Atualizado: Grupo Fatal Error invade site da FAB e do EB

25/11/2008 Written by Marcelo Almeida (Vympel)

brasaofabUm dos gru­pos mais anti­gos e ainda em ativi­dade, con­hecido como Fatal Error, inva­diu na noite de ontem o site da Força Aérea Brasileira. Jun­ta­mente com este ataque o defacer des­fig­urou out­ros 6 sites da FAB.
Entramos em con­tato com o defacer, para desco­brir qual foi o método uti­lizado no ataque e desco­b­ri­mos que a falha explo­rada foi SQL Injec­tion.
Segundo o defacer o site da FAB está “todo vul­nerável” a ataques de SQL Injec­tion.
Este tipo de ataque não depende do sis­tema opera­cional ou da lin­guagem de pro­gra­mação do site (ASP, PHP, Cold­Fu­sion e etc…), os fatores que levam a este tipo de falha são o erro no trata­mento de querys sql por quem desen­volveu o site, per­mitindo assim ao defacer, manip­u­lar as infor­mações den­tro do banco de dados usando ape­nas a URL do site, e somado com a con­fig­u­ração errada do web­server, leva ao agrava­mento da falha de segu­rança, per­mitindo muitas vezes que um usuário mali­cioso envie arquivos para den­tro do servidor.

Este grupo efe­tuou entre os dias 1921 deste mês o maior ataque a sites do Gov­erno Brasileiro, com um total de 302 invasões e nova­mente por uma falha de SQL Injection…

Ape­sar da maio­ria dos admin­istradores de rede e/​ou servi­dores web não darem muita importân­cia as pági­nas cri­adas pela sua equipe de pro­gra­madores webs, eles dev­e­riam ao menos con­fig­u­rarem seus servi­dores de maneira ade­quada, para evi­tar que um pequeno ataque de SQL Injec­tion, possa resul­tar em uma invasão em massa ou o que é muito pior, o roubo de todas as infor­mações do banco de dados, através de um DUMP remoto.
Mas como existe uma grande difer­ença entre o que é cor­reto fazer e o que real­mente fazem, temos reg­istrado cen­te­nas de ataques a empre­sas mundial­mente famosas e a inúmeros sites de Gov­erno, e quase todos, por um ataque de SQL Injec­tion.

Lista dos ataques aos sites da FAB:
http://​www​.zone​-​h​.com​.br/​a​r​c​h​i​v​e​/​i​p​=​200​.​140​.​133.48

Lista do maior ataque a sites do Gov­erno Brasileiro:
http://​www​.zone​-​h​.com​.br/​a​r​c​h​i​v​e​/​i​p​=​200​.​192​.​137.48 

Atu­al­iza­ção:

Três dias após atacar o site da FAB, o grupo ata­cou 5 sites do Exército Brasileiro, tam­bém por uma falha de SQL Injection.

Lista dos ataques ao EB:
http://​br​.zone​-​h​.org/​a​r​c​h​i​v​e​/​s​p​e​c​i​a​l​=​1​/​i​p​=​200​.​163​.​35.34

Se você quer apren­der como evi­tar fal­has de SQL Injec­tion, entre out­ras, não deixa de vis­i­tar nosso fórum.


Share this content: