Ninguém está seguro: até mesmo a vítima do FBI de um ataque cibernético
Alguns chamariam de confronto, mas o fato é que alguns conseguiram e os sistemas do inviolável FBI também foram vítimas de um ataque cibernético. De acordo com relatórios do especialista em segurança cibernética Brian Krebs, alguns dias atrás, o Federal Bureau of Investigation (FBI) viu seu nome de domínio e endereço de Internet usados para enviar e-mails falsos . O FBI então confirmou a veracidade da notícia no sábado, 13 de novembro, informando que o servidor infrator foi imediatamente desconectado da rede.
O ataque ao FBI
Tentamos reconstruir o que aconteceu e compreender as origens de uma violação tão histórica. No final da noite de sexta-feira, 12 de novembro, milhares de e-mails foram enviados de [email protected], registrado no domínio do governo do FBI . Os e-mails continham informações enganosas sobre um suposto ataque cibernético para proteção em um contexto totalmente legítimo e foram inicialmente descobertos pelo Projeto Spamhaus , uma organização sem fins lucrativos que investiga spammers.
Olhando em detalhes no cabeçalho da mensagem, o campo De do e-mail continha corretamente o endereço do servidor da Agência Governamental, tornando-o legal. Nesse ínterim, o KrebsOnSecurity também recebeu um e-mail semelhante no qual era solicitado a verificar a veracidade do ataque de Pompompurin, o codinome de um usuário.
Desta forma, Pompompurin queria demonstrar a vulnerabilidade dos sistemas de informação da Agência Americana, explorando-os para seus próprios fins e exibindo suas habilidades. No entanto, o bug estava realmente lá e foi colossal.
Uma grande vulnerabilidade em um dos sites do FBI
Um dos sites disponibilizados no domínio governamental fbi.gov é o Law Enforcement Enterprise Portal (LEEP), usado por investigadores e agências de inteligência para compartilhar informações internamente. Para acessar este portal, como sempre acontece, você passa por um processo de cadastro por meio de formulários para inserir suas informações. Ao final do procedimento, um e-mail de confirmação contendo um código de uso único é enviado ao usuário que se cadastra para concluir o processo e, portanto, se autenticar.
Aqui começa a beleza, vem a parte mais interessante. Na verdade, o código de uso único é gerado em tempo de execução no lado do cliente e, ao mesmo tempo, o navegador gera uma solicitação para o servidor web. A solicitação é utilizada para iniciar o e-mail de confirmação e contém todos os campos necessários para preparar a mensagem de e-mail. Basicamente, o gerenciamento da confirmação do usuário é deixado para a execução do navegador do lado do cliente.
O invasor foi, portanto, capaz de modificar o POST enviado ao servidor inserindo os campos Assunto e Corpo personalizados . Por fim, graças a um script, foi possível automatizar o ataque, enviando milhares de e-mails de um domínio do FBI.
A resposta do FBI ao ataque cibernético
No domingo, 14 de novembro, uma nova nota chegou do FBI, garantindo que o servidor fosse usado apenas para enviar notificações do LEEP, mas que não fazia parte da rede interna de e-mail. Além disso, o FBI especificou que não havia acesso não autorizado a sistemas internos ou informações confidenciais .
O bug foi prontamente corrigido, mas o ataque mostra claramente como os alvos sensíveis estão atentos em nível nacional. E a tendência de ataques continua crescendo nos últimos tempos, não apenas do ponto de vista do phishing. Além disso, a falta de atenção à segurança parece cada vez mais evidente e continua a ser vista como um custo e não como um investimento.
Artigo Ninguém está seguro: Vítima de ataque cibernético do FBI também vem do Tech CuE | Engenharia de close-up .