Jogue online!

Imagem hospedada por Imgur

Foi descoberta, nesta manhã, uma vulnerabilidade no YouTube que permite a qualquer usuário injetar HTML, incluindo scripts, nos comentários de filmes.

A falha permite a execução de scripts no cliente, alterar qualquer aspecto da página, por exemplo tornar todos os outros comentários invisíveis. Apesar dos dados no servidor permanecerem intactos, usuários desavisados podem ter a impressão que o sistema YouTube inteiro foi comprometido.

Até o presente momento não havia sido dada uma solução para o problema.

Mais detalhes aqui.

O termo em Inglês refere-se a um programa que explora alguma falha de segurança ainda não divulgada ao fabricante do software alvo. Segundo a Wikipedia, o termo tem origem no fato da falha poder ser explorada no ‘dia zero’ de sua descoberta – o próprio nome é bastante intuitivo quanto a isso.

(Lembrando que, na ciência da computação, é comum o inicio da contagem de indices e listas à partir do zero, ao invés do número um.)

Existe uma discussão ética em torno de divulgar, ou não, vulnerabilidades antes de notificar o fabricante do software ou equipamento alvo. A argumentação contra a divulgação centra-se no fato de usuários inocentes terem seus sistemas comprometidos por vândalos, não atingindo o fabricante do sistema defeituoso. A argumentação à favor tem como base manter pressão nos fabricantes para priorizarem testes, garantindo a privacidade dos clientes e sua segurança acima da lucratividade ou prazos curtos pra lançamento de novas versões.

Citando um exemplo atual, pesquisadores anunciaram que passarão a divulgar exploits ‘zero day’ como retaliação contra a Microsoft, pela forma como teria sido tratado um pesquisador do Google que divulgou uma falha no sistema operacional Windows.

Escuto, frequentemente, esta pergunta. Amigos que compraram as últimas versões dos anti-virus da moda, Kaspersky, Norton, “suites” completas para segurança de Internet tem seus PC’s infectados com alguma espécie de programa espião, vírus ou cavalo de tróia. Por que isso ocorre?

Existem diversos motivos. Um deles é o fato dos programas anti-virus não substituirem 100% dos dispositivos de segurança fornecidos de fábrica em um sistema operacional. Diversos serviços básicos ainda são fornecidos pelo sistema operacional, entre eles o controle do sistema de arquivos, controle de senhas(diretório/ldap/senhas locais/etc). Estes serviços podem conter falhas de segurança, e os programas anti-virus não tem controle sobre essa parte do sistema operacional.

Caso o sistema anti-virus obtivesse controle completo da máquina, ele se tornaria o sistema operacional em si, seria redundante.

Como, então, evitar ao máximo, spyware, cavalos de tróia e virus?

A única maneira é manter-se atualizado sempre – aceitar as atualizações do sistema operacional e do anti-virus. Um dia de atraso pode significar seu contágio – é neste ritmo que funciona o enorme mercado mundial de spyware.

Acione a atualização automática nos sistemas de base: Operacional e anti-virus. Caso a atualização deixe sua rede mais lenta, agende este serviço para um horário adequado, de baixo uso da mesma. Lembrando que estamos apenas minimizando os riscos, pois o sistema operacional 100% atualizado ainda é vulnerável, conforme falamos no post sobre ‘zero day’ exploits.

A seção sobre a linguagem Go ficou congelada um bom tempo. O motivo foi a falta de tempo e, confesso, um certo “desencanto” com a linguagem. Trata-se de um projeto experimental do Google, e ainda precisa amadurecer bastante.

No ritmo de trabalho típico de um desenvolvedor, torna-se impossível acompanhar novas linguagens experimentais e, ao mesmo tempo, produzir no ritmo exigido pelos projetos em andamento.

Espero poder voltar a estudar Go em breve, e que esta interessante linguagem encontre um nicho onde seja aproveitada. Por enquanto, esta seção do blog ficará congelada.