Od medicíny po výrobu Cachaça: Pochopte, ako Tricksters 'Fooled' Enem

Minulý utorok (31/01), TecMundo uverejnil správu o prípade Terezy Gayoso, ktorý nechal svoj účet na portáli INEP ukradnúť kvôli krehkému systému na obnovenie hesla. Tvrdí, že sa zapísala do medicíny na SISU, ale zistila, že útočníci ju postavili, aby súťažila v produkčnom kurze Cachaça na inštitúcii v interiéri Minas Gerais. Tento a ďalšie prípady študentov so zdravotným postihnutím sú už v rukách Federálnej polície, ale rozhodli sme sa vám vysvetliť, ako by sa to stalo.

Predtým však treba vysvetliť, že nemôžeme potvrdiť, kto za tento prípad mal vinu. Existujú obvinenia proti skupinám na Facebooku, ako sú „Panelinha do Bananal“ a „Ilha da Macacada“, ale TecMundo kontaktoval obe strany, ktoré odmietli akúkoľvek účasť na ňom. Dôkazy dokonca existujú iba proti obvinenej tretej strane: fóre s názvom „55 kanálov“, ktoré pozostáva z anonymných používateľov.

Používatelia tohto fóra by zistili zlyhanie portálu INEP a súhlasili by s jeho využívaním na zmenu možností študentských kurzov Enem deň pred termínom modifikácie systému. To znamená, že trollovia sa rozhodli ublížiť študentom v čase, keď už nemohli zvrátiť situáciu, pretože SISU po 27/01 neumožnila ďalšie zmeny v možnostiach kurzov.

Ľahko zabrániteľné zlyhanie

Je zaujímavé poznamenať, že zatiaľ čo hackeri v skutočnosti spáchali trestný čin a prenikli do študentských účtov na portáli INEP, webová stránka inštitútu sotva sťažuje zlovoľným ľuďom konanie. Osoba, ktorá stratila svoje heslo portálu, ho môže obnoviť jednoduchým vyplnením formulára s verejnými údajmi o sebe.

Túto akciu s najväčšou pravdepodobnosťou umožnil CADSUS

Stránka požaduje iba číslo sociálneho zabezpečenia, dátum narodenia, celé meno, meno matky a mesto / štát, v ktorom bývate. Tieto podrobnosti možno ľahko získať skenovaním sociálnych sietí, ako aj spotrebiteľskými konzultačnými systémami. Ak však majú za vinu 55 používateľov kanála, akcia bola s najväčšou pravdepodobnosťou možná prostredníctvom CADSUS.

Na obrázkoch nižšie vidíte jasné citácie na registračný systém SUS, ktorý je už dlho označenou hackerskou databázou. TecMundo túto situáciu dokonca nahlásil, ale ministerstvo zdravotníctva zjavne problém zatiaľ nevyriešilo a heslá a prihlasovacie údaje platformy sa na internete voľne predávajú a zdieľajú.

INEP mohol zabrániť tejto situácii jednoduchým bezpečnostným opatrením

Zločinci môžu na serveri CADSUS získať prakticky všetky osobné údaje brazílskeho občana a všetky informácie, ktoré webová stránka INEP vyžaduje na obnovenie hesla, je k dispozícii.

Ešte jednoduchšie sú všetky údaje opečiatkované na študentskom preukaze totožnosti. Keby dokument stratil, mohol by sa veľmi ľahko stať obeťou takéhoto útoku.

INEP však mohol zabrániť tejto situácii relatívne jednoduchým bezpečnostným opatrením: poslať študentovi e-mail s potvrdením o zmene hesla namiesto toho, aby mu umožnil vytvoriť nový iba kontrolou niektorých údajov. Len s týmto postupom hackeri nemohli viac pristupovať k účtom bez toho, aby museli tiež zasekávať e-mail kandidáta.

Čo hovorí INEP

Radili sme inštitúcii zlyhania a oznámili sme, že je potrebné ju napraviť.

Spoločnosť TecMundo kontaktovala INEP (Národný inštitút pre vzdelávanie a výskum) minulý pondelok (30) po prijatí sťažnosti z anonymného zdroja o nedostatočnej bezpečnosti na portáli INEP.

Radili sme inštitúcii zlyhania a oznámili sme, že je potrebné ju urýchlene napraviť. O deň neskôr sa začali objavovať prípady poškodenia študentov. Z tohto dôvodu odovzdávame prípad študentky Terezy Gayoso, ktorý odhalila online verzia časopisu Época .

INEP sa k nášmu výroku vrátil iba objektívne (02/02) a uviedol, že súčasné riadenie, ktoré kontroluje inštitúciu, sa riadilo iba procesmi upravenými predchádzajúcim vedením.

„[…] Je dôležité zdôrazniť, že súčasné vedenie, keď prevzalo INEP v máji 2016, už začalo proces registrácie Enem 2016, ako aj príslušné oznámenie uverejnené na základe postupov a postupov prijatých v predchádzajúcich vydaniach., V tomto zmysle súčasné vedenie urobilo, že bude pokračovať v skúmaní aplikácie skúšky s maximálnou odbornosťou, bezpečnosťou a obetavosťou, a to aj vo svetle politickej situácie v krajine, “uviedla tlačová kancelária ústavu.

Dotknuté oznámenie sme však prekonzultovali na vlastnej webovej stránke INEP a našli sme časť dokumentu, ktorá sa zaoberá obnovením hesla. V nej bolo možné si uvedomiť, že spoločnosť INEP sa pri realizácii programu Enem 2016 neriadila vlastnými pravidlami.

„5.3.1 Obnovenie hesla sa uskutoční na webovej stránke účastníka na adrese http://Enem.inep.gov.br/participante a zašle sa na e-mail alebo mobilný telefón prostredníctvom SMS, o ktorom sám účastník v čase registrácie informuje. “, Uvádza sa v oznámení.

Keby to bol skutočne postup prijatý na stránke, ktorý účastníkovi neposiela SMS ani e-mail s novým heslom, k prípadom študentov s ukradnutým účtom by nedošlo.

INEP tiež tvrdí, že pracuje na nových bezpečnostných postupoch na ochranu účastníkov, ale nemá v úmysle ich v najbližších dňoch implementovať. „Súčasný manažment považuje systém za nebezpečný] a pracuje na zlepšení tohto postupu, okrem iného, ​​pre ďalšiu prihlášku na skúšku.“

Netreba byť hackerom

TecMundo tiež hovoril s odborníkmi na virtuálnu bezpečnosť, aby mohli prípad vyhodnotiť a vyjadriť svoj názor na systém na obnovenie hesla na portáli INEP. Podľa nich nemusíte byť hackerom, aby ste sa dostali na účet účastníka Enem.

„V čoraz viac prepojenom svete môže každá škodlivá osoba ľahko nájsť osobné informácie používateľa - napríklad číslo sociálneho zabezpečenia, dátum narodenia a meno rodiča - v online prostredí (napríklad sociálne siete a vyhľadávacie stránky) a, odtiaľ prístup na súkromný účet [na portáli INEP]. Tento systém výmeny hesiel nevyžaduje žiadne škodlivé odborné znalosti, “uviedol manažér bezpečnosti spoločnosti PSilfe Emilio Simone.

... je potrebné urýchlene posilniť bezpečnosť tohto portálu ...

Ďalej tvrdil, že bezpečnosť tohto portálu sa musí naliehavo posilniť, najmä preto, že ide o dôležitú vládnu platformu.

Spýtali sme sa Simone, ako by mala inštitúcia riešiť tento problém, a ukázal jednoduché riešenie, ktoré je v skutočnosti takmer rovnaké, ako sa vyžaduje vo vyhláške Enem 2016.

„Alternatívou k zlepšeniu bezpečnosti takýchto systémov by bolo odoslanie dočasného hesla na zaregistrovaný e-mail. Na prístup na túto platformu by sa používateľ musel dostať do svojho osobného e-mailu, aby zmenil heslo, ktoré by už fungovalo ako vylepšenie zabezpečenia, “uviedol.

Šifrovanie stránky

Ďalším narušením bezpečnosti, okrem tohto systému na obnovenie zlyhaného hesla, je to, že portál INEP nepoužíva na svojej stránke šifrovanie na prenos údajov. Táto stránka beží na starom nezabezpečenom protokole HTTP, nie HTTPS, čo je nový štandard používaný na platformách, ktoré vyžadujú overenie používateľa.

Bez protokolu HTTPS by zločinca mohol preniknúť do vašej siete Wi-Fi a zachytiť všetky údaje, ktoré odosielate a prijímate, na webe INEP s minimálnym úsilím. Ak máte prístup z verejnej siete, napríklad z akéhokoľvek obchodu alebo dokonca z domu lan, odpočúvanie je ešte jednoduchšie, pretože hacker nemusí mať problém preniknúť do miestnej siete. mať ľahký prístup. „Posielanie citlivých informácií prostredníctvom nezašifrovaných protokolov je veľké riziko, “ uviedla Simone.

Môžete niečo urobiť?

Ak má zločinec prístup k CADSUS alebo akejkoľvek inej platforme s osobnými údajmi brazílskych občanov, študent, ktorý poskytol Enem, je prakticky bezbranný. Ak zločinec pozná vaše meno, môže v CADSUS vyhľadať vaše číslo sociálneho zabezpečenia, dátum narodenia, bydlisko a meno vašich rodičov. Toto mu umožňuje zmeniť svoje heslo a vykonať akúkoľvek akciu na portáli INEP.

Ak má zločinec prístup k CADSUS, študent, ktorý poskytol Enem, je prakticky bezbranný.

Keďže registrácia do SISU už bola uzavretá, v súčasnosti nie je čo robiť, ale narušenie bezpečnosti je stále otvorené. Ak sa však študent chce prihlásiť na druhé hovory, môže mu príležitosť jednoducho uniknúť, pretože hacker môže zmeniť svoj zaregistrovaný e-mail a zabrániť osobe v prijímaní upozornení od organizácie INEP.

Samozrejme existuje možnosť ľahko obnoviť prístup k účtu, rovnako ako to hackeri uniesli, ale je potrebné byť opatrný a často sa prihlasovať, aby sa ubezpečil, že je všetko v poriadku.

Bez ohľadu na možnosť, aby zločinec mal prístup k CADSUS, existujú určité opatrenia, ktoré je možné prijať, aby sa nestal obeťou. Zamestnanci Avastu nám dali „štyri rady“, aby sme ich odovzdali študentom. Vyskúšajte to:

1. Dajte si pozor na sociálne siete : príliš veľa zdieľania je nebezpečné. Skontrolujte nastavenie ochrany osobných údajov vo svojich účtoch sociálnych médií a vždy sa ich snažte chrániť.
   
   

1. Skenovanie smerovača : Nestačí iba prehľadať počítač a skontrolovať prítomnosť škodlivého softvéru a vírusov, pretože hacker môže tiež zaútočiť na smerovač, ukradnúť server DNS a priviesť vás k falšovaniu webových stránok. Urobte to pomocou antivírusu;
   
   

1. Použite VPN na verejnom internete : Ak ste v domácom prostredí alebo na bezplatnom internete na verejných miestach, musíte šifrovať svoje údaje. Inak, ak je táto sieť napadnutá, hacker môže získať všetky vaše údaje. V takýchto prípadoch vždy používajte virtuálnu súkromnú sieť (VPN).
   
   

1. Dajte si pozor na útoky v oblasti sociálneho inžinierstva : Ak vám niekto e-mailom pošle žiadosť o vaše osobné údaje a sľubuje peniaze alebo hrozí, že vás bude žalovať alebo vezme vaše meno napríklad na Serasa, bude podozrivý. Osobné údaje by sa nikdy nemali zdieľať online.
   
   

Bezpečnostná spoločnosť dokonca odporúča, aby ste pre všetky typy účtov webovej platformy vytvorili silné heslá; ale v prípade portálu INEP na tom nezáleží, pretože nanešťastie sa dá heslo ľahko resetovať.

Cez TecMundo.