Chego logo cedo no escritório e um colega chega diz: Cara, você viu o cracker que pichou mais de 6500 sites em menos de 4 dias ?!

Serei sincero, não vi e nem me espantei com a notícia por causa dos seguintes motivos:

  • A grande maioria dos sites afetados estão hospedados em uma mesma empresa de hosting que não segue boas práticas de segurança.
  • Os servidores que suportam estes sites estão desatualizados e com senhas fracas.
  • Jamais um scan de vulnerabilidades foi passado nestes sites ou nos servidores.

Estes 3 simples motivos atestam que tem muita empresa por aí que não dá a mínima para segurança e ainda prega que um determinado sistema operacional é mais seguro que o outro e por este motivo, não implementam patches de segurança e nem utilizam senhas fortes.

Não podemos desmerecer o The 077, o cracker autor das mais de 6500 pichões, bem que se o cara foi espertinho, ele criou um script para automatizar todo o processo, mas isso é uma outra história, mas o maior culpado disso tudo foi a empresa de hosting que deu um vacilo desses.

A responsabilidade por manter servidores atualizados e seguros é das empresas que vendem o serviço de hosting, tanto no Brasil como fora do país. Elas podem impor parâmetros e medidas de segurança para prevenir ataques contra os seus sistemas e galera, não é preciso possuir dezenas ou centenas de certificações focadas em segurança para assegurar uma empresa.

Já parei de contar a quantidade de guias, papers e livros que indiquei no blog e que são utilizados pelas maiores empresas de outsourcing e hosting no mundo para assegurar os seus dados e seus clientes.

Posso afirmar uma coisa: Tem muito carinha por aí que sabe pichar um site, mas tem uma porrada de administrador burro que não sabe que a senha 1234567abcd é fraca.

P.S.: Vejo que este post está gerando um certo rebuliço por parte dos leitores. Vamos aos esclarecimentos. Uma pichação deste porte só ocorre porque o cracker invadiu o servidor que suporta milhares sites, essa é uma prática comum por todas as empresas de hosting no mundo todo, ter uma única máquina para suportar milhares de coisas, é assim que eles ganham dinheiro – e nem estou me referindo a virtualização – é virtual host (apache / IIS / nginx) e estrutura de diretórias puramente, male male um .htaccess para restringir algumas coisas..

Quem não se lembra do caso da Locaweb que teve o seu ftp invadido e milhares de clientes foram afetados, restando a empresa culpar a pobre da RedHat pelo problema, sendo que Locaweb só tinha uma “licença comprada deles”. O caso da Locaweb foi o mesmo caso acima, o cracker invadiu a máquina servidora e detonou milhares de clientes. Nós usuários, não temos como proteger a máquina servidora, mas sim o administrador de redes ou do servidor.

Um ataque deste porte é sempre direcionado à um servidor e não à um site e vocês sabem por que ? O resultado final ou o estrago será bem maior assim. O mais interessante deste caso, o do post, é que não foram só servidores Windows 2003 /isso mesmo/ que foram afetados, mas máquinas Linux também. Daí o meu ponto quanto a existência de múltiplas neste ambiente. Acredito que há vulnerabilidades de sistema operacional como a não implementação de patches como também a não utilização de senhas fortes.

Galera, paz e amor em — o que falo aqui é só um ponto de vista.. 🙂

Compartilhar:

Este post tem 23 comentários

  1. Concordo com cada vírgula sobre os administradores.

  2. Discordo TOTALMENTE !!!

    Vc esta invertendo as coisas, ou seja, esta culpando a vitima !!

    QUE ABSURDOO !!

    Talvez vc não tenha se dado conta que se existe culpado por isso ter acontecido é o cracker e não a empresa que hospeda.

    Um exemplo: SE MINHA CASA É ARROMBADA A CULPA É MINHA ?

    Lógico que não , o culpado é o LADRÃO, TANTO É QUE ELE VAI PRA CADEIA POXAAA

    Desculpa , mas eu vejo essa inversão de valores e não consigo ficar calado, tipo ofendendo os profissionais e as empresas pelo fato de ela ter sido vítima de um ataque, como se vc fosse intocável né, e apósto que os servidores que vc cuida não são totalmente impenetráveis, pois brechas são descobertas a cada segundo e por mais atualizados que possamos estar, sempre estaremos defasados em algum quesito.

    Espero que se vc for vítima de alguma sacanagem tenha a mesma coragem que teve em ofender o profissional e coloque aqui tambem o seu erro e a correção que vc providenciou.

    E ISSO PODE ACONTECER QUANDO VC MENOS ESPERAR !!!

  3. Marcos

    Você pode até estar certo quando temos a visão ética e respeitosa da coisa, mas sinceramente as empresas não investem em pessoas capacitadas para fazer a segurança da rede e da parte software da empresa, e muito menos se preocupam com os dados ali armazenados. Se o sistema da petrobras já foi invadido e outras mais empresas brasileiras, imagina os sistemas dessas empresas que nem sabem o que é segurança da informação.

  4. Marcos é um daqueles administradores que no café toma leite com pêra.

  5. Também acho que vc não deve ser tão radical, Gustavo. Um exemplo disso seria alguém lhe jugar pelo que ocorreu com o SEU site durante do Web Security Forum. Ah, ok, não foi culpa sua, pq vc alugou uma empresa de hosting. Tudo bem, mas, se formos ser radicais(assim como vc costuma ser com os outros), então FOI CULPA SUA por alugar um serviço ACHANDO que era seguro!! Se vc é da área de TI(e diz ser da de Segurança, então teria OBRIGAÇÃO de saber onde estava hospedando o seu site!)
    Um bom administrador deve ter um bom gerenciamento de riscos, sendo assim, deve SABER onde coloca os seus ativos! Se coloca-os em um hosting inseguro e a galera derruba, a cabeça a ser cortada é a sua, que colocou os dados “em qualquer lugar”…

  6. O Web Security Forum sofreu um ataque DDoS — estouraram a banda do meu provedor.. não tem como ser culpa do administrador… blz.. no caso da pichação, alguém cometeu algum descuido de segurança.. deixou alguma permissão menos restrita e ou utilizou uma senha fraca.. quando vc contrata um serviço de hosting, não sei se vcs já fizeram isso, você não é responsável pela segurança do servidor, mas sim do conteúdo que está nele.. por isso a minha afirmação..

  7. Se você é assaltado porque deixou a porta aberta tem culpa sim!
    É aquele velho ditado “Otário tem que se…”
    No mundo da tecnologia (acho que em qualquer outra área também)não se pode acreditar na compaixão e bondade das pessoas.
    Não creio que Gustavo foi radical, ele só mostrou um lado da história, o da imcompetência dos administradores, e particularmente acho irrelevante citar o outro lado (O da falta de escrúpulos dos crackers), isso todo mundo já espera né?! Ou são todos tão inocentes assim?

  8. INcompetência, desculpem o erro de português.

  9. Fabrício, até fiquei pensando se não foi incompetência, mas sim vacilo do administrador, mas convenhamos que deixar mais de 6500 sites serem pichados é um PUTA vacilo né..

  10. Ah, essa eu não vou perder…rsrsr

    Concordo com o Marcos… mesmo pq se eu esquecer minha casa com a porta ou portão aberto, não da o direito de ninguém entrar e roubar algo meu, isso é fato.

    Concordo com o Gustavo tb, onde diz que administradores não se preocupam e não implementam o mininio de segurança. Ficar esperando pela honestidade de crackers (criminosos), é infantilidade.

    No final é importante é deixar claro que é necessário fazermos nossa parte e adotarmos as melhores praticas de segurança que podemos.

  11. De antemão quero parabenizar por esse excelente blog,. Coruja de Ti nota 11, mais voltando ao post “pichou mais de 6500 sites “, rsrs o Marcos deve ter passado por poucas e boas pra ter dito ABSURDOO !!
    Marcos analise esse tutorial:
    Maldito o homem que confia em outro homem, … (Jeremias 17 : 5)

    E roubarão as tuas riquezas, e saquearão as tuas mercadorias, e derrubarão os teus muros, e arrasarão as tuas casas agradáveis; e lançarão no meio das águas as tuas pedras, e as tuas madeiras, e o teu pó. Ezequiel – 26:12

    Como pode alguém penetrar na casa de um homem forte e roubar-lhe os bens, sem ter primeiro amarrado este homem forte? Só então pode roubar sua casa. Mateus – 12:29

    Isso demonstra que se uma empresa quer sobreviver, resistir, enfrentar, atravessar o caminho para o êxito em sua carreira, tem que saber se defender primeiro, Seus profissionais estudarem mais, ler mais e parar de assistir Tieta do Agreste ou o Que Rei Sou Eu.

  12. Voltando ao assunto do arrombamento da porta, caso sua casa tenha dados de mais de 6500 clientes seu, e digamos que sua fechadura fosse uma daquelas que teriam uma especie de senha para poder ser aberta, ou algum sistema de alarme que para pode entrar teria que digitar uma senha.

    Você colocaria a senha 1234567890 nesse sistema ?

    Creio que é nesse sentido que o Gustavo está colocando tem muito hosting por aí que não se preocupa nem um pouco com os dados dos clientes que estão lá.

    E uma coisa é vc arrombar uma porta outra coisa é você conseguir arrombar 6500 portas.

    Abraços !!!

  13. @Marcos
    Se você tem uma casa em um local perigoso, mas mesmo assim tem muro baixo, não tem cachorro, não tem alarme, nem cerca elétrica, e ainda deixa a porta da casa aberta, se você é roubado, a culpa é sua sim!

    A culpa é sua porque você sabia dos riscos mas não tomou as atitudes necessárias para se proteger.

    Você sabia que seu muro deveria ser alto para evitar que qualquer um pule pra dentro do seu quintal. Você deveria ter uma certa elétrica ou lanças sobre o muro. Você deveria ter um alarme que pelo menos espantasse o ladrão e indicasse aos seus vizinhos que sua casa está sendo roubada.
    Você deveria colocar uma porta segura, não apenas com vidro, mas sim com grades.

    Se você faz o máximo possível para manter sua casa segura, a culpa não é sua.

    O mesmo vale para um administrador de sistemas que não atualiza o sistema, anulando vulnerabilidades conhecidas, um administrador que não utiliza firewall, deixando várias portas que não são necessárias, mas que podem ser utilizadas para uma invasão. Pior ainda é um “administrador” (repare nas aspas!) que faz a instalação do sistema operacional e todos os aplicativos necessários e deixa todas as senhas padrão!

    @ Fagner Alex
    “Concordo com o Marcos… mesmo pq se eu esquecer minha casa com a porta ou portão aberto, não da o direito de ninguém entrar e roubar algo meu, isso é fato.”

    Você mesmo já disse tudo! Se você esquece a porta aberta, você não dá o direito de alguém entrar e ROUBAR o que é seu…
    Se a pessoa entra pra roubar, ela não quer saber de direitos, certo? Afinal ela está tirando de você algo sem a sua permissão, o que indica que esta pessoa é uma criminosa.

    Se ela não fosse uma criminosa, não estaria roubando, e precisaria da sua permissão para isso…

  14. Ah, beleza.
    Não se pode culpar o administrador né?!
    Se o cara vacilou, ou foi incompetente (os termos não mudam a cagada) merece ser responsabilizado sim. Existem N maneiras de manter um ambiente seguro. Não digo 100% seguro, mas com um percentual muito alto também.

    Marcos, me desculpa. Mas se se um ladrão entrar na sua casa porque você deixou a porta aberta, a culpa é sua sim cara. Afinal, o papel do ladrão é roubar.

    O papel de um cracker (assim como de um ladrão) é estragar alguma coisa, e o papel do administrador é dificultar ao máximo que haja esse estrago. Mas se o administrador deixa a porta aberta e facilita isso, eu vou querer culpar o cracker que está realizando o papel dele, ou vou culpar o administrador que não fez o trabalho dele de forma correta???

    PS: Lembrando que estamos falando daqueles adms que ou são incompetentes ou vacilões. Não estamos falando daqueles que mantem seus ambientes seguros o máximo que podem, e por ventura acontece uma invasão. Esses sim, não merecem esse post.

    Gustavo, muito bom o post.

  15. ahsEUAHSEUASHEASE como sempre, pessoas como o Marcos geram boas risadas aqui 🙂 Na real a Culpa é da Dilma que não investe na Inclusão Digital! 🙂

  16. Na verdade a Culpa é da Dilma que investiu sim em inclusão digital e fez um monte de gente achar que sabe alguma coisa de T.I.

    q1w2e3r4 isso é senha forte =P

  17. podes crer marcos fez a galera dar boas risadas

  18. E ele sumiu… rsrsrs

  19. Gustavo Lima, você não deve se desculpar, nem ficar preocupado; o que você disse é uma verdade, os administradores não estão preocupados com a segurança. Já trabalhei na prefeitura, na secretaria de educação, no setor de TI e sempre via a ação dos administradores de lá, ou seja, apenas “passeando” pelo setor, jogando conversa fora e ainda reclamando do pessoal da infraestrutura. Ter personalidade e atitude é raro hoje em dia, parabéns por seu post.
    “Não existem atualizações de segurança para a estupidez humana”.

  20. Acho que tem uma grande diferença entre roubar e avisar. Pichação, para mim, é um aviso de que a segurança não está boa. Sabe quando você esquece a carteira na mesa, seu amigo pega e esconde? Pois é…. Isso é um aviso para que você não seja tão descuidado. É bem diferente dele abrir tua carteira, roubar tua grana e jogá-la no chão.

    Senha padrão em servidor é a coisa mais comum que rola, né? Assim fica moleza… Quero ver quebrar uma senha assim: E#u1T*2Po!79

  21. Eu mesmo observei uma falha de segurança na minha empresa essa semana. Temos algumas unidades distintas, onde a conexão entre as mesmas é fechada via VPN com link dedicado.

    Com ajuda de um port scanner descobri que duas unidades tinham regras NAT que direcionavam a porta 5900 (VNC) para um micro específico (1 em cada unidade), onde qualquer pessoa que tivesse a senha pudesse acessar a unidade, e por tal micro ter acesso a qualquer micro, servidor, e firewall dentro da nossa rede.

    Isso é uma falha gravíssima, pois são regras que foram criadas a mais de um ano e que deveriam ao menos estar desativadas, ou mesmo terem sido deletadas, já que não tem mais utilidade.

    O pior é que tivemos uma demissão em nossa equipe a pouco mais de 1 ano atrás, e desde então as senhas do VNC da empresa não foram alteradas, afinal, todas as conexões externas deveriam chegar diretamente ao Firewall e de lá serem direcionadas ao micro destino. Essa regra poderia resultar em um ataque que poderia prejudicar toda a equipe, não somente o responsável pelo firewall.

  22. Como vender uma solução sem precisão?
    Como fabricar um remédio se não existem doenças?
    Cara a internet evoluiu muito com esses anos justamente por causa de caras como o nego do massdefacer. Tem muitos administradores babacas que: Deixa o sistema funcionando perfeito(na concepção deles), dai se acomodam achando que é o cara. Não demora muito vem um molequinho de 15 anos entra e faz uma merda tipo essa ai. Eu dou meus parabéns e meu respeito a todo e qualquer invasor que mostra que são fodas a muitos admins que se acham.
    E errado fazer isso? Sim e não.
    Sim porque é um crime, e não porque conhecimento vale pra todos. Não sou a favor de invasões, isso ai já passou da época e meu ego já esta suprido e satisfeito, não preciso alimentá-lo com essas coisas. Porém e sempre bom cara achar alguém que saiba mais que você, assim aprendemos mais e mais e nos tornamos profissionais melhores.

  23. muito legal

Deixe uma resposta

Fechar Menu