24/05/2012

Site do PSD Lisboa atacado... outra vez!




O importante, a salientar aqui, não é propriamente o ataque, nem a piada das imagens.
É isto:
Contactado pelo SOL, o presidente do PSD Lisboa, Miguel Pinto Luz, referiu que, em seis meses, esta é a oitava vez que o site é atacado por hackers. «Isto é vandalismo puro e duro», comentou o dirigente social-democrata. «Vamos investir num melhor sistema de segurança informático, mas isso agora não é prioritário», admitiu.

Ora, começamos logo pelo facto de a segurança do site ser uma autêntica peneira. Ou seja, estamos a falar de alguém que entrega um projecto de um site a alguém que é um "curioso da informática" (por oposição a entregar a alguém que é um profissional competente). E como sabemos se é um "curioso da informática"? É fácil de identificar, basta que que no discurso inclua um ou mais dos seguintes termos:

  • Microsoft
  • .NET
  • PHP
  • Wordpress
  • PHPbb
  • Alojamento partilhado
  • etc.

Se isto estiver a ser lido por um profissional da informática, neste momento estará a bradar: "Este gajo, ao dizer isto, é que está a demonstrar que não percebe nada de informática.". A esses, eu explico:
É possível fazer sistemas seguros com as tecnologias acima descritas?
Sim, é.
O problema é que:

  1. Quem sabe usar a tecnologia acima descrita para fazer sistemas seguros, dificilmente a recomendará, porque também deverá conhecer outras tecnologias mais apropriadas.
  2. Quem não tem a capacidade de fazer sistemas seguros, normalmente recomenda a "única" tecnologia que "domina" (pensa que domina), e que normalmente é uma das acima descritas.

Para os profissionais seniores, aquelas tecnologias são o equivalente (na actualidade) ao CLIPPER do século passado, se é que me faço entender.

Depois, terminamos com a idiota conclusão de que a segurança não é prioritária... "Brilhante"!!!

E é isto (os actuais e os anteriores) que temos no Governo... Mas que capacidade têm estes imbecis de governar um país? É o caso das escutas ao PR. É o caso das secretas. É o Cartão do Cidadão que é outra ameaça à segurança. São outros casos aos pontapés. Mas também não é de espantar, se nem um mísero site de treta sabem proteger...

Outro exemplo da incompetência:
Como é que colocam nas secretas alguém assim tão estúpido (informaticamente falando), que nem sabe usar um computador de forma segura (de modo a que informação confidencial não possa ser lida por terceiros). Santa incompetência...

Somos governados por uma cambada de incompetentes (no mínimo). Sem contar com os corruptos e criminosos que esbanjam o erário em contratos que apenas favorecem os amigos, e que não tem qualquer valor para o país (isto sem falar dos casos que até são prejudiciais).

Actualização 24.05.2012 18:42:
A incompetência é ainda maior do que a inicialmente prevista...
Site do PSD-Lisboa atacado mais uma vez
Ao início da tarde, quem acedesse ao endereço psdlisboa.net encontrava a mensagem "Chega de corrupção! Falo por todos nós, portugueses", mas algum tempo depois a página principal da distrital social-democrata já apresentava outra aparência, com um alerta: "Este site encontra-se vulneravel a SQLInjection, tive o prazer de tirar o deface do estupido que fez. A pagina vulneravel do vosso site foi marcada".
Ou seja, até lhes foi explicado e indicado um (porque pode haver outros) problema há cerca de 5 meses... mas nem assim.
Enfim...

Actualização 24.05.2012 19:10:
Agrava-se a mostra de incompetência a cada minuto que passa...
Site do PSD invadido por imagens de teor sexual
“Já não é a primeira vez que isto acontece, portanto só temos de banalizar. Como estrutura partidária estamos sujeitos a estes ataques. Vamos estudar soluções de segurança que estejam dentro das nossas possibilidades, mas ter a página blindada implicaria um grande investimento e essa não é a nossa prioridade”, afirmou à Lusa o presidente do PSD de Lisboa, Miguel Pinto Luz.
Soluções de segurança?! Soluções de segurança?! Soluções de segurança?! Soluções de segurança?! Grande investimento?! É assim que a incompetência se traduz em largos milhões de euros do nosso erário gastos em "investimentos" completamente desnecessários. Se realmente tivéssemos políticos informados, e se realmente dessem ouvidos a peritos, em lugar de darem ouvidos aos "amigos" a quem gostam de entregar milhões para nada, saberiam que aqui não há necessidade nenhuma de grandes investimentos. A segurança não é uma "feature" que se adiciona a um produto de software. A segurança é parte integrante do desenvolvimento do software. É certo que se pode esbanjar dinheiro em soluções de firewalls com IDS/IPS que bloqueiem tentativas de SQL Injection, mas são remendos. Apenas remendos. A segurança implementa-se de raiz. O que é necessário é que o desenvolvimento das aplicações seja entregue a gente competente (que pelos vistos não foi), e que a segurança esteja presente desde a fase de inception do projecto até à implantação e manutenção. Entreguem os projectos a profissionais competentes, e verão que os remendos, a que chamam de "investimento", são perfeitamente desnecessários.

6 comments:

  1. E já agora, qual é a tecnologia que utiliza para fazer sites modernos? Gupta? LoL
    A sua argumentação está cheia de razão, mas esse ódio de estimação a tudo o que lhe é estranho torna o discurso simplesmente ridículo. Para poder criticar é necessário conhecer. Alargue os horizontes.

    ReplyDelete
    Replies
    1. Estava a ver que não... demorou, mas chegou.
      O site em questão está em PHP, a referência à Microsoft foi isco, e funcionou. Lá apareceu um "curioso" a defender a sua dama.
      Claro que é "curioso". Se fosse profissional, não faria referência à questão da tecnologia, porque um profissional sabe que qualquer site pode ser inseguro (ou seguro) qualquer que seja a tecnologia usada (tal como referi no texto original). A referência à questão tecnológica apenas é possível ser feita por quem desconhece, ou não está ciente a 100% de tal facto. Consequentemente, este comentário de quem se "pica" com a questão tecnológica apenas vem dar razão ao que referi inicialmente.
      Ao referir "A sua argumentação está cheia de razão", demonstra que tem consciência de que não tem argumentos capazes de desmentir o que eu disse, mas depois com "Para poder criticar é necessário conhecer." apenas prova ser "curioso", porque demonstra que está CONFIANTE de que a tecnologia (neste caso da Microsoft) tem o poder de proteger de ataques. Não tem. Qualquer que seja essa tecnologia.
      E dou um exemplo da quantidade de "curiosos" que desenvolve sites em .NET, PHP e outras tecnologias "CLIPPER":
      Qualquer profissional competente sabe que um dos pontos de segurança é OCULTAR a tecnologia utilizada (e se não lhe for possível ocultar tal facto na totalidade, deverá pelo menos ocultar a versão em uso). Ora, a maioria dos sites desenvolvidos por esses "curiosos" não ocultam o facto de serem PHP ou .NET, por exemplo. Neste caso concreto, a extensão PHP está bem visível.
      Portanto, a questão "E já agora, qual é a tecnologia que utiliza para fazer sites modernos?" é outra prova do que concluí anteriormente. É pergunta que nenhum profissional competente coloca num espaço público.
      Obrigado pela confirmação.
      :-)

      Venha o próximo.

      PS: Os meus horizontes são muito abrangentes, e por isso mesmo, se for para desenvolver um site efectivamente seguro, usar uma tecnologia das mais comuns é um erro clamoroso. Basta analisar os logs de qualquer servidor disponível na Internet para compreender que todos os dias são feitos testes de exploits conhecidos. Tenho a certeza que devem existir para aí uns quantos cursos de formação em questões de segurança, mas os "curiosos" estão demasiado confiantes na sua tecnologia para acharem que são necessários. LOL

      Delete
    2. http://technet.microsoft.com/en-us/security/bulletin/ms12-016

      Delete
    3. Exemplos das tais tentativas que se podem observar nos logs:

      /MyAdmin/scripts/setup.php: 1 Time(s)
      /myadmin/scripts/setup.php: 1 Time(s)
      /phpMyAdmin/scripts/setup.php: 1 Time(s)
      /phpmyadmin/scripts/setup.php: 1 Time(s)
      /pma/scripts/setup.php: 1 Time(s)
      /w00tw00t.at.blackhats.romanian.anti-sec:): 1 Time(s)

      Delete
    4. http://web.securityinnovation.com/appsec-weekly/blog/bid/79065/How-to-Prevent-Cross-Site-Scripting-in-ASP-NET

      Delete
    5. http://www.linkedin.com/groups/Is-PHP-secure-enough-enterprise-40870.S.97172315

      «Joseph McMurry • There's a perception that PHP is less secure than some other languages,

      ***
      !!!
      but that has more to do with the lower barriers to entry in PHP for developers (e.g. there are more untrained PHP developers than say, Java or .NET developers)
      !!!
      ***

      than any actual security flaws in PHP.»

      Tal como disse: tecnologia "CLIPPER"...

      Delete