Vulnerabilidades Site Novas Oportunidades

Já há algum tempo que tenho andado a investigar sites nacionais em busca de falhas de segurança e quase todos as têm, as mais frequentes são as falhas XSS mas também é muito comum encontrar falhas de SQL Injection.

Hoje tive acesso através de um tweet do Público (http://bit.ly/aU0kuy) à informação de que o site das Novas Oportunidades tinha sido explorado e alterado por  alguém… Decidi então enquanto era tempo verificar as falhas que existiam no site e qual o meu espanto (not) quando vejo presentes falhas de XSS, falhas de SQL Injection e falhas de validação de parâmetros que permitem Impersonation Attack através de injecção de URL.

O ataque relatado pelo público foi feito através de SQL Injection possivelmente na página seguinte pois esta está totalmente aberta a ataques deste género: http://testemunhos.novasoportunidades.gov.pt/detalhe_video.aspx

O ataque que referi relativo a problemas de validação de parâmetros que permitem injecção de URL: http://www.novasoportunidades.gov.pt/outerFrame.jsp?link=https://joaopedropereira.com/blog/

Com alguma imaginação pode-se fazer alguns ataques interessantes a partir daqui…

Na pesquisa também podemos facilmente fazer ataques de XSS (Cross Site Scripting) como referi anteriormente: http://www.novasoportunidades.gov.pt/np4/q?q=%3Cscript%3Ealert%28%22The+Blog+of+a+WebDeveloper%22%29%3C%2Fscript%3E

Isto mostra a preparação e conhecimentos ao nível de segurança informática que os WebDevelopers que o estado contrata têm… Atenção este não é o único site governamental com problemas graves de segurança, existem mais e talvez que transaccionem dados mais importantes…

Nota: Este post não tem como intuito incentivar qualquer tipo de ataque informático, pretende apenas informar e alertar para os problemas informáticos que podem surgir num futuro nas infraestruturas governamentais (e não só). É importante ter as nossas plataformas o mais seguras possíveis, para não sermos surpreendidos um dia.

EDIT

As falhas estão a ser corrigidas, quase completas por isso para registo futuro adicionei screenshots das falhas. É também de valor ler e participar nos comentários a este post que estão a dar uma boa análise do Web Development nacional.

EDIT 2

Governo desmente ataque informático: Portal Novas Oportunidades não foi alvo de ataque informático . Provavelmente precisam que venha algo abaixo e que cause danos a muitas pessoas para admitirem os erros…

23 comments

  1. Só uma nota: não existe nada chamado “impressionation attack” [sic], mas sim “impersonation attack”… convém chamarmos os mesmos nomes às mesmas coisas.

    1. O meu site? Se for possível ser mais especifico…
      O meu site mesmo não tem qualquer vulnerabilidade (excepto se forem relativas ao servidor), quando ao blog é possível que tenha porque está desenvolvido em wordpress e existem vulnerabilidades próprias do wordpress (apesar de nesta versão não ter conhecimento de nenhuma).

    2. LOL WordPress meu amigo, open-source, 2.9.2
      E já agora faz o favor à comunidade e reporta a(s) vulnerabilidade(s) caro sabichão!

      1. Desculpa lá, mas esse argumento de ser opensource não tem nada a ver. Por exemplo, o servidor WWW Apache é opensource, e no entanto é bastante fiável, não infalível: prova disso é a sua aderência por serviço populares.

        Ainda nesse campo, temos o IIS, da Microsoft, que embora seja proprietário/código fechado, foi alvo de grande crítica devido à sua falha de segurança de buffer overflow, explorada pelo famoso worm Code Red
        http://en.wikipedia.org/wiki/Code_Red_%28computer_worm%29

        São só exemplos, e claro que há software opensource pouco seguro, mas isso só vem a reforçar que o facto de ser open/closed source não mexe de forma significativa na segurança.

        Cumps.

        1. Caro André, é mais que sabido que o open-source tende a ser mais seguro mas não estou a remeter para todo o software, remeti para o WordPress que tem provas dadas e a comunidade em torno do mesmo é imensa.
          Nenhum, repito, nenhum sistema é infalível mas isto é senso comum!

          E dada a minha experiência no campo há muitos anos digo que sim, o facto de ser open-source e uma webapp com vários fãs torna-a numa solução a adoptar.
          O código fechado é fechado e acabou-se, ninguém, nem eu próprio, o posso alterar por forma a melhorar, só quem o criou (e fechou).
          Sou totalmente open-mind ao ponto de não ignorar os factos subjacentes ao open-source.

          Mas para concluir, eu acho que me deste razão ao comparar Apache e IIS! 🙂

  2. Não são só os sites governamentais em Portugal que não respeitam certas regras básicas de segurança web. As entidades bancárias também sofrem de diversos problemas do género e algumas destas não são corrigidas à largos meses.

    É necessário haver consciencialização dos perigos que pode levar a perda de informação confidencial.

    Abraço

    1. Viva David,

      sim, infelizmente em Portugal (bem como noutros países…) ainda não existe a consciência que é necessário proteger as informações dos clientes / cidadãos, porque por vezes implementar sistemas mais seguros fica a curto-prazo mais caro e com tempos de desenvolvimento maiores, então preferem não cuidar desse aspecto. Claro que depois os danos podem ser enormes…

      Existem também dois tipos de Web Developers que fazem com que isto aconteça, os inexperientes que por falta de conhecimentos ao nível da segurança informática não implementam soluções seguras e os que apesar de terem conhecimento dos problemas e dos possíveis ataques não pensam em proteger os seus produtos contra eles porque se o cliente não descobrir deu menos trabalho e ganhou o mesmo, ainda podendo ganhar algum extra no futuro para corrigir falhas.

      É triste…

      David, muito obrigado pelo comentário e tenho gosto em ver-te por cá mais vezes.

  3. Parece que já foi corrigido. E se fosse só a nível de segurança… Os próprios websites têm uma estética horrível, pergunto-me de existe algum trabalho de usabilidade por trás, ou é chegar ao editor WYSIWYG e pimba.

    Não que a segurança não seja importante, mas vem a reforçar o teu argumento sobre a (falta de) qualidade de alguns websites portugueses de serviço público.
    .-= André´s last blog ..Temas do WordPress – Copyright a troco de segurança =-.

    1. Sim já estive a ver e já corrigiram a falha que permitia o ataque XSS, e puseram offline a parte que permitia SQL Injection, quanto à outra falha dos URL mantém-se apesar de ter sido feita uma pequena alteração.

      Vou colocar screenshots que tirei enquanto estavam as falhas activas.

      Infelizmente a qualidade ainda é muito baixa…

    1. Exactamente, e volto a reforçar que este tópico apenas tem/tinha intenção de mostrar a falta de segurança de algumas plataformas nacionais, sem incentivar este tipo de ataques mas sim defendendo que conhecendo as técnicas de ataque podemos produzir melhores defesas.

      Além disso mal postei aqui o tópico enviei dois e-mails para que pudessem ser corrigidos e que penso terão sido lido perto das 16h56.

      Legislação Informática Portuguesa (penso que não está aqui tudo…): http://tek.sapo.pt/Arquivo/legislacao_informatica_110460.html

    2. Rui, pode deixar a referência à legislação que pune a introdução de um URL num browser?

      Obrigado.

      PS: se quiser, já agora considere esta situação: um funcionário da NATO perde um documento secreto. Eu, que não tenho credenciais para o ver, encontro-o na rua e olho para ele. Leio a primeira página. Estou a cometer um crime?
      .-= Jorge´s last blog ..Site Novas Oportunidades aloja o Fliscorno =-.

      1. Boas,

        Depende do endereço introduzido e do dano que pode causar. É muito relativo. Imaginemos um endereço manipulado com “SQL Injection” para inserir conteúdos ou mesmo comprometer o servidor…

        Conheço um caso prático de um romeno intitulado de “unu” que por diversas vezes publicou num dos seus blogues as vulnerabilidades que encontrava (Yahoo, Orange, etc) e, num dos casos em que demonstra a fragilidade de más configurações de um SGBD, foi processado judicialmente e viu o seu blogue encerrado.

        É um tema que dá muito pano para mangas. 🙂

        Abraço

  4. «Governo desmente ataque informático: Portal Novas Oportunidades não foi alvo de ataque informático »

    A estratégia é negar sempre. A questão é que as vulnerabilidades descobertas permitiram o acesso à BD, logo a questão não é se o site foi ou não atacado (foi) mas sim se foram ou não roubados dados da BD do site.

    Outro aspecto mirabolante é pretender que o subdomínio onde o SQL injection ocorreu é um site autónomo.
    .-= Jorge´s last blog ..Mais vale rir – 35 =-.

  5. «Isto mostra a preparação e conhecimentos ao nível de segurança informática que os WebDevelopers que o estado contrata têm…»

    Quem lhe diz que não são programadores duma empresa avençada? Isto se souber o que são avenças…

    O senhor nem sonha com os disparates que algumas empresas de informática avençadas fazem, sobretudo aquelas ligadas ao plano tecnológico da educação! Aquilo é desde redes wireless sem chaves, até routers de trazer por casa a servirem escolas enquanto têm Ciscos a um canto, até servidores que só são usados para partilhar programas!

    Nunca percebo porque é que as pessoas tão qualificadas como o senhor não vêm para o Estado valorizá-lo.

    1. Antes de mais, obrigado pelo seu comentário.

      Eu, não faço ideia quem fez isto, só sei que o cliente final é o estado e talvez devesse ter mais em atenção o que produz ou o que compra.

      Eu não sou uma pessoa “tão qualificada” como diz, todos temos as nossas falhas, mas há falhas que não são perdoáveis.

Leave a Reply to João Pedro PereiraCancel reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.