Ministério diz que vai retirar site do ar para fazer varredura contra

[Mário Monteiro 179]

Ministério diz que vai retirar site do ar para fazer varredura contra hackers

Procedimento é padrão para se fazer rastreamento, segundo assessoria.

De acordo com Ministério do Esporte, laudo deve ser divulgado nesta sexta.

 

Do G1, em Brasília

 

A assessoria de imprensa do Ministério do Esporte informou que, devido a um suposto vazamento de dados feito por hackers, o site do ministério será retirado do ar na tarde desta quinta (23) para que seja feita uma varredura.

 

Segundo a assessoria, o procedimento é padrão para o trabalho de rastreamento. De acordo com a assessoria, um laudo técnico deve ser divulgado nesta sexta-feira (24).

 

O grupo de hackers LulzSec Brazil publicou nesta quinta em seu perfil em uma rede social um link para arquivos com supostos dados da presidente Dilma Rousseff e do prefeito de São Paulo, Gilberto Kassab. Também foram publicados outros dois arquivos relacionados a supostos e-mails de funcionários da Petrobras e do Ministério do Esporte.

 

De acordo com a Presidência da República, a responsabilidade pelos dados é do Serviço Federal de Processamento de Dados (Serpro).

 

Nesta quinta, informações que seriam dados pessoais de diretores do Serpro foram divulgadas em uma rede social. A assessoria do Serpro não confirmou se os dados são verdadeiros, mas informou que não houve invasão à base de dados da empresa e que nenhum dado sigiloso foi obtido por hackers.

 

A Agência Brasileira de Inteligência (Abin) informou que não irá se manifestar sobre o assunto. A Polícia Federal afirmou que reúne informações para monitorar as ações dos hackers.

 

Em seu perfil em uma rede social, Kassab postou três mensagens nas quais lamentou a ação. "Lamentável a ação de hackers que invadem a privacidade e causam problemas às pessoas", escreveu pouco depois das 11h. A assessoria da prefeitura confirmou a veracidade de alguns dos dados divulgados.

 

A Petrobras informou que não houve invasão da rede interna da companhia. O site na internet da Petrobras, que está hospedado em um ambiente externo fora da rede, recebeu nesta quarta (22) um volume elevado de acessos simultâneos. O congestionamento momentâneo do servidor não causou nenhuma alteração de conteúdo ou dano de informações. As informações divulgadas nesta quinta (23) pela internet não são da rede interna da Petrobras.

 

Os arquivos divulgados nesta quinta (23) por supostos hackers mostram supostas informações de Dilma e Kassab como números do CPF e PIS, data de nascimento, telefones, escolaridade e e-mails (apenas de Kassab). No caso de Dilma, a Petrobras aparece como empresa a que ela está relacionada, inclusive com um número de CNPJ.

 

Algumas das informações divulgadas sobre os políticos são públicas e constam em prestações de contas de campanhas eleitorais.

 

Os hackers também divulgaram outros dois arquivos na internet: um mostra lista de supostos acessos para sistema da Petrobras. E, no outro, lista de supostos acessos para sistema do Ministério do Esporte.

 

Publicação dos dados

Uma conta criada na internet na quarta-feira (22) por um apoiador da ideologia “AntiSec” (Antissegurança) publicou os dados da presidente e de Kassab. As mensagens eram direcionadas ao LulzSecBrazil, que divulgou as informações posteriormente em seu perfil no microblog.

 

Segundo o especialista em segurança Altieres Rohr, o hacker não deve ser integrante do grupo e, sim, apenas um simpatizante. “Se ele fosse um membro do LulzSecBrazil, teria passado as informações de forma privada”, afirmou.

 

Na conta do Twitter, o hacker divulgou ainda arquivos com supostos dados do diretor-superintendente do Serpro, Gilberto Paganotto, e do prefeito do Rio de Janeiro, Eduardo Paes. Na manhã desta quinta, ele publicou na internet que pretende disponibilizar mais dados do governo e prometeu divulgar as senhas dos e-mails.

 

Governo nega violação

O Serviço Federal de Processamento de Dados (Serpro), órgão vinculado ao Ministério da Fazenda responsável pelos sites do governo federal, voltou a informar nesta quinta-feira (23) que nenhum dado foi violado dentro do conteúdo que administra.

 

Conforme a assessoria do órgão, alguns ministérios administram suas próprias bases de dados. Sobre esses dados, o Serpro disse que não tem condições de informar se foram violados.

 

Ataques na quarta

O ataque hacker às páginas da Presidência da República, Portal Brasil e da Receita na madrugada de quarta foi o maior já sofrido pela rede de computadores do governo brasileiro. De acordo com o Serpro, o ataque – que não causou danos às informações disponíveis nas páginas – partiu de servidores localizados na Itália.

 

Para derrubar os sites, os hackers utilizaram sistemas que faziam múltiplas tentativas de acesso ao mesmo tempo, técnica batizada de “negação de serviço” e conhecida pelas iniciais em inglês DDoS (Distributed Denial of Service). O objetivo dessa ação é tornar o serviço indisponível.

 

A ação foi reivindicada pelo grupo LulzSecBrazil, que teria ligações com o LulzSec, responsável por ataques recentes a empresas de videogame como Sony e Nintendo, às redes de televisão americanas Fox e PBS e a órgãos governamentais americanos como a CIA (agência de inteligência americana) e o FBI (polícia federal), além do serviço público de saúde britânico, o NHS.

 

Fonte: G1

[Bruno Augusto 417]

Também pudera.

 

Uma pessoa com conhecimentos em programação, só de acessar algum site do governo, sente o cheiro de gambiarra. Quando eu preciso usar no serviço (uma vez por semana, no mínimo) chega a me dar até coceira.

 

Um exemplo do que estou falando, mesmo que sem relação com o artigo:

 

- Preenche-se o CNPJ da empresa a ser consultada. O botão TEM de ser clicado com o mouse. Um TAB seguido de um ENTER não funciona (começou mal)

 

- Passada a primeira etapa, os dados da empresa são listados, dentre eles a cidade da empresa, mostrada num menu dropdown desabilitado.

 

Pra quê, se um campo de texto resolve? O motivo é que juntamente com a cidade da empresa, TODAS as cidades do país são retornadas junto para popular esse menu. Mas se vai listar tudo, supões que uma alteração na escolha pudesse ser feita não? Então pra que desabilitar?

 

Isso é o menor dos casos que já presenciei. Você percebe que o sistema foi mal feito e quem tem aspirações hackers vai querer quase por instinto tentar invadir, afinal é um site do governo, vários podres segredos podem ser descobertos.

[Andrey Knupp Vital 136]

Passada a primeira etapa, os dados da empresa são listados, dentre eles a cidade da empresa, mostrada num menu dropdown desabilitado.

Isso é fácil desabilitar, só ir em um firebug da vida ou no 'Inspencionar Elemento' do chrome, vai no console, faz um getElement e coloca o attributo desabilitado como false pronto, ele fica desabilitado pra você mais não a publico

 

[Bruno Augusto 417]

Não você não entendeu a crítica ao site governamental.

 

Como trabalho num Cartório, existe a chamada Taxa de Fiscalização, que é o que o Oficial paga ao Governo. O boleto gerado para tal pagamento, computado dentro da Serventia, se dá através de um site X.

 

Porém as informações de cadastro, e consequentemente de atualização, da Serventia é feita através do site Y.

 

O ponto é que um menu dropdown deveria ser usado para abrigar uma lista de valores passíveis de atualização através dele mesmo, naquela página.

 

Se é para mostrar uma única informação, o uso dessa marcação é indevido. Porém, além de ser indevido, ainda carrega informações desnecessárias, atrasando a requisição feita.

 

Esse atraso na entrega, eu percebo pois sofrivelmente ainda uso Internet Discada, mas é um gargalo desnecessário.

 

Esse é apenas um dos pontos. Outro incluem boletos (no mesmo site) que de repente resolvem não ser gerados no Firefox, daí sou obrigado a abrir o IEca e carregar tudo de novo.

 

Ou ainda, nesse site Y citado, a autenticação é feita via GET, indo de pagina.do para pagina2.do (algo assim)

 

Quer mais? Quando uma requisição que deveria ser POST é feita via GET, propositalmente ou por acidente, ao invés de o error ser tratado por um handler próprio, é direcionado diretamente para o que eu acredito ser o ErrorDocument do Tomcat.

 

É uma pouca vergonha :angry: