Comments on: Vulnerabilidades Site Novas Oportunidades

By: João Pedro Pereira

João Pedro Pereira — Fri, 09 Apr 2010 10:33:03 +0000

Antes de mais, obrigado pelo seu comentário.

Eu, não faço ideia quem fez isto, só sei que o cliente final é o estado e talvez devesse ter mais em atenção o que produz ou o que compra.

Eu não sou uma pessoa “tão qualificada” como diz, todos temos as nossas falhas, mas há falhas que não são perdoáveis.

By: tictactoe

tictactoe — Thu, 08 Apr 2010 22:10:59 +0000

«Isto mostra a preparação e conhecimentos ao nível de segurança informática que os WebDevelopers que o estado contrata têm…»

Quem lhe diz que não são programadores duma empresa avençada? Isto se souber o que são avenças…

O senhor nem sonha com os disparates que algumas empresas de informática avençadas fazem, sobretudo aquelas ligadas ao plano tecnológico da educação! Aquilo é desde redes wireless sem chaves, até routers de trazer por casa a servirem escolas enquanto têm Ciscos a um canto, até servidores que só são usados para partilhar programas!

Nunca percebo porque é que as pessoas tão qualificadas como o senhor não vêm para o Estado valorizá-lo.

By: Jorge

Jorge — Wed, 10 Mar 2010 14:38:05 +0000

«Governo desmente ataque informático: Portal Novas Oportunidades não foi alvo de ataque informático »

A estratégia é negar sempre. A questão é que as vulnerabilidades descobertas permitiram o acesso à BD, logo a questão não é se o site foi ou não atacado (foi) mas sim se foram ou não roubados dados da BD do site.

Outro aspecto mirabolante é pretender que o subdomínio onde o SQL injection ocorreu é um site autónomo.
.-= Jorge´s last blog ..Mais vale rir – 35 =-.

By: David

David — Tue, 09 Mar 2010 22:44:07 +0000

Boas,

Depende do endereço introduzido e do dano que pode causar. É muito relativo. Imaginemos um endereço manipulado com “SQL Injection” para inserir conteúdos ou mesmo comprometer o servidor…

Conheço um caso prático de um romeno intitulado de “unu” que por diversas vezes publicou num dos seus blogues as vulnerabilidades que encontrava (Yahoo, Orange, etc) e, num dos casos em que demonstra a fragilidade de más configurações de um SGBD, foi processado judicialmente e viu o seu blogue encerrado.

É um tema que dá muito pano para mangas.

Abraço

By: Rui

Rui — Tue, 09 Mar 2010 11:26:27 +0000

Muito espirituoso!! Obviamente que o crime está em acções do tipo “defacement”.

By: Jorge

Jorge — Mon, 08 Mar 2010 21:40:44 +0000

Rui, pode deixar a referência à legislação que pune a introdução de um URL num browser?

Obrigado.

PS: se quiser, já agora considere esta situação: um funcionário da NATO perde um documento secreto. Eu, que não tenho credenciais para o ver, encontro-o na rua e olho para ele. Leio a primeira página. Estou a cometer um crime?
.-= Jorge´s last blog ..Site Novas Oportunidades aloja o Fliscorno =-.

By: DA

DA — Mon, 08 Mar 2010 20:17:42 +0000

Caro André, é mais que sabido que o open-source tende a ser mais seguro mas não estou a remeter para todo o software, remeti para o WordPress que tem provas dadas e a comunidade em torno do mesmo é imensa.
Nenhum, repito, nenhum sistema é infalível mas isto é senso comum!

E dada a minha experiência no campo há muitos anos digo que sim, o facto de ser open-source e uma webapp com vários fãs torna-a numa solução a adoptar.
O código fechado é fechado e acabou-se, ninguém, nem eu próprio, o posso alterar por forma a melhorar, só quem o criou (e fechou).
Sou totalmente open-mind ao ponto de não ignorar os factos subjacentes ao open-source.

Mas para concluir, eu acho que me deste razão ao comparar Apache e IIS!

By: João Pedro Pereira

João Pedro Pereira — Mon, 08 Mar 2010 20:07:40 +0000

Exactamente, e volto a reforçar que este tópico apenas tem/tinha intenção de mostrar a falta de segurança de algumas plataformas nacionais, sem incentivar este tipo de ataques mas sim defendendo que conhecendo as técnicas de ataque podemos produzir melhores defesas.

Além disso mal postei aqui o tópico enviei dois e-mails para que pudessem ser corrigidos e que penso terão sido lido perto das 16h56.

Legislação Informática Portuguesa (penso que não está aqui tudo…): http://tek.sapo.pt/Arquivo/legislacao_informatica_110460.html

By: João Pedro Pereira

João Pedro Pereira — Mon, 08 Mar 2010 20:02:32 +0000

Sim já estive a ver e já corrigiram a falha que permitia o ataque XSS, e puseram offline a parte que permitia SQL Injection, quanto à outra falha dos URL mantém-se apesar de ter sido feita uma pequena alteração.

Vou colocar screenshots que tirei enquanto estavam as falhas activas.

Infelizmente a qualidade ainda é muito baixa…

By: Rui

Rui — Mon, 08 Mar 2010 20:01:23 +0000

Já que ninguém fala nisso, é importante recordar que este tipo de ataque é crime.