M6 Posted March 16, 2017 at 05:06 PM Report Share #603194 Posted March 16, 2017 at 05:06 PM O mais jovem dos 32 hackers apanhados pela Judiciária em dois anos, por ataques informáticos a sites do Estado e de grandes empresas é menor, estudante e vive com os pais. Os inspetores foram buscá-lo à casa da família, em Lisboa. [Continua...] In Diário de Notícias, 16 de Março de 2017. PS: Está explicada a razão de não ter conseguido aceder ao site da PJ no outro dia... 10 REM Generation 48K! 20 INPUT "URL:", A$ 30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50 40 PRINT "404 Not Found" 50 PRINT "./M6 @ Portugal a Programar." Link to comment Share on other sites More sharing options...
apocsantos Posted March 16, 2017 at 05:25 PM Report Share #603195 Posted March 16, 2017 at 05:25 PM Boa tarde, Bem, o garoto tem talento, apesar de o estar a utilizar para finalidades nada recomendáveis. O que para mim me chamou mais a atenção na noticia foi o facto de alegadamente ter conseguido obter acesso ilegítimo a sistemas informáticos do estado. Uma vez que, mesmo considerando o talento do jovem, ter conseguido aquilo de que está acusado, levanta-me questões sobre a segurança dos dados pessoais que estão confiados ao estado para os manter seguros. Cordiais cumprimentos, Apocsantos 1 Report "A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito" Link to comment Share on other sites More sharing options...
bubulindo Posted March 17, 2017 at 09:54 AM Report Share #603204 Posted March 17, 2017 at 09:54 AM Não sei os pormenores de como ele conseguiu entrar nos sistemas da PGR e PJ mas gostava de saber detalhes acerca do que é considerado sabotagem desses sistemas... Ele entrou e modificou ou apagou dados? Ou é apenas uma queixa sem provas para poderem apanhá-lo penalmente já que não é tão simples fazê-lo pelo acesso ilegitimo? Em todo o caso e para um jovem de 16 anos, espero que a pena seja exemplar, ou seja, explicar como conseguiu entrar nesses sistemas, explicar que mais é que ele sabe acerca dos sistemas do estado, pô-lo a trabalhar de borla para o estado durante o tempo da sentença e mediante bom comportamento e performance contratá-lo no final da pena. Claro que, no seguimento disto, e dependendo de quão estupida foi a fraqueza que lhe permitiu o acesso, coloquem quem foi pago para proteger os dados do Estado falhando miseravelmente, na cadeia. Infelizmente isto aconteceu em Portugal... logo mais uma vida será estragada e os responsáveis por negligência vão continuar empregados e certamente com salários chorudos. 1 Report include <ai se te avio> Mãe () { } Link to comment Share on other sites More sharing options...
apocsantos Posted March 17, 2017 at 10:53 AM Report Share #603208 Posted March 17, 2017 at 10:53 AM Bom dia, @bubulindo, em Portugal, o garoto vai ficar com cadastro, ninguém vai assumir responsabilidades, pela falha que alegadamente permitiu a intrusão, vão "demonificar" o garoto, como alguma espécie de "génio do mal" e "siga a marinha", porque a "autoridade instalada", nunca assumirá responsabilidades, pela incompetência no exercício de funções! Cordiais cumprimentos, Apocsantos "A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito" Link to comment Share on other sites More sharing options...
Knitter Posted March 17, 2017 at 12:21 PM Report Share #603209 Posted March 17, 2017 at 12:21 PM A notícia é muito vaga sobre o que foi feito exactamente. Sabotagem informática não é mais que um DDoS e que pode ser feito por qualquer pessoa que tenha um computador e 10 minutos para instalar um script, que os grupos já fornecem pronto a usar pelos membros. Acesso ilegítimo ao site na PJ não dá acesso a muita informação segura/privada, se a memória não me falha até é um dos sites que não é gerido pela PJ e não tem qualquer acesso à rede interna da PJ. Sem a informação do processo que indique quais os indícios e o teor da acusação não dá para saber o que realmente foi feito. A idade não deve ser algo estranho, há vários casos de jovens que simplesmente seguem uns tutoriais e fazem uns "ataques", alguns mais sérios que outros; agora com a notoriedade dos vários grupos "anonymous" e do 4chan é bastante comum ver isso nas aulas/formações que dou, e nem fazem ideia das consequências nem imaginam que podem ser acusados do que seja... vejo muito a ideia de que a "polícia não tem conhecimentos". Link to comment Share on other sites More sharing options...
Warrior Posted March 17, 2017 at 01:46 PM Report Share #603214 Posted March 17, 2017 at 01:46 PM 3 hours ago, bubulindo said: Em todo o caso e para um jovem de 16 anos, espero que a pena seja exemplar, ou seja, explicar como conseguiu entrar nesses sistemas, explicar que mais é que ele sabe acerca dos sistemas do estado, pô-lo a trabalhar de borla para o estado durante o tempo da sentença e mediante bom comportamento e performance contratá-lo no final da pena. Concordo com muito do que disseste, mas há um passo grande entre não ser preso e ser presenteado com um contrato. Ética e um comportamento moral acima do irrepreensível é uma exigência para este tipo de funções, algo que claramente não possui. A última coisa que precisamos é de recompensar este tipo de ataques. Link to comment Share on other sites More sharing options...
M6 Posted March 17, 2017 at 05:17 PM Author Report Share #603223 Posted March 17, 2017 at 05:17 PM (edited) Frases de que gosto: "o rapaz foi surpreendido ontem pela presença de inspetores da PJ à porta da casa dos seus pais", equivalente a um ladrão ficar surpreendido por ter sido apanhado a gamar 😄 "O seu quarto está equipado com computadores sofisticados que lhe permitem o acesso a sistemas", só me faz lembrar o Magalhães 1 que tenho em casa e que corre Ubuntu a partir de um SD e como permite ligação à internet já me permite "acesso a sistemas", modo geral via HTTP, FTP e SSH, 😄 o que deve fazer dessa máquia um "computador sofisticado que me permite acesso a sistemas" 😄 "C4R3T05", a PJ é tão l33t 😄 (pensei que já estava fora de moda :D) Cá para mim o miúdo não era assim tão bom (caso contrário não teria sido catado) e nem sei bem até que ponto os Anonymous não o usaram precisamente por ser menor (nem sabemos se o miúdo tem realmente ideia da ideologia que estava a "defender") da mesma forma que os traficantes usam os miúdos para certas operações. Acho também que o miúdo vai levar um raspanete, os país vão pagar uma multa e vai ficar de castigo até aos 37 anos 😄 A sério, acho que o miúdo se vai safar com uma multa, serviço comunitário e pena suspensa (ou algo semelhante). PS: para quem estiver interessado, isto vai abrir em breve... Edited March 17, 2017 at 05:21 PM by M6 PS 10 REM Generation 48K! 20 INPUT "URL:", A$ 30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50 40 PRINT "404 Not Found" 50 PRINT "./M6 @ Portugal a Programar." Link to comment Share on other sites More sharing options...
Warrior Posted March 17, 2017 at 06:55 PM Report Share #603228 Posted March 17, 2017 at 06:55 PM Isto já existe. Link to comment Share on other sites More sharing options...
M6 Posted March 17, 2017 at 07:34 PM Author Report Share #603234 Posted March 17, 2017 at 07:34 PM Não disse que não existia. Apenas que vai haver um da FCUL. 10 REM Generation 48K! 20 INPUT "URL:", A$ 30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50 40 PRINT "404 Not Found" 50 PRINT "./M6 @ Portugal a Programar." Link to comment Share on other sites More sharing options...
apocsantos Posted March 17, 2017 at 07:43 PM Report Share #603238 Posted March 17, 2017 at 07:43 PM Boa noite, Eu ia referir a Pós-Graduação cá em Viana, até porque ainda ontem fizeram uma conferência sobre o assunto, mas para variar o sistema está completamente Down! 😄 <joking>Não venham estudar para cá!!!!</joking> Cordiais cumprimentos Apocsantos "A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito" Link to comment Share on other sites More sharing options...
bubulindo Posted March 18, 2017 at 11:25 AM Report Share #603248 Posted March 18, 2017 at 11:25 AM 4 hours ago, Warrior said: Concordo com muito do que disseste, mas há um passo grande entre não ser preso e ser presenteado com um contrato. Ética e um comportamento moral acima do irrepreensível é uma exigência para este tipo de funções, algo que claramente não possui. A última coisa que precisamos é de recompensar este tipo de ataques. Estava a assumir que ele tem talento... se realmente ele tiver talento, for colocado à prova para demonstrar que aprendeu a lição e ao mesmo tempo perceber que por muito estúpido ou mal gerido que seja o Estado, a verdade é que todos beneficiamos do mesmo, talvez seja de valor tentar aliciá-lo para um trabalho mais interessante e ao mesmo tempo reformar a pessoa. Quanto à ética e comportamento moral... ele é um rapaz de 16 anos. Tu tinhas um sentido de ética perfeito aos 16? E depois temos de ver também exactamente o que foi feito... coisa que ainda não foi explicada claramente para perceber se isto foi uma estupidez dum puto de 16 anos ou se foi algo feito com o intuito de causar danos à infra-estrutura do Estado. Se calhar como parte da pena obrigava-o a ler a biografia do Kevin Mitnick... include <ai se te avio> Mãe () { } Link to comment Share on other sites More sharing options...
apocsantos Posted March 18, 2017 at 11:31 AM Report Share #603249 Posted March 18, 2017 at 11:31 AM Bom dia, Bem, parece-me consensual que falta saber muito sobre o alegado ataque informático que alegadamente o garoto terá realizado! Não sou propriamente contra a contratação do garoto para trabalhar para o estado, uma vez que dependendo do grau de sofisticação do ataque levado a cabo, poderia ser mais vantajoso reformar o garoto e oferecer-lhe um emprego onde possa utilizar os seus talentos para algo positivo. Creio que seja de senso comum, que com 16 anos um adolescente é bastante influenciável, logo o "compasso moral", nunca será tão correcto como na idade adulta! Por outro lado, creio que a provar-se que o sucesso do ataque foi causado por incompetência ou até mesmo negligência, dos responsáveis pelo sistema, estes também deveriam enfrentar consequências. Afinal o contribuinte paga para que o trabalho seja bem feito! Se a administração do que é do contribuinte continuar a premiar a incompetência e a inacção, talvez haja um comportamento altamente desviante ou uma moral mensurável em euros, nos organismos do estado, algo que realmente muito errado. Cordiais cumprimentos, Apocsantos "A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito" Link to comment Share on other sites More sharing options...
brunuu Posted March 18, 2017 at 03:24 PM Report Share #603252 Posted March 18, 2017 at 03:24 PM Era para mostrar à PJ o quanto pouco seguro o site é. Admito que uma vez já tentei entrar na rede da minha escola, tive mais ou menos sucesso. xD Link to comment Share on other sites More sharing options...
M6 Posted March 18, 2017 at 03:46 PM Author Report Share #603255 Posted March 18, 2017 at 03:46 PM (edited) 4 hours ago, bubulindo said: Se calhar como parte da pena obrigava-o a ler a biografia do Kevin Mitnick... ARG!!! Isso deve ser pior que ver o Festival da Canção desde o inicio! 😄 PS: não acho o Mitnick um grande hacker na vertente técnica... Edited March 18, 2017 at 03:46 PM by M6 Site deu um treco e duplicou o conteúdo da minha mensagem 10 REM Generation 48K! 20 INPUT "URL:", A$ 30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50 40 PRINT "404 Not Found" 50 PRINT "./M6 @ Portugal a Programar." Link to comment Share on other sites More sharing options...
M6 Posted March 18, 2017 at 03:49 PM Author Report Share #603256 Posted March 18, 2017 at 03:49 PM 22 minutes ago, brunuu said: Era para mostrar à PJ o quanto pouco seguro o site é. Admito que uma vez já tentei entrar na rede da minha escola, tive mais ou menos sucesso. xD Se eu deixar a porta da minha casa aberta, tipo mesmo escancarada, isso não te dá o direito de entrares, nem sequer de "mostrar o quanto pouco seguro" é deixar a porta aberta. Se a PJ quiser saber o quão seguro o site é, sabe que existem empresas especialistas em segurança... 10 REM Generation 48K! 20 INPUT "URL:", A$ 30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50 40 PRINT "404 Not Found" 50 PRINT "./M6 @ Portugal a Programar." Link to comment Share on other sites More sharing options...
bubulindo Posted March 18, 2017 at 04:26 PM Report Share #603257 Posted March 18, 2017 at 04:26 PM 37 minutes ago, M6 said: ARG!!! Isso deve ser pior que ver o Festival da Canção desde o inicio! 😄 PS: não acho o Mitnick um grande hacker na vertente técnica... Acho que a maior parte do que ele fez (e faz) é mesmo engenharia social ou testar vulnerabilidades físicas do sistema e não necessariamente técnicas... no entanto a mensagem não deixa de ser semelhante. Ele teve de andar fugido (numa altura em que era bastante mais fácil de fazê-lo) e acabou por cumprir pena de cadeia pelo que fez e hoje em dia ganha milhões a fazer ou pelo menos organizar quem faça exactamente o mesmo. Ou seja, é possível de conjugar o gostinho de ver como as coisas são feitas com um emprego legítimo sem incorrer em pena de prisão. Mas para isso será precisa alguma direcção. include <ai se te avio> Mãe () { } Link to comment Share on other sites More sharing options...
apocsantos Posted March 19, 2017 at 12:24 AM Report Share #603258 Posted March 19, 2017 at 12:24 AM Boa noite, Fala-se tanto no Kevin Mitnick, mas a qual dos livros se referem ? TakeDown? The art of Deception? The art of intrusion? The fugitive Game? Eu tenho a colecção quase toda, dos livros e depois de tanto ler, fiquei mais que convencido de que o tipo era mesmo bom em engenharia social, mas não tão bom nos aspectos técnicos. Quanto a ter de cumprir pena pelos actos cometidos, sem duvida, quem quebra a lei, sujeita-se às consequências! No caso concreto, se o garoto fosse assim tão bom, teria certamente tido outros "cuidados", para evitar a identificação. Certamente não os teve! Terá de "pagar" pelo que fez, o que provavelmente se resumirá a uma avultada multa que serão os pais a pagar e serviço comunitário. Quanto aos sistemas serem inseguros, existem muitas formas de realizar testes de forma legitima, desde recorrer a empresas especializadas, até promover programas especialmente concebidos para o efeito e acessíveis mediante regras bem definidas. Cordiais cumprimentos, Apocsantos "A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito" Link to comment Share on other sites More sharing options...
bubulindo Posted March 19, 2017 at 10:54 AM Report Share #603261 Posted March 19, 2017 at 10:54 AM Como disse ele é bom em engenharia social e não só já que ele vai ao ponto de testar a segurança física dum sistema (se alguém tem acesso aos servidores fisicamente ou não) e não só a segurança lógica. Quanto aos aspectos técnicos, temos de reconhecer que ele sabia como funcionava a rede telefónica dos Estados Unidos e tirou partido disso. Hoje em dia grande parte desse conhecimento não vale de muito. Lá está... o meu comentário assumia que ele saberia algo mais do que a média e poderia ter sido apanhado devido a denúncia e não necessariamente descuido. Afinal de contas estamos a falar dum puto de 16 anos... quem aqui com essa idade não era um gabarolas?? O que eu queria transparecer é que em vez de estragar logo a vida do rapaz, seria melhor direccioná-lo para um caminho melhor de forma a que o mesmo não sofra desmesuradamente por uma estúpidez de adolescente. Quanto aos sistemas serem inseguros... estamos a falar do Estado... achas sinceramente que eles vão contratar a melhor empresa do mercado para testar a segurança dos sistemas informáticos? A policia há uns anos atrás não tinha papel higiénico em algumas esquadras... os nossos bombeiros (como tu melhor que eu sabes) tem de pagar para prestar um serviço... achas mesmo que alguma atenção é dada a isto ou que se for dada, não é usada como uma maneira de dar umas massas ao amigo do amigo do amigo? include <ai se te avio> Mãe () { } Link to comment Share on other sites More sharing options...
M6 Posted March 20, 2017 at 10:02 AM Author Report Share #603272 Posted March 20, 2017 at 10:02 AM (edited) Parece que a coisa é consensual: o Mitnik é particularmente bom na componente social. Em relação à segurança do estado, a resposta é sim, vão mesmo contratar (leia-se contratam mesmo) boas empresas na área. Mas não o fazem-no em todo o lado nem para todos os sistemas. É simples de perceber que se um site institucional é comprometido é chato e dá má imagem, mas chega a representar um perigo real. Tipicamente, os sistemas realmente críticos nem sequer estão acessíveis a partir de fora. Edited March 20, 2017 at 10:05 AM by M6 10 REM Generation 48K! 20 INPUT "URL:", A$ 30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50 40 PRINT "404 Not Found" 50 PRINT "./M6 @ Portugal a Programar." Link to comment Share on other sites More sharing options...
apocsantos Posted March 20, 2017 at 10:43 AM Report Share #603274 Posted March 20, 2017 at 10:43 AM Bom dia, @M6, olha que nem todos os sistemas críticos são verdadeiramente isolados. Segundo o que se pode ler e ouvir nas diversas conferências que vão ocorrendo, ainda existem demasiados sistemas a "falar" com o exterior e a segurança a ser "descorada". Um site institucional pode causar dano, para além da imagem, dependendo do tipo de ataque realizado, por exemplo a substituição de ficheiros que são disponibilizados ao publico para download, por ficheiros contendo um "payload" de malware, podem causar efectivo dano. Isto em teoria, obviamente! Por outro lado, maior parte dos sistemas criados no pressuposto do Simplex, acabam colocando acessível ao exterior demasiada informação que caso esses sistemas sejam comprometidos, pode causar sério dano. Desconheço se foi ou não bem ponderado e avaliado o risco nesses sistemas mas confesso que tenho algum receio. Por outro lado, e agora com conhecimento de causa, pois basta saber ler as mensagens de aviso, existem alguns sistemas com informação que poderá ser considerada critica, que por exemplo usas "self-signed certificates", certificados fora de validade, etc... Creio que o estado ainda tenha um longo caminho a percorrer no que diga respeito a sistemas de informação de uma forma geral. Talvez se "reduzirem a mordomias absurdas" e investirem no que realmente é importante, a coisa mude um pouco! Cordiais cumprimentos, Apocsantos "A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito" Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now