MENU

Escrito por • 25/08/2009

hacking: existe uma linha divisória?

acho que faz uns dez anos. num dia qualquer da semana, um aluno me chegou com uma revelação nem tão única assim: tinha, em sua posse, os dados pessoais de centenas de milhares de usuários de um dos maiores provedores de acesso do país. a falta de segurança dos sistemas de informação em rede, ao contrário do que deveria ser o caso de plataformas que passaram a ser parte essencial de nossas vidas, é endêmica. e antiga.

as falhas de segurança de processos e informação, na maioria dos sistemas, são tantas e tão diversificadas que pode-se dizer, sem medo de errar, que os hackers que assumem controle de certas instalações, sites e sistemas não são os grandes gênios da informática que eles próprios e muitos ingênuos pensam que eles são.

atacar um sistema qualquer, hoje, é brincadeira de criança em boa parte dos casos. e a aritmética da coisa é simples, demais até: 80% dos exploits [formas de atacar falhas de segurança de sistemas] é publicada em larga escala menos de 10 dias depois de sua descoberta. tal arsenal se torna imediatamente disponível para quem quer que seja e, no contra-ataque, as medidas preventivas que tornarão o exploit inútil demoram pelo menos 30 dias para se tornarem disponíveis. e isso não é nada: 40% dos problemas levam mais ou bem mais de 30 dias para serem corrigidos… e parte deles nunca é corrigida.

você deve estar se perguntando: e o meu banco? os bancos são melhores. em média, levam 21 dias para resolver um problema de segurança de sistemas [depois de identificado]. mas faça as contas: na média, há pelo menos 11 dias entre um exploit publicado na rede e um banco seguro, de novo. o meu –e o seu- banco vão garantir o contrário, mas a luta contra os invasores rola 24 horas por dia. e o banco não ganha todas. milhões de reais –quantos?, ninguém sabe- desaparecem, pelo ralo da web, todo dia.

lembra da versão original do projeto azeredo, aquele que quer regular e criminalizar a internet? pois bem: debaixo de um disfarce bem montado, havia um conjunto de ordenamentos para dar mais poderes aos bancos e distribuir a responsabilidade pelos prejuízos decorrentes das falhas nos sistemas de segurança de informação. se tem uma coisa na qual banco é bom, é não perder dinheiro. na versão atual, essa história caiu, mas é cedo pra comemorar, melhor esperar a derrota final da moção do senador.

image

e porque esta conversa toda, aqui, hoje? porque alguém invadiu a base de assinantes do speedy, usando uma falha de segurança e, como se não bastasse, resolveu publicar parte dos dados na internet. e isso o tornou passível de reclusão, segundo a polícia, com base no código penal: Art. 153 – Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem… § 1°-A. Divulgar, sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública: Pena – detenção, de 1 (um) a 4 (quatro) anos, e multa.

pra entender a cena, falamos com evandro curvelo hora, sócio-fundador e diretor de consultoria e projetos da tempest security intelligence. a tempest, como é conhecida, é especializada nos aspectos de inteligência, doutrinários, estratégicos e de planejamento tático de segurança da informação. a seguir, a conversa com evandro, um dos maiores especialistas em segurança de informação do país.

* * *

meira: quais as motivações de quem invade um site como o do speedy?

evandro curvelo hora: Pelo que se conhece, no fim das contas, a motivação aparenta ser sempre algum ganho, tangível ou não. Quanto ao primeiro, pode ser o furto de informações com objetivo de ganhar dinheiro (espionagem corporativa, por exemplo). Quanto ao último, a motivação nem sempre é bem definida (uma vez que usualmente envolve juízo pessoal de valor), o que inclui: diversão (e por que não?), curiosidade, desafio tecnológico ou mesmo pessoal, entre outros. Há quem afirme que a própria vítima pode fazer surgir, ou mesmo potencializar, a motivação no atacante (declarando ser a invasão uma tarefa “impossível”, por exemplo).

SM: qual deve ser a atitude da empresa que tem seu site invadido,
principalmente em relação aos clientes eventualmente prejudicados pela invasão?

ECH: Tecnicamente, a primeira e mais importante atitude deve ser sempre um esforço imediato, e absolutamente focado, no esclarecimento técnico do incidente, uma vez que é a única maneira de encontrar e resolver o problema, protegendo assim seus clientes de incidentes posteriores. Obviamente que notificar as autoridades é um processo que pode ser disparado simultaneamente, mas não se deve esquecer que a notificação à autoridade, em si, não protege a informação e que, adicionalmente, o esclarecimento técnico pode vir a ajudar as autoridades. A alegação comum de que encontrando-se o autor elimina-se a ameaça não se sustenta, uma vez que pode haver (e usualmente há) muitos autores potenciais, também motivados, e a vulnerabilidade que permitiu o incidente persistirá disponível a qualquer um deles. Daí, esclarecer tecnicamente o incidente é fundamental para a privacidade da informação dos clientes.

SM: e do ponto de vista das medidas corretivas e preventivas contra novos incidentes, o que é recomendável?

ECH: A doutrina recomenda atuar em três pilares fundamentais: prevenção, detecção e resposta. A história demonstra que o risco só diminui a níveis controláveis caso as três vertentes sejam atacadas com energia e simultaneamente. Assim, também na segurança da informação vale a máxima da segurança em geral: a força das medidas está no conjunto delas, e não em uma medida em particular.

SM: no brasil, na sua opinião, qual é o status da segurança de informação na web, nas empresas? e como estamos no cenário mundial?

ECH: O Brasil aparece em lugar de certo destaque no cenário mundial no quesito ameaça, uma vez que é notória a grande atividade e expertise do atacante tupiniquim. No quesito vulnerabilidade, no entanto, ainda há muito o que fazer. Os investimentos minimamente adequados em segurança da informação (como prática sistemática) se concentram, principalmente, no setor financeiro e nas empresas que implementam práticas de governança corporativa, o que inclui a governança em TI.

SM: no caso de uma invasão de um sistema como o do speedy, dá pra estabelecer uma linha divisória que, ao ser cruzada, transforma a brincadeira num potencial enquadramento no código penal?

ECH: Ainda há muita desinformação e até controvérsias, na comunidade, sobre os aspectos legais vigentes. A legislação, afirmam alguns, aparenta se apoiar fortemente no conceito de segurança por obscuridade. Caso alguém descubra, por qualquer meio ou motivo, uma vulnerabilidade, reportar a mesma à vítima seria assinar uma confissão de um crime. Ou seja, seria crime apenas tentar encontrar a vulnerabilidade em sistemas de terceiros, não sendo necessário fazer uso dela, seja ele qual for. Para a comunidade hacker, a lei aparenta ser antinatural, uma vez que haveria benefícios para a segurança em geral, caso houvesse um canal legal que o permitisse reportar, mesmo que com certas condições para evitar o vazamento a terceiros.

SM: olhando para o monte de gente competente que na rede, no brasil, está fazendo ou pensa em fazer coisa parecida, o que você recomendaria?… há trabalho e renda para tal tipo de competência, no brasil? e qual é o tamanho da demanda?

ECH: Nem toda competência tem interesse na profissionalização e isso é verdade em muitas áreas. Há astrônomos amadores, por exemplo. A diferença aparenta, portanto, no fato de que observar o cosmos não é ato regulado por nenhuma lei, uma vez que tal ato em si não é visto, ainda, como ameaça a um patrimônio caracteristicamente econômico de terceiros. O mercado é grande o suficiente, e continua a crescer para absorver os bons profissionais, organizados em iniciativas econômicas formais. No entanto, não se deve esquecer que nem todos se motivam para tais iniciativas, o que aparenta indicar que os incidentes, a despeito da lei, irão persistir.

SM: onde se aprende, na teoria e na prática, a trabalhar com segurança de informação? de onde vêm os profissionais que empresas como a sua contratam?

ECH: Pessoalmente creio de que o hacking é, caracteristicamente,  meio-talento e meio-formação. O primeiro é um componente congênito e ponto final. O segundo é um componente adquirido, e é exatamente neste que a escola e a literatura colaboram, uma vez que podem lapidar, desenvolver e sistematizar o primeiro. Assim, uma boa tática para encontrar profissionais é procurar nas escolas quem apresenta, inequivocamente, tal talento, e que se satisfaçam na perspectiva de profissionalização (afinal não se pode descuidar do necessário aspecto ético).

* * *

e meu aluno, lá do começo da conversa? a primeira pergunta que lhe fiz foi… e onde está tudo isso? bem guardado. verdade? sim, professor. como você conseguiu isso? explorando uma falha de segurança trivial. qual? esta, assim, assim. pretendem fazer alguma coisa com os dados? não, pegamos só para mostrar que era mesmo possível. disse-lhes para destruir tudo, o que me confirmaram pouco depois. peguei o celular e liguei pra alguém na direção do portal, contei sobre o incidente e a solução. o portal agradeceu, não perguntou nomes, nem eu diria, e ninguém falou mais nisso.

moral da história? a linha divisória entre uma confusão dos diabos, naquele caso, fui eu. e a situação, pelo menos com os mesmos atores, nunca mais se repetiu. a linha divisória poderia ter sido outra, claro: descobrir a falha e não invadir o sistema de fato; descobrir, invadir e não dizer nada a ninguém, muito menos fazer qualquer coisa com os dados do vazamento. ou encontrar outra pessoa de confiança que pudesse servir de ponte entre o carinha e o site.

se você está “procurando”, na boa e pro bem, sem querer fazer mal a ninguém, alguma falha de segurança por aí, leia os diplomas legais que podem se aplicar à sua “atividade”, não faça nenhuma besteira, como ser pego em flagrante, e encontre, ao invés de sair por aí propagando seus feitos, sua linha divisória. e boa sorte.

Artigos relacionados

0 Responses to hacking: existe uma linha divisória?

  1. Nizam Omar disse:

    silvio, SAUDADES da DC!!!!!!!!!!

  2. anderson disse:

    Quem ataca e danifica e CRACKER e nao HACKER!!!!!!!!!!!!!!!!!!!!! Ninguem aprende isso?????????????????

  3. Marcelo Savio disse:

    Pensar que os hackers, assim como o colesterol, podem ser de dois tipos (bons e maus) é uma ingenuidade. Não penso que seja possivel estabelecer uma linha divisória. Até porque para adjetivá-los, é necessário também um complemento: bom pra quem? mau por quê?

    Como diria Melvin Kranzberg (historiador norte-americano falecido em 1995). “A tecnologia não é boa, nem ruim e também não é neutra”.

    Em relação ao comentário do Anderson sobre o uso dos termos. Mesmo que houvesse diferença, essa é uma briga perdida. Todo mundo fala hacker e pronto. Está na “boca do povo”, nos livros, jornais, filmes e até no Jornal Nacional. O outro termo é um completo desconhecido, ficou pra trás e só serve para identificar biscoito (cream cracker).

    M. Sávio

  4. Zina disse:

    Ronaldo!

  5. TiTO FRANçA disse:

    Silvio, ontem assisti um programa na GloboNews com Andrew Keen, já ouviu falar? O cara se autodenomina o “anticristo” da web 2.0. Você já escreveu sobre ele? Aceite a sugestão. Abraços, TiTO (twitter/wtito, tô na sua cola…)

  6. aurélio disse:

    A diferença entre um hacker e um cracker é que o hacker invade a sua casa, tira fotos de tudo o que lhe interessa, sai da casa e conta pros amigos o que fez, mostra as fotos, publica as fotos na internet, etc. Já o cracker faz o mesmo, mas certamente sem querer deixar vestígios e leva algumas coisas na saída.

    A semelhança é que os 2 devem ser vistos como criminosos, na medida em que entram na sua casa *sem o seu consentimento*, ou não, caso entrem *com o seu consentimento*. Esta é a linha. Não tem outra.

  7. bobtables disse:

    Adrianooooo!!!

  8. Moacir T. disse:

    concordo com Silvio quando ele diz que a linha é pessoal.

    esse espectro autoritário que tenta definir o que é certo e errado a partir de meras contradições lógicas (a ironia socrática!) é, no mínimo, imaturo. qualquer juiz com pelo menos três anos de experiência o sabe.
    quem se julgar capaz de separar criminosos de inocentes, deve saber que, tentando-se explicar aquilo que há entre o céu e a terra, termos de “certo e errado” não passam de termos. e são inúteis se não contextualizados. a questão é, sim, uma questão tênue. vide crime e castigo, dostoiévski. o livro transita essa linha. e foi escrito em 1866! é como tentar conquistar um adolescente repreendendo-o.

    atitudes como essas apenas alimentam o desafio pros hackers. a saída não é repreender. é, antes disso, descobrir como unir interesses. cabe ao detentor da informação, tenha sido ela adquirida de forma lícita ou não, decidir o que fazer com ela. contrariar isso é burrice. é lutar contra a realidade.

    a questão é que a evolução do pensamento não acompanha a velocidade da evolução tecnológica. nossa forma de pensar a internet (os direitos de conhecimento, as regulamentações ou desregulamentações de algumas profissões, o capital intelectual, etc) tu isso ainda é muito arcaico. ainda é tudo muito teórico. as opiniões que considero relevantes acerca destas questões, nunca são avalizadas somente pela teoria. é preciso ter essa noção. noção que acredito compartilhar com Silvio.

    iniciativas como a creative commons, o linux, os softwares livres, tudo isso tende a acelerar o desenvolvimento para todos. a forma de vermos o mundo também. esse mundo ainda é governado pelos economistas (quem diz não é um comunitsta). há uma tendência a estancar o desenvolvimento para obter lucros por um espaço maior de tempo. o que é medíocre. grande parte das crises econômicas e intelectuais surgem daí.

    chegará o tempo em que todo esse medo iniciante de que os outros tenham acesso à informações que julgamos ser nossas de direito e por prevenção de riscos, se tornará história. passado de uma interpretação jovem e ingênua do modo de pensar humano. aí sim, surgirão os gênios, e não nerds com algum conhecimento e tempo livre pra fuçar sistemas na internet.

    estimluar esse tipo de competição (bancos x hackers), garantindo, inclusive, remuneração e status aos “criminosos”, é que ajudará a descobrir maneiras realmente eficazes de proteger o que é de direito de cada um. a lapidação dos sistemas. estaremos mais perto de descobrir outra linha tênue: até que ponto precisamos somente de máquinas e onde humanos são imprescindíveis. vide: do androids dream of eletric sheep?, philip k. dick.

  9. Erik disse:

    Fodam-se todos, eu vou pra casa!!

  10. ZIna disse:

    Evandrooooo brilhaaaa mutiooo na Tempestttttttt!

  11. Anchises disse:

    Existe uma linha divisória sim: se o ataque (ou chame isso de teste, se preferir) é feito sem a autorização da empresa, então é um acesso ilegítimo e ilegal.

    O fato de eu ter uma casa não dá o direito as pessoas de testarem se a fechadura da porta está aberta. Nem dá o direito as pessoas de entrarem nela se, em algum dia, eu esquecer a porta destrancada. Quem aqui fica tentando entrar no apartamento ou na casa dos seus vizinhos? Quem aqui salta no hall do seu andar e, antes de entrar em seu apartamento, testa se as portas de todos os vizinhos estão trancadas?

  12. Gustavo disse:

    O autor desta reportagem sempre escreve mal assim?

  13. Marcio Correia disse:

    E quando você compra alguma coisa, você testa para ver se funciona de forma adequada? Acredito que sim. Sendo assim, posso dizer que é correto um cliente testar aquilo que ele comprou, inclusive no quesito segurança.
    Desenvolvendo mais um pouco o pensamento, quando compramos carros usados e não somos mecânicos, levamos a uma oficina para verificar se está tudo ok? Acredito que sim também. Sendo assim, posso dizer que é correto um cliente solicitar a alguem que teste aquilo que ele comprou, inclusive no quesito segurança.
    Diante desta linha, podemos então dizer que testar a segurança de sistema não tem nada de mal. Claro que estou considerando que nenhum prejuízo seja gerado por tal teste.

  14. aurélio disse:

    “estimluar esse tipo de competição (bancos x hackers), garantindo, inclusive, remuneração e status aos “criminosos”, é que ajudará a descobrir maneiras realmente eficazes de proteger o que é de direito de cada um”

    Discordo totalmente! Energia que poderia estar sendo gasta de forma construtiva por ambos os lados está sendo desperdiçada! Em vez de prover serviços melhores, tem que se gastar tempo e dinheiro com prevenção e defesa contra uso mal-intencionado dos sistemas.

    Voltando à analogia da casa, é como se em vez de poder viver como um rei numa casa de 400m2 com todos os confortos possíveis e imagináveis, você tivesse que viver num cubículo de 20m2, todo cercado por paredes de aço e vigilância eletrônica 24h (consumindo todos os seus recursos) para (não) garantir que ninguém vai entrar pra roubar o seu sanduíche.

    Repito: atividade ilegal virtual é igual a atividade ilegal real. É crime. Tem que dar cadeia de verdade. Agora mesmo li que um hacker coitadinho lá de Israel que roubou, quer dizer, hackeou, 20 milhões de dólares de bancos americanos e que teria uma pena nos EUA de 15 anos de cadeia, em Israel foi condenado a 6 meses de serviço comunitário. Isso é uma piada!

    Mas, como dizem por aí: “achado não é roubado”…

  15. aurélio disse:

    Errei: não foram US$ 20 milhões, foram “só” US$ 10 milhões. Tá aqui o link para a reportagem:

    http://www.wired.com/threatlevel/2009/08/analyzer

  16. aurélio disse:

    @marcio correia:

    você disse tudo: se eu compro um carro usado e peço a um mecânico para ver quais são os defeitos que ele tem, primeiro, o carro já é meu, segundo o mecânico vai mexer nele com minha autorização, com a finalidade específica de achar problemas.

    por outro lado, quantos mecânicos você vê na rua cutucando nos carros dos outros, procurando defeitos só para serem bonzinhos e avisarem ao dono que a pinceleta da grampola tá precisando trocar porque é um risco à segurança dos ocupantes do veículo?

    será que também se eu for numa loja comprar uma televisão eu tenho o direito de desmontar a tv inteira para saber se ela tem algum defeito? é para isso que existe o prazo de troca!

    por fim, eu não preciso furar o sistema de segurança de um banco antes de saber se devo ou não abrir uma conta lá.

    há medida para tudo. e tem que haver medida para o trabalho dos hackers também. é uma iniciativa que tem que partir do proprietário do produto ou informação e não do atacante.

    no brasil, principalmente, como apenas uma minoria da sociedade (isso certamente tem mudado e o problema vai ficar cada vez maior se não for tomada uma medida) tem acesso a equipamentos, material de estudo e um bocado de tempo livre (leia-se filhinhos-de-papai), aí vem de carona aquela história de que na eventualidade do sujeito ser pego com a mão na massa ainda conseguir escapar pela tangente (como tantos ds casos já aconteceram no brasil).

    me diga um hacker brasileiro que foi preso, que não tenha sido um ‘da silva’ qualquer que fez um chupa-cabra num caixa eletrônico…

  17. francisco disse:

    Seguindo o raciocínio do Aurélio, concluo que defender o serviço dos hackers é defender os interesses de uma elite corrupta (as aways) posto que esse é o tipo de crime reproduzido por pessoas com um conhecimento acima da média populacional, ou seja -alguém instruído. Portanto, cai na filosofia do indivíduo que teve opção de seguir um caminho reto na sociedade mas OPCIONALMENTE seguiu o caminho do crime, ao contrário dos que não tiveram opção.

    Horas, vamos deixar de ser tolerantes com crimes mais sofisticados ou cometidos por pessoas sofisticadas.

    Crime é crime e ponto final.

  18. aurélio disse:

    @francisco

    em tempo, meu raciocínio é em relação ao “desseviço” dos hackers, não o serviço dos especialistas em segurança! esses, sim, podem trabalhar à vontade, desde que sejam autorizados pelos seus clientes, aliás nos ajudando na defesa contra os outros.

  19. aurélio disse:

    @francisco

    antigamente o cara precisava ser realmente acima da média, mesmo. hoje em dia, qualquer guri de 10 anos, de qualquer camada social, desde aquele que tem um notebook próprio no seu apartamento da vieira souto, quanto aquele que usa computador na lanhouse da favela, acha na internet, prontinho pra usar, um monte de ferramentas que ele nem sabe para que servem, nem como funcionam, mas que podem causar um prejuízo enorme para alguém.

  20. Senhores,

    A discussão de termos a serem utilizados, hackers e crackers realmente está perdida. O que não quer dizer que o termo hacker não possa ser utilizado para simbolizar os pesquisadores de segurança (pessoas que agem conforme as leis que estão submetidos, mas que buscam falhas de segurança em sistemas, tais quais para empresas ou outras partes interessadas legalmente).

    O mesmo se aplica em diversos casos, a saber:
    – Um fabricante de carros testa a segurança de seus airbags -> Uma empresa que produz um software pode desejar achar falhas no mesmo
    – Uma empresa que vende armas, seguindo as legislações internacionais vende armas para um governo -> Uma empresa que atua em inteligência em segurança da informação pode vender informações privilegiadas sobre vulnerabilidades
    – Empresas testam seus sistemas de alarmes e monitoramento -> Empresas podem desejar testar a segurança de seus sistemas

    … a lista é infinita e mostra que a utilidade dos hackers é diversa, isso considerando hackers como pesquisadores de segurança da informação e evitando o uso de hacker como desenvolvedores (neste caso os sistemas operacionais foram desenvolvidos por hackers e ninguém estaria escrevendo neste blog se não fosse por eles).

    Abraços,

    Rodrigo (BSDaemon).

  21. Grasshopper disse:

    Silvio: volte ao assunto, e ao entrevistado, assim que nova oportunidade se apresente.

    Evandro: no mês passado, reunido com acadêmicos e profissionais da área, chegamos à conclusão que merecemos um livro seu sobre a doutrina de segurança da informação.

  22. Danilo disse:

    @aurélio, marcelo e márcio

    Concordo com o Anderson quanto ao uso correto dos termos Cracker e Hacker. Fica mais difícil perceber a diferença quando se restringe, como o Sr. Rodrigo Branco fez, o termo hacker a “pesquisadores de segurança”. Hackers são entusiastas e interessados em usar QUALQUER coisa para algo além do que ela foi projetada (ou imaginada) para ser. Uma pessoa que faz tuning em seu carro é um hacker. Um hacker pode ser entusiasta em computação, em mecânica, em letras, em qualquer coisa. E não é, definitivamente um termo pejorativo – muito pelo contrário.

    Uma simples análise morfológica da palavra resolve o problema.

    Para os que acham que a terminologia é uma batalha perdida, por favor usem “asterístico” e “pírula”, já que também “estão na língua do povo”. Chamem dromedário de camelo e rã de sapo. Mas não se prentendam inteligentes por isso.

    []’s
    Dan