(com Marcelo Godoy)

Mr Manson é o editor do site de humor Cocadaboa.com, aquele que se diverte em criar pegadinhas para jornalistas. Tipicamente ele inventa uma notícia e muitas vezes assiste a brincadeira ser publicada como verdade em diversos sites (leia ao lado sobre o trote do Sexkut).

Desta vez ele fez diferente. Criou um fato verdadeiro, mas não conseguiu ser notícia, talvez porque os jornalistas estejam escaldados e prefiram evitar a tentação de publicar um furo e assim não passar por pato como outros colegas já o fizeram.

Foi mais ou menos assim: um leitor do Cocadaboa descobriu uma negligência de programação no Orkut, que combinada com uma falha de segurança do navegador Internet Explorer permite que sejam furtadas as identidades de quem acessar uma página de internet comum, que esconde um código malicioso. Isto posto, o site resolveu mostrar na prática que estas falhas de fato existem e roubou (seria essa a palavra?) o papel de moderador de várias comunidades do Orkut. Segundo o site, até o momento mais de 26 comunidades das grandes estão “seqüestradas”, somando todas quase um milhão de cadastrados.

A intenção do seqüestro seria, não necessariamente nessa ordem: 1. alertar para uma falha séria de segurança do Orkut e do Internet Explorer; 2. divulgar o Firefox; 3. conseguir pageviews para o Cocadaboa.

O que se comenta é que ação foi anti–ética, que há outros meios de alertar especialistas sobre falhas de segurança, que se trata de uma violência que contraria o espírito do software open–source e faz sim propaganda negativa do Firefox. Mas, ao mesmo tempo, faz pensar…

Conversamos com o editor do Cocadaboa sobre estas questões.

– Por que você fez isso?

– O Cocadaboa é um site que se destaca por apresentar as suas idéias de maneira irreverente, franca e direta, sem se preocupar com convenções politicamente corretas. Sabendo disso, o Vinícius (leitor que descobriu a falha de segurança) me procurou para ajuda–lo a divulgar esse grave problema. Obviamente ele já havia tentado usar os canais mais comuns, enviando e–mails relatando a brecha para sites da área e para a administração do Orkut, mas nada disso adiantou.

Resolvi então dar uma ajuda ao rapaz, colocando o “tempero” do Cocadaboa nisso tudo. Montamos um belo carregamento de merda para ser jogado no ventilador e está aí o resultado: uma confusão das boas, bem ao nosso estilo.

– Muita gente criticou a atitude, alegando que se trata de uma “confusão” nada produtiva, capaz de atrair peso negativo ao Firefox e usada apenas para divulgar seu site.

– Desagradar algumas pessoas é o preço de ser politicamente incorreto, não seguir padrões ou regras… Mas discordo quanto ao argumento de “improdutividade” da ação. A falha de segurança recebeu atenção. Normalmente as pessoas ouvem falar, lêem manchetes em sites, mas nem se preocupam com isso. Escutar as fragilidades do Internet Explorer virou tão rotineiro que ninguém liga, é notícia repetida (tanto é que o Vinícius nem recebeu atenção dos sites especializados).

Achei então que era essencial fazer algo diferente, que chamasse a atenção de todos e criasse uma certa “histeria” (mesmo que sem razão nenhuma para isso porque os atos foram inofensivos), porque só assim o tamanho desta falha e os problemas nas vidas das pessoas que ela poderia acarretar seriam tratados como merecem. O buraco no Orkut não é um “vírus qualquer”. Ele não apaga dados. Ele pode sim é causar sérios problemas na vida das pessoas, caso algum desafeto se aproveite disso.

– Explique qual seria esta falha do IE e do Orkut.

Na verdade o Orkut é uma grande gambiarra que deu certo. Ele não foi pensado para ser tão colossal como é. O resultado disso vemos no funcionamento do site: lentidão, erros, spam, floods em scrapbooks…

Uma das negligências do Orkut é com a segurança dos cookies. Para os que são um pouco mais leigos que eu: os cookies são arquivinhos que sites colocam no seu computador. Eles permitem que este site “lembre de você” quando você retorna. Os cookies do Orkut são extremamente mal feitos e inseguros. Em sites normais, o cookie só é válido por um curtíssimo período de tempo e/ou então funcionam apenas naquele computador que foi inicialmente colocado. No Orkut, o período de duração do cookie é longo e ele pode ser usado em um computador diferente caso seja copiado. Esse basicamente é o erro do Orkut.

Agora começa o erro do IE. No site Security Focus é descrita uma falha de segurança do IE onde um código malicioso, escondido em uma página de internet preparada como “armadilha”, usa a falha de segurança do browser para pegar os cookies de outros sites pelos quais o usuário passou (famoso bug classificado como Cross Site Scripting ou XSS). A maioria desses cookies não serve para absolutamente nada porque já expiraram ou só são autenticados se estiverem na máquina que foram instalados originalmente. Mas o do Orkut (mal formulado) serve. A pessoa que preparou a “página armadilha” se apropria então deste cookie e acessa o Orkut com todos os poderes de navegação da vítima, pois, como dito antes, este cookie é uma forma pela qual o site reconhece “quem é quem”.

Para se apropriar das comunidades a estratégia foi a seguinte: No scrapbook dos moderadores das maiores comunidades de Orkut do Brasil foi deixada uma mensagem, avisando que a “Comunidade X” havia sido citada em uma reportagem muito legal, e um link onde estaria a suposta matéria era indicado. O usuário clicava e caía nesta “página armadilha”. Aparentemente nada acontecia, era só uma página em branco, mas na verdade o cookie dela havia sido capturado. Assim era possível entrar no orkut como se fosse esta pessoa e fazer qualquer ação em seu nome, como enviar mensagens para amigos, escrever em fóruns, deletar o próprio perfil ou ainda transferir as comunidades de sua propriedade para outro usuário.

– Além do orkut, quais outros sites famosos estão desprotegidos?

Com certeza o Fotolog.net, lá é pior ainda, os cookies NUNCA expiram (é bom as menininhas que se amarram em se expor tomarem cuidado) . Mas acredito que a maioria dos sites importantes e que lidam com a privacidade de seus usuários (bancos, por exemplo) cuidam bem de seus cookies, logo o problema é remediado.

– Você fez isso em ardor ideológico para divulgar o Firefox?

Como muitas pessoas e empresas ao redor do mundo, resolvemos aderir a campanha voluntária de divulgação do Firefox desde seu início porque acreditamos que é necessário haver opções. A competição vai fazer que o IE tenha que melhorar e sanar seus problemas para continuar no mercado, e isso é bom para todos.

A indicação do Firefox durante a ação no Orkut foi uma decisão do Cocadaboa e não tem nada a ver com a Mozilla Foundation (responsável pelo Firefox), que certamente prefere táticas de divulgação mais politicamente corretas.

Mas é necessário entender que uma solução imediata deveria ser proposta e indicar o Firefox era a coisa mais óbvia a ser feita e simples de ser compreendida pelos mais leigos. A partir do momento que quem se sentisse em perigo passasse a usar o Firefox, o risco de ter seu perfil roubado era eliminado, sem ficar dependendo de mais um patch de correção do IE (que ainda não saiu) ou de uma atitude dos administradores do Orkut (que ainda não foi tomada).

– Por que nenhum site até o momento divulgou esta falha do IE e do Orkut?

O Cocadaboa tem um histórico de pregar peças na mídia, logo uma grande dúvida ficou no ar quando a falha do Orkut foi anunciada em nossa página. A absoluta maioria dos jornalistas sequer se preocupou em apurar os fatos de uma maneira mais profunda, mesmo com as circunstâncias e os argumentos apresentados sendo muito sérios e plausíveis. Como seria possível o Cocadaboa “seqüestrar” as maiores comunidades do Orkut? Como arquitetar algo tão grande?

Enviei explicações de como o esquema funcionava, me ofereci para provar, apresentei bons indícios… Mas nenhum deles teve coragem de aproveitar este imenso furo de reportagem que estava dando de mão beijada. O único que falou a respeito foi o Jornal O Dia, mas disse (irresponsavelmente) que tudo não passava de “mais um boato do Cocadaboa”.

Mas me senti extremamente lisonjeado com isso. Antes o Cocadaboa pregava peças na mídia com mentiras, agora prega uma grande peça com a verdade. É bom variar. Adoramos inovar, surpreender e confundir as pessoas. Mal ou bem, isso é um grande exercício de pensamento. Exercitar o bom senso é algo que devemos fazer sempre. Sem falar no entretenimento que isso proporciona, porque os episódios acabam virando novelas, com espectadores ávidos para descobrir o que realmente está acontecendo e qual vai ser o desfecho.

– Quais são os próximos passos? Quando serão devolvidas as comunidades aos seus donos? Haverá novas investidas sobre as comunidades do Orkut?

Já fizemos nosso papel. Jogamos a merda no ventilador, confundimos dezenas de milhares de pessoas, demos mais um puxão de orelha na mídia e, principalmente, fizemos todos olharem para uma falha de segurança com mais atenção.

Agora, que abrimos todos os bastidores da ação e revelamos todos os detalhes, o bastão fica na mão de veículos mais “responsáveis”, como o Webinsider. Que eles mobilizem as pessoas e cobrem soluções, que fiquem atentos para uma internet mais segura. Não haverá mais nenhuma investida e, se tudo der certo, as comunidades serão devolvidas para os seus donos ainda hoje, ou no máximo até o final de semana.

– Você espera que alguém do Orkut entre em contato com vocês?

Sinceramente, não. Também acho que eles não vão corrigir esse problema tão cedo. Por isso a necessidade de haver muita pressão e cobrança por parte da mídia e dos usuários, pois logo pessoas menos honestas do que o Vinícius vão aprender a fazer isso e o bicho vai pegar… [Webinsider]

.

Vicente Tardin

Vicente Tardin (vtardin@webinsider.com.br) é jornalista e criador do Webinsider. É editor experiente, consultor de conteúdo e especialista em gestão de conteúdo para portais e projetos online.