Você será HACKEADO em breve
Vamos fazer uma lista simples para melhor ilustrar quais são as probabilidades de ser hackeado em breve e é só uma questão de tempo. Esta lista não precisa ser respondida aqui neste conteúdo, responda para si como um método mais eficaz de conscientização sobre segurança da informação. Lembrando que estamos trabalhando com probabilidades e últimos acontecimentos no Brasil.
- Lê os termos e condições de uso?
- Verifica a reputação do conteúdo (compra de produtos, verifica a veracidade de notícias, etc)?
- Troca a senha periodicamente e utiliza senhas individuais para cada item?
- Mantém atualizado seus equipamentos e programas?
- Possui rotinas para acompanhar as boas práticas e melhorias?
- Tem sistemas de proteção em todo ambiente virtual e na vida real?
- ...
Podemos listar diversos procedimentos para aumento exponencial da sua segurança no dia a dia. Precisamos entender os riscos, as possíveis proteções, direitos e deveres para melhor usufruir dos serviços oferecidos. Atualmente recebemos notícias sobre vazamento de dados, invasões por hackers, exploração de brechas de segurança e também em ambiente governamental.
Vulnerabilidade não divulgada do Apache Velocity XSS afeta sites GOV
Mesmo que a resposta padrão do governo seja "Não há brecha de segurança em nosso ambiente", podemos ilustrar que até NASA também tem suas vulnerabilidades, que é uma instituição que investe muitos milhões em sistemas de segurança e equipe especializada.
Ministério da Saúde expõe no HTML da página o login e senha do seu sistema
A nova falha no sistema do Ministério da Saúde deixou expostas, por pelo menos seis meses, informações pessoais como CPF, nome completo, endereço e telefone de 243 milhões de brasileiros cadastrados no SUS ou beneficiários de um plano de saúde no País e não apenas pacientes com diagnóstico de COVID. O total de registros é maior que o número de habitantes do País porque há informações de pessoas que já faleceram. A falha expôs indevidamente o login e senha ao sistema que armazena os dados cadastrais de todos os brasileiros no Ministério da Saúde. As credenciais de acesso estavam codificadas por base64, método facilmente decodificável e que não serve para a segurança de dados, em uma parte do código do site que fica aberto para visualização por qualquer usuário e acessível por meio da função “inspecionar elemento” de qualquer navegador. O problema já foi corrigido. As informações são do Estadão.
Banco de senhas - Um funcionário do Hospital Albert Einstein que trabalhava em um projeto com o Ministério da Saúde divulgou uma lista com logins e senhas para sistemas federais em sua página pessoal na plataforma github
Caixa para login - Esses logins e senhas davam acesso a um banco de dados do ministério com 25 milhões de registros de 16 milhões de pessoas que haviam sido testadas para covid no País ou internadas por conta da doença
O banco de dados inclui dados pessoais de autoridades
O que é a Vulnerabilidade Path Traversal encontrada no MÓDULO PESQUISA PÚBLICA DO SISTEMA SEI (Sistema Eletrônico de Informações)?
É o erro de software mais perigosas segundo o CWE/SANS Top 25. É um ataque utilizado por atacantes para obter acesso não autorizado a arquivos e diretórios, e através da sua exploração é possível comprometer completamente o servidor onde a aplicação se encontra. O Path Traversal é o resultado da falta ou insuficiência de validações de entrada de usuários na aplicação (direto pelo browser). Essa brecha de segurança já foi reportada desde o início da implementação no Arquivo Nacional, porém sem nenhum retorno ou atenção dos responsáveis.
E para prevenir essa exposição e diversos outros incidentes. Nós do grupo Brute Force Security, fornecemos todas as soluções para Blindagem de Infraestrutura Computacional, Proteções especializadas para Archivematica, Segurança para o Atom2 - Access to Memory, Palestras de Conscientização sobre Segurança da Informação e inúmeros projetos de segurança avançado para a demanda de sua empresa ou instituição governamental.
Somente quem já atuou por diversos anos em segurança em infraestrutura governamentais, que tenha desenvolvido procedimentos baseados em normas técnicas (ISO 27001, LGPD, etc), desenvolvido sistemas exclusivos para Archivematica e Atom2 - Access to Memory, pode afirmar que tem expertise e garantir um ambiente seguro para sua empresa e ou instituição govenamental. Para conhecer mais sobre as soluções de segurança, acessem https://www.bruteforce.com.br e nossas redes sociais.
Felipe Perin
Especialista em Segurança da Informação, Entusiasta em Software Livre, Palestrante e Consultor em Preservação de Acervos. Com expertise em SIEM, Pentest, Hardening, Honeypot, WAF - Web Application Firewall, ISO 27001, SDL - Secure Development Lyfecicle, e-GOV, e-PING (Padrão de Interoperabilidade), e-MAG (Padrão de Acessibilidade), e-PWG (Administração, Codificação, Redação Web e Usabilidade), 5S, Archivematica, Atom2 - Access to Memory, OJS - Open Journal System, Virtualização, Scan de Vulnerabilidades, Data Protection Office ou Encarregado de Proteção de Dados, Monitoramento de Ativos, Backup, Resposta à Incidentes de Segurança, Gestão de Risco e Conformidade, Software Livre, Log Management, Offshore Surveyor e Projetos Ecos sustentáveis (TI-VERDE)