Hacker ensina no YouTube como invadir sistema da CGU

Originally published at: https://tecnoblog.net/383650/hacker-ensina-no-youtube-como-invadir-sistema-da-cgu/

CGU é responsável pela defesa do patrimônio público e combate à corrupção; navegador acusa que site da VPN é “não seguro”

O sistema da CGU deve ter sido montado e deve mantido pelos mestres da Abin.

2 curtidas

Na verdade, a informação sobre não estar utilizando SSL é errônea. A funcionalidade explorada é SSLVPN Portal. O “Não Seguro” exibido, é porque a CGU está utilizando o certificado default da Fortinet, que já vem no FortiOS, e que não corresponde ao FQDN utilizado para o acesso do portal.

Essa vulnerabilidade explorada, foi reportada em 24 de Maio de 2019, no FortiGuard Labs, com CVE-ID CVE-2018-13379 e afeta versões mais antigas do FortiOS.

5 curtidas

Só no Brasil

Sites do governo brasileiro sem segurança, finja surpresa.

1 curtida

Outro ponto é que certificado gerado internamente não necessariamente é inseguro. É menos seguro que um assinado por uma das grandes empresas (CertiSign, Comodo, Let’s Encrypt), mas não deixa de ser seguro.

Algum especialista em segurança digital me tira uma dúvida:

Como é de maneira geral a segurança de sites, portais e sistemas de prefeituras no país? Fico imaginando se algum cracker investir algumas horinhas nisso deve conseguir tomar de assalto todo banco de dados de um grande número de prefeituras.

Será que o que rolou com o STJ não tem nenhuma relação com esse tipo de problema nas VPN?

Ao menos os sites da Prefeitura de Fortaleza me parecem decentes em relação à criptografia, eu não me lembro de nenhuma página que não tivesse certificado ou que ele fosse inválido, como é extremamente comum com os sites do governo federal.

Agora não sei se os sistemas e bancos de dados em si são devidamente protegidos, mas nunca soube de qualquer invasão. Só pra ter uma ideia, eis o certificado da página da Secretaria de Finanças, onde emito os boletos de IPTU:

2 curtidas

Vi o vídeo e so mostra ele explorando a VPN, esse papo de que ele fez RDP acho que não aconteceu, em nenhum momento mostra isso no vídeo.

Depois de explorar a VPN o resto é questão de persistência, maioria dos sistemas é fraco internamente, e o bloqueio de acessos externos que protege ele.

Este tópico foi automaticamente fechado após 92 dias. Novas respostas não são mais permitidas.