens através dessa conta. Na verdade, uma vez invadida, a conta poderia ser violada de várias formas, expondo todos os dados do usuário.
O que torna o caso preocupante é a afirmação de Bailey de que a falha de programação em questão encontra-se repetida em vários sites conhecidos. Ele pretende divulgar uma lista desses sites num evento de segurança que ocorre nos EUA a partir do dia 02 de Fevereiro. Por via das dúvidas, o Twitter já tomou a providência de desabilitar o módulo Flash embutido em sua página, protegendo os usuários de eventuais problemas. Ainda assim, o potencial de dano dessa falha de programação no Flash é grande, dado o número de sites que usam essa tecnologia.
Mas o que o usuário doméstico pode fazer para se proteger desse problema? Bem, a exploração da falha depende da execução de um script malicioso, isso é, de um conjunto mal intencionado de instruções, conjunto esse cujo link é embutido em uma página Web que o usuário visita. Esse script é armazenado em um site diferente da página visitada, o que caracteriza o ataque como sendo do tipo “cross site”, ou um ataque que cruza códigos da página armazenada em um site com código armazenado em outro. Para evitar esse tipo de ataque existem mecanismos de segurança nos principais navegadores. Esses mecanismos evitam a execução de códigos cruzados. No Internet Explorer 8 e no Chrome, por exemplo, esse mecanismo de proteção já vem “de fábrica”, e o usuário deve verificar se está ativado em seu navegador. No Firefox existe a extensão NoScript que deve ser instalada. Em todos os casos, o mecanismo contra scripts cruzados deve permanecer ativo o tempo todo, garantindo assim a proteção do navegador contra esse tipo de ataque.
Até a próxima.
Segundo Bailey, a vulnerabilidade é um problema mais de programação imprópria do que uma falha da Adobe, e é aí que a situação fica mais grave. Se fosse algo a ser corrigido pela empresa, esta certamente o faria e resolveria o problema de uma vez por todas. Contudo, como é uma questão de utilização da linguagem de programação, todos os milhares de programadores em Flash pelo mundo afora são passíveis de inserir o erro nos programas que criam, e quando esses programas são embutidos em sites da Web, o erro pode levar usuários desses sites a ficarem expostos aos bandidos.
O exemplo dado por Bailey de como a falha pode ser nociva foi nada mais nada menos do que invadir uma conta do Twitter (criada especialmente para a demonstração) e enviar mensagens através dessa conta. Na verdade, uma vez invadida, a conta poderia ser violada de várias formas, expondo todos os dados do usuário.
O que torna o caso preocupante é a afirmação de Bailey de que a falha de programação em questão encontra-se repetida em vários sites conhecidos. Ele pretende divulgar uma lista desses sites num evento de segurança que ocorre nos EUA a partir do dia 02 de Fevereiro. Por via das dúvidas, o Twitter já tomou a providência de desabilitar o módulo Flash embutido em sua página, protegendo os usuários de eventuais problemas. Ainda assim, o potencial de dano dessa falha de programação no Flash é grande, dado o número de sites que usam essa tecnologia.
Mas o que o usuário doméstico pode fazer para se proteger desse problema? Bem, a exploração da falha depende da execução de um script malicioso, isso é, de um conjunto mal intencionado de instruções, conjunto esse cujo link é embutido em uma página Web que o usuário visita. Esse script é armazenado em um site diferente da página visitada, o que caracteriza o ataque como sendo do tipo “cross site”, ou um ataque que cruza códigos da página armazenada em um site com código armazenado em outro. Para evitar esse tipo de ataque existem mecanismos de segurança nos principais navegadores. Esses mecanismos evitam a execução de códigos cruzados. No Internet Explorer 8 e no Chrome, por exemplo, esse mecanismo de proteção já vem “de fábrica”, e o usuário deve verificar se está ativado em seu navegador. No Firefox existe a extensão NoScript que deve ser instalada. Em todos os casos, o mecanismo contra scripts cruzados deve permanecer ativo o tempo todo, garantindo assim a proteção do navegador contra esse tipo de ataque.
Até a próxima.
Boa dica, mas como é difícil e cansativo freqüentar o mundo cibernético... As vezes dá vontade de voltar ao caderno e lápis.
ResponderExcluir[]s,
Verdade, Anônimo. às vezes olho para aquelas velhas fotos do início do século XX e penso que a vida devia ser bem menos complicada naquela época. Fora uma pandemiazinha de gripe espanhola de vez em quando, claro...
ResponderExcluir