[caiu] E volta a "brincadeira" de "hackear" sites.
orlando em nipotech.com
orlando em nipotech.com
Segunda Agosto 1 11:39:36 BRT 2011
Prezados, bom dia,
Acredito que o problema de defaced em sites (seja do governo ou de
partivulares), entre outros, vai piorar daqui para frente pois o pessoal
pega e configura de qualquer jeito um Joomla, Drupal, Wordpress, PHPbb,
Plone, etc., etc., etc., isto quando não cria seus próprios scripts de site
que aprendeu a programar "de qualquer jeito" e habilita todo tipo de bobagem
desde upload, XSS a sql injection em formularios que são postados
diretamente para o banco sem tratamento.
Pessoal, é preciso conscientizar os "webdesigners" meia boca que
(entre inúmeras outras coisas):
1 - não é só jogar o site de qualquer jeito para um FTP e abandonar
aquele cliente que pagou "pelo site que ele fez", que tudo aquilo termina
alí como no filme do JackCHan "Bater ou correr" no caso o pessoal troca o
"ou por e".
2 - que eles não podem dar chmod 777 em qualquer canto sem entender
o que está acontecendo só porque tiveram um erro de permissão.
3 - que ferramentas open source são maravilhosas e devem ser usadas,
mas que devem ser atualizadas e isto deve ser incluido no TCO, mesmo assim o
custo é ótimo e imbatível, sou defensor do open source até o último bit mas
nada é 100% grátis o tempo todo, os clientes devem saber disto e os
desenvolvedores devem ser honestos ao oferecer sua soluções. Ferramentas
comerciais também devem ser atualizadas e mantidas!
4 - nenhum sistema perde a necessidade de ser atualizado ou deixa de
evoluir (ouvi dizer que tem gente desenvolvendo para MSX e AMIGA até hoje!,
ainda bem que não estão conectados a internet! :), mas brincadeiras a parte,
sistemas conectados a web precisam ser mantidos em suas atualizações de
segurança. 5 - Se você não consegue manter seu sistema operacional
seguro, não tente compilar tudo do zero (pelo menos não no ambiente de
produção), faça parte de uma comunidade decente, siga um bom grupo de
desenvolvedores como por exemplo da equipe do Debian, que prima por soltar
releases estáveis e mantém atualizações de segurança em seus pacotes, pelo
menos o seu servidor estará limpo.
6 - trabalhe, estude, incentive os outros a fazerem o mesmo, depois
trabalhe, estude, incentive os outros a fazerem o mesmo e quando achar que
está bom, repita o processo, e não esqueça de ter um bom plano de negócios e
rentabilize corretamente seu trabalho junto aos clientes para fazer seu
trabalho valer a pena.
7 - "Profissionais" do tipo Free-la (free lance), são o nome bonito
para "o amador", "o informal", ou para aquele que "quando conseguir um
emprego sai desta vida e abandona todos para trás", se você é um destes abra
uma empresa crie uma estrutura ou trabalhe seriamente em uma empresa ou
estrutura já existente. O dia que bater um destes na porta de sua empresa e
você da TI for envolvido no projeto, saiba como lidar com estes "radicais
livres". A maioria de problemas de sites invadidos,desatualizados que
presenciei foram feitos e abandonados na web.
8 - Se seu projeto comportar, pague um hacker (não um cracker) e
faça testes de VA no que construiu, você irá se surpreender e terá uma
plataforma melhor, repita os testes antes de publicar atualizações.
Desculpe se me extendi, obrigado pela paciência.
Grande abraço a todos!
Orlando Tempobono
orlando at nipotech.com
Mobile: 55 (11) 8129 2098
NIPOTECH BRASIL TECNOLOGIA LTDA.
www.nipotech.com
Tel.: 55 (11) 2973-8204 ou 2283-1406
-----Original Message-----
From: caiu-bounces at eng.registro.br [mailto:caiu-bounces at eng.registro.br] On
Behalf Of Bruno Bicalho
Sent: Saturday, July 30, 2011 10:24 PM
To: Lista das indisponibilidades da Internet brasileira
Subject: [caiu] E volta a "brincadeira" de "hackear" sites.
http://twitter.com/#!/LulzSecBrazil
Em menos de 15 minutos fizeram deface em várias páginas de NENHUM interesse,
incluindo alguns governamentais e de empresas estatais, até
alguns profissionais de pequeno porte como "camilacalhas.com.br".
E lá vem mais "justificativas" para implementar o AI-5 digital. Ou são
inconsequêntes ou são white-hats.
att,
Bruno Bicalho
_______________________________________________
caiu mailing list
caiu at eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu
--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
https://eng.registro.br/mailman/options/caiu
Mais detalhes sobre a lista de discussão caiu