22.4.09
Mikeyy & The Twitters
Muito bem. Todo mundo já sabe que alguns usuários do Twitter foram vítimas de um worm criado por um tal de Mikeyy. Tal worm, inicialmente, fazia com que as pessoas que acessassem a "Bio" dos infectados fossem infectados também. Desde então, o tal Mikeyy (do alto dos seus 17 anos) conseguiu um emprego, foi hackeado (mais aqui), criou variantes do seu worm e iniciou uma onda de outras variantes do worm feitas por terceiros. Deixando de lado a apelação que é a tal de exqSoft Solutions oferecer um emprego pra esse cidadão, as pessoas podem estar se perguntando: WTF? Como isso acontece? Entra em cena a buzzword do momento: Cross-Site Scripting, a.k.a XSS. Leitores mais curiosos podem estar pensando: "Foda-se você! Fala logo o que é essa porra de XSS e cut the crap!". Ok então. XSS é mais ou menos assim: você coloca código em uma página (ou link) onde você não deveria poder colocar e as pessoas que acessam essa página (ou clicam no seu link maligno) acabam executando esse código sem querer e, muitas vezes, sem saber. O problema, na grande maioria dos casos, tem nome e sobrenome: JavaScript. JavaScript é que nem uma motosserra -- se você usa pro bem, pode fazer aquelas esculturas de gelo maneiras, se usa pro mal, pode arrancar a cabeça de alguém. Tudo muito teórico, portanto vamos a um exemplo prático que, para efeitos dramáticos, colocarei --adivinhem-- numa tinyurl! Sigam esse link: http://tinyurl.com/c7rc27 e vejam o que acontece. Pode ir tranquilo, não é nada maligno, eu juro. Se você não tem NoScript instalado, uma janelina com os dizeres XSS Galore deve aparecer. Da mesma maneira que eu coloquei um pedaço de JavaScript em um link que abre uma janelinha de alerta, pessoas mais, digamos, motivadas, podem colocar um pedaço de JavaScript que roube sua sessão do Gmail, por exemplo. As possibilidades são tão grandes quanto a imaginação do meliante. O que o Mikeyy fez foi basicamente isso. Colocou código onde não deveria, o Twitter não barrou e todo mundo que clicou nas Bios infectadas executou o código que ele escreveu. No final das contas, milhares de pessoas estavam twittando seu amor pelo DailyStalk.com. Vergonha para o Twitter que não barrou um ataque conhecido desde a idade da pedra, de simples resolução e que foi perpetrado por um moleque de 17 anos que disse que o fez porque estava "entediado". E shame on you que ainda não instalou o NoScript e sai clicando em tinyurls sem a devida proteção. Aposto que não foi isso que sua mãe te ensinou. Para os mais interessados, vejam que o lance é bem elaborado há muito tempo nesse paper. Recomendo também essa apresentação do Mike Andrews no quartel-general do Google.
20.4.09
18.4.09
tinyurl of DOOM
Como se não bastasse toda a problemática com os servidores de DNS discutida anteriormente, o problema de cross-site scripting que afetou o twitter e o facto de a grande maioria das pessoas ser simplesmente clueless, ainda temos a proliferação insana e perigosa de links espremidos via tinyurl e afins. Qual seria o problema, você pode perguntar, de usar os serviços que ajudam milhões de humanos a conseguir cumprir o limite de 140 caracteres do twiter? Não vou nem entrar no mérito da utilidade do twitter e no incompreensível limite de 140 caracteres.
O problema dos url shorteners são mais de um, na verdade. O correto seria "os problemas". Um deles é que, na grande maioria dos casos, as pessoas clicam num http://tinyurl.com/xpto sem a menor noção de onde vão parar.
Existem soluções pra isso, mas pouca gente conhece e pouca gente usa. E, dado que o twitter nada mais é do que um concurso de popularidade, muita gente sai clicando em coisas que foram postadas por pessoas que nem sempre são, digamos, sensatas e atentas. Imagine a cena: estou seguindo 1000 pessoas no twitter, 5 delas foram infectadas por um worm que gera um link tinyurl e eu penso -- "Ora, se esse pessoal todo está postando a mesma coisa, deve ser legal!" , clico no link e vejo um lolcat engraçadinho que na verdade está me infectando também nos bastidores. Se as pessoas não prestam nem atenção no conteúdo dos links nomais, imagine se vão prestar atenção nos links gerados pelos tinyurl da vida.
Não levo em consideração nem problemas de performance, possíveis colisões nos links gerados, problemas no serviço propriamente dito (o tinyurl não tem o melhor histórico de preocupação com segurança). O problema mesmo é a confiança que as pessoas depositam em um link que elas nem sabem onde vai parar. Uma coisa é clicar no http://hackme.ru/destroy.js, outra coisa é clicar em http://tinyurl.com/2038c. Como a internet é terra perigosa, sugiro:
Firefox + Greasemonkey + Tinyurl Decoder (decodifica as tinyurls e mostra onde você vai parar)
Firefox + NoScript (bloqueia javascript, java, flash e outras coisas malignas)
Portanto, antes de sair clicando nesses links malucos, preste atenção, dummy.
O problema dos url shorteners são mais de um, na verdade. O correto seria "os problemas". Um deles é que, na grande maioria dos casos, as pessoas clicam num http://tinyurl.com/xpto sem a menor noção de onde vão parar.
Existem soluções pra isso, mas pouca gente conhece e pouca gente usa. E, dado que o twitter nada mais é do que um concurso de popularidade, muita gente sai clicando em coisas que foram postadas por pessoas que nem sempre são, digamos, sensatas e atentas. Imagine a cena: estou seguindo 1000 pessoas no twitter, 5 delas foram infectadas por um worm que gera um link tinyurl e eu penso -- "Ora, se esse pessoal todo está postando a mesma coisa, deve ser legal!" , clico no link e vejo um lolcat engraçadinho que na verdade está me infectando também nos bastidores. Se as pessoas não prestam nem atenção no conteúdo dos links nomais, imagine se vão prestar atenção nos links gerados pelos tinyurl da vida.
Não levo em consideração nem problemas de performance, possíveis colisões nos links gerados, problemas no serviço propriamente dito (o tinyurl não tem o melhor histórico de preocupação com segurança). O problema mesmo é a confiança que as pessoas depositam em um link que elas nem sabem onde vai parar. Uma coisa é clicar no http://hackme.ru/destroy.js, outra coisa é clicar em http://tinyurl.com/2038c. Como a internet é terra perigosa, sugiro:
Firefox + Greasemonkey + Tinyurl Decoder (decodifica as tinyurls e mostra onde você vai parar)
Firefox + NoScript (bloqueia javascript, java, flash e outras coisas malignas)
Portanto, antes de sair clicando nesses links malucos, preste atenção, dummy.
17.4.09
Going to the party, sipping a Bacardi
Flight of the Conchords é o melhor seriado ever forever and ever. Bret & Jemaine vão para NY em busca de fama e sucesso com a sua banda. Nonsense da melhor categoria, músicas sensacionais, personagens bizarros e mais músicas sensacionais. A segunda temporada terminou há pouco tempo, portanto, baixa nas torrentes (não passa no Brasil, então é fair use e fair play! Uhu!)
Too many dicks on the dancefloor!
Too many dicks on the dancefloor!
Sverige!
Os cabeças do The Pirate Bay foram, após uns dois meses e meio de julgamento, sentenciados a 1 ano de cana e a pagar 117 milhões de coroas suecas (o dinheiro, não as senhoras de idade daquele país). O país que, entre outras coisas, deu ao mundo ABBA, Volvo, Absolut e IKEA, acompanha os desdobramentos do causo com atenção e hoje todos os veículos de comunicação do planeta mencionaram o facto. Sem levar em consideração o facto de ainda caber recurso, de o financiador do grupo ser um neo-nazista, de os interessados na condenação e no fechamento do Pirate Bay seram representantes, ainda que indiretos, da RIAA e da MPAA, discorrerei sobre o caso. Pois bem. A acusação é "promoting other people's infringements of copyright laws", ou seja, nada a ver com disponibilizar e/ou armazenar materiais protegidos por direitos autorais. E, convenhamos, "promoting other people's infringements of copyright laws" é exatamente o que o Pirate Bay faz. Podem usar a desculpa que for, mas baixar música, filme, games e qualquer outra coisa que pelas vias normais custaria alguns cruzeiros é ilegal e não se enquadra no "fair use". Uma coisa é o Trent Reznor colocar um álbum novo pra todo mundo baixar de grátis, outra é baixar a discografia completa dos Beatles. No primeiro caso, o artista mandou a gravadora e a indústria musical as we know it pras picas e resolveu fazer o serviço ele mesmo. Todo mundo sabe que as bandas ganham grana de verdade fazendo shows e quem granha grana vendendo CD é a gravadora. Bom pra ele, bom pros fãs, bom pra camada de ozônio, bom pra floresta amazônica e os caralho. Ruim pra Universal Music. Nesse caso, problema deles. Que a indústria musical entre em colapso ou encontre outra maneira de fazer uma grana. No segundo caso, que pode não ser o melhor exemplo, não houve uma decisão dos artistas de liberar sua obra pra geral. Música deles, decisão deles, respeitemos. Mas, cá entre nós, sabemos que Sir James Paul McCartney não está em posição de vulnerabilidade socio-econômica nesse momento. Então nós vamos lá e baixamos. Se ele estiver ruim de grana daqui a 357 anos, ele pode fazer um show e pagar todas as contas dele, é só ver o exemplo recente do Michael Jackson. O ponto é mais ou menos o seguinte: em se tratando de música, baixar continua sendo ilegal, mas prejudica menos o autor da obra do que, digamos, filmes ou software. Pensa só: Um belo dia, Harry Potter & The Half-Blood Prince vaza na internet e, digamos, ninguém vai ver no cinema. Improvável, é claro. Pensemos então que, sei lá, 10% do público potencial resolva ficar em casa e baixar o filme. Levando como base a arrecadação de HP & The Order of the Phoenix, 10% de potenciais consumidores em casa significa nada menos que U$ 100.000.000. Cem milhões de dólares. Caso extremo, exemplo péssimo. Se é aquele filme meia boca que você vai numa quarta à noite porque não tem nada pra fazer, 10% a mais ou a menos no público pode fazer a diferença entre lucro e prejuízo pra um filme. E se a Warner começar a ter prejuízo em cima de prejuízo no acumulado geral dos filmes, eles fecham as portas e vão vender côco na praia porque dá mais dinheiro. Moral da história? Ninguém mais vai querer investir em filmes porque não dá lucro. E, para os mais desavisados, vivemos no capitalismo e empresas com fins lucrativos têm o lucro como fim. Se não dá lucro, let's move on. E lembre-se que depois de lançado o filme, não tem tour mundial com o Daniel Radcliffe encenando a obra. Restará aquele sujeito que vende o carro e faz um filme por amor, restará o sujeito que arruma um patrocinador que não pede necessariamente retorno financeiro e só quer ter o nome associado para fins marqueteiros e restará o sujeito que tem contatos em Brasília e todos nós acabamos pagando o filme. De qualquer maneira, foi-se o tempo do blockbuster nesse exercício distópico e especulativo. Suponho que isso não venha a acontecer, mas a idéia é essa: quando a recompensa que um estúdio tem para fazer um filme (dinheiro) diminui, a motivação econômica do estúdio diminui na mesma proporção. Simples assim. Se a recompensa diminui o suficiente, a motivação vai a zero e o filme não é feito. Mesma coisa com software, já que não vemos Windows Vista in Concert no Credicard Hall. Se a recompensa desejada é outra que não grana (caso do software livre, creative commons, etc.), a motivação para produzir segue e obra é feita do jeito que der. Obras fora de catálogo, filmes que não são lançados aqui, software descontinuado... Baixar isso, na minha opinião é fair use (desde que ninguém esteja ganhando nada com isso, claro) e ponto final. Mandar os quatro do Pirate Bay pro xadrez vai diminuir a pirataria? Nem um pouco. Fechar o Pirate Bay vai diminuir a pirataria? Pergunta pro Shawn Fanning e pro Metallica de que adiantou fechar o Napster. Só não me venha com papo de hippie de que tudo tem que ser de todo mundo de graça. Quando Trent Reznor for levar um som na sua cidade, compareça e ajude o homem a stick it up to the man. Aprenda a programar e faça a sua própria versão do Office. Escreva um livro, mande a editora às favas, publique sua obra sozinho e sob Creative Commons. Baixar é mole, quero ver é fazer upload.
15.4.09
DNS, Virtua, Speedy, Kaminsky, Pao Mole e etc
Lendo os Shared Items da Dani, percebo comentário sagaz e pertinente publicado no Surra de Pao Mole sobre os problemas enfrentados pelos pobres usuários do Speedy e do Virtua durante as últimas semanas. Ao que tudo indica, em ambos os casos, o problema todo foi causado por servidores DNS bugados que sofreram cache poisoning. O post lembra muito bem que esse problema foi detectado há pelo menos dois anos por Dan Kaminsky e apresentado ano passado em pelo menos 700 conferências pelo mundo. Sem falar nas laudas e laudas de divulgação na imprensa (especializada e otherwise). Trocando em miúdos, funciona assim: Eu, cliente Speedy / Virtua pergunto pro DNS: "Hey, qual é o endereço do www.itau.com.br?". O DNS deveria responder: "É 1.2.3.4...". Ou "Eu não sei, vou perguntar pro .com.br no 5.6.7.8". Ou ainda: "Eu não te conheço, sai fora!". É no cenário 2 que tudo acontece. O DNS do Speedy / Virtua (ou qualquer outro, na verdade), ao perguntar pro .com.br quem é www.itau.com.br possivelmente vai receber a seguinte resposta "Olha, www.itau.com.br eu não sei, mas o DNS do itau.com.br certamente sabe. Ele fica no IP 5.5.5.5". Ao perguntar pro 5.5.5.5, a resposta deve ser "Ah, www.itau.com.br é 7.7.7.7". O DNS Speedy/Virtua agradece e guarda essa informação para não ter que perguntar tudo de novo. O nome disso é caching. E se o malandro resolver responder pro DNS Speedy / Virtua antes do DNS do Itau? Se o DNS do Speedy / Virtua estiver com o famoso problema e uma série de codições forem satisfeitas, ele vai acreditar que www.itau.com.br é, digamos, 9.9.9.9 e não 7.7.7.7 como deveria ser. O DNS Speedy / Virtua faz o que? Guarda www.itau.com.br como sendo 9.9.9.9 -- que certamente será uma página falsa. Daí pra frente, todo mundo que perguntar pro DNS Speedy / Virtua "Hey, qual é o endereço do www.itau.com.br?" ganha uma resposta: "Opa! Tá na mão... www.itau.com.br é 9.9.9.9!" até que o tempo de vida dessa informação acabe. Quando o tempo de vida da informação acabar, é só repetir o processo. Claro que MUITAS outras coisas acontecem nesse meio tempo e o problema não é tão simples assim. Remédios existem, mas não são 100% eficazes. A merda toda acontece quando o Speedy / Virtua não toma nem o remédio que existe. Em várias ocasiões eu tive problemas com o DNS do Virtua (simplesmente não respondia nada) e a solução foi simplesmente trocar o servidor. Pra muita gente, trocar DNS é algo esotérico e complicado. Compreendo a dor dessas pessoas e ofereço uma solução simples, bonita e que poupará muita dor de cabeça: OpenDNS. Siga as instruções e seja feliz. Se bobear, o Speedy / Virtua de muita gente vai parar, menos o seu. Se bobear, muita gente vai parar no Bradesco ou Itaú fake, menos você. Pra quem curte uma nerdice, a apresentação do Kaminsky sobre isso está aqui (.ppt warning!)
1.4.09
Knol vs. Wikipedia vs. Everything2
Antes da Wikipedia ter acabado com a Encarta e com a Encyclopedia Brittanica, havia (e ainda há) um site chamado Everything2, ou E2, como é conhecido nas internas. Aliás, antes de toda essa coisa de web 2.0 (também conhecido como Ctrl+c / Ctrl+v, já que quase ninguém cria mais nada), já existia o E2. O lance é bem interessante, você escrevia um artigo sobre qualquer coisa, mas qualquer coisa mesmo, por mais absurda que fosse, e um time de moderadores iria avaliar o seu texto e colocaria ou não no ar. Depois do seu texto pronto e publicado, as pessoas poderiam te mandar uns C!, que são os Cool Points. Isso entra no seu "karma" do site e você vai evoluindo na hierarquia do E2. Além disso, outras pessoas podem adicionar coisas ao seu texto, corrigir informações equivocadas, etc e blah. Veja bem, isso é coisa de final dos anos 90. Na época que o grande expoente nerd das internets era Rob Malda, não Kevin Rose. Rob Malda, pra quem não sabe, é o cara que inventou o Slashdot, que, por sua vez, era o grande expoente nerd, não o Digg.com. Coincidência ou não, Rob Malda também esteve por trás da Blockstackers Intergalactic, que era a "empresa" criadora do E2. Hoje, como se fosse a maior novidade do mundo, a coisa "colaborativa" da web 2.0 virou uma simples questão de ser o primeiro a mandar pro Digg alguma coisa que você encontrou navegando sem rumo pela rede. Ou retweeting a mesma coisa que já foi retweetada vinte vezes e embarcando em hashtags que você nem sabe do que se tratam. Na época que eu frenquentava o E2 (tem até artigo meu aqui), os moderadores faziam de tudo pra verificar a originalidade do seu texto. Se você plagiar qualquer coisa, você perde seus "pontos" e, sendo reincidente, você pode até ser expulso do site. Se houvesse pena parecida hoje em dia, a internet estaria vazia. Entra Wikipedia. Grande ferramenta, destruidora de publicações seculares, resolvedora de apostas, salvadora de discussões na mesa do bar. Tudo muito peer-reviewed, sem ser tendencioso, minuciosamente verificado e investigado (lembrem dos "escândalos" na Wikipedia quando das eleições presidenciais americanas...). Tudo muito uptight e anal retentive também. Entra Knol. O que era pra ser um Wikipedia killer, acabou ficando uma coisa meio termo entre a assepsia erudita da Wikipedia e a porralouquice desvairada do E2. Knol não é exatamente uma enciclopédia, mas também não é um free-for-all como o E2 e isso, por si só, já vale um confere. Mas, o que vale um confere mesmo é o E2, que, apesar dos tweeters, diggs, youtubes e *.fm da vida, segue bombando com textos sensacionais.
Subscribe to:
Posts (Atom)
Posts
