[Segurança] Coruja Ownada

A Oi foi condenada a pagar uma multa altíssima pois um funcionário postou mensagens com conteúdo neo-nazista. O ENEN teve mais um vazamento da prova, ferrando com a vida de milhares de estudantes que prestam o exame. E no final de semana que acabou de passar, dias 29 e 30/10, tivemos a Hackers 2 Hackers Conference (H2HC). Embora eu esteja com vontade de falar sobre isso tudo, prefiro comentar sobre outro assunto quente relacionado a segurança da informação, talvez algo não tão famoso nem que tenha causado tanto dano: na sexta-feira (28/10) invadiram o blog Coruja de TI, do Gustavo Lima e usaram o twitter dele para divulgar o ataque e postar mensagens extremamente ofensivas.





Por conta da invasão, o blog do Gustavo ficou fora do ar durante todo o final de semana e ele foi, provavelmente, um dos assuntos mais comentados na H2HC.

Para quem é novo na área de segurança, o grupo Pr0j3ct Mayh3m Braz1l (ou "i sh0t the white hat") existe pelo menos desde 2007 e já realizou quatro grandes ondas de ataques a diversas empresas e profissionais brasileiros, sempre se aproveitando do anonimato para ofender e tentar humilhar publicamente suas vítimas. Para cada um dos ataques anteriores, eles criram um "e-zine" para divulgar o ataque e os dados confidenciais supostamente roubados. Entre as vítimas anteriores, estavam algumas empresas de segurança, fórums, profissionais e até mesmo algumas pessoas consideradas "picaretas" por vários profissionais da área. Vários dos principais participantes da lista de discussão CISSP-BR já foram ofendidos também.



O grupo (sim, é um grupo, formado por várias pessoas) se esconde atrás do anonimato e da sensação de impunidade oferecidas pela Internet para divulgar seus ataques e, principalmente, ofender as pessoas ou empresas que escolhem como alvo. As vezes, mesmo após os ataques os membros do grupo continuavam enviando e-mails diretamente para suas vítimas, para ameaçá-las ou simplesmente importunar (vide abaixo).

> On Fri, Nov 27, 2009 at 4:58 PM, i sh0t the white hat -
> wrote:
> > qu4l d3 v0cÊs v4i p4g4r b3b1d4s pr4 4 g3nt3?
> >
> > tr0c4m0s um4 g4rr4f4 d3 v0dk4 p3l4 desCriçã0 d3 c0m0 0wn4m0s 0 Augusto
> > :DDDDDDDDDDDDDD
> >
> > 2009/11/27 i sh0t the white hat -
> >>
> >> 0l4 4m1g0s,
> >>
> >> qu4nt0 t3mp0 qu3 n40 n0s f4l4m0s!!!
> >> qu4is d3 vcs v4o 4p4r3c4r n4 h2hc? qu3r3m0s p3d1r d3sculp4s p3ss04lm3nt3 p3l0 qu3 f1z3m0s n0 4n0 p4ss4d0.
> >>
> >> ...
> >> ...
> >>
> >> heheeeeeeeehhhhehehe br1nc4d3ir4. 3sp3r4m0s qu3 g0st3m d4 surpr3s4 qu3 ir3m0s pr3p4r4r.
> >>
> >> c0m mu1t0 4m0r,
> >> i sh0t the white hat / pr0j3kt m4yh3m br4z1l - take back the underground

É opinião constante entre as diversas pessoas que já foram atacadas pelo grupo de que eles utilizam ataques simples e pouco sofisticados (como ataques de força bruta para descobrir senhas) e, algumas vezes, divulgam dados que já são públicos ou dizem realizar ataques ou roubar dados que não aconteceram de verdade. Para exemplificar, em 2008, quando eu participava da diretoria da ISSA Brasil, o grupo invadiu o site da associação simplesmente descobrindo uma senha fraca. E ainda disseram que tiveram acesso aos cartões de créditos dos associados, uma informação que não tínhamos em nosso poder.

E, sabe-se lá porque, eles gostam de escrever seus e-zines e mensagens usando l33t speak, algo que só deve ser popular entre adolescentes e lammers.

O motivo disso tudo? Não sei, mas acredito, pelos tipos de ofensas, que não passa de inveja das empresas e profissionais.

Mas eles estavam relativamente quietos nos últimos três anos (o quarto ataque ocorreu em novembro de 2008), exceto por algumas raras mensagens de e-mail e de terem criado uma conta no Twitter na véspera da H2HC no ano passado (e só tinham usado o Twitter durante a H2HC). Não sei a razão este silêncio nos últimos anos, mas imagino que, talvez, alguns tenham arranjado um emprego para ocupar o tempo (afinal, trabalhar de PenTest virou moda há poucos anos atrás), ou, quem sabe, alguns membros talvez mudaram de país ou de estado nesse meio tempo (por exemplo, conseguindo algum emprego aqui em São Paulo).

De repente, na véspera da H2HC, o Pr0j3ct M4yh3m fez este grande ataque contra o Gustavo Lima. Não tem como negar que o Gustavo é polêmico. Seus posts no Blog são objetivos, diretos e, muitas vezes, educativos. Seu blog faz sucesso. Ele também inclui um videocast bem legal. Sem falar que ele fez, sozinho e do nada, o Web Security Forum, provavelmente o melhor evento de segurança que tivemos neste ano.

Segundo o Gustavo, o ataque foi possível por uma vulnerabilidade facilmente explorável em um tema do Wordpress. Se realmente o ataque foi feito assim, somente o atacante (e, eventualmente, quem está investigando o ataque) pode responder com certeza.

Mas a verdade é que realizar ataques é muito mais fácil do que se defender. Para conseguir invadir um site, basta achar uma única vulnerabilidade. Para se defender, o profissional de segurança tem que preparar a infra-estrutura para resistir a todos os tipos de ataques conhecidos ou que ainda não foram inventados. Isso sem falar no risco de ataques não técnicos, como ataques ou problemas no ambiente físico, o risco de engenharia social ou o vazamento de dados através de meios físicos (incluindo o descarte de materiais da empresa). E, quem trabalha na área sabe que novas vulnerabilidades nos softwares e aplicações utilizados podem surgir a qualquer momento, e por isso é muito difícil conseguir manter um ambiente atualizado. Ou seja, é quase impossível manter um ambiente seguro, então o jeito é tornar o ambiente o suficientemente seguro para garantir que o trabalho que um atacante deveria ter seja tão grande e complexo a ponto de que o esforço para realizar o ataque não compense.

Acredito que há três tipos de profissionais de segurança: os que já sofreram ataques (com sucesso), os que ainda não foram invadidos ou os que não sabem que foram invadidos.

Eu também costumo dizer aos meus colegas de trabalho que o importante não é que seu ambiente nunca tenha sido invadido, ou nunca tenha sofrido um incidente de segurança, pois isso é muito raro. O importante é estar preparado para responder um incidente e, quando isto acontecer, ser capar de identificar o problema e restaurar o ambiente com rapidez e competência.

Nos últimos quatro anos, eu tive a oportunidade de ser presidente do capítulo brasileiro da ISSA, de ajudar a montar o capítulo brasileiro da CSA e faço parte do grupo que criou o primeiro hackerspace brasileiro. Também comecei a palestrar em alguns eventos, com certa frequência, e tenho progredido bastante em meu trabalho - a custa de muito esforço, noites sem dormir e trabalhando nos finais de semana. E conheço muitas pessoas que, igualmente, estão progredindo muito em suas carreiras. Infelizmente, o ataque ao blog do Coruja de TI mostra que o pessoal do Pr0j3ct M4yh3m não mudou nada neste tempo todo, desde 2007: continuam imaturos, invejosos e não tem coragem de mostrar a cara.