QQD sem atualizações?

- PUTAQUEPARIU! o QQD está SEMPRE sem atualização!

Pois é benhê, eu estou com uma "provaiada" na faculdade e sem tempo MESMO de postar. Complicado, né não? Mas segue abaixo algumas coisas que serão feitas no blog, após esse mar de coisas para fazer:

- Novo servidor.
- Novo layout.
- Novo personagem oficial.
- Novos parceiros (atualizados).
- Atualizações diárias, no mínimo 5 por dia.
- E por aí vai...

Espero ver vocês depois dessas modificações.

Abs.

Kooooombi Branca

É SUCESSOOO!!!

Novo escritório do Twitter em São Francisco

Galerê! O twitter divulgou algumas fotos de seus novo escritório em São Francisco. Achei super massa e criativo. Vale a pena conferir. Abs.

( Clique aqui para ver a galeria completa )

Pergunta idiota, tolerância 0 !!!

Créditos: @DaniloGentili

O verdadeiro assassino de John Lennon

EXTRA! EXTRA! O verdadeiro assassino de John Lennon foi achado depois de muitos anos de sua morte. Confira o vídeo que você vai "sacar" do que eu estou falando.

- "Canta Muitchooo!"

Expressões

Expressões são uma dádiva do nosso Brasil e da sociedade idosa. Segue algumas expressões conhecidas e outras não, feita pelo mestre das tosquices e babaquices, Gutão!

Créditos: Gutão.

DOOOOOOORGAS MANO!

Não pude perdoar essa foto da Sarita, labradorada minha namorada (Michele). Muito doooorgas aquela cachorra usa! hahaha.


Créditos: foto por @micheleite

QQD Links da semana!

Dogs up! - Cães dando as boas vindas

Ninguém merece - Meu dono é um IDIOTA!

UNITALIBAN - Fotos dos alunos da UNB pelados

Quanto isso nos EUA - Coisas que não se deve fazer nos EUA

Ops... peidei - Peido ao vivo

Cantarolando - Maike de mosqueiro

Outch!!! - Espancada no dia do casamento

China in box! - Wallpapers chineses

Recomendo - Blog do Maromo

Mais links? Ocioso e LinkLog

Semana que vem tem mais!

A verdade sobre o apagão

Na noite do dia 10/11/2009, por volta das 22h00, todos os grandes centros do Brasil se viram na escuridão. Dentre eles estão o estado de São Paulo e Rio de Janeiro, juntamente com outros 15 estados. Além dos afetados no Brasil, tivemos vizinhos estrangeiros.

Entre os responsáveis por isso, o mais dito, foi o fato de o incidente ter sido causado por uma tempestade de raios. Porém boa parte de história não foi contada.

Há uma semana, no jornal “60 minutes” do canal americano CBS, um ex-hacker black-hat, Kevin Poulsen, afirmou que o Brasil estaria sujeito a ataques de hackers em seu sistema elétrico e, como sempre, o governo brasileiro juntamente com o ministro de Minas e Energia, Edison Lobão, negam completamente a possibilidade. Porém, a verdade pode ser dura para todos os brasileiros.

Ao ver a possibilidade, procurei analisar se realmente seria possível adentrar no sistema de gerenciamento elétrico do país. Até então, não conhecia nada sobre o assunto, porém ao analisar algumas noticias, percebi que um dos principais órgãos a gerenciar a energia é o Operador Nacional do Sistema (ONS).

Dando uma googlada, pude facilmente encontrar a página do governo (www.ons.org.br) e, caminhando por alguns links, notei nada de importante. Foi então que pensei: “Se eles tivessem alguma coisa confidencial, não estariam na página. E se eles quisessem esconder de indexadores como Google?”. Aí que veio a primeira parte da surpresa.

Existe o arquivo robots.txt na raiz de alguns servidores que definem algumas regras para os indexadores. O grande problema é que muitos desenvolvedores utilizam esses arquivos para ‘esconder’ diretórios e arquivos de possíveis atacantes. Porém um atacante poderia facilmente descobrir tais diretórios simplesmente e acessar os arquivos, como segue:

http://www.ons.org.br/robots.txt

Ao acessar este arquivos, temos o seguinte conteúdo:

User-agent: * Disallow: /agentes/agentes.aspx
Disallow: /download/agentes/

Fiquei surpreso ao perceber que realmente tentaram utilizar tais recursos para proteger um diretório.

Acessando o primeiro dos endereços, sem qualquer autenticação podemos ter acesso ao endereço de todos os Sistemas Agentes da ONS, inclusive alguns com software para download e manual. Não conheço quaisquer destes sistemas, porém um deles me chamou a atenção quanto ao blecaute que ocorreu na ultima terça-feira, o Sistema de Administração de Contratos de Transmissão (SACT), que é acessível através do do endereço http://aplicleg.ons.org.br/intunica/, e pode ser visto abaixo:

Tela de Login SACT

Com isto, conseguimos chegar a uma tela de login que representa nada mais nada menos do que o Operador Nacional do Sistema Elétrico. Pensei que a partir de então o processo seria mais difícil, porém mais uma vez fiquei surpreso com a incompetência do governo.

Ao fazer o primeiro teste, que qualquer ferramenta de auditoria de segurança faria, obtive um grande susto. Ao colocar uma aspas simples no campo de usuário e senha pude detectar a mais grotesca das falhas Web, um SQL INJECTION, tendo como resultado o seguinte:

[IfxException: ERROR [HY000] [Informix .NET provider]General error.] IBM.Data.Informix.IfxConnection.HandleError(IntPtr hHandle, SQL_HANDLE hType, RETCODE retcode) +27 IBM.Data.Informix.IfxCommand.ExecuteReaderObject(CommandBehavior behavior, String method) +739 IBM.Data.Informix.IfxCommand.ExecuteReader(CommandBehavior behavior) +104 IBM.Data.Informix.IfxCommand.ExecuteReader() +48 OnsClasses.OnsData.OnsCommand.ExecuteReader() IntUnica.Menu.btnOk_Click(Object sender, ImageClickEventArgs e) System.Web.UI.WebControls.ImageButton.OnClick(ImageClickEventArgs e) +109 System.Web.UI.WebControls.ImageButton.System.Web.UI.IPostBackEventHandler.RaisePostBackEvent(String eventArgument) +69 System.Web.UI.Page.RaisePostBackEvent(IPostBackEventHandler sourceControl, String eventArgument) +18 System.Web.UI.Page.RaisePostBackEvent(NameValueCollection postData) +33 System.Web.UI.Page.ProcessRequestMain() +1292

Ou seja, além de ter encontrado uma falha de SQL Injection, já descobri de cara que o sistema funciona rodando um banco de dados IBM Informix. A partir deste passo ficaria extremamente fácil para qualquer pessoa com conhecimento intermediário de SQL Injection invadir o Operador Nacional do Sistema Elétrico.

É interessante ressaltar que não tenho qualquer ligação com o ocorrido no dia 11 de novembro de 2009, e que irei parar a divulgação neste ponto para não comprometer mais ainda o funcionamento do sistema (odeio escuro). Não estou afirmando que o ocorrido foi causado por um ataque hacker, porém se tivesse sido, é importante deixar bem visível que o mesmo aconteceria sem qualquer dificuldade.

Espero que este post abra os olhos do governo, para que não possamos sofrer danos maiores em situações mais críticas.

FONTE: Hack'n Roll

Hermes & Renato - Charlinho (O Retorno)

Para quem acompanhou a primeira trajetória do menino "guerrido" Charlinho. O pequeno e pobre menino que só queria estudar, não sabe (ou sabe) que ele VOLTOU! O "Jornal Jornal" fez uma nova entrevista com o pobre menininho do nosso nordeste brasileiro e a continua luta para estudar. Acompanhe o vídeo abaixo, a risada é garantida.

Deixe a sua imaginação fluir

Você naquele maior tédio na sala de aula escutando uma puta aula chata de sociologia e sem nada para fazer. Simples, pegue algumas moscas mortas, papel e lápis e deixe a sua imaginação fluir.

( Clique aqui para ver a galeria completa )

FLUdeu geral!

Fluminense derrota o Palmeiras, e o sonho de ficar na elite continua vivo

Fred garante triunfo do Tricolor, e Alviverde, que teve gol mal anulado pelo árbitro, deixa a liderança depois de 20 rodadas.

Diversas formas e NÃO fazer Le Parkour