Negar sempre, até ao fim *
Foram roubados dados do site Novas Oportunidades?
veja a resposta a seguir
Ontem foi divulgada uma falha de segurança no site Novas Oportunidades.
Problemas identificados no site "Testemunhos"
08 Mar 2010O site Novas Oportunidades foi desactivado, em resultado de problemas de "defacing" identificados. Os mesmos não têm qualquer relação com o Portal Novas Oportunidades.
(…) a ANQ esclarece que o Portal da Iniciativa Novas Oportunidades não foi alvo de qualquer ataque informático.
Os problemas identificados ocorreram unicamente num site autónomo, que incluía testemunhos de formandos e ex-formandos da Iniciativa Novas Oportunidades, criado especificamente no âmbito das acções de divulgação de uma campanha publicitária de sensibilização da população adulta para a importância da qualificação, desenvolvida no final de 2008. (…)
Defacing? ó 'migos isso pode parecer um termo muito sofisticado mas não chega para disfarçar a porta escancarada que tinham para que se entrasse no vosso site.
Posso afirmar com conhecimento de causa que algumas das falhas de segurança no site Novas Oportunidades são detectadas por um programador iniciado em coisas web (tais como XSS e não validação de parâmetros) e outras menos óbvias (injecção de SQL) mas inadmissíveis num produto profissional como se espera que seja um site governamental. Aqui pode ver os detalhes das falhas de segurança por quem as analisou primeiro.
Quanto ao comunicado propriamente dito, são desvalorizadas as falhas. Compreendo que quem não as sabe evitar também não compreende o potencial dos problemas que delas pode advir. Mas não é por isso que deixam de ser graves. Além disso, é dito que estas "ocorreram unicamente num site autónomo", o que é manifestamente falso. Basta observar que é o domínio principal que está em causa. Estando este comprometido, todo o site fica vulnerável. Outro aspecto que não completamente exacto é a informação de que o "este site [qual?] já se encontra desactivado". Com efeito, como se pode ver pela imagem ao lado (clicar para ampliar), às 23h37m do dia 8 de Março de 2010 continua a ser possível fazer aparecer outros sites dentro do Novas Oportunidades. O sub-domínio http://testemunhos.novasoportunidades.gov.pt está de facto temporariamente desactivado mas o mesmo não acontece com o endereço principal http://www.novasoportunidades.gov.pt, já que isso significaria fechar o site.
Sobre o domínio desactivado, http://www.novasoportunidades.gov.pt, onde ocorria a falha mais grave (SQL injection), pouco importa se é um sub-domínio (ou "site autónomo" como lhe chamam, mas de forma incorrecta), em causa está uma vulnerabilidade que afecta todo o site novasoportunidades.gov.pt, pois passou-se a ter acesso à base de dados de suporte do site.
Há ainda esta questão a colocar: foram roubados dados do site Novas Oportunidades? É uma questão pertinente e plausível mas que ficaremos sem resposta excepto se alguém se acusar. Creio até (mais do que crer, aposto) que nem o dono do site tal saberá.
É isto o Estado da Arte do Simplex? Uma coisa é certa, se eu tivesse apresentado um trabalho destes durante a licenciatura teria chumbado. Mas estamos noutro patamar, no das empresas contratadas de forma maciça pelo Governo.
Ler também (muito recomendado): O consumidor protegido jamais será, por João José Cardoso
(*) mesmo quando se for apanhado com as calças na mão
Tal como o chefe máximo, escondem a realidade pensando que os portugueses são todos parvos. Esta gente precisa de ser corrida do Poder!
"Hoje" são as novasoportunidades a falhar, mas amanhã pode ser uma rede de transportes, as finanças ou a segurança social... O que dirão ai?