Re: [PSL-Brasil] Invasão do site da Câmara
Não muda o fato de que, se tivesse sido feito em Zope/Plone, não acontecia ;-) Não se engane. Zope/Plone é muito bom, pra falar a verdade é um dos melhores, mas isso não quer dizer que não existam bug neles. Sei que foi apenas brincadeira sua, ok? :) Mas eu posso afirmar categoricamente que, em Zope/Plone, não dá pra fazer SQL injection. Não dá porque ele não guarda o conteúdo em tabelas de um banco de dados relacional Ok, SQL injection não tem como. Mas alterar dados tem, caso o software tenha um furo. E nem to falando que foi no Plone, pois as vezes isso tava guardado num bd. Nem precisa ser hacker pra achar que tá com cara de SQL injection. Com certeza. Qualquer sistema que de acesso ao banco de dados compromete nesse caso, e isso não precisa estar dentro do Plone. -- Lucas Arruda lucasarruda.com ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
Re: [PSL-Brasil] Invasão do site da Câmara
On 6/29/07, Ricardo L. A. Banffy [EMAIL PROTECTED] wrote: Mas eu posso afirmar categoricamente que, em Zope/Plone, não dá pra fazer SQL injection. Não dá porque ele não guarda o conteúdo em tabelas de um banco de dados relacional Bem lembrado, só complementando, Dependendo do produto zope tem uns que usam DBAL's (Database Abstraction Layer) para banco de dados relacionais. Não é a maneira de fazer produtos para um CMS zope, mas tem. Outros sistemas que não são para CMS com certeza usam muito banco de dados relacional, mesmo assim o zope tem tags dtml para parsear dados que serão usados numa query sql, e essas tags para evitar sql injections. Mesmo assim, trocar um dtml-sqlvar por um dtml-var está a cargo do desenvolvedor, e o zope não parece mais seguro que o php neste aspecto, pois o phpero pode usar ou deixar de usar um addslashes assim como um zopista com o mesmo efeito pode usar ou deixar de usar dtml-sqlvar, é só uma questão de educação. Então, a segurança do Zope/Plone contra sql injections em relação à outros CMS é que estes outros usam sql para persitência dos dados, e o Plone não. Como você falou, os ploneros são sim garantidos de estarem livres de sql injections, pois pra início de conversa nem usam SQL. Hehehe, quer mais o quê né? -- Opções desconhecidas do gcc: gcc --bend-finger=padre_quevedo O que faz: dobra o dedo do Padre Quevedo durante a execução do código compilado. Não uso termos em latim, mas poderia: http://en.wikipedia.org/wiki/List_of_Latin_phrases_(full) A ignorância é um mecanismo que capacita um tomate a saber de tudo. Que os fontes estejam com você... Glauber Machado Rodrigues PSL-MA jabber: [EMAIL PROTECTED] ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
Re: [PSL-Brasil] Invasão do site da Câmara
On 7/2/07, Olival Júnior [EMAIL PROTECTED] wrote: O problema do site da Câmara é q o Zope/Plone *não* é usado para acesso direto a banco de dados. As they say, garbage in, garbage out. -- Opções desconhecidas do gcc: gcc --bend-finger=padre_quevedo O que faz: dobra o dedo do Padre Quevedo durante a execução do código compilado. Não uso termos em latim, mas poderia: http://en.wikipedia.org/wiki/List_of_Latin_phrases_(full) A ignorância é um mecanismo que capacita um tomate a saber de tudo. Que os fontes estejam com você... Glauber Machado Rodrigues PSL-MA jabber: [EMAIL PROTECTED] ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
Re: [PSL-Brasil] Invasão do site da Câmara
HAhUEHuhAuheuha... quer dizer então que foi Bug Humano? O pior foi escutar no Jornal Nacional que o site ficaria fora do ar até que o vírus fosse isolado. abs On 6/28/07, Olival Gomes Barboza Júnior [EMAIL PROTECTED] wrote: O problema que ocorreu não teve nada a ver com Software Livre ou Proprietário. Existem diversas técnicas de ataque q se baseiam em fragilidades q não tem nada a ver com plataforma, se é q vcs me entendem. Mais do q isso não dá pra comentar. [ ]s, ojr On 6/28/07, Luis Flavio Rocha [EMAIL PROTECTED] wrote: Em outras listas algumas pessoas estão questionando a segurança do software livre e especificamente do Zope e do Plone, tecnologias utilizadas no site da Câmara. Antes que essa dúvida se dissemine, é importante que se saiba que seção invadida NÃO foi desenvolvida em Zope/Plone, mas sim em ASP. ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil -- Pablo de Camargo Cerdeira Advogado - OAB/SP 207570 Kaminski, Cerdeira e Pesserl Advogados [EMAIL PROTECTED] www.kcp.com.br Chave-pública (Id: F910EDD3) http://pgp.mit.edu:11371/pks/lookup?search=pcc%40kcp.com.brop=indexfingerprint=on PGP Fingerprint (MD5): 59D6 6B1B E673 0ED1 0D5D 178B AE70 40C8 X.509 Fingerprint (SHA1): 2478 2AD9 4C36 7989 B498 5025 990B D214 0324 1D99 ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
Re: [PSL-Brasil] Invasão do site da Câmara
Eu acredito que esse sistema de notícias já fosse coisa antiga no site da câmara, e que não se utilizou um novo porque não viram necessidade em refazer algo que já funcionava. Assim, poderia ser um bug de muitas gestões anteriores... Só o que fizeram foi colocar o Zope como proxy do bichim. Ainda assim, isso é obviamente um erro de programação, e que se fosse em um sistema proprietário de fonte fechado não se poderia corrigir. Pelo menos a câmara tem o código em ASP para consertar o erro. :-D Em 29/06/07, Kayo Hamid [EMAIL PROTECTED] escreveu: Opa, essa afirmação já é meio complicada de se sustentar, pois, temos total certeza de que esse bug não tem tanto no Zope/Plone como no phpnuke, drupal, wordpress, phpbb ... ... ... ... (detalhe que eu nao sei o gestor que utilizava na camara e posso ter incluso ai em cima) :) Ricardo L. A. Banffy wrote: Não muda o fato de que, se tivesse sido feito em Zope/Plone, não acontecia ;-) Olival Gomes Barboza Júnior wrote: O problema que ocorreu não teve nada a ver com Software Livre ou Proprietário. Existem diversas técnicas de ataque q se baseiam em fragilidades q não tem nada a ver com plataforma, se é q vcs me entendem. Mais do q isso não dá pra comentar. ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil -- Kayo Hamid [EMAIL PROTECTED] Brasilia/DF http://main.blog.br ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
Re: [PSL-Brasil] Invasão do site da Câmara
Segundo um email enviado por um técnico da Câmara para a lista zope-pt o que ocorreu foi um problema de SQL-injection no sistema da Agência Câmara. Este sistema é feito em ASP e gera XML que é consumido pelo portal, feito em Zope. O que garante que isso não aconteça no Zope, mesmo se for utilizado um banco de dados relacional, é a ferramenta para conexão com banco de dados e a forma com que as queries são montadas. Mais informações em http://www.plope.com/Books/2_7Edition/RelationalDatabases.stx On 6/29/07, Kayo Hamid [EMAIL PROTECTED] wrote: Opa, essa afirmação já é meio complicada de se sustentar, pois, temos total certeza de que esse bug não tem tanto no Zope/Plone como no phpnuke, drupal, wordpress, phpbb ... ... ... ... (detalhe que eu nao sei o gestor que utilizava na camara e posso ter incluso ai em cima) :) Ricardo L. A. Banffy wrote: Não muda o fato de que, se tivesse sido feito em Zope/Plone, não acontecia ;-) Olival Gomes Barboza Júnior wrote: O problema que ocorreu não teve nada a ver com Software Livre ou Proprietário. Existem diversas técnicas de ataque q se baseiam em fragilidades q não tem nada a ver com plataforma, se é q vcs me entendem. Mais do q isso não dá pra comentar. ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil -- Kayo Hamid [EMAIL PROTECTED] Brasilia/DF http://main.blog.br ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil -- Luís Flávio Rocha Ever tried. Ever failed. No matter. Try again. Fail again. Fail better. Samuel Beckett (1906-1989) ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
Re: [PSL-Brasil] Invasão do site da Câmara
Pois é gente, uma falha técnica, que ocorre por conta do programador, nada a ver com ser livre ou proprietário na verdade. E o xml aí serve como o efeito proxy que eu tinha falado... Em 29/06/07, Luis Flavio Rocha [EMAIL PROTECTED] escreveu: Segundo um email enviado por um técnico da Câmara para a lista zope-pt o que ocorreu foi um problema de SQL-injection no sistema da Agência Câmara. Este sistema é feito em ASP e gera XML que é consumido pelo portal, feito em Zope. O que garante que isso não aconteça no Zope, mesmo se for utilizado um banco de dados relacional, é a ferramenta para conexão com banco de dados e a forma com que as queries são montadas. Mais informações em http://www.plope.com/Books/2_7Edition/RelationalDatabases.stx On 6/29/07, Kayo Hamid [EMAIL PROTECTED] wrote: Opa, essa afirmação já é meio complicada de se sustentar, pois, temos total certeza de que esse bug não tem tanto no Zope/Plone como no phpnuke, drupal, wordpress, phpbb ... ... ... ... (detalhe que eu nao sei o gestor que utilizava na camara e posso ter incluso ai em cima) :) Ricardo L. A. Banffy wrote: Não muda o fato de que, se tivesse sido feito em Zope/Plone, não acontecia ;-) Olival Gomes Barboza Júnior wrote: O problema que ocorreu não teve nada a ver com Software Livre ou Proprietário. Existem diversas técnicas de ataque q se baseiam em fragilidades q não tem nada a ver com plataforma, se é q vcs me entendem. Mais do q isso não dá pra comentar. ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil -- Kayo Hamid [EMAIL PROTECTED] Brasilia/DF http://main.blog.br ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil -- Luís Flávio Rocha Ever tried. Ever failed. No matter. Try again. Fail again. Fail better. Samuel Beckett (1906-1989) ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
Re: [PSL-Brasil] Invasão do site da Câmara
Sim, poderia ser PHP no lugar do ASP que o problema teria sido o mesmo se o desenvolvedor também deixasse o furo. Eu não sei qual foi o sentido que você deu para o que eu escrevi. O problema é que o portal da Câmara é um dos maiores cases de Zope e muita gente não sabe que lá tem outras tecnologias rodando também. Ontem inúmeros clientes me ligaram perguntando se o problema era do Zope e se os sites deles também estariam vulneráveis. Não quero crucificar o ASP, só não quero que o Zope vá para a cruz. Abraço, On 6/29/07, Olival Júnior [EMAIL PROTECTED] wrote: Vc transcreveu de forma incorreta o q foi dito lá. Não tem *nada* a ver com ASP (pelo menos no sentido q vc está colocando). O q existe é um webservice responsável pela consulta ao banco de notícias. O Zope/Plone invoca este webservice para obter as notícias a partir de parâmetros presentes na URL das manchetes. Agora, infelizmente, a aplicação q respondia pelo webservice tinha uma séria falha na hora de montar a query. Pisada na bola do Desenvolvedor. Mas, até aí, não tinha porque o usuário q lê o banco de notícias ter privilégios de update. Pisada na bola do DBA. E se tivéssemos sido um pouco mais paranóicos, poderíamos ter cortado estes ataques já no proxy-cache. Pisada na bola dos Sysadmins do site (ops... nessa entro eu). :-( O mais chato é q foi algo banal e a infra-estrutura em si não teve um arranhão sequer. Ficamos um tempão fora do ar simplesmente efetuando as revisões necessárias para este tipo de coisa não acontecer (tanto q deixamos o site no ar apenas para a intranet durante o ocorrido). :-/ [ ]s, ojr Luis Flavio Rocha escreveu: Segundo um email enviado por um técnico da Câmara para a lista zope-pt o que ocorreu foi um problema de SQL-injection no sistema da Agência Câmara. Este sistema é feito em ASP e gera XML que é consumido pelo portal, feito em Zope. ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil -- Luís Flávio Rocha Ever tried. Ever failed. No matter. Try again. Fail again. Fail better. Samuel Beckett (1906-1989) ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
Re: [PSL-Brasil] Invasão do site da Câmara
Original Message From: Digo [EMAIL PROTECTED] Date: Fri, 29 Jun 2007 07:51:11 -0300 Subject:Re: [zope-pt] Invasão Câmara Ola pessoal! Trabalho na sessão responsável pelo desenvolvimento e manutenção do Portal da Câmara, posso garantir a vocês que não foi brecha no Plone, fiquem tranquilos! Nós também ficamos! Nosso portal possui um legado muito grande, que esta em ASP, como foi dito pelo Francisco. O Plone consome XML's gerados via Web Services, um deles é responsável pelas nóticias da Agência Câmara. Depois de analisarmos os log's vimos que o ataque foi via SQL Injection mesmo, ele achou uma brecha e fez um update no banco, na coluna relativa as nomes das manchetes, o ataque partiu de São Paulo. Ja foram feitos todos os procedimentos para fechar todas as brechas nesse sentido, esperamos que isso não volte a acontecer. Abraços! On 6/28/07, * Francisco Lopes de Faria* [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] wrote: E se vcs fizerem uma pesquisa básica por http://www.google.com.br/search?hl=pt-BRq=hacked+hipermachinebtnG=Pesquisa+Googlemeta= http://www.google.com.br/search?hl=pt-BRq=hacked+hipermachinebtnG=Pesquisa+Googlemeta= vai ver que o cara adora hackear sites em ASP e fazer a mesma coisa! Vamos esperar :D Em 28/06/07, *Francisco Lopes de Faria* [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] escreveu: Isso é verdade! quando comentei a notícia onde trabalho aqui na www.agenciabrasil.gov.br http://www.agenciabrasil.gov.br a primeira coisa que falaram foi mas não é em Plone e ele não é seguro? putz, o que adianta ter um sistema seguro se um reporter ou editor usa uma senha do tipo telefone espero que não seja na parte plone! sei que eles usam ASP também lah inclusiva a agencia camara até onde eu sei é em ASP que gera uma saida se nao me engano em XML pro Plone mas vamos esperar alguem lá de dentro falar alguma coisa! se é que vai falar, alias o site ainda está fora do ar! Francisco Em 28/06/07, *Ronaldo Amaral* [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] escreveu: Pelo quem me parece o www2.camara.gov.br http://www2.camara.gov.br era plone. Consulta uma pagina em cache no google pra ver Em 28/06/07, *Wilton Alencar * [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] escreveu: Pessoal, tá correndo a notícia. http://g1.globo.com/Noticias/Tecnologia/0,,MUL60646-6174,00.html http://g1.globo.com/Noticias/Tecnologia/0,,MUL60646-6174,00.html Alguém sabe se foi na parte plone? Sabemos que a câmara usa muita coisa, mas se alguém tiver detalhes ou puder comentar. Apenas porque na mídia, pode parecer que a culpa foi do Plone/Zope. Abraços. -- Cordialmente, Wilton Souza Alencar www.tom.pro.br http://www.tom.pro.br -- Ronaldo Amaral Santos Tecnólogo em Desenvolvimento de Software Núcleo de Pesquisa em Sistemas de Informação – NSI Cefet-Campos - Linux User #437600 -- Atenciosamente + Francisco Lopes de Faria + -- Atenciosamente + Francisco Lopes de Faria + -- 2 Coríntios 5:17; Assim que, se alguém está em Cristo, nova criatura é; as coisas velhas já passaram; eis que tudo se fez novo. Rodrigo Melo __._,_.___ Mensagens neste tópico http://br.groups.yahoo.com/group/zope-pt/message/16874;_ylc=X3oDMTM2bmJkZnA3BF9TAzk3NDkwNDM3BGdycElkAzE2OTYzNjgEZ3Jwc3BJZAMyMTM3MTExMzA2BG1zZ0lkAzE2ODc5BHNlYwNmdHIEc2xrA3Z0cGMEc3RpbWUDMTE4MzExNDI3MwR0cGNJZAMxNjg3NA-- (0) Responder (através da web) http://br.groups.yahoo.com/group/zope-pt/post;_ylc=X3oDMTJxdjNoa3JuBF9TAzk3NDkwNDM3BGdycElkAzE2OTYzNjgEZ3Jwc3BJZAMyMTM3MTExMzA2BG1zZ0lkAzE2ODc5BHNlYwNmdHIEc2xrA3JwbHkEc3RpbWUDMTE4MzExNDI3Mw--?act=replymessageNum=16879 | Adicionar um novo tópico http://br.groups.yahoo.com/group/zope-pt/post;_ylc=X3oDMTJlY3I5cWhvBF9TAzk3NDkwNDM3BGdycElkAzE2OTYzNjgEZ3Jwc3BJZAMyMTM3MTExMzA2BHNlYwNmdHIEc2xrA250cGMEc3RpbWUDMTE4MzExNDI3Mw-- Mensagens http://br.groups.yahoo.com/group/zope-pt/messages;_ylc=X3oDMTJlcW4yNDg5BF9TAzk3NDkwNDM3BGdycElkAzE2OTYzNjgEZ3Jwc3BJZAMyMTM3MTExMzA2BHNlYwNmdHIEc2xrA21zZ3MEc3RpbWUDMTE4MzExNDI3Mw-- | Arquivos http://br.groups.yahoo.com/group/zope-pt/files;_ylc=X3oDMTJmbWM3ZXExBF9TAzk3NDkwNDM3BGdycElkAzE2OTYzNjgEZ3Jwc3BJZAMyMTM3MTExMzA2BHNlYwNmdHIEc2xrA2ZpbGVzBHN0aW1lAzExODMxMTQyNzM- | Fotos
Re: [PSL-Brasil] Invasão do site da Câmara
On 6/29/07, Pablo Sánchez [EMAIL PROTECTED] wrote: Gente, bola pra frente! Foi uma falha de programação e administração do banco de dados (ao dar um login com acesso de atualização para algo que deveria ser apenas leitura), todos agora estamos sabendo disso, uma falha que ocorreria em qualquer linguagem ou sistema, fosse livre ou proprietário. Então, vamos esquecer a idéia de que falhou porque foi feito em ASP pois caímos na mesma falácia dos que diriam que falhou por que tem Zope no meio. +1 -- Luís Flávio Rocha Ever tried. Ever failed. No matter. Try again. Fail again. Fail better. Samuel Beckett (1906-1989) ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
Re: [PSL-Brasil] Invasão do site da Câmara
Eu sei tecnicamente e praticamente o que é um WebService, caro Olival, e reforço o que disse, que o mesmo pode ser feito em qualquer linguagem. A observação do Luis diz justamente isso que você também disse: foi uma falha de programação, que poderia ter acontecido em qualquer linguagem. O importante aqui é ressaltar que foi uma falha de programação, e não uma falha de um sistema que utiliza Software Livre como base. Gente, bola pra frente! Foi uma falha de programação e administração do banco de dados (ao dar um login com acesso de atualização para algo que deveria ser apenas leitura), todos agora estamos sabendo disso, uma falha que ocorreria em qualquer linguagem ou sistema, fosse livre ou proprietário. Então, vamos esquecer a idéia de que falhou porque foi feito em ASP pois caímos na mesma falácia dos que diriam que falhou por que tem Zope no meio. A equipe da Câmara já detectou e corrigiu a falha. O que não podemos deixar apenas, é outra pessoa (e não nós, que já sabemos do problema e sabemos dos esforços da equipe para corrigí-lo) aproveitar-se do caso para dizer por aí que a culpa foi do fato de usarem Zope/Plone. Um abc Em 29/06/07, Olival Júnior [EMAIL PROTECTED] escreveu: Luis Flavio Rocha escreveu: Sim, poderia ser PHP no lugar do ASP que o problema teria sido o mesmo se o desenvolvedor também deixasse o furo. Eu não sei qual foi o sentido que você deu para o que eu escrevi. Vc sabe o q é um webservice? A questão aqui não são linguagens de script de páginas. O webservice poderia ter sido escrito em Java, em Python, em C#, em VB.Net (até em VB 6, pra falar a verdade). Não se trata de um sistema feito em ASP, como vc colocou antes. Se trata de um webservice mal escrito. Só gosto de deixar claro a quem cabe o q. Na minha msg anterior há uma descrição bem clara de como as coisas aconteceram. [ ]s, ojr ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
Re: [PSL-Brasil] Invasão do site da Câmara
On 6/29/07, Kayo Hamid [EMAIL PROTECTED] wrote: Mais de um administrador e ainda assim não detectaram o problema antes da criança? Idealizar e instalar é uma maravilha de fácil, modificar um tanto como agradável, agora cuidar, ou como gostam de intitular administrar, realmente, bulhufas não? E ainda assim, perante o erro claro, agindo com superioridade e arrogancia? Mas, foi vc q disse q estava na cara q foi um erro no gestor. Estabelecer uma certeza sem sequer saber os fatos me parece extremamente prepotente e arrogante. Em todo caso, desculpe a resposta grossa q soltei à sua msg sobre isso, mas fiquei um tanto qto chateado em ver vc botar a culpa justamente na parte q não teve nada a ver com a questão. Não queria passar do tom, mas tive uma semana razoavelmente complicada (por razões pessoais) e ontem foi realmente um dia cheio (por razões óbvias). Qto ao site, não são vários administradores. A infra-estrutura completa do site envolve servidores zope/plone e IIS. O portal principal é uma solução zope/plone razoavelmente complexa e nesta parte só há eu e um colega (q é terceirizado) como adms (sendo q até alguns meses era apenas eu), e essa *não* é nossa única atribuição. Essa histórinha já foi contada anos atrás na PSL-Brasil e na PSL-DF q vc tbém assina. A parte q por acaso está sob minha responsabilidade nunca sofreu nenhum arranhão (a parte q envolve clusters squid e clusters zope/plone - além disso, os webservices são usados para consumir informação gerada por sistemas em plataforma MS e J2EE - imagine a heterogeneidade do ambiente e a qtd física de servidores envolvidos). Conforme descrevi em outra msg, a cadeia de eventos q levou ao sucesso do ataque envolve vários passos. Qto a desconhecer a brecha, não estava no escopo das minhas tarefas conhecer o código dos webservices. Fechamos a porta em outros cantos, mas isso tem conseqüências q seriam desnecessárias se as apps estivessem ok. Por aqui o nível de inteligencia é pelo número de mensagens? Ao meu ver seus tantos números de e-mails enviados não te ensinaram Bulhufas ;-) Poxa... E eu q até achava q escrevia coisa com coisa de vez em qdo... snif, snif . . . ;-) [ ]s, ojr ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
Re: [PSL-Brasil] Invasão do site da Câmara
On 6/29/07, Luis Flavio Rocha [EMAIL PROTECTED] wrote: On 6/29/07, Pablo Sánchez [EMAIL PROTECTED] wrote: Gente, bola pra frente! Foi uma falha de programação e administração do banco de dados (ao dar um login com acesso de atualização para algo que deveria ser apenas leitura), todos agora estamos sabendo disso, uma falha que ocorreria em qualquer linguagem ou sistema, fosse livre ou proprietário. Então, vamos esquecer a idéia de que falhou porque foi feito em ASP pois caímos na mesma falácia dos que diriam que falhou por que tem Zope no meio. +1 Bleeza, gente. Desculpem a insistência anterior sobre a questão. Acho q - pelo menos para mim - a principal lição é q não adianta vc ter a plataforma mais segura do mundo se suas práticas de desenvolvimento não o são. [ ]s, ojr ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
Re: [PSL-Brasil] Invasão do site da Câmara
A segurança pode ser fechada by default, como gosta tanto o pessoal do OpenBSD, mas o que te enrola é sempre o que vc faz depois que instala, hehehe. :-D Relax Olival, compreendido que vc estava p*to da vida, em especial entre ontem e hoje com notícias tão legais e descobertas ainda mais legais no seu ambiente de trabalho. Se vc soubesse as coisas que descobrimos aqui de um sistema feito por outra empresa, saberia que não está só, apenas que está mais pop, hehehe :-D Um abc Em 29/06/07, Olival Gomes Barboza Júnior [EMAIL PROTECTED] escreveu: On 6/29/07, Luis Flavio Rocha [EMAIL PROTECTED] wrote: On 6/29/07, Pablo Sánchez [EMAIL PROTECTED] wrote: Gente, bola pra frente! Foi uma falha de programação e administração do banco de dados (ao dar um login com acesso de atualização para algo que deveria ser apenas leitura), todos agora estamos sabendo disso, uma falha que ocorreria em qualquer linguagem ou sistema, fosse livre ou proprietário. Então, vamos esquecer a idéia de que falhou porque foi feito em ASP pois caímos na mesma falácia dos que diriam que falhou por que tem Zope no meio. +1 Bleeza, gente. Desculpem a insistência anterior sobre a questão. Acho q - pelo menos para mim - a principal lição é q não adianta vc ter a plataforma mais segura do mundo se suas práticas de desenvolvimento não o são. [ ]s, ojr ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
Re: [PSL-Brasil] Invasão do site da Câmara
Kayo, O pessoal desta cidade é resultado direto do que é eleito em todo o país e exportado de lá para cá. Traduzindo: aqui tem gente de todo lugar e a mentalidade é resultado dessa quizumba doida. Um abc. Em 29/06/07, Kayo Hamid [EMAIL PROTECTED] escreveu: Olival Gomes Barboza Júnior wrote: On 6/29/07, *Kayo Hamid* [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] wrote: Mais de um administrador e ainda assim não detectaram o problema antes da criança? Idealizar e instalar é uma maravilha de fácil, modificar um tanto como agradável, agora cuidar, ou como gostam de intitular administrar, realmente, bulhufas não? E ainda assim, perante o erro claro, agindo com superioridade e arrogancia? Mas, foi vc q disse q estava na cara q foi um erro no gestor. Estabelecer uma certeza sem sequer saber os fatos me parece extremamente prepotente e arrogante. Em todo caso, desculpe a resposta grossa q soltei à sua msg sobre isso, mas fiquei um tanto qto chateado em ver vc botar a culpa justamente na parte q não teve nada a ver com a questão. Não queria passar do tom, mas tive uma semana razoavelmente complicada (por razões pessoais) e ontem foi realmente um dia cheio (por razões óbvias). Qto ao site, não são vários administradores. A infra-estrutura completa do site envolve servidores zope/plone e IIS. O portal principal é uma solução zope/plone razoavelmente complexa e nesta parte só há eu e um colega (q é terceirizado) como adms (sendo q até alguns meses era apenas eu), e essa *não* é nossa única atribuição. Essa histórinha já foi contada anos atrás na PSL-Brasil e na PSL-DF q vc tbém assina. A parte q por acaso está sob minha responsabilidade nunca sofreu nenhum arranhão (a parte q Opa, pediu pra parar parou. Mas, foi vc q disse q estava na cara q foi um erro no gestor. Estabelecer uma certeza sem sequer saber os fatos me parece extremamente prepotente e arrogante.. O fato de você se morder por outro setor é também extremamente prepotente e arrogante. Use a sua mente e não a mente dos outros. envolve clusters squid e clusters zope/plone - além disso, os webservices são usados para consumir informação gerada por sistemas em plataforma MS e J2EE - imagine a heterogeneidade do ambiente e a qtd física de servidores envolvidos). Conforme descrevi em outra msg, a cadeia de eventos q levou ao sucesso do ataque envolve vários passos. Qto a desconhecer a brecha, não estava no escopo das minhas tarefas conhecer o código dos webservices. Fechamos a porta em outros cantos, mas isso tem conseqüências q seriam desnecessárias se as apps estivessem ok. Por aqui o nível de inteligencia é pelo número de mensagens? Ao meu ver seus tantos números de e-mails enviados não te ensinaram Bulhufas ;-) Poxa... E eu q até achava q escrevia coisa com coisa de vez em qdo... snif, snif . . . ;-) [ ]s, ojr Sua mentalidade não me é novidade, é tipico do pessoal dessa cidade. Eu encerro aqui. Uma boa noite e até amanhã. ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil -- Kayo Hamid [EMAIL PROTECTED] ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
Re: [PSL-Brasil] Invasão do site da Câmara
O problema que ocorreu não teve nada a ver com Software Livre ou Proprietário. Existem diversas técnicas de ataque q se baseiam em fragilidades q não tem nada a ver com plataforma, se é q vcs me entendem. Mais do q isso não dá pra comentar. [ ]s, ojr On 6/28/07, Luis Flavio Rocha [EMAIL PROTECTED] wrote: Em outras listas algumas pessoas estão questionando a segurança do software livre e especificamente do Zope e do Plone, tecnologias utilizadas no site da Câmara. Antes que essa dúvida se dissemine, é importante que se saiba que seção invadida NÃO foi desenvolvida em Zope/Plone, mas sim em ASP. ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil