ColdFusion administrator… De novo?

Tem gente que não acredita… E eu não canso de bater na mesma tecla. Alguns talvez ainda não tenham levado um susto dos bons para, quem sabe, acordar… Afinal de contas, uma leitura mínima para se proteger de coisa tão banal não falta.

Até o UOL, no auge de sua força, arrogância e prepotência resolveu fazê-lo, por que tanta gente ainda insiste em deixar o CF Administrator escancarado?

Apenas alguns exemplos:

http://funky.macbbs.com.br/cfide/administrator
http://www.webgeo.net/cfide/administrator/
http://www.porta80.com.br/cfide/administrator/
http://ns1.dwws.com.br/cfide/administrator/
http://linux.infoserra.com.br/cfide/administrator/
http://amidala.allnet.com.br/cfide/administrator
http://dns1.webcalifa.com.br/cfide/administrator/
http://www.intersoft.com.br/cfide/administrator/

Mamão com açúcar, papai-e-mamãe, bico, moleza… chamem do que quiser a verdade é que, durante todo o dia de ontem, um PC cacareco (Pentium 233 MMX – overclocked para impressionantes 266Mhz!!) conectado à minha mini rede que conta com uma saída para a Internet de 512Kbps (cable) e usado como cobaia para as minhas barbáries ficou “brincando” com três servidores/hosts acima citados enquanto eu trabalhava. Ao chegar em casa agora pouco nenhuma surpresa: o softwarezinho de brute-force que usei (encontrado em qualquer site “réquer”) foi capaz de quebrar a senha de dois dos CFAdms listados acima (2 em 3!)… Normalmente eu aviso os sys-admins do problema, mas nem sempre teremos pessoas com esta boa vontade (softwares de brute-force podem ser rodados com proxies anônimos – demora mais, mas uma hora acaba entrando) e os sites em CF do servidor inevitavelmente irão por água abaixo… se o resto não for junto já que muitos “administradores” tem a péssima mania de usar a mesma senha para tudo… a senha do ColdFusion Administrator é igual a do usuário “Administrador” ou “root” do SO. Basta experimentar entrar com o VNC ou, mais comum, o Remote Desktop da MS…

Prestem mais atenção!! O estigma de “inseguro” que o ColdFusion carrega (felizmente isso está mudando rapidamente) é muito em parte por falta de conhecimento nesta plataforma. No Brasil isso é ainda mais notável, dada a ausência de documentação e recursos em português. Espero que isso mude gradativamente, porém de forma rápida e correta (estamos cansados de plágios e “traduções”).

Com relação ao problema do CF Administrator (o mais básico dos básicos), algumas orientações básicas de como se proteger (e proteger os seus clientes caso você seja um ISP) podem ser encontradas aqui e aqui também.

Notem que mais preocupante (e impressionante) nessa história é que estamos falando apenas de hosts que oferecem hospedagem ColdFusion! Estes que deveriam ser mais preocupados com a segurança… (casa de ferreiro espeto de pau?). Existem inúmeros sites feitos em CF que estão abertos do mesmo jeito. Um bom exemplo pode ser visto aqui.

Se você tem um site hospedado em ColdFusion, exija o mínimo aceitável de segurança para suas aplicações e sites, você tem esse direito (nem que para isso você tenha que configurar o servidor do seu ISP à quatro-mãos – isso é mais comum do que você imagina).

Em breve a Locaweb irá oferecer hospedagem ColdFusion MX de forma segura e decente (inclusive com licenças de verdade, o que muitos não tem – não vale a pena mencionar quais). Se rolar (e tudo caminha para) será a primeira hospedagem compartilhada ColdFusion MX confiável e decente que conheço e recomendo no Brasil. Os detalhes eu postarei num futuro breve. Quem sabe assim poderemos contar com uma estrutura de host onde podemos colocar nossas aplicações (e de nossos clientes) com tranqüilidade.

Até lá cuide dos seus sites!


18 Comments on “ColdFusion administrator… De novo?”

  1. Piruca disse:

    É realmente impressionante como os “adms” não estão nem aí para segurança do CF. Eu, particularmente, tenho muitos problemas com meu server. A maioria desses caras acha que é só sair bloqueando tag’s que está tudo beleza e seguro!
    Acho que só teremos uma hospedagem CF de qualidade no dia em que um desenvolvedor, ou um grupo deles, resolver montar um HOST exclusivo, pois a maioria roda junto com ASP ou PHP tornando-se assim segundo plano em termos de segurança.

    Aguardo a indicação do host no blog em Alex. Aliás, parabéns pelo blog!

  2. Tofinha disse:

    Há algumas semanas atrás, um ponto de discussão era sobre dentre outras coisas, a hospedagem no Brasil que é precaríssima.
    O que agora fica confirmado pelos posts do ALex. Não me incomodo de pagar caro (ou melhor um valor justo), desde que a qualidade e segurança sejam realmente visíveis.
    Agora pergunto, Alex:
    Com todas essas informações, é válido optar por servidores estrangeiros?
    Neste ponto de segurança e qualidade eles estão acima ou ninguém ainda tentou (demonstrou) tais falhas deles?

  3. A boa prática diz: qualquer vulnerabilidade que seja encontrada em um sistema deve ser comunicada, em primeira instância, ao responsável. E esta informação somente precisa vir à público se o responsável nada fizer ou responder.

    O seu trabalho de conscientização é ótimo, mas publicar a lista dos sites não acrescenta valor ao processo. Um usuário de algum dos sistemas listados, que tenha tomado conhecimento do problema apenas agora, lendo o seu blog, é tão negligente quanto o administrador do serviço.

  4. É importante registrar: não tenho nenhum relacionamento com os provedores listados.

  5. Alex Hubner disse:

    Frutig, sabia que isso seria questionado. Por isso mesmo pensei bastante antes de divulgar esta listinha, lista aliás que foi suprimida e selecionada para evitar maiores desconfortos (existem hosts que sequer possuem uma senha para o CF Administrator, isso é o fim da picada).

    Talvez não adicione nada ao processo, mas em 90% dos casos resolve. Não há nada melhor que ver o seu nome estampado para tomar providências (e também para aqueles em que o nome não é publicado mas estão em mesma situação). É assim com empresas, é assim com pessoas – vide a questão dos plágios, do inglês mecânico de tradutor etc. Muitos deles sequer se dão ao trabalho de responder minhas mensagens (sim, eu já avisei a maioria deles, já fui cliente de alguns deles). Talvez não o façam porque simplesmente não lêm os e-mails enviados às contas de suporte oficial. Isso para mim basta. Não tenho rabo preso com ninguém e já gasto tempo suficiente tentanto promover e melhorar a qualidade de tudo relacionado à Coldfusion no país. Se não respondem à mensagens nada posso fazer… aliás, posso: tornar isso público. Quando me perguntam qual provedor de hospedagem usar com ColdFusion, sou enfático em dizer que no Brasil infelizmente, nenhum do circuito comercial abaixo de 30 reais é razoável. Seja por questões óbvias de segurança, seja por questões de performance geral (é comum termos máquinas “tudo em um”), seja pelo simples (mas grave) fato de estes usarem licenças piratas… Pois aí está uma lista dos hosting providers que eu NÃO recomendo (por um ou todos os motivos citados).

    Verdade seja dita: não estou dando o caminho à ninguém, estou apenas exemplificando (com exemplos nus e crus) uma verdade que dói aos nossos olhos e que pode ser FACILMENTE (isso é que mais me intriga) contornada e resolvida.

    Talvez um post valha mais do que 8 mensagens enviadas e não lidas… Afinal de contas no nosso país, desde as grandes empresas de telecomunicações até os hospedeiros de fundo de quintal: as coisas só são resolvidas quando estouram. Por isso repito: talvez um post valha mais do que 8 mensagens enviadas e não lidas…

  6. Alex Hubner disse:

    Tofinha, é válido sim dependendo da natureza do seu negócio. Como tudo, depende de análise. Um site 100% seguro é 100% inviável pela complexidade técnica de se fazer isso (se isso for possível em uma máquina plugada à rede).

    Se você for hospedar um cliente que armazenará informações importantes num banco de dados, que deverá ter uma aplicação que deve estar de pé 24×7, deve ser satisfatoriamente segura, então aí sim, pagar por um serviço de qualidade é obrigatório. Acontece que, no caso específico de segurança básica em CF, isso não deveria custar nada a mais, em nenhum lugar do mundo. Lá fora o nível de conhecimento sobre a plataforma é que faz o diferencial, normalmente (veja que usei NORMALMENTE) têm-se uma hospedagem mais segura, mas o preço é o preço (literalmente) e o lag de conexão para o exterior. No Brasil estamos apenas engatinhando nesta questão, o que é preocupante porque o número de pessoas usando CF tem crescido bastante.

    Lá fora recomendo:

    http://www.cfdynamics.com
    http://www.edgewebhosting.com

  7. Alex,

    se você de fato já avisou a todos os provedores em outras oportunidades, talvez seja mesmo o momento de botar a boca no trombone. Eu digo talvez, pois acho que você já fez isto antes, e alguns parecem continuar como estavam…

    Mas ainda assim, todo cuidado é pouco. Tente ver outros possíveis lados da mesma coisa. Eu lhe conheço e sei das suas boas intenções. Mas coloque-se agora no lugar de quem não lhe conhece, e que pense assim: o cara primeiro se dá ao trabalho de procurar provedores vulneráveis, até mesmo descobre por força bruta (o que já é estranho) a senha do administrador do CF de alguns. E termina o post dizendo que outro tal provedor “irá oferecer hospedagem ColdFusion MX de forma segura e decente. … Os detalhes eu postarei num futuro breve.”.

    Como será que estes outros, que não lhe conhecem, irão entender a coisa? Será que irão pensar que você é tão independente como diz ser?

    []s
    MF

  8. Alex Hubner disse:

    Entendo seus pontos Frutig, teve ter gente pensando que eu posso estar ganhando ($) alguma coisa com isso, o fato é que não estou.

    Tenho o rabo preso com qualquer um que seja competente e MINIMAMENTE responsável. Neste aspecto arrisco meu pescoço em dizer que a Locaweb vai oferecer uma hospedagem CFMX com estes pré-requisitos necessários. Pelo menos tudo indica que sim, como você já está sabendo. Puro e simples assim. Quem entendeu entenda, quem não entendeu paciência.

    Que fique bastante claro: não estou fazendo propaganda gratuíta (ou paga) da Locaweb. Estou apenas dizendo, como cliente, como programador e como profissional que (assim que for lançado) será o único host no brasil que recomendo por experiência própria. Se existem outros? Claro que devem existir, mas que eu conheça por enquanto não.

  9. Tofinha disse:

    Valeu Alex!
    Tinha muito receio de hospedagem estrangeira, seja pelo preço, seja pela confiabilidade, mas depois dessas estou realmente mudando meus pensamentos ao escolher um servidor para um cliente. Além disso, tenho o memso pensamento que você, que se “for para eu hospedar um cliente que armazenará informações importantes num banco de dados, que deverá ter uma aplicação que deve estar de pé 24×7, deve ser satisfatoriamente segura, então aí sim, pago por um serviço de qualidade”. Este seu post só veio a ajudar-me no sentido preço x qualidade x segurança.
    Ao mesmo tempo em que fico feliz pelo crescimento cada vez maior da comunidade CF no Brasil, também me preocupa e entristece esse fato dos servidores que “ainda engatinham”, pois, os mesmos contribuem e muito para que os desenvolvedores CF optem por outras linguagens qdo se trata de hospedagem para clientes de bom e alto potencial.

  10. Maravilha, Alex!

    Ainda no assunto hosting, é importante lembrar de algo que nos foi passado durante o evento do Forta aqui no Rio, tal qual como eu entendi.

    Nos EUA, o CF é mais utilizado em ambientes corporativos, leia-se aplicações intranet. Acredito que o mesmo aconteça por aqui, de certo que numa escala infinitamente menor.

    Isto explica a pouca oferta de serviços de hospedagens no mercado, e o pouco esforço da MM, ao menos visível, no sentido de criar um mercado de hosting para o CF. O próprio custo da plataforma dificulta a implantação de um modelo de negócio rentável para um provedor de hospedagem. E me parece que tudo isto não tende a mudar.

    Assim, é sempre bom o profissional desenvolvedor ColdFusion ficar de olho nisto, e procurar, e até mesmo induzir, oportunidades de trabalho que não requeiram serviços de hospedagem terceirizados.

    O foco da MM nos EUA em relação ao CF é o mercado corporativo, e até mesmo o governamental. Na medida que a MM invista mais no marketing do CF no Brasil, faz todo sentido que o foco seja o mesmo. E neste caso, a preocupação com hosting terceirizado fica naturalmente reduzida.

  11. Marcelo Soares disse:

    Olá pessoal,

    Quando olhei a lista quase levei um susto, já que o meu website está hospedado no Porta 80 e fiquei abismado que uma ótima empresa de hospedagem, na qual confio bastante, estivesse com a interface de administração aberta. E o pior ainda: eu sempre faço esse teste com potenciais fornecedores de hosting para o meu site, e eles tinham passado no teste.

    Daí o que fiz: entrei em contato com eles e me avisaram que houve uma falha durante o restauro do sistema do servidor do website deles somente, e não dos servidores dos clientes. Me avisaram que a cópia (backup) que eles tinham estava desconfigurada, e ao fazer restore, não tomaram o cuidado de fazer a checagem de segurança.

    Enfim, acreditei no veredito, principalmente porque o link que indicava o problema era referente ao website deles, e não a servidores dos clientes, como outros da lista (funky.macbbs, ns1.dwws, dns1.webcalifa etc).

    A equipe gerencial entrou em contato comigo, por telefone, sendo muito gentil, e esclareceram a situação. Como a situação foi resolvida, e o link do servidor está “fechado”, pelo menos um a menos da lista está vulnerável. E como confio no trabalho deles, afinal tenho vários hospedados por lá, dei meu voto de confiança. Afinal errar faz parte da vida de todos, inclusive de empresas.

    Mas parabenizo a iniciativa do Alex! Ótimo artigo que denuncia os podres que existem por aí, e que confirmam as péssimas companhias que nem corrigem o erro que está publicado para todo mundo ver (e até explorar!).

    Parabéns…

  12. Nilson P Souto disse:

    Caro Alex,

    Como faço para recuperar a senha do administrador do coldfusion.. alguém alterou a senha e agora preciso entrar no administrator e não tenho a senha..

    voce poderia me ajudar…

  13. Alex Hubner disse:

    Nilson, se você estiver usando CFMX é bem simples. Veja intruções aqui:

    http://www.cffaq.com/qa.cfm?q=33&language=br

  14. Ju disse:

    Caro Alex,

    Daria para postar os Hosts que já corrigiram a falha que mencionou aí em cima ?

    João de Sousa

  15. Flávio disse:

    Como faço ou o que preciso para montar um servidor de hospedagem de web sites em minha casa?

  16. Adelmar disse:

    Preciso mostrar a vulnerabilidade para o pessoal da empresa que trabalho. Como faço para descobrir a senha do administrator do Coldfusion.

  17. abelardo disse:

    host com suporte a cold fusion
    http://www.locaweb.com.br
    http://www.hostbank.com.br