Todos os posts tagados governo

Associação na Hora comprometida (outra vez)

Associação na Hora comprometida

Já em maio deste ano tinha publicado aqui no blogue que o site oficial da Associação na Hora (http://www.associacaonahora.mj.pt) tinha sido comprometido. O que surpreende é que foi novamente atacado (http://zone-h.org/mirror/id/22980043) pelo mesmo utilizador malicioso.

A imagem e a respetiva mensagem do deface foi a mesma:

Hacked by d3b~X

Entretanto essa imagem já foi eliminada.

O que convém destacar é que na altura tinha mencionado que este defacer, segundo menções da sua conta no Twitter, tinha por hábito colocar backdoors nos seus ataques. Ora, posso presumir que, ou não corrigiram a falha ou alguma porta foi aberta para futuras intrusões. Isto é algo que apenas posso especular…

No entanto, espero que as entidades responsáveis tomem medidas mais corretas e averiguem a intrusão para prevenir que tal ataque aconteça novamente.

Ainda no decorrer da escrita deste artigo, mais um site governamental foi comprometido, desta vez o escolas.edu.azores.gov.pt

Hacked By ./Mr Error 404

Nunca é demais salientar que é importante investir na segurança informática em Portugal.
A confidencialidade e a integridade da informação deve ser preservada e cabe aos responsáveis pelos websites assegurar a mesma.

Mais 2 sites governamentais hackados

Mais 2 sites governamentais hackados

O site do GID – Gestão Integrada da Saúde – gid.min-saude.pt e o site da Associação na Hora – associacaonahora.mj.pt foram comprometidos por um defacer indonésio intitulado de d3b~X.

O deface (desfiguração) ainda está online e pode ser visto nas seguintes páginas:

http://gid.min-saude.pt/nyet.gif
http://www.associacaonahora.mj.pt/nyet.gif

Ambos os sites já estão indexados no Zone-H como deface em http://zone-h.org/mirror/id/22340152http://zone-h.org/mirror/id/22340076.

O defacer obteve permissão para fazer o upload de imagens e enviou a seguinte mensagem:

Hacked by d3b~X

Este utilizador malicioso é conhecido, tal como podemos confirmar na conta Twitter do mesmo, por fazer upload de sistemas de backdoor. Esta operação permite que fique uma “porta aberta” para futuras intrusões.

Informação confidencial pode ter sido comprometida e só após verificações de segurança é que se pode chegar a uma conclusão dos danos deste ataque a estes sites governamentais.

Convém referir que, até à data deste artigo, na página principal não foi encontrado malware.

Depois dos ataques lançados pelos Anonymous Portugal, penso que é mais um aviso para os responsáveis de sites críticos para investirem em segurança e desta forma salvaguardar a informação que poderá afectar todos os portugueses.

Site do Cartão de Cidadão comprometido

Site do Cartão de Cidadão comprometido

O site oficial do Cartão de Cidadão (onde os portugueses podem descarregar o software oficial do cartão de identificação) e o site da Agência para a Modernização Administrativa foram comprometidos por um grupo intitulado de hack_addicted.pt.

Foram deixadas as seguintes mensagens por este grupo:

 ola ola tenho o root do mysql =) hack_addicted.pt

… e no ama.pt:

 O hack_addicted.pt esteve aqui. Ola ama.pt, como é que é? ta tudo?

Com uma simples pesquisa no Google é possível verificar que o site do Cartão de Cidadão utiliza o CMS Joomla! e muito provavelmente foi essa a porta de entrada para esta intrusão (exemplo: CMS desatualizado, plugins vulneráveis, palavras passe fáceis de quebrar, etc). Ver final deste artigo.

Ainda não havendo qualquer comunicação social por parte dos responsáveis de ambos os sites desfigurados, é na minha opinião uma prioridade avaliar o software oficial disponibilizado aos cidadãos pois poderá estar modificado com malware.

Quanto à informação dos cidadãos, penso que estes sites não armazenam qualquer informação pessoal dos mesmos.

Ambos os sites estão com o espelho do deface no Zone-H:

Atualmente ambos os sites não estão disponíveis, algo que já ultrapassa umas largas horas.

Atualização:

hack_addicted.pt contatou-me por email para informar que a intrusão não foi devido a uma falha no Joomla! mas devido à presença da password de acesso ao MySQL em ficheiros de configuração do website (depois do acesso ao servidor). O hack_addicted.pt alertou o AMA, antes de fazer o deface, indicando a falha mas não obteve qualquer resposta e os riscos de intrusão foram ignorados.

Site Empregar do Governo da Madeira comprometido

Site Empregar do Governo da Madeira comprometido

Este site governamental – http://empregar.ire.gov.pt aloja, segundo a informação presente no site, cerca 9090 currículos que podem ter sido adquiridos por utilizadores maliciosos. Esta informação pode ser utilizada em roubos de identidade ou para outros esquemas relacionados com falsas ofertas de emprego.

Não sabendo qual foi a porta de entrada posso especular, baseado nos últimos ataques deste defacer de origem turca, que foi provavelmente uma falha no servidor web ou SQL Injection.

Em janeiro deste ano, este grupo esteve envolvido em ataques massivos a sites governamentais de Israel. Foram ataques politico-sociais pro-palestina.

O defacer 3xroot criou e deixou no site empregar.ire.gov.pt a seguinte mensagem num ficheiro texto (3xroot.txt):

0wn3r by 3xroot T.C.A Group

O site está alojado na PT Prime, corre o Windows Server 2003 com o Apache 2.2.2 e PHP 5.1.4. Informação esta disponibilizada pela toolbar do Netcraft.

Espelho do deface pode ser consultado aqui.

Tentei contatar os responsáveis pelo site via email mas sem sucesso.

Sites do Governo sobre Imigração comprometidos

Sites do Governo sobre Imigração comprometidos

Desde o dia 25 que alguns sites governamentais portugueses relacionados com a imigração foram comprometidos. Os autores intitulam-se de 1923Turk, grupo turco que já foi responsável por mais de 200.000 defaces – informações do portal Zone-H.

Praticamente todos, até à data deste artigo, ainda continuam apresentar a desfiguração/deface. Certamente este ataque não foi direcionado ao governo português, mas obtido a partir de diversos scanners automáticos que utilizam os motores de busca para encontrar sites supostamente vulneráveis.

Sites desfigurados:

De referir que alguns destes sites já tinham sido alvo de ataque em junho deste ano e no ano passado. O que pode significar que nestes casos em particular, o problema de segurança não foi resolvido e a informação continua a ser comprometida.

Com uma simples pesquisa no Google é possível verificar que estes sites estão a correr o Joomla!. Uma versão desatualizada deste CMS ou um plugin vulnerável poderá ter sido a porta de entrada para utilizadores maliciosos comprometerem a aplicação web.

De referir que, utilizando a ferramenta ScanPW para analisar o respetivo código fonte da desfiguração, nenhum dos sites está neste momento alojar malware.