Exército sofre ataque de hackers e 7 mil contas de militares vazam na internet

[In]Segurança Nacional? Exército é hackeado e tem 7 mil contas crackeadas
O TecMundo recebeu com exclusividade informações bombásticas na manhã desta segunda-feira. De acordo com uma fonte que não quis se identificar, os servidores do Exército Brasileiro foram invadidos por hackers na madrugada de domingo (8) e mais de 7 mil contas de militares foram vazadas na internet.
A acusação é de que o Centro de Defesa Cibernética (CDCiber) da corporação estavam participando há tempos de competições do gênero “Capture the Flag” (ou “Capture a Bandeira”, em português), na qual os times precisam usar técnicas de hacking para atingir um determinado objetivo — que pode envolver defender um computador pessoal ou invadir um sistema feito especialmente para a maratona.
De acordo com os invasores, o Exército Brasileiro participou de últimos grandes eventos de CTF e ganhou os desafios usando uma técnica proibida conhecida como “WiFi deauthentication attack” (ou simplesmente WiFi deauth), eliminando os outros competidores da rede WiFi local e permitindo que apenas seu próprio time pudesse jogar.
A prática foi identificada pela primeira vez durante o Hackaflag PR, no dia 17 de outubro, durante o Roadsec de Curitiba, e na qual um major do exército foi o vencedor. A “trapaça” passou a se repetir em maior escala durante a edição 2015 da Hackers 2 Hackers Conference (H2HC), que foi organizada entre os dias 24 e 25 do mês passado em São Paulo capital. Isso gerou inúmeras desavenças entre participantes da cena hacker brasileira e militares nas redes sociais.
Invasão e provocações
Como retaliação, um grupo de hackers anônimos invadiu inúmeras bases de dados e diversos servidores do Exército Brasileiro, tendo acesso a mais de 7 mil contas em menos de oito horas. Todas as senhas, tal como uma provocação nada sutil à corporação militar, foram publicadas neste documento de texto pelo serviço Pastebin. O “anúncio” do ataque teria sido feito pela primeira vez em uma lista de email chamada Brasil Underground.
‘Chega a ser vergonhosa a segurança do Exército Brasileiro’
“Ficamos sabendo que o Exército Brasileiro tem participado de jogos de Capture The Flag e tem se exibido como um time de elite, utilizando seus avançados ataques de deauth em redes wireless”, comenta um dos invasores. “Chega a ser vergonhosa a segurança do Exército Brasileiro, cada sistema possui vulnerabilidades críticas”, complementa. Até mesmo o controlador de domínios foi sequestrado pela equipe.
As provocações não param por aí. Os hackers ainda orientam que façamos a “lição de casa”, usando os milhares de CPFs vazados para descobrir os donos de cada uma das senhas e usar nos outros sistemas do governo federal. Como bônus, um dos backdoors (falhas de segurança) encontrados pelo time foi divulgado para quem se interessar em testá-lo.
Um desafio para os militares
No fim do documento, os invasores propõem um desafio público ao Exército Brasileiro: o Capture the Backdoor, ou CTB. Ao todo, são 10 vulnerabilidades, incluindo uma instalada na BIOS dos servidores. “Vocês podem usar ataques contra infraestruturas sem sofrer penalização”, afirma o grupo. E eles avisam: o prazo final para encontrar todas essas brechas é até os Jogos Olímpicos de 2016, marcados para começar no dia 5 de agosto.
Ao todo, são 10 vulnerabilidades, incluindo uma instalada na BIOS dos servidores
O TecMundo conversou com outra fonte anônima ligada à cena hacker brasileira — um jovem que já tinha tido acesso anteriormente à tais backdoors e que afirma que as vulnerabilidades são antigas. “A cerca de um ano atrás, um amigo meu falou que havia achado uma falha de POST SQL Injection em um subdomínio do Exército, e que havia registrado todo o banco de dados contendo CPFs e senhas dos militares”, afirma.
“Mas ele não divulgou nada na internet, e só ontem descobri que mais alguém além dele havia obtido acesso”, complementa o entrevistado. Essa informação levanta uma questão bastante pertinente: se os backdoors são tão antigos, como saber se eles já não estavam sendo usados há tempos por cibercriminosos e até mesmo agências de espionagem de outros países, para vigilância de dados militares do Exército Brasileiro?
Se os backdoors são tão antigos, como saber se eles já não estavam sendo usados por agências de espionagem de outros países?
Além disso, fica a dúvida se realmente estaremos ciberneticamente seguros durante as Olímpiadas — se os sistemas militares podem ser controlados com tanta facilidade, como garantir que nossa infraestrutura estará livre de ataques que certamente ocorrerão durante os jogos do Rio 2016? O CDCiber ainda não se pronunciou sobre o vazamento e o desafio público; atualizaremos esta matéria caso surjam novidades.
ATUALIZAÇÃO: dia 09/11 às 15h
Anderson Ramos, sócio-fundador e CTO da FLIPSIDE (empresa que organiza o Roadsec e outros eventos de relevância no cenário hacker brasileiro), nos enviou um posicionamento oficial da companhia a respeito do episódio. Confira:
Embora tenhamos constatado a utilização de ataques deauth na etapa Curitiba do Hackaflag, gostaríamos de clarificar:
Estes ataques são bastante comuns em competições CTF em rede Wi-Fi;
É praticamente impossível provar a autoria dos ataques, então qualquer suspeição neste sentido carece de evidências técnicas;
O participante do exército da referida etapa esteve o tempo todo muito próximo do local onde se encontrava o coordenador do campeonato e é um profissional experiente e respeitado no mercado, de reputação impecável, e teve vitória merecida;
Nós repudiamos o ataque e a ligação que foi feita entre ele e desafios que são organizadas em total harmonia entre profissionais com diversos tipos de perfis incluindo, além da própria comunidade hacker, estudantes, acadêmicos, peritos, policiais, militares, pesquisadores e profissionais do mercado de Segurança da Informação;
Essas disputas tem como objetivo canalizar a energia dos jovens de maneira positiva, inserindo-os no mercado de trabalho através de relacionamento e aprendizado com profissionais mais experientes, como os do próprio exército;
Esperamos que no final o incidente traga consequências positivas tanto para os campeonatos, no sentido de melhorar a infra-estrutura e deixar regras mais claras aos participantes, como no sentido de chamar a atenção do exercito para servidores que estavam expostos, pois conhecemos bem o imenso desafio que é manter uma estrutura como aquela livre de vulnerabilidades e problemas.
Tecmundo/montedo.com 

31 respostas

  1. Que bom!!!!!!
    Assim os assaltantes irão ficar com dó dos milicos e nos deixarão em paz….
    Pois agora sabem que não tem o que assaltar….
    Kkkkk

  2. Trapaças para ganhar uma competição!?!?!
    A instituição que lidera a credibilidade no País!!!!!
    Me recuso a acreditar que isso seja verdade (só que não)…. Kkkkkkkk
    É bem típico de uma instituição que só pensa em manter uma imagem…. Se preciso for, vai na trapaça mesmo……
    Apaguem a luz!!!!!!

  3. Puts ! Segurança cibernética no Exército Brasileiro ? Nunca terá!!!! Mas… segurança para esconder o quê? Senhas do Protweb e do Zimbra? Não temos planos estratégicos secretos ? Não temos "armas secretas" ? Não temos espiões que já não sejam conhecidos por todos dentro dos quartéis… Ah, já sei, vão ter acesso aos informes produzidos pela segunda seção e às listas de carros autorizados a estacionarem dentro dos quartéis porque possuem o selo da DE ! Kkkkkkkk !

  4. – ALERTA GERAL –

    URGENTE:

    PREVIDÊNCIA DOS MILITARES

    Dia 17/11, terça-feira, pela manhã, haverá audiência pública no TCU, sobre previdência. Nessa reunião deverá/poderá ser tratada da questão dos militares.

    Um amigo do Gabinete disse que o Comandante está muito preocupado com o assunto (ou pelo mesmos fazendo barulho), mas não soube dizer o que realmente está acontecendo ou preste a acontecer.

    Quem tiver informações mais precisas, vamos postar aqui.

    Companheiros, principalmente aqueles que ainda não tem 30 anos de serviço, estejamos atentos, há cheiro de carniça no ar. Depois da decisão tomada, é difícil voltar o status quo, vejamos a MP 2.2215.

  5. Isso está parecendo apenas uma tabela do banco de dados de um sistema de arranchamento, que alguns quartéis usam como login o CPF, nada mais…

    1. Só pra constar: este link está correndo no Whatsapp e achei por bem repassar pra que alcance o conhecimento de muitos e pra aqueles que se sentirem prejudicados, corram atrás do prejuízo.
      Verifiquei a mim e não consta. Perguntei a vários amigos se constam na lista, ninguém até agora disse que sim.
      Faça o mesmo, pergunte aos seus companheiros se constam, pra que no mínimo alterem suas senhas.

  6. A verdade é que o que foi atacado não foi sites centrais como o SICAPEX ou o CPEX, mas sim páginas pequenas (Hospitais, prefeituras militares…), que são locais que contam com menos pessoas qualificadas para a segurança digital. Por não envolver informações vitais não seria um problema (Para quem muito falou, informações como nome completo, digitos do cpf e salario são algumas das informações disponíveis com a lei de acesso a informação, veja portal da transparência, pesquisa por servidores).

    O único problema é que sempre se diz para o usuário ter uma senha para cada site, geralmente o cara coloca a mesma senha em tudo, daí F* tudo , pq basta tentar usar o login e senha em um site mais importante (descobre-se no banco de dados do site fraco e sem importância e se usa o login e senha no site importante

  7. A atividade de contrainteligencia no Exército Brasileiro é lamentável e vergonhosa. Só serve para fazer fofoca do subordinado para comandantes que pensam que lideram alguma coisa… Enfim esse é o EB que vive do passado tropeçando com o futuro. Uma vergonha!
    Os incompetentes estão em todos os lugares …se aproveitando e se dando bem enquanto fingem que fazem alguma coisa.
    Se tudo isso fosse levado a sério o chefe desse tal cyber alguma coisa e todos os incompetentes e burocratas que trabalham nesse lugar já levariam um belo pé no rabo.

  8. KKKKKK – CDCiber – RSRSRSRSRSRSRS

    A maioria das senhas de todos sistemas que o EB usa é 123456 – na minha unidade a grande maioria cag* ar senhas.
    Ainda bem q meu CFP não aparece, senão os invasores iriam ver a penúria que vivo.

  9. E gastaram milhões nessa joça para alguns coronéis de comunicações saírem generais, apenas isso. Bizu: contratem os hackers como oficiais temporários, estaremos mais protegidos.

  10. Agora fica fácil, a saída será contratar várias OTT de Informática (esposas e filhas de oficiais) e diversos Coronéis PTTC para serem gestores, já que não entendem de nada do assunto.
    PROBLEMA RESOLVIDO.

  11. No EB não existe teste de habilidades nem banco de talentos, o camarada, é escolhido de acordo com o perfil do conceito ou QI. Já vi fotografo que odeia e não sabe tirar foto, enfermeiro que não pode ver sangue, mecânico que não sabe dirigir, motorista em CNH… e por ai vai.
    Se for peixe pega qualquer função no EB. Porque não foi feito concurso interno par descobrir os talentos para guerra cibernética.

  12. Isso só veio somar as outras "esquisitices" das coisas secretas do Brasil.Essa segurança cibernética é falha, o nome e dados dos militares está disponível, as senhas(vixe!), e como um general já comentou, o Brasil é o único pais do mundo onde os nomes dos agentes do serviço de informação são divulgados no Diário Oficial(kkkkkk). Parece brincadeira. Isso é Brasil!!!!

  13. CD Ciber Serviço de Monitoração Cibernética do Facebook…

    Se nós tivéssemos um Serviço de Inteligência competente as forças armadas estariam investindo fortemente em qualificação cibernética, o que está sendo feito não dá nem pro começo, resumo da ópera: ESTAMOS VULNERÁVEIS E NÃO SABEMOS NEM DO QUÊ E DE QUEM.

  14. Depois de quase 30 anos de serviço no EB, o que confirmar, inúmeras vezes, é que o despreparado pessoal da "inteligência" fica atrás de fofocas de quartel ao invés de focar no que é importante. Enquanto estão bisbilhotando a vida do militar que vende cachorro-quente na praça ou daquele que dizem que é gay, etc, muitas irregularidades ocorrem nos quartéis do Exército. Enquanto os Comandantes dão ouvidos a fofocas, os problemas vão se avolumando e, não raro, os tomam de assalto. Já vi essa novela muitas vezes!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Pular para o conteúdo