Arquivo de Crackers - Blog do Mesquita

‘Sequestro digital’ atinge contas do iCloud, alerta especialista

23 de março de 2016

O pesquisador de segurança Thomas Reed da Malwarebytes alertou em um post no blog da empresa que golpistas podem estar sequestrando contas do iCloud e usando os recursos antirroubo desenvolvidos pela Apple para bloquear dispositivos, como iPhones e Macs. Para realizar o desbloqueio, o golpista exige uma quantia em dinheiro. Reed contou o caso de uma vítima chamada Ericka que o procurou para obter auxílio com o problema. O invasor deixou a seguinte ameaça na tela do computador (em inglês ruim): “Todas as suas conversas de SMS+email, banco, arquivos do computador, contatos, fotos, eu publicarei + enviarei aos seus contatos”. O mesmo recado foi enviado por e-mail para ela a partir do próprio endereço do iCloud dela. Os recursos antirroubo têm por finalidade reduzir o interesse de ladrões, além de proteger os dados do usuário. Quando esses recursos são usados contra o usuário, porém, o estrago pode ser difícil de ser desfeito. A tática ganhou exposição em 2012, quando o jornalista Mat Honan foi alvo de um ataque sofisticado que explorou uma diferença de políticas de segurança entre a Amazon e a Apple para acessar a conta de iCloud e destruir a vida digital dele. Honan teve auxílio da Apple para recuperar parte dos seus dados, mas Ericka não teve a mesma sorte, já que ela não tinha mais nenhum comprovante de compra do iMac adquirido há seis anos. Reed argumenta que é compreensível não facilitar o desbloqueio de dispositivos que foram trancados pelas tecnologias antirroubo, mas que a mensagem de sequestro deixada pelo invasor deveria ser um sinal de que se tratava de um golpe. O especialista recomenda o uso de uma senha forte para o iCloud e o uso da autenticação em dois fatores. A senha usada também deve ser exclusiva para o serviço. A Apple introduziu no ano passado um novo sistema mais agressivo de autenticação de dois fatores que precisa ser ativado e ajuda a evitar o roubo da conta do iCloud. G1

Leia mais »

As diversas terminologias no universo Hacker

22 de janeiro de 2016

Há duas semanas comentamos sobre alguns dos hackers mais destemidos da história em face dos seus surpreendentes feitos. Por Marcelo Crespo¹ Naquela ocasião deixamos claro que, apesar da nomenclatura utilizada – hacker – não se trata propriamente de um consenso, sendo, então, o objeto deste texto algumas explicações sobre as designações mais comuns. Inicialmente é preciso esclarecer que a cultura hacker teve início nas décadas de 60 e 70 como um movimento intelectual para a exploração do desconhecido, documentando os mistérios desvendados e fazendo o que nem todos eram capazes no que se refere à tecnologia. Nesta perspectiva, muitas subculturas hacker se desenvolveram independentemente e paralelamente em muitas universidades como Stanford, MIT, CalTech, Carnegie Mellon, UC Berkeley, e outras.[ad name=”Retangulo – Anuncios – Direita”] Todavia, foi com a conclusão do projeto Advanced Research Projects Agency – ARPANET que se concretizou a ligação entre esses campi de forma que se tornaram aptos a compartilhar suas experiências e conhecimento. Pode-se dizer, então, que daí surgiu o cenário ideal para o desenvolvimento robusto da cultura hacker. O termo hacker, então, inicialmente não se destinava a definir criminosos, mas curiosos estudantes das ciências da computação, tendo cabido à mídia em geral a disseminação desta expressão com a conotação pejorativa. E ela, apesar de contestada, segue mundialmente conhecida e amplamente utilizada. Feitos estes esclarecimentos iniciais, passamos a detalhar as nomenclaturas mais presentes no nosso cotidiano. HACKERS. É o nome genérico dado a pessoas que normalmente cometem ilícitos no âmbito digital embora, originalmente, não fosse esta a conotação dada à palavra. O termo adveio do termo em inglês to hack que significa “fuçar”, “bisbilhotar” e foi, inicialmente empregado para identificar os estudantes do Massachusetts Institute of Technology – MIT que passavam as noites em claro averiguando os sistemas computacionais e suas falhas. Um trecho de um jornal do MIT datado de 1963 é tido como a primeira aparição do termo “hacker” na história.Uma pesquisa nas páginas do MIT demonstra que eles levam muito a sério a questão de não utilizar o termo “hacker” para designar criminosos, o que pode ser verificado em Interesting Hacks To Fascinate People: The MIT Gallery of Hacks, que é uma verdadeira galeria de feitos (não criminosos). Lá no MIT, inclusive, há uma frase em neologismo com o latim – Hackito Ergo Sum (“hackeio, logo existo”) – em alusão ao pensamento de René Descartes “Ego cogito ergo sum” (penso, logo existo). CRACKERS. Podem ser considerados os verdadeiros criminosos da rede porque a eles se atribui as atividades verdadeiramente ilícitas de acesso não autorizado a sistemas, especialmente considerando-se as explicações acima e também porque, em inglês, to crack significa quebrar (os sistemas; a segurança dos sistemas). Por tal razão também se costuma dizer que nem todos os hackers são crackers, mas todos os crackers são hackers. Há rumores de que o termo tenha surgido em 1985, mas não há informações seguras quanto a isso. WHITE/BLACK HATS. Nada mais são que outras formas de se referir aos “bons” e “maus” hackers. As expressões significam, em tradução livre, “chapéu branco” e “chapéu preto”, e indicam, respectivamente, os bons e os maus, aqueles que fazem o bem e os que praticam ações delitivas. Os termos vêm dos antigos filmes de caubói (Western), onde os heróis trajavam os chapéus brancos e os vilões, os chapéus pretos. CARDERS. São os responsáveis por criar, adquirir, vender e trocar os dados relativos aos cartões de crédito até por isso são considerados fraudadores, estelionatários. Muitas vezes utilizam os “drops”, verdadeiros “laranjas” que são as pessoas responsáveis por receber os produtos adquiridos ilicitamente com os cartões de crédito alheios. O carder não necessariamente acessa os sistemas sem autorização, sendo que por vezes essa tarefa é dividida com os crackers até porque quanto a este tipo de criminalidade é comum a existência de uma verdadeira organização criminosa, com divisão de tarefas, metas e lucros obtidos. PHREAKERS. O termo é derivado de “Phone” (fone) + “Freak” (“aberração”, “inusitado”) e foi inicialmente utilizado para as pessoas que utilizavam engenharia reversa do sistema telefônico de tons para rotear chamadas de longa distância, o que lhes permitia fazer chamadas gratuitas. Para que conseguissem isso, utilizavam geradores de tons que tinha a forma de caixas azuis, as blue boxes. Mas este modelo de atuação chegou ao fim em razão do crescente uso de sistemas computadorizados e, então, ficaram conhecidos por outras práticas, como a instalação de escutas telefônicas, a clonagem e o desbloqueio de celulares. Comumente são pessoas que já trabalharam no ramo da telefonia e, por isso, conhecem as vulnerabilidades sistêmicas. SPAMMERS. São os responsavéis não apenas pelo envio massivo de spam (as mensagens não solicitadas e que podem, inclusive, veicular vírus) mas também pela captação e venda de listas de endereços de emails.Os endereços de email geralmente são captados pelo envio de “correntes” que são rapidamente reproduzidas pelas pessoas, que não se atentam que grande parte destas são exclusivamente destinadas a angariar os endereços de emails não ocultados pelos que encaminham as correntes (normalmente se pode ocultar os emails anteriores os apagando do corpo do email anterior e utilizando a função de cópia carbono oculta).Etimologicamente o termo SPAM é um neologismo surgido a partir de spiced ham, sendo este a marca de presunto temperado e enlatado da empresa norte-americana Hormel Foods, desde 1937 (marca grafada com todas em maiúsculas – SPAM). Mas o que isso tem a ver com as mensagens indesejadas? São duas as razões: a) durante a Segunda Guerra Mundial muitos alimentos eram racionados mas, por alguma razão, o SPAM nunca foi incluído no racionamento, razão pela qual as pessoas ficaram fartos dele. Isso ocorreu especialmente no Reino Unido; b) O grupo de comediantes britânicos Monty Python, em um quadro de seu programa de televisão, na década de 1970, encenou cena surreal em um restaurante que servia todos os seus pratos com SPAM. A garçonete descreve para um casal de clientes os pratos repetindo a palavra “spam” para sinalizar a quantidade de presunto que é servida em cada prato. Enquanto ela repete “spam” várias vezes, um grupo de

Leia mais »

Vírus: Como são usados pra roubar senhas bancárias

2 de janeiro de 2015

Os códigos maliciosos mais comuns da internet brasileira são os “bankers” – pragas digitais que roubam principalmente as senhas de acesso aos serviços de internet banking. A palavra “banker” é uma variação dos termos “cracker” e “hacker“: assim como o “phreaker” é especializado no sistema telefônico e o “carder” em cartões de crédito, o “banker” se especializa em bancos. Como funciona o ataque de um “banker”, da infecção do sistema até o roubo das informações bancárias? Disseminação A maioria dos bankers pode ser considerada um “cavalo de troia”, ou seja, eles não se espalham sozinhos. Quem dissemina a praga é o próprio criador do vírus e, uma vez instalado no sistema da vítima, o código malicioso tentará apenas roubar as credenciais de acesso e não irá se espalhar para outros sistemas. Existem exceções: alguns desses vírus conseguem se espalhar por Redes Sociais e MSN, por exemplo. Mesmo que o vírus consiga se espalhar sozinho, ele precisa começar em algum lugar. Tudo geralmente começa em um e-mail, como a coluna mostrou anteriormente. Confira gafes que podem denunciar criminosos virtuais Depois de abrir o e-mail infectado, internauta será convidado a baixar o vírus. O vírus acima será chamado de “banker telegrama” por causa da isca utilizada pelos fraudadores. Essa tela de confirmação de download aparece assim que o internauta tenta acessar o link oferecido no e-mail malicioso. Nesse caso, o e-mail diz ser um telegrama. É possível verificar que o endereço do site não tem nenhuma relação com “telegrama”, mas o nome do arquivo, sim. Os criminosos também podem invadir algum site conhecido para infectar os visitantes. Isso já aconteceu com o site das diversas operadoras de telefonia e clubes de futebo. O site da fabricante de bebidas AmBev sofreu um ataque. Quem visitou o site correu o risco de ver a mensagem na foto abaixo e, se clicasse em run, ser infectado. Essa praga será referida mais adiante como “banker applet” devido à técnica de contaminação usada – a janela intitulada “Security Warning” (“Aviso de Segurança”) pede a confirmação da execução de do que se chama de “applet” no jargão técnico, mas que é na verdade um programa quase normal. “Run” significa “rodar”ou “executar”. Ao dar um único clique em “run”, o internauta está efetivamente executando um software no PC que, nesse caso, é um vírus.[ad name=”Retangulo – Anuncios – Direita”] Sites legítimos, como o da Ambev, podem ser usados como meios de infecção Em entrevista ao G1, um especialista da empresa antivírus Kaspersky informou que o conhecimento dos hackers brasileiros era de “nível técnico”. Os meios de infecção mostrados acima são realmente muito simples. Um ataque avançado poderia ter contaminado o computador de teste usado pela coluna sem a necessidade de autorizar o download, porque o sistema estava desatualizado e com diversas brechas de segurança passíveis de exploração. Mais adiante será possível ver outros deslizes técnicos dos golpistas. Infecção Arquivo tenta se disfarçar de programa da Adobe, mas não esconde o amadorismo: nem o ícone é foi falsificado. A grande maioria dos vírus brasileiros é muito simples: resumem-se a um ou dois arquivos no disco rígido, executados automaticamente quando o sistema é iniciado. Quem puder identificar os arquivos e apagá-los terá um sistema novamente limpo. Existem algumas pragas bem mais sofisticadas, mas não são muito comuns. No caso do Banker Telegrama, o vírus se instala numa pasta chamada “Adobe” em “Arquivos de Programas” com o nome “AcroRd32.scr”, numa clara tentativa de se passar pelo Adobe Reader (que tem exatamente o mesmo nome, mas com extensão “.exe” e fica em outra pasta). Mas os golpistas esqueceram de trocar o ícone. O ícone usado pelo vírus é padrão de aplicativos criados na linguagem de programação Delphi, muito utilizada pelos programadores brasileiros (tanto de softwares legítimos como vírus). Banker se instalou dentro da pasta de sistema, usando nome de arquivo parecido com o do sistema operacional. Já o Banker do Applet foi mais cuidadoso: o arquivo malicioso copiou-se para a pasta “system”, dentro da pasta Windows. O nome de arquivo utilizado foi “wuaucldt.exe” – um ‘d’ a mais do que o arquivo legítimo do Windows ‘wuauclt.exe’, responsável pelas atualizações automáticas. O ícone também foi trocado para ser idêntico ao do arquivo do sistema operacional. Roubo de dados Depois que o vírus está alojado no PC, ele precisa roubar os dados do internauta de alguma forma. As técnicas são várias. Algumas pragas mais antigas fechavam o navegador web no acesso ao banco e abriam outro navegador, falso, que iria roubar os dados. Hoje, as técnicas mais comuns são o monitoramento da janela e o redirecionamento malicioso. Cada praga analisada pela coluna usou uma delas. No caso do redirecionamento, o que ocorre é uma alteração no arquivo ‘hosts’ do Windows. A função desse arquivo já foi explicada pela coluna. Ele permite que o usuário defina um endereço que será acessado quando um site for solicitado. O que a praga faz é associar endereços falsos aos sites de instituições financeiras. Quando um endereço de um banco é acessado, a vítima cai em uma página clonada. Esse acesso é visto e controlado pelos criminosos. Se o usuário realizar o login no serviço de internet banking pela página falsa, os dados da conta e a senha cairão nas mãos dos fraudadores. Aqui é possível perceber outros descuidos técnicos dos golpistas: o site clonado apresenta erros, como por exemplo de “página não encontrada”. A reportagem usa como exemplo a página clone do Banco do Brasil, mas esse vírus redireciona vários outros bancos, e todas as páginas clonadas têm problemas semelhantes. Página inicial não é idêntica à do banco e vários links levam para erros 404 (“Página não encontrada”) Endereços são diferentes no site falso, que também não possui certificado SSL (o “cadeado”). O site falso também não possui certificado SSL, portanto não apresentou o “cadeado de segurança” que tanto é divulgado nas campanhas de segurança das instituições financeiras. Os criminosos poderiam ter incluído um cadeado falso sem grande dificuldade – o fato que não o fizeram mostra ou que são

Leia mais »

Crackers: por que as empresas não divulgam invasões

5 de dezembro de 2014

Empresas ocultam invasões de crackers Sai relativamente barato montar uma organização de cibercrime. Criminosos da computação violam regularmente sistemas de segurança e roubam milhões de dólares e dados de cartões de crédito, em crimes que as companhias mantêm em segredo, afirmou o principal investigador de crimes de Internet do FBI. Para cada invasão, como os ataques muito divulgados contra a TJX e a Heartland Payment, nos quais quadrilhas de hackers roubaram milhões de números de cartões de crédito, existem outras que jamais conquistam manchetes. “Dos milhares de casos que investigamos, o público só conhece um punhado”, disse Shawn Henry, diretor assistente da divisão de crimes de computação do FBI, “Há casos multimilionários sobre os quais as pessoas nada sabem.” As empresas que são vítimas de crimes da computação relutam em divulgar o fato por medo de que a má publicidade prejudique sua reputação, assuste clientes e reduza lucros. Às vezes, elas nem mesmo reportam os crimes ao FBI. Em outros casos, demoram tanto que se torna difícil obter provas. “Enterrar a cabeça na areia em lugar de denunciar um crime significa que os bandidos continuam à solta e estão atacando novas vítimas”, disse Henry. Ele afirmou que o problema dos crimes de computação se tornou mais grave nos três últimos anos porque os hackers mudaram seus métodos de ataque, devido ao reforço da segurança pelas empresas. [ad name=”Retangulo – Anuncios – Esquerda”]”As coisas definitivamente se agravaram, sim”, disse ele. Isso acontece porque a internet vem crescendo rapidamente como ferramenta de comércio, e ao fazê-lo empresas e consumidores expõem dados valiosos tais como planos de negócios, números de cartões de crédito, informações bancárias e números de documentos pessoais.[ad name=”Retangulo – Anuncios – Direita”] “Existem centenas de bilhões de dólares em circulação na internet”, disse ele. Os criminosos da computação agora trocaram as grandes empresas, que reforçaram a segurança de suas redes nos últimos 10 anos, por alvos de médio e pequeno porte que não têm recursos, conhecimento ou disposição de tomar medidas preventivas contra a invasão de computadores, afirmou Henry. Um grupo que fraudou o serviço WorldPay do Royal Bank of Scotland levantou mais de 9 milhões de dólares. O grupo com membros de países que incluem Estônia, Rússia e Moldávia, foi indiciado por comprometer dados de encriptação usados pelo WorldPay, um dos principais serviços de processamento de pagamentos no mundo. A quadrilha foi acusada de obter dados de pagamento de cartões de débito, que permitem a funcionários de empresas sacarem salários de caixas automáticos. Mais de 9 milhões de dólares foram sacados em menos de 12 horas em mais de 2.100 caixas automáticos espalhados pelo mundo, informou o Departamento de Justiça dos Estados Unidos. Henry afirmou que é relativamente barato montar uma organização de cibercrime. Alguns grupos consistem de um núcleo de uma dezena de pessoas, incluindo estrategistas, hackers e programadores, que podem começar a operar com um orçamento de poucos milhares de dólares e um link banda larga com a Internet. Quando o grupo está pronto para lançar um ataque, ele pode contratar centenas de pessoas para ajudarem na lavagem do dinheiro. Conhecidas como “mulas de dinheiro”, essas pessoas frequentemente podem ser acessadas por esquemas de “trabalho em casa”, onde são contratadas para descontarem cheques de alguns milhares de dólares em troca por uma porcentagem. O restante do dinheiro descontado é despachado para o grupo central. “Eu creio que existem pessoas que são completamente ignorantes e outras que preferem ter a cabeça enfiada na areia”, comentou Henry. Info OnLine

Leia mais »

Internet. AI5 Digital

5 de julho de 2011

Lei Azeredo: pesquisadores e invasores no mesmo saco por: José Antonio Milagre (jose.milagre@legaltech.com.br) é advogado em São Paulo especializado em Direito Eletrônico e IT and Environmental Compliance Prestes a ser votada, Lei Azeredo tem pontos positivos mas ameaça a cultura e pesquisa de segurança da informação. Como deveria ser do conhecimento de todos, hackers, ao contrário de crackers, utilizam seus conhecimentos para o aprimoramento da segurança de sistemas e não invadem sistemas com a intenção danosa. Mas invadem sistemas, fato! Mas será que o PL 84/1999, a chamada “Lei Azeredo”, alcança esta distinção técnica, ou trata todos como cibercriminosos, como é, aliás, o entendimento de algumas autoridades que se manifestam a respeito? Em maio de 2011, o Projeto 84/1999 teve novo relatório, também pelo (agora Deputado) Azeredo, que tentou costurar alguns termos de modo a tornar o projeto “mais aprazível”. Fato é que o mesmo será votado pela Comissão de Ciência e Tecnologia da Câmara, e pode ser aprovado a qualquer momento. Mas, suprimir “termos polêmicos” da legislação projetada, como o próprio Senador anunciou, significa efetivamente preservar direitos e garantias fundamentais dos cidadãos e pesquisadores de segurança? Vejamos, no decorrer desta análise. Dentre as principais modificações do relatório, tivemos a remoção dos textos “dispositivos de comunicação” e “rede de computadores” dos tipos penais trazidos, segundo o relator, para “impedir a criminalização de condutas banais”. Mas condutas banais continuam em risco de serem consideradas criminosas.[ad#Retangulo – Anuncios – Direita] Três artigos, com profundo impacto nas pesquisas realizadas por profissionais de segurança, serão estudados, abaixo descritos: Acesso não autorizado a rede de computadores, dispositivo de comunicação ou sistema informatizado Art. 285-A. Acessar rede de computadores, dispositivo de comunicação ou sistema informatizado, sem autorização do legítimo titular, quando exigida: Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. Parágrafo único. Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte. Obtenção, transferência ou fornecimento não autorizado de dado ou informação Art. 285-B. Obter ou transferir dado ou informação disponível em rede de computadores, dispositivo de comunicação ou sistema informatizado, sem autorização ou em desconformidade à autorização, do legítimo titular, quando exigida: Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. Parágrafo único. Se o dado ou informação obtida desautorizadamente é fornecida a terceiros, a pena é aumentada de um terço. Inserção ou difusão de código malicioso Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado. Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. Inserção ou difusão de código malicioso seguido de dano § 1º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado: Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa. Bom, para entender quais foram as mudanças nos artigos, apenas os leia sem as expressões “rede de computadores” e “dispositivo de comunicação”. Avançamos realmente em prol de uma legislação lúcida, no que tange às pesquisas de segurança? Receio que não. Primeiramente, em se tratando do crime previsto no art. 285-A (acesso não autorizado a rede de computadores, dispositivo de comunicação ou sistema informatizado), o “acesso” continua sendo “não autorizado”, de modo que deixa a cargo do titular do “sistema informatizado” reputar as condições de autorização (que podem não ser tão expressas), como “integrador” da lei penal, o que é um perigo, diante de nítida subjetividade, que pode ensejar manobras maliciosas para prender pesquisadores e profissionais éticos. Imagine que você, ao invés de acessar um site via browser, utiliza um crawling ou se utiliza do comando “wget” no site; este acesso está se dando a um sistema informatizado (website) e de uma forma não trivial (browsing), logo, você pode ser punido por fazer download do site. Imagine em um pentest (teste de intrusão), onde via “sql injection” você consegue bypassar o sistema de login do precitado portal, adentrando na área administrativa ou mesmo descobre o arquivo de conexão que lhe permite realizar uma conexão nativa com o banco de dados. Ora se hoje, CSOs na grande maioria, são arredios e se revoltam com “pesquisadorezinhos” que se intrometem em seu trabalho e expõe vulnerabilidades, imaginem, quando eles descobrirem que tais atividades passam a ser criminosas? Uma simples script em php usando a expressão ? passthru($_GET[“cmd”]); ?, concatenado em uma querystring, para gerar um registro no errors.log, que simplesmente te permite a execução do Shell (cmd), e que o pesquisador testou em um sistema, mesmo que não tenha sido contratado, causado dano, indisponibilidade ou copiado informação alguma, apenas para provar o conceito, seria, em tese, acesso indevido a sistema informatizado. Ora, como testar a segurança de um sistema se o acesso é criminoso? E que nem se argumente que pode-se inserir na redação do tipo a expressão “através de meio fraudulento” e estaria resolvido o problema, sendo que somente crackers seriam pegos. Ledo engano, os hackers utilizam de destreza e técnicas de subversão de sistemas, logo, é fato que adulteram, enganam os sistemas testados. O que difere um cracker de um hacker não são, em regra, as ferramentas ou meios usados, mas a intenção dos agentes. Alguns podem argumentar que os riscos de injustiças acima expostos não existem, já que a conduta punível deve ser sempre “dolosa”, com intenção, porém, não nos perece crível que um pesquisador de segurança tenha de provar que não tinha intenção fraudulenta ou de obtenção de quaisquer vantagens, tendo de se expor constantemente em face de investigadores, inquéritos, averiguações, dentre outras. O simples fato de comparecer em um “DP” para prestar esclarecimentos, para um pesquisador Hacker, é fato constrangedor ao extremo e pode se intensificar com a aprovação da lei. Já, em se analisando o artigo 285-B da “Lei Azeredo” (Obtenção, transferência ou fornecimento não autorizado de dado ou informação), temos o mesmo problema e pior, com uma conduta passiva

Leia mais »

Hacker é outra coisa

29 de junho de 2011

Hacker mesmo é outra coisa Mal entrou no cenário mundial, ganhando manchetes e derrubando sites, e a turma do LulzSec já está pedindo o chapéu. Nada como as primeiras prisões para enquadrar os meninos. Eles por certo chamaram a atenção para a fragilidade de um bom conjunto de sites corporativos. Mas, no fim, sobra pouco de suas ações. Coisa de meninos, mesmo, que querem aparecer. Se por vezes parece estar ali algum lustre político, é só ilusão. Hacker de verdade é muito diferente. Ainda são muitos os programadores de boa cepa que se ressentem do uso que nós jornalistas fazemos da palavra “hacker”. Na origem, o hacker não é bom ou mau. Ele é só excepcional, hábil como poucos na lida com o digital. Os primeiros hackers eram acadêmicos, cientistas da computação. Não é só a habilidade que os distinguia. Seguiam também um credo que nasceu do método científico e da contracultura. A informação quer ser livre. Deve ser livre. Dividiam informação. Trocavam macetes. E, com uma certa arrogância, invadiam os computadores onde a informação que buscavam estava protegida. Consideravam que ninguém tinha o direito de proteger informação útil à comunidade de programadores. Mais que busca por fama ou fortuna, curiosidade os movia. Aqueles que, ainda hoje, se identificam com aqueles hackers míticos dos anos 1970 e 80, preferem chamar a trupe do LulzSec de crackers. É um ideal romântico, mas a língua não lhes pertence e o termo já caiu no uso geral.[ad#Retangulo – Anuncios – Direita] Hacker é o sujeito muito hábil com computadores mas é, também, aquele que derruba ou invade sistemas – por diversão, crime ou ideologia política. Por seus feitos, o LulzSec não se destaca em nenhum dos grupos. Em 1981, o grupo alemão Chaos Computer Club (CCC) invadiu o sistema eletrônico de um banco e fez uma transferência eletrônica de 134.000 marcos para sua conta bancária sem que ninguém percebesse. No dia seguinte, convocou a imprensa, devolveu o dinheiro publicamente e relatou como tudo foi feito. É assim que os profissionais apontam falhas de segurança e ainda se divertem. Em janeiro de 1987, um grupo hacker derrubou metade do sistema telefônico dos EUA. Apenas um ano depois, o jovem Robert Morris, aluno da Universidade de Cornell, escreveu um vírus que tornou a internet tão lenta que o sistema ficou inviável por mais de uma semana. Levou a internet nascente ao chão. (Morris fez tudo sem querer, mas certamente que o seu foi um ataque memorável.) Na história dos hackers há perseguições como as de cinema. De um lado, Kevin Mitnick. Para ele, a um tempo pareceu, não havia sistema que não fosse capaz de invadir. Do outro, Tsutomu Shimomura, o filho de um Prêmio Nobel que rastreou o celular de Mitnick para ajudar o FBI a prendê-lo. O grupo texano Cult of the Dead Cow é símbolo dos hackers políticos. Puxados por seu porta-voz, Oxblood Ruffin, passaram as últimas duas décadas promovendo o acesso à internet em ditaduras. Nessa toada, escreveram muitos programas para que dissidentes políticos pudessem trocar informação sem o risco de serem localizados ou para que gente comum quebrasse as barreiras para entrar na rede sem restrições. Não são o único exemplo. Em 2008, os senhores do CCC acessaram os bancos de dados do governo alemão, de lá tiraram as impressões digitais de um ministro e as distribuíram impressas em filmes que qualquer um poderia usar para burlar leitores eletrônicos de digitais. Era um protesto contra o que consideravam quebra de privacidade no uso de dados biométricos nos novos passaportes. Os bons hackers políticos têm causas específicas e usam seus talentos – legal ou ilegalmente – para intervir no processo político. No ano passado, hackers espiões de algum governo escreveram um vírus que levou ao chão os computadores da usina nuclear de Bushehr, no Irã. Talvez Israel, talvez EUA. Ninguém sabe ao certo, mas este é talvez o vírus mais sofisticado e de uso mais específico jamais escrito. Há grandes hackers e há o resto, os aprendizes. O LulzSec, que agora se aposenta, não dá para o gasto. Pedro Doria/O Globo

Leia mais »

Guerra cibernética

29 de março de 2011

Quando bits viram mísseis Países preparam-se para a guerra cibernética, em que ataques são lançados por crackers, como os que defenderam o WikiLeaks. Em 2010, a guerra mudou. Milhares de pessoas poderiam ter morrido em ataques aéreos e terrestres se um grupo de países liderado pelos Estados Unidos tivesse invadido o Irã. Havia o temor de que o programa nuclear defendido pelo presidente Mahmoud Ahmadinejad servisse de fachada para o desenvolvimento de uma bomba atômica. Em vez de bombardear importantes centros de pesquisa como a usina de Natanz, usou-se um vírus para contaminar equipamentos. O Stuxnet dominou controladores eletrônicos da Siemens e danificou fisicamente parte das centrífugas de enriquecimento de urânio iranianas. Foi também no ano passado que os protestos digitais ganharam características semelhantes às de uma guerrilha. Em vez de optar pelo pacifismo dos abaixo- assinados virtuais, internautas se mobilizaram para tirar do ar sites de cinco empresas. O grupo Anônimos coordenou uma ação em escala inédita, com a justificativa de defender a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado hospedagem, bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo vazamento de mais de 250 000 documentos diplomáticos americanos. O site do WikiLeaks também acabou sendo derrubado por um ataque de origem desconhecida, mas os ativistas do Anônimos conseguiram colocá-lo no ar novamente e espelhá-lo centenas de vezes pela web.[ad#Retangulo – Anuncios – Direita] A escalada de ações violentas nos meios digitais marca o início da guerra cibernética ou ciberguerra. Tanto os criadores do Stuxnet como os integrantes do grupo Anônimos foram bem-sucedidos. Além de terem provocado danos significativos, conseguiram manter sua identidade sob sigilo e seus alvos não tiveram como se defender. O Stuxnet foi mais eficiente do que uma mobilização militar tradicional e os ataques do Anônimos tiveram mais resultado do que um protesto online. Ações semelhantes têm ocorrido desde os anos 90, mas, em 2010, a frequência aumentou e o grau de sofisticação, também. Batalhas pela web As operações militares não estão sendo deixadas de lado. Os meios digitais e a web é que passaram a integrar o campo de batalha. “Ainda não estamos no meio de uma guerra cibernética global, mas percebemos uma capacidade crescente de criar ações violentas com potencial cada vez mais destrutivo”, afirma James Hendler, professor do Instituto Politécnico Rensselaer, nos Estados Unidos, e excientista- chefe da Agência de Projetos de Pesquisa Avançada de Defesa do Pentágono (Darpa). “Tenho esperança de que isso será contido. Mas tenho medo de não conseguirmos.” O tema é controverso. Para alguns especialistas, a guerra cibernética já ocorre em escala global, de forma pouco visível. Tentativas de invasão de sistemas estratégicos são cada vez mais comuns, e suspeita-se que os responsáveis trabalhem para países adversários. “O ciberespaço é disputado todo dia, toda hora, todo minuto, todo segundo”, disse o inglês Iain Lobban, diretor do Quartel- General de Comunicações do Governo (GCHQ), uma agência de inteligência britânica, durante uma palestra em outubro. Muitos dos crackers por trás dessas ações buscam dados confidenciais. Há também quem defenda que a ciberguerra não ocorre a todo momento, mas em situações pontuais. O conflito virtual entre Rússia e Estônia, em 2007, é classificado como a primeira guerra cibernética. “Ataques coordenados tiveram como alvo órgãos do governo, atingindo a infraestrutura de rede, serviços públicos e instituições”, diz o estoniano Linnar Viik, do Instituto Europeu de Inovação e Tecnologia. Tudo começou por causa da mudança de lugar de um monumento, o Soldado de Bronze de Tallinn. A estátua homenageia soldados soviéticos mortos na Segunda Guerra Mundial. De acordo com Viik, os ataques à Estônia dispararam um alerta para governos e organizações militares ao redor do planeta. “Todos passaram a reconsiderar a importância da segurança das redes para a doutrina militar moderna”, afirma. A partir daí, outros confrontos ocorreram. Em setembro de 2007, por exemplo, Israel lançou um ataque aéreo contra a Síria. Estranhamente, os aviões israelenses não foram detectados pelos radares. Suspeita-se que um programa de computador tenha ajudado a ocultar as aeronaves, mas nada ficou comprovado. “A maior diferença entre a guerra física e a cibernética é que, no mundo real, conseguimos dizer quem foi o autor de um ataque”, diz o professor Hendler. Inimigos invisíveis Descobrir o responsável por uma ação cibernética de guerra é muito complicado. “Pelo objetivo, você pode tentar deduzir quem seria o atacante”, diz Sandro Süffert, diretor de tecnologia da Techbiz Forense Digital, empresa especializada em cibersegurança. “Mas em uma guerra cibernética, um país pode até se passar por outro.” No mínimo 20 perguntas devem ser respondidas por quem procura definir a identidade de um agressor online. Um acordo internacional poderia criar uma metodologia padronizada. Embora a ameaça seja real, poucos começaram a se preparar para a ciberguerra. Nos Estados Unidos, começou a funcionar, em maio, uma divisão das Forças Armadas dedicada a esses confrontos, o USCYBERCOM. Entre os países que adotaram ações parecidas ou que planejam criar áreas especializadas estão Inglaterra, Alemanha, China, Israel, Rússia, Índia, Coreia do Norte e Irã. Muitos foram alvo de crackers ou são suspeitos de ter feito ataques. No Brasil, o Exército criou, em fevereiro de 2009, o Centro de Comunicações e Guerra Eletrônica (CCOMGEX) e, em agosto de 2010, o Centro de Defesa Cibernética do Exército (CDCiber). Dentro de alguns meses, um grupo de três a dez militares receberá um treinamento de uma semana em Bilbao, na Espanha, nos laboratórios da Panda Security. “Serão apresentados as ameaças que existem, como funcionam, de onde partem e o modo como são construídas. Também mostraremos nossas ferramentas forenses não-comercializadas”, afirma Eduardo D’Antona, diretor corporativo e de TI da Panda Security Brasil. O Exército evita dar detalhes sobre suas ações contra ciberguerra por motivo de segurança. A experiência com a Panda é apenas uma dentre várias medidas. “Iniciativas semelhantes estão sendo empreendidas com uma empresa nacional, cujo nome preferimos não divulgar”, diz o general Antonino dos Santos Guerra Neto,

Leia mais »

Direito Digital

1 de março de 2011

Renato Opice Blum em entrevista exclusiva ao site Batori Fonte: Batori Autor: Webmaster Com ampla experiência na área de direito eletrônico, Renato Opice Blum, vêm contribuindo ao combate dos cybercrimes. Sócio do escritório de advocacia Opice Blum Advogados Associados, professor na pós graduação da Florida Christian University, Fundação Getúlio Vargas (GV), PUC e outras instituições, também é Autor / Colaborador das Obras: “Direito Eletrônico – a internet e os tribunais”, “Novo Código Civil – questões controvertidas”, “Conflitos sobre Nomes de Domínios”, “Comércio Eletrônico”, “Direito & Internet – aspectos jurídicos relevantes”, “Direito da Informática – temas polêmicos”, “E – dicas: desvirtualizando a nova economia”, “Responsabilidade Civil do Fabricante e Intermediários por Defeitos de Equipamentos e Programas de Informática”, “O Bug do Ano 2000 – aspectos jurídicos e econômicos” e outras, Renato Opice Blum, em entrevista exclusiva ao Segurança Digital, comenta sobre o direito eletrônico no Brasil.[ad#Retangulo – Anuncios – Direita] Segurança Digital: Qual foi a sua motivação para atuar na área de direito eletrônico? Renato Opice Blum: O assunto já me interessava quando cursava engenharia eletrônica. Também tive o privilégio de trabalhar com o Dr. Luiz Flávio Gomes, ilustre magistrado e conhecedor da informática jurídica. Naquela época (meados da década de 90), presenciei a aplicação da tecnologia nos processos criminais, o que me encantou. Naturalmente, o contato com o direito tecnológico se materializou. Começando com software, hardware, telecomunicações e a internet, que acabava de nascer. Daí em diante os clientes se multiplicaram e, graças à Deus, hoje não posso reclamar. Diria que 90% do movimento do escritório decorre de questões tecnológicas, com mais 200 clientes na área eletrônica. Segurança Digital: Qual a importância da aproximação dos especialistas em segurança da informação e os especialistas em direito eletrônico? Renato Opice Blum: Essa é uma interação necessária. Arrisco dizer que o direito eletrônico depende das duas especialidades. A técnica está diretamente amarrada aos fatos, bits e bytes, que geram provas eletrônicas. Evidências que devem ser devida e legalmente preservadas e produzidas sob pena de colocar em risco o êxito da demanda. O profissional do direito tem a tarefa de entender e “traduzir” os fatos apresentados para o direito visando convencer o julgador. E essa tradução normalmente ocorre com o auxílio dos peritos ou experts que materializam os bytes em laudos periciais. Segurança Digital: Quais são as leis do Código Penal que podem ser aplicadas aos crimes cometidos utilizando um computador? Renato Opice Blum: Diria que 99% das leis nacionais são aplicáveis, inclusive o Código Penal. Com efeito, os Códigos Brasileiros já estão sendo discutidos em crimes comuns praticados por meio eletrônico. De outro lado, contudo, restam as condutas que surgiram apenas com a disseminação de ferramentas de alta tecnologia. É o caso dos crackers, chamados equivocadamente de hackers, especialistas em invadir sistemas informáticos e bancos de dados, sempre com o intuito de causar prejuízo (concorrência desleal, dano, violação de direito autoral e outras condutas). As estatísticas revelam que o Brasil é o País com o maior número de crackers especialistas no mundo. Todavia, ainda que a Lei brasileira venha sendo aplicada na prática, não podemos deixar de lado a recomendação de legislação complementar sobre o assunto (como se destaca o Projeto 84/99), com intuito de prover maior celeridade processual e a efetiva repressão aos delitos eletrônicos. Necessária, também, a celebração de tratados internacionais que coíbam as condutas criminosas no ambiente da Internet (como, p. ex. a excelente Convenção de Budapeste de 2001, também conhecida como Convenção sobre o Cybercrime), bem como uma política mundial para cooperação recíproca, dada a questão que envolve a extraterritorialidade desses crimes. Mesmo assim, merece destaque, no plano nacional, a lei nº 9.296, de 24 de Junho de 1996, que lei pune o indivíduo que realizar interceptação de comunicações em sistemas de informática ou telemática, ato típico da comunidade cracker, desde que se obtenha prova eletrônica adequada. A reprimenda é de reclusão, de dois a quatro anos, e multa. Alguns exemplos criminais: & Art. 2º, IX, 1521/51 (pirâmides, b. neve); Art. 50, LCP (cassinos) & Art. 241, ECA; L. 2252/54 (corrupção de menores – indução infs.) & Art. 195, 9279/96 – Art. 153, 154, 325, 326 (segr.) – extorsão (art. 158) & Art. 10, 9296/96; Art. 184, CP (violar direito autoral) & Art. 121, CP (Homic. Virt.)-Art. 122 (instig., induz., aux.)-Art. 218 (corr.) & Art. 12, 9609/98 – crackers e art. 107, l 9610/98 cc art. 84, CP & Art. 313-A, B, CP (alteração de dados ou s.i. – L. 9983/00) & Art. 307, CP – Art. 75, lei eleitoral: alterações no sys e no resultado/danos & Arts. 147 (ameaça), 155, 163 (dano), 171, 286 (incitação), Falsidades & Arts. 138, 139 e 140 (honra) – racismo: L. 9059/97 – Lenocínio (227/231) Segurança Digital: A coleta de provas do mundo virtual são aceitáveis como as provas em papel? Renato Opice Blum: Perfeitamente, desde que obtidas de forma lícita, preservadas de maneira adequada e convincente a cada caso. A autenticidade e a integridade integram o rol de requisitos inerentes às evidências eletrônicas. A perícia oficial e a judicial são recomendadas. Acrescente-se, pois, que a evidência eletrônica apresenta características próprias e complexas, exigindo conhecimento especializado na sua coleta e utilização. Além disso, é da natureza do próprio meio a volatilidade e fragilidade que, curiosamente, se entrelaçam com a facilidade da recuperação de “rastros” e outros indícios típicos. Devo ressaltar que a prova eletrônica foi, final e taxativamente reconhecida pelo novo código civil , o que deve fomentar o comércio eletrônico com certificação digital nos termos da Medida Provisória 2.200-2/01. Segurança Digital: Quando um cliente de um banco é vítima de um golpe virtual, como por exemplo, acessar um site clonado de um banco, e tem todo o seu dinheiro transferido para outra conta corrente. O que o cliente (vítima) poderá fazer para recuperar o seu dinheiro? Qual será a ação do banco? Renato Opice Blum: Normalmente essa ocorrência decorre da captação de dados através de programas espiões instalados na máquina do cliente por terceiros, normalmente crackers. Essa situação pode gerar a

Leia mais »

Internet não é tão insegura assim

22 de junho de 2010

Não chega a ser um consolo, mas serve como alerta e ajuda a controlar um pouco a paranoia de muitos diante da internet: a maior parte dos golpes praticados com identidades falsas, seja o talão de cheques, o cartão de crédito ou o RG de terceiros, ocorre com o computador desligado. Familiares, amigos, empregados e companheiros de trabalho podem ser mais perigosos e causar mais prejuízos aos nossos bolsos do que a internet, mesmo com a quantidade absurda de iscas e armadilhas existentes no mundo virtual.[ad#Retangulo – Anuncios – Direita] Quem duvida basta dar uma olhada no Identity Fraud Survey Report, produzido pela Javelin Strategy Research. O documento completo tem 150 páginas e está sendo oferecido a bancos, empresas de crédito e shoppings eletrônicos por US$ 2.500. Preferi ficar com um resumo, dez vezes menor, mas com a vantagem de ser gratuito. Está disponível em www.javelinstrategy.com. De acordo com o levantamento, 9,3 milhões de americanos adultos foram vítimas de fraudes praticadas a partir do roubo de identidades no ano passado. Em média, cada uma dessas pessoas perdeu o equivalente a US$ 750 ao longo de 2004 e precisou dedicar pelo menos cinco horas para resolver apenas os problemas burocráticos decorrentes do roubo. Curiosamente, em 68% dos casos as informações necessárias à consumação dos golpes foram obtidas por métodos tradicionais, em contraposição aos meios eletrônicos, responsáveis por apenas 11,6% das ocorrências. Métodos convencionais, segundo a metodologia utilizada no estudo, inclui desde a simples perda do documento até o roubo propriamente dito da informação por pessoas próximas e conhecidas pelas vítimas. Senhas escritas em agendas, em papéis dispersos pela mesa de trabalho ou até mesmo colados ao computador ou ao aparelho de telefone lideram as esteatíticas. Em 54% dos casos, foram as próprias vítimas que identificaram a fraude cometida em seu nome, em média 18 dias após o golpe ter sido cometido, quando fica mais difícil reaver o prejuízo ou descobrir com exatidão o responsável. Quando o culpado é alguém da própria família, o tempo para descobrir é bem maior e não raras vezes chega a três meses, quase sempre por ocasião de um novo golpe. Perda ou esquecimento de bolsas e carteiras com documentos pessoais, talões de cheques e cartões de crédito em restaurantes, táxis, metrô ou estabelecimentos comerciais representaram 29% dos casos apurados pelos analistas da Javelin. Amigos, familiares, empregados e companheiros de trabalho aparecem em seguida, com uma incidência de 19% – um porcentual duas vezes maior do que as fraudes com origem em spywares, vírus ou qualquer outra praga digital. E olha que em 75% das ocorrências investigadas as vítimas eram usuários ativos da internet e usam o computador com frequência para compras, pagamentos de contas e controle do saldo bancários. Robson Pereira/O Estado de São Paulo

Leia mais »

Crackers preferem computadores do governo

22 de abril de 2009

A turma da bandidagem digital aponta seus (deles) bits e bytes para as redes de computadores do Governo Federal. Computadores do governo federal na mira de crackers As 320 redes de computador do governo federal são alvos diários de milhares “crackers“, ou seja, pessoas dispostas a invadir sistemas para recolher informações sigilosas, fazer chantagem virtual e disseminar vírus. Todos os dias é registrada uma média de 87 ataques virtuais por hora nas máquinas de ministérios, secretarias e estatais. O número de notificações diárias saltou de 1.260 para 2.100, um aumento de 40%, segundo o Centro de Incidência de Redes, órgão subordinado ao GSI (Gabinete de Segurança Institucional) da Presidência da República e responsável por proteger os computadores de todos os órgãos do Poder Executivo.[ad name=”Retangulo – Anuncios – Direita”] O GSI criou, esta semana, um comitê para cuidar da segurança da informação do órgão. Decidiu dar o primeiro passo para motivar outras áreas do governo a se protegerem dos ataques. As milhares de notificações diárias referem-se a invasões e, principalmente, a “spams” (mensagens comerciais não solicitadas) e “fishings” (mensagens com arquivos que “pescam” dados) que as próprias redes não conseguem evitar.

Leia mais »