quarta-feira, abril 30, 2008

PORCARIA DE UTILIZADORES!

Já tinha lido acerca dos 500.000 computadores infectados mas esperava ansiosamente pela resposta da M$ já que a "injecção" SQL apenas afecta os produtos do monopólio enquanto MySQL e PostgreSQL escapam incólumes.

Como não seria de esperar outra coisa a M$ vem descartar-se do problema e culpa os utilizadores do acontecido. Porcaria de utilizadores que nos andam a estragar as voltas. Por castigo não lhes vamos fornecer nada. Nem informações nem patch nem nada que se pareça. Queixem-se à Polícia, SIS, FBI, CIA, Santana Lopes, seja a quem for mas desamparem-nos a tasca!
Os nossos produtos são mesmo bons tão bons que até tem uns organismos oficiais a fazerem propaganda gratuita (?) a um concurso acerca de segurança e vem agora uns malditos tentar dizer que nós é que temos a culpa destes problemas!?

Só dá para rir. Coitadinha da M$...

Vá lá pessoal. Façam umas páginas a falar de segurança mas usem apenas as ferramentas da M$ porque nós júri (leia-se M$ & Ca, Lda) iremos providenciar para que estes sejam mais pontuados que os outros, provavelmente, os outros até irão directamente para a lixeira. Para a M$ e restantes organismos oficiais não conta qualidade dos trabalhos mas sim o uso dos produtos do monopóliosoft mesmo que a segurança seja uma palavra que consta no dicionário da M$.

Trabalho árduo espera aquela gente que concorrer mas aqui fica a minha sugestão:
- Se não souberem o que dizer da (in)segurança dos produtos da M$, inventem!
Não se esqueçam porém de colocar no header o aviso "PURA FICÇÃO, PAGA POR M$".

8 comentários:

brunomiguel disse...

Não é nada de novo. Os utilizadores já vêm a ser culpados à muito tempo.

Anónimo disse...

M$ sucks. Este blog é porreiro, ainda espero chegar aqui um dia e ver um titulo "Microsoft fechou". Quando será esse dia! :x

Anónimo disse...

Cada um com as suas convicções. Contudo, elas não devem ofuscar a realidade. Ao ler o teu post, tenho algumas questões:

1- Onde estão esses estudos que mostram que o problema do sql injection passa ao lado do mundo do mysql e PostgreSQL? Penso que nenhum programador tem qualquer duvida que se fosse feito um estudo no mundo LAMP os resultados seriam desastrosos...

2- Onde estão esses estudos que mostram que as vulnerabilidades encontradas não estão directamente relacionados com as técnicas aplicadas pelo programador, mas sim, por exemplo, em tecnologias como o Linq ou ADO.NET (via parameters)?

3- De que forma esses relatos que tens lido confronta a realidade de sql injection, cross side scripting, etc e os relaciona com os paradigmas / patterns aplicados nos programas em estudo?

Porque o problema do cross-site scripting é muito mais complexo do que simplesmente usar a tecnologia "certa". De pouco adianta dares a melhor pincel a quem não sabe pintar...

NB: não tenho qualquer simpatia especial por produtos Microsoft,e qual quer antipatia em especial por software livre.

Anónimo disse...

Deixo aqui uma opinião diferente e fundamentada tecnicamente ao contrário da tua. O autor não me parece apologista da microsoft mas consegue ser isento e não se deixar ir por "sentimentos".

http://paradigma.pt/gngs/view.php?pid=761

jocaferro disse...

Ora muito bem.
Vou tentar responder às questões muito serenamente já que não gosto lá muito que me acusem de ofuscar a realidade e muito menos uma realidade que não está escrita no post e só por uma caprichosa e inventiva ilacção é que se consegue sacar das minhas palavras.

1. Na REALIDADE a "injecção" SQL foi/está a ser executada unicamente em T-SQL. Acho que não preciso de dizer mais nada.

Não tenho qualquer dúvida que qualquer SQL não pode ser excluído e posso mesmo considerar o exemplo da Oracle, que demora mais do que um ano a resolver os bugs já conhecidos = um perigo em potencial.
Contudo não é isso que está em causa. O que realmente está em causa, logo REALIDADEe não qualquer ESTUDO, é que as mais de 500.000 máquinas infectadas foram-no à conta do SQLServer/IIS e que a M$ assobia para o lado.
Não percebo onde está a ofuscação da REALIDADE. Continuemos...

2- Mais uma vez uma questão que não tem nada a ver com o post. A mim, e é isso que está no post, não me interessa absolutamente nada se é através de Java ou do Firefox mas sim a REALIDADE e a REALIDADE, e não um qualquer ESTUDO, é que são mais de 500.000 máquinas infectadas e TODAS essas 500.000 máquinas correm IIS/SQLServer.
Mais uma vez, não percebo onde está a ofuscação da REALIDADE. Continuemos...

3- Depois das duas respostas anteriores acho desnecessário responder sob pena de repetição.

Agora que as respostas estão concluídas devo concordar que as questões foras bem levantadas só que não foi esse o âmbito do post. Existem miríades de questões mas o âmbito do post foi criticar a M$ quando se coloca automaticamente de lado perante uma questão que também lhes diz respeito.
Claro que também tem razão e que muita da culpa é dos utilizadores. Não são bem formados e não ligam patavina ao que a Microsoft publica já que este assunto tem tido imensa cobertura por parte da informação da Microsoft desde há uns anos para cá.

Claro que isto daria pano para todos os vestidos dum casamento real mas a REALIDADE do meu post foi a crítica à absurda posição que a M$ tem perante aqueles que lhes alimentam ($$$) os inchados egos e carteiras.

O post não teve como base qualquer estudo e está bem patente no que está escrito mas sim as milhares de notícias que correm pela net fora.Portanto, desculpa lá mas quem se desviou da REALIDADE do post foi o caríssimo anónimo.

jocaferro disse...

Para o anónimo anterior:
A M$ não precisa de fechar. É um erro pensar dessa forma.

O que a M$ precisa é de mudar de práticas e, principalmente, deixar de esmagar e fazer vergar todos sob o peso do monopólio.


@braço para os dois.

jocaferro disse...

Não posso precisar, mas a primeira vez que ouvi falar de SQL Injection deve andar a rondar uma década quando o rain forest puppy publicou na Phrack um artigo sobre as implicações de segurança que a vulnerabilidade pode implicar.

Parece que existe muito webmaster que só agora soube do termo, sinal de ignorância profissional já que a maioria das linguagens para a web possuem funções específicas de modo a prevenir estes ataques. Ninguém pode afirmar que está imune aos mesmos, mas um script automático descobrir e explorar aleatoriamente 500 mil sites em ASP/X vulneráveis é deveras preocupante para todos os utilizadores da rede.

Esse comentário foi para rir, não foi!?

"fundamentada tecnicamente"
Aonde!??

Ainda por cima o link que lá consta só vem dar crédito às minhas palavras.

UPDATE: We've received some questions on the platform and operating systems affected by this attack. So far we've only seen websites using Microsoft IIS Web Server and Microsoft SQL Server being hit. Do note that this attack doesn't use vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code.

Claro!
Então porque é que a M$ se descarta do problema!?

O melhor será partir para uma analogia. Vai já saír um post acerca disto apenas para evitar comentários extensos.

@braço.

jocaferro disse...

Apesar da "analogia" já estar "no ar", passo a apresentar um estudo, este sim devidamente fundamentado, sobre o que está eventualmente a acontecer:
-http://www.0x000000.com/?i=556

Este estudo também se encontra no post da anologia, embora não tenha nada a ver com o fundamento do que aqui escrevi.

@braço.