• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

Ecchi

Website da Secretaria Geral do Ministério da Administração Interna ownado

54 mensagens neste tópico

Olá ;)

Achei que daria uma boa notícia para envergonhar os retards do governo.

Então é assim, o website: http://biblioteca.mai.gov.pt/ foi hackeado.

O website pertence à Secretaria Geral do Ministério da Administração Interna.

A prova do site actualmente ainda estar sobre controlo do hacker é a seguinte: http://biblioteca.mai.gov.pt/x.htm

Se virem o código do website logo na primeira página, até dá para rir, com o comentário que o "programador e designer" do site pôs:

<!--

//Todos os direitos reservados © rventura

//a cópia deste documento demonstra apenas a sua falta de imaginação.

//Desenho e Programação - Rui Ventura

/-->

lolololol

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Eu compreendo o que dizes, no entanto estamos a falar de um site do governo. Quem sabe se até já ownaram sites do governo com informações mais importantes?

Pelo que vejo a falta de profissionalismo na criação do site do governo é grande.

Só aquele comentário do autor do site, dá mesmo para rir. Como é que é possível ele pôr aquilo num site do governo, lol...

Eu não percebo muito de defaces, no entanto acho que aquilo não foi um deface, mas sim um simples upload de uma página htm (o que prova que ele tem o username e password do ftp pelo menos).

Agora resta saber se ele descobriu o login através de bruteforce ou de leetness.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Para não arriscar dizer todas as semanas, digo todos os meses são ownados sites de governos.

E são descobertas falhas em qualquer outro tipo de site. Microsoft, Adobe (deste  tenho conhecimento mais próximo...), Twitter, Orkut, Youtube, etc. nenhum site está a salvo de vulnerabilidades, nem que seja um 0day para os serviços que correm na máquina.

O importante é saber localizar a falha, detectar os erros e corrigi-los e detectar o que fizeram os intrusos, se tiveram acesso a dados confidenciais, se colocaram um rootkit no sistema ou um trojan ou uma shell, etc.

Quanto a esse site do governo (tal como alguns outros que tive a oportunidade de analisar) mostra alguma falta de profissionalismo sim, o site em si é uma porcaria...

E podem ser encontrados erros ao virar da esquina:

http://biblioteca.mai.gov.pt/files/pesq_form/pesqbiblio.asp: WXIS|fatal error|unavoidable|dbxopen: GERAL.xrf (2)|

É só olhar para a construção dos URL que se vê logo muita coisa que se pode testar:

http://biblioteca.mai.gov.pt/bibliopac/bin/wxis.exe/bibliopac/?IsisScript=bibliopac/bin/bibliopac.xic&db=LEGIS〈=P&start=LEGIX

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

o problema é que a maioria dos sysadmins só quer o ordenado e tá-se lixando para a segurança e o mesmo se passa com a maioria dos programadores... como trabalho tanto em segurança, como programção e sysadmin vejo isto acontecer nas empresas... depois admiram-se  :cheesygrin:

hoje em dia há frameworks como o metasploit e o FABULOSO w3af - Web Application Attack and Audit Framework, onde não só disponibilizam montes de ferramentas e utils para os procedimentos do acto em análise como integram com as melhores ferramentas de hoje...

para descobrir falhas em sites para mim é o wmap que está dentro do w3af e do metasploit... tudo integrado, descobres a falha e podes aplicar logo uma shell ou uma listagem de registos ou o que quiseres

w3af - Web Application Attack and Audit Framework

v1.png

http://w3af.sourceforge.net/

Metasploit

logo.png

hax_small.jpg

http://www.metasploit.com/

RULAR  :smoke: B)

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

//a cópia deste documento demonstra apenas a sua falta de imaginação.

//Desenho e Programação - Rui Ventura

/-->

Brilhante...

Faz-me lembrar o dia em que vi o source de uma página de um site bem conhecido e encontrei a váriavel da idade do utilizador como: bitchbirth =

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Desenho e Programação - Rui Ventura

mas será que esse nome é real? já pensaram nisso? pode ser mesmo a gozar... tipo.. olhem o meu nome... mas não é

alias... já vi até usarem nomes de outros para lixar... acontece por vezes com as teams

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Eu compreendo o que dizes, no entanto estamos a falar de um site do governo. Quem sabe se até já ownaram sites do governo com informações mais importantes?

Já o fizeram em várias ocasiões. E informações confidenciais já foram comprometidas também de outras formas havendo diversas máquinas sobre o controlo de botnets.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Porquê o ministério da administração interna? Algumas desavenças com o pessoal de lá?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Bem, pelo que li neste treath, sem duvida que foi uma grande falha por parte do webdesigner, pois a culpa vem da aplicaçaoweb usada e não do servidor em si, sem duvida que o gajo entrou, mas não entrou na root da máquina, pois aí teria ele mais vitimas além de ser só este site do ministerio de administração. ele poderá te-lo feito de variadas formas, mas tenho um pressentimento que tenha sido por sql injection, não sei porque, mas é so um palpite, visto que é o ataque mais vulgar por aí na net, mas não sei, so o tal "webdesigner ou programador" ou até seja simplesmente um turco que se intitula com variados nomes invetados por ele, pelo que vejo por aí, o gajo ja deu imensos nomes a ele proprio como também varios emails, mas talvez ate nem seja turco, hoje em dia usam e inventam de tudo para se esconderem, também pouco lhes poderá ajudar, se quiserem apanhar o gajo apanham, hoje em dia existe cada vez maior cooperação internacional com a guerra no ciberespaço, as relaçoes politicas entre Portugal com outros paises sao  boas. Mas vamos ser realistas numa coisa, "Informação confidencial" lool, muito pouco provavel. Poderão até apanhar informação em relaçao a nomes das pessoas, moradas, contribuinte... mas pouco lhes ajudará

E mais a mais, como saberemos se foi um own de verdade, será que não é possivel as coisas ás vezes serem deixadas dessa forma so para os intrusos serem apenas estudados, ou até usados para so fortalecer as leis contra os piratas. Será que não é o Governo que simplesmente está a fazer deles de fantoche? Bem ate´acredito que ate pode ser possivel que seja distracção do Sysadmin, mas se formos sempre a pensar assim, seria uma maravilha, pois bastariam de deixar os piratas seguirem esse raciocinio enquanto levam com o inesperado.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Pois, diria que estão a fazer altos filmes para um hackzito da treta que até um garoto de 11 anos pode fazer.

Usar ferramentas de scan de vulnerabilidades e coisas do estilo não me impressiona minimamente. Tambem os sites que são vulneráveis a essas coisas, meu deus, é mesmo de por as mãos à cabeça.

Mas a sério, não façam alos filmes, só pelo aspecto do site se vê que é uma coisa com poucos objectivos sérios. Uma coisa assim às três pancadas, é mais que natural que seja hackado.

De estar num domínio .gov.pt a ser 'um site do governo' vai uma diferença abismal. Não é um site do governo, é apenas um site num domínio cuja gestão é feita pelo governo.

Uma vez, estava eu olhar para o site milw0rm e reparei que o módulo do SMF chamado SEO4SMF tinha vulnerabilidades multiplas, curioso abri o ficheiro. tinha algumas 10 vulnerabilidades daquelas mesmo básicas, qualquer programador com o mínimo de bom-senso conseguia encontra-las. Foi apenas uma questão de alguem se dar ao trabalho de o fazer. E nós até estavamos para usar esse módulo aqui no p@p. Era um dos módulos mais usados.

Quer isto dizer o quê? Que há MUITO software mau, mas que na verdade não é assim tão dificil de fazer software com um bom nível de segurança. Claramente o site em questão estava cheio de crateras. Qualquer puto que queira impressionar miudas o podia hackar. Mas correu-lhe mal, que tipicamente não é a este tipo de coisas que as mulheres ligam.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Tens razão PedroTuga, vendo bem a situação, não sei porque se foi dar tanta importância, realmente...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Acho vergonhoso alguém dar os parabéns por alguém ter cometido um crime e mais vergonhoso os moderadores do fórum não fazerem nada quanto a isso.

PedroTuga:

O site é de uma entidade do estado sem qualquer sombra de dúvida, mais especificamente o Ministério da Administração Interna. A biblioteca em causa é a Biblioteca do Ministério da Administração Interna (podes confirmar isso no próprio site do Ministério) e é gerida no cumprimento das suas funções profissionais pelo pessoal de uma das secretarias do ministério (alguém tinha que o fazer...).

Não percebo como é que podes de forma racional colocar isso em causa, a não ser por um profundo desconhecimento da organização do governo. Isto em relação a um nível de conhecimento que é do domínio público geral e comum e por tanto não pode ser facilmente justificado a não ser por um extremo desinteresse.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Acho vergonhoso alguém dar os parabéns por alguém ter cometido um crime e mais vergonhoso os moderadores do fórum não fazerem nada quanto a isso.

ó falco, desculpa-me lá mas já estás nesta comunidade há demasiado tempo para ainda teres dúvidas destas. ao contrário de outros fóruns onde provavelmente foste habituado a uma censura e linha demasiado apertada, aqui até damos liberdade ao pessoal para expor a sua opinião por mais parva que ela seja.

sim, eu acho que é uma criancisse de todo o tamanho dar os parabéns a alguém por cometer um crime, mas felizmente ainda não está na legislação portuguesa que ser parvo é crime e curiosamente nas regras do p@p também não temos nada a dizer que os utilizadores têm de ter um discernimento suficiente para pensarem antes de escrever, portanto, onde é que os moderadores devem agir aqui?

São as opiniões contrárias que dão origem ao debate, e por mais estúpido que possa ser um comentário, o resultado final acaba por ser positivo e exemplo disso é a tua resposta, muito provavelmente alguns dos participantes deste tópico nem sequer sabiam que "hackar", "deface" e afins é crime, se não houvesse aquele post "estúpido" muito provavelmente nem irias dizer nada logo as conclusões a que chego é que o comentário parvo a que te referes acabou por ser positivo para o tópico. "Forçou-te" a dares um esclarecimento público, logo, forçou um comentário com conteúdo no tópico.

PS: dou esta resposta publicamente mesmo para o pessoal pensar duas vezes antes de escrever, pois de facto é mesmo estúpido darem os parabéns a alguém por cometer um crime.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Apoiar um crime é em si uma violação da lei, pois pode facilmente ser considerado um incitamento a que se cometam mais crimes (e no mínimo pode estar a intimidar e/ou humilhar a vitima do crime). Se assim for e há na minha opinião uma possibilidade perfeitamente razoável de ser, aquele tipo de post, não só estará a violar a lei, como as regras do forum.

Não é o ser parvo, ou de ser infantil, trata-se da lei e das regras do fórum.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Lamento, mas liberdade de expressão ainda é algo que valorizamos. Se a lei fosse "binário" não existiam tribunais, tu achas que aquele post é incitamento a que se comentam mais crimes eu vejo uma opinião parva. Interpretações.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Uma opinião ser parva, ou não, é um assunto completamente diferente de ser legal, ou não. Não se tratam de adjectivos com valores antagonistas. E até a liberdade de expressão tem limites.

E já agora, as coisas, ou são legais, ou ilegais, não há coisas assim assim. O papel dos tribunais é avaliar o processo, e decidir da legalidade perante os factos que o tribunal considera como provados. Só que justiça não é um exclusivo dos tribunais, não só existem magistrados fora dos tribunais (por exemplo o ministério público), como existem orgãos de polícia judicial e ainda as obrigações legais, morais e éticas a que os cidadãos estão sujeitos.

O cumprimento da lei, a utilização de princípios de cuidado, não é inimigo da liberdade de expressão, tudo depende de como as coisas forem feitas. Mas, sejamos claros, em casos em que hajam ilícitos, ou até mesmo de forte suspeita de ilícitos, então há um abuso de expressão, ou pelo menos um perigo elevado. Nesse caso a necessidade, não é a de proteger esse abuso/perigo, mas sim de o impedir. O que é preciso (para ser justo e proporcionado) é sensibilidade ao abordar o caso e não entrar a matar e tentar esclarecer antes de agir de forma a cumprir a lei e agir de formar a proteger também o site (e consequentemente o interesse da comunidade) de perigos legais.

A respeito do post em discussão, considero que, o risco da interpretação pior, é tão elevado que se justifica acção por parte dos moderadores. A acção dos moderadores pode nem ser a censura e pode ser bastante diferenciada, como até apenas uma chamada de atenção directa ao utilizador sugerindo-lhe uma alteração e/ou clarificação do que queria dizer.

Não se trata de uma questão de opinião pessoa a respeito do que utilizador disso, mas de ir um pouco mais além e de considerar se há, ou não um perigo razoável de ser interpretado de uma outra forma maliciosa. A minha opinião é que existe esse perigo e não acho por tanto que esta opinião inconsciente valha mais do que a mensagem de desrespeito por uma serie de valores que ela vai passar a muitos jovens. Por tanto, acho que no mínimo, deve de haver uma chamada de atenção e um pedido de explicações, por parte dos moderadores.

A censura social que fizeste no fim do teu post, é muito bem vinda, mas acho que deveria ser feita depois de um pedido de explicações ao utilizador e da sua resposta (acho que ele devia ter a oportunidade de se explicar e defender antes disso).

A acção de moderação num fórum nem sempre é a de censurar e já várias vezes vi censuras desproporcionadas e outras vezes vi falta de rapidez na acção de casos claros de violação da lei. Por isso apelo aos moderadores que pensem um pouco em abstracto mais sobre como exercer a moderação, porque o fórum só ganhava com alguns melhoramentos.

Note-se que não estou a dizer que a moderação é sempre mal feita (ultimamente até tem parecido melhor), apenas que há um espaço claro para melhoramentos.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Opá ! Eu disse:

se foi de cá um tuga parabéns ... Metes-te graça mas mete lá o original outra vez senão continuam com a  procura

Parabéns pela piada ... mas não apoio ... aliás ... está explicito ... mete la o original outra vez .... "uma graça por graça passa" porque não é a "atirar pedras às pessoas" que se vai fazer amizade com elas e um diálogo com as mesmas e aqui refiro-me ao acto em si que foi mal intencionado num mau local: sites do governo são para ficarem quietinhos.

Como gosto da paz e não precisam de poluír mais a thread acerca do meu post eu edito e retiro o que disse ... foi um bocado infantil mas continuo a dizer que não era apoiar o acto ... era achar graça ao acto.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Realmente há cada uma. O rapaz faz um comentário pessoal e já é acto criminoso e parvo. Ainda por cima acabam de dar lições de moral aqui no tópico enquanto adicionam mais uns torrentzitos de contudo protegido por direitos de autor.

Aguardo ansiosamente por mais 3 ou 4 respostas a chamar-me criminoso por incentivo ao download ilegal de ficheiros.

Tenham juízo.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Realmente há cada uma. O rapaz faz um comentário pessoal e já é acto criminoso e parvo. Ainda por cima acabam de dar lições de moral aqui no tópico enquanto adicionam mais uns torrentzitos de contudo protegido por direitos de autor.

Não é por ser um comentário pessoal, que pode deixar de ser parvo, ou mesmo ilegal. o que faz poder ser essas duas coisas, é o conteúdo dele, e não ser um comentário pessoal. O que faz do teu comentário ainda mais parvo que o dele.

Aguardo ansiosamente por mais 3 ou 4 respostas a chamar-me criminoso por incentivo ao download ilegal de ficheiros.

Difamação é uma ofensa ilegal e a mentira é no mínimo feia. Fizeste ambas as coisas no teu post.

Eu não violo o Código de Direitos de Autor e Direitos Conexos e nem sequer uso torrents para qualquer tipo de fim (alias nunca usei torrents).

foi um bocado infantil mas continuo a dizer que não era apoiar o acto ... era achar graça ao acto.

Não vi piada nenhuma no acto... E para a próxima se não queres apoiar, tenta utilizar uma linguagem que dê a entender tal coisa, pois como pudeste ver, não foi assim que foi interpretado e tenho a certeza que foi pela forma como te exprimiste.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Como programador do estado, penso que estes actos deveriam ser mais que punidos, não somos uns seres que passam aqui 7 horas sem fazer nenhum, dizem isso porque foi criada uma ideia má dos funcionários públicos mas não acho que assim seja, trabalhamos muito para ter tudo funcional, e aqui não admitem falhas.

Acho um acto irreflectido e irresponsável.

Cumprimentos Paulo Silva

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

... dizem isso porque foi criada uma ideia má dos funcionários públicos mas não acho que assim seja, trabalhamos muito para ter tudo funcional, e aqui não admitem falhas.

Passei completamente ao lado deste tópico, mas não posso deixar de comentar esta situação, não sei de onde vem a ideia dos maus funcionários públicos, mas a minha ideia, não dos funcionários em geral mas dos programadores que fazem os vários sistemas que uso, tem origem nos vários erros que encontro todas as vezes que tento usar um dos sistemas do estado. O da segurança social é tão bom que nem o formulário de contacto funciona correctamente, os vários das finanças sofrem do clássico "só funciona em IE"... o último que deu vontade de rir foi o software de criação e submissão da declaração de IRS que não funciona em Mac OS X se usar o installer, tive de dar a volta ao problema para poder correr o software... enfim, eu tenho uma ideia dos ditos programadores pelos resultados do trabalho, não sei se trabalham muito ou pouco, e na verdade por mim podiam trabalhar apenas uma hora por dia, desde que dessa hora resultasse um sistema que eu pudesse usar minimamente, infelizmente tenho de recorrer muitas vezes ao papel e ao telefonema para o serviço para que se possam resolver as coisas que supostamente podiam ser feitas online.

Enfim, é mais um desabafo que outra coisa e certamente não pretendem cair em cima do paulo silva, mas há alturas em que me apetecia partir as pernas a todos os programadores do estado....

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

knitter, o estado tem poucos, ou nenhuns programadores.

Os trabalhos de desenvolvimento, são normalmente encomendados a empresas privadas, ou feitos internamente por consultores externos. Os casos específicos que mencionaste são exemplos de casos em que as coisas foram feitas por empresas privadas.

O problema está muitas vezes na falta de exigência por parte do estado, mas isso é algo que também é extremamente comum entre os privados (o mais comum até).

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Sim, tenho consciência disso, e claro não estou de modo algum a querer dizer que os eventuais programadores do estado sejam menos qualificados, e mesmo sabendo que a maioria dos sistemas é feito com recurso a empresas externas, com as quais já lidei, é frustrante tentar usar alguns dos sistemas feitos e deparar com erros absurdos que impedem a correcta utilização dos programas. Erros todo o software tem, mas a falta de exigência e, muitas vezes de cumprimento dos requisitos que o estado impõe, deixam-me algo aborrecido, para ser simpático.

Enfim, como disse, foi mais um desabafo que surgiu em virtude do comentário colocado que outra coisa.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Pois, diria que estão a fazer altos filmes para um hackzito da treta que até um garoto de 11 anos pode fazer.

isto não existe... há é crimes.. e como alguns dizem e bem... crime é crime... se quisermos continuar a falar destes assuntos da segurança e falar de técnicas e tal aqui, temos de ter uma atitude responsável e condenar qualquer destes actos...

uma coisa é admiração por técnicas... outra muito diferente é desvalorizar o crime ou acha-lo interessante... e se isso começa a acontecer podem ter a certeza que vão chamar atenções que não desejam de certeza

e já agora... onde anda o disclaimer que fiz há uns tempos? é essencial esse disclaimer para que fique claro o objectivo da info aqui apresentada e desresponsabilizar que escreve... pois a responsabilidade de alguém que mata é de quem dá o tiro e não de quem ensinou a disparar... se fosse assim tínhamos de prender os sargentos e oficias militares, pois ensinam a disparar... mas se um soldado matar alguém é dele unicamente a responsabilidade

mas o disclaimer é importante pois deixa isso escrito e claro... posso não ter eu encontrado, pois pelo menos não está no local onde estava e deveria no mínimo estar um apontador na raiz desta secção

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora