Grupo hacker brasileiro invade a NASA para jogar Doom

Pode parecer até brincadeira, mas um grupo de pesquisadores hackers “invadiram” um subdomínio da NASA usando falhas de Cross Site Scripting.

O grupo de pesquisadores da CCESS, reconhecidos por pesquisas em vários portais brasileiros que, recentemente encontraram uma falha de nível grave no site do Banco do Brasil, agora resolveram ir mais longe.

Neste domingo dia 10 de fevereiro, o grupo hacker publicou em sua rede social, um ataque que fez com que um dos subdomínios da NASA ficasse em modo “jogável” , além da falha encontrada, o grupo de pesquisadores implementaram o jogo Doom dentro do site.

O Hacker White Hat conhecido como SUBSOLO, foi um dos pesquisadores a achar a falha dentro da NASA em agosto do ano passado. 

Os pesquisadores realizaram o aviso de imediato, porém das três falhas que os hackers encontraram, apenas duas foram corrigidas.

A falha de XSS Injection é comumente sub-classificada mas traz risco alto de acordo com a OWASP .

Veja o vídeo abaixo da prova de conceito feita pelo pesquisador, rodando o jogo DOOM dentro do site.

O link para jogar dentro do site da NASA está disponível na página dos pesquisadores da CCESS, e devido as regras de proteção do Chrome, o payload só pode ser executado no Firefox, se você quiser jogar o game, pode acessar a page dos pesquisadores clicando AQUI.

Além do jogo DOOM os pesquisadores também colocaram um payload do game Space Invaders que pode ser jogado pelo chrome 
https://go.nasa.gov/2USJdQ6

O Doom é um aclamado jogo em primeira pessoa, disso todos sabemos. O que sabemos também, é que o jogo tem um dos códigos fonte mais “abertos” e editáveis já feitos, recurso esse que permite que o game rode razoavelmente bem em quase qualquer dispositivo que possua uma tela. Sabendo disso, um grupo de hackers brasileiros se aproveitou de uma falha de segurança no site da NASA para fazer o jogo rodar lá também.

O grupo brasileiro conhecido como CCNESS fez essa modificação do código fonte do site do OIG (Office of Inspector General), um órgão da NASA que é responsável por melhorar a eficiência econômica de projetos de estudo, observação e exploração espacial. A falha que permitiu que o jogo rodasse no site foi descoberta em agosto do ano passado por um pesquisador chamado Subsolo, ele estava fazendo diversos testes de invasão em sites da NASA quando encontrou duas falhas.

Essas brechas permitiam que uma pessoa que consiga acesso, pudesse rodar um código fonte dentro do site. A NASA foi notificada sobre essas falhas, porém, apenas uma delas foi corrigida.

Se aproveitando da brecha deixada pelos programadores, o grupo de hackers modificou o código fonte e fez o jogo rodar. Essa “brincadeira” parece inofensiva, porém, levanta um ponto muito importante: a segurança do site da NASA poderia ter sido comprometida caso os hackers tivessem outras intenções, como por exemplo, criar uma página falsa para enganar os administradores do sistema e roubar logins e senhas. Outra possibilidade seria a de criar uma notícia falsa e disseminá-la como se fosse uma nota oficial.

Aparentemente, a falha já foi corrigida e o jogo não está mais acessível ao público. A NASA não se pronunciou sobre o ocorrido.

Fonte: Vice

Canal theevolutiontech

Apenas mais um fã da grande rede , um maluco pela internet que passa grande parte do tempo conectado sempre a procura de novidades online , e sempre achando já que a rede é movida por novidades ...

Deixe um Comentário !