segunda-feira, 16 de junho de 2014

Posted: 14 Jun 2014 03:32 AM PDT
Os Anonymous atacaram a PGR. Esta desmentiu. E agora os Anonymous fizeram um vídeo a acusar a PGR de falsas declarações. Uma história que pode estar para durar.
Tudo começou a 25 de Abril. Vários hacktivistas divulgaram nomes, telefones, telemóveis e e-mails de quase 2000 procuradores ou pessoas ligadas à PGR. Desde este dia que a PGR tem concentrado os seus esforços em resolver, tanto quanto pode, a situação criada pelos Anonymous Portugal.
O Tugaleaks sabe que a base de dados do SIMP - Sistemas de Informação do Ministério Público – está acessível, embora segundo fonte ligada aos grupos hacktivistas,  esta esteja “toda encriptada”.
Depois do ataque noticiado em primeira mão pelo Tugaleaks no dia 10 de Junho à Procuradoria-Geral Distrital de Lisboa, a PGR veio desmentir o ataque ao Publico, informando que este era falso. No próprio Público pode-se ler nos comentários deixados pelo utilizador “Neo” que a informação que a PGR deu ao público pode não corresponder à verdade:
Mais uma vez a PGR revela um total desconhecimento e irresponsabilidade sobre os temas da Segurança. Em termos práticos através de um site vulnerável a XSS é possível redirecionar a vítima para outro site malicioso. Se o site em causa for um “Evil Twin”, isto é, uma cópia idêntica ao site original, mas através do qual é aproveitado o acesso para roubar credenciais (se tal existe no site original), infetar a vítima com malware ou levar a vítima a realizar instruções que a tornem vulnerável, existe a possibilidade de se tornar um problema grave. Neste caso em concreto e pelo que li, ainda que o redirecionamento que fizeram por vulnerabilidade XSS não tenha sido para um site “Evil Twin”, o facto do site da PGR estar vulnerável a XSS e tal como expliquei a falha é GRAVE!

O ataque, feito por XSS, no dia 10 de Junho foi resolvido em duas ou três horas.



Já no dia 12 de Junho o Tugaleaks enviou outro endereço com uma falha XSS à PGR para análise e para confirmar se realmente era um ataque. Na altura a informação tinha ainda sido passada apenas ao Tugaleaks e não tinha sido divulgada pelos grupos hacktivistas. A falha foi também resolvida em poucas horas, e no próprio dia o Tugaleaks questionou a PGR se tinha corrigido a falha, informando que o nosso órgão de comunicação social  tinha provas digitais em como a falha existia na altura do envio do nosso pedido. A este pedido obtivemos apenas silêncio.
Ontem os OutsideTheLaw criaram um “Comunicado à PGR” onde questionam “se nem a vocês se conseguem-se proteger , como vão proteger o povo?” e onde afirmam que ” nós tínhamos uma carta na manga e mostramos a imprensa outra falha de XSS e a PGR não teve como desmentir” referindo-se possivelmente à pedido de esclarecimento enviado pelo Tugaleaks.
No comunicado, em vídeo, os OutsideTheLaw afirmam que “mentira e a corrupção é o vosso forte”.

Quem vai ganhar esta “guerra”?

Sem comentários: