Az orvostudománytól a Cachaça gyártásig: Tudja meg, hogy a trükkök „becsapják” ellenségüket

Múlt kedden (31.01.), A TecMundo közzétett egy hírt Tereza Gayoso ügyéről, akinek az INEP portálon lévő fiókját az érzékeny jelszó-helyreállítási rendszer miatt eltérítették. Azt állítja, hogy beiratkozott orvostudományba a SISU-ban, de úgy találta, hogy a betolakodók a Cachaça Production kurzusra vettek részt egy Minas Gerais belsejében lévő intézményben. Ez a és más fogyatékossággal élő hallgatók esete már a Szövetségi Rendőrség kezébe tartozik, de úgy döntöttünk, hogy elmagyarázza nektek, hogy mi történt volna.

Ezt megelőzően azonban el kell magyarázni, hogy nem tudjuk megerősíteni, hogy ki volt a hibás az ügyben. A Facebookon olyan vádak állnak ellen, mint a "Panelinha do Bananal" és az "Ilha da Macacada", de a TecMundo felvette a kapcsolatot mindkettővel, akik tagadták a benne való részvételt. Bizonyítékok csak a vádolt harmadik felekkel szemben állnak fenn: névtelen felhasználókból álló „55chan” fórum.

A fórum felhasználói felfedezték az INEP portál kudarcát, és beleegyeztek abba, hogy az Enem hallgatói kurzus opcióinak megváltoztatására egy nappal a rendszer módosítási határideje előtt felhasználják. Vagyis a trollok úgy döntöttek, hogy sértik a hallgatókat abban az időben, amikor már nem tudják megváltoztatni a helyzetet, mivel a SISU nem engedte meg a tanfolyam lehetőségeinek további megváltoztatását 27.01.01 után.

Könnyen megelőzhető hiba

Érdekes megjegyezni, hogy noha a hackerek valójában bűncselekményt követtek el és feltörték a hallgatói fiókokat az INEP portálon, az intézet weboldala alig bonyolítja a rosszindulatú emberek cselekedeteit. Az a személy, aki elvesztette portáljelszavát, helyreállíthatja azt, egyszerűen kitöltve egy űrlapot magukról szóló nyilvános adatokkal.

A műveletet valószínűleg a CADSUS tette lehetővé

A webhely csak a társadalombiztosítási számot, a születési időt, a teljes nevet, az anyának a nevét és a városát / államát kéri. Ezek a részletek könnyen beszerezhetők a közösségi hálózatok és a fogyasztói konzultációs rendszerek beolvasásával. Ha azonban az 55Chan felhasználó hibás, akkor ezt a cselekedetet valószínűleg a CADSUS tette lehetővé.

Az alábbi képernyőképeken egyértelmű hivatkozásokat láthat az SUS regisztrációs rendszerre, amely már régóta bélyegzett hacker-adatbázis. A TecMundo még beszámolt erről a helyzetről, de nyilvánvalóan az Egészségügyi Minisztérium még nem oldotta meg a problémát, és a platform jelszavait és bejelentkezési adatait szabadon értékesítik és megosztják az interneten.

Az INEP megakadályozhatta ezt a helyzetet egy egyszerű biztonsági intézkedéssel

A bűnözők gyakorlatilag megszerezhetik a brazil állampolgárok személyes adatait a CADSUS-on, és ott vannak az összes információ, amely az INEP webhelyéhez szükséges a jelszó visszaállításához.

Még egyszerűbb: az összes adatot a hallgató személyi igazolványára bélyegzik. Ha elveszíti a dokumentumot, akkor nagyon könnyen ilyen támadás áldozata lett.

Az INEP azonban meg tudta volna akadályozni ezt a helyzetet egy viszonylag egyszerű biztonsági művelettel: küldjön jelszóváltást megerősítő e-mailt a hallgatónak, ahelyett, hogy hagyjon neki egy új létrehozását, csak bizonyos adatok ellenőrzésével. Csak ezzel az eljárással a hackerek már nem tudtak hozzáférni a fiókokhoz anélkül, hogy feltörniük kellett volna a jelölt e-mailjébe is.

Amit az INEP mond

Tájékoztattuk az intézményt a kudarcról és beszámoltunk arról, hogy azt ki kell javítani.

A TecMundo múlt hétfőn (30) kapcsolatba lépett az INEP-vel (Országos Oktatási Tanulmányok és Kutatók Intézete), miután egy névtelen forrásból panaszt kapott az INEP portálon a biztonság hiánya miatt.

Tájékoztattuk az intézményt a kudarcról és beszámoltunk arról, hogy azt sürgősen orvosolni kell. Egy nappal később megjelent azoknak a hallgatóknak az esete, akiket ez károsított. Emiatt továbbadjuk Tereza Gayoso hallgató esetét, amelyet az Época magazin online verziója derített fel .

Az INEP csak tegnap (02/02) tett objektív visszatérést a nyilatkozathoz, kijelentve, hogy az intézményt irányító jelenlegi vezetés csak az előző vezetés által kiigazított folyamatokat követi.

„[…] Fontos kiemelni, hogy a jelenlegi vezetőség, amikor az INEP-t 2016 májusában vette át, már megkezdte az Enem 2016 regisztrációs folyamatának folyamatát, valamint a korábbi kiadásokban elfogadott eljárások és rutinok alapján közzétett vonatkozó bejelentést. . Ebben az értelemben a jelenlegi vezetés azt tette, hogy a vizsga alkalmazását a legnagyobb szakmai hozzáértéssel, biztonsággal és elkötelezettséggel kövesse nyomon, még az ország politikai helyzetére is figyelemmel ”- mondta az intézet sajtóirodája.

Megvizsgáltuk azonban a kérdéses hirdetményt az INEP saját weboldalán, és megtaláltuk a dokumentumnak a jelszó-visszaállításával foglalkozó szegmensét. Ebben felismerhető volt, hogy az INEP nem követi a saját szabályait az Enem 2016 megvalósításához.

„5.3.1 A jelszó helyreállítása a résztvevő weboldalán található, a http://Enem.inep.gov.br/participante címen, és e-mailben vagy mobiltelefonon elküldésre kerül SMS-ben, amelyet a RÉSZVÉTEL a regisztráláskor maga tudott meg. ”- olvasható a bejelentésben.

Ha valóban ez lett volna az oldalon alkalmazott eljárás, amely nem küld SMS-t vagy e-mailt a résztvevőnek az új jelszóval, akkor az eltérített fiókokkal rendelkező hallgatók esetei nem történtek volna meg.

Az INEP azt is kijelenti, hogy új biztonsági eljárásokon dolgozik a résztvevők védelme érdekében, ám ezek egyikét sem a következő napokban kívánja végrehajtani. "A jelenlegi vezetés úgy véli, hogy a [rendszer nem biztonságos], és azon dolgozik, hogy javítsa ezt az eljárást, többek között a következő vizsga alkalmazáshoz."

Nem kell hackernek lennie

A TecMundo virtuális biztonsági szakértőkkel is beszélt, hogy kiértékelhessék az esetet, és véleményüket tegyék az INEP portálon a jelszó-helyreállítási rendszerről. Szerintük nem kell hackernek lennie ahhoz, hogy bejusson egy Enem résztvevő fiókjába.

„Az egyre inkább összekapcsolt világban minden rosszindulatú személy könnyen megtalálja a felhasználó személyes adatait - például a társadalombiztosítási számot, a születésnapot és a szülő nevét - az online környezetben (például a szociális hálózatokban és a keresési webhelyekben), és onnan hozzáférjen a privát fiókhoz [az INEP portálon]. Ez a jelszócsere-rendszer nem igényel rosszindulatú ismereteket ”- mondta Emilio Simone a PSilfe biztonsági menedzserének.

... sürgősen meg kell erősíteni a portál biztonságát ...

Azt is állította, hogy a portál biztonságát sürgősen meg kell erősíteni, különösen mivel ez fontos kormányzati platform.

Megkérdeztük Simone-t, hogyan kell az intézménynek kezelni a kérdést, és megmutatta egy egyszerű megoldást, amely valójában nagyjából megegyezik az Enem 2016 nyilvános értesítésben megkövetelt alkalmazásával.

„Az ilyen rendszerek biztonságának javításának alternatívája egy ideiglenes jelszó elküldése a regisztrált e-mailre. Így a platformon való belépéshez a felhasználónak be kellene lépnie a személyes e-mailbe, hogy megváltoztassa a jelszavát, ami már biztonsági fejlesztésként is működik ”- mondta.

Oldal titkosítása

A biztonsági rés, a sikertelen jelszó-helyreállítási rendszeren kívül, az is, hogy az INEP portál az oldalán nem használ titkosítást az adatforgalom végrehajtására. A webhely a régi, nem biztonságos HTTP protokollon fut, nem a HTTPS-en, amely a felhasználói hitelesítést igénylő platformokon használt új szabvány.

HTTPS nélkül egy bűnöző behatolhat a WiFi hálózatába, és kevés erőfeszítéssel elfoghatja az összes adatot, amelyet küld és fogad az INEP webhelyen. Ha nyilvános hálózatból érkezik, például bármilyen üzletből vagy akár egy házból, akkor a lehallgatás még könnyebb, mivel a hackereknek nem kell megtenniük a gondot, hogy behatoljanak a helyi hálózatba. könnyen elérhetőek legyenek. "Nagyon kockázatos az érzékeny információk küldése a titkosítatlan protokollokon keresztül" - mondta Simone.

Meg tudsz csinálni valamit?

Ha a bűnöző hozzáférhet a CADSUS-hoz vagy bármely más platformhoz, amely brazil állampolgárok személyes adatait tartalmazza, akkor az Ellenséget nyújtó hallgató gyakorlatilag védtelen. Ha a bűnöző ismeri a nevét, akkor a CADSUS-ban megkeresheti társadalombiztosítási számát, születési idejét, lakóhelyét és szüleinek nevét. Ez lehetővé teszi számára, hogy megváltoztassa a jelszavát, és bármilyen műveletet elvégezzen az INEP portálon.

Ha a bűnöző hozzáfér a CADSUS-hoz, akkor az Ellenséget nyújtó hallgató gyakorlatilag védtelen.

Mivel a SISU-ba történő regisztráció már lezárult, jelenleg nincs sok tennivaló, de a biztonsági szabályok megsértése még nyitott. Ha azonban egy hallgató második felhívásra kíván feliratkozni, akkor egyszerűen elmulasztja a lehetőséget, mivel a hackerek megváltoztathatják regisztrált e-mailjét, és megakadályozhatják a személyt, hogy riasztásokat kapjon az INEP-től.

Természetesen fennáll annak a lehetősége, hogy a fiókhoz való hozzáférést könnyedén folytathatjuk, ahogy a hackerek is eltérítették, de figyelmeztetnie kell és gyakran be kell jelentkeznie, hogy megnézze, hogy minden rendben van-e.

Figyelembe véve annak lehetőségét, hogy a bűnöző hozzáférjen a CADSUS-hoz, van néhány óvintézkedés, amelyet megtehet az áldozatká válásának elkerülése érdekében. Az Avast munkatársai „négy tanácsot” adtak nekünk, hogy továbbadjuk a hallgatóknak. Nézd meg:

1. Óvakodj a közösségi hálózatoktól : A túl sok megosztás veszélyes. Ellenőrizze a szociális média-fiókok adatvédelmi beállítását, és mindig próbálja megvédeni őket;
   
   

1. Az útválasztó szkennelése : Nem elegendő a PC-n rosszindulatú programok és vírusok keresése, mivel a hacker támadhatja meg az útválasztót, eltérítheti a DNS-t, és hamis webhelyekre vihet. Tegye ezt víruskereső segítségével;
   
   

1. Használja a VPN-t nyilvános interneten : Titkosítania kell adatait, amikor egy házban tartózkodik, vagy nyilvános helyeken ingyenes internetet használ, ellenkező esetben, ha a hálózatot feltörik, a hacker minden adathoz hozzáférhet. Ilyen esetekben mindig használjon virtuális magánhálózatot (VPN).
   
   

1. Óvakodj a szociális mérnöki támadásoktól : Ha gyanúsnak tűnik valaki e-mailen keresztül, amelyben személyes adatait kéri, pénzt ígér, vagy azzal fenyeget, hogy beperel, vagy neve, például Serasa. A személyes adatokat soha nem szabad megosztani online.
   
   

A biztonsági társaság azt is javasolja, hogy hozzon létre erős jelszavakat mindenféle webes platformfiókhoz; de az INEP portál esetében ez nem számít, mivel sajnos a jelszó könnyen visszaállítható.

Via TecMundo.