Mikeyy & The Twitters

Muito bem. Todo mundo já sabe que alguns usuários do Twitter foram vítimas de um worm criado por um tal de Mikeyy. Tal worm, inicialmente, fazia com que as pessoas que acessassem a "Bio" dos infectados fossem infectados também. Desde então, o tal Mikeyy (do alto dos seus 17 anos) conseguiu um emprego, foi hackeado (mais aqui), criou variantes do seu worm e iniciou uma onda de outras variantes do worm feitas por terceiros. Deixando de lado a apelação que é a tal de exqSoft Solutions oferecer um emprego pra esse cidadão, as pessoas podem estar se perguntando: WTF? Como isso acontece? Entra em cena a buzzword do momento: Cross-Site Scripting, a.k.a XSS. Leitores mais curiosos podem estar pensando: "Foda-se você! Fala logo o que é essa porra de XSS e cut the crap!". Ok então. XSS é mais ou menos assim: você coloca código em uma página (ou link) onde você não deveria poder colocar e as pessoas que acessam essa página (ou clicam no seu link maligno) acabam executando esse código sem querer e, muitas vezes, sem saber. O problema, na grande maioria dos casos, tem nome e sobrenome: JavaScript. JavaScript é que nem uma motosserra -- se você usa pro bem, pode fazer aquelas esculturas de gelo maneiras, se usa pro mal, pode arrancar a cabeça de alguém. Tudo muito teórico, portanto vamos a um exemplo prático que, para efeitos dramáticos, colocarei --adivinhem-- numa tinyurl! Sigam esse link: http://tinyurl.com/c7rc27 e vejam o que acontece. Pode ir tranquilo, não é nada maligno, eu juro. Se você não tem NoScript instalado, uma janelina com os dizeres XSS Galore deve aparecer. Da mesma maneira que eu coloquei um pedaço de JavaScript em um link que abre uma janelinha de alerta, pessoas mais, digamos, motivadas, podem colocar um pedaço de JavaScript que roube sua sessão do Gmail, por exemplo. As possibilidades são tão grandes quanto a imaginação do meliante. O que o Mikeyy fez foi basicamente isso. Colocou código onde não deveria, o Twitter não barrou e todo mundo que clicou nas Bios infectadas executou o código que ele escreveu. No final das contas, milhares de pessoas estavam twittando seu amor pelo DailyStalk.com. Vergonha para o Twitter que não barrou um ataque conhecido desde a idade da pedra, de simples resolução e que foi perpetrado por um moleque de 17 anos que disse que o fez porque estava "entediado". E shame on you que ainda não instalou o NoScript e sai clicando em tinyurls sem a devida proteção. Aposto que não foi isso que sua mãe te ensinou. Para os mais interessados, vejam que o lance é bem elaborado há muito tempo nesse paper. Recomendo também essa apresentação do Mike Andrews no quartel-general do Google.