Hacker instalou um Backdoor secreto em servidores do Facebook para capturar senhas

Você viu essa notícia?

Hacker Installed a Secret Backdoor On Facebook Server to Steal Passwords

Resumindo, um hacker descobriu um servidor do Facebook (files.fb.com) rodando uma versão desatualizada de um software de compartilhamento de arquivos e conseguiu, através disso, fazer upload de um PHP Web Shell. Ou seja, acesso shell ao servidor.

No post original do cara que descobriu a falha você pode achar uma porção de detalhes técnicos muito interessantes.

O que é esse backdoor secreto?

Backdoor (“porta dos fundos” em inglês) é um software oculto que permite a quem o instalou acesso ao servidor. Um webshell é um backdoor que pode ser acessado em uma interface web. Existem webshells em PHP, ASP, Python, Ruby, C#, Perl e é muito fácil construir um em sua linguagem predileta.

Veja um exemplo de tela de um web shell em PHP:

Webshell em PHP
Webshell em PHP (clique para ampliar)

E seu site, é seguro?

Lição importante que você tirar desse episódio: uma corrente é tão forte quanto seu elo mais fraco. Seu servidor de controle de versão, seu software de gestão de projetos, seu webmail, todas as aplicações web acessórias ao seu site, todos os seus servidores e os computadores da sua equipe precisam estar seguros.

Por exemplo: se seu servidor git tiver o Open SSH desatualizado, se um dos programadores que desenvolve seu site instalar um software malicioso por engano ou se a sua senha do registro de domínios não é forte o suficiente, seu site estará vulnerável, não importa quão bom seja seu código.

São 0,20 ou não são 0,20, afinal?

Um bocado de gente se mostrou decepcionada ontem com os dois líderes do Movimento Passe Livre que foram ao Roda Viva. Eles afirmaram categoricamente que o ato de ontem é pelos vinte centavos de aumento da passagem. E aí? Tinha uma multidão compartilhando no Facebook que não eram só vinte centavos, que estávamos protestando contra a repressão, a corrupção, as más condições de saúde e educação, os gastos exorbitantes com a Copa do Mundo e “tudo isso que a gente vê todo dia”. Afinal, são só vinte centavos?

Sim, são só vinte centavos

Você acha mesmo que, depois desse levante popular, todos os políticos eleitos do Brasil vão virar santos ou renunciar? Você acha que Haddad e Alckmin vão ceder suas cadeiras? Não, não vão. E você acha mesmo que cem mil pessoas vão sair às ruas para “acabar com a corrupção” até que a corrupção acabe? Digamos que seja uma marcha até que a corrupção acabe, a educação melhore e haja segurança, quando é que você vai se dar por satisfeito e sair das ruas? É claramente inviável que acampemos nas ruas até que haja escolas modelo para todas as crianças, que cada policial tenha salário digno, que cada bandido seja preso, que cada bairro tenha praças arborizadas com playgrounds e que tenhamos ônibus gratuito com ar condicionado para todos. Cada um de nós tem mais o que fazer do que acampar na rua. Não vai rolar.

E nem é bom que role mesmo. Não se constrói uma rede de escolas numa semana. Não há como resolver todos os problemas de São Paulo em um mês, nem em um ano. Você não ficar na rua tanto tempo gritando. Por isso, é bom que quando o povo saia para as ruas, haja uma proposta clara. A proposta, dessa vez, é apenas a revogação do aumento da passagem de ônibus. São sim, os vinte centavos. Se o Haddad e o Alckmin cederem os vinte centavos, podemos sair das ruas, por enquanto, só por enquanto.

Mas e o resto?

"Pela má administração e corrupção generalizada". Ah, tá. E você vai voltar para casa quando?
“Pela má administração e corrupção generalizada”. Ah, tá. E você vai voltar para casa quando?

Vivemos uma crise de representatividade política. Boa parte da população sequer vota, mesmo o voto sendo obrigatório no Brasil. Outra parte tenta organizar protestos de voto nulo ou boicotes à eleição. Ninguém está orgulhoso dos políticos que elegeu e o cidadão que não desistiu tenta, nas eleições, escolher o “menos ruim”. Votar no segundo turno, então, é uma tristeza.

A gente escolhe um representante, e ele esquece que deveria nos representar. Parece que ele passa a achar que tem quatro anos para fazer o que quiser, e volta a falar com o povo só nas próximas eleições. Eles se encafurnam em seu palácios e gabinetes, e deixam de ouvir. Durante as eleições eles estão todo dia na rua, na televisão, no Facebook, no Twitter, nos fazendo acreditar que se importam conosco. Depois da eleição eles somem.

E a gente vive reclamando que ninguém faz nada, que ninguém se importa, que no Brasil é assim mesmo. Um dia como ontem (e como hoje) serve para mostrar quem é o patrão. O patrão é o povo. O governador e o prefeito são nossos empregados, e temos a obrigação de mandar neles. Hoje, a questão é sim sobre a passagem. Mas é também sobre quem é que manda. Se a passagem não abaixar, podemos continuar até abaixar, e podemos fazer mais. Então, cedo ou tarde, vai abaixar. E quando abaixar, teremos mostrado quem é que manda. Isso é que importa. É por isso que o governador pôs a polícia na rua semana passada para descer borracha na galera. Para mostrar quem é que manda.

Governante tem que respeitar o povo, tem que ter medo do povo. Você é o patrão.

E depois que a passagem abaixar?

Rosa Parks lutou por um assento, Gandhi caminhou 400km para produzir sal. Era só um assento. Era só sal. Mas era para mostrar quem manda. Uma vez que você mostrou quem manda, abriu a porta para que mais coisas mudem.

Tem gente perguntando “porque não protestam contra o mensalão, a PEC 37, os gastos com a Copa, etc.”? E tem gente dizendo que está justamente protestando contra essas coisas. A questão é conseguir agora a redução da tarifa, e voltar para casa, com o gosto da vitória, de ter mostrado quem manda. E sair na rua de novo cada vez que um governante sair da linha.

Vão votar a PEC 37. É uma vergonha. A redução da passagem vai mostrar quem manda, e aí você vai poder mandar de novo.

Governantes que ignoram o povo

Obrigado São Paulo, agora vou aproveitar. Daqui a quatro anos eu volto a falar com vocês.
Obrigado São Paulo, agora vou aproveitar. Daqui a quatro anos eu volto a falar com vocês.

Alguma coisa aconteceu do tempo dos caras pintadas para cá. Foi a internet. Os protestos foram organizados pela internet, e ganharam força lá. Qualquer ser humano hoje, que faça qualquer tipo de trabalho que envolva as pessoas, está na internet. O Facebook pode não ser o melhor lugar do mundo para o debate inteligente, mas o povo está lá. Nosso prefeito esteve ativamente interagindo com o povo no Facebook e Twitter (através de acessores, eu sei, e não importa). Durante a campanha. Depois, sumiu.

Por isso a frase do momento é “Fulano não me representa”.

É uma utopia muito grande, eu sei, mas eu imagino o prefeito, da França mesmo onde ele estava semana passada, convocando as pessoas na última quarta para um hangout. Mostrando seus motivos e argumentos, e ouvindo as pessoas. Por que se eu sou empregado e meu patrão está tão furioso comigo a ponto de vir gritar na porta da minha casa, eu vou fazer questão de falar com ele.

O patrão, nesse caso, não aguenta mais. Por isso tanta gente na rua. Pela passagem sim, e para mostrar quem é que manda.

 E as urnas?

Vi também um monte de gente compartilhando uma imagem de uma urna com o texto “proteste aqui, idiota”. Muita gente dizendo “por que não protestam nas eleições”?

Ora, imagine que você é dono de uma lanchonete e combinou com seus funcionários que vai fazer avaliação com eles a cada seis meses. E nesse momento, vai aumentar salários de quem merece, vai conceder promoções, mas vai também dispensar os que não servem. Mas, três meses depois da última avaliação, você descobre desvios de conduta sérios de um funcionário. Ele está usando água da privada para fazer café, xingando as velhinhas que demoram a contar o dinheiro e mordendo o lanche dos clientes que reclamam, na frente deles. Você vai esperar mais três meses até a próxima avaliação?

É a mesma coisa. Eu não votei no Haddad no primeiro turno, no segundo fui obrigado. Não votei no Alckmin. Mas eu acho que mesmo quem votou nesses candidatos tem o direito, e a obrigação, de pras ruas agora. Não vamos achar governantes perfeitos e nossa ação para mantê-los na linha não pode acontecer apenas a cada quatro anos, mas a cada desvio de conduta.

Democracia direta já!

Numa democracia direta, o povo vota não apenas nas pessoas, mas nas decisões. O orçamento da prefeitura é feito com o povo. É o povo que decide se uma avenida será ampliada para carros ou para um corredor de ônibus. É o povo que decide se a verba vai ser destinada a aumentar o salário dos professores ou dos vereadores. Antes da internet, democracia direta era meio inviável para cidades do tamanho de São Paulo. Com a tecnologia que temos hoje, acho que está na hora de começar a pensar no assunto, não?

Também acho que é um longo e difícil caminho de uma estrutura política como a brasileira para uma democracia direta. Alguns vão dizer que é um caminho impossível, eu não acho. Mas não será fácil.

Enquanto isso, vamos fazer democracia direta do nosso jeito. Ao tomar uma decisão, os representantes eleitos do povo precisam ouvi-lo. Os legisladores deveriam estar agora no Facebook, no Twitter, na TV, nas ruas, perguntando a você, o patrão, o que você acha da PEC 37. Se não estão ouvindo, vamos fazê-los ouvir.