Hacker ensina no YouTube como invadir sistema da CGU

felipe · Novembro 12, 2020, 4:36pm

Originally published at: Hacker ensina no YouTube como invadir sistema da CGU – Antivírus e Segurança – Tecnoblog

CGU é responsável pela defesa do patrimônio público e combate à corrupção; navegador acusa que site da VPN é “não seguro”

bkdwt · Novembro 12, 2020, 4:57pm

O sistema da CGU deve ter sido montado e deve mantido pelos mestres da Abin.

ecszin · Novembro 12, 2020, 5:03pm

Na verdade, a informação sobre não estar utilizando SSL é errônea. A funcionalidade explorada é SSLVPN Portal. O “Não Seguro” exibido, é porque a CGU está utilizando o certificado default da Fortinet, que já vem no FortiOS, e que não corresponde ao FQDN utilizado para o acesso do portal.

Essa vulnerabilidade explorada, foi reportada em 24 de Maio de 2019, no FortiGuard Labs, com CVE-ID CVE-2018-13379 e afeta versões mais antigas do FortiOS.

Matheus_Motta · Novembro 12, 2020, 5:04pm

Só no Brasil

ksio89 · Novembro 12, 2020, 5:40pm

Sites do governo brasileiro sem segurança, finja surpresa.

chgsantos · Novembro 12, 2020, 6:19pm

Outro ponto é que certificado gerado internamente não necessariamente é inseguro. É menos seguro que um assinado por uma das grandes empresas (CertiSign, Comodo, Let’s Encrypt), mas não deixa de ser seguro.

technerd · Novembro 12, 2020, 6:47pm

Algum especialista em segurança digital me tira uma dúvida:

Como é de maneira geral a segurança de sites, portais e sistemas de prefeituras no país? Fico imaginando se algum cracker investir algumas horinhas nisso deve conseguir tomar de assalto todo banco de dados de um grande número de prefeituras.

Felipe_Silva · Novembro 12, 2020, 7:15pm

Será que o que rolou com o STJ não tem nenhuma relação com esse tipo de problema nas VPN?

ksio89 · Novembro 12, 2020, 7:15pm

Ao menos os sites da Prefeitura de Fortaleza me parecem decentes em relação à criptografia, eu não me lembro de nenhuma página que não tivesse certificado ou que ele fosse inválido, como é extremamente comum com os sites do governo federal.

Agora não sei se os sistemas e bancos de dados em si são devidamente protegidos, mas nunca soube de qualquer invasão. Só pra ter uma ideia, eis o certificado da página da Secretaria de Finanças, onde emito os boletos de IPTU:

Teslevel_Level · Novembro 13, 2020, 4:13pm

Vi o vídeo e so mostra ele explorando a VPN, esse papo de que ele fez RDP acho que não aconteceu, em nenhum momento mostra isso no vídeo.

Felipe_Silva · Novembro 13, 2020, 7:05pm

Depois de explorar a VPN o resto é questão de persistência, maioria dos sistemas é fraco internamente, e o bloqueio de acessos externos que protege ele.

system · Fevereiro 12, 2021, 4:36pm

Este tópico foi automaticamente fechado após 92 dias. Novas respostas não são mais permitidas.