sábado, 25 de junho de 2011

Vazamentos de hackers incluem dados falsos ou já divulgados na web




Informações foram analisadas pelo especialista em segurança Altieres Rohr.
Tabelas que hackers apontavam como oficiais traziam ofensas a políticos.

Altieres RohrEspecial para o G1

Logotipo usado pelo LulzSec (Foto: Reprodução)Logotipo usado pelo LulzSec, um dos grupos
envolvidos em ataques (Foto: Reprodução)
Embora nos últimos dias tenham acontecido invasões a computadores pertencentes ao governo, como no caso da invasão da página principal do Instituto Brasileiro de Geografia e Estatística (IBGE), na madrugada desta sexta-feira, muitas das informações que os grupos hackers têm publicado como "prêmio" ou prova destas invasões não foram obtidas durante os ataques.
Boa parte dos dados apresentados pelos hackers são informações desencontradas, falsas, incompletas, de domínio público ou previamente divulgadas na internet. Os hackers têm divulgado essas informações aparentemente com o objetivo de chamar a atenção, já que elas estavam disponíveis na própria rede.
As ações coletivas contra o governo envolvem diferentes indivíduos e pelo menos três grupos hackers diferentes, entre os quais os dois mais notórios são o Lulzsec Brazil e o Fail Shell. OG1 lista o que é verdade e mentira nos dados e ações dos hackers até o momento.

1 - Dados pessoais e sigilosos
Mentira
As informações de políticos foram divulgadas principalmente por indivíduos simpatizantes do Lulzsec Brazil e repassadas pelo grupo. Praticamente todos os dados – incluindo declaração de bens, data de nascimento e até o CPF – estão disponíveis na internet, a maioria deles em uma página pública do próprio Tribunal Superior Eleitoral (TSE). Os telefones informados também são públicos. Informações de políticos como Fernando Collor de Mello e Paulo Maluf foram distribuídas incompletas, e recheadas de erros de informação. Em alguns campos das tabelas supostamente obtidas de fontes oficiais, por exemplo, havia ofensas pessoais aos políticos.
Verdade
Alguns dados como o número do PIS de figuras públicas não são facilmente encontrados na internet, bem como os dados de funcionários do governo.

2 - Informações sobre a Petrobras
Mentira
Hackers do Lulzsec Brazil divulgaram um documento afirmando que a Petrobras teria sido invadida e provando isso com as senhas de 15 supostos funcionários da estatal. No entanto, os dados carecem de explicações. Por exemplo, o campo que parece estar ligado ao servidor do e-mail tem dados inconsistentes, apontando para provedores gratuitos como o Yahoo e outras páginas inacessíveis.
A Petrobras tem mais de 80 mil funcionários. Os dados podem ter sido obtidos de outros meios, como um ataque acidental aos próprios funcionários, e não à Petrobrás, como o documento dos hackers afirma.
Verdade
O site da Petrobras foi sobrecarregado pelos hackers e chegou a cair na tarde da quarta-feira (22). No entanto, ataques que derrubam um site não envolvem o roubo de dados ou qualquer técnica avançada de exploração de falhas de segurança.

3 - Ministério dos Esportes
Mentira
O Lulzsec Brazil divulgou tabelas com supostas contas públicas com repasses de valores para as obras da Copa de 2014 e das Olimpíadas de 2016. Essas informações já estavam na internet antes do grupo divulgá-las e,segundo o Ministério dos Esportes, foram forjadas.
VerdadeCentenas de senhas associadas a uma página restrita do ministério foram divulgadas pelo grupo. O órgão público afirmou que, por precaução, iria cancelar as "senhas criptografadas de usuários externos que circularam na mídia".
G1 analisou o arquivo e constatou que as senhas não estavam criptografadas e sim representadas no formato de dados conhecido como “base64”, usado, por exemplo, para o envio de anexos em e-mails.
O governo tirou o site do ar para fazer uma verificação e confirmou que houve uma “invasão perimetral” no site do ministério, mas não se sabe quais informações estariam disponíveis na página restrita.

4 - Invasão ou apenas tentativa?
Verdade
O grupo hacker Fail Shell desfigurou a página principal do Instituto Brasileiro de Geografia e Estatística (IBGE), o que significa que comprovadamente houve acesso aos arquivos ou ao banco de dados do servidor. O Fail Shell afirmou que não tem relação com os grupos LulzSec Brazil ou Anonymous, que publicaram os supostos dados vazados na web, e os acusou de “não ter ideologia” na mensagem deixada no site desfigurado.
MentiraAs páginas “presidencia.gov.br”, “brasil.gov.br”, “senado.gov.br” e “receita.fazenda.gov.br” apresentaram instabilidade ou foram derrubadas em um ou outro momento desde a quarta-feira (22) por artifícios conhecidos como "ataque de negação de serviço". Os primeiros sites a cair foram o da Presidência e o do Governo Brasileiro. Nenhum dado foi acessado, no entanto, segundo o Serviço de Processamento de Dados do Governo Federal (Serpro), que é responsável pela rede do governo.

Nenhum comentário: