Está em curso uma guerra digital sem precedentes. No intervalo de pouco mais de dois meses, dezenas de sites de governos e grandes empresas em todo o mundo tiveram dados sigilosos roubados ou foram tirados do ar pela ação de grupos de hackers que se proclamam paladinos cibernéticos na luta contra a corrupção e pela liberdade de informação. Na lista dos sites atacados figuram entidades como o FMI, a CIA e o Senado americano, além de corporações como Sony, Nintendo, Visa e Mastercard. No Brasil, os alvos principais foram sites do governo federal, como Presidência, Receita Federal, IBGE, Petrobras e Exército. Diferentes grupos de hackers reivindicam os ataques e, em alguns casos, declaram terse apossado de informações sigilosas.

Como os alvos dessas investidas são sempre empresas e governos, você deve estar pensando: “E eu com isso?” Acredite, essa guerra já chegou bem perto de todos nós, usuários de internet. Seu computador pode estar sendo usado, agora, para fazer um desses ciberataques. E você, sem saber, entra no conflito. Isso acontece porque para ter um imenso poder de fogo, capaz de levar à lona sites muito grandes, os responsáveis pelos ataques precisam arrebanhar milhares de atiradores e seu micro pode estar entre esses soldados, comandados a distância pelos hackers. Ao mesmo tempo, seu micro está sujeito à invasão de vírus e outras pragas digitais. Todos os dias, na surdina, novos programas maliciosos são colocados na rua. Segundo a empresa de segurança Symantec, somente em 2010 foram identificados 286 milhões de aplicativos perniciosos inéditos, com a maior parte deles voltada para a prática de crimes financeiros, como o roubo de contas bancárias e cartões de crédito. Portanto, mesmo sem querer, você está no meio dessa guerra.

Ataques a sites de empresas não são exatamente uma novidade. Novos são os motivos políticos, reais ou alegados, para sua realização. Toda essa grande onda começou no ano passado, após a prisão do jornalista e ciberativista australiano Julian Assange, do site Wikileaks, que havia publicado, com grande repercussão, documentos secretos de vários governos. A prisão resultou de acusações de estupro feitas na Suécia, mas Assange diz que se trata de um golpe em represália à sua atividade. As contas do Wikileaks foram bloqueadas no PayPal, Visa e Mastercard. Com isso, a organização sofreu um baque em suas finanças, uma vez que não pode mais receber doações por aqueles canais. O grupo Anonymous tomou as dores do Wikileaks e passou a atacar, em dezembro do ano passado, os sites das entidades financeiras como uma forma de protesto e apoio a Assange.

Uma das primeiras aparições públicas do Anonymous se deu em 2008, quando o grupo resolveu implicar com os adeptos da Cientologia, religião que se tornou conhecida pela adesão de celebridades como os atores Tom Cruise e Jennifer Lopez. As intenções do grupo não iam além da trollagem, neologismo associado aos trolls, internautas que se ocupam de provocar e estimular o confronto apenas para ver o circo pegar fogo.

Após as ações pró-Wikileaks, o Anonymous assumiu uma postura mais politizada, defendendo bandeiras como a liberdade de expressão na web. Representações surgiram em vários países, como Espanha, México, Argentina e Austrália. Além de ações na internet, os grupos promoveram manifestações nas ruas, em defesa da transparência e condenando a corrupção.

Nesses atos, os Anons, como são conhecidos, usam a máscara do V de Vingança, a identificação visual do Anonymous. Essa máscara baseia-se na aparência de Guy Fawkes, fanático religioso inglês que em 1605 planejou dinamitar o Parlamento e restaurar a fé católico-romana na Grã-Bretanha. Fawkes foi enforcado e esquartejado. A máscara surgiu em 1982, na série de romances gráficos V de Vingança, criada por Alan Moore e David Lloyd.

Neste ano, surgiu o grupo Lulz Security, ou LulzSec, que também ganhou ramificações internacionais, inclusive no Brasil. Diferentemente do Anonymous, esse novo coletivo hacker não faz questão de envolver-se em causas políticas. Mesmo assim, o LulzSec declarou guerra aberta a governos, bancos e grandes empresas e realizou numerosas invasões. Uma das mais espetaculares foi a incursão aos servidores da Sony, com o roubo de endereços de e-mail e as respectivas senhas de mais de 50 mil clientes que jogam online com o console PlayStation, além de 54 megabytes de código de programadores da empresa. A Sony teria sido invadida como represália por ter processado o hacker americano George Hotz e outros que desbloquearam o console do PlayStation3, permitindo a instalação de programas caseiros e também a cópia de jogos. Hotz, hoje com 21 anos e funcionário do Facebook, já era conhecido por ter criado, em 2008, um código que permite instalar programas no iPhone sem passá-los pela Apple.

Em parceria com o Anonymous, o LulzSec promoveu a chamada Operação Anti-Security, ou AntiSec. Mais uma fieira de intrusões: CIA, Senado americano, FBI, Nintendo e AT&T. Nesse período, surge a ramificação brasileira do grupo, LulzSecBrazil, que assumiu a autoria de uma série de ataques de negação de serviço para deixar fora do ar vários órgãos do governo. Aqui, a tônica das motivações políticas seria o combate à corrupção.

O LulzSec internacional declarou sua extinção no final de junho, após 50 dias de ação. Mas a operação AntiSec continuou ativa. Os autores dos ataques não são grupos coesos. Especialistas em segurança acreditam que o LulzSec seria um grupo mais fechado, controlado por dissidentes do Anonymous. Os dois rivais não seriam tão distantes, uma vez que declararam nova aproximação para realizar a Operação AntiSec. Mas há desavenças. Vários hackers se colocaram contra o LulzSec, que ganhou maior visibilidade na mídia. Membros de um grupo autoapelidado Web Ninjas publicam no site LulzSec Exposed o que dizem ser a identificação de vários líderes do LulzSec. Um deles é Sabu, nome dos mais ativos do LulzSec, que seria um webmaster português de 34 anos, chamado Hugo Carvalho. O acusado afirma que não tem nada a ver com a história.

Também entre os hackers brasileiros as discórdias já pipocaram. Em julho, o LulzSecBrazil divulgou um documento no qual acusa um rapaz de 26 anos, residente em São Paulo, como autor da invasão ao e-mail da presidente Dilma. O documento fornecia um conjunto completo de informações sobre o acusado, com nome, endereço, CPF, foto e telefones. Segundo o grupo, o acusado teria tentado vender os dados a políticos e estaria usando o nome do LulzSecBrazil. Outra acusação é feita a um segundo jovem, residente em Guarulhos, na região metropolitana de São Paulo. Ele seria um carder ou banker, gírias aplicadas ao cracker que rouba informações de cartões de crédito e contas bancárias. Os dois rapazes eliminaram seus perfis do Facebook.

Os ataques a sites obtêm simpatias, em especial entre o público jovem, e incentivam atitudes cada vez mais ousadas. Também em julho, depois de banido do Google+, o Anonymous anunciou a criação de sua própria rede social, a AnonPlus, “destinada a todos, não somente aos anônimos”. Assim, o grupo abre espaço para maior divulgação de suas ideias e ações. Eles classificam a criação da rede social como uma “press-storm”, tempestade de mídia. Mas que usuário comum se arriscaria a criar um perfil nesse site? É preciso esperar para ver que cara terá essa rede.

Para alguns especialistas em segurança, como Gustavo Lima, profissional da área e editor do blog especializado Coruja de TI, o relativo sucesso dos ataques pode estimular o surgimento de novos hackers. Além da divulgação, Lima destaca as facilidades hoje existentes para recrutar seguidores. “Pelo Twitter, bastam 140 caracteres”, diz. E também para obter ferramentas na internet. “Existem sistemas dedicados à realização de testes de segurança”, diz Lima. Esses recursos são usados por profissionais para checar os servidores com que estão trabalhando, mas também podem servir a quem esteja interessado em identificar brechas em sites para posterior invasão.

Engenharia social

Todos os profissionais de segurança ouvidos por INFO são unânimes em afirmar que a maioria das investidas realizadas no Brasil são ataques de negação de serviço. Basicamente, um ataque desse tipo consiste em bombardear determinado site com um volume de requisições superior ao que ele é capaz de suportar. As ferramentas mais comuns para isso são os botnets, ou seja, redes de bots (programas-robôs). Alojado na máquina do usuário, o bot espera comandos para entrar em ação. Um grupo de hackers pode ter sob seu controle milhares de bots. Na hora de fazer um ataque, todas essas máquinas contaminadas formam um exército com milhares, e até milhões, de zumbis. Todos atirando requisições contra um mesmo site. Assoberbados pelo excesso de trabalho, os servidores não resistem e saem do ar. Nisso consiste o ataque DDoS, sigla em inglês para [ataque de] negação de serviço distribuído.

“A maioria dos ataques enquadrase nessa categoria”, afirma o especialista em segurança Anchises de Paula, da Verisign. Ele explica que se trata de uma ação que não requer muito conhecimento técnico. “Há também uma prática muito comum que consiste em usar uma botnet controlada por outros para efetuar um ataque”, diz. Consta, por exemplo, que nas incursões do LulzSecBrazil em sites do governo federal detectou-se a participação de máquinas da Espanha, provavelmente controladas por gente da LulzSec naquele país.

Para Carlos Sobral, delegado da Polícia Federal e atual chefe da Unidade de Repressão a Crimes Cibernéticos, os ataques a sites do governo não revelaram nenhuma motivação de natureza política. “Nenhum caso de corrupção, por exemplo, foi denunciado”, afirma. Além disso, Sobral diz que todos os casos se resumiram a tirar o site do ar. “Eles não conseguiram invadir nenhuma base de dados federal.”

Ataques de negação de serviço podem ser promovidos por hackers sem grandes habilidades técnicas. Pesquisando na web, INFO encontrou vários sites com o bê-á-bá do hackerismo. Um deles fornece um detalhado passo a passo para o interessado baixar um programa, o Loic, com o qual o iniciante pode participar voluntariamente de ataques distribuídos de negação de serviço programados por alguma organização. O Loic é uma aplicação de teste para simular tráfego em redes. Seu nome foi emprestado da arma de ficção Low Orbit Íon Cannon (canhão de íons de baixa órbita), do videogame Command & Conquer.

O Loic executa um ataque de negação de serviço ou, quando usado por várias pessoas contra o mesmo alvo, um ataque distribuído de negação de serviço. Mas ele revela os endereços IP de onde partem os ataques, o que pode levar a polícia a bater à porta dos desavisados que resolvam utilizá-lo. Nos últimos meses, dezenas de pessoas foram presas na Inglaterra, na Espanha e na Turquia por terem utilizado essa arma.

Os hackers mais espertos usam o Loic por meio de uma rede de anonimização, que mascara o número IP dos atacantes. Esse, aliás, também parece ter sido o motivo da prisão de 14 indivíduos nos Estados Unidos no mês passado. Todos foram acusados de participação no ataque do Anonymous ao site do PayPal. Ao analisar os registros (logs) dos servidores atacados, o FBI localizou os IPs. Daí, com o apoio da Justiça, foi só fazer o caminho inverso: descobrir a quais provedores pertenciam os IPs e a quais clientes estavam alocados na data.

Não se sabe o que vai acontecer com as pessoas presas, mas quem acompanha de perto o mundo dos hackers jura que elas não devem passar de soldados rasos ou, menos ainda, recrutas. Não dá para acreditar que os generais da operação fossem rastreados pelo endereço IP de suas máquinas.

As ferramentas

Como se trata de um ambiente obscuro, há mais interrogações do que certezas no mundo da segurança digital. Uma dúvida comum: quais seriam, realmente, os motivos que levam os hackers a se manifestar? Segundo Marco DeMello, presidente da empresa de segurança PSafe, a observação permite dizer que há quatro tipos de motivação para os hackers. Alguns promovem ataques ou participam deles em busca de notoriedade ou para mostrar uma agenda política. Outros usam as invasões para roubar informações — senhas de bancos e cartões de crédito, por exemplo — e obter retorno financeiro. Há ainda duas categorias muito específicas. Uma é a de crackers a serviço de governos que atacam sites de outros países com o objetivo de espionar ou causar danos a instalações inimigas. A outra são crackers dedicados à espionagem industrial, a serviço de empresas.

Esses dois últimos não oferecem perigo ao usuário final. Mas há um ponto comum a todos os tipos de hackers, crackers, gente bem ou mal-intencionada: todos usam as mesmas ferramentas. É nesse ponto que você entra na história. Considere, por exemplo, o ataque de negação de serviço — aquele destinado a tirar um site do ar e, em alguns casos, pichar uma mensagem na página de entrada. O mesmo malware que invade o PC para roubar senhas pode ser usado nessa operação. Sem o conhecimento nem o consentimento do dono, o computador é alistado num exército de zumbis, sob o comando de algum grupo.

Os bots que invadem computadores pessoais geralmente aproveitam uma brecha de segurança no sistema ou usam artimanhas de engenharia social para enganar o usuário e fazer com que ele próprio facilite a entrada do invasor. Existe uma série de programas maliciosos voltados para o roubo de dados sensíveis, como senhas bancárias e de cartões de crédito. Bruno Rossini, gerente de relações públicas da Symantec para a América Latina, estima que 80% dos computadores pessoais no Brasil já foram vítimas de algum tipo de ameaça. “Com esse número”, diz Rossini, “só ficamos atrás da China, que tem 85%.” Com medições feitas em sua própria base de usuários, a PSafe também chega a taxas similares. “O pior é que há milhares de casos em que as infecções são reincidentes”, diz Marco DeMello, da PSafe.

Com os vírus, cavalos de troia, vermes, programas espiões e tantas outras denominações, seu computador está em permanente perigo. Uma das ameaças já tradicionais são os programas que usam as máquinas invadidas como plataforma para o envio de spam. Essas mensagens podem ser propaganda de produtos ou conter links para sites maliciosos.

Os robôs (bots) escondidos na máquina agem sob comando externo e fazem tudo sem o conhecimento do dono do PC. Num documento recente, a Symantec descreve a existência de um mercado secreto para essas atividades ilícitas. O dono da botnet aluga seus efetivos para executar uma tarefa, como enviar spam. Em 2010, a cotação era de 15 dólares por 10 mil bots. A empresa indica ainda que as redes de bots são cada vez mais usadas para a execução de ataques DDoS. Portanto, o dono de uma botnet é como o comandante de um exército mercenário: faz o que lhe pagam para fazer.

Convite aos hackers

Ultimamente uma botnet está causando espanto mesmo entre os profissionais de segurança mais calejados. Trata-se de uma rede formada com o bot TDL-4, classificado como a ameaça mais sofisticada da atualidade. “Essa botnet é praticamente indestrutível”, escreveu Sergey Golovanov, pesquisador da Kaspersky. Por isso, sua cotação atinge valores de 20 a 200 dólares para cada lote de mil instalações. A rede do TDL-4 também assusta pela abrangência: está disseminada em 4,5 milhões de computadores pelo mundo, 1,5 milhão somente nos Estados Unidos. É a maior botnet de que se tem conhecimento.

Não é só a capacidade técnica de hackers experientes e o arroubo dos novatos que contribuem para os ataques. Os especialistas em segurança dizem que há também muitas vulnerabilidades nos servidores das empresas, e isso funciona como um convite aos hackers. “Os servidores têm vulnerabilidades conhecidas há muito tempo”, diz Lima, do blog Coruja de TI. Segundo ele, falhas de configuração nos sistemas criam brechas pelas quais o site pode ser invadido. Esses buracos podem levar a desastres bem mais graves do que a retirada do site do ar, como o acesso a informações confidenciais.

Existem ferramentas que permitem identificar brechas conhecidas apenas fazendo uma varredura na internet. Um exemplo é o software de código aberto Metasploit, que realiza os chamados “testes de penetração” em sites. Há até um sistema operacional especializado nesse tipo de teste. É o Bactrack Linux, que reúne uma ampla coleção de ferramentas anti-invasão, inclusive o Metasploit. Obtidos gratuitamente na internet, produtos como esses auxiliam o trabalho dos profissionais de segurança. Mas estão também à disposição da turma da insegurança.

Mais uma vez, o que parece distante do cidadão comum o atinge por tabela. Quando ocorre um vazamento de informações, em muitos casos são os dados de pessoas — clientes, funcionários, prestadores de serviço — que entram na fogueira. Por isso, hoje a segurança tornou-se uma preocupação comum para empresas e usuários domésticos.

Num ambiente em que tudo se liga — computadores, celulares, aparelhos de TV —, todos vão aprendendo, a duras penas, que não há espaço para a distração e a ingenuidade. Então, há uma lição de casa obrigatória a ser feita. “A primeira medida é realizar um levantamento dos riscos”, diz Paulo Vendramini, diretor comercial da Symantec. Segundo ele, é fundamental identificar, no grande volume de dados, onde estão os dados críticos da corporação. É preciso traçar políticas coerentes com as atividades da empresa e treinar os funcionários. “Sem querer, eles podem contribuir para o vazamento de dados”, diz Vendramini.

Há pelo menos um aspecto positivo na onda de ataques promovida por grupos como o Anonymous e o LulzSec. Ao lado de inquietações e prejuízos, esse movimento desperta a atenção de empresas e usuários para a necessidade de dar mais importância às questões de segurança e seguir os preceitos mínimos para proteger suas máquinas “Sites que antes não tinham segurança, agora se preocupam”, diz Eduardo Godinho, gerente de segurança virtual da empresa Trend Micro. A polícia diz que não está dormindo. “Há investigações no exterior e nós também vamos identificar pessoas no Brasil”, afirma o delegado Sobral, da PF. O que nos resta é proteger as máquinas e aguardar os próximos capítulos.