Empresas tentam usar 'Hackers' para espionar.

É muito comum ouvir a palavra “hacker” e associá-la a desordeiros digitais. Mas além de equivocada, esta constatação também esconde outro lado dos especialistas em segurança digital.

A INFO entrevistou o consultor em segurança digital Alan Sanches. O hacker já participou de ataques de negação de serviço (DDoS) seguindo a ideologia do grupo Anonymous, mas abandonou essa prática para fundar seu próprio grupo, desta vez com o objetivo de identificar as vulnerabilidades dos sites.

Sanches diz passar o dia inteiro em busca de novas falhas, para aprimorar seus conhecimentos e também para buscar soluções e repassá-las aos administradores dos sites. Segundo Sanches, há empresas que tentam se aproveitar do trabalho de hackers para espionar concorrentes.

Você comentou que desistiu de continuar como participante do Anonymous. Poderia explicar o que fez tomar essa decisão?

 Anonymous é uma ideologia, o grupo com o qual participei são os que mais difundiram essa ideologia no Brasil. Por se tratar de ideologia, com o passar do tempo, percebi que a minha visão do Brasil é diferente da visão do grupo, sendo assim era inútil lutar ao lado deles sendo que minha visão e missão são diferentes.

Tecnicamente eles são excelentes, mas digamos que temos conceitos (objetivos) diferentes. Algumas atitudes minhas eles repudiam, da mesma forma que eu repudio algumas deles.

Sobre o novo grupo que montou, qual é sua atuação? Como se comunicam?

Nos últimos meses, que antecederam a criação do grupo, houve ataques a sites governamentais por diversos grupos hackers, que lá cravaram suas bandeiras efetuando pichações. Sempre gostei de efetuar invasões, afinal, esse é um dos melhores meios de aprender a se defender, porém, as pichações, roubos de dado, nunca fizeram parte do meu perfil.

Foi aí que alguns amigos, que também possuem o mesmo pensamento, em um fórum de Segurança, decidimos criar a ASHACK, com o objetivo de auxiliar empresas e instituições governamentais a se protegerem de ataques.

Todas as quintas e sábados, nos reunimos em um bate-papo reservado para então trocar conhecimento e efetuar o que chamamos de "exploração". As sextas, deixamos o bate papo livre para o público trocar conhecimento conosco.

Atuamos como uma equipe de respostas a incidentes de Segurança Digital; exploramos as falhas encontradas, comunicamos o proprietário e só depois de 48h úteis divulgamos em nosso site, para que o responsável tenha tempo mais que suficiente para corrigir. Deixamos bem claro, em nosso primeiro contato que, caso não consiga corrigir a falha em tempo hábil que nos comunique para que mantenhamos em sigilo a falha encontrada, além de efetuarmos apoio técnico, caso necessitem.

Como vocês escolhem seus “alvos”? Que tipo de ataques escolhe para cada site? Como funciona essa tomada de decisão? 

Existem diversas ferramentas que fazem o "trabalho sujo", além de amigos que encontram essas vulnerabilidades a esmo e nos informam. Quando efetuamos a tal varredura, encontramos milhões de sites vulneráveis e elegemos os mais conhecidos ou os que poderiam trazer grande repercussão, caso o mesmo tenha sido pichado (deface).

Houve noites em que, durante nossas reuniões, invadimos mais de 50 sites. Às vezes nos dá menos trabalho invadir o site do que comunicar o responsável da mesma. Existem centenas de formas de ataques, depende muito da vulnerabilidade do site, assim como da técnica a ser aplicada, e da proteção existente. Temos especialistas em diversas áreas no nosso grupo, com isso, aumentamos o leque de ataques e alvos.

E o que fazem com as informações obtidas nesses ataques? 

Nós temos em nosso estatuto: NUNCA divulgar informações sigilosas ou algo que possa comprometer uma instituição ou até mesmo algum usuário do site.  A divulgação de falhas em nosso site serve apenas para mostrar que existe a vulnerabilidade e como se proteger dela, dando uma amostra de que a invasão aconteceu sem comprometer ninguém.

É possível ganhar dinheiro com esses dados obtidos? 

Ah, sim. Por exemplo, recebemos alguns convites de empresas solicitando invasões nos sites de seus concorrentes e ficamos perplexos com tal atitude. Tínhamos em mente que espionagem industrial existisse, mas foi a primeira vez que nos deparamos com uma situação como essa. Recebemos em uma semana 6 ofertas para efetuar roubo de dados de empresas rivais, mas recusamos todas. Não é nosso objetivo e não achamos saudável esse nível de concorrência.

Mas pelo nível das ofertas, concluo que é possível ganhar um bom dinheiro com os dados obtidos das invasões, mas também é possível ganhar esse mesmo dinheiro efetuando proteção às empresas.

Poderia citar algumas empresas que já tiveram os dados comprometidos por suas ações? Essas empresas foram notificadas? E quais foram as reações delas e quais atitudes tomaram?  

Temos muitas invasões que ainda não foram notificadas por falta de tempo ou talvez por não achar o responsável pelo site.

Mas conseguimos alertar 21 empresas recentemente. Em todas havia falhas graves de segurança, que nos deu controle total aos dados e servidor, por isso comunicamos primeiro. As únicas instituições que nos responderam de imediato e já corrigiram as falhas foram a empresa privada KeepersBrasil e a militar FAB, as demais, sequer responderam nossos e-mails e em todas, a falha ainda persiste.

Apenas um, de um político que não citaremos aqui, nos respondeu com palavras de baixo calão, informando que nós éramos os vândalos da era digital. Apenas ignoramos.

Você acredita que o Brasil ainda “engatinha” quando a questão é a segurança digital dos dados? Estaríamos prontos para uma cyberguerra, por exemplo?  

Cremos que os maiores especialistas em Segurança Digital sejam brasileiros, mas eles são raros e estão tão sobrecarregados que quase não aparecem. O Brasil está muito longe de sequer engatinhar na área de Segurança, com exceção das instituições financeiras.

Tenho visto em muitas empresas que eles têm contratado Analistas de Segurança com característica processual, ou seja, na área de Segurança, existem diversos especialistas, mas são dois níveis que se diferem: os que focam em Processos e os que focam na área Técnica. É muito raro você encontrar os dois em uma só pessoa. Os que são em sua totalidade 100% técnicos, os que hoje são denominados de Hackers, ainda sofrem um preconceito das instituições. Eu mesmo já fui dispensado de uma entrevista com o argumento de ter um site cujo nome é DesafioHacker.

A imagem Hacker é tratada por muitos como vândalos da Internet, e isso não é verdade. O Brasil não está pronto para uma CyberGuerra, não por causa do nível de conhecimento técnico, mas sim pela falta de infraestrutura. Sequer temos link suficiente para conter um ataque de DDoS (Negação de Serviço).

Enquanto o país não investir em infraestrutura, as empresas não investirem em capacitação de seus profissionais e não perdermos a visão de que “as coisas nunca irão acontecer conosco”, dificilmente essa imagem irá mudar.