orkut – O Desenvolvedor

Entrevista com Rodrigo Lacerda (responsável pelo Vírus do Orkut)

Publicado 21 de dezembro de 2007 por gserrano

Rodrigo Lacerda escreve no blog Blog Ctrl+C e foi o responsável pelo ataque do Vírus do Orkut que aconteceu esses dias. O assunto já foi esclarecido em diversos blogs, inclusive no dele, mas resolvi fazer algumas perguntas ao Rodrigo e ele aceitou responder.

AA – Você já disse ser programador, certo? Você trabalha em alguma empresa ou como autônomo? Tem medo que o que você fez possa prejudicar sua carreira ou acredita que isso pode trazer novas oportunidades?

RL – Eu não sou programador profissional, faço por lazer mas já trabalhei com isso, tanto como freelancer como em uma empresa.

AA – Muitas pessoas ficaram brabas e difamaram todas as suas próximas gerações enquanto outras te vangloriavam pelo feito. O que você tem a dizer aos que acharam um ato sem noção, ofensivo, malvado bobo-chato-feio?

RL – Não tenho nada a dizer, elas têm o direito de ter essa opinião. Se todo mundo achasse que foi legal, não teria a menor graça.

AA – Existem comunidades criadas no Orkut (bem antes do fato) te acusando de hackers e dizendo que você é procurado, de onde vem isso? Pode dizer até onde isso é verdade?

RL – Em novembro do ano passado eu criei um script que ficou conhecido como "Orkut Cookie Exploit". Ele transferia todas as comunidades da vítima para o atacante de forma automática e enviava por mensagem privada os cookies da vítima. Na mensagem era colocado o meu nome "Rodrigo Lacerda", e como isso foi usado contra vários "justiceiros" no orkut, eles acharam que eu era quem estava roubando as comunidades deles. Esse episódio, inclusive, pode ter ajudado no meu último emprego como programador.

AA – Quantos e quais blogs você tem? Bloga por dinheiro? Do ponto de vista rentabilidade o ataque compensou para o CTRL+C? E das visitas?
(Se você puder disponibilizar um gráfico das visitas, pode ser sem números só para acompanhar o crescimento)

RL- Tenho apenas o Blog do CTRL+C. Mantenho ele não para viver, não sou problogger, mas para cobrir alguns gastos pessoais mesmo. O número de visitas subiu assustadoramente, mas por incrível que pareça, os ganhos não, se mantiveram na mesma faixa (ok um pouco acima), meu CTR despencou.
Eu tenho um sistema que "montei" que mostra gráficos dos pageviews do Analytics junto com ganhos do AdSense e HOTWords. Quando atualizar eu mando para você. Logo mais faço isso.

AA – Assim que o Rodrigo me enviar os gráficos eu coloco aqui, estou com um outro post quase pronto com os gráficos daqui referente a exploração de palavras chaves certas. SEO com sensacionalismo, uma beleza! Por aqui explorei bem o hype – como eu já tinha escrito um post sobre "bug no Orkut" e estava no topo do Google as visitas subiram assustadoramente. Fiquei algum tempo no topo para "vírus no orkut" também o que ajudou bastante. Mas logo que blogs com mais força subiram perdi a posição e consequentemente as visistas. O CTR despencou aqui também e do ponto de vista financeiro a banda consumida não compensou… haha

AA – No Brasil condenação por crime digital não é comum, mas você não tem medo de alguma coisa deste tipo? Está arrependido de alguma forma do que fez? Repetiria o feito?

RL – Não é comum mesmo. Conheço algumas coisas sobre crimes digitais, mas leis que eu creio serem antigas. Mas pelo pouco que conheço isso não se encaixa em nenhuma delas. Mas o que eu fico pensando é que as pessoas recebem spam todos os dias, milhares de pessoas são infectadas por verdadeiros vírus que roubam seus dados, e nada é feito. Não me arrependo do que fiz, só não digo que faria denovo porque não teria mais graça.

AA – Espaço livre, mensagem, foto, link…

RL – Eu tenho a dizer que as pessoas tomem cuidado. Ficou claro que é possível usar esse tipo de falha sem que o usuário precise clicar em nada, basta ler scraps, e isso todo mundo faz, e não é para deixar de fazê-lo. Peço também desculpas pelo descuido com o filtro, isso deve ter irritado muita gente. E um beijo para a minha futura esposa, Lih! =)

É isso aí, Rodrigo é humano e bem humorado, pelo visto. Apesar de ter se incomodado com meu último post sobre o assunto (já me desculpei) respondeu as perguntas, valeu pela paciência e tempo que tomei, abraço e sucesso!

E não esqueçam do blog dele: Blog Ctrl+C

ps: Parabéns pelo "futura esposa", Felicidades ao casal!

Infectados pelo Vírus do Orkut – Finalmente aconteceu

Publicado 19 de dezembro de 2007 por gserrano

Antes de começar tenho que dizer que estou rindo e rindo muito, principalmente pelo caos causado no Orkut.

No polêmico post sobre o bug do Orkut para deslogar por scrap eu previni:

Mais uma vulnerabilidade que neste caso foi usado de forma "inocente" mas pode causar muito estrago se for melhor explorada por alguma mente maligna da internet.

[Update]

O ~~virgem~~ rapaz nem tão perverso que explorou muito bem essa falha do Orkut foi Rodrigo Lacerda, do Blog Ctrl+C. Assim que recebi o scrap e vi que entrei na comunidade, fui direto no código javascript, disponível neste link. Chegar até ele foi mais do que fácil, o orgulho e vontade de assumir as coisas malvadas e fodonas é o que derruba as pessoas. O ego não permitiu o anonimato (primeiro ele disse que ia fazer isso para divulgar o blog, deposi desistiu)

Eu cheguei atrasado na brincadeira, quando recebi o scrap e fui para o javascript encontrei ele assinado. Achei estranho, mas em comentário neste post o Rodrigo explicou que só assinou o Javascript depois que o nome e perfil vazaram pelo Twitter.

Pegar o bonde andando e quer sentar na janela é isso.

Então fica meu pedido de desculpas: o Rodrigo não foi mirim e egocêntrico de assinar o script e querer mostrar a cara.

~~Que ego, ein Sr Lacerda?~~

[/Update]

Das minhas brincadeiras (que não chegam nem perto de pegar 400 mil pessoas no site ~~de relacionamentos~~ mais acessado no Brasil) eu nunca assinei nada.

Com o nome do meu novo ídolo em mãos fui direto para o Orkut, claro. Fiz a busca e cheguei até o perfil dele e consequentemente o blog, que ainda não tinha postado nada sobre o assunto.

Vamos falar sobre o "vírus"…

O que o vírus faz?
O vírus aparentemente não é um vírus e não é maligno. É um javascript executado através do Embed do Flash.

Como javascript não é minha praia não me esforcei para TENTAR decifrar o código, mas como eu disse ta aí para quem quiser ver.

Você recebe o scrap e quando você lê o javascript é executado automaticamente. Sei lá por que meios você começa a distribuir o scrap e entra na comunidade Infectados pelo Vírus do Orku. A primeira coisa que pensei foi: vou achar o javascript e alterar o ID da comunidade.

Achei o ID da comunidade lá, mas tava fácil demais e provavelmente não funcionaria. Fora que eu não ia saber o código a postar, deixei pra quem sabe. Se funcionasse seria muito "eu quero roubar o mérito" e não seria legal.

Deixei um comentário no Ctrl+C para ver se rola uma pequena entrevista com o Rodrigo – sei que ele tem méritos por acontecimentos passados, quero saber o que é ou não real. E contar tudo para vocês.

Mas a minha principal pergunta é: quanto rendeu a porra do AdSense com essa campanha, Rodrigo? Hahaha.

Como tirar o vírus do Orkut?
Se não é vírus você não tem que tirar, mas usei essas palavras por questões capitalistas (Google é rei).

Vamos por partes, vou ensinar como se proteger e não cair mais nessas artimanhas da internet. Primeiro você vai baixar o Fire Fox. Isso, chega de Internet Explorer, vamos aos browsers de verdade.

Com o FireFox instalado baixe o Flashblock, um plugin que não permite a execução dos embed's. Aparentemente você está livre, agora é só esperar o Orkut corrigir o congestionamento causado pela brincadeira…

Extras

A comunidade Infectados pelo Orkut é RECORDISTA.
Quase 400 mil membros em questão de poucas horas, fora os tópicos e o chat que tá rolando. E o congestionamento no Orkut… hahaha