24/05/2012

Site do PSD Lisboa atacado... outra vez!




O importante, a salientar aqui, não é propriamente o ataque, nem a piada das imagens.
É isto:
Contactado pelo SOL, o presidente do PSD Lisboa, Miguel Pinto Luz, referiu que, em seis meses, esta é a oitava vez que o site é atacado por hackers. «Isto é vandalismo puro e duro», comentou o dirigente social-democrata. «Vamos investir num melhor sistema de segurança informático, mas isso agora não é prioritário», admitiu.

Ora, começamos logo pelo facto de a segurança do site ser uma autêntica peneira. Ou seja, estamos a falar de alguém que entrega um projecto de um site a alguém que é um "curioso da informática" (por oposição a entregar a alguém que é um profissional competente). E como sabemos se é um "curioso da informática"? É fácil de identificar, basta que que no discurso inclua um ou mais dos seguintes termos:

  • Microsoft
  • .NET
  • PHP
  • Wordpress
  • PHPbb
  • Alojamento partilhado
  • etc.

Se isto estiver a ser lido por um profissional da informática, neste momento estará a bradar: "Este gajo, ao dizer isto, é que está a demonstrar que não percebe nada de informática.". A esses, eu explico:
É possível fazer sistemas seguros com as tecnologias acima descritas?
Sim, é.
O problema é que:

  1. Quem sabe usar a tecnologia acima descrita para fazer sistemas seguros, dificilmente a recomendará, porque também deverá conhecer outras tecnologias mais apropriadas.
  2. Quem não tem a capacidade de fazer sistemas seguros, normalmente recomenda a "única" tecnologia que "domina" (pensa que domina), e que normalmente é uma das acima descritas.

Para os profissionais seniores, aquelas tecnologias são o equivalente (na actualidade) ao CLIPPER do século passado, se é que me faço entender.

Depois, terminamos com a idiota conclusão de que a segurança não é prioritária... "Brilhante"!!!

E é isto (os actuais e os anteriores) que temos no Governo... Mas que capacidade têm estes imbecis de governar um país? É o caso das escutas ao PR. É o caso das secretas. É o Cartão do Cidadão que é outra ameaça à segurança. São outros casos aos pontapés. Mas também não é de espantar, se nem um mísero site de treta sabem proteger...

Outro exemplo da incompetência:
Como é que colocam nas secretas alguém assim tão estúpido (informaticamente falando), que nem sabe usar um computador de forma segura (de modo a que informação confidencial não possa ser lida por terceiros). Santa incompetência...

Somos governados por uma cambada de incompetentes (no mínimo). Sem contar com os corruptos e criminosos que esbanjam o erário em contratos que apenas favorecem os amigos, e que não tem qualquer valor para o país (isto sem falar dos casos que até são prejudiciais).

Actualização 24.05.2012 18:42:
A incompetência é ainda maior do que a inicialmente prevista...
Site do PSD-Lisboa atacado mais uma vez
Ao início da tarde, quem acedesse ao endereço psdlisboa.net encontrava a mensagem "Chega de corrupção! Falo por todos nós, portugueses", mas algum tempo depois a página principal da distrital social-democrata já apresentava outra aparência, com um alerta: "Este site encontra-se vulneravel a SQLInjection, tive o prazer de tirar o deface do estupido que fez. A pagina vulneravel do vosso site foi marcada".
Ou seja, até lhes foi explicado e indicado um (porque pode haver outros) problema há cerca de 5 meses... mas nem assim.
Enfim...

Actualização 24.05.2012 19:10:
Agrava-se a mostra de incompetência a cada minuto que passa...
Site do PSD invadido por imagens de teor sexual
“Já não é a primeira vez que isto acontece, portanto só temos de banalizar. Como estrutura partidária estamos sujeitos a estes ataques. Vamos estudar soluções de segurança que estejam dentro das nossas possibilidades, mas ter a página blindada implicaria um grande investimento e essa não é a nossa prioridade”, afirmou à Lusa o presidente do PSD de Lisboa, Miguel Pinto Luz.
Soluções de segurança?! Soluções de segurança?! Soluções de segurança?! Soluções de segurança?! Grande investimento?! É assim que a incompetência se traduz em largos milhões de euros do nosso erário gastos em "investimentos" completamente desnecessários. Se realmente tivéssemos políticos informados, e se realmente dessem ouvidos a peritos, em lugar de darem ouvidos aos "amigos" a quem gostam de entregar milhões para nada, saberiam que aqui não há necessidade nenhuma de grandes investimentos. A segurança não é uma "feature" que se adiciona a um produto de software. A segurança é parte integrante do desenvolvimento do software. É certo que se pode esbanjar dinheiro em soluções de firewalls com IDS/IPS que bloqueiem tentativas de SQL Injection, mas são remendos. Apenas remendos. A segurança implementa-se de raiz. O que é necessário é que o desenvolvimento das aplicações seja entregue a gente competente (que pelos vistos não foi), e que a segurança esteja presente desde a fase de inception do projecto até à implantação e manutenção. Entreguem os projectos a profissionais competentes, e verão que os remendos, a que chamam de "investimento", são perfeitamente desnecessários.