A acusação é de que o Centro de Defesa
Cibernética (CDCiber) da corporação estavam participando há tempos de
competições do gênero “Capture the Flag” (ou “Capture a Bandeira”, em
português), na qual os times precisam usar técnicas de hacking para
atingir um determinado objetivo — que pode envolver defender um
computador pessoal ou invadir um sistema feito especialmente para a
maratona.
De acordo com os invasores, o Exército
Brasileiro participou de últimos grandes eventos de CTF e ganhou os
desafios usando uma técnica proibida conhecida como “WiFi
deauthentication attack” (ou simplesmente WiFi deauth), eliminando os
outros competidores da rede WiFi local e permitindo que apenas seu
próprio time pudesse jogar.
A prática foi identificada pela
primeira vez durante o Hackaflag PR, no dia 17 de outubro, durante o
Roadsec de Curitiba, e na qual um major do exército foi o vencedor. A
“trapaça” passou a se repetir em maior escala durante a edição 2015 da
Hackers 2 Hackers Conference (H2HC), que foi organizada entre os dias 24
e 25 do mês passado em São Paulo capital. Isso gerou inúmeras
desavenças entre participantes da cena hacker brasileira e militares nas
redes sociais.
Invasão e provocações
Como retaliação, um grupo de hackers
anônimos invadiu inúmeras bases de dados e diversos servidores do
Exército Brasileiro, tendo acesso a mais de 7 mil contas em menos de
oito horas. Todas as senhas, tal como uma provocação nada sutil à
corporação militar, foram publicadas neste documento de texto pelo serviço Pastebin. O “anúncio” do ataque teria sido feito pela primeira vez em uma lista de email chamada Brasil Underground.
‘Chega a ser vergonhosa a segurança do Exército Brasileiro’
“Ficamos sabendo que o Exército
Brasileiro tem participado de jogos de Capture The Flag e tem se exibido
como um time de elite, utilizando seus avançados ataques de deauth em
redes wireless”, comenta um dos invasores. “Chega a ser vergonhosa a
segurança do Exército Brasileiro, cada sistema possui vulnerabilidades
críticas”, complementa. Até mesmo o controlador de domínios foi
sequestrado pela equipe.
As provocações não param por aí. Os
hackers ainda orientam que façamos a “lição de casa”, usando os milhares
de CPFs vazados para descobrir os donos de cada uma das senhas e usar
nos outros sistemas do governo federal. Como bônus, um dos backdoors
(falhas de segurança) encontrados pelo time foi divulgado para quem se
interessar em testá-lo.
Um desafio para os militares
No fim do documento, os invasores
propõem um desafio público ao Exército Brasileiro: o Capture the
Backdoor, ou CTB. Ao todo, são 10 vulnerabilidades, incluindo uma
instalada na BIOS dos servidores. “Vocês podem usar ataques contra
infraestruturas sem sofrer penalização”, afirma o grupo. E eles avisam: o
prazo final para encontrar todas essas brechas é até os Jogos Olímpicos
de 2016, marcados para começar no dia 5 de agosto.
Ao todo, são 10 vulnerabilidades, incluindo uma instalada na BIOS dos servidores
O TecMundo conversou com outra fonte
anônima ligada à cena hacker brasileira — um jovem que já tinha tido
acesso anteriormente à tais backdoors e que afirma que as
vulnerabilidades são antigas. “A cerca de um ano atrás, um amigo meu
falou que havia achado uma falha de POST SQL Injection em um subdomínio
do Exército, e que havia registrado todo o banco de dados contendo CPFs e
senhas dos militares”, afirma.
“Mas ele não divulgou nada na
internet, e só ontem descobri que mais alguém além dele havia obtido
acesso”, complementa o entrevistado. Essa informação levanta uma questão
bastante pertinente: se os backdoors são tão antigos, como saber se
eles já não estavam sendo usados há tempos por cibercriminosos e até
mesmo agências de espionagem de outros países, para vigilância de dados
militares do Exército Brasileiro?
Se os backdoors são tão antigos, como saber se eles já não estavam sendo usados por agências de espionagem de outros países?
Além disso, fica a dúvida se realmente
estaremos ciberneticamente seguros durante as Olímpiadas — se os
sistemas militares podem ser controlados com tanta facilidade, como
garantir que nossa infraestrutura estará livre de ataques que certamente
ocorrerão durante os jogos do Rio 2016? O CDCiber ainda não se
pronunciou sobre o vazamento e o desafio público; atualizaremos esta
matéria caso surjam novidades.
Anderson Ramos, sócio-fundador e CTO
da FLIPSIDE (empresa que organiza o Roadsec e outros eventos de
relevância no cenário hacker brasileiro), nos enviou um posicionamento
oficial da companhia a respeito do episódio. Confira:
Embora tenhamos constatado a utilização de ataques deauth na etapa Curitiba do Hackaflag, gostaríamos de clarificar:
Estes ataques são bastante comuns em competições CTF em rede Wi-Fi;
É praticamente impossível provar a autoria dos ataques, então qualquer suspeição neste sentido carece de evidências técnicas;
O participante do exército da
referida etapa esteve o tempo todo muito próximo do local onde se
encontrava o coordenador do campeonato e é um profissional experiente e
respeitado no mercado, de reputação impecável, e teve vitória merecida;
Nós repudiamos o ataque e a ligação
que foi feita entre ele e desafios que são organizadas em total
harmonia entre profissionais com diversos tipos de perfis incluindo,
além da própria comunidade hacker, estudantes, acadêmicos, peritos,
policiais, militares, pesquisadores e profissionais do mercado de
Segurança da Informação;
Essas disputas tem como objetivo
canalizar a energia dos jovens de maneira positiva, inserindo-os no
mercado de trabalho através de relacionamento e aprendizado com
profissionais mais experientes, como os do próprio exército;
Esperamos que no final o incidente
traga consequências positivas tanto para os campeonatos, no sentido de
melhorar a infra-estrutura e deixar regras mais claras aos
participantes, como no sentido de chamar a atenção do exercito para
servidores que estavam expostos, pois conhecemos bem o imenso desafio
que é manter uma estrutura como aquela livre de vulnerabilidades e
problemas.Nota divulgada pelo Exército:
O Centro de Comunicação Social do Exército confirma a ocorrência do incidente e informa que o assunto está sendo tratado pelo Centro de Coordenação para Tratamento de Incidentes de Rede do Exército. Informa ainda que o incidente não comprometeu os sistemas estratégicos de defesa.
Via TECMUNDO
Nenhum comentário:
Postar um comentário