Website da Secretaria Geral do Ministério da Administração Interna ownado

[Ecchi]

Olá 😉

Achei que daria uma boa notícia para envergonhar os retards do governo.

Então é assim, o website: http://biblioteca.mai.gov.pt/ foi hackeado.

O website pertence à Secretaria Geral do Ministério da Administração Interna.

A prova do site actualmente ainda estar sobre controlo do hacker é a seguinte: http://biblioteca.mai.gov.pt/x.htm

Se virem o código do website logo na primeira página, até dá para rir, com o comentário que o "programador e designer" do site pôs:

<!--

//Todos os direitos reservados © rventura

//a cópia deste documento demonstra apenas a sua falta de imaginação.

//Desenho e Programação - Rui Ventura

/-->

lolololol

[skin]

Sim e já foi postado no Zone-H.

http://www.zone-h.org/archive/defacer=Real_Karizma

Interessante era saber como ele o fez, agora apenas saber que o fez não é de grande interesse...

[Ecchi]

Eu compreendo o que dizes, no entanto estamos a falar de um site do governo. Quem sabe se até já ownaram sites do governo com informações mais importantes?

Pelo que vejo a falta de profissionalismo na criação do site do governo é grande.

Só aquele comentário do autor do site, dá mesmo para rir. Como é que é possível ele pôr aquilo num site do governo, lol...

Eu não percebo muito de defaces, no entanto acho que aquilo não foi um deface, mas sim um simples upload de uma página htm (o que prova que ele tem o username e password do ftp pelo menos).

Agora resta saber se ele descobriu o login através de bruteforce ou de leetness.

[skin]

Para não arriscar dizer todas as semanas, digo todos os meses são ownados sites de governos.

E são descobertas falhas em qualquer outro tipo de site. Microsoft, Adobe (deste  tenho conhecimento mais próximo...), Twitter, Orkut, Youtube, etc. nenhum site está a salvo de vulnerabilidades, nem que seja um 0day para os serviços que correm na máquina.

O importante é saber localizar a falha, detectar os erros e corrigi-los e detectar o que fizeram os intrusos, se tiveram acesso a dados confidenciais, se colocaram um rootkit no sistema ou um trojan ou uma shell, etc.

Quanto a esse site do governo (tal como alguns outros que tive a oportunidade de analisar) mostra alguma falta de profissionalismo sim, o site em si é uma porcaria...

E podem ser encontrados erros ao virar da esquina:

http://biblioteca.mai.gov.pt/files/pesq_form/pesqbiblio.asp: WXIS|fatal error|unavoidable|dbxopen: GERAL.xrf (2)|

É só olhar para a construção dos URL que se vê logo muita coisa que se pode testar:

http://biblioteca.mai.gov.pt/bibliopac/bin/wxis.exe/bibliopac/?IsisScript=bibliopac/bin/bibliopac.xic&db=LEGIS〈=P&start=LEGIX

[herakty]

o problema é que a maioria dos sysadmins só quer o ordenado e tá-se lixando para a segurança e o mesmo se passa com a maioria dos programadores... como trabalho tanto em segurança, como programção e sysadmin vejo isto acontecer nas empresas... depois admiram-se  😁

hoje em dia há frameworks como o metasploit e o FABULOSO w3af - Web Application Attack and Audit Framework, onde não só disponibilizam montes de ferramentas e utils para os procedimentos do acto em análise como integram com as melhores ferramentas de hoje...

para descobrir falhas em sites para mim é o wmap que está dentro do w3af e do metasploit... tudo integrado, descobres a falha e podes aplicar logo uma shell ou uma listagem de registos ou o que quiseres

w3af - Web Application Attack and Audit Framework

http://w3af.sourceforge.net/

teckV

[_7_up_]

//a cópia deste documento demonstra apenas a sua falta de imaginação.

//Desenho e Programação - Rui Ventura

/-->

Brilhante...

Faz-me lembrar o dia em que vi o source de uma página de um site bem conhecido e encontrei a váriavel da idade do utilizador como: bitchbirth =

[herakty]

Desenho e Programação - Rui Ventura

mas será que esse nome é real? já pensaram nisso? pode ser mesmo a gozar... tipo.. olhem o meu nome... mas não é

alias... já vi até usarem nomes de outros para lixar... acontece por vezes com as teams

teckV

[falco]

Eu compreendo o que dizes, no entanto estamos a falar de um site do governo. Quem sabe se até já ownaram sites do governo com informações mais importantes?

Já o fizeram em várias ocasiões. E informações confidenciais já foram comprometidas também de outras formas havendo diversas máquinas sobre o controlo de botnets.

[IRX773]

Porquê o ministério da administração interna? Algumas desavenças com o pessoal de lá?

[bonucci]

Bem, pelo que li neste treath, sem duvida que foi uma grande falha por parte do webdesigner, pois a culpa vem da aplicaçaoweb usada e não do servidor em si, sem duvida que o gajo entrou, mas não entrou na root da máquina, pois aí teria ele mais vitimas além de ser só este site do ministerio de administração. ele poderá te-lo feito de variadas formas, mas tenho um pressentimento que tenha sido por sql injection, não sei porque, mas é so um palpite, visto que é o ataque mais vulgar por aí na net, mas não sei, so o tal "webdesigner ou programador" ou até seja simplesmente um turco que se intitula com variados nomes invetados por ele, pelo que vejo por aí, o gajo ja deu imensos nomes a ele proprio como também varios emails, mas talvez ate nem seja turco, hoje em dia usam e inventam de tudo para se esconderem, também pouco lhes poderá ajudar, se quiserem apanhar o gajo apanham, hoje em dia existe cada vez maior cooperação internacional com a guerra no ciberespaço, as relaçoes politicas entre Portugal com outros paises sao  boas. Mas vamos ser realistas numa coisa, "Informação confidencial" lool, muito pouco provavel. Poderão até apanhar informação em relaçao a nomes das pessoas, moradas, contribuinte... mas pouco lhes ajudará

E mais a mais, como saberemos se foi um own de verdade, será que não é possivel as coisas ás vezes serem deixadas dessa forma so para os intrusos serem apenas estudados, ou até usados para so fortalecer as leis contra os piratas. Será que não é o Governo que simplesmente está a fazer deles de fantoche? Bem ate´acredito que ate pode ser possivel que seja distracção do Sysadmin, mas se formos sempre a pensar assim, seria uma maravilha, pois bastariam de deixar os piratas seguirem esse raciocinio enquanto levam com o inesperado.

[pedrotuga]

Pois, diria que estão a fazer altos filmes para um hackzito da treta que até um garoto de 11 anos pode fazer.

Usar ferramentas de scan de vulnerabilidades e coisas do estilo não me impressiona minimamente. Tambem os sites que são vulneráveis a essas coisas, meu deus, é mesmo de por as mãos à cabeça.

Mas a sério, não façam alos filmes, só pelo aspecto do site se vê que é uma coisa com poucos objectivos sérios. Uma coisa assim às três pancadas, é mais que natural que seja hackado.

De estar num domínio .gov.pt a ser 'um site do governo' vai uma diferença abismal. Não é um site do governo, é apenas um site num domínio cuja gestão é feita pelo governo.

Uma vez, estava eu olhar para o site milw0rm e reparei que o módulo do SMF chamado SEO4SMF tinha vulnerabilidades multiplas, curioso abri o ficheiro. tinha algumas 10 vulnerabilidades daquelas mesmo básicas, qualquer programador com o mínimo de bom-senso conseguia encontra-las. Foi apenas uma questão de alguem se dar ao trabalho de o fazer. E nós até estavamos para usar esse módulo aqui no p@p. Era um dos módulos mais usados.

Quer isto dizer o quê? Que há MUITO software mau, mas que na verdade não é assim tão dificil de fazer software com um bom nível de segurança. Claramente o site em questão estava cheio de crateras. Qualquer puto que queira impressionar miudas o podia hackar. Mas correu-lhe mal, que tipicamente não é a este tipo de coisas que as mulheres ligam.

[bonucci]

Tens razão PedroTuga, vendo bem a situação, não sei porque se foi dar tanta importância, realmente...

[falco]

Acho vergonhoso alguém dar os parabéns por alguém ter cometido um crime e mais vergonhoso os moderadores do fórum não fazerem nada quanto a isso.

PedroTuga:

O site é de uma entidade do estado sem qualquer sombra de dúvida, mais especificamente o Ministério da Administração Interna. A biblioteca em causa é a Biblioteca do Ministério da Administração Interna (podes confirmar isso no próprio site do Ministério) e é gerida no cumprimento das suas funções profissionais pelo pessoal de uma das secretarias do ministério (alguém tinha que o fazer...).

Não percebo como é que podes de forma racional colocar isso em causa, a não ser por um profundo desconhecimento da organização do governo. Isto em relação a um nível de conhecimento que é do domínio público geral e comum e por tanto não pode ser facilmente justificado a não ser por um extremo desinteresse.

[HecKel]

Acho vergonhoso alguém dar os parabéns por alguém ter cometido um crime e mais vergonhoso os moderadores do fórum não fazerem nada quanto a isso.

ó falco, desculpa-me lá mas já estás nesta comunidade há demasiado tempo para ainda teres dúvidas destas. ao contrário de outros fóruns onde provavelmente foste habituado a uma censura e linha demasiado apertada, aqui até damos liberdade ao pessoal para expor a sua opinião por mais parva que ela seja.

sim, eu acho que é uma criancisse de todo o tamanho dar os parabéns a alguém por cometer um crime, mas felizmente ainda não está na legislação portuguesa que ser parvo é crime e curiosamente nas regras do p@p também não temos nada a dizer que os utilizadores têm de ter um discernimento suficiente para pensarem antes de escrever, portanto, onde é que os moderadores devem agir aqui?

São as opiniões contrárias que dão origem ao debate, e por mais estúpido que possa ser um comentário, o resultado final acaba por ser positivo e exemplo disso é a tua resposta, muito provavelmente alguns dos participantes deste tópico nem sequer sabiam que "hackar", "deface" e afins é crime, se não houvesse aquele post "estúpido" muito provavelmente nem irias dizer nada logo as conclusões a que chego é que o comentário parvo a que te referes acabou por ser positivo para o tópico. "Forçou-te" a dares um esclarecimento público, logo, forçou um comentário com conteúdo no tópico.

PS: dou esta resposta publicamente mesmo para o pessoal pensar duas vezes antes de escrever, pois de facto é mesmo estúpido darem os parabéns a alguém por cometer um crime.

[falco]

Apoiar um crime é em si uma violação da lei, pois pode facilmente ser considerado um incitamento a que se cometam mais crimes (e no mínimo pode estar a intimidar e/ou humilhar a vitima do crime). Se assim for e há na minha opinião uma possibilidade perfeitamente razoável de ser, aquele tipo de post, não só estará a violar a lei, como as regras do forum.

Não é o ser parvo, ou de ser infantil, trata-se da lei e das regras do fórum.

[HecKel]

Lamento, mas liberdade de expressão ainda é algo que valorizamos. Se a lei fosse "binário" não existiam tribunais, tu achas que aquele post é incitamento a que se comentam mais crimes eu vejo uma opinião parva. Interpretações.

[falco]

Uma opinião ser parva, ou não, é um assunto completamente diferente de ser legal, ou não. Não se tratam de adjectivos com valores antagonistas. E até a liberdade de expressão tem limites.

E já agora, as coisas, ou são legais, ou ilegais, não há coisas assim assim. O papel dos tribunais é avaliar o processo, e decidir da legalidade perante os factos que o tribunal considera como provados. Só que justiça não é um exclusivo dos tribunais, não só existem magistrados fora dos tribunais (por exemplo o ministério público), como existem orgãos de polícia judicial e ainda as obrigações legais, morais e éticas a que os cidadãos estão sujeitos.

O cumprimento da lei, a utilização de princípios de cuidado, não é inimigo da liberdade de expressão, tudo depende de como as coisas forem feitas. Mas, sejamos claros, em casos em que hajam ilícitos, ou até mesmo de forte suspeita de ilícitos, então há um abuso de expressão, ou pelo menos um perigo elevado. Nesse caso a necessidade, não é a de proteger esse abuso/perigo, mas sim de o impedir. O que é preciso (para ser justo e proporcionado) é sensibilidade ao abordar o caso e não entrar a matar e tentar esclarecer antes de agir de forma a cumprir a lei e agir de formar a proteger também o site (e consequentemente o interesse da comunidade) de perigos legais.

A respeito do post em discussão, considero que, o risco da interpretação pior, é tão elevado que se justifica acção por parte dos moderadores. A acção dos moderadores pode nem ser a censura e pode ser bastante diferenciada, como até apenas uma chamada de atenção directa ao utilizador sugerindo-lhe uma alteração e/ou clarificação do que queria dizer.

Não se trata de uma questão de opinião pessoa a respeito do que utilizador disso, mas de ir um pouco mais além e de considerar se há, ou não um perigo razoável de ser interpretado de uma outra forma maliciosa. A minha opinião é que existe esse perigo e não acho por tanto que esta opinião inconsciente valha mais do que a mensagem de desrespeito por uma serie de valores que ela vai passar a muitos jovens. Por tanto, acho que no mínimo, deve de haver uma chamada de atenção e um pedido de explicações, por parte dos moderadores.

A censura social que fizeste no fim do teu post, é muito bem vinda, mas acho que deveria ser feita depois de um pedido de explicações ao utilizador e da sua resposta (acho que ele devia ter a oportunidade de se explicar e defender antes disso).

A acção de moderação num fórum nem sempre é a de censurar e já várias vezes vi censuras desproporcionadas e outras vezes vi falta de rapidez na acção de casos claros de violação da lei. Por isso apelo aos moderadores que pensem um pouco em abstracto mais sobre como exercer a moderação, porque o fórum só ganhava com alguns melhoramentos.

Note-se que não estou a dizer que a moderação é sempre mal feita (ultimamente até tem parecido melhor), apenas que há um espaço claro para melhoramentos.

[IRX773]

Opá ! Eu disse:

se foi de cá um tuga parabéns ... Metes-te graça mas mete lá o original outra vez senão continuam com a  procura

Parabéns pela piada ... mas não apoio ... aliás ... está explicito ... mete la o original outra vez .... "uma graça por graça passa" porque não é a "atirar pedras às pessoas" que se vai fazer amizade com elas e um diálogo com as mesmas e aqui refiro-me ao acto em si que foi mal intencionado num mau local: sites do governo são para ficarem quietinhos.

Como gosto da paz e não precisam de poluír mais a thread acerca do meu post eu edito e retiro o que disse ... foi um bocado infantil mas continuo a dizer que não era apoiar o acto ... era achar graça ao acto.

[_7_up_]

Realmente há cada uma. O rapaz faz um comentário pessoal e já é acto criminoso e parvo. Ainda por cima acabam de dar lições de moral aqui no tópico enquanto adicionam mais uns torrentzitos de contudo protegido por direitos de autor.

Aguardo ansiosamente por mais 3 ou 4 respostas a chamar-me criminoso por incentivo ao download ilegal de ficheiros.

Tenham juízo.

[falco]

Realmente há cada uma. O rapaz faz um comentário pessoal e já é acto criminoso e parvo. Ainda por cima acabam de dar lições de moral aqui no tópico enquanto adicionam mais uns torrentzitos de contudo protegido por direitos de autor.

Não é por ser um comentário pessoal, que pode deixar de ser parvo, ou mesmo ilegal. o que faz poder ser essas duas coisas, é o conteúdo dele, e não ser um comentário pessoal. O que faz do teu comentário ainda mais parvo que o dele.

Aguardo ansiosamente por mais 3 ou 4 respostas a chamar-me criminoso por incentivo ao download ilegal de ficheiros.

Difamação é uma ofensa ilegal e a mentira é no mínimo feia. Fizeste ambas as coisas no teu post.

Eu não violo o Código de Direitos de Autor e Direitos Conexos e nem sequer uso torrents para qualquer tipo de fim (alias nunca usei torrents).

foi um bocado infantil mas continuo a dizer que não era apoiar o acto ... era achar graça ao acto.

Não vi piada nenhuma no acto... E para a próxima se não queres apoiar, tenta utilizar uma linguagem que dê a entender tal coisa, pois como pudeste ver, não foi assim que foi interpretado e tenho a certeza que foi pela forma como te exprimiste.