Com foco em segurança da informação, o Projeto Segurança no Elemento Humano (SEH) está abordando neste mês o tema vazamento de dados, um dos riscos mais recorrentes no ambiente digital. A iniciativa é promovida pelo Colégio de Gestores de TI e Comunicação (CGTIC) das Instituições Federais de Ensino Superior (IFES), vinculado à Associação Nacional dos Dirigentes das Instituições Federais de Ensino Superior (ANDIFES), e conta com o apoio de 24 universidades brasileiras, entre elas a UFMT (Universidade Federal de Mato Grosso).
Durante a semana, a campanha reforça a importância da criação de senhas fortes como uma das principais barreiras contra fraudes e invasões de contas pessoais e institucionais. A orientação é clara: proteger suas informações começa por uma senha bem elaborada.
Entre as recomendações estão: utilizar senhas com no mínimo 12 caracteres, misturando letras maiúsculas, minúsculas, números e símbolos; evitar dados previsíveis, como datas de aniversário ou nomes de familiares; não reutilizar senhas em diferentes serviços — uma prática comum, mas que amplia o risco em caso de vazamento; e considerar o uso de gerenciadores de senhas, que auxiliam na criação e armazenamento seguro de combinações robustas.
O projeto SEH tem como missão ampliar a consciência digital entre servidores, estudantes e a comunidade acadêmica em geral, estimulando hábitos que fortaleçam a proteção de dados pessoais e institucionais. Segundo os organizadores, a segurança da informação depende não apenas da tecnologia, mas também do comportamento das pessoas no uso cotidiano dos recursos digitais.
A campanha segue ao longo do mês com novos conteúdos educativos e orientações práticas voltadas à construção de um ambiente virtual mais seguro em todo o país.
A Polícia Federal (PF) prendeu uma pessoa suspeita de ser o hacker que invadiu sistemas de diversas instituições federais. Entre elas, a própria PF. A prisão ocorreu nesta quarta-feira (16) durante a Operação Data Breach, deflagrada com o objetivo de investigar invasões aos sistemas da PF e de instituições internacionais.
Os mandados de prisão preventiva e de busca e apreensão foram cumpridos em Belo Horizonte. De acordo com os investigadores, o suspeito teria sido responsável por duas publicações de venda de dados da Polícia Federal, em 22 de maio de 2020 e em 22 de fevereiro de 2022.
“O preso se vangloriava de ser o responsável por diversas invasões cibernéticas realizadas em alguns países, afirmando, em sites na internet, ter divulgado dados sensíveis de 80 mil membros da InfraGard, uma parceria entre o Federal Bureau Investigation – FBI e entidades privadas de infraestrutura crítica dos Estados Unidos da América”, informou por meio de nota a PF.
Ainda segundo os investigadores, o hacker seria conhecido, nos ambientes virtuais, como um “ator malicioso responsável pelo vazamento de grandes bases de dados de informações pessoais, incluindo as de empresas como Airbus e a Agência de Proteção Ambiental dos Estados Unidos”.
Ele deverá responder pelo crime de invasão de dispositivo informático, qualificado pela obtenção de informações, com causa de aumento de pena pela comercialização dos dados obtidos.
A Polícia Civil de Mato Grosso, por meio da Delegacia Especializada de Repressão a Crimes Informáticos (DRCI), deflagrou, nesta quarta-feira (18), a segunda fase da operação “Código Seguro”. O alvo é um homem de 35 anos, residente em São Paulo (SP), investigado por tentativas de acesso indevido ao sistema de consultas da Polícia Civil mato-grossense, utilizando credenciais vazadas.
A ordem de busca domiciliar foi expedida pelo Núcleo de Inquéritos Policiais de Cuiabá, com base em investigações lideradas pelo delegado adjunto da DRCI, Gustavo Godoy Alevado. A investigação foi iniciada após a Gerência de Desenvolvimento de Sistemas e Aplicações da Polícia Civil identificar atividades suspeitas nos logs de acesso ao sistema, evidenciando tentativas de invasão com o uso de credenciais comprometidas.
A primeira fase da operação foi realizada em 17 de julho de 2024, nos municípios de Francisco Alves (PR), Sobral e Fortaleza (CE). Durante as ações, foram apreendidos dispositivos eletrônicos, computadores, R$ 25 mil em espécie e outras mídias digitais. Esses materiais estão em análise, com autorização judicial, para extração de dados que possam contribuir com o avanço das investigações.
A delegada titular da DRCI, Juliana Chiquito Palhares, destacou a relevância da operação para garantir a segurança dos sistemas da Polícia Civil. “A operação Código Seguro é um marco na proteção dos dados da Polícia Civil e de outras instituições públicas. Continuaremos atuando com rigor para identificar e responsabilizar os envolvidos em tentativas de comprometer a integridade dos nossos sistemas”, afirmou a delegada.
A operação segue em andamento com o objetivo de desmantelar a rede responsável por crimes cibernéticos que ameaçam instituições públicas e privadas no estado e em outras regiões do país.
Pesquisadores da Universidade da República, no Uruguai, revelaram uma nova forma de espionagem digital que pode deixar qualquer usuário em alerta. Utilizando inteligência artificial, eles conseguiram reconstruir imagens exibidas em monitores a partir da radiação eletromagnética emitida pelos cabos HDMI. Segundo a equipe, essa técnica já estaria sendo empregada por cibercriminosos.
A ideia de interceptar sinais de vídeo para descobrir o conteúdo de uma tela não é nova. No entanto, a complexidade dos sinais digitais transmitidos pelos cabos HDMI tornou essa tarefa muito mais desafiadora do que nos antigos sistemas analógicos.
Mas, apesar da evolução tecnológica, esses cabos ainda emitem uma fraca radiação eletromagnética. Os pesquisadores conseguiram treinar uma inteligência artificial para interpretar esses sinais e transformá-los em imagens reconhecíveis.
Embora a qualidade da conversão do sinal saindo dos cabos HDMI ainda não seja perfeita, o método apresentou uma taxa de acerto de cerca de 70% na reconstrução de textos, o suficiente para revelar informações sensíveis como senhas e dados financeiros.
Para testar sua descoberta, os cientistas utilizaram software de reconhecimento de texto nas imagens recuperadas. Os resultados foram comparados com o conteúdo original da tela, mostrando uma melhoria de 60% em relação a técnicas anteriores.
O método pode ser aplicado de diferentes formas. Hackers podem instalar dispositivos de captura de sinal em locais estratégicos ou simplesmente utilizar uma antena para interceptar a radiação emitida pelos cabos HDMI. De acordo com os pesquisadores, agências governamentais e indústrias sensíveis já são alvos desse tipo de ataque, mas o custo para proteger instalações contra essas ameaças é elevado.
Para o usuário comum, o risco ainda é relativamente baixo, já que a implementação da técnica requer conhecimento especializado e equipamentos específicos. No entanto, a descoberta é um alerta sobre a importância da segurança digital.
“Governos estão preocupados com isso, mas não acho que o usuário comum deva ficar muito alarmado. Ainda assim, se você realmente se preocupa com segurança, isso pode ser um problema”, afirma Federico Larroca, líder da pesquisa.
Uma vulnerabilidade crítica na linguagem de programação PHP pode ser explorada trivialmente para executar código malicioso em dispositivos Windows, alertam pesquisadores de segurança, que pediram aos afetados que tomem medidas antes do início do fim de semana.
Menos de 24 horas após a publicação da vulnerabilidade e do patch correspondente, pesquisadores da organização de segurança sem fins lucrativos Shadowserver relataram varreduras na Internet projetadas para identificar servidores vulneráveis a ataques. Isso – combinado com (1) a facilidade de exploração, (2) a disponibilidade de código de ataque de prova de conceito, (3) a gravidade da execução remota de código em máquinas vulneráveis e (4) a ampla plataforma XAMPP sendo vulnerável por padrão – levou os profissionais de segurança a urgir os administradores para verificar se seus servidores são afetados antes de começar o fim de semana.
Quando “Melhor ajuste” não é o melhor
“Um bug desagradável com uma exploração muito simples – perfeito para uma tarde de sexta-feira”, escreveram pesquisadores da empresa de segurança WatchTowr.
CVE-2024-4577, como a vulnerabilidade é rastreada, decorre de erros na maneira como o PHP converte caracteres Unicode em ASCII. Um recurso embutido no Windows conhecido como Best Fit permite que invasores usem uma técnica conhecida como injeção de argumento para passar a entrada fornecida pelo usuário para comandos executados por um aplicativo, neste caso, PHP. Exploits permitem que invasores contornem o CVE-2012-1823, uma vulnerabilidade crítica de execução de código corrigida em 2012.
“Ao implementar o PHP, a equipe não percebeu o recurso de Melhor Ajuste da conversão de codificação no sistema operacional Windows”, escreveram pesquisadores da Devcore, a empresa de segurança que descobriu o CVE-2024-4577. “Essa supervisão permite que invasores não autenticados contornem a proteção anterior do CVE-2012-1823 por meio de sequências de caracteres específicas. O código arbitrário pode ser executado em servidores PHP remotos por meio do ataque de injeção de argumento.”
O CVE-2024-4577 afeta o PHP somente quando ele é executado em um modo conhecido como CGI, no qual um servidor web analisa solicitações HTTP e as passa para um script para processamento. Mesmo quando não está definido para o modo CGI, no entanto, a vulnerabilidade ainda pode ser explorável quando executáveis como php.exe e php-cgi.exe estão em diretórios acessíveis pelo servidor web. Esta configuração é definida por padrão no XAMPP para Windows, tornando a plataforma vulnerável a menos que tenha sido modificada.
Um exemplo, observou WatchTowr, ocorre quando consultas são analisadas e enviadas por meio de uma linha de comando. O resultado: uma solicitação inofensiva como host/cgi.php?foo=bar poderia ser convertida em php.exe cgi.php foo=bar, um comando que seria executado pelo mecanismo principal da linguagem.
Sem escape para PHP
Créditos: SurfShark
Como muitas outras linguagens, o a linguagem converte certos tipos de entrada do usuário para evitar que seja interpretada como um comando para execução. Esse é um processo conhecido como escape. Por exemplo, em HTML, os caracteres < e > são frequentemente escapados convertendo-os em seus equivalentes de valor hexadecimal Unicode < e > para evitar que sejam interpretados como tags HTML por um navegador.
Os pesquisadores da WatchTowr demonstram como o Best Fit falha ao escapar caracteres como um hífen suave (com valor Unicode 0xAD) e, em vez disso, o converte em um hífen normal não escapado (0x2D), um caractere essencial em muitas sintaxes de código.
Os pesquisadores continuaram explicando:
Acontece que, como parte do processamento Unicode, a linguagem aplicará um mapeamento conhecido como ‘melhor ajuste’ e presumirá que, quando o usuário inseriu um hífen suave, ele realmente quis digitar um hífen real e interpretá-lo como tal. Aqui reside a nossa vulnerabilidade – se fornecermos a um manipulador CGI um hífen suave (0xAD), o manipulador CGI não sentirá a necessidade de escapá-lo e o passará para o PHP. A linguagem, no entanto, irá interpretá-lo como se fosse um hífen real, o que permite a um invasor inserir argumentos de linha de comando extras, que começam com hifens, no processo.
Isso é notavelmente semelhante a um bug antigo do PHP (no modo CGI), CVE-2012-1823, e podemos pegar emprestadas algumas técnicas de exploração desenvolvidas para esse bug antigo e adaptá-las para funcionar com nosso novo bug. Uma análise útil aconselha que, para traduzir nossa injeção em RCE (Execução Remota de Código), devemos injetar os seguintes argumentos:
A vulnerabilidade foi descoberta pelo pesquisador da Devcore, Orange Tsai, que disse: “O bug é incrivelmente simples, mas é isso que também o torna interessante.”
O relatório da Devcore disse que os pesquisadores confirmaram que o XAMPP é vulnerável quando o Windows está configurado para usar os locais para chinês tradicional, chinês simplificado ou japonês. No Windows, um local é um conjunto de informações de preferência do usuário relacionadas ao idioma, ambiente e/ou convenções culturais do usuário. Os pesquisadores não testaram outros locais e pediram às pessoas que os usam para realizar uma avaliação abrangente de ativos para testar seus cenários de uso.
O CVE-2024-4577 afeta todas as versões do PHP em execução em um dispositivo Windows. Isso inclui branches da versão 8.3 anteriores a 8.3.8, 8.2 anteriores a 8.2.20 e 8.1 anteriores a 8.1.29.
Os branches da versão 8.0, 7 e 5 também são vulneráveis, mas como não são mais suportados, os administradores terão que seguir os conselhos de mitigação, pois os patches não estão disponíveis. Uma opção é aplicar o que é conhecido como regras de reescrita, como:
RewriteEngine On RewriteCond %{QUERY_STRING} ^%ad [NC] RewriteRule .? – [F,L]
Os pesquisadores alertam que essas regras foram testadas apenas para os três locais que eles confirmaram como vulneráveis.
O XAMPP para Windows ainda não havia lançado uma correção no momento em que esta postagem foi publicada. Para administradores que não precisam do PHP CGI, eles podem desativá-lo usando a seguinte configuração do Apache HTTP Server:
Conclusão
A vulnerabilidade crítica CVE-2024-4577 no PHP afeta todas as versões da linguagem em execução em dispositivos Windows. Devido à facilidade de exploração e à gravidade da execução remota de código, os administradores de sistema devem tomar medidas imediatas para atualizar suas instalações para versões corrigidas.
Recomendações:
Aplique os patches mais recentes do PHP: Patches estão disponíveis para todas as versões suportadas do PHP.
Verifique se o XAMPP está atualizado: Se você estiver usando o XAMPP, certifique-se de que ele esteja atualizado com a versão mais recente.
Implemente regras de reescrita (opcional): Como solução alternativa, os administradores podem implementar regras de reescrita no Apache HTTP Server para mitigar a vulnerabilidade.
Desative o PHP CGI (opcional): Se o PHP CGI não for necessário, desativá-lo pode reduzir o risco de exploração.
Mantenha-se informado: Continue monitorando fontes confiáveis de segurança para obter as últimas informações sobre essa vulnerabilidade e outras ameaças à segurança.
Lembre-se: A segurança cibernética é uma responsabilidade contínua. É crucial aplicar as atualizações de segurança com rapidez e tomar medidas proativas para proteger seus sistemas contra vulnerabilidades conhecidas.
O perfil da Câmara dos Deputados no microblog X, antigo Twitter, foi invadido na manhã deste sábado (10) e trouxe às 11h09 uma publicação que chama o ministro Alexandre de Moraes, do Supremo Tribunal Federal (STF), de “ditador”. A postagem foi apagada logo em seguida.
Brasília (DF) 10/02/2024 – Reprodução do post do X da Camera dos Deputdos. Reprodução Camara dos Deputaos/X
A publicação, de possível ataque hacker, ataca ainda o ministro e o presidente Lula acusando os dois de planejarem um “golpe de Estado”. A última frase aponta que o autor da mensagem será “caçado”.
“O ditador Alexandre de Moraes destrói a democracia. Estão planejando um golpe de Estado orquestrado pelo Alexandre e pelo @Lula. Serei caçado, mas estarei lutando contra”.
Não há identificação de autoria da postagem, que ainda pede que perfis do Pastor Malafaia, do ativista Monark, do ex-presidente Jair Bolsonaro e do vereador do Rio de Janeiro Carlos Bolsonaro repostem a mensagem.
A reportagem procurou a assessoria da Câmara dos Deputados, mas ainda não obteve resposta sobre o que ocorreu.
Um ataque hacker invadiu o sistema de tecnologia do Instituto Nacional de Câncer (Inca), no Rio de Janeiro, no último sábado (27). Segundo a instituição, os programas de segurança foram ativados, mas os serviços de tecnologia precisaram ser interrompidos para evitar danos.
O setor de radioterapia precisou ser suspenso temporariamente e só será retomado quando houver segurança necessária para o religamento do sistema, de acordo com a assessoria de imprensa do instituto. As marcações de consultas também foram interrompidas.
No entanto, de acordo com o Inca, as consultas agendadas estão ocorrendo normalmente, por meio de anotações manuais sobre a evolução do paciente e receitas feitas à mão. As internações, cirurgias, sessões de quimioterapia e o funcionamento do centro de tratamento intensivo (CTI) também continuam normais.
“O Inca reafirma o compromisso com a saúde e o bem-estar dos pacientes, suas famílias e colaboradores. Estamos acompanhando de perto o desenvolvimento do trabalho da equipe de TI para assegurar que o serviço ao público não seja prejudicado e as marcações possam ser retomadas”, informa nota divulgada pelo instituto.
A Secretaria de Comunicação Social da Presidência da República (Secom) informou na noite desta segunda-feira (11) que Polícia Federal (PF) investiga o ataque hacker ao perfil da primeira-dama Janja Lula da Silva na plataforma X (antigo Twitter).
Na nota, a secretaria diz ainda repudiar “veementemente o ataque” e que a plataforma X também foi acionada para apurar o caso.
“Todas as medidas cabíveis estão sendo tomadas. Não serão tolerados crimes, discursos misóginos, o ódio e a intolerância nas redes sociais”, completa.
No ataque, os invasores publicaram mensagens ofensivas e com xingamentos.
Os deputados distritais que integram a Comissão Parlamentar de Inquérito (CPI) dos Atos Antidemocráticos da Câmara Legislativa do Distrito Federal aprovaram, nesta quinta-feira (24), a convocação do hacker Walter Delgatti Neto.
Conhecido como Hacker da Vaza Jato, Delgatti é suspeito de invadir os sistemas do Conselho Nacional de Justiça (CNJ) e inserir falsos documentos e alvarás de soltura no Banco Nacional de Mandados de Prisão.
O hacker também responde a processo por ter invadido os telefones celulares do ex-ministro da Justiça e Segurança Pública e hoje senador Sergio Moro (União Brasil – PR), acessando e divulgando as conversas de Moro com outras autoridades, como o ex-coordenador da força-tarefa Lava Jato e atual deputado federal Deltan Dallagnol (Podemos-PR).
A divulgação das informações extraídas ilegalmente dos aparelhos telefônicos de autoridades públicas deu origem à chamada Operação Vaza Jato, que expôs os bastidores da Operação Lava Jato, reforçando os argumentos dos críticos que acusavam o Poder Judiciário de vazar informações sigilosas de forma seletiva, com fins políticos, além de violar o devido processo legal e o princípio da imparcialidade e abusar das prisões preventivas a fim de forçar os investigados a fazerem acordos de delação premiada.
Nesta segunda-feira (21), o juiz Ricardo Leite, da 10ª Vara Federal em Brasília, condenou Delgatti a 20 anos de prisão e outros seis acusados por invadirem os aparelhos celulares de Moro e acessar a conta do ex-ministro no aplicativo de mensagens Telegram. A decisão judicial comporta recurso.
Delgatti prestou depoimento à Comissão Parlamentar Mista de Inquérito (CPMI), do Congresso Nacional, no último dia 17. Na ocasião, o hacker afirmou que invadiu o sistema do CNJ a fim de desmoralizar o Poder Judiciário, agindo a mando da deputada federal Carla Zambelli (PL-SP), de quem ele afirma ter recebido R$ 40 mil. Delgatti também assegura ter se reunido com o ex-presidente Jair Bolsonaro e que este teria pedido que ele assumisse a autoria de um suposto grampo contra o ministro do Supremo Tribunal Federal (STF), Alexandre de Moraes. Zambelli e Bolsonaro negam as acusações.
Informações
Os deputados distritais também aprovaram dois requerimentos de informação. Um deles pede informações ao Comando Militar do Planalto, unidade responsável pela segurança da área onde fica o Quartel-General do Exército, em Brasília. Parte dos vândalos e golpistas que invadiram e depredaram o Palácio do Planalto, o Congresso Nacional e a sede do Supremo Tribunal Federal (STF) em 8 de janeiro deste ano permaneceram acampados diante do quartel por meses.
Em depoimento à própria CPI da Câmara Legislativa do Distrito Federal, o ex-chefe do Comando Militar do Planalto, general Gustavo Henrique Dutra, já disse que nenhuma instituição pública responsável tomou qualquer medida contra o acampamento antes do 8 de janeiro. E que, no dia do ataque aos Três Poderes (Executivo, Legislativo e Judiciário), convenceu o presidente Luiz Inácio Lula da Silva e seus principais assessores a não autorizarem que os extremistas fossem detidos no mesmo dia, evitando um possível confronto.
O segundo requerimento aprovado requer ao Gabinete de Segurança Institucional (GSI) que forneça todas as informações disponíveis relativas aos atos de vandalismo de 8 de janeiro, esclarecendo quais medidas de segurança foram adotadas a fim de evitar a invasão do Palácio do Planalto.
Acompanhada por alguns colegas de partido, a deputada federal Carla Zambelli (PL-SP) negou ter pagado o hacker Walter Delgatti Neto para invadir o sistema do Conselho Nacional de Justiça (CNJ) e de outros tribunais. Ela conversou com a imprensa nesta quarta-feira (2) na Câmara dos Deputados e disse que está à disposição da Justiça.
Conhecido como o hacker da “Vaza Jato”, Delgatti foi preso preventivamente hoje por decisão do ministro do Supremo Tribunal Federal (STF) Alexandre de Moraes. Já a deputada Zambelli foi alvo de busca e apreensão e teve a casa e o gabinete vistoriados pela Polícia Federal (PF).
Zambelli disse que fez um pagamento de R$ 3 mil a Delgatti para que ele fizesse melhorias no site dela, além de interligar a página com suas redes sociais. “Eu pagaria R$ 3 mil para me arriscar dessa forma? Para fazer uma brincadeira de mau gosto? Porque essa questão do CNJ foi uma brincadeira de mau gosto. Eu sou uma deputada séria, eu sei o que é certo e o que é errado, e eu acho que não participaria de uma piada de mau gosto com Alexandre de Moraes”, afirmou a deputada.
Segundo a Polícia Federal, o sistema informático do Banco Nacional de Mandados de Prisão do CNJ foi invadido e um mandado de prisão falso contra Alexandre de Moraes foi incluído na plataforma do Judiciário. A PF também investiga a inserção de dez alvarás de soltura no sistema do CNJ em benefício de presos espalhados pelo país.
Segundo o despacho de Moraes, a PF informa que Walter Delgatti teria recebido R$ 13,5 mil “possivelmente como contraprestação pelos serviços prestados, por meio de interpostas pessoas próximas da deputada federal Carla Zambelli”.
A parlamentar disse que conheceu o hacker saindo de um hotel e que teria apresentado ele ao presidente do Partido Liberal, Valdemar Costa Neto, e ao ex-presidente Jair Bolsonaro. Zambelli disse que o hacker queria oferecer os serviços dele ao PL para participar de uma auditoria nas urnas eletrônicas. Porém, Zambelli disse que o negócio não foi fechado. “Eu não sabia como ele estava naquele momento, em que espectro ideológico”, justificou.
Sobre o encontro com Bolsonaro, Zambelli disse que o ex-presidente apenas queria saber a opinião sobre a segurança da urna eletrônica devido ao conhecimento de Delgatti sobre tecnologia da informação. “Por certo, o presidente deve ter ficado com receio de contratar alguém assim”, especulou a parlamentar, que acrescentou que não houve mais contato entre Bolsonaro e Delgatti após essa reunião.
O hacker Walter Delgatti Neto ficou conhecido por ter acessado o celular do ex-deputado federal e ex-procurador da Lava Jato, Deltan Dallagnol, dando início à série de reportagens conhecida como Vaza Jato, que revelou os bastidores da Operação Lava Jato. Os dados revelados por Delgatti reforçaram os argumentos dos críticos da Lava Jato que acusam a operação de ter se guiado por objetivos políticos, desrespeitando o devido processo legal e o princípio da imparcialidade do Judiciário.
