Especial: 10 hacks para deixar qualquer um paranóico

Invasão de caixas eletrônicos, roubo por RFID, ataques a dispositivos médicos. Listamos casos que podem tirar o sono de muito profissional de segurança.

Qualquer dispositivo com capacidade computacional pode ser hackeado, mas nem todos os métodos de hacking se assemelham. Na verdade, em um mundo no qual dezenas de milhões de computadores são comprometidos por malwares todo ano, os ataques inovadores, que geram reflexão e surpresa, ainda são raros e espaçados entre si.

Esses ataques extremos se distinguem dos comuns, que vemos no dia a dia. Isso se deve tanto pelos alvos pretendidos quanto pelos métodos aplicados – antes desconhecidos, inutilizados ou muito avançados. São medidas que ultrapassam o limite do que os profissionais de segurança julgam ser possível, abrindo os olhos do mundo para novas ameaças e vulnerabilidades do sistema enquanto conquistam o respeito de seus adversários.

Entre algumas dessas iniciativas recentes e antigas, separamos dez que consideramos os mais impressionantes:[ad name=”Retangulo – Anuncios – Direita”]

Caixa eletrônico

A maior parte dos caixas eletrônicos contém computadores com sistemas operacionais populares. Na maioria das vezes, rodam Windows ou alguma versão do Linux. É comum que esses sistemas incluam implementações de algum conhecido (como extensões em Java) por seus bugs e facilidade de ser hackeado. Para piorar, essas máquinas raramente são atualizados e as que são não seguem a periodicidade adequada.

Além disso, o sistema operacional dos caixas eletrônicos possui suas próprias vulnerabilidades, muitas de fácil exploração até poucos anos atrás. Os fabricantes enviam os caixas a seus clientes com senhas compartilhadas padrão e métodos comuns de acesso remoto, agravando ainda mais os riscos de segurança.

Naturalmente, eles orientam os destinatários a alterarem os padrões, mas poucos o fazem. O resultado é óbvio: cheios de dinheiro, os caixas são constantemente hackeados, tanto fisicamente quanto por suas portas de acesso remoto.

O mais infame dos hackers de terminais bancários foi Barnaby Jack, falecido em 2013. O cibercriminoso divertia as plateias de congressos de segurança quando levava máquinas comuns ao palco e as fazia expedir dinheiro falso em questão de minutos. Entre a vasta gama de truques dos quais dispunha, o mais comum se baseava em um pen drive com malware plugado nas entradas das máquinas, que não costumam ser protegidas mesmo com a recomendação dos fabricantes.

O software de Jack se conectava ao caixa através de uma porta de rede conhecida, usando acesso remoto para explorar uma vulnerabilidade que então comprometia completamente a máquina. Executando alguns comandos administrativos, o hacker instruía o caixa a liberar o dinheiro. Sempre seguidas de aplausos, as apresentações de Jack levaram à criação do termo “Jackpotting”, que batizou o método de hacking.

Marca-passo

Quando a tática de exploração de caixas eletrônicos foi descoberta pelos fabricantes dos terminais, Barnaby Jack voltou sua atenção aos dispositivos médicos. Suas demonstrações mais extremas incluíam o envio não autorizado e letal de choques a pacientes com marca-passos e dosagens extremas de insulina a diabéticos – tudo de uma localização remota.

A maioria dos aparelhos com fins medicinais são submetidos a um período de desenvolvimento, teste e certificação que duram entre cinco e dez anos antes de serem entregues a pacientes humanos. Infelizmente, isso significa que o software usado nos dispositivos não é atualizado durante todo esse tempo, colecionando uma sucessão de vulnerabilidades negligenciadas até ser introduzido ao mercado. Os fornecedores desses mecanismos costumam contar com a obscuridade de seus produtos como uma proteção artificial, a chamada “segurança por obscuridade”, visivelmente precária.

O quadro não aparenta estar melhorando. Em abril de 2014, o Wired publicou um artigo a respeito da facilidade de se hackear equipamentos hospitalares, em boa parte graças às senhas codificadas de forma padrão, que não podem ser alteradas.

É claro que os dispositivos médicos devem ser de fácil uso, continuando a operar mesmo caso sua segurança seja violada, mas isso dificulta sua proteção. Senhas customizadas mais longas, complexas e de mudança constante dificultam o uso dos aparelhos e, por isso, não são empregadas. Para agravar o quadro, quase toda a comunicação entre diferentes ferramentas não é autenticada ou criptografada.

Isso permite que qualquer hacker que tenha encontrado as portas certas leia e mude os dados dos aparelhos sem causar qualquer interrupção nas operações do dispositivo, de seu software de gerenciamento ou outros sistemas de interface (como registros médicos eletrônicos). Na verdade, a maioria das comunicações entre aparelhos médicos carece de soma de verificação da integridade básica de dados, o que facilmente identificaria a maioria das mudanças maliciosas.

O hacking de aparelhos médicos existe há, no mínimo, uma década e é comum que demonstrações a respeito sejam feitas em conferências, motivando a FDA (agência de saúde dos Estados Unidos) a emitir um aviso a respeito das vulnerabilidades. Os desenvolvedores de dispositivos médicos atualmente trabalham para preencher os buracos de fácil exploração, mas seu ciclo obrigatório de testes de longa duração ainda dificulta o devido combate aos problemas.

Fraude de cartões

A fraude de cartões de crédito é menos mórbida, mas ainda pode causar problemas substanciais em sua vida financeira. O hacking é simples: o agressor coloca um dispositivo chamado skimmer (popularmente chamado de “chupa cabra” no Brasil), no em outro aparelho – como um caixa eletrônico ou terminal de pagamento – para obter as informações de um cartão (tanto de crédito quanto de débito) e o PIN correspondente quando ambos forem digitados.

Os skimmers foram aprimorados ao longo dos anos, de aparelhos óbvios (que poderiam ser reconhecidos por qualquer um à procura de algo estranho) para dispositivos que dificultam o reconhecimento até mesmo por especialistas. Alguns deles incluem conexões por Bluetooth, permitindo que os hackers obtenham as informações roubadas a uma curta distância ao invés do próprio dispositivo.

Os atacantes frequentemente inserem dezenas de aparelhos em uma área geográfica comum – de preferência próximas a estradas, permitindo fugas rápidas – e usam a informação roubada para gerar cartões novos e fraudulentos, que são usados em lojas caras (para comprar produtos que possam ser revendidos) e varejistas online. Isso é feito com rapidez, geralmente ainda nas primeiras horas. Até os fornecedores detectarem ou serem comunicados da fraude, os agressores já lucraram e escaparam sem ser apanhados.

Brian Kebs, que cobre os últimos dispositivos skimming e notícias relacionadas, reportou recentemente uma vitória contra a tecnologia fraudulenta. Neste caso, a polícia escondeu aparelhos de rastreamento GPS em dispositivos skimming ativos já descobertos. Quando os hackers apareceram para reaver seus aparelhos, a força policial os rastreava e prendia. Naturalmente, a popularização da estratégia deve levar os agressores a intensificarem o uso do Bluetooth para evitar a remoção física — mas, por enquanto, a polícia intensifica o combate à fraude.

Hacking remoto de cartões

Se seu cartão possui o mecanismo de pagamento por etiquetas de radiofrequência (RFID) – como MasterCard PayPass ou American Express ExpressPay –, é provável que suas informações possam ser lidas por um hacker que ande próximo à sua bolsa ou carteira. Isso acontece porque qualquer dispositivo RFID desprotegido pode ser hackeado, incluindo passaportes, cartões de acesso predial/residencial e etiquetas de rastreamento de produtos.

Aparelhos de radiofrequência quase não possuem segurança. Basta energizar o transmissor RFID usando ondas de rádio de baixa frequência para que ele transmita toda a informação que possui. As linhas magnéticas dos cartões de crédito já não eram seguras – podiam ser lidas por qualquer leitor vendido na internet a US$ 15 –, mas a diferença neste caso é que os leitores de radiofrequência permitem o roubo de informações sem que haja qualquer contato com o cartão. Ande a um metro de um leitor malicioso de RFID e, sim, você pode ser hackeado.

Com o tempo, a distância necessária tende a aumentar: alguns especialistas em hackers por radiofrequência preveem o aumento do espaço exigido para cerca de cem metros nos próximos cinco anos — o que possibilitaria que hackers coletassem milhares de cartões por hora somente por frequentarem lugares movimentados.

Se você tem cartões que usam radiofrequência, pode comprar “escudos” e carteiras de defesa gastando entre US$ 25 e US$ 50. Felizmente, a tecnologia para hackear esses dispositivos é mais usada por “hackers éticos” em demonstrações do que agressores reais e os especialistas esperam um crescimento no número de cartões habilitados por chip, que desapareceriam com o hack de RFID antes que ele produzisse dano substancial com o aumento de seu alcance.

BadUSB

Ano passado, pesquisadores demonstraram que cerca de metade das entradas USB instaladas nos computadores podem ser comprometidas por um dispositivo malicioso. Basta plugar um aparelho USB a um computador desavisado e ele executará automaticamente qualquer comando configurado, desviando de todos os controles de segurança, firewalls e software antimalware ativos.

Não há nenhuma defesa para a tática de exploração (batizada de BadUSB) além de danificar fisicamente a porta ou prevenir qualquer acesso físico não autorizado. Pior, não há como saber se uma chave USB plugada a um computador contém BadUSB. É também impossível descobrir se a chave infectada foi espalhada intencionalmente por um amigo ou associado, já que poderia ter acontecido sem seu conhecimento, acabando por contaminar outro computador por acidente – ou um planejamento bem calculado.

Stuxnet

O Stuxnet é o ataque mais avançado já registrado e, facilmente, o malware mais perfeito escrito até hoje. Ele não recorreu ao BadUSB, mas se espalhou via chaves USB e um método de execução USB até então desconhecido, juntamente a três outros ataques de dia zero.

Descoberto publicamente em junho de 2012, o Stuxnet levou o conceito de cyberwar a ser reconhecido como uma batalha real, capaz de causar danos físicos. Especula-se que o malware tenha sido desenvolvido em colaboração entre os Estados Unidos e Israel para frustrar o programa nuclear do Irã, embora nenhum dos dois países tenha reconhecido a autoria.

A infiltração de malware nas instalações nucleares isoladas e de alta segurança foi considerada impossível por muitos especialistas em computação. Os criadores do Stuxnet alegadamente infectaram as chaves USB de consultores nucleares estrangeiros que trabalhavam nas centrífugas iranianas. Se eles sabiam o que carregavam, fica para especulação.

O malware foi lançado pelas chaves USB, atuou nos computadores de gerenciamento dos reatores operados por Windows e então programou os próprios controladores lógicos das centrífugas. Uma vez lá, o Stuxnet gravou os valores normais de operação e os reproduziu enquanto criava condições fatais execução, destruindo boa parte dos equipamentos de controle e das centrífugas.

Uma revisão de código fonte feita por várias empresas e levou à conclusão de que exigiria de muitas equipes (compostas de doze membros cada) e um ano ou mais para criar o worm, tão avançada era sua programação. Contudo, desde a descoberta do Stuxnet, muitos outros também foram revelados. Por mais futurista que tenha sido na época, os especialistas creem que o Stuxnet tornou-se ponto de partida comum para os próximos programas de cyberwar. Começou a guerra fria cibernética.

Painéis de trânsito

Hackear as sinalizações eletrônicas de estradas, aqueles painéis com mensagens variáveis sobre o trânsito, é ilegal e pode gerar sérios problemas. Mesmo assim, é difícil não rir com as pegadinhas do gênero quando elas não prejudicam ninguém – caso da vez em que mudaram os dizeres de um painel inutilizado para “Atenção! Zumbis à diante”.

Nos Estados Unidos, alguns dos que praticam esse tipo de hacking são antigos funcionários do Departamento de Transporte, que programavam os sinais de trânsito como parte de seus trabalhos. Fato é que os manuais desses painéis eletrônicos estão disponíveis online e quase sempre contém senhas padrão (tão simples quanto “senha”, “visitante” e “público”). Os hackers só precisam descobrir o modelo do painel que desejam atacar e fazer o download do manual.

Para a maioria dos sinais de trânsito, é necessário o acesso físico a um painel trancado, mas isso não é um grande problema uma vez que o equipamento costuma ficar destrancado. Uma vez que o hacker obtenha o acesso físico, ele usa o teclado do console para logar-se em uma credencial padrão ou para visitantes. Feito isso, ele pode fazer o reboot do computador do painel enquanto obedece às instruções do manual, voltando a sinalização aos padrões do fabricante, incluindo as senhas.

Mesmo quando o painel tem credenciais distintas de usuário e administrador, a mensagem ainda pode ser alterada sem a necessidade de permissão – obrigatória somente para configurações de equipamento, como ventilação e energia.

O “livro de ordens” da NSA

Qualquer um que tenha ouvido sobre Edward Snowden sabe que a NSA possui, essencialmente, um “livro de ordens” para requisitar a execução de hacking avançado.Um deles, o Quantum Insert, é escolhido pela agência para o uso de ferramentas de injeção de pacotes, que redirecionam as vítimas em questão de um site a outro, onde podem ser manipuladas de forma mais extensa e de forma imperceptível.

Caso a página de redirecionamento for desenvolvida para se assemelhar bastante com a pretendida pela vítima, ela provavelmente não perceberá o que aconteceu. Criptografia aplicada (HTTPS) pode ajudar a frustrar o ataque, mas a maioria dos sites não a exige e os usuários não costumam habilitá-la quando é opcional. Esse ataque é feito desde 2005.

A NSA também pode exigir outros ataques, como por exemplo, a utilização de backdoors em equipamentos para monitorar o envio e o recebimento de dados de uma empresa ou órgão que trafegam por uma rede.

Já deve estar claro que a agência, assim como quase toda entidade estatal americana, pode espiar em qualquer dispositivo que desejem, sem que haja muito que fazer a respeito. Muitos desses aparelhos e software são criados por empresas privadas e disponibilizados para compra por qualquer cliente disposto a pagar.

Rompendo criptografia

Gary Kenworthy, da Cryptography Research, é especializado em revelar chaves criptográficas de diversos dispositivos antes tidos como seguros. Ele é capaz de monitorar remotamente a radiofrequência e as emissões de radiação eletromagnética dos aparelhos, descobrindo códigos binários que compõem sua chave de segurança – e tem o costume de fazê-lo em demonstrações ao redor do mundo.

Os avanços recentes de Kenworthy contra os dispositivos que deveriam nos proteger balançaram a comunidade criptográfica. Ele e sua empresa lucram com o fornecimento de proteção contra os ataques que ele demonstra, mas eles são reais e, essencialmente, reduzem a segurança da maioria dos dispositivos que rodam criptografia e não aplicaram as defesas sugeridas por ele.

Hack de carros

Os fabricantes de automóveis competem para ver quem coloca o maior número de funções possível em seus veículos. Portanto não surpreende que esses mesmos computadores sejam incrivelmente vulneráveis a ataques. Desde cedo, os hackers aprenderam a destrancar carros usando suas chaves remotas sem fio, também impedindo os donos de trancarem seus veículos enquanto pensam terem feito.

O Dr. Charlie Minner começou sua carreira hackeando dispositivos Apple e ganhando vários concursos Pwn20wn. Ele está entre os melhores hackers do gênero. Em 2013, junto de seu colega de pesquisa, Chris Valasek, demonstrou como controlar os freios e a direção de um Toyota Prius 2010 e de um Ford Escape usando interfaces de ataques físicos nas unidades de controle eletrônico e nos sistemas dos veículos. Felizmente, pelo menos esse método hacking não funciona wireless ou remotamente.

Ano passado, Miller e Valasek discutiram o hacking remoto e sem fio de 24 modelos de carros, elegendo o Cadillac Escalade, o Jeep Cherokee e o Infiniti Q50 como os mais vulneráveis. Eles conseguiram documentar que as ferramentas de rádio remoto dos veículos eram (ou poderiam ser) ligadas aos sistemas críticos de controle.

Também em 2014, o Senado americano emitiu um relatório indicando que virtualmente qualquer carro fabricado hoje em dia é hackeável. Agora, a indústria automotiva segue a solução encontrada pelas empresas de software: contratam hackers para ajudarem a melhorar a segurança de seus sistemas. Pense nisso na próxima vez em que estiver em uma concessionária, sendo tentado pelo modelo com o melhor Wi-Fi.
Fonte:IDGNow

Eleições 2014 e o risco de fraudes

Entrevista: Mikko Hyppönen, da F-Secure, explica os riscos de fraudes nas eleições brasileiras

Mikko

O finlandês Mikko Hyppönen é, provavelmente, um dos nomes mais influentes na indústria de segurança atualmente. Diretor-executivo de pesquisas da F-Secure, ele ocupa o cargo há 20 anos e já esteve envolvido em operações que ajudaram a combater a expansão de malware como o Sobig.F (que teve seu auge em 2003), o Sasser (worm famoso em 2004) e o mais recente Stuxnet(o vírus responsável por atacar sistemas industriais descoberto em 2010).

O executivo, que também já auxiliou equipes de polícia nos EUA, na Europa e na Ásia, esteve no Brasil nesta última semana para palestrar na SecureBrasil. O evento aconteceu em São Paulo nos últimos dias 26 e 27 de agosto, e a apresentação de Hyppönen focou nos riscos de fraudes nas eleições que acontecem em outubro aqui no Brasil.

Mas antes de dar a palestra, ele conversou sobre o tema com INFO. Na entrevista, o especialista finlandês afirmou que o sistema eleitoral utilizado por aqui não é perfeito, mas é “surpreendentemente bom”. Além disso, ressaltou que o verdadeiro risco de ataque não atingirá diretamente as eleições, mas sim os candidatos envolvidos na votação, cujos sites e páginas oficiais estão suscetíveis a ataques e golpes. Leia mais a seguir.

O sistema que usamos nas eleições aqui no Brasil está suscetível a ataques ou fraudes?
Eu analisei essa parte e, para falar a verdade, ela é até bem desenhada. Nada é 100% seguro, mas observando os sistemas eleitorais usados em outros países, o de vocês está longe de ser ruim – pelo contrário, é surpreendentemente bom. É bem planejado desde o princípio. Só acho que poderia ser melhor se fosse de código aberto – não vejo motivos para ele não ser open source. Se há algo que realmente deveria ser de código aberto, esse algo seria o sistema que usamos para organizar uma eleição em sociedades democráticas. [ad name=”Retangulo – Anuncios – Direita”]

Mas enfim, no sistema de vocês, gosto do fato de que todos têm comprovantes físicos para mostrar que votaram – é algo que falta nas máquinas de votação dos EUA. Também gosto do fato de vocês não votarem online, algo que a Estônia tem feito desde 2005, por exemplo. Há diversos problemas nisso, sendo alguns técnicos, mas imagino que o mais óbvio envolva pessoas forçando outras a votar – um marido abusivo pode obrigar a esposa a votar no candidato dele, tendo certeza de que ela realmente o fará e sem haver uma forma de prevenir que isso aconteça. O sistema de votação estoniano foi elogiado como um ótimo exemplo, mas ele foi estudo pela primeira vez só agora por um grupo internacional de pesquisadores, que descobriram diversos problemas técnicos.

Há um caso relativamente famoso no Rio de Janeiro de um jovem cracker que diz ter modificado os resultados das eleições municipais em 2012. Como ele pode ter feito isso, visto que o sistema é relativamente seguro?
Eu tentei descobrir, mas faltam alguns detalhes cruciais na história. Pode ser, no fim, besteira, mas ele afirmou que, para o hack funcionar, precisou ter acesso à rede central de votos. Esta é a rede aonde levam os cartões de memória das urnas eletrônicas, e se alguém ganha acesso à esse sistema, basicamente tudo está perdido. Não importa mais se todas as outras peças do quebra-cabeça estiverem posicionadas – o invasor poderá mudar o resultado da votação. Mas como o jovem teve acesso a essa central, visto que ela não deveria estar conectada a nenhuma rede externa? Isso eu já não sei.

Onde, então, estão os maiores riscos que podem ameaçar os rumos das eleições no Brasil?
Em um momento em que a internet está tão integrada a tudo o que fazemos, é claro que ela exercerá um papel importante nas eleições. Por isso, não são só os sistemas que usamos nas votações que podem ser afetados – há muitas outras formas de atingir os rumos de uma eleição. Já vimos em diversos eventos do tipo, em vários lugares pelo mundo, que os apoiadores de um determinado candidato tentarão usar a web para tal. Não é necessariamente “hackear as eleições”: o que vemos normalmente são táticas para manchar a reputação dos oponentes ao invadir os sites e as contas nas redes sociais deles ou espalhando afirmações falsas, por exemplo. É algo que claramente veio para ficar, e não é mais uma ameaça teórica. Para as eleições presidenciais que estão por vir aqui no Brasil, é garantido que alguém vai tentar invadir as contas de Facebook e Twitter de cada candidato.

E se os invasores conseguirem adivinhar ou vazar as senhas, eles definitivamente vão usar tudo para seus propósitos e interesses. As contas até podem ser recuperadas, mas até aí, muito estrago pode ser feito. Os candidatos precisam estar cientes dos riscos e tomar as medidas para saber exatamente quem, dentro de seus comitês, tem as credenciais para usar as páginas nas mídias sociais. Quando pessoas nessas equipes saírem e forem para outro lugar, as combinações precisarão ser modificadas, sendo sempre longas e fortes e nunca reutilizadas.

Como agem esses invasores de páginas e contas?
Temos diversos casos em eleições em que as páginas de candidatos foram descaracterizadas. Tipos diferentes de danos, sendo os mais graves aqueles provocados por mudanças súbitas ou sutis. Você apaga a página inicial ou coloca algo estranho ali, que provoque um efeito imediato. Mas há um caso que ocorreu nas eleições do Vietnã, dois anos atrás, no qual a página de um dos candidatos foi invadida e as mudanças foram muito pequenas.

A página errada ficou no ar por dias, até que finalmente perceberam que a mensagem passada estava ligeiramente errada. É o dano mais eficiente que alguém pode causar. Ou seja, nem é preciso estar nas redes sociais – qualquer mecanismo de comunicação pode funcionar. Fora isso, hoje as redes sociais ainda estão tão atreladas aos nossos celulares que algumas dessas brechas podem ser feitas por hacks nos telefones mesmo. Por exemplo, você pode enviar tweets por SMS, o que basicamente significa que, ao descobrir o número de telefone que a equipe de um candidato associou à conta do Twitter, um invasor pode muito bem tentar falsificar mensagens de texto e postar na rede de microblogs. Há muito que se pensar quando o assunto é proteger contas assim.

Há alguma forma específica de evitar que coisas assim aconteçam? Ou estamos falando de medidas típicas mesmo, como o que você já mencionou de usar senhas fortes, não repeti-las, entre outros pontos?
Não, não há nada em especial. A diferença aqui é que não estamos falando de uma ameaça teórica. Em um caso como as eleições, é certeza que tentativas de golpe aparecerão, especialmente nos dois meses que precedem o evento. Durante este período, sites e páginas certamente serão atacados. Veremos diferentes tentativas de obter acesso a um website ou a contas de redes sociais, e é por isso que é crucial proteger tudo, embora essa segurança não envolva nada de diferente. Como expliquei, além do já citado, é bom saber com quem as contas estão, já que todos que têm acesso a elas estão suscetíveis a phishing. É muito provável que membros da equipe de um candidato recebam e-mails falsos do Facebook, dizendo que há um problema com a conta e pedindo para que cliquem em um link. Ele levará a vítima a uma página que apenas parece real, mas que também pede pelos dados. São golpes que já não funcionam tão bem quando aplicados em massa, mas são eficazes quando têm alvos específicos como nestes casos. Para evitar ataques assim, alguns desses sites de mídias sociais fazem como bancos e têm suporte à autenticação em dois passos, que envia mensagens de texto para saber se é mesmo o dono quem está tentando acessar a conta. E isso é algo que todos deveriam habilitar, porque vai protegê-los e muito.

Mas os ataques nem precisam ser assim: se o Twitter, por exemplo, estiver com a autenticação em dois passos ativada, os invasores provavelmente não conseguirão hackear. Mas eles podem tentar logar como se fossem o usuário, clicar no botão de “Esqueci a senha” e fazer com que o site mostre parte do endereço ao qual mandará as instruções para recuperar a combinação. Os invasores, então, descobrem que o e-mail usado é um Gmail ou Hotmail e podem tentar adivinhar o resto do endereço e quebrar a palavra-chave dele. Não é preciso invadir a parte difícil, e por isso os atacantes vão pela mais fácil.

Como assim?
É algo que vimos várias vezes em outras situações, visto que, no geral, as pessoas não pensam muito na conta do webmail. Muitos têm múltiplas delas, e são coisas que o público não vê como tão importante. É usado apenas para conversar com amigos, registrar em sites, receber spam… Então, se alguém ganha acesso ao Hotmail ou ao Yahoo! Mail, não deve ser nenhum grande problema, certo? Infelizmente, isso não é verdade, porque o que o invasor quer é exatamente um webmail. As informações contidas ali podem ser transformadas em dinheiro facilmente: o que eles fazem é obter acesso ao e-mail (Gmail, por exemplo) e depois mexer no histórico, procurando por e-mails de boas-vindas de lojas online, como os da Amazon, por exemplo. Assim, eles vão saber que você tem uma conta ali. Eles então acessam essa loja, dão o golpe do “Esqueci minha senha” e voltam ao e-mail para reiniciá-la. O Gmail de certa forma se tornou uma central para ganhar acesso a todas as suas contas pela internet. Enfim, dessa forma, os atacantes podem começar a logar na loja online com os dados da vítima e, caso ela tenha deixado salvos os dados de pagamento, fazer compras e pedir para entregá-las nos endereços que eles quiserem.

Essa falta de preocupação com segurança não é algo relacionado apenas aos webmails aqui no Brasil. Há falhas de proteção espalhadas mesmo por sites grandes, que acabam por expor informações de clientes. Existe uma forma de fazer a população ter consciência dos riscos e dar mais prioridade à segurança nas redes?
Na verdade, isso é algo que deveria responsabilidade de todo mundo. Muitos países fazem esse tipo de conscientização em campanhas, como os Data Protection Days, que muitos dos europeus organizam há anos [esses eventos também são organizados nos EUA e no Canadá no mês de janeiro de cada ano, e são chamados por lá de Data Privacy Days]. Há também artigos nos maiores jornais, panfletos distribuídos pelas casas, ensinando a proteger contas e a fazer o backup do computador, por exemplo. E é claro, escolas ensinam estudantes desde cedo. Mas é algo para ser feito ao longo prazo – conscientizar de verdade é algo que exige um alto nível. E problemas como os citados não deveriam existir. Se os administradores não corrigem nem as falhas que sabem que existem, então eles estão apenas sendo preguiçosos e irresponsáveis com os dados de outras pessoas. Não é um pecado ter um erro no sistema. O pecado é ser avisado e não tomar providências.
, de INFO Online

Documento indica que NSA obtinha detalhes de falhas de segurança

Espionagem Digital Internet Blog do MesquitaAgência assinou acordo com empresa especializada em investigar brechas.

Informação está em documento liberado pelo próprio governo dos EUA.

A Agência de Segurança Nacional (NSA) dos Estados Unidos assinou em setembro de 2012 um contrato de um ano com a empresa francesa Vupen para que a companhia repassasse informações de falhas de segurança ao governo norte-americano.
O acordo foi confirmado em documento liberado pelos EUA que atende a um pedido com base na lei de acesso à informação do país, o Freedom of Information Act (FOIA).
A solicitação foi feita pelo site “MuckRock“, especializado no FOIA.

Essas informações podem ser usadas em ataques.

Isso porque a Vupen emprega pesquisadores de segurança próprios com a finalidade de descobrir falhas de segurança em diversos softwares, mas, diferente de outras empresas do ramo, só fornece os dados das brechas aos clientes pagantes, que podem ou não ser os próprios desenvolvedores.

Isso significa que as vulnerabilidades não têm garantia de correção e podem ser usadas em investidas contra sistemas atualizados e seguros.[ad#Retangulo – Anuncios – Direita]

A praga Stuxnet, cuja autoria é atribuída aos Estados Unidos, usava diversas falhas do Windows até então desconhecidas.

A NSA está no centro de uma série de revelações publicadas com base em documentos vazados por Edward Snowden, ex-funcionário terceirizado da agência.

Entre as revelações está a de que a agência realiza ataques cibernéticos contra diversos alvos no mundo todo para fins de espionagem.
Altieres Rohr/ G1

Espionagem Digital

No Brasil não há qualquer legislação que trate da venda de ‘softwares’ para espionagem eletrônica, embora a interceptação de dados de fluxo de comunicações já esteja normatizado como crime.

Essas ferramentas de espionagem digital, e monitoramento de computadores e celulares são vendidas livremente, conforme pode ser comprovado nese site: http://www.oinformante.com

Produtos dessa área podem ser adquiridos tanto por pessoas físicas, jurídicas ou órgãos públicos.
José Mesquita – Editor


Cresce procura dos governos por ferramentas de ataque e espionagem

Pesquisadores de segurança investigaram o uso de ferramentas de monitoração digital destinadas à polícia, que atuam como verdadeiras pragas digitais, e conseguiram descobrir novas informações a respeito desta prática ainda pouco transparente.

[ad#Retangulo – Anuncios – Esquerda]Enquanto Morgan Marquis-Boire e Bill Marczak descobriram que a ferramenta “FinSpy” não estaria sendo utilizada apenas para monitorar criminosos, mas também para espionar as atividades de dissidentes políticos em alguns países, a Força Aérea norte-americana publicou um pedido para que empresas enviem projetos para armas cibernéticas – sinalizando o crescente interesse do governo pela aquisição de ferramentas digitais desenvolvidas pelo setor privado.

O FinSpy é fornecido por uma empresa britânica chamada Gamma Group. Ele foi descoberto pela primeira vez quando manifestantes tomaram prédios do governo no Egito, tendo acesso a diversos documentos confidenciais. Entre os documentos, uma proposta referente ao FinSpy no valor de 287 mil euros – cerca de R$ 735 mil reais. Não se sabe se o Egito chegou a utilizar a ferramenta.

Segundo a TeleStrategies, uma empresa que organiza a ISS World, uma feira do setor de softwares espiões para uso policial, esse mercado já movimenta US$ 5 bilhões (cerca de R$ 10 bilhões) anualmente. O que os pesquisadores descobriram, porém, é que o uso nem sempre está ligado a crimes, e que alguns dos alvos desses softwares eram dissidentes políticos.

Marquis-Boire e Marczak encontraram indícios de uso do FinSpy pelo Bahrein e Turquemenistão, dois países que, segundo depoimentos de especialistas ao jornal “New York Times”, possuem um péssimo histórico de direitos humanos. Em um dos casos, os especialistas identificaram endereços de IP de controle do FinSpy associados diretamente ao Ministério de Comunicação do Turquemenistão.

A Gamma Group não informa quem são os clientes do FinSpy, nem dá detalhes sobre o funcionamento do programa. Os pesquisadores investigaram um código que seria o FinSpy e afirmam que ele é capaz de ser executado até mesmo em celulares, como o iPhone e o BlackBerry. Nos PCs, o código tem capacidades específicas para burlar programas antivírus populares do mercado.

O FinSpy Mobile consegue ligar o microfone do celular para monitorar conversas do ambiente, gravar chamadas e espionar e-mails e mensagens de texto recebidas e enviadas pelos aparelhos celulares. A empresa desenvolvedora do FinSpy confirmou que existe uma versão do software para celulares, mas não quis dizer quais recursos o software possui, nem como o programa burla proteções em celulares e PCs para infectar as máquinas.

A Gamma Group garantiu ao “New York Times” que a maior parte dos usos do FinSpy é destinada à captura de pedófilos, sequestradores e terroristas.

Não há qualquer regulamentação sobre o mercado desse tipo de software.

Uso de pragas digitais por autoridades

Alemanha, Estados Unidos e França já teriam feito uso de softwares espiões para monitorar crimes ou criminosos. No entanto, os detalhes dessas operações ainda são pouco conhecidos. Já é público, porém, o interesse de alguns governos pela aquisição de novas ferramentas.

Quando os Estados Unidos criaram o “Cibercomando” nas Forças Armadas para monitorar as redes do país, o objetivo era somente defensivo. Mas em um depoimento dado pelo general Keith Alexander, responsável pelo Cibercomando, o militar demonstrou preocupação em desenvolver capacidades de ataque no mundo digital.

No dia 22 de agosto, a Força Aérea norte-americana publicou um pedido para que empresas enviem propostas de projetos para desenvolver capacidades de ataque de ciberguerra. A Força Aérea definiu ataque como “o uso de capacidade no ciberespaço para destruir, denegrir, romper, enganar, corromper ou usurpar a habilidade de um adversário de usar o domínio do ciberespaço para sua própria vantagem”.

Um relatório britânico publicado em julho sugeriu ao governo que fossem investidos mais recursos no desenvolvimento de ataques no ciberespaço, e não apenas defesa. No Brasil, o general Antonino Santos Guerra, comandante do Centro de Comunicações e Guerra Eletrônica do Exército (CCOMGEx), afirmou à imprensa que “vamos nos defender, mas também nos preparar para o ataque. O Exército é escudo e também espada”.

Em março, uma reportagem da revista Forbes revelou que hackers estão vendendo informações particulares sobre vulnerabilidades que ainda não estão corrigidas nos softwares. Os principais clientes são justamente os governos, que podem pagar até US$ 250 mil (cerca de R$ 500 mil) para comprar informações sobre falhas em vários sistemas e aplicativos, desde navegadores de internet à leitores de documentos, como o Adobe Reader.

É consenso entre especialistas de segurança que as pragas digitais Stuxnet, Flame, DuQu e Gauss foram desenvolvidas com o patrocínio de um governo. De acordo com o jornal New York Times, Estados Unidos e Israel estariam envolvidos no desenvolvimento do Stuxnet, que possui semelhanças com os outros códigos.

Um especialista da fabricante de antivírus Kaspersky Lab comentou em sua análise da nova praga multiplataforma – batizada de “Crisis” ou “Morcut” – que ela tinha as características de um produto para o mercado de ferramentas destinadas a governos.

Há uma mensagem clara dos governos de que há interesse no desenvolvimento de ferramentas para uso do exército e também da polícia. Talvez isso se deva em parte ao sucesso de operações como a do “Stuxnet”, que conseguiu destruir centrífugas de usinas nucleares no Irã, demonstrando que a capacidade de ataques virtuais pode trazer resultantes bastante reais.
por Altieres Rohr/Coluna/G1

Vírus: ‘Flame’ foi um fracasso para a indústria antivírus, diz especialista

 

Chefe de pesquisa da F-Secure, Mikko Hypponen: 'perdemos em nosso próprio jogo' (Foto: Divulgação)

Pesquisador da F-Secure, Mikko Hypponen publicou texto na ‘Wired’.
‘Antivírus não protegem contra ataques direcionados de governos’, diz.

O chefe do time de pesquisa da fabricante de antivírus F-Secure, Mikko Hypponen, publicou um texto com sua opinião sobre a praga digital de espionagem “Flame“, afirmando que a incapacidade dos antivírus de detectar o Flame, em circulação há pelo menos dois anos, foi um “fracasso espetacular” para a indústria

O texto do especialista foi publicado em um blog da revista “Wired” nesta sexta-feira (1°).

O especialista diz que pragas digitais como o Flame, que roubou dados de indivíduos e instituições no Irã, o Stuxnet, que destruiu centrífugas de enriquecimento de urânio, e o Duqu, que também roubou informações de empresas na Europa, não podem ser detectadas por antivírus porque elas não agem como outras pragas digitais por terem alvos específicos e terem sido patrocinadas por governos com grandes recursos financeiros.

A F-Secure, assim como várias outras empresas de segurança, ficou sabendo do Flame devido a um e-mail enviado pelo Centro Nacional de Resposta a Incidentes de Segurança do Irã (Maher). Depois de receber os arquivos envolvidos, a empresa descobriu que já os tinha recebido em 2010.

Devido às características do código, porém, nenhuma ferramenta de análise da empresa havia levantado suspeita.

“Stuxnet e Duqu usaram componentes assinados digitalmente para parecerem confiáveis. E em vez de protegerem seus códigos com empacotadores personalizados ou técnicas de ofuscação – o que poderia ter gerado suspeitas -, eles se esconderam em plena vista.

No caso do Flame, os atacantes usaram SQLite, SSH e bibliotecas de LUA para fazer o código se parecer com um sistema de banco de dados empresarial”, escreveu Hypponen.

saiba mais
Por quase dois anos, vírus ‘Flame’ roubou dados sem ser percebido
Obama acelerou uso de vírus contra programa nuclear iraniano, diz ‘NYT’

Para ele, códigos como esses não podem ser detectados por antivírus “por definição”.

“Antes de lançaram seus códigos, os atacantes testaram eles em todos os antivírus relevantes no mercado para ter certeza que não seriam detectados. Eles têm tempo ilimitado para aperfeiçoar os ataques. Não é uma guerra justa entre atacantes e defensores quando os atacantes têm acesso às nossas armas”, explicou.

A única solução para os governos ou empresas que querem se proteger é uma “defesa em camadas”, envolvimento ferramentas de detecção de intrusão, listas de aplicativos permitidos e monitoramento de rede, diz o especialista. Ele diz ainda que devem estar acontecendo outros ataques semelhantes que continuam desconhecidos. “Ataques como esses simplesmente funcionam”, declara.

“Flame foi um fracasso para a indústria antivírus. Deveríamos ter sido capazes de fazer melhor. Mas não fizemos. Perdemos nosso próprio jogo”, finalizou.
G1 

Especialistas temem guerra cibernética no futuro

Mito ou realidade o fato é que o desenvolvimento tecnológico está cada dia mais crescendo e se integrando ao dia-a-dia de cada cidadão, alguns países mais do que outros, claro, por diversos fatores, política, economia, desenvolvimento tecnológico, etc. Em Cuba por exemplo a população só tem acesso a e-mails, na China vários sites são bloqueados, e vários países da Ásia e Oriente Médio permanecem da mesma forma.

Mas nem todos são contra estas informações, muito pelo contrário, há países que o governo utiliza a rede para buscar informações de outros países, não somente o governo, mas a inteligência, para estas serem usadas em situações de conflito.

Um exercício militar internacional, realizado em março em uma base militar na Estônia, tentou prever as consequências de um novo tipo de conflito, uma guerra cibernética.

José Mesquita – Editor 


A operação Locked Shields não envolveu explosões, tanques ou armas. Na operação, uma equipe de especialistas em TI atacou outras nove equipes, espalhadas em toda a Europa.

Notícias relacionadas
Exército brasileiro prepara sistema de prevenção contra ataques cibernéticos
Brasil está entre os menos preparados para ataques de hackers, diz estudo
Ataque de hackers expõe dados de cartão de crédito de 15 mil em Israel

Nos terminais da equipe de ataque, localizados no Centro de Excelência da Otan em Defesa Cibernética Cooperativa, foram criados vírus ao estilo “cavalo de Tróia” e outros tipos de ataques pela internet que tentavam sequestrar e extrair dados das equipes inimigas.

O objetivo era aprender como evitar estes ataques em redes comerciais e militares e mostrou que a ameaça cibernética está sendo levada a sério pela aliança militar ocidental.

O fato de a Otan ter estabelecido seu centro de defesa na Estônia também não é por acaso. Em 2007 sites do sistema bancário, da imprensa e do governo do país foram atacados com os chamados DDoS (sigla em inglês para “distribuição de negação de serviço”) durante um período de três semanas, o que agora é conhecido como 1ª Guerra da Web.[ad#Retangulo – Anuncios – Direita]

Os responsáveis seriam hackers ativistas, partidários da Rússia, insatisfeitos com a retirada de uma estátua da época da União Soviética do centro da capital do país, Tallinn.

Os ataques DDoS são diretos: redes de milhares de computadores infectados, conhecidas como botnets, acessam simultaneamente o site alvo, que é sobrecarregado pelo tráfego e fica temporariamente fora de serviço.

Os ataques DDoS são, no entanto, uma arma primitiva quando comparados com as últimas armas digitais. Atualmente, o temor é de que a 2ª Guerra da Web, se e quanto acontecer, possa gerar danos físicos, prejudicando a infraestrutura e até causando mortes.

Trens descarrilados e blecautes
Para Richard A. Clarke, assistente de combate ao terrorismo e segurança cibernética para os presidentes americanos Bill Clinton e George W. Bush, ataques mais sofisticados podem fazer coisas como descarrilar trens em todo o país, por exemplo.

“Eles podem causar blecautes, e não apenas cortando o fornecimento de energia, mas danificando de forma permanente geradores que levariam meses para serem substituídos. Eles podem fazer coisas como causar explosões em oleodutos ou gasodutos. Eles podem fazer com que aeronaves não decolem”, disse.

No centro do problema estão interfaces entre os mundos físico e digital conhecidas como sistemas Scada, ou Controle de Supervisão e Aquisição de Dados, na sigla em inglês.

Estes controladores computadorizados assumiram uma série de tarefas que antes eram feitas manualmente. Eles fazem de tudo, desde abrir as válvulas de oleodutos a monitorar semáforos.

Em breve estes sistemas serão comuns em casas, controlando coisas como o aquecimento central.

O detalhe importante é que estes sistemas usam o ciberespaço para se comunicar com os controladores, receber a próxima tarefa e reportar problemas. Caso hackers consigam entrar nestas redes, em teoria, conseguiriam também o controle da rede elétrica de um país, do fornecimento de água, sistemas de distribuição para indústria ou supermercados e outros sistemas ligados à infraestrutura.

Dispositivos vulneráveis
Em 2007 o Departamento de Segurança Nacional dos Estados Unidos demonstrou a potencial vulnerabilidade dos sistemas Scada. Com um software, o departamento entrou com comandos errados e atacou um grande gerador a diesel.

Vídeos da experiência mostram o gerador chacoalhando violentamente e depois a fumaça preta toma toda a tela.
O temor é de que, um dia, um governo hostil, terroristas ou até hackers que apenas querem se divertir possam fazer o mesmo no mundo real.

“Nos últimos meses temos vistos várias coisas”, disse Jenny Mena, do Departamento de Segurança Nacional. “Atualmente existem mecanismos de buscas que podem encontrar aqueles dispositivos que estão vulneráveis a um ataque pela internet. Além disso, vimos um aumento no interesse nesta área na comunidade de hackers e de hackers ativistas.”

Uma razão de os sistemas Scada terem uma possibilidade maior de ataques de hackers é que, geralmente, engenheiros criam o software, ao invés de programadores especializados.

De acordo com o consultor de segurança alemão Ralph Langner, engenheiros são especialistas em suas áreas, mas não em defesa cibernética.

“Em algum momento eles aprenderam a desenvolver software, mas não se pode compará-los a desenvolvedores de software profissionais que, provavelmente, passaram uma década aprendendo”, disse.
E, além disso, softwares de infraestrutura podem estar muito expostos. Uma usina de energia, por exemplo, pode ter menos antivírus do que um laptop comum.

Quando as vulnerabilidades são detectadas, pode ser impossível fazer reparos imediatos no software.
“Para isso, você precisa desligar e ligar novamente (o computador ou sistema). E uma usina de energia precisa funcionar constantemente, com apenas uma parada anual para manutenção”, disse Langner. Portanto, até o desligamento anual da usina, não se pode instalar novo software.

Stuxnet
Em 2010, Ralph Langner e outros dois funcionários de sua companhia começaram a investigar um vírus de computador chamado Stuxnet e o que ele descobriu foi de tirar o fôlego.

O Stuxnet parecia atacar um tipo específico de sistema Scada, fazendo um trabalho específico e, aparentemente, causava pouco dano a qualquer outro aplicativo que infectava.

Era inteligente o bastante para encontrar o caminho de computador em computador, procurando sua presa. E também conseguia explorar quatro erros de software, antes desconhecidos, no Windows, da Microsoft.
Estes erros são extremamente raros o que sugere que os criadores do Stuxnet eram muito especializados e tinham muitos recursos.

Langner precisou de seis meses para analisar apenas um quarto do vírus. Mesmo assim, os resultados que conseguiu foram espantosos.

O alvo do Stuxnet era o sistema que controlava as centrífugas de urânio na usina nuclear de Natanz, no Irã.
Atualmente se especula que o ataque foi trabalho de agentes americanos ou israelenses, ou ambos. Qualquer que seja a verdade, Langner estima que o ataque o Stuxnet atrasou em dois anos o programa nuclear iraniano e custou aos responsáveis pelo ataque cerca de US$ 10 milhões, um custo relativamente pequeno.
Otimistas e pessimistas

O professor Peter Sommer, especialista internacional em crimes cibernéticos afirma que a quantidade de pesquisa e a programação sofisticada significam que armas do calibre do Stuxnet estariam fora do alcance da maioria, apenas disponíveis para governos de países avançados. E governos, segundo o especialista, costumam se comportar de forma racional, descartando ataques indiscriminados contra alvos civis.

“Você não quer causar, necessariamente, interrupção total. Pois os resultados podem ser imprevistos e incontroláveis. Ou seja, apesar de alguém poder planejar ataques que possam derrubar o sistema financeiro mundial ou a internet, por quê alguém faria isto? Você pode acabar com algo que não é tão diferente de um inverno nuclear.”

No entanto, o consultor Ralph Langner afirma que, depois de infectar computadores no mundo todo, o código do Stuxnet está disponível para qualquer que consiga adaptá-lo, incluindo terroristas.

“Os vetores de ataque usados pelo Stuxnet podem ser copiados e usados novamente contra alvos completamente diferentes. Até há um ano, ninguém sabia de uma ameaça tão agressiva e sofisticada. Com o Stuxnet, isso mudou. (…). A tecnologia está lá, na internet.”

Langner já fala em uma certeza: se as armas cibernéticas se espalharem, os alvos serão, na maioria, ocidentais, ao invés de alvos em países como o Irã, que tem pouca dependência da internet.
E isto significa que as velhas regras de defesa militar, que favoreciam países poderosos e tecnologicamente avançados como os Estados Unidos, já não se aplicam mais.
BBC/Michael Gallagher

Guerra cibernética

Quando bits viram mísseis

Países preparam-se para a guerra cibernética, em que ataques são lançados por crackers, como os que defenderam o WikiLeaks.

Em 2010, a guerra mudou. Milhares de pessoas poderiam ter morrido em ataques aéreos e terrestres se um grupo de países liderado pelos Estados Unidos tivesse invadido o Irã. Havia o temor de que o programa nuclear defendido pelo presidente Mahmoud Ahmadinejad servisse de fachada para o desenvolvimento de uma bomba atômica. Em vez de bombardear importantes centros de pesquisa como a usina de Natanz, usou-se um vírus para contaminar equipamentos. O Stuxnet dominou controladores eletrônicos da Siemens e danificou fisicamente parte das centrífugas de enriquecimento de urânio iranianas.

Foi também no ano passado que os protestos digitais ganharam características semelhantes às de uma guerrilha. Em vez de optar pelo pacifismo dos abaixo- assinados virtuais, internautas se mobilizaram para tirar do ar sites de cinco empresas. O grupo Anônimos coordenou uma ação em escala inédita, com a justificativa de defender a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado hospedagem, bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo vazamento de mais de 250 000 documentos diplomáticos americanos. O site do WikiLeaks também acabou sendo derrubado por um ataque de origem desconhecida, mas os ativistas do Anônimos conseguiram colocá-lo no ar novamente e espelhá-lo centenas de vezes pela web.[ad#Retangulo – Anuncios – Direita]

A escalada de ações violentas nos meios digitais marca o início da guerra cibernética ou ciberguerra. Tanto os criadores do Stuxnet como os integrantes do grupo Anônimos foram bem-sucedidos. Além de terem provocado danos significativos, conseguiram manter sua identidade sob sigilo e seus alvos não tiveram como se defender. O Stuxnet foi mais eficiente do que uma mobilização militar tradicional e os ataques do Anônimos tiveram mais resultado do que um protesto online. Ações semelhantes têm ocorrido desde os anos 90, mas, em 2010, a frequência aumentou e o grau de sofisticação, também.

Batalhas pela web

As operações militares não estão sendo deixadas de lado. Os meios digitais e a web é que passaram a integrar o campo de batalha. “Ainda não estamos no meio de uma guerra cibernética global, mas percebemos uma capacidade crescente de criar ações violentas com potencial cada vez mais destrutivo”, afirma James Hendler, professor do Instituto Politécnico Rensselaer, nos Estados Unidos, e excientista- chefe da Agência de Projetos de Pesquisa Avançada de Defesa do Pentágono (Darpa). “Tenho esperança de que isso será contido. Mas tenho medo de não conseguirmos.”

O tema é controverso. Para alguns especialistas, a guerra cibernética já ocorre em escala global, de forma pouco visível. Tentativas de invasão de sistemas estratégicos são cada vez mais comuns, e suspeita-se que os responsáveis trabalhem para países adversários. “O ciberespaço é disputado todo dia, toda hora, todo minuto, todo segundo”, disse o inglês Iain Lobban, diretor do Quartel- General de Comunicações do Governo (GCHQ), uma agência de inteligência britânica, durante uma palestra em outubro. Muitos dos crackers por trás dessas ações buscam dados confidenciais.

Há também quem defenda que a ciberguerra não ocorre a todo momento, mas em situações pontuais. O conflito virtual entre Rússia e Estônia, em 2007, é classificado como a primeira guerra cibernética. “Ataques coordenados tiveram como alvo órgãos do governo, atingindo a infraestrutura de rede, serviços públicos e instituições”, diz o estoniano Linnar Viik, do Instituto Europeu de Inovação e Tecnologia. Tudo começou por causa da mudança de lugar de um monumento, o Soldado de Bronze de Tallinn. A estátua homenageia soldados soviéticos mortos na Segunda Guerra Mundial.

De acordo com Viik, os ataques à Estônia dispararam um alerta para governos e organizações militares ao redor do planeta. “Todos passaram a reconsiderar a importância da segurança das redes para a doutrina militar moderna”, afirma. A partir daí, outros confrontos ocorreram. Em setembro de 2007, por exemplo, Israel lançou um ataque aéreo contra a Síria. Estranhamente, os aviões israelenses não foram detectados pelos radares. Suspeita-se que um programa de computador tenha ajudado a ocultar as aeronaves, mas nada ficou comprovado. “A maior diferença entre a guerra física e a cibernética é que, no mundo real, conseguimos dizer quem foi o autor de um ataque”, diz o professor Hendler.

Inimigos invisíveis

Descobrir o responsável por uma ação cibernética de guerra é muito complicado. “Pelo objetivo, você pode tentar deduzir quem seria o atacante”, diz Sandro Süffert, diretor de tecnologia da Techbiz Forense Digital, empresa especializada em cibersegurança. “Mas em uma guerra cibernética, um país pode até se passar por outro.” No mínimo 20 perguntas devem ser respondidas por quem procura definir a identidade de um agressor online. Um acordo internacional poderia criar uma metodologia padronizada.

Embora a ameaça seja real, poucos começaram a se preparar para a ciberguerra. Nos Estados Unidos, começou a funcionar, em maio, uma divisão das Forças Armadas dedicada a esses confrontos, o USCYBERCOM. Entre os países que adotaram ações parecidas ou que planejam criar áreas especializadas estão Inglaterra, Alemanha, China, Israel, Rússia, Índia, Coreia do Norte e Irã. Muitos foram alvo de crackers ou são suspeitos de ter feito ataques.

No Brasil, o Exército criou, em fevereiro de 2009, o Centro de Comunicações e Guerra Eletrônica (CCOMGEX) e, em agosto de 2010, o Centro de Defesa Cibernética do Exército (CDCiber). Dentro de alguns meses, um grupo de três a dez militares receberá um treinamento de uma semana em Bilbao, na Espanha, nos laboratórios da Panda Security. “Serão apresentados as ameaças que existem, como funcionam, de onde partem e o modo como são construídas. Também mostraremos nossas ferramentas forenses não-comercializadas”, afirma Eduardo D’Antona, diretor corporativo e de TI da Panda Security Brasil.

O Exército evita dar detalhes sobre suas ações contra ciberguerra por motivo de segurança. A experiência com a Panda é apenas uma dentre várias medidas. “Iniciativas semelhantes estão sendo empreendidas com uma empresa nacional, cujo nome preferimos não divulgar”, diz o general Antonino dos Santos Guerra Neto, comandante do CCOMGEX. De acordo com o Núcleo do Centro de Defesa Cibernética do Exército, os sistemas de detecção de incidentes de rede indicam aumento na quantidade de ataques cibernéticos e na sofisticação.

Alvos civis

As tentativas de invasão miram também os computadores do governo federal e de empresas estatais. Nesse caso, a responsabilidade de prevenir ataques recai sobre o Gabinete de Segurança Institucional da Presidência da República (GSI). O órgão procura identificar e eliminar vulnerabilidades nas redes. Isso é feito por meio de cursos de capacitação, análise de incidentes e acordos internacionais. No fim do ano passado, Brasil e Rússia assinaram um acordo de cooperação e proteção mútua.

Hoje, existem 320 redes no governo brasileiro. “Em 2009, sofremos 2 100 ataques por hora. Isso representa apenas 1% dos incidentes, mas é o que me preocupa”, diz Raphael Mandarino, diretor do Departamento de Segurança da Informação e Comunicações do GSI. As tentativas de invasão buscam obter informações estratégicas ou sobre autoridades. O órgão chega a analisar 200 malwares por mês que não são detectados por antivírus. A equipe chegou a estudar trechos do código do Stuxnet. “É muito benfeito. Não é coisa de garoto de faculdade”, afirma Mandarino.

O jornal The New York Times afirma que o Stuxnet foi criado por uma operação conjunta entre Estados Unidos e Israel, com a ajuda de ingleses, alemães e da Siemens. O vírus teria sido testado em Israel, no complexo de Dimona — um centro militar ultrassecreto. Ainda não se conhece todo o dano que ele é capaz de causar. No Irã, a contaminação teria ocorrido por meio de um pen drive. O Stuxnet abriu caminho para outras armas digitais e, em um cenário pessimista de guerra cibernética global, a internet corre perigo. “Muitos de nós têm defendido a criação de uma ciência sobre a web, e esse é um dos motivos para isso. Não sabemos o que pode acontecer”, diz o professor James Hendler.

Ataques têm ocorrido com frequência cada vez maior no ciberespaço. Veja quem está tentando provocar danos ou se defender.

Estados Unidos

Criou uma divisão contra ataques cibernéticos, o USCYBERCOM. Também é suspeito de ter ajudado a criar a mais avançada arma digital, o vírus Stuxnet, no ano passado Brasil.

Mantém setores no Exército e no governo federal para lidar com ataques pela web, que podem tanto comprometer a segurança nacional como obter dados sigilosos.

Alemanha e Reino Unido

O Reino Unido pôs a ciberguerra na lista das suas prioridades de defesa em 2010. A Alemanha planeja abrir um novo centro de defesa contra ataques virtuais este ano.

Suécia, Estônia e Suíça

Em maio, Estônia e Suécia fi zeram um exercício de ciberguerra. Em dezembro, a Suíça foi chamada pela Estônia para colaborar em um centro de ciberdefesa.

Rússia

Crackers a serviço do país teriam atacado a Estônia, em 2007, e a Geórgia, em 2008. No segundo caso, os ataques precederam em três dias uma invasão militar na Ossétia do Sul.

Coreia do Norte

Suspeita-se que tenha coordenado, em julho de 2009, vários ataques contra sites do governo, de instituições financeiras e da mídia nos Estados Unidos e na Coreia do Sul.

Israel

Teria usado um vírus para cegar radares em um ataque aéreo na Síria, em 2007. Pode ter criado o Stuxnet com os Estados Unidos para destruir o programa nuclear do Irã.

Índia e Paquistão

O grupo Indian Cyber Army atacou mais de 30 sites do governo paquistanês em dezembro. Em resposta, o Pakistan Cyber Army derrubou mais de 270 páginas indianas

China

Crackers do país são acusados de lançar ataques sistemáticos contra governos e empresas em todo o mundo. Em 2009, chegaram até a roubar informações do Google.

Maurício Moraes/INFO

Empresa de segurança americana discutia projeto de ‘supervírus’

Praga seria ‘quase impossível’ de remover.

HBGary discutia projeto com contratada do governo.

HBGary trabalhou junto da HBGary Federal, que teve seus e-mails hackeados. Site da HBGary Federal segue fora do ar. (Foto: Reprodução)

Uma coleção e-mails vazada da empresa de segurança HBGary após invasão do Anonymous revela um projeto de desenvolvimento de um vírus do tipo rootkit – que se camufla no sistema para dar o controle do computador a um invasor.

O projeto do vírus, codinome Magenta, foi enviado por um funcionário ao cofundador da HBGary, Greg Hoglund, que o encaminhou à Farallon Research, uma empresa cujo objetivo é “conectar tecnologias comerciais avançadas e as empresas que as constroem com as necessidades do governo dos Estados Unidos”.

Não nos e-mails vazados nenhuma outra informação sobre o futuro da proposta ou se ela foi aceita.

O e-mail à Farallon é datado do dia 7 de janeiro de 2011.

A proposta, encontrada entre dados vazamentos pelo site de jornalismo colaborativo Crowdleaks, explica como o código malicioso seria capaz de permanecer no sistema de tal forma que seria muito difícil detectá-lo ou removê-lo.

Ele usaria “4kb ou menos” de memória e poderia aceitar comandos externos – para controlar a máquina infectada – de formas diversas, inclusive burlando firewalls.[ad#Retangulo – Anuncios – Direita]

Hoglund é o responsável pelo site Rootkit.com, conhecido por ser uma biblioteca virtual de recursos – de defesa e ataque – relacionados a pragas digitais que se camuflam no sistema e permitem ao invasor manter tudo sob controle de forma invisível, roubando dados e realizando outras atividades maliciosas.

Stuxnet

A HBGary recebeu uma cópia do Stuxnet da fabricante de antivírus McAfee.

A análise dos documentos pelo Crowdleaks aponta para um possível interesse de fazer a companhia não se pronunciar publicamente o vírus, que atacou centrífugas nucleares no Irã e pode ter sido criado por agentes dos Estados Unidos e Israel.

A empresa discutia a relação do vírus com os sistemas de segurança dos Estados Unidos – apontando a vulnerabilidade de órgãos como a Administração de Segurança de Transportes (TSA).

A empresa também tinha conexões na Agência de Segurança Nacional norte-americana (NSA). Em um e-mail, Aaron Barr, responsável pela companhia relacionada HBGary Federal, fornece seu número de telefone a Cheryl D. Peace, que trabalha na NSA em um cargo desconhecido, mas que era diretora de cibersegurança do Departamento de Segurança Nacional dos EUA em 2004.

Altieres Rohr/G1

Vírus que atrasou programa nuclear do Irã foi criado pelos EUA e por Israel

‘Stuxnet’ é considerada a praga digital mais sofisticada já criada.
Segundo jornal ‘New York Times’, ‘missão’ do vírus foi bem-sucedida.

Usina nucleares do Irã teria sido alvo do vírus”Stuxnet”. (Foto: AP)

O vírus “Stuxnet“, considerado por especialistas a praga digital mais sofisticada já criada, teria sido resultado de uma operação conjunta dos Estados Unidos com Israel, segundo reportagem do jornal “New York Times”.

O periódico afirma que a missão do vírus era causar danos às centrífugas da usina nuclear iraniana de Natanz, e que esse objetivo foi alcançado, atrasando o programa nuclear iraniano em pelo menos cinco anos.

O “Stuxnet” atacava controladores lógicos industriais da Siemens, alterando suas configurações para sabotar as centrífugas das usinas.

De acordo com o jornal, a companhia teria auxiliado a criação do vírus, embora sem ter intenção, quando compartilhou dados de vulnerabilidades em seus produtos com um programa do governo dos Estados Unidos que buscava aumentar a segurança de sistemas industriais.

Israel teria testado o código do vírus em instalações de Dimona, usando centrífugas e controladores idênticos aos iranianos.

O jornal observa que nenhum especialista norte-americano ou israelense consultado confirmou a origem do vírus, mas que, ao mesmo tempo, “nenhum deles conseguiu esconder um sorriso de orgulho” ao comentar sobre as dificuldades impostas no avanço do programa nuclear iraniano.

Russos temem ‘Chernobyl iraniano’

O jornal “The Daily Telegraph” diz ter obtido um relatório escrito por cientistas russo preocupados com os estragos causados pelo vírus “Stuxnet”.

Segundo eles, não há dados suficientes para determinar se as usinas nucleares estão em condições seguras de operação.

A usina de Bushehr começou a ser preparada em outubro e deveria fornecer energia elétrica para os iranianos a partir da metade deste ano.

Relatos afirmam que a usina também teria sido atacada pelo “Stuxnet”, gerando as preocupações dos russos que estão auxiliando o programa nuclear do Irã.

No documento, os cientistas se dizem preocupados com a possibilidade de um “Chernobyl iraniano”, em referência ao acidente ocorrido na usina nuclear de Chernobyl, na Ucrânia, que na época estava sob responsabilidade russa como parte da União Soviética.

O acidente, ocorrido em 1986, causou 56 mortes diretas e até 4 mil mortes indiretas, segundo estimativas, além de ter deixado a região inabitável.

Os cientistas pedem ajuda ao Kremlin e afirmam que o governo do Irã não pretende permitir que novos testes de segurança sejam realizados, porque o programa nuclear já está com uma década de atraso.

Altieres Rohr/G1

Vírus Stuxnet foi desenvolvido para atacar computadores de usinas nucleares na Índia e no Irã

Stuxnet foi feito para sabotar centrífugas de urânio, diz Symantec

Pesquisa da empresa de segurança descobre mais um pedaço do quebra-cabeças em torno do worm, que afetou controladores no Irã e na Índia.

Mais um pedaço do quebra-cabeças em torno do misterioso worm Stuxnet, que atacou equipamentos industriais no mundo todo, especialmente no Irã, foi descoberto.

De acordo com estudos da Symantec, ao que tudo indica, o vírus foi realmente desenvolvido para sabotar o polêmico programa nuclear daquele país.

De acordo com um post do pesquisador Eric Chien, o Stuxnet foi programado para contaminar controladores lógicos programáveis (PLCs) da Siemens e desligar máquinas ligadas a eles.

No entanto, ainda não se sabia que tipo de máquinas eram afetadas.

Agora, com a ajuda de um pesquisador holandês, a empresa pôde fazer uma análise mais profunda do caso, e revelou que o worm ataca conversores de freqüência – fontes elétricas que modificam a saída de energia para controlar a velocidade de um motor – quanto maior a frequência, maior a velocidade.[ad#Retangulo – Anuncios – Direita]

A Symantec descobriu que o Stuxnet foi feito para controlar conversores que operam em frequências bem altas – 807Hz a 1210Hz. Curiosamente (ou não), há somente dois fornecedores desse equipamento: um com sede na Finlândia, outro em Teerã, Irã.

Segundo o post, um tipo de máquina que opera nessa freqüência é, justamente, centrífuga de enriquecimento de urânio.

O que o vírus faz é “sequestrar” o controlador e alterar aleatoriamente sua velocidade – na prática, sabotando o motor ligado a ele.

O Stuxnet já foi ligado ao governo de Israel, mas sua verdadeira origem continua um mistério.

O que se sabe até agora é tratar-se de um código sofisticado, e sua produção certamente envolveu uma equipe de programadores altamente qualificados, que dispuseram de tempo e recursos.

Por Renato Rodrigues, do IDG Now!