De la medicină la producția din Cachaça: înțelegeți cum dușmănosul „înnebunit”

Marti trecuta (31/01), TecMundo a publicat o stire despre cazul Tereza Gayoso, care avea contul său pe portalul INEP deturnat din cauza sistemului fragil de recuperare a parolelor. Ea susține că s-a înscris pentru medicină la SISU, dar a descoperit că invadatorii au pus-o să concureze la cursul Cachaça Production la o instituție din interiorul Minas Gerais. Acesta și alte cazuri de studenți cu dizabilități sunt deja în mâinile Poliției Federale, dar am decis să vă explicăm cum s-ar fi întâmplat acest lucru.

Înainte de aceasta, însă, trebuie explicat că nu putem confirma cine a fost de vină pentru caz. Există acuzații împotriva unor grupuri pe Facebook, precum „Panelinha do Bananal” și „Ilha da Macacada”, însă TecMundo i-a contactat pe ambii, care au negat orice participare la aceasta. Dovada există chiar și împotriva unui terț acuzat: un forum numit „55chan”, format din utilizatori anonimi.

Utilizatorii acestui forum ar fi descoperit eșecul portalului INEP și ar fi fost de acord să-l exploateze pentru a schimba opțiunile cursului studenților Enem cu o zi înainte de data limită pentru modificările sistemului. Adică trolii au decis să rănească elevii într-un moment în care nu mai puteau inversa situația, întrucât SISU nu a permis modificări ulterioare ale opțiunilor de curs după 27/01.

Un eșec ușor de prevenit

Este interesant de remarcat faptul că, deși hackerii au comis de fapt o infracțiune și conturi de studenți piratate pe portalul INEP, site-ul institutului cu greu face lucrurile rău intenționate să acționeze. O persoană care și-a pierdut parola portalului poate să o recupereze pur și simplu completând un formular cu date publice despre ea însăși.

Acțiunea a fost posibilă cel mai probabil de CADSUS

Site-ul solicită doar numărul de securitate socială, data nașterii, numele complet, numele mamei și orașul / statul în care locuiți. Aceste detalii pot fi obținute cu ușurință prin scanarea rețelelor sociale, precum și a sistemelor de consultare a consumatorilor. Cu toate acestea, dacă utilizatorii 55Chan sunt de vină, acțiunea a fost făcută cel mai probabil de CADSUS.

În imaginile de mai jos, puteți vedea citări clare la sistemul de înregistrare SUS, care a fost o bază de date de hackeri ștampilată de mult timp. TecMundo a raportat chiar această situație, dar, se pare, Ministerul Sănătății nu a rezolvat încă problema, iar parolele și log-urile platformei sunt vândute și partajate în mod liber pe internet.

De la medicină la producția din Cachaça: înțelegeți cum dușmănosul „înnebunit”

INEP ar fi putut preveni această situație printr-o simplă acțiune de securitate

Infractorii pot achiziționa practic toate datele personale ale unui cetățean brazilian pe CADSUS, iar toate informațiile pe care site-ul INEP le solicită pentru a recupera o parolă există.

Și mai simplu, toate datele sunt ștampilate pe cartea de identitate a studentului. Dacă ar fi pierdut documentul, ar fi putut fi foarte ușor victima unui astfel de atac.

Totuși, INEP ar fi putut preveni această situație printr-o acțiune de securitate relativ simplă: trimiteți un e-mail de confirmare a modificării parolei studentului, în loc să-l lase să creeze unul nou doar verificând unele date. Cu doar această procedură, hackerii nu mai puteau accesa conturi fără să fie nevoiți să se pirateze și în e-mailul candidatului.

Ce spune INEP

Am recomandat instituția cu privire la eșec și am raportat că trebuie să fie remediată.

TecMundo a luat legătura cu INEP (Institutul Național de Studii și Cercetări Educaționale) luni (30), după ce a primit o plângere de la o sursă anonimă despre lipsa de securitate pe portalul INEP.

Am sfătuit instituția cu privire la eșec și am raportat că trebuie rezolvată de urgență. O zi mai târziu, au început să apară cazurile studenților răniți de acest lucru. Din această cauză, transmitem cazul studentei Tereza Gayoso, care a fost dezvăluit de versiunea online a revistei Época .

INEP a dat doar o revenire obiectivă la declarația noastră de ieri (02/02), precizând că managementul curent care controlează instituția urma doar procesele ajustate de conducerea anterioară.

„[…] Este important să subliniem faptul că conducerea actuală, la preluarea INEP în mai 2016, a găsit deja procesul de înregistrare Enem 2016 în derulare, precum și anunțul respectiv publicat pe baza procedurilor și rutinelor adoptate în edițiile anterioare. . În acest sens, ceea ce a făcut actuala conducere este de a urmări aplicarea examenului cu maxim profesionalism, securitate și dăruire, chiar și în contextul situației politice a țării ”, a declarat biroul de presă al institutului.

Cu toate acestea, am consultat anunțul în cauză pe site-ul propriu al INEP și am găsit segmentul documentului care se ocupă de recuperarea parolelor. În ea, a fost posibil să realizăm că INEP nu și-a respectat propriile reguli pentru realizarea Enem 2016.

„5.3.1 Recuperarea parolei se face pe site-ul web al participantului la http://Enem.inep.gov.br/participante și este trimisă prin e-mail sau mobil, prin SMS, informat de către PARTICIPANT însuși la momentul înregistrării. ”, Se arată în anunț.

Dacă aceasta ar fi fost într-adevăr procedura adoptată pe pagină, care nu trimite SMS sau e-mail către participant cu noua parolă, cazurile studenților cu conturi deturnate nu s-ar fi întâmplat.

INEP spune, de asemenea, că lucrează la noi proceduri de securitate pentru a proteja participanții, dar nu intenționează să implementeze niciuna dintre acestea în zilele următoare. "Managementul curent consideră că [sistemul este nesigur] și lucrează la îmbunătățirea acestei proceduri, printre altele, pentru următoarea cerere de examen."

Nu trebuie să fii hacker

De asemenea, TecMundo a vorbit cu experți în securitate virtuală, astfel încât aceștia să poată evalua cazul și să își dea avizul cu privire la sistemul de recuperare a parolelor de pe portalul INEP. Potrivit acestora, nu trebuie să fiți un hacker pentru a intra în contul unui participant Enem.

„Într-o lume din ce în ce mai conectată, orice persoană dăunătoare poate găsi cu ușurință informațiile personale ale unui utilizator - cum ar fi numărul de securitate socială, ziua de naștere și numele părintelui - în mediul online (rețelele sociale și site-urile de căutare, de exemplu) și, de acolo, accesați contul privat [pe portalul INEP]. Acest sistem de schimb de parole nu necesită nicio expertiză rău intenționată ”, a spus managerul de securitate PSilfe, Emilio Simone.

... este necesară consolidarea urgentă a securității acestui portal ...

El a mai susținut că securitatea acestui portal trebuie consolidată de urgență, mai ales că este o platformă guvernamentală importantă.

Am întrebat-o pe Simone cum ar trebui să abordeze această instituție, iar el a arătat o soluție simplă care, de fapt, este cam aceeași, în condițiile în care anunțul public Enem 2016 a solicitat să fie aplicată.

„O alternativă la îmbunătățirea securității acestor sisteme ar fi trimiterea unei parole temporare la e-mailul înregistrat. Astfel, pentru a accesa platforma, utilizatorul ar trebui să se conecteze la e-mailul personal pentru a schimba parola, care ar acționa deja ca o îmbunătățire a securității ”, a spus el.

Criptarea paginii

O altă încălcare de securitate, în afară de acest sistem eșuat de recuperare a parolei, este faptul că portalul INEP nu folosește criptarea pe pagina sa pentru a efectua trafic de date. Site-ul rulează pe vechiul protocol HTTP nesigur, nu HTTPS, care este noul standard utilizat pe platformele care necesită autentificarea utilizatorului.

Fără HTTPS, un criminal ar putea să intre în rețeaua dvs. WiFi și să intercepteze toate datele pe care le trimiteți și primiți pe site-ul INEP cu puțin efort. Dacă accesați dintr-o rețea publică, cum ar fi de la orice magazin sau chiar o casă de lan, interceptarea este chiar mai ușoară, deoarece hackerul nu trebuie să aibă probleme să intre în rețeaua locală. să fie ușor accesat. „Trimiterea informațiilor sensibile prin protocoale necriptate reprezintă un risc mare”, a spus Simone.

Poți face ceva?

Dacă criminalul are acces la CADSUS sau la orice altă platformă cu date personale ale cetățenilor brazilieni, studentul care a furnizat Enemul este practic fără apărare. Dacă criminalul îți cunoaște numele, el sau ea poate căuta numărul tău de securitate socială, data nașterii, locul de reședință și numele părinților din CADSUS. Acest lucru îi permite să își schimbe parola și să efectueze orice acțiune pe portalul INEP.

Dacă criminalul are acces la CADSUS, studentul care a furnizat Enemul este practic fără apărare.

Deoarece înregistrarea SISU a fost deja închisă, nu există multe lucruri de făcut în acest moment, dar încălcarea de securitate este încă deschisă. Cu toate acestea, dacă un student dorește să se înscrie la a doua convorbiri, poate pur și simplu să rateze oportunitatea, deoarece un hacker își poate schimba e-mailul înregistrat și poate împiedica persoana să primească alerte de la INEP.

Desigur, există posibilitatea de a relua cu ușurință accesul la cont, la fel cum hackerii l-au deturnat, dar trebuie să fiți atenți și să vă conectați des pentru a vă asigura că totul este corect.

Nerespectând posibilitatea ca infractorul să aibă acces la CADSUS, există unele măsuri de precauție pe care le putem lua pentru a evita devenirea victimei. Personalul Avast ne-a oferit „patru sfaturi” pentru a le transmite studenților. Verificați:

Ferește-te de rețelele sociale : prea multă partajare este periculoasă. Verificați setarea de confidențialitate în conturile de social media și încercați întotdeauna să le păstrați protejate;

Scanează-ți routerul : nu este suficient doar să-ți scanezi calculatorul pentru malware și viruși, deoarece un hacker îți poate ataca routerul, deturnă DNS-ul și te poate duce la site-uri false. Faceți acest lucru cu ajutorul unui antivirus;

Utilizați VPN pe internet public : Trebuie să criptați datele dvs. când vă aflați într-o casă de lan sau când utilizați internet gratuit în locuri publice, altfel dacă rețeaua este hackată, toate datele dvs. pot fi accesate de hacker. Utilizați întotdeauna o rețea virtuală virtuală (VPN) în astfel de cazuri.

Ferește-te de atacurile de inginerie socială : Dacă cineva te-a trimis prin e-mail, cerându-ți datele cu caracter personal și promițând bani sau amenințându-te să te dea în judecată sau să-ți ducă numele, de exemplu, Serasa, să fie suspect. Datele personale nu trebuie niciodată distribuite online.

De asemenea, compania de securitate recomandă crearea de parole puternice pentru toate tipurile de conturi de platformă web; dar în cazul portalului INEP, nu contează mult, deoarece din păcate parola poate fi resetată cu ușurință.

Via TecMundo.

De la medicină la producția din Cachaça: înțelegeți cum dușmănosul „înnebunit”

Un eșec ușor de prevenit

Ce spune INEP

Nu trebuie să fii hacker

Criptarea paginii

Poți face ceva?

Scrieri din Biblie scrise de impostori, spune savantul

Oamenii de știință generează imagini din sunetul delfinilor

13 opere de artă realizate cu ciocolată pentru a încânta ochii (și stomacul)

Noul virus periculos infectează porcii din întreaga lume

Laguna din craterul vulcanului Kilauea continuă să crească

Urmăriți noul trailer pentru „The Hobbit: The Desolation of Smaug”Hot

15 produse atât de absurde încât nici măcar nu ar trebui să fie scoase la vânzareHot

Știința explică: de ce este congelat atât de irezistibil pentru copii?Hot

NASA întâlnește misterul geologic pe MarteHot

Faceți cunoștință cu cele 10 aspecte științifice din 2018

23 de erori de proiectare care vă vor face să puneți la îndoială evoluția umanității

Ajutor: Cum puteți primi ajutor în situații de urgență în sălbăticie?

Hubble descoperă luna nouă care orbitează pe Neptun

Ce zici de transformarea câinelui tău într-un Beyblade?

Broasca mutantă transparentă intrigă oamenii de știință, dar este adevărat?

Paul & Joe - Primăvara / Vara 2013 - Paris