Samy Kamkar estava apenas tentando impressionar garotas, mas, ao invés disto, fez história entre os hackers online.

Kamkar criou o que é considerado o primeiro worm que atinge a Web 2.0 - uma praga que não poderia ser bloqueada pelo firewall e que, por fim, forçou os responsáveis pelo MySpace.com a tirar o serviço do ar.

O worm Samy foi apenas o mais proeminente de uma nova geração de ataques online que alguns experts de segurança temem que podem desacelerar o rápido crescimento do modelo de internet colaborativa conhecida como Web 2.0

O Samy chegou à internet no final de 2005. Kamkar declarou ter descoberto a praga enquanto procurava uma forma de entrar em sites da web onde é possível publicar conteúdo. Ele acessou as restrições do site MySpacce e adicionou um código que “personalizaria” a aparência dos perfis.

"Uma tigela de burritos e alguns cliques" após descobrir a brecha, Kamkar criou o worm com maior velocidade de infestação de todos os tempos.

Dentro de 20 horas, a praga tinha e espalhado entre mais de 1 milhão de usuários do MySpace.com, forçando os infectados a selecionar Kamkar como "herói" dentro do seu perfil.

O conglomerado News Corp. foi forçado a tirar do ar o MySpace para corrigir o problema, e Kamkar pegou condicional de três anos por isto.

Diferente de pragas como MyDoom e Sobig, disseminadas há alguns anos, onde sistemas foram derrubados e problemas técnicos surgiram, a praga de Kamkar não fez nada para prejudicar os computadores dos usuários do MySpace. E, uma vez que o problema estivesse corrigido na rede social, também estaria no resto do mundo.

Para especialistas, como o CEO da consultora de segurança Sectheory.com, Robert Hansen, a praga de Samy é um exemplo das conseqüências inesperadas que podem surgir quando um administrador permite que os usuários contribuam com as propriedades de seus sites.

Junto a outros pesquisadores de segurança, Hansen acredita que, sem uma mudança radical na forma com que os navegadores interagem com a rede, o problema de segurança na Web 2.0 apenas crescerá.

Desktops e servidores online não foram desenvolvidos para trabalhar juntos quando se trata de segurança.

E uma vez que a Web 2.0 obriga as máquinas a executarem atividades cada vez mais distantes das suas funções primordiais de publicação acadêmica, surgem as complicações, diz Hansen, que mantém um site para discutir as últimas ondas de ataques online.

O Google Desktop é um exemplo que preocupa Hansen, já que, com este tipo de serviço, vulnerabilidades na internet podem afetar o desktop. “Se você permite que um site tenha acesso ao seu drive, você está confiando que este site é seguro.”

Este é um problema enfrentado por sites como MySpace e eBay todos os dias, mas caso a visão do Google de integração entre desktops e internet se torne realidade, a segurança da Web 2.0 pode pressionar ainda mais usuário corporativos.

Mesmo que alguns pesquisadores não concordem com Hansen, afirmando que o Google fez um trabalho admirável mantenho seu site livre de falhas, o problema real de segurança está fora do controle de portais e buscadores, como o Google.

"Não existe modelo seguro para navegadores", afirma Alex Stamos, fundador da consultoria Information Security Partners. "O problema é que o Google está jogando pelas regrasque o Netscape instituiu há uma década".

Stamos classificou o modelo de Web 2.0 de compartilhar pequenos programas gerados pelo usuário, chamado "widgets", como "completamente insano" de uma perspectiva de segurança.

Na web, há dois ataques principais que preocupam os pesquisadores de segurança: ataques que usam scripts maliciosos em múltiplos sites e ataques que se aproveitam de múltiplos sites para roubar senhas.

Há diferentes tipos de ataques que usam scripts maliciosos em múltiplos sites, mas o resultado é sempre o mesmo: o invasor encontra uma forma rodar códigos não autorizados no navegador da vítima.

Sites que permitem que usuários publiquem seu próprio conteúdo utilizam softwares de filtro que evitam que dados perigosos sejam postados. Mas no caso da praga do MySpace, Samy encontrou uma maneira de burlar os filtros da rede social e incluir seu JavaScript.

Em um segundo tipo de ataque que usa scripts maliciosos em múltiplos sites, o site é enganado e roda um código JavaScript incluso na URL de uma página da web. Geralmente, webdesigners não permitem que estes ataques funcionem, mas erros de programação podem possibilitar a ação.

De acordo com Seth Bromberger, administrador de informações de segurança da Pacific Gas and Electric, o modelo de Web 2.0 exige que a empresa se preocupe não apenas com a segurança e confiabilidade do seu serviço, mas também de outros interconectados a ele.

Bromberger preocupa-se com o fato de muitos serviços estarem sendo construídos antes que todos os riscos de segurança sejam compreendidos por completo.

Ele diz, por exemplo, que os riscos de ataques que formam mútiplos sites para roubar senhas em redes de comunicação locais somente agora estão sendo analisados. Nestes ataques, o criminoso encontra uma forma de enganar o site, fazendo com que ele pense que está enviando e recebendo dados de um usuário que está conectado.

Ataques que se aproveitam de múltiplos sites são difíceis de serem ativados, mas, em um alvo específico, são efetivos contra um grande número de serviços, de acordo com o chief technology officer da WhiteHat Security, Jeremiah Grossman, que ainda afirmou que ataques do gênero se tornarão a maior ameaça a se combater nos próximos dez anos.

“É estranho não haver pesquisas que apontem como desenvolver um site seguro e quais as melhores práticas para que uma companhia se proteja”, afirma o diretor de informações de segurança da divisão PayPal do eBay, Michael Barret.

A opinião de Barret é de que muitos padrões básicos da web, como JavaScript e HTTP, precisam ser repensados. “Se muitas empresas concordarem que existe um problema ali, então a indústria começará a se mexer", propõe.