"Hackers Pensando" da Campus Party para o Joomla Day SP
É com o sentimento de dever cumprido que hoje escrevo este artigo sobre o que foi a minha primeira participação na Campus Party Brasil. Eu e os demais Joomleiros presentes conhecemos várias pessoas, divulgamos a comunidade Joomla no Brasil e o seu evento nacional que ocorre no mês de Setembro em Belém e também anunciamos em primeira mão o Joomla Day São Paulo que ocorrerá em Julho na USJT. Os Campuseros presentes até conseguiram "hackear" o Joomla ao final da minha apresentação. O QUÊ??? Mais o Joomla não é seguro? Continue Lendo... d:-)
Bom devem estar assustados ao lerem que o Joomla não é seguro e que foi hackeado né? Pois bem, vou explicar e falar um pouco mais sobre este episódio e também sobre o evento.
Na quinta feira antes do meu vôo para São Paulo, o Elvis Martins me confirmou o interesse e apoio da Universidade São Judas Tadeu - USJT (Putz, o site deles não funciona sem www d:-) em sediar o Joomla Day São Paulo. Nisso eu já fiquei pensando em várias coisas e resolvemos anunciar durante a Campus Party essa novidade para a comunidade. Então lá vai eu e o Elvis trabalhar durante a madrugada para criação da FanPage do evento, banner, alterar a minha apresentação sobre o Joomla para divulgação do #JDaySP ao vivo na #cpbr6 e outras ideias mais que foram surgindo durante a madrugada e que com isso nos permitiram dormir apenas algumas horas na madrugada.
Já pela manhã, estava reunido no Parque Anhembi com os Joomleiros Bignato, Elvis, Lelo e mais tarde o Matofino chegou para prestigiar nossa palestra. (Veja aqui algumas fotos do evento) Montamos acampamento na bancada de Software Livre da Campus, navegando com 30GB de internet e fomos muito bem recebidos pelos responsáveis do Palco Sócrates. Aproveitando, gostaria de fazer aqui um agradecimento especial ao curador da área Paulo Santana e também a Ana Carolina, parabéns pelo ótimo trabalho de vocês, foi tudo muito bom e funcionou perfeitamente.
No horário previsto começa a nossa palestra na Campus Party, e aquele palestra já começou de forma estranha e terminaria de forma mais estranha ainda. Se ainda não viu a palestra online o pessoal da #cpbr6 já disponibilizou a nossa Palestra sobre o Joomla no Youtube. Nessas apresentações sobre o Joomla 3.0, eu sempre divido a palestra em duas partes, a primeira teórica e a segunda prática como podem ver neste link que consta a apresentação. Estava preparado para fazer a apresentação teórica em um MacBook Pro que pela primeira vez eu vi travar (Dizem que Mac não trava né, mentira! Te falei Rogério para fechar todos os programas abertos d:-) e a parte prática faria no Netbook da minha esposa que roda Windows XP e já estava instalado o Xampp e com o pacote de instalação baixado e descompactado. Bom, mudanças de planos, Mac travou e o streaming da palestra já estava quase rolando, aliás, fiquei bem feliz de ver que tínhamos um número bem grande de pessoas assistindo a palestra online. Então como já tinha a apresentação no Netbook e precisava rodar um vídeo do Youtube, espetei o cabo de rede nele mesmo e bora começar.
A palestra estava correndo tudo bem, galera prestando atenção e fazendo perguntas e quando já estavamos indo para o sorteio dos brindes eis que surge um indivíduo chamado André que levanta o braço e pergunta: "Mais o Joomla é seguro? Como podemos ver olha lá o Title da sua página: Invadido. Hackers Pensando" e nisso eu olho pro telão e confirmo a alteração do nome do site, já olho pra minha máquina e vejo que a mesma está espetada na rede e que passei durante a instalação do Joomla todos os dados de conexão ao meu banco de dados localhost. Olhando novamente pro cidadão durante minha resposta eu tive a certeza de que ele estava envolvido naquela invasão e assim que terminou a palestra conversaria com ele. Porém precisávamos liberar o palco e distribuir os brindes e logo depois da palestra várias pessoas vieram nos procurar para tirar dúvidas e ajudá-los na criação do seu blog/site. Ainda fui convidado pelos organizadores do evento para participar de uma mesa de discussão sobre projetos de Software Livre logo depois e pedi para o Rogério me representar, pois precisava terminar de responder as dúvidas do pessoal que veio me procurar após a palestra e também queria conversar com o rapaz que me fez a pergunta e que acabei perdendo ele de vista no evento.
Deu-se então a nossa procura ao grupo de Hackers no evento, achamos a bancada que eles estavam, mais não tinha ninguém nas máquinas. Depois de muita procura e já no final da noite tive a sorte de encontrar com o Alan Sanches que faz parte do grupo "Hackers Pensando" e o abordei dizendo que fui o palestrante que eles haviam invadido. Ele me olhou meio assustado, talvez porque assim como o Danilo, outro integrante do Grupo que conhecemos no dia seguinte que me viu com um rádio na mão e achou que eu era da Polícia Federal ou que queria arrumar encrenca. Porém o Alan foi super atencioso e começou a conversar comigo sobre o que havia ocorrido naquele final da minha apresentação. Ele disse que cometi dois erros fatais na apresentação: o primeiro por ter usado WinXP e ele tem uma vulnerabilidade (Exploit) que eles podiam usar e até cogitaram em desligar minha máquina ao vivo durante a apresentação. E outra que eu estava com o cabo conectado na máquina e eles monitoraram todos os IPs do evento e tinham uma pessoa do Grupo presente na minha palestra (que era o mesmo André que fez a pergunta) pegando o nome, usuário e senha da minha máquina (localhost é de conhecimento de todos né, root/root d:-) Buuuum!!! Pronto o cara acessou fácil minha máquina e alterou o nome do site direto do administrator do Joomla, como ele mesmo me informou. Eles me disseram também que não fui o único a ser invadido no evento e que fizeram isso com alguns outros palestrantes, pois tinham todos os IPs dos palcos monitorados. Conversando com ele sobre minha intenção em aprender mais sobre segurança ele se apresentou como proprietário da empresa ESecurity e me disse que o próprio site dele é em Joomla, ou seja o cara confia, gosta, recomenda e usa o Joomla. Ele apresentou alguns cursos que ministra na área de segurança e me recomendou o Curso de BlackHat que pretendo fazer nos próximos meses. Pensei... esse cara precisa participar do Joomla Day SP, e já fiz ali mesmo o convite para ele palestrar no evento e o mesmo já confirmou presença. Portanto, Alan Sanches é o nosso primeiro palestrante confirmado no Joomla Day São Paulo e falará sobre segurança.
Voltando ao Parque Anhembi já no sábado e agora com a família toda, eu procurei junto com o Elvis o pessoal do Hackers Pensando novamente, o Alan já havia ido embora do evento e então abordamos o Danilo que como já citei a princípio ficou assustado e depois acabou descobrindo que conhecia o Elvis da faculdade e então o papo foi bem longo e ele inclusive nos mostrou o seu blog onde fala sobre segurança e algumas brechas de versões desatualizadas do Joomla como podem ver neste artigo escrito por ele. Aliás, gostaria de deixar aqui também uma informação bem interessante que não sabia e que o Danilo e o Elvis me confirmaram: A USJT é a única universidade no Brasil que tem uma disciplina sobre o Joomla na grade curricular do curso. Bem interessante não é? Alguns professores e coordenadores universitários estão abrindo os olhos e vendo o poder do Software Livre.
Depois desse networking feito em São Paulo e dessa experiência única em participar do maior evento de tecnologia do Brasil eu tenho 2 certezas: O Joomla é realmente seguro, desde que esteja atualizado e você não instale templates e extensões piratas. E a outra certeza é que preciso urgente comprar uma máquina para mim, é investimento para uma ferramenta de trabalho que agora estou precisando mais do que nunca. Só estou na dúvida se Win8, Linux ou Mac que perdeu pontos comigo depois que travou e fez eu espetar o cabo de rede no vulnerável Windows XP que estava usando neste dia d;-)
É isso ai, faço o convite a todos para participarem do Grupo do Joomla Day São Paulo no Facebook. Estamos montando uma grade de programação bem interessante para os dois dias do evento e contamos com o apoio e ajuda de todos vocês, com_certeza nosso evento será um sucesso. Aguardem mais informações no site ou em nossa Fan Page e Twitter.
Abraços e até o #JDaySP
julianoaugusto.com
Comentários
Nos vemos em breve em sampa d:-)
http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=joomla&filter_author=&filter_platform=0&filter_type=0&filter_port=&filter_osvdb=&filter_cve
como imagino que você não deve ser um attention whore para chegar no meio de leigos e induzir algo que não é, quer parar um momento e deixar explícito que a falha foi ou não culpa de uma versão atualizada do Joomla, ou você, que se auto denomina publicamente de hacker e, mais do que isso, diz que ministra curso de férias sobre ética hacker, vai ficar apenas demonstrando que é um bom usuário next-next-next de ferramentas script kiddie friendly, que se baseiam ou em falhas resolvidas no CMS há muito tempo ou então de extensão de terceiros, que não são do CMS?
"Talk is cheap. Show me the code."
o ataque que o Alan fez acabou sendo muito proveitoso e provavelmente renderá bons frutos para um próximo evento...
Ficou a dica - RuiWindows e ip aberto em um evento de tecnologia não rola ...
Abraços a todos os joomleiros
@ben_hurmorais - joomlatchê-rs
Está, sem sombra de dúvidas, foi sua melhor matéria até hoje.
Mais uma razão para irmos ao Joomla Day São Paulo prestigiar o evento e a palestra do Alan!
#JuntosSomosFortes
Parabéns para o Elvis também.
Abraço.
Com relação ao Mac (risos), o que ocorreu não teve relação com os aplicativos e sim com hardware - isso mesmo: conflito de hardware. Lembra que o carinha do apoio espetou aquele periférico laser pointer? Demorei uns 40 minutos pra conseguir fazer o Mac ligar normalmente... O bug travou até a função do botão on/off.
Também agradeço o convite (e insistência) p/ que eu participasse do debate "Como Contribuir em Projetos de Software Livre". Foi uma discussão bastante positiva e proveitosa.
Como disse a Ariadne, que essa participação oficial seja só a primeira de várias outras em eventos como Campus Party.
Valeu, pexe. Forte abraço!
Rogério Costa
@matofino