• Revista PROGRAMAR: Já está disponível a edição #56 da revista programar. Faz já o download aqui!

M6

"Pirata" de 16 anos detido depois de aceder a sites da PJ e da PGR

20 mensagens neste tópico

O mais jovem dos 32 hackers apanhados pela Judiciária em dois anos, por ataques informáticos a sites do Estado e de grandes empresas é menor, estudante e vive com os pais. Os inspetores foram buscá-lo à casa da família, em Lisboa.

[Continua...]

In Diário de Notícias, 16 de Março de 2017.

 

PS: Está explicada a razão de não ter conseguido aceder ao site da PJ no outro dia...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Boa tarde,

Bem, o garoto tem talento, apesar de o estar a utilizar para finalidades nada recomendáveis.

O que para mim me chamou mais a atenção na noticia foi o facto de alegadamente ter conseguido obter acesso ilegítimo a sistemas informáticos do estado. Uma vez que, mesmo considerando o talento do jovem, ter conseguido aquilo de que está acusado, levanta-me questões sobre a segurança dos dados pessoais que estão confiados ao estado para os manter seguros.

Cordiais cumprimentos,

Apocsantos

1

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não sei os pormenores de como ele conseguiu entrar nos sistemas da PGR e PJ mas gostava de saber detalhes acerca do que é considerado sabotagem desses sistemas... 

Ele entrou e modificou ou apagou dados? Ou é apenas uma queixa sem provas para poderem apanhá-lo penalmente já que não é tão simples fazê-lo pelo acesso ilegitimo? 

Em todo o caso e para um jovem de 16 anos, espero que a pena seja exemplar, ou seja, explicar como conseguiu entrar nesses sistemas, explicar que mais é que ele sabe acerca dos sistemas do estado, pô-lo a trabalhar de borla para o estado durante o tempo da sentença e mediante bom comportamento e performance contratá-lo no final da pena. 

Claro que, no seguimento disto, e dependendo de quão estupida foi a fraqueza que lhe permitiu o acesso, coloquem quem foi pago para proteger os dados do Estado falhando miseravelmente, na cadeia. 

Infelizmente isto aconteceu em Portugal... logo mais uma vida será estragada e os responsáveis por negligência vão continuar empregados e certamente com salários chorudos. 

1

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Bom dia,

@bubulindo, em Portugal, o garoto vai ficar com cadastro, ninguém vai assumir responsabilidades, pela falha que alegadamente permitiu a intrusão, vão "demonificar" o garoto, como alguma espécie de "génio do mal" e "siga a marinha", porque a "autoridade instalada", nunca assumirá responsabilidades, pela incompetência no exercício de funções!

Cordiais cumprimentos,

Apocsantos

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

A notícia é muito vaga sobre o que foi feito exactamente. Sabotagem informática não é mais que um DDoS e que pode ser feito por qualquer pessoa que tenha um computador e 10 minutos para instalar um script, que os grupos já fornecem pronto a usar pelos membros. Acesso ilegítimo ao site na PJ não dá acesso a muita informação segura/privada, se a memória não me falha até é um dos sites que não é gerido pela PJ e não tem qualquer acesso à rede interna da PJ. Sem a informação do processo que indique quais os indícios e o teor da acusação não dá para saber o que realmente foi feito.

A idade não deve ser algo estranho, há vários casos de jovens que simplesmente seguem uns tutoriais e fazem uns "ataques", alguns mais sérios que outros; agora com a notoriedade dos vários grupos "anonymous" e do 4chan é bastante comum ver isso nas aulas/formações que dou, e nem fazem ideia das consequências nem imaginam que podem ser acusados do que seja... vejo muito a ideia de que a "polícia não tem conhecimentos".

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

 

3 hours ago, bubulindo said:

Em todo o caso e para um jovem de 16 anos, espero que a pena seja exemplar, ou seja, explicar como conseguiu entrar nesses sistemas, explicar que mais é que ele sabe acerca dos sistemas do estado, pô-lo a trabalhar de borla para o estado durante o tempo da sentença e mediante bom comportamento e performance contratá-lo no final da pena. 

Concordo com muito do que disseste, mas há um passo grande entre não ser preso e ser presenteado com um contrato. Ética e um comportamento moral acima do irrepreensível é uma exigência para este tipo de funções, algo que claramente não possui. A última coisa que precisamos é de recompensar este tipo de ataques.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Frases de que gosto:

  • "o rapaz foi surpreendido ontem pela presença de inspetores da PJ à porta da casa dos seus pais", equivalente a um ladrão ficar surpreendido por ter sido apanhado a gamar :D
  • "O seu quarto está equipado com computadores sofisticados que lhe permitem o acesso a sistemas", só me faz lembrar o Magalhães 1 que tenho em casa e que corre Ubuntu a partir de um SD e como permite ligação à internet já me permite "acesso a sistemas", modo geral via HTTP, FTP e SSH, :D o que deve fazer dessa máquia um "computador sofisticado que me permite acesso a sistemas" :D
  • "C4R3T05", a PJ é tão l33t :D (pensei que já estava fora de moda :D)

Cá para mim o miúdo não era assim tão bom (caso contrário não teria sido catado) e nem sei bem até que ponto os Anonymous não o usaram precisamente por ser menor (nem sabemos se o miúdo tem realmente ideia da ideologia que estava a "defender") da mesma forma que os traficantes usam os miúdos para certas operações.

Acho também que o miúdo vai levar um raspanete, os país vão pagar uma multa e vai ficar de castigo até aos 37 anos :D
A sério, acho que o miúdo se vai safar com uma multa, serviço comunitário e pena suspensa (ou algo semelhante).

 

PS: para quem estiver interessado, isto vai abrir em breve...

 

Editado por M6
PS
0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não disse que não existia. Apenas que vai haver um da FCUL.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Boa noite,

Eu ia referir a Pós-Graduação cá em Viana, até porque ainda ontem fizeram uma conferência sobre o assunto, mas para variar o sistema está completamente Down! :D

<joking>Não venham estudar para cá!!!!</joking>

Cordiais cumprimentos

Apocsantos

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
4 hours ago, Warrior said:

 

Concordo com muito do que disseste, mas há um passo grande entre não ser preso e ser presenteado com um contrato. Ética e um comportamento moral acima do irrepreensível é uma exigência para este tipo de funções, algo que claramente não possui. A última coisa que precisamos é de recompensar este tipo de ataques.

Estava a assumir que ele tem talento... se realmente ele tiver talento, for colocado à prova para demonstrar que aprendeu a lição e ao mesmo tempo perceber que por muito estúpido ou mal gerido que seja o Estado, a verdade é que todos beneficiamos do mesmo, talvez seja de valor tentar aliciá-lo para um trabalho mais interessante e ao mesmo tempo reformar a pessoa.

Quanto à ética e comportamento moral... ele é um rapaz de 16 anos. Tu tinhas um sentido de ética perfeito aos 16? E depois temos de ver também exactamente o que foi feito... coisa que ainda não foi explicada claramente para perceber se isto foi uma estupidez dum puto de 16 anos ou se foi algo feito com o intuito de causar danos à infra-estrutura do Estado.

Se calhar como parte da pena obrigava-o a ler a biografia do Kevin Mitnick...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Bom dia,

Bem, parece-me consensual que falta saber muito sobre o alegado ataque informático que alegadamente o garoto terá realizado!

Não sou propriamente contra a contratação do garoto para trabalhar para o estado, uma vez que dependendo do grau de sofisticação do ataque levado a cabo, poderia ser mais vantajoso reformar o garoto e oferecer-lhe um emprego onde possa utilizar os seus talentos para algo positivo. Creio que seja de senso comum, que com 16 anos um adolescente é bastante influenciável, logo o "compasso moral", nunca será tão correcto como na idade adulta!

Por outro lado, creio que a provar-se que o sucesso do ataque foi causado por incompetência ou até mesmo negligência, dos responsáveis pelo sistema, estes também deveriam enfrentar consequências. Afinal o contribuinte paga para que o trabalho seja bem feito! Se a administração do que é do contribuinte continuar a premiar a incompetência e a inacção, talvez haja um comportamento altamente desviante ou uma moral mensurável em euros, nos organismos do estado, algo que realmente muito errado.

Cordiais cumprimentos,

Apocsantos

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Era para mostrar à PJ o quanto pouco seguro o site é.

Admito que uma vez já tentei entrar na rede da minha escola, tive mais ou menos sucesso. xD

 

 

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
4 hours ago, bubulindo said:

Se calhar como parte da pena obrigava-o a ler a biografia do Kevin Mitnick...

ARG!!! Isso deve ser pior que ver o Festival da Canção desde o inicio! :D

PS: não acho o Mitnick um grande hacker na vertente técnica...

Editado por M6
Site deu um treco e duplicou o conteúdo da minha mensagem
0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
22 minutes ago, brunuu said:

Era para mostrar à PJ o quanto pouco seguro o site é.

Admito que uma vez já tentei entrar na rede da minha escola, tive mais ou menos sucesso. xD

Se eu deixar a porta da minha casa aberta, tipo mesmo escancarada, isso não te dá o direito de entrares, nem sequer de "mostrar o quanto pouco seguro" é deixar a porta aberta.
Se a PJ quiser saber o quão seguro o site é, sabe que existem empresas especialistas em segurança...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
37 minutes ago, M6 said:

ARG!!! Isso deve ser pior que ver o Festival da Canção desde o inicio! :D

PS: não acho o Mitnick um grande hacker na vertente técnica...

Acho que a maior parte do que ele fez (e faz) é mesmo engenharia social ou testar vulnerabilidades físicas do sistema e não necessariamente técnicas... no entanto a mensagem não deixa de ser semelhante. Ele teve de andar fugido (numa altura em que era bastante mais fácil de fazê-lo) e acabou por cumprir pena de cadeia pelo que fez e hoje em dia ganha milhões a fazer ou pelo menos organizar quem faça exactamente o mesmo.

Ou seja, é possível de conjugar o gostinho de ver como as coisas são feitas com um emprego legítimo sem incorrer em pena de prisão. Mas para isso será precisa alguma direcção.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Boa noite,

Fala-se tanto no Kevin Mitnick, mas a qual dos livros se referem ? TakeDown? The art of Deception? The art of intrusion? The fugitive Game? Eu tenho a colecção quase toda, dos livros e depois de tanto ler, fiquei mais que convencido de que o tipo era mesmo bom em engenharia social, mas não tão bom nos aspectos técnicos.

Quanto a ter de cumprir pena pelos actos cometidos, sem duvida, quem quebra a lei, sujeita-se às consequências!

No caso concreto, se o garoto fosse assim tão bom, teria certamente tido outros "cuidados", para evitar a identificação. Certamente não os teve! Terá de "pagar" pelo que fez, o que provavelmente se resumirá a uma avultada multa que serão os pais a pagar e serviço comunitário.

Quanto aos sistemas serem inseguros, existem muitas formas de realizar testes de forma legitima, desde recorrer a empresas especializadas, até promover programas especialmente concebidos para o efeito e acessíveis mediante regras bem definidas.

Cordiais cumprimentos,

Apocsantos

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Como disse ele é bom em engenharia social e não só já que ele vai ao ponto de testar a segurança física dum sistema (se alguém tem acesso aos servidores fisicamente ou não) e não só a segurança lógica.

Quanto aos aspectos técnicos, temos de reconhecer que ele sabia como funcionava a rede telefónica dos Estados Unidos e tirou partido disso. Hoje em dia grande parte desse conhecimento não vale de muito.

Lá está... o meu comentário assumia que ele saberia algo mais do que a média e poderia ter sido apanhado devido a denúncia e não necessariamente descuido. Afinal de contas estamos a falar dum puto de 16 anos... quem aqui com essa idade não era um gabarolas??

O que eu queria transparecer é que em vez de estragar logo a vida do rapaz, seria melhor direccioná-lo para um caminho melhor de forma a que o mesmo não sofra desmesuradamente por uma estúpidez de adolescente.

Quanto aos sistemas serem inseguros... estamos a falar do Estado... achas sinceramente que eles vão contratar a melhor empresa do mercado para testar a segurança dos sistemas informáticos? A policia há uns anos atrás não tinha papel higiénico em algumas esquadras... os nossos bombeiros (como tu melhor que eu sabes) tem de pagar para prestar um serviço... achas mesmo que alguma atenção é dada a isto ou que se for dada, não é usada como uma maneira de dar umas massas ao amigo do amigo do amigo?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Parece que a coisa é consensual: o Mitnik é particularmente bom na componente social.

Em relação à segurança do estado, a resposta é sim, vão mesmo contratar (leia-se contratam mesmo) boas empresas na área.
Mas não o fazem-no em todo o lado nem para todos os sistemas. 
É simples de perceber que se um site institucional é comprometido é chato e dá má imagem, mas chega a representar um perigo real.
Tipicamente, os sistemas realmente críticos nem sequer estão acessíveis a partir de fora.

Editado por M6
0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Bom dia,

@M6, olha que nem todos  os sistemas críticos são verdadeiramente isolados. Segundo o que se pode ler e ouvir nas diversas conferências que vão ocorrendo, ainda existem demasiados sistemas a "falar" com o exterior e a segurança a ser "descorada".

Um site institucional pode causar dano, para além da imagem, dependendo do tipo de ataque realizado, por exemplo a substituição de ficheiros que são disponibilizados ao publico para download, por ficheiros contendo um "payload" de malware, podem causar efectivo dano. Isto em teoria, obviamente!

Por outro lado, maior parte dos sistemas criados no pressuposto do Simplex, acabam colocando acessível ao exterior demasiada informação que caso esses sistemas sejam comprometidos, pode causar sério dano. Desconheço se foi ou não bem ponderado e avaliado o risco nesses sistemas mas confesso que tenho algum receio.

Por outro lado, e agora com conhecimento de causa, pois basta saber ler as mensagens de aviso, existem alguns sistemas com informação que poderá ser considerada critica, que por exemplo usas "self-signed certificates", certificados fora de validade, etc...

Creio que o estado ainda tenha um longo caminho a percorrer no que diga respeito a sistemas de informação de uma forma geral. Talvez se "reduzirem a mordomias absurdas" e investirem no que realmente é importante, a coisa mude um pouco!

Cordiais cumprimentos,

Apocsantos

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora