ColdFusion administrator… De novo?

Tem gente que não acredita… E eu não canso de bater na mesma tecla. Alguns talvez ainda não tenham levado um susto dos bons para, quem sabe, acordar… Afinal de contas, uma leitura mínima para se proteger de coisa tão banal não falta.

Até o UOL, no auge de sua força, arrogância e prepotência resolveu fazê-lo, por que tanta gente ainda insiste em deixar o CF Administrator escancarado?

Apenas alguns exemplos:

http://funky.macbbs.com.br/cfide/administrator
http://www.webgeo.net/cfide/administrator/
http://www.porta80.com.br/cfide/administrator/
http://ns1.dwws.com.br/cfide/administrator/
http://linux.infoserra.com.br/cfide/administrator/
http://amidala.allnet.com.br/cfide/administrator
http://dns1.webcalifa.com.br/cfide/administrator/
http://www.intersoft.com.br/cfide/administrator/

Mamão com açúcar, papai-e-mamãe, bico, moleza… chamem do que quiser a verdade é que, durante todo o dia de ontem, um PC cacareco (Pentium 233 MMX – overclocked para impressionantes 266Mhz!!) conectado à minha mini rede que conta com uma saída para a Internet de 512Kbps (cable) e usado como cobaia para as minhas barbáries ficou “brincando” com três servidores/hosts acima citados enquanto eu trabalhava. Ao chegar em casa agora pouco nenhuma surpresa: o softwarezinho de brute-force que usei (encontrado em qualquer site “réquer”) foi capaz de quebrar a senha de dois dos CFAdms listados acima (2 em 3!)… Normalmente eu aviso os sys-admins do problema, mas nem sempre teremos pessoas com esta boa vontade (softwares de brute-force podem ser rodados com proxies anônimos – demora mais, mas uma hora acaba entrando) e os sites em CF do servidor inevitavelmente irão por água abaixo… se o resto não for junto já que muitos “administradores” tem a péssima mania de usar a mesma senha para tudo… a senha do ColdFusion Administrator é igual a do usuário “Administrador” ou “root” do SO. Basta experimentar entrar com o VNC ou, mais comum, o Remote Desktop da MS…

Prestem mais atenção!! O estigma de “inseguro” que o ColdFusion carrega (felizmente isso está mudando rapidamente) é muito em parte por falta de conhecimento nesta plataforma. No Brasil isso é ainda mais notável, dada a ausência de documentação e recursos em português. Espero que isso mude gradativamente, porém de forma rápida e correta (estamos cansados de plágios e “traduções”).

Com relação ao problema do CF Administrator (o mais básico dos básicos), algumas orientações básicas de como se proteger (e proteger os seus clientes caso você seja um ISP) podem ser encontradas aqui e aqui também.

Notem que mais preocupante (e impressionante) nessa história é que estamos falando apenas de hosts que oferecem hospedagem ColdFusion! Estes que deveriam ser mais preocupados com a segurança… (casa de ferreiro espeto de pau?). Existem inúmeros sites feitos em CF que estão abertos do mesmo jeito. Um bom exemplo pode ser visto aqui.

Se você tem um site hospedado em ColdFusion, exija o mínimo aceitável de segurança para suas aplicações e sites, você tem esse direito (nem que para isso você tenha que configurar o servidor do seu ISP à quatro-mãos – isso é mais comum do que você imagina).

Em breve a Locaweb irá oferecer hospedagem ColdFusion MX de forma segura e decente (inclusive com licenças de verdade, o que muitos não tem – não vale a pena mencionar quais). Se rolar (e tudo caminha para) será a primeira hospedagem compartilhada ColdFusion MX confiável e decente que conheço e recomendo no Brasil. Os detalhes eu postarei num futuro breve. Quem sabe assim poderemos contar com uma estrutura de host onde podemos colocar nossas aplicações (e de nossos clientes) com tranqüilidade.

Até lá cuide dos seus sites!