Dois proeminentes grupos hackers, o Anonymous e o LulzSec, iniciaram a crescente preocupação sobre a segurança de computadores ao realizarem espetaculares ataques e roubos de dados contra sites de grandes empresas e governos. Juntos, eles realizaram mais de 30 ataques nos últimos dois meses, derrubando várias páginas pertencentes ao senado americano e a CIA, rebaixando a gigante Sony e comprometendo cerca de 2 milhões de IDs e logins de usuários por toda a rede.
Especialistas em segurança alertam que os ataques irão continuar graças ao reaparecimento, principalmente, de usuários de computadores jovens do sexo masculino atraídos para hackear por uma causa e gabar-se de seus feitos. Até então, a maioria dos membros dos dois grupos permaneceram nas sombras. Além disso, eles não possuem liderança central e estrutura formal.Experts de segurança em tecnologia descrevem esses grupos como uma “ideia”, não um grupo.
Apesar da falta de organização hacker, a polícia não parou de tentar colocar um fim nesses ataques. As forças policiais de países como Reino Unido, Holanda, Espanha, Turquia e EUA, fizeram dezenas de prisões e conduziram buscas como parte de várias investigações sobre os ataques. Por exemplo, no final de junho, a polícia inglesa prendeu o jovem Ryan Cleary, de 19 anos, que é acusado de distribuir ferramentas para a criação de uma botnet (uma rede com diversos computadores infectados) que o LulzSec usou para atacar a Agência contra Crimes Virtuais (SOCA) da Inglaterra.
Condição ideal para ataques de hackers
O ex-hacker e atual consultor de segurança privada Michael Calce afirma que uma combinação de má segurança, a disponibilidade de toolkits (ferramentas para criação de malware) cada vez mais fáceis de usar e sofisticados, e sites de redes sociais, criam condições ideais para muitos dos crackers atuais.
“Quando estava hackeando, era sobre testar o ego, quem era o melhor hacker”, diz Calce. “Hoje, é sobre dinheiro ou ativistas querendo provar seu ponto.” Sob o nome online “Mafiaboy”, Calce foi responsável por uma onda de ataques de negação de serviço em 2000 que afetou sites de empresas como Amazon, CNN, Dell, eBay, Etrade e Yahoo. Desde então, Calce escreveu um livro sobre suas façanhas que deve sair nos EUA em agosto.
Do Ego para o Hacktivismo
Calce afirma que atualmente os ataques possuem um estilo familiar mas não tem a competição individual movida a ego entre os hackers de que se lembra por volta do ano 2000. Os atuais ainda usam personas online como Sabu e Topiary, mas a maioria opera sob a bandeira de organizações como Anonymous, AntiSec, Gnosis, LulzSec (“lulz” é a gíria online para “risadas” e “Sec” é de “segurança”), e Script Kiddies. Seus objetivos, acredita-se, é deixar as pessoas conscientes sobre questões de segurança e protestar contra o que acreditam ser errado.
Em dezembro, autoridades holandesas prenderam Martijn Gonlag, de 19 anos, possível membro do Anonymous. O jovem foi preso pelo que disse às autoridades ser um “protesto digital” quando atacou sistemas de computadores, alegando ter feito isso em suporte ao Wikileaks.
Antes disso, a Sony foi alvo de uma onde de ataques de hackers que roubaram os dados pessoais de cerca de 100 milhões de gamers de sua rede online. Os ataques foram causados pelo que os hackers chamam de uma ação legal pesada contra o hacker George Hotz, que fez jailbreak (“destravou”) o console PlayStation 3, da companhia japonesa.
A raiz desses ataques e de outras ações que se auto-proclamam hacktivistas datam de 2008, quando o Anonymous atacou a Igreja da Cientologia para protestar contra a tentativa do grupo religioso de controlar informações online sobre si próprios.
Desde o fim do LulzSec, membros do grupo e outros formaram um novo coletivo hacker do mesmo tipo, chamado AntiSec, que no último dia 30/6 roubaram nomes, endereços, e-mails e outros dados pessoais da polícia estadual do Arizona, nos EUA. Então, em 4 de julho (Dia da Independência nos EUA), outro grupo intitulado Script Kiddies invadiu uma conta no Twitter da rede de TV americana Fox News e falsamente noticiou que o presidente Barack Obama havia sido baleado e morto. No dia seguinte, o Anonymous e membros do AntiSec liberaram dados do sistema de votação da Flórida e detalhes pessoais de políticos do partido Democrata da região de Orlando, no mesmo estado.
Tempo nublado
A única nuvem escura, os especialistas dizem, é que os hackers estão chamando atenção para vulnerabilidades de segurança e não explorando-as de forma silenciosa.
O LulzSec alegou que sua onda foi realizada para chamar atenção para computadores vulneráveis, enquanto o novo movimento AntiSec quer expor corrupção. Almejar esse tipo de visibilidade contrasta com outros crackers, que se orgulham de invasões silenciosas e perpetuam espionagem corporativa, mantém esquemas de extorsões e roubo de dados de cartão de crédito.
“Antes, havia um elemento criminal mais envolvido, por isso não tinha tanta publicidade. Não é como se de repente os sites se tornassem vulneráveis”, diz o cofundador e CTO da empresa de apps de segurança Veracode, Chris Wysopal.
Os hackers na mídia
As coisas mudaram. Wysopal diz que os recentes roubos de dados ganharam mais atenção graças a uma ferramenta relativamente nova: campanhas de relações públicas com bom conhecimento de mídia.
Os membros dos grupos LulzSec e Anonymous mantém contas públicas no Twitter e enviam comunicados de imprensa anunciando vazamentos de dados. Em um determinado momento o LulzSec chegou até a publicar um número de telefone para receber pedidos de ataques.
“A nova tendências de hacks por grupos como LulzSec e Anonymous é acentauda porque os invasores estão tentando trazer mais publicidade agora”, afirma Wysopal.
Há mais de dez ano, hackers como Kevin Mitnick, Ehud Tenenbaum e Michael Calce também estavam derrubando sites e invadindo grandes redes. O que os motivava naquela época, diz Calce, era apenas um interesse geral em ver o que era possível. As salas de chat IRC (Internet Relay Chat) viam muitas competições online em que os hackers batalhavam, um tentando derrotar o outro com ataques de negação de serviço direcionados.
“Não estou preocupado com o LulzSec e o Anonymous”, diz Calce. “Os hacks sobre os quais você não ouve falar são mais perigosos.” O LulzSec fez uma declaração semelhante recentemente, quando afirmou que as verdadeiras ameaças online são os criminosos que não anunciam seus roubos de dados para o mundo.
Um cracker é sempre um cracker
Especialistas em segurança concordam que perigosos crackers (hackers especialistas em roubos de dados e cibercrimes) ainda existem, mas desafiam a noção de que grupos como LulzSec e Anonymous não são tão ameaçadores. Certamente eles foram custosos para as vítimas: a Sony estima que os ataques que sofreu recentemente custaram cerca de 170 milhões de dólares.
Em março, crackers desconhecidos roubaram dados da empresa de segurança RSA que colocaram em perigo o produto de autenticação de dois fatores SecurID. Esse roubo levou a um ataque em maio contra a Lockheed Martin, uma grande empresa de defesa dos EUA. Em um incidente não relacionado, o gigante dos bancos CitiGroup foi vítima de um atque que expôs mais de 200 mil de seus correntistas a roubos de dados. Com certeza esses golpes foram mais sérios do que postar uma grande quantidade de IDs de gamers e logins de sites no Pastebin, como o LulzSec costumava fazer; no entanto, surgiram alguns rumores de fraude relacionada aos roubos de dados desse grupo.
Mas estejam os hackers buscando por “lulz” (“risadas”) ou segredos de defesa, esse tipo de atividade provavelmente vai continuar pelo futuro. “O LulzSec e o Anonymous demonstram o que pode ser feito com um nível de habilidade médio”, diz Wysopal. “Se esses caras estão fazendo isso, você deve pensar que há outras pessoas, em outros países, fazendo a mesma coisa de maneira tão fácil.”
E aí fica uma pergunta. Será que estamos preparados para uma cyberwar?
VINÍCIUS OLIVEIRA 