Ter um blog ou um site baseado em CMS é hoje em dia comum. Praticamente toda a gente já fez um site ou um blog ou já testou Joomla entre outros programas do mesmo gênero; o mal destes programas é serem extremamente populares e são open source.
Um CMS, por ser open source e de acesso público, pode ser explorado até à sua exaustão por um técnico de segurança que vai encontrar bugs facilmente caso existam. No caso ele não tivesse acesso ao source levaria mais tempo a encontrar erros e teria de fazer scans exaustivos a sites com esse programa e encontrar erros padrão. Desta forma o mundo aberto dos CMS leva-nos por vezes a abrir as portas do nosso servidor ao que der e vier.
Um dos maiores problemas que afectam o mais conhecido CMS do mundo, o Joomla, prende-se não no Joomla em si nem no Mambo, mas sim nos seus componentes ou outros addons que este CMS suporta. Já em fóruns de segurança e em conversa com amigos que tenho na net, alguns técnicos de segurança do Japão e peritos em SQL injection, chegámos a uma conclusão de que muitos componentes têm os mesmos autores e que descaradamente publicam novos componentes ou actualizações com os mesmos erros de forma repetida.
Isto significa que muitos dos erros que os sites da família Mambo sofrem podem mesmo ser premeditados em mais de 90% dos casos, assim, hackers podem em primeira mão, antes das falhas de segurança serem publicadas, lançar um update malicioso do seu componente o que permite às grandes empresas utilizar, e aceder em primeira mão, a falhas que dão acesso ao source de ficheiros, por exemplo em php, jsp (em alguns sites), ou mesmo fazer uma injecção SQL e obter desta forma os e-mails de todos os utilizadores ou as passwords que estão em hashes de MD5 na maioria dos casos e podem ser crackadas por bruteforce, com a utilização de serviços como www.plain-text.info / www.md5sha1.com / rainbow tables (este último, um pouco parecido com projectos como seti@home) entre muitos outros.
A prevenção e a precaução de quem utiliza este tipo de sites passa por diversos passos como por exemplo ter uma password extremamente complexa e utilizá-la apenas para o seu site e não para o site, o mail, o pin do telemóvel ou mesmo para tudo.
Sign up here with your email
ConversionConversion EmoticonEmoticon