O documento discute os ataques de hackers aos sites governamentais brasileiros (.gov.br), fornecendo estatísticas sobre invasões passadas de acordo com o Zone-h e descrevendo diferentes tipos de ataques, como brute force, SQL injection e busca por arquivos sensíveis. O autor também apresenta uma ferramenta chamada PHP Avenger para automatizar ataques e menciona os resultados de testes offensivos em 73 alvos governamentais, concluindo que o governo precisa melhorar o controle, responsabilização, prevenção e monitoramento de segurança

1. Governo Vs Hacker, como
andam os *.gov.br.

2. Quem sou eu...

3. Sou Lenon irmão mais velho do
Leonn...

4. ● Mais velho, mais Legal, mais bonito... e além
disso...
● Desenvolvedor PHP desde meus 19 anos...
● Também sou entusiasta da área de Segurança
da Informação.
● ASZone / PHPDF / WordPress Brasília

5. E aí, como estão os *.gov.br?

6. Cenário do Gov vs Hackers...

7. Tipos de Hackers
● Script Kids
● Advanced Persistent Threat
● Spy Hackers
● Spammers
● Hacktivista
● State Sponsored Hackers

8. Tipos de Hackers

9. Riscos

10. Riscos
● Defacement

11. Riscos
● Vazamento de dados críticos

12. Riscos
● Espionagem ( Prism, Mystic)

13. Problemas do Governo
● Quantidade enorme de sistemas.
● Escassez de recurso.
– Infraestrutura.
– Mão de obra.
– Financeiro.
● Descontinuação constante.
● Legado.
● Desenvolvimento seguro.*

14. Como mensurar e diagnosticar o
passado?!

15. Zone-h

16. Números do *.gov.br (Zone-h)
Total de 14274 sites invadidos. Catalogados
desde 2000...

17. Números do *.gov.br (Zone-h)
894 ataques bem sucedidos por ano...

18. Números do *.gov.br (Zone-h)
2,5 sites invadidos por dia...

19. Wooww...

20. Ataques 2010-2016

21. Ataques por Estado

22. E aí...

23. E hoje?! Como estamos?

24. Bem, obrigado...

25. De nada...

27. “Se tivesse seis horas para derrubar uma
árvore, eu passaria as primeiras quatro horas
afiando o machado.”
Abraham Lincoln

28. Pensando nisso...
PHP Avenger
● Automatização de ataques;
● Dividido em duas partes;
– Localização e identificação dos alvos através de
padrões de desenvolvimeto de software, utilizando
indexadores como Google, Bing, Yander, Baidu;
– Efetivação da vulnerabilidade através de testes
ofensivos;

29. Localização e Indentificação
● Dorks
– Pesquisa avançada utilizando parametros.
– Site:gov.br inurl:(login|admin|adm)
● Problemas encontrados
– Sensibilidade de buscadores.
– Falso positivos.
– Análise de massa de dados.
● Soluções
– Envio de emails
– Tor / Proxys
– Botnets

30. Localização e Indentificação
TOR

31. Validação de vulnerabilidade
● Validação do alvo.
● Inserção de parametros ofencivos.
● Tratamento, validação e identificação de
retorno do ataque efetuado.

32. Validação de vulnerabilidade
TOR

33. Ataques utilizados...
● Searching Trash
● Brute-Force + Injection
● Brute-Force + WordPress ( listando todos
usuários )
● Local File Download
● Sql Injection

35. Searching Trash
● Objetivo:
– Localizar arquivos sensíveis esquecidos pelos
administradores, como senha de banco de dados,
servidores e sistemas, além de backups.
● Método:
– Através de dorks.

36. Searching Trash

37. Brute-Force + Injection
● Objetivo:
– Obter acesso a aplicação ou gerar erro de banco de dados para um
possível ataque de sql injection.
● Método:
– Utilizando senhas como:
● $injection[]="' or '1'='1";
● $injection[]="' or 'x'='x";
●
$injection[]="' or 0=0 --";
● $injection[]="' or 0=0 --";
● $injection[]='" or 0=0 --';
● $injection[]="or 0=0 --";
● $injection[]="' or '1'='1";

38. Brute-Force + Injection

39. Brute-Force + WordPress
● Objetivo:
– Obter acesso ao sistema.
● Método:
– Listando todos os usuários, com isso, 50% do
ataque já esta realizado com sucesso, faltando
apenas acertar a senha.

40. Brute-Force + WordPress

41. Local File Download
● Objetivo:
– Baixar arquivo de sistemas.
● Método:
– Utilizando a própria aplicação do alvo.

42. Local File Download

43. Sql Injection
● Objetivo:
– Extrair dados indevidos do banco de dados
● Método:
– Inserindo parametros indevidos nas entradas de
dados que são repassadas as base de dados.

44. Sql Injection
● Objetivo:
– Extrair dados indevidos do banco de dados
● Método:
– Inserindo parametros indevidos nas entradas de
dados que são repassadas as base de dados.

45. Resultado
●
Searshing trash
– 18
● Possíveis falhas brute-force do WP
– 8
●
Possíveis falhas de brute force através de injection.
– 12
●
Possíveis falha de Local File Donwload
– 8
●
Possíveis falha de Sqli Injection
– 27
Total de 73

46. Finalmente
● Governo vai ser um eterno alvo.
● Estão aprendendo com os ataques.
● Falta
– Controle.
– Responsabilização.
– Prevensão.
– Monitoramento.
● Sensação de segurança dos gov.br é baixa.

47. Fim!
● Www.lenonleite.com.br
● Www.aszone.com.br
● Twitter
– @lenonleite
● Facebock
– @lenonleite