FLISCORNO

Portal Novas Oportunidades não foi alvo de ataque informático
2010-03-08

Os meios de comunicação social e outras entidades produtoras de conteúdos na área das tecnologias da informação divulgaram hoje, dia 8 de Março, uma notícia de acordo com a qual o portal da Iniciativa Novas Oportunidades, gerido pela Agência Nacional para a Qualificação, I.P. (ANQ), teria sido alvo de um ataque informático de defacing, desde o dia 6 de Março.

Em resposta a esta notícia, a ANQ esclarece que o Portal da Iniciativa Novas Oportunidades não foi alvo de qualquer ataque informático.

Os problemas identificados ocorreram unicamente num site autónomo, que incluía testemunhos de formandos e ex-formandos da Iniciativa Novas Oportunidades, criado especificamente no âmbito das acções de divulgação de uma campanha publicitária de sensibilização da população adulta para a importância da qualificação, desenvolvida no final de 2008. (…)

A estratégia é negar sempre. A questão é que as vulnerabilidades descobertas permitiram o acesso à BD, logo a questão não é se o site foi ou não atacado (foi) mas sim se foram ou não roubados dados da BD do site.

Outro aspecto mirabolante é pretender que o subdomínio onde o SQL injection ocorreu é um site autónomo, como se isso fosse menos grave ou com danos controlados.

A atitude honesta seria comunicar que foi encontrada uma vulnerabilidade e que ela foi usada para mudar os conteúdos da base de dados do site. Claro que isto logo levaria à questão sobre a origem da vulnerabilidade e logo se perceberia que esta é absolutamente trivial (falta de validação dos parâmetros usados para fazer interrogações à base de dados). Algo com que qualquer aluno de licenciatura chumbaria num trabalho de curso. Daí que se opte por negar. Básico mas desonesto.

Relacionado:

• Negar sempre, até ao fim *
• Site Novas Oportunidades aloja o Fliscorno

 

Foram roubados dados do site Novas Oportunidades?

veja a resposta a seguir

 

Ontem foi divulgada uma falha de segurança no site Novas Oportunidades.

Problemas identificados no site "Testemunhos"
08 Mar 2010

O site Novas Oportunidades foi desactivado, em resultado de problemas de "defacing" identificados. Os mesmos não têm qualquer relação com o Portal Novas Oportunidades.

(…)  a ANQ esclarece que o Portal da Iniciativa Novas Oportunidades não foi alvo de qualquer ataque informático.

Os problemas identificados ocorreram unicamente num site autónomo, que incluía testemunhos de formandos e ex-formandos da Iniciativa Novas Oportunidades, criado especificamente no âmbito das acções de divulgação de uma campanha publicitária de sensibilização da população adulta para a importância da qualificação, desenvolvida no final de 2008. (…)

Defacing? ó 'migos isso pode parecer um termo muito sofisticado mas não chega para disfarçar a porta escancarada que tinham para que se entrasse no vosso site.

Posso afirmar com conhecimento de causa que algumas das falhas de segurança no site Novas Oportunidades são detectadas por um programador iniciado em coisas web (tais como XSS e não validação de parâmetros) e outras menos óbvias (injecção de SQL) mas inadmissíveis num produto profissional como se espera que seja um site governamental. Aqui pode ver os detalhes das falhas de segurança por quem as analisou primeiro.

Quanto ao comunicado propriamente dito, são desvalorizadas as falhas. Compreendo que quem não as sabe evitar também não compreende o potencial dos problemas que delas pode advir. Mas não é por isso que deixam de ser graves. Além disso, é dito que estas "ocorreram unicamente num site autónomo", o que é manifestamente falso. Basta observar que é o domínio principal que está em causa. Estando este comprometido, todo o site fica vulnerável. Outro aspecto que não completamente exacto é a informação de que o "este site [qual?] já se encontra desactivado". Com efeito, como se pode ver pela imagem ao lado (clicar para ampliar), às 23h37m do dia 8 de Março de 2010 continua a ser possível fazer aparecer outros sites dentro do Novas Oportunidades. O sub-domínio http://testemunhos.novasoportunidades.gov.pt está de facto temporariamente desactivado mas o mesmo não acontece com o endereço principal http://www.novasoportunidades.gov.pt, já que isso significaria fechar o site.

Sobre o domínio desactivado, http://www.novasoportunidades.gov.pt, onde ocorria a falha mais grave (SQL injection), pouco importa se é um sub-domínio (ou "site autónomo" como lhe chamam, mas de forma incorrecta), em causa está uma vulnerabilidade que afecta todo o site novasoportunidades.gov.pt, pois passou-se a ter acesso à base de dados de suporte do site.

Há ainda esta questão a colocar: foram roubados dados do site Novas Oportunidades? É uma questão pertinente e plausível mas que ficaremos sem resposta excepto se alguém se acusar. Creio até (mais do que crer, aposto) que nem o dono do site tal saberá.

É isto o Estado da Arte do Simplex? Uma coisa é certa, se eu tivesse apresentado um trabalho destes durante a licenciatura teria chumbado. Mas estamos noutro patamar, no das empresas contratadas de forma maciça pelo Governo.

 

Ler também (muito recomendado): O consumidor protegido jamais será, por João José Cardoso

 

(*) mesmo quando se for apanhado com as calças na mão

Repare na seguinte imagem, que não é montagem:

este blog aparece listado dentro do site Novas Oportunidades, como se vê pelo logotipo no topo. Isto deve-se a uma (entre outras) falha de segurança, ainda por corrigir hoje, como podem ver clicando aqui:

http://www.novasoportunidades.gov.pt/outerFrame.jsp?link=http://fliscorno.blogspot.com

Detalhes e explicações:

«Hoje tive acesso através de um tweet do Público (http://bit.ly/aU0kuy) à informação de que o site das Novas Oportunidades tinha sido explorado e alterado por  alguém… Decidi então enquanto era tempo verificar as falhas que existiam no site e qual o meu espanto (not) quando vejo presentes falhas de XSS, falhas de SQL Injection e falhas de validação de parâmetros que permitem Impressionation Attacks através de injecção de URL.» continue a ler

 

Se aprender compensa, então aprendam a ter em conta a segurança. Nem tudo é Simplex, apesar de não ser complicado.

PSP com objectivos mensais? Nãããããã... Nem sequer no que respeita as multas.

Vasco Pulido Valente, hoje no Público:

«Entre o gabinete do coordenador de Segurança e o MAI, o Relatório de Segurança Interna foi estranhamente alterado. Um exemplo: segundo o relatório, o número de "ocorrências" (presumo que de carácter ilícito) no interior e no exterior da escola aumentou em 2008 18 por cento; segundo o MAI, e a sra. ministra da Educação, não aumentou "mais" do que 14 por cento. Não há estatística que não diga o que lhe querem fazer dizer, mas seria simpático que o MAI e a sra. ministra de Educação nos viessem explicar o que pretendem fazer dizer a esta estatística em especial e por que razão atribuem tanta importância aos 4 por cento que mandaram desaparecer ou que desapareceram por si para deleite do Governo. Para qualquer pessoa, 14 por cento já é suficientemente mau e 18 por cento não excitaria de certeza o sentimento de que não existe segurança na escola. Sobretudo, quando a televisão e os jornais contam quase dia a dia histórias de uma violência crua: o professor esfaqueado, o professor agredido, o professor ameaçado (em vídeo) por uma pistola.
Mas suponho que a dra. Maria de Lourdes Rodrigues tem uma capacidade única para se consolar (pelo menos, 4 por cento) da catástrofe em que afundou o sistema de ensino e que o MAI, talvez por uma questão de princípio, nunca admite o fracasso de operações da "casa", como a operação Escola Segura, que, com a criminalidade a crescer a 18 por cento, ficaria com muito má cara e, a 14 por cento, fica pouco acima da média da incompetência nacional, o que não envergonha ninguém. De qualquer maneira, nem os partidos políticos, como o CDS, nem o próprio Sindicato dos Profissionais de Polícia acreditam no relatório de segurança e os portugueses continuam a engolir a ficção de Portugal que o sr. primeiro-ministro acha que eles merecem.

Sucede que, apesar das contorções do MAI, não resta a menor dúvida de que a criminalidade, e não só a escolar, de 2008 foi a maior desde 1998 (o que não significa quase nada, porque o público deixou de se queixar à polícia) e de que o plano de "reestruturação das forças de segurança", tão propagandeado pelo eng. Sócrates, teve um efeito deletério. Em 2008, houve (que se saiba) mais 24.000 casos de crime violento (11 por cento) e armas de fogo começam agora com frequência a ser usadas, mesmo em pequenos delitos, por gente muito jovem. Claro que o Governo não vê nisto qualquer motivo para se acusar e em 2009 outro relatório, devidamente empacotado, sossegará o país.

Grupo de 10 a 15 pessoas invade esquadra de Moscavide para agredir rapaz que apresentava queixa por agressão desse mesmo grupo.