 |
| Bellacosa Mainframe e o virus Zalgo assuntando o mundo JS |
Risco de Software? Sabotagem em código: Estudo do Caso Zalgo
Salve jovem padawan, hoje vamos comentar sobre um acontecimento quente que ocorreu nos últimos dias, mais precisamente por volta de 10 de janeiro, algo que nos faz parar, avaliar, analisar e pensar em todo o enredo.
Calma que explicarei, bombasticamente aconteceu uma alteração no código fonte de duas famosas bibliotecas em JavaScript, utilizada por milhares de desenvolvedores no mundo afora. Coisas de software livre e comunidade colaborativa.
Num primeiro momento foi uma sabotagem no código fonte, que gerou comportamento errático e anômalo em ambas as bibliotecas, que causou comoção na comunidade.
O que aconteceu na faker.js e colors.js?
No começo do ano vários desenvolvedores notaram uma situação anômala, semelhante há um vírus no funcionamento destas bibliotecas, que no decorrer da sua execução apresentavam uma mensagem no console, seguida de uma série de caracteres estranhos.
LIBERTY LIBERTY LIBERTY
Liberdade Liberdade Liberdade.
Inúmeros programas foram retirados de produção e backups foram utilizados para restaurar a versão anterior, deixando gerentes de TI e equipes muitíssimas preocupadas, seria apenas isso, ou existiria algum backdoor ou outra rotina maliciosa dentro das bibliotecas?
Por vias das dúvidas, os programas ficaram em quarentena, enquanto os especialistas em segurança avaliavam a ameaça e elaboravam relatórios de segurança.
O que é Faker.Js ?
É uma biblioteca utilizada para mockar dados em back-end utilizada especificamente para teste em apis, testes de carga e funcionamento de workflows com uma massiva criação de dados fake.
Podendo ser utilizado via instalação NPM ou Yarm, mas também referenciada em páginas HTML sendo muito útil para os desenvolvedores
O que é Colors.js?
É uma biblioteca de cores utilizada para front-end auxiliando o desenvolvimento de pagina parametrizando códigos de cores em CSS, HTML e aplicativos.
A história por trás do caos
Em teoria não existe nenhum risco nas Bibliotecas, os analistas de segurança correram a verificar e recomendaram a não utilização, pois a credibilidade ficou abalada, porem segundo algumas fontes não ocorreu nenhuma invasão ou ataque de crackers.
A princípio a comunidade DEV creditou a cyberpiratas ou mesmo trolls, que poderiam usar uma quebra de senha e infiltrando-se na comunidade para inserir vírus, worms, trojans e outros malwares num código amplamente utilizado por milhões de programadores em milhares de empresas.
Mas na verdade foi um ato de anarquia digital, onde o próprio autor fez um manifesto de revolta e honrou a memória de uma vítima dos abusos policial, sendo vítima de um golpe kafkiano.
Investigando o fonte
Uma análise no código de ambas as bilbiotecas encontrou uma explicação no arquivo README.TXT do projeto, estava uma questão: o que realmente aconteceu com Aaron Swartz?”
https://github.com/Marak/faker.js
O grande Aaron Swartz
Estou me referindo ao grande programador e hackativista pro-SOPA, em vida participou ativamente em diversos projetos open-source, auxiliou na criação e melhorias no RSS, no markdown.
Acabou sendo vítima de uma armadilha do FBI e acabou sendo processado correndo o risco de pegar até 30 anos de cadeia, mas devido as suas habilidades como programador, queriam agenciar seu trabalho e faze-lo renegar o seu ativismo, levando-o para o lado negro da força, sendo que se aceitasse comutaria sua pena de prisão para apenas 6 meses.
Declarando-se inocente, não aceitou o acordo com a promotoria e como último ato nesta tragédia tirou a própria vida, enforcando-se no dia 11-01-2013, mas não vendendo-se.
O principal suspeito
Após análises preliminares foi constatado que não houve invasão e o código estava seguro, sendo que o autor da pichação virtual foi Marak Squires, o responsável pelo código malicioso, sendo que ele é o autor de ambas as bibliotecas.
O ato e a tragédia
Afinal o Zalgo não causou danos a ninguém, apenas assustou a comunidade pegando as empresas de segurança de software de surpresa, afinal o uso de bibliotecas de terceiros é um furo de segurança.
Podendo ser explorado por crackers para no futuro usa-las como cavalos de troia e adentrarem CPDs de empresas importantes.
A princípio as políticas de segurança devem ser revistas e todo software open-source devem ser utilizados com atenção.
O que é zalgo?
Hoje apresentei inúmeros termos novos, vamos explorar um outro termo, comum na Deep Web, Zalgo, também conhecido como Z'algatoth, originalmente era um meme oriundo do site de discussão e compartilhamento de imagens Something Awful criado pelo usuário Shmork pseudônimo de Dave Kelly), que acabou se tornando um personagem significativo dentre a comunidade de creepypastas e migrou para inúmeras redes sociais.
Cyber protestos
A cada dia surge uma nova maneira dos cyberativistas se pronunciarem e compartilhar com toda a comunidade seu ponto de vista e lançar memória de uma grande pessoa vítima do sistema, Swartz foi um gênio e imagine o quando poderia ter produzido se sua vida não tivesse sido abreviada, convido a todos a lerem sua biografia no Wikipédia.
Uma comunidade atuante
Se gosta de programar convido-o a explorar o GITHUB, que existem inúmeras comunidades que trabalham para o bem comum, codificando ferramentas para auxiliar a produtividade e criar apps livres e sem licenças.
Muitas pessoas ficaram indignadas com os administradores do GitHub por terem suspenso a conta de Squires, afinal de contas, ele nao fez nenhum ato indevido, afinal o código era dele e o repositório idem, nao prejudicou ninguém apenas gerou muita repercussão e fez a comunidade parar, pensar e homenagear a memoria de um grande Dev.
Conclusão
Caro padawan hoje o tiozão apresentou mais um caso curioso no mundo da informática, quem conhece alguns dos temas abordados e quiserem aproveitar para enriquecer nosso artigo, fiquem a vontade e deixem nos comentários.
Eu particularmente fiquei muito emocionado na sigila homenagem e ao mesmo tempo protesto bem-humorado, que deixou muita gente de cabelo em pé.
Espero ter ajudado, lembre-se que é um trabalho continuo.
Mais momento jabá, para distrair, uma visita a Araraquara, num insólito posto de gasolina, onde o Batman e seu grande fan, criaram inúmeras atrações para ser explorado, para a alegria de miúdos e graúdos, e se tiverem um pouco de sorte poderão dar uma volta no Bat-movel, visite meu vídeo e veja para onde fui desta vez:
Pode me dar uma ajudinha no YouTube?
Artigo original : https://web.dio.me/articles/zalgo-uma-pequena-sabotagem-bibliotecas-na-fakerjs?back=%2Farticles&open-modal=true&page=1&order=oldest
