Todos os posts tagados cartão de cidadão

Entrevista com hack_addicted.pt

Entrevista com hack_addicted.pt

Ainda no rescaldo da notícia do site do Cartão de Cidadão achei interessante fazer uma entrevista com o autor da intrusão, no qual agradeço a disponibilidade e as respostas às minhas questões.

Como surgiu o hack_addicted.pt?

O hack_addicted.pt é apenas um pseudónimo, que surgiu de forma a criar uma identidade online que me permite ter contactos e permanecer anónimo ao mesmo tempo.

Quais as tuas influências na área de segurança?

Comecei a aprender sobre informática com o meu pai com windows 95, depois num verão conheci uma amigo de um amigo que percebia de hacking, e foi ele o meu tutor nestas andanças, apartir dai comecei a dar os primeiros passos com Remote File injection e SQL injection, depois fui progredindo, comecei a ter contactos como o TriCk e o Hex00010 dos TeaMp0isoN, que me chegaram a convidar para entrar na equipa mas eu nao quis porque nao queria ser preso, conheci o Tinkode que me convidou para forums privados e punha.me VIP sem pagar, conheci pessoal turco e arabe que me arranjavam 0days e afins, criei um circulo de conhecidos, que me arranjavam coisas que so correm nesses circulos. POr exemplo quando o TriCk publicou casos de tribunal da sarah palin etc eu tive isso a medida que ele os arranjava enquanto que o publico so teve quando eles anunciou o leak. Nestes circulos circula de tudo, desde logins, vulnerabilidades, cartoes de credito, programas e scripts privados, somos tipo um grupo de amigos, que socializa sempre com vista em hacking. Estas foram e continuam a ser as minhas influencias.

Atualmente quais os métodos de intrusão mais comuns?

Actualmente e SQL injection a falha mas comum. RFI está praticamente morto. Arbitrary code execution é raro, xss e lfi também estão a dar mas a utilizacao dessas falhas e limitada. E depois é exploits, metasploit torna qualquer wannabe num script kid.

Tens ligações ou trocas informação com outros grupos? Fora de Portugal?

Yeap, já referi.

Recentemente atacaste o site do Cartão de Cidadão. Porquê este site?

Não há uma razao especifica. Nao posso dizer que foi por isto ou por aquilo. Foi porque podia. Porque avisei os administradores e fui ignorado. Porque é um dominio famoso e já nao fazia defaces a muito tempo. Porque me lembrei e nao tinha nada melhor para fazer.

Qual o teu objetivo de tornar público informações confidenciais (leaks)?

Á vários objectios quando se faz/faço leaks, para mostrar a quem anda no mundo da segurança que eu também aqui estou e percebo do que ando a fazer, para expor a segurança de sites e instituições, para puro divertimento e passatempo, para mostrar que o que consigo fazer..Recentemente começou-se a entrar numa onda de politica em que quando se faz um deface usa.se uma razão politicamente correcta para atacar o site, mas 95% das vezes esses sites nao foram escolhidos de propósito, foi coincidencia ser aquele site, entao vão procurar depois de terem o site comprometido razões para a invasao. Ou seja, seja qual for o site, vai-se sempre encontrar uma razão para a invasão.. Eu nunca entrei pelo lado politico, e mas por diversao e ganho.

Na tua opinião como está a segurança de informação em Portugal? O que se pode fazer para melhorar?

Eu sei que parece moda dizer que está mal, mas sim, está mesmo mal.. Maioria das pessoas usa routers com pass’s defenicao, nas redes deixam tudo partilhado, SQLinjection é comum em sites portugueses, tenho uma lista de quase 1000 sites diferentes com sql injection.. as pass costumam ser facilmente advinhadas. Parece que não há o minimo de esforço para ter alguma segurança e evitar invasoes por estranhos. Mas isto é uma situação não so de Portugal. E claro que instutuições governamentais têm uma boa segurança.

É fácil manter o anonimato em Portugal?

Eu acho que sim, basta usar proxy’s, rdp’s, vps’s e está tudo bem.

Existe grandes divergências quanto ao “full disclosure” de falhas de segurança. Qual é o teu ponto de vista?

Eu sou a favor de full disclosure, acho que a informação deve ser publica e de livre acesso, tanto que criei até recentemente um blog em que faço isso mesmo. http://internet-exploiter.blogspot.pt/

Queres deixar alguma mensagem para os leitores do WebSegura.net?

Agradeço o tempo de leitura da entrevista, agradeço o interesse, e se quiserem aprender umas coisas podem aparecer no https://ptsec.info/forum/forum.php

Site do Cartão de Cidadão comprometido

Site do Cartão de Cidadão comprometido

O site oficial do Cartão de Cidadão (onde os portugueses podem descarregar o software oficial do cartão de identificação) e o site da Agência para a Modernização Administrativa foram comprometidos por um grupo intitulado de hack_addicted.pt.

Foram deixadas as seguintes mensagens por este grupo:

 ola ola tenho o root do mysql =) hack_addicted.pt

… e no ama.pt:

 O hack_addicted.pt esteve aqui. Ola ama.pt, como é que é? ta tudo?

Com uma simples pesquisa no Google é possível verificar que o site do Cartão de Cidadão utiliza o CMS Joomla! e muito provavelmente foi essa a porta de entrada para esta intrusão (exemplo: CMS desatualizado, plugins vulneráveis, palavras passe fáceis de quebrar, etc). Ver final deste artigo.

Ainda não havendo qualquer comunicação social por parte dos responsáveis de ambos os sites desfigurados, é na minha opinião uma prioridade avaliar o software oficial disponibilizado aos cidadãos pois poderá estar modificado com malware.

Quanto à informação dos cidadãos, penso que estes sites não armazenam qualquer informação pessoal dos mesmos.

Ambos os sites estão com o espelho do deface no Zone-H:

Atualmente ambos os sites não estão disponíveis, algo que já ultrapassa umas largas horas.

Atualização:

hack_addicted.pt contatou-me por email para informar que a intrusão não foi devido a uma falha no Joomla! mas devido à presença da password de acesso ao MySQL em ficheiros de configuração do website (depois do acesso ao servidor). O hack_addicted.pt alertou o AMA, antes de fazer o deface, indicando a falha mas não obteve qualquer resposta e os riscos de intrusão foram ignorados.