Lääketieteestä Cachaçan tuotantoon: Ymmärrä kuinka huijarit "huijaavat" vihollisen

Viime tiistaina (31.01.) TecMundo julkaisi uutisen Tereza Gayoso -tapauksesta, jonka tili INEP-portaalissa kaapattiin hauran salasanojen palautusjärjestelmän takia. Hän väittää ilmoittautuneensa lääketieteelliseen tutkimukseen SISU: ssa, mutta havaitsi, että hyökkääjät tekivät hänet kilpailemaan Cachaçan tuotantokurssilla Minas Geraisin sisätiloissa sijaitsevassa laitoksessa. Tämä ja muut vammaisten opiskelijoiden tapaukset ovat jo liittovaltion poliisin käsissä, mutta päätimme selittää sinulle, kuinka tämä olisi tapahtunut.

Ennen sitä on kuitenkin selitettävä, ettemme voi vahvistaa kuka oli syyllinen tapaukseen. Facebook-ryhmässä on esitetty syytöksiä, kuten "Panelinha do Bananal" ja "Ilha da Macacada", mutta TecMundo otti yhteyttä molempiin, jotka kielsivät osallistumisen siihen. Todisteita on jopa vain syytettyjä kolmansia osapuolia vastaan: nimettömistä käyttäjistä koostuva ”55chan” -foorumi.

Tämän foorumin käyttäjät olisivat löytäneet INEP-portaalin vian ja sitoutuneet hyödyntämään sitä Enem-opiskelijoiden kurssivaihtoehtojen muuttamiseen päivää ennen järjestelmän muutospäivää. Toisin sanoen urat päättivät vahingoittaa opiskelijoita silloin, kun he eivät enää pystyneet kääntämään tilannetta, koska SISU ei sallinut kurssivaihtoehtojen muutoksia edelleen 27/01 jälkeen.

Helppo välttää vika

On mielenkiintoista huomata, että vaikka hakkerit todella tekivät rikoksen ja hakkeroivat opiskelijatilejä INEP-portaalissa, instituutin verkkosivusto tuskin vaikeuttaa pahantahtoisten ihmisten toimintaa. Portaalin salasanan menettänyt henkilö voi palauttaa sen vain täyttämällä lomakkeen julkisista tiedoista itsestään.

Toimenpiteen teki todennäköisimmin CADSUS

Sivusto kysyy vain sosiaaliturvatunnusta, syntymäaikaa, koko nimeä, äidin nimeä ja kaupunkia / osavaltiota, jossa asut. Nämä yksityiskohdat on helppo saada skannaamalla sosiaalisia verkostoja ja kuluttajien kuulemisjärjestelmiä. Kuitenkin, jos 55Chan-käyttäjät ovat syyllisiä, toiminta oli todennäköisesti mahdollista CADSUS: n avulla.

Alla olevissa ruutukuvissa voit nähdä selkeät viittaukset SUS-rekisteröintijärjestelmään, joka on ollut pitkään leimattu hakkeritietokanta. TecMundo on jopa ilmoittanut tästä tilanteesta, mutta ilmeisesti terveysministeriö ei ole vielä ratkaissut ongelmaa, ja alustan salasanat ja kirjautumistunnukset myydään ja jaellaan vapaasti Internetissä.

Lääketieteestä Cachaçan tuotantoon: Ymmärrä kuinka huijarit "huijaavat" vihollisen

INEP olisi voinut estää tilanteen yksinkertaisella turvatoimella

Rikolliset voivat hankkia käytännöllisesti katsoen kaikki Brasilian kansalaisen henkilötiedot CADSUS-järjestelmässä, ja kaikki tiedot, joita INEP-verkkosivusto vaatii salasanan palauttamiseksi, on olemassa.

Vielä yksinkertaisempi, kaikki tiedot on leimattu opiskelijan henkilökorttiin. Jos hän menetti asiakirjan, hän olisi voinut helposti joutua tällaisen hyökkäyksen uhriksi.

INEP olisi kuitenkin voinut estää tämän tilanteen suhteellisen yksinkertaisella turvatoiminnolla: lähetä opiskelijalle salasanan vaihdon vahvistusviesti sen sijaan, että antaisit hänen luoda uuden vain tarkistamalla joitain tietoja. Vain tällä menettelyllä hakkerit eivät enää päässeet tilille tarvitsematta tunkeutua hakijan sähköpostiin.

Mitä INEP sanoo

Neuvotimme laitokselle vikaantumisesta ja ilmoitimme, että se on korjattava.

TecMundo otti viime maanantaina (30) yhteyttä INEP: hen (kansallinen kasvatustieteiden ja tutkimuksen instituutti) saatuaan nimettömän lähteen valituksen INEP-portaalin tietoturvan puutteesta.

Neuvotimme laitokselle vikaantumisesta ja ilmoitimme, että se on korjattava kiireellisesti. Päivää myöhemmin alkoi ilmaantua tapauksia, joissa opiskelijat olivat tämän vahingoittaneet. Tämän vuoksi välitämme opiskelijan Tereza Gayoso -tapauksen, jonka paljasti Época- lehden verkkoversio .

INEP palasi objektiivisesti vasta eilen (02.02.) Annettuun lausuntoon, jossa todettiin, että nykyinen instituutiota kontrolloiva johto noudatti vain edellisen johdon mukauttamia prosesseja.

”[…] On tärkeätä korostaa, että nykyinen johto, ottaessaan INEP: n vastaan toukokuussa 2016, on jo löytänyt Enem 2016 -rekisteröintiprosessin sekä vastaavan ilmoituksen, joka on julkaistu aiemmissa painoksissa hyväksyttyjen menettelytapojen ja rutiinien perusteella. . Tässä mielessä se, mitä nykyinen johto on tehnyt, on seurata kokeen soveltamista äärimmäisen ammattimaisesti, turvallisesti ja omistautuneesti, jopa maan poliittisen tilanteen valossa ”, instituutin tiedotustoimisto totesi.

Kuulimme kuitenkin kyseistä ilmoitusta INEP: n omalla verkkosivustolla ja löysimme asiakirjan segmentin, joka käsittelee salasanojen palauttamista. Siinä oli mahdollista ymmärtää, että INEP ei noudattanut omia sääntöjään Enem 2016: n toteuttamiseksi.

”5.3.1 Salasanan palautus tapahtuu osallistujan verkkosivustolla osoitteessa http://Enem.inep.gov.br/participante ja lähetetään sähköpostiin tai matkapuhelimeen tekstiviestinä, jonka OSALLISTEN itse ilmoittaa rekisteröinnin yhteydessä. ”, Se lukee ilmoituksessa.

Jos tämä olisi todellakin ollut sivulla hyväksytty menettely, joka ei lähetä tekstiviestejä tai sähköpostia osallistujalle uudella salasanalla, kaapattujen tilien opiskelijoiden tapauksia ei olisi tapahtunut.

INEP kertoo myös työskentelevänsä uusien turvallisuusmenettelyjen parissa osallistujien suojelemiseksi, mutta se ei aio toteuttaa mitään näistä lähipäivinä. "Nykyinen johto pitää [järjestelmää vaarattomana] ja pyrkii parantamaan tätä menettelyä muun muassa seuraavaa tenttihakemusta varten."

Ei tarvitse olla hakkeri

TecMundo puhui myös virtuaalisten tietoturva-asiantuntijoiden kanssa, jotta he voisivat arvioida tapausta ja antaa mielipiteensä salasanan palautusjärjestelmästä INEP-portaalissa. Heidän mukaansa sinun ei tarvitse olla hakkeri tunkeutuaksesi Enem-osallistujan tilille.

"Yhä liitetyssä maailmassa kuka tahansa pahantahtoinen henkilö voi helposti löytää käyttäjän henkilökohtaisia tietoja - kuten heidän sosiaaliturvatunnuksensa, syntymäpäivänsä ja vanhempansa nimen - verkkoympäristöstä (esimerkiksi sosiaaliset verkostot ja hakusivustot) ja sieltä päästä yksityiselle tilille [INEP-portaalissa]. Tämä salasananvaihtojärjestelmä ei vaadi haitallista asiantuntemusta ”, PSilfe-tietoturvapäällikkö Emilio Simone sanoi.

... tämän portaalin turvallisuutta on kiireellisesti vahvistettava ...

Hän väitti lisäksi, että tämän portaalin turvallisuutta on kiireellisesti vahvistettava, etenkin koska se on tärkeä hallituksen foorumi.

Kysyimme Simoneelta, kuinka toimielimen pitäisi puuttua asiaan, ja hän näytti yksinkertaisen ratkaisun, joka on itse asiassa melko sama kuin Enem 2016 -julkaisu vaati sen soveltamista.

”Vaihtoehto tällaisten järjestelmien turvallisuuden parantamiseksi olisi väliaikaisen salasanan lähettäminen rekisteröityyn sähköpostiosoitteeseen. Siten päästäkseen alustalle käyttäjän joutuisi murtautumaan henkilökohtaiseen sähköpostiosoitteeseensa vaihtaakseen salasanan, mikä toimisi jo tietoturvan parannuksena ”, hän sanoi.

Sivun salaus

Toinen tietoturvarikkomus, lukuun ottamatta tätä epäonnistunutta salasanan palautusjärjestelmää, on se, että INEP-portaali ei käytä salaa sivullaan tietoliikenteen suorittamiseen. Sivusto toimii vanhalla, epävarmalla HTTP-protokollalla, ei HTTPS: llä, joka on uusi standardi, jota käytetään alustoissa, jotka vaativat käyttäjän todennusta.

Ilman HTTPS: tä rikollinen voi tunkeutua langattomaan verkkoosi ja siepata kaikki lähettämäsi ja vastaanottamasi tiedot INEP-verkkosivustolla pienellä vaivalla. Jos käytät julkista verkkoa, kuten mistä tahansa myymälästä tai jopa lan-talosta, sieppaaminen on vielä helpompaa, koska hakkerin ei tarvitse ottaa vaivaa tunkeutuakseen lähiverkkoon. olla helposti käsillä. "Arkaluontoisen tiedon lähettäminen salaamattomien protokollien kautta on suuri riski", Simone sanoi.

Voitko tehdä jotain?

Jos rikollisella on pääsy CADSUS-järjestelmään tai mihin tahansa muuhun alustaan, jolla on Brasilian kansalaisten henkilötietoja, vihollisen antanut opiskelija on käytännössä puolustusmaton. Jos rikollinen tietää nimesi, hän voi hakea sosiaaliturvatunnustasi, syntymäaikaasi, asuinpaikkaasi ja vanhempiesi nimiä CADSUS-palvelusta. Tämän avulla hän voi vaihtaa salasanansa ja suorittaa kaikki toiminnot INEP-portaalissa.

Jos rikollisella on pääsy CADSUS-ohjelmaan, vihollisen antanut opiskelija on käytännössä puolustuskyvytön.

Koska SISU-rekisteröinti on jo päättynyt, siellä ei tällä hetkellä ole paljon tehtävää, mutta tietoturvaloukkaukset ovat edelleen avoinna. Jos opiskelija kuitenkin haluaa ilmoittautua toisiin puheluihin, hän voi yksinkertaisesti unohtaa mahdollisuuden, koska hakkeri voi muuttaa rekisteröidyn sähköpostinsa ja estää henkilöä saamasta hälytyksiä INEP: ltä.

Tietysti on olemassa mahdollisuus helposti jatkaa pääsyä tilille, aivan kuten hakkerit kaapasivat sen, mutta käyttäjän on oltava valpas ja kirjauduttava sisään usein varmistaaksesi, että kaikki on oikein.

Huolimatta rikollisen mahdollisuudesta käyttää CADSUS-järjestelmää, on joitain varotoimenpiteitä, joita voidaan toteuttaa uhrin joutumisen välttämiseksi. Avastin henkilökunta antoi meille ”neljä neuvoa” opiskelijoille. Katso se:

Varo sosiaalisia verkostoja : liiallinen jakaminen on vaarallista. Tarkista sosiaalisen median tilien yksityisyysasetukset ja yritä aina pitää ne suojattuina.

Skannaa reitittimen : Ei riitä, että tarkistat tietokoneesi haittaohjelmien ja virusten varalta, sillä hakkeri voi myös hyökätä reitittimeesi, kaappaa DNS: n ja viedä sinut väärennettyihin verkkosivustoihin. Tee tämä virustorjunnan avulla;

Käytä VPN: ää julkisessa Internetissä : Sinun on salattava tietosi ollessasi lan-talossa tai käyttäessäsi ilmaista Internetiä julkisissa paikoissa. Muussa tapauksessa, jos verkko on hakkeroitu, hakkeri voi käyttää kaikkia tietojasi. Käytä tällaisissa tapauksissa aina VPN: tä (Virtual Private Network).

Varo sosiaalisen insinöörin hyökkäyksiä : Jos joku lähettää sähköpostia sähköpostitse pyytämällä henkilökohtaisia tietojasi ja lupaaen rahaa tai uhkaavan haastaa sinut tai viedä nimesi esimerkiksi Serasaan, ole epäilyttävä. Henkilötietoja ei tulisi koskaan jakaa verkossa.

Turvayhtiö suosittelee jopa luomaan vahvat salasanat kaikentyyppisille Web-alustoille. mutta INEP-portaalin tapauksessa tällä ei ole paljon merkitystä, koska valitettavasti salasana voidaan helposti palauttaa.

TecMundon kautta.

Lääketieteestä Cachaçan tuotantoon: Ymmärrä kuinka huijarit "huijaavat" vihollisen

Helppo välttää vika

Mitä INEP sanoo

Ei tarvitse olla hakkeri

Sivun salaus

Voitko tehdä jotain?

Tutkijat tutustuvat lopulliseen krapulahoitoon: Sprite

"Circle of Fire" -traileri tuo robotit ja muukalaiset taistelemaan maan päästä [video]

Maailman suurin perunalastupakkaus painaa yli yhden tonnin

Epäonnistunut kokoaminen: Kokoonpano tuo syyskuun hauskoja videoita

Kissatähteiden merkitsemien videoiden katseleminen voi olla hyväksi terveydelle, tutkimus kertoo

Ikätesti: 15 pistettä lapsuudestasi, joka päättyi yli 10 vuotta sittenHot

Internet on valinnut uuden kuningattarensa: Hot Dog PrincessHot

7 tekniikkaa Hitchhiker's Guide to Galaxy: lta, jotka voivat olla todellisiaHot

12 parasta museolapsiaHot

Aleksanteri Suuren kuolinsyystä syntyi vaihtoehtoinen teoria

Urheilija, joka työskenteli muurareena olympialaisissa

Poliisi etsii ”Shanghai Peladonaa” purkautuneiden valokuvien julkistamisen jälkeen

5 hyvää syytä säästää rahaa

7 tapaa, joilla voit todistaa, että maa ei ole tasainen

Tulehduksellinen, mies, intraduktaalinen: Tunne erilaiset rintasyövät

Katso, kuinka se laukaisee tulitikulla tehdyn ohjuksen