Trabalho com servidores aplicacionais Java há 12 anos. Comecei com o WebSphere Application Server 3.5 e hoje, eu trabalho mais com WebLogic, JBoss e GlassFish. Neste período eu até tirei algumas certificações para atender alguns pré-requisitos de meus empregadores, nada de mais nisso.

Você pode resumir os problemas que ocorrem com servidores aplicacionais JAVA em 3 tópicos:

  • Má configuração
  • Bug
  • Aplicação

Mas de 2 anos para cá, eu venho me deparando com problemas relacionados à segurança, isso porque servidores aplicacionais JAVA como o GlassFish, JBoss e TomCat são amplamente utilizados pelo mercado por causa de uma simples coisa, você não paga licença.

Não entrarei no mérito dos contratos de utilização em ambientes corporativos de alguns dos produtos citados, mas é inegável vermos alguma solução de autenticação ou gerenciamento de usuários que não rode em um destes carinhas, e é aí que mora o perigo.

Na semana passada, eu soube de uma discussão quanto a um problema encontrado em uma solução responsável pela certificação PCI. O referido problema era, ou melhor, é uma grave vulnerabilidade encontrada no TomCat, servidor aplicacional Java, responsável por suportar a aplicação que certifica o ambiente no PCI.

O fornecedor da solução e responsável por suportá-lo recebeu o relatório do scan de vulnerabilidades e dissemos à ele que o TomCat precisaria ser atualizado. Uma simples correção da falha, não acham ? Pois bem, a empresa acha que não e respondeu, e formalizando por e-mail, que o seu TomCat é personalizado/customizado e por isso, além dos poderes secretos do Harry Potter, do Mandrake e do Pai de Santo que protegeu o Zé-pequeno, este ambiente não é vulnerável.

Passaram o problema para a esfera superior e disse, Deuses do Olimpo, o produto de PCI é vulnerável a um ataque, parecido com esse aqui:

(Os deuses ficaram perplexos ao saberem que há um vídeo no youtube explicando como realizar o ataque).

E o fornecedor e responsável pelo suporte do mesmo disse que Lá garantia soy yo.

Well, eu não recebei notícias até agora do que aconteceu.

Para mim, e serei sincero quanto a isso, o fornecedor da solução está com um velho e conhecido problema de quem trabalha com servidores aplicacionais JAVA:

O cara que desenvolveu o produto fez algo fantástico e funcional, mas sem padrão ou documentação alguma, e pior, ele foi embora. Estrelas fazem isso. Elas veem que uma galáxia não suporta mais o seu brilho e então migram para outra.

A atualização do TomCat mitigará o problema quanto a vulnerabilidade, mas criará outro, 99,99999999999999% de certeza que é o não funcionamento da aplicação.

E aí, o que fazer nesta situação ? Simples, você explica que o mundo possui 3 grandes problemas, generalistas, simples e verdadeiros. São eles O Meu problema, com o dedão, o nosso problema, com o indicador e o seu problema, com o dedo do meio.

É claro que você não fará isso, mas o seguinte e-mail pode, né Arnaldo ?

Caro fornecedor x,

encontramos uma vulnerabilidade crítica em sua solução de PCI e a mesma precisa ser resolvida em até 48 horas. Caso contrário, iremos remover a sua solução, enviar uma notificação ao PCI cisecuritystandards informando do problema, onde, por fim, o jurídico e o financeiro entrarão em contato para o encerramento do contrato e ressarcimento dos valores.

Atenciosamente,

Alguém que sabe dar enter em no Nessus.

fim da transmissão.

P.S.: Eu já comentei com várias pessoas que PCI dá dinheiro pra caramba. O problema é que tem muita empresa com solução boqueta por aí que precisa da ajuda de estagiário para dar um netstat -anp.