Hackers devem deixar de proteger computadores para proteger o mundo
Ele dedicou toda a sua vida a proteger a privacidade das pessoas online e na F-Secure ele continua esse trabalho. “Pode-se dizer de várias maneiras… que perdemos a batalha da privacidade. Muitas pessoas não se lembram de como era o mundo antes da Internet. Para muitas pessoas, o Google ou a Wikipedia sempre estiveram lá. E para eles é natural usar uma infinidade de serviços na Internet, inserindo todo tipo de dados e conteúdos. Isto é realmente como você paga na Internet. Fazer um vídeo custa dinheiro, mas pagamos com nossos dados e privacidade”, explica o especialista da F-Secure, Miko Hypponen, no RootedCON 2017.
“Podemos ter perdido uma guerra contra a privacidade. Somos aquela geração de pessoas cuja vida pode ser traçada do começo ao fim. Todos nós carregamos dispositivos de rastreamento conosco. É muito fácil monitorar onde estamos, com quem nos comunicamos. É fácil saber que tipo de pessoas somos. O que nos interessa? E todos os dados são coletados. Os dados são o novo petróleo. É assim e é por isso que falamos de agências de inteligência, mas também de empresas que coletam dados de nós. O Google faturou US$ 80 bilhões em 2016… oferecendo serviços gratuitos.”
Guerra assimétrica contra o cibercrime
“Perdemos a batalha de privacidade e segurança. No entanto, recuso-me a admitir que perdemos este último. Tudo o que fiz desde que comecei a estudar malware e engenharia reversa foi para esse propósito: combater os bandidos. Contra aqueles que enviam malware, ataques de negação de serviço. Mas nós somos o chapéu branco contra o chapéu preto. Não nego que nosso trabalho seja complicado, porque os atacantes têm acesso às nossas defesas.
“A primeira coisa que eles aprendem é que tipo de segurança eles precisam quebrar. Esse é o ponto de partida de um atacante. E uma vez que eles sabem, eles decidem como entrar. Eles têm muito tempo para se preparar… e nós temos pouco para responder. Sempre ouvimos más notícias sobre segurança de computadores, sobre ataques, vazamentos ou sobre usuários fazendo coisas estúpidas, usando a mesma senha para tudo, abrindo links maliciosos. No entanto, onde estávamos há 10 anos? Houve grandes avanços na segurança. Há uma década, muitos usuários usavam o Windows XP, que por padrão nem tinha firewall.
“Em termos de segurança, avançamos muito. Estamos avançando a passos largos, mas, infelizmente, o inimigo também evolui com o tempo. Talvez tenha chegado a hora de conhecer o inimigo, de entendê-lo. Mas, como muitas vezes acontece, é mais fácil falar do que fazer. O usuário final não tem ideia de quem está por trás dos ataques. Existem hacktivistas, criminosos, chapéus brancos, governos, extremistas… existem todos os tipos de hackers. Temos pessoas como Charlie Miller e Chris Vallasek. Eles fazem hacking porque querem melhorar a segurança. O Anonymus tem um motivo para protesto político. Os criminosos querem ganhar dinheiro escrevendo vírus. E os governos também estão interessados nisso porque os ataques cibernéticos são adequados para eles. Eles são eficazes, não são caros e são inegáveis. É uma combinação perfeita quando se pensa do ponto de vista militar. Quando você tem uma arma barata, eficaz e inegável, você tem a combinação perfeita. É por isso que o tempo para a mudança está começando agora.
Uma nova corrida armamentista cibernética está começando
“Estamos no início da próxima batalha armada. Vimos a corrida armamentista das armas nucleares. Estamos agora nas armas cibernéticas. Começou e vai ficar lá por anos. Levaremos décadas para falar sobre o desarmamento cibernético. E do ponto de vista dos governos, não são apenas os militares, mas também as forças de segurança. Se alguém me dissesse que a polícia teria vírus para infectar os cidadãos, eu não acreditaria, mas é assim. Não tenho nenhum problema com governos usando tecnologias ofensivas para investigar crimes e caçar terroristas. Você tem que ir atrás deles no mundo físico e no mundo online. Mas se, como cidadãos, dermos esse direito às forças de segurança, devemos pedir transparência. Esse poder cibernético ofensivo deve significar que as forças de segurança publiquem estatísticas. Infectamos 200 computadores com malware e 150 eram de pessoas que eram más e foram condenadas. Mas também pode ser o contrário. Não há transparência e, portanto, não podemos tomar decisões sobre isso. Mas o maior grupo que ganha dinheiro com hacks são os criminosos. São pessoas que ganham muito e são perseguidas.
As últimas tendências de crimes cibernéticos para ganhar dinheiro às suas custas
“Uma das últimas tendências em crimes cibernéticos tem sido os cavalos de Troia para roubar bitcoin e moedas digitais. Sabemos que as invenções são óbvias… quando são inventadas. Esses são os melhores. Graças à tecnologia blockchain, as transações podem ser realizadas automaticamente sem que mais ninguém intervenha. Bitcoin e blockchain não são ruins. Eles são bons como dinheiro. O problema é que os criminosos também querem o dinheiro, seja ele físico ou virtual. É complicado comprar cocaína com cartão de crédito. Mas com bitcoin é mais fácil. Para os criminosos, o bitcoin é como um presente do céu. É por isso que há um boom de Trojans. Atualmente acompanhamos 110 grupos diferentes competindo pelas mesmas vítimas. E nem todos os grupos são da Rússia, também existem alguns da Ucrânia.
Como eles procuram por suas vítimas? Primeiro por meio de exploits que infectaram um computador abrindo um link. Hoje a forma mais comum é através de um documento do Word e um anexo de e-mail. Isso é feito desde 2008 por meio de macros. E agora ele está de volta. Então quem pode receber mais ataques é o departamento de recursos humanos que recebe currículos infectados que possuem links para ampliar suas informações. A Microsoft tem que mudar o nome do botão ao invés de habilitar o conteúdo teria que colocar ‘infecta meu sistema’ «-risos da platéia-.
O vírus de computador que ‘perdoa’ se você infectou dois amigos
“Houve até ransomware – o software que sequestra um computador criptografando suas informações – que pede US$ 1.300, mas você pode economizar infectando duas outras máquinas. Você precisa infectar duas pessoas que acabam pagando a recompensa do ransomware. É a pipoca. Cada vítima tem um URL único, então, se você enviar para o Facebook, muitas pessoas serão infectadas. Ele é muito criativo e meu inteligente. Vamos voltar para esses caras que estão por trás do ransomware.”
O ataque cibernético contra o LinkedIN tornou o cibercriminoso que o fez um milionário
“Houve um hack no LinkedIn em 2012 e se você estivesse nele… Suas chaves foram roubadas. Então, se ele tinha uma conta nesta rede social, foi roubada por um cibercriminoso que todos agora sabem -ele mostrou sua foto-. Eu fui uma de suas vítimas. Ele ainda não foi sentenciado, embora tenha sido detido quando estava de férias em Praga com a namorada e aguarda extradição para os Estados Unidos. O que isso tem a ver com o roubo de 130 milhões de senhas? Bem, outros cibercriminosos viriam. Quanto pode ser ganho vendendo senhas? Não sei. Mas assistindo alguns vídeos no youtube podemos ter uma ideia. Ele fala sobre suas férias com carros superesportivos, como Audi R8 e Lamborghini Hurracane. Além disso, vê-se que ele tem um Mercedes, um Aston Martin, um Porsche, um Rolex e um Rolls Royce. Então, quanto ele ganhou? Não sei, mas o suficiente.”
“Se você obtiver essas chaves, poderá acessar 1,3 milhão de contas do Gmail. Porque todos eles têm a mesma senha do linkedIN. Pedimos e 50% dos usuários usam a mesma senha em todos os sites. É muito estúpido. Então, uma vez que eles entram no Gmail, eles procuram e-mails antigos. O Gmail nunca os exclui e eles procuram um tipo específico. Aqueles que se recebe ao se registrar em uma loja da Internet, como a Amazon. Assim, eles sabem que você tem uma conta, por exemplo, na Amazon com este endereço de e-mail. E se sua senha não funcionar, não importa. Porque todas as páginas de login têm um botão mágico ‘esqueci minha senha’ e como eles têm acesso ao Gmail… bem, eles acessam. Depois de acessar o Gmail, eles têm acesso a tudo. Eles podem comprar Xbox, Playstation e você vai pagar por isso.”
A temida Internet das Coisas
“Outro grande desafio em nossas mãos é o futuro brilhante da Internet das Coisas e do ICS, o sistema de controle industrial. Assim, ele mostrou uma reação nuclear ocorrendo em uma piscina. Por que estou mostrando este vídeo? Porque é um exemplo de controle industrial. Este reator é controlado por um PLC, um robô programável. Todas as infraestruturas são geridas por computadores e software. Você tem que ser claro. Somos segurança informática e durante anos pensei que tinha de proteger os computadores. Mas agora eu não sei. Nosso trabalho não é tornar os computadores seguros…. Consiste em dar segurança a toda a sociedade. É hora de mudar a maneira como você vê o mundo. E há tantas coisas e se fala de tantas coisas sobre riscos de IOT e ICS e a primeira é que essas coisas se conectam à internet mesmo que não precisem se conectar. Essas coisas permitem o acesso ao que está por trás. Existem muitos sistemas de fábrica que se conectam à Internet por engano.
Foi assim que ele mostrou um crematório online, quartos que são vistos através de câmeras de segurança… «Um amigo meu encontra coisas como uma nave conectada sem senha. Também cortinas e persianas. E meu amigo diz que quando você pode abrir e fechar cortinas na internet significa que a internet das coisas não está no futuro. Está aqui. E são vetores. Você pode acessar uma lâmpada que permite alcançar outros sistemas. Um coloca uma máquina de café com Wi-Fi e se torna o elo mais fraco da cadeia e um dia você acorda e tem todos os computadores criptografados”. O que fazer? “Nunca use um dispositivo sem colocar senhas fortes.”
“O malware Mirai infectou 120 milhões de dispositivos IOT, mas seus proprietários não se importaram. Nós conversamos com eles. Sua câmera de segurança foi hackeada… e eles responderam sim, que legal? Mas funciona bem. Se funcionar, as pessoas não se importam se for usado para um ataque. E o mais triste é que estava usando poucas senhas que todos os aparelhos usavam. E também usaram o Telnet – um sistema dos anos 80 – porque não era criptografado ».
Os dispositivos eletrônicos devem ser regulamentados: se não forem seguros, você deve poder reivindicar
“É preciso investir em segurança. Regulamos a segurança física e a segurança online deve ser regulamentada. Não estou falando de um que estabelece regulamentos de eletrodomésticos. Mas é preciso regular que o fabricante seja processado pelos problemas que cria. Se você tem uma máquina de lavar com curto-circuito, você precisa consertá-la. E se você não pode processá-la e isso você tem que entrar no mundo cibernético. O que pode ser processado por uma violação de segurança ».
Chegou a hora das armas cibernéticas e do desarmamento cibernético
“Falei sobre governos e seus hackers. Temos um assento na primeira fila na implantação de ataques contra os EUA nas eleições presidenciais. A Rússia tentou influenciar o resultado das eleições da maior potência mundial. Há uma entrevista na Bloomber com Putin vários meses antes, mas já era conhecida. Então eles perguntaram a ele, quem hackeou os democratas? Isso realmente importa? O importante é o conteúdo dos e-mails. Não há necessidade de distrair o público sobre quem fez isso. Isso é ciberguerra? Não faça”.
Soldados ucranianos mortos depois que seu celular foi infectado… e sendo geoposicionado
“Mas há dois meses os soldados ucranianos viram seu telefone infectado com malware! Eles foram posicionados e a artilharia os atingiu. Falo da névoa da guerra cibernética. Esta corrida armamentista e um país específico, você pode saber quantos tanques de batalha um país tem…. Mas em cibercapacidades não faço ideia. Sabemos que os EUA são bons, que mais dinheiro foi investido por mais tempo para montar capacidades de defesa cibernética, que Israel, Rússia, China são muito bons. Mas então tudo é muito nebuloso, qual é a capacidade cibernética ofensiva da Suécia? Espanha? Vietnã? Nem idéia. Essa é a nebulosa da guerra cibernética. É por isso que é muito diferente da corrida armamentista nuclear. Seu poder não estava em seu uso, mas em sua capacidade de criar medo. Hiroshima e Nagasaki foram exemplos claros. Não se trata de usá-lo, mas de mostrar que você os tem.
Com a nebulosa da guerra cibernética ninguém sabe de nada. O poder das armas cibernéticas não está em desacordo. É por isso que os vemos. O Stuxnet e o hacking da rede elétrica na Ucrânia em 2015 ou os soldados ucranianos que morreram no campo de batalha em 2016.
O poder das armas cibernéticas está em seu uso. As armas cibernéticas são facilmente adquiridas e têm muito poder. Stuxnet não poderia ser alcançado com capacidade militar pura. Se se tratasse de atrasar o programa nuclear iraniano, o país poderia ser invadido com alto custo, inclusive em vidas, ou a usina poderia ser bombardeada. Ou você pode escrever stuxnet que custa um milhão. E custou o mesmo que uma partida de um B52. Mas ao contrário deste não é visível.
Hackers não defendem mais computadores, agora eles defendem o mundo
“Este é o mundo em que vivemos hoje. Somos todos seguranças. Pensávamos que nosso trabalho era tornar os computadores seguros. Mas já não. Agora este trabalho daqui para frente é dar segurança à sociedade e temos que levar muito a sério porque temos uma grande responsabilidade, mais do que pensamos muito porque somos nós que defendemos a nossa sociedade».
Você pode ver mais artigos como este em OneMagazine.