In Verbis


icon-doc
REVISTA DE 2014

Anonymous usaram falha conhecida desde 2011

  • PDF

Em 2011, a Procuradoria-Geral da República (PGR) abandonou o alojamento de servidores do Instituto de Gestão Financeira e Equipamentos da Justiça (IGFEJ) para recorrer a um serviço privado.

Desde 2011 que é conhecida a falha de segurança que os Anonymous terão explorado no passado 25 de abril para atacar os sites da PGR, da Procuradoria-Geral do Distrito de Lisboa (PGDL) e do Sistema de Informação do Ministério Público. A PGR terá mesmo sabido desta falha da pior forma: em 2011, um grupo de hacktivistas (as notícias da altura referem o grupo LulzSec) terá conseguido desviar informações sobre alguns processos mais mediáticos que constavam no repositório da PGR, usando a mesma falha de segurança para lançar um ataque de SQL Injection.

Depois do ataque realizado em 2011, a PGR terá sido alertada, por mais de uma vez, para a existência da falha de segurança existente nos sistemas, apurou a Exame Informática. Além de avisos de colegas e especialistas, também o fabricante da plataforma que continha a vulnerabilidade divulgou alertas sobre os riscos que comportava a falha de segurança em causa.

Nos bastidores da segurança eletrónica, há ainda quem garanta que os Anonymous chegaram a divulgar essa mesma falha de segurança nos fóruns que usam para preparar os seus ataques.

Aparentemente, essa mesma falha não terá sido sanada até ao dia 25 de abril de 2014, data em que os Anonymous decidiram avançar com o denominado "Apagão Nacional" contra os sites da PGR, PGDL e SIMP e revelar contactos de mais de dois mil magistrados, entre outros dados confidenciais.

Não há garantias de que a mesma vulnerabilidade já tenha sido sanada à data da edição deste texto: Por esta ou qualquer outra razão, os sites da PGDL e do SIMP mantêm-se inoperacionais.

Ao que a Exame Informática apurou, o ataque levado a cabo por grupos de hackers associados aos Anonymous poderia ter sido mitigado com um serviço denominado de "site shield" que hoje é providenciado pelos operadores de telecomunicações. O facto de o ataque ter conseguido chegar às bases de dados da PGR permite deduzir que o serviço de "site shield" poderá não ter sido contratado.

Contactada pela Exame Informática, a PGR não proferiu qualquer comentário em tempo útil. Nos dias seguintes ao mais recente ataque, a PGR diz ter acionado os meios necessários mal soube do denominado "Apagão Nacional", mas continua por apurar qual a verdadeira extensão do ataque e que tipo de informação estará nas mãos dos Anonymous.

Aparentemente, os sites da PGR terão sido os únicos relacionados direta ou indiretamente com o Ministério da Justiça que sucumbiram à investida dos Anonymous. No dia 25 de abril, vários sites tutelados pelo Ministério da Justiça, (Citius, e Registos predial, civil e automóvel) mantiveram-se operacionais. Estes últimos sites destão alojados, atualmente, em servidores próprios do IGFEJ.

Alojamento externo

Consequência direta do ataque de 2011 ou mera coincidência, a PGR deu início a um processo de migração dos servidores que suportam atividades do dia-a-dia dos magistrados para um serviço de alojamento externo que é pago em regime de aluguer. A migração só terá terminado no ano passado, quando a PGR retirou os últimos servidores alojados no IGFEJ. .

A PGR não forneceu qualquer dado sobre os custos de alojamento ou o motivo que levou ao abandono dos servidores que ocupava gratuitamente num instituto que pertence à administração pública.

Em comum, PGR, PGDL e SIMP têm o facto de serem alojados pela Novis (marca entretanto descontinuada, mas que pertence ao grupo Zon Optimus). A Novis confirma que providencia esse mesmo alojamento, mas rejeita qualquer responsabilidade no que toca à falha que terá permitido o ataque dos Anonymous.

Num e-mail enviado para a Exame Informática, a Zon Optimus recorda que «a gestão dos servidores e da rede interna é do próprio cliente», sendo que apenas fornece o equipamento, na modalidade de aluguer, à PGR. «Não vamos comentar um tema que não é da nossa responsabilidade», acrescenta a Zon Optimus.

O aluguer de servidores é uma prática comum no segmento empresarial – e são várias as modalidades que hoje estão disponíveis no mercado: há empresas que alugam capacidade de armazenamento ou processamento (ficando toda a gestão dos servidores e instalações ao cargo da empresa de alojamento); e no extremo oposto, também há quem, por razões técnicas ou de segurança, se limite a alugar um espaço devidamente equipado para receber os servidores (que são do cliente e não de quem presta o serviço de alojamento). Aparentemente, a PGR optou por uma variante intermédia: alugou capacidade de armazenamento em servidores disponibilizados pelo serviço de alojamento da marca Novis, mas ficou responsável pela gestão de acessos, aplicações e bases de dados que se encontram nesses servidores.

No que toca à gestão dos servidores, PGR recorreu ainda aos serviços de consultoria da empresa Visionware . No portal Base, é possível confirmar que, pelo menos por duas vezes, a PGR já recorreu aos serviços da Visionware. A primeira data de 2009 e ficou orçada em 16 mil euros; o segundo contrato remonta a 2011 e ascendeu a 14.400 euros. Em ambos os casos, a Visionware prestou serviços de consultoria e auditoria de segurança.

Hugo Séneca | Exame Informática | 06-05-2014

Comentários (3)


Exibir/Esconder comentários
Hush up, Don't tell Mama, Shush up, Don't tell Mama...
SSSSSSSSSSShhhhhhhhhiiiiiiiiiiiiiiiuuuuuuuuuuuuu!

Não se fala mais nisto e acabou-se, está bem?

Servidores da Optimus a alojar coisas... da PGR? Ora, queriam que fosse o Sr. Prof. Dr. Marcello Caetano a alugar servidores, não? O Prof. Dr. Marcello Caetano foi para o Brasil!!! smilies/grin.gif

Enfim, faça-se como antes do 25 de Abril: nada de escândalos. O povo é sereno e vai continuar a vidinha, como até aqui.

Nota para a PGR:

O art. 799 do Código Civil diz, no seu nº 1:

«1. Incumbe ao devedor provar que a falta de cumprimento ou o cumprimento defeituoso da obrigação não procede de culpa sua.»

De acordo com as profecias do Bandarra, a PGR vai dizer que a responsabilidade é da Novis (depois ZON-Optimus; muito boa também a não oposição da Autoridade da Concorrência em permitir que a Optimus se fudisse com a ZON. V. comunicado 18/2013 dessa entidade. É de aplaudir smilies/grin.gif ). A Novis vai dizer que a responsabilidade é da PGR, a quem só alugava os servidores, não sendo responsável pela sua gestão. Os Magistrados do MP, que viram dados da sua vida serem expostos, vão querer responsabilizar "alguém". "Alguém" que estava vinculado perante outrem a manter certos dados não acessíveis ao público. Um "devedor"!, essa palavra horrível do jargão impenetrável do Direito das Obrigações smilies/grin.gif
Já estão a ver uns quantos Magistrados do MP responsabilizarem a própria... Procuradoria-Geral da República, não estão? smilies/grin.gif

Procuradoria à qual dedido, imensamente tocado pelo sentido de responsabilidade com que zela pelos seus, e consequentemente pela coisa pública (ou ao contário, é como quiserem), a seguinte música:

http://www.youtube.com/watch?v=uhIt69v0yzY

(Merece que se pesquise pela letra e se a leia com prazer)

Inspirado pela música acima, pensei eu juridico-musicalmente:
Se a PGR toma de aluguer servidores da ZON Optimus, será que não é de ponderar tomar de arrendamento uns cabarets de Lisboa para neles guardar - bem guardados, nem se discute - uns processos em segredo de justiça?
Fica a ideia.

------------------------

«A PGR não forneceu qualquer dado sobre os custos de alojamento ou o motivo que levou ao abandono dos servidores que ocupava gratuitamente num instituto que pertence à administração pública.»

Nem vai dar! Queriam! Devem pensar que isto é alguma democracia!...

-----------------------

A coisa pública está bem entregue, está...
Gabriel Órfão Gonçalves , 07 Maio 2014 - 02:46:06 hr.
...
A primeira frase do artigo diz tudo.
LL , 07 Maio 2014 - 09:49:39 hr.
...
Isto é o cúmulo do despudor.
Entregar a privados a possibilidade de aceder a informação que é suposto ser priveligiada e de acesso reservado ?
Agora, numa outra nota, isto das listas de antiguidade se encontraram publicadas nas net ou acessívies a qualquer um através dela, com informações concretas sobre procuradores e juízes (como nomes, idade e naturalidade) não está com nada e as pessoas responsáveis (os Conselhos Superiores) deveriam emitir instruções para que a exposição acabe e que tal informação seja acessível apenas a directamente interessados ou com legitimidade para esse fim.
É que isto de lidar com criminosos tem que se lhe diga (mas parece que anda tudo a dormir a pensar que nunca vai acontecer nada).
Ai Ai , 07 Maio 2014 - 11:20:37 hr.

Escreva o seu comentário

reduzir | aumentar

busy

Últimos conteúdos

Com o termo do ano de 2014, cessaram as publicações de conteúdos nesta Revista Digital de 2014.Para aceder aos conteúdos...


O número de funcionários judiciais diminuiu 9,9 por cento em seis anos, enquanto os magistrados do Ministério Público au...

A partir de 1 de janeiro, os médicos vão recuperar os 20% tirados ao pagamento do trabalho extraordinário. ...

Últimos comentários

Forense Magistrados: Ministério Público Anonymous usaram falha conhecida desde 2011

© InVerbis | Revista Digital | 2014.

Sítios do Portal Verbo Jurídico