[caiu] E volta a "brincadeira" de "hackear" sites.

Tiago Campos tiago.campos em gmail.com
Segunda Agosto 1 20:33:20 BRT 2011


kkk Nelson.

O Orlando pode até ter enviado para a lista errada, porém tudo que foi dito
é verdade.
Complementando, existe milhares de adm linux que possuem a mesma cultura de
por o linux subir o SSH com uptime alto e o servidor cheio de falhas de
segurança por achar que linux é seguro e não precisa atualizar.

É nesta hora que a lista de botnets nos IRCs agradecem estes servidores
vulneraveis que pode ser controlados a qualquer momento.  E por incrivel,
Microsoft tem menos servidores em botnets, será porque? Wsus funciona bem?
Ou os administradores se preocupam em deixar o sistema operacional sempre
atualizado.

É o que digo, não é somente desenvolvimento que deve estar atento as ameaças
digitais, infraestrutura também é primordial e requer investimento,
tecnologia, testes com prova de conceito, melhores práticas entre outros
fatores que aprimorem a mitigação de risco amenizando a perda / evasão de
dados.

Att.
Tiago C. Campos
Em 1 de agosto de 2011 19:56, Nelson Murilo <nelson at pangeia.com.br>escreveu:

>
>
> A menos que CAIU signifique Criadores e Atualizadores da Internet
> e Usuarios, tudo que foi ditp ai em baixo, entre uma obviedade
> e outra, foi enviado pra lista errada.
>
>
> ./nelson -murilo - http://sbconference.com.br
>
> On Mon, Aug 01, 2011 at 11:39:36AM -0300, orlando at nipotech.com wrote:
> > Prezados, bom dia,
> >
> >       Acredito que o problema de defaced em sites (seja do governo ou de
> > partivulares), entre outros, vai piorar daqui para frente pois o pessoal
> > pega e configura de qualquer jeito um Joomla, Drupal, Wordpress, PHPbb,
> > Plone, etc., etc., etc., isto quando não cria seus próprios scripts de
> site
> > que aprendeu a programar "de qualquer jeito" e habilita todo tipo de
> bobagem
> > desde upload, XSS a sql injection em formularios que são postados
> > diretamente para o banco sem tratamento.
> >       Pessoal, é preciso conscientizar os "webdesigners" meia boca que
> > (entre inúmeras outras coisas):
> >       1 - não é só jogar o site de qualquer jeito para um FTP e abandonar
> > aquele cliente que pagou "pelo site que ele fez", que tudo aquilo termina
> > alí como no filme do JackCHan "Bater ou correr" no caso o pessoal troca o
> > "ou por e".
> >       2 - que eles não podem dar chmod 777 em qualquer canto sem entender
> > o que está acontecendo só porque tiveram um erro de permissão.
> >       3 - que ferramentas open source são maravilhosas e devem ser
> usadas,
> > mas que devem ser atualizadas e isto deve ser incluido no TCO, mesmo
> assim o
> > custo é ótimo e imbatível, sou defensor do open source até o último bit
> mas
> > nada é 100% grátis o tempo todo, os clientes devem saber disto e os
> > desenvolvedores devem ser honestos ao oferecer sua soluções. Ferramentas
> > comerciais também devem ser atualizadas e mantidas!
> >       4 - nenhum sistema perde a necessidade de ser atualizado ou deixa
> de
> > evoluir (ouvi dizer que tem gente desenvolvendo para MSX e AMIGA até
> hoje!,
> > ainda bem que não estão conectados a internet! :), mas brincadeiras a
> parte,
> > sistemas conectados a web precisam ser mantidos em suas atualizações de
> > segurança.    5 - Se você não consegue manter seu sistema operacional
> > seguro, não tente compilar tudo do zero (pelo menos não no ambiente de
> > produção), faça parte de uma comunidade decente, siga um bom grupo de
> > desenvolvedores como por exemplo da equipe do Debian, que prima por
> soltar
> > releases estáveis e mantém atualizações de segurança em seus pacotes,
> pelo
> > menos o seu servidor estará limpo.
> >       6 - trabalhe, estude, incentive os outros a fazerem o mesmo, depois
> > trabalhe, estude, incentive os outros a fazerem o mesmo e quando achar
> que
> > está bom, repita o processo, e não esqueça de ter um bom plano de
> negócios e
> > rentabilize corretamente seu trabalho junto aos clientes para fazer seu
> > trabalho valer a pena.
> >       7 - "Profissionais" do tipo Free-la (free lance), são o nome bonito
> > para "o amador", "o informal", ou para aquele que "quando conseguir um
> > emprego sai desta vida e abandona todos para trás", se você é um destes
> abra
> > uma empresa crie uma estrutura ou trabalhe seriamente em uma empresa ou
> > estrutura já existente. O dia que bater um destes na porta de sua empresa
> e
> > você da TI for envolvido no projeto, saiba como lidar com estes "radicais
> > livres". A maioria de problemas de sites invadidos,desatualizados que
> > presenciei foram feitos e abandonados na web.
> >       8 - Se seu projeto comportar, pague um hacker (não um cracker) e
> > faça testes de VA no que construiu, você irá se surpreender e terá uma
> > plataforma melhor, repita os testes antes de publicar atualizações.
> >       Desculpe se me extendi, obrigado pela paciência.
> >
> > Grande abraço a todos!
> > Orlando Tempobono
> > orlando at nipotech.com
> > Mobile: 55 (11) 8129 2098
> > NIPOTECH BRASIL TECNOLOGIA LTDA.
> > www.nipotech.com
> > Tel.: 55 (11) 2973-8204 ou 2283-1406
> >
> >
> >
> > -----Original Message-----
> > From: caiu-bounces at eng.registro.br [mailto:caiu-bounces at eng.registro.br]
> On
> > Behalf Of Bruno Bicalho
> > Sent: Saturday, July 30, 2011 10:24 PM
> > To: Lista das indisponibilidades da Internet brasileira
> > Subject: [caiu] E volta a "brincadeira" de "hackear" sites.
> >
> > http://twitter.com/#!/LulzSecBrazil
> >
> > Em menos de 15 minutos fizeram deface em várias páginas de NENHUM
> interesse,
> > incluindo alguns governamentais e de empresas estatais, até
> > alguns profissionais de pequeno porte como "camilacalhas.com.br".
> >
> > E lá vem mais "justificativas" para implementar o AI-5 digital. Ou são
> > inconsequêntes ou são white-hats.
> >
> > att,
> >
> > Bruno Bicalho
> > _______________________________________________
> > caiu mailing list
> > caiu at eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> > _______________________________________________
> > caiu mailing list
> > caiu at eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


Mais detalhes sobre a lista de discussão caiu