Início » Antivírus e Segurança » Hacker ensina no YouTube como invadir sistema da CGU

Hacker ensina no YouTube como invadir sistema da CGU

CGU é responsável pela defesa do patrimônio público e combate à corrupção; navegador acusa que site da VPN é "não seguro"

Felipe VenturaPor

A CGU (Controladoria Geral da União) se descreve como “o órgão do Governo Federal responsável pela defesa do patrimônio público, transparência e combate à corrupção”. Por terem essas atribuições, eles deveriam melhorar a segurança de suas redes: um hacker publicou um tutorial no YouTube ensinando a fazer login na VPN — cujo site é marcado como “não seguro” — e acessar PCs dos funcionários.

Controladoria Geral da União (Imagem: Divulgação/CGU)

Controladoria Geral da União (Imagem: Divulgação/CGU)

O vídeo, ao qual o Tecnoblog teve acesso, já foi removido do YouTube por violação de diretrizes da comunidade. Ele continua circulando na web, mas não divulgaremos o link.

Há três momentos importantes no vídeo. No primeiro deles, o hacker roda um script na linguagem de programação Python dentro de um instância do Google Cloud, plataforma de computação na nuvem.

Com isso, ele consegue obter uma lista enorme com dezenas de logins e senhas para a VPN da CGU, usada para acesso remoto a seus sistemas — algo necessário para quem está trabalhando de casa devido à pandemia da COVID-19.

Invasão da CGU (Imagem: Reprodução)

Invasão da CGU (Imagem: Reprodução)

CGU usa site “não seguro” para VPN

No segundo momento, o hacker abre o site da VPN no navegador Brave e a barra de endereços exibe um aviso: “Não seguro”. A página usa um certificado SSL autoassinado pela própria CGU, levando o navegador a emitir um erro de autoridade inválida; ao acessar o mesmo link através do Google Chrome, surge a mensagem “Sua conexão não é particular”.

O terceiro momento é a invasão de fato: bastou usar um dos logins e senhas para entrar no portal interno. Lá, existe a opção de configurar o RDP (Remote Desktop Protocol), usado para fazer acesso remoto a um computador.

Invasão da CGU (Imagem: Reprodução)

Invasão da CGU (Imagem: Reprodução)

Vale notar que a VPN implementada pela CGU continua exibindo o erro “não seguro” até agora. A controladoria usa o FortiClient, da americana Fortinet, que oferece tutoriais em texto e em vídeo de como configurar o SSL para acesso de usuários remotos.

“Como medida imediata, a CGU adotou medidas preventivas pertinentes ao caso”, diz o órgão em nota ao Metrópoles. “Até o momento, não há indícios de comprometimento de serviços, sistemas e dados da Controladoria.”

Comentários da Comunidade

Participe da discussão
9 usuários participando

Os mais notáveis

Comentários com a maior pontuação

@bkdwt

O sistema da CGU deve ter sido montado e deve mantido pelos mestres da Abin.

Luiz Carlos Garcia Mota Junior (@ecszin)

Na verdade, a informação sobre não estar utilizando SSL é errônea. A funcionalidade explorada é SSLVPN Portal. O “Não Seguro” exibido, é porque a CGU está utilizando o certificado default da Fortinet, que já vem no FortiOS, e que não corresponde ao FQDN utilizado para o acesso do portal.

Essa vulnerabilidade explorada, foi reportada em 24 de Maio de 2019, no FortiGuard Labs, com CVE-ID CVE-2018-13379 e afeta versões mais antigas do FortiOS.

Matheus Motta (@Matheus_Motta)

Só no Brasil

@ksio89

Sites do governo brasileiro sem segurança, finja surpresa.

Caio Henrique Galli dos Santos (@chgsantos)

Outro ponto é que certificado gerado internamente não necessariamente é inseguro. É menos seguro que um assinado por uma das grandes empresas (CertiSign, Comodo, Let’s Encrypt), mas não deixa de ser seguro.

Tech Nerd 🤓 (@technerd)

Algum especialista em segurança digital me tira uma dúvida:

Como é de maneira geral a segurança de sites, portais e sistemas de prefeituras no país? Fico imaginando se algum cracker investir algumas horinhas nisso deve conseguir tomar de assalto todo banco de dados de um grande número de prefeituras.

Felipe Silva (@Felipe_Silva)

Será que o que rolou com o STJ não tem nenhuma relação com esse tipo de problema nas VPN?

@ksio89

Ao menos os sites da Prefeitura de Fortaleza me parecem decentes em relação à criptografia, eu não me lembro de nenhuma página que não tivesse certificado ou que ele fosse inválido, como é extremamente comum com os sites do governo federal.

Agora não sei se os sistemas e bancos de dados em si são devidamente protegidos, mas nunca soube de qualquer invasão. Só pra ter uma ideia, eis o certificado da página da Secretaria de Finanças, onde emito os boletos de IPTU:

Screenshot_20201112-1608141080×2160 226 KB

Felipe Silva (@Felipe_Silva)

Depois de explorar a VPN o resto é questão de persistência, maioria dos sistemas é fraco internamente, e o bloqueio de acessos externos que protege ele.