Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

10 hacks para deixar qualquer um paranóico

Invasão de caixas eletrônicos, roubo por RFID, ataques a dispositivos médicos. Listamos casos que podem tirar o sono de muito profissional de segurança.

Qualquer dispositivo com capacidade computacional pode ser hackeado, mas nem todos os métodos de hacking se assemelham. Na verdade, em um mundo no qual dezenas de milhões de computadores são comprometidos por malwares todo ano, os ataques inovadores, que geram reflexão e surpresa, ainda são raros e espaçados entre si.

Esses ataques extremos se distinguem dos comuns, que vemos no dia a dia. Isso se deve tanto pelos alvos pretendidos quanto pelos métodos aplicados – antes desconhecidos, inutilizados ou muito avançados. São medidas que ultrapassam o limite do que os profissionais de segurança julgam ser possível, abrindo os olhos do mundo para novas ameaças e vulnerabilidades do sistema enquanto conquistam o respeito de seus adversários.

Entre algumas dessas iniciativas recentes e antigas, separamos dez que consideramos os mais impressionantes:


Caixa eletrônico

A maior parte dos caixas eletrônicos contém computadores com sistemas operacionais populares. Na maioria das vezes, rodam Windows ou alguma versão do Linux. É comum que esses sistemas incluam implementações de algum conhecido (como extensões em Java) por seus bugs e facilidade de ser hackeado. Para piorar, essas máquinas raramente são atualizados e as que são não seguem a periodicidade adequada.

Além disso, o sistema operacional dos caixas eletrônicos possui suas próprias vulnerabilidades, muitas de fácil exploração até poucos anos atrás. Os fabricantes enviam os caixas a seus clientes com senhas compartilhadas padrão e métodos comuns de acesso remoto, agravando ainda mais os riscos de segurança.

Naturalmente, eles orientam os destinatários a alterarem os padrões, mas poucos o fazem. O resultado é óbvio: cheios de dinheiro, os caixas são constantemente hackeados, tanto fisicamente quanto por suas portas de acesso remoto.

O mais infame dos hackers de terminais bancários foi Barnaby Jack, falecido em 2013. O cibercriminoso divertia as plateias de congressos de segurança quando levava máquinas comuns ao palco e as fazia expedir dinheiro falso em questão de minutos. Entre a vasta gama de truques dos quais dispunha, o mais comum se baseava em um pen drive com malware plugado nas entradas das máquinas, que não costumam ser protegidas mesmo com a recomendação dos fabricantes.

O software de Jack se conectava ao caixa através de uma porta de rede conhecida, usando acesso remoto para explorar uma vulnerabilidade que então comprometia completamente a máquina. Executando alguns comandos administrativos, o hacker instruía o caixa a liberar o dinheiro. Sempre seguidas de aplausos, as apresentações de Jack levaram à criação do termo “Jackpotting”, que batizou o método de hacking.

Marca-passo

Quando a tática de exploração de caixas eletrônicos foi descoberta pelos fabricantes dos terminais, Barnaby Jack voltou sua atenção aos dispositivos médicos. Suas demonstrações mais extremas incluíam o envio não autorizado e letal de choques a pacientes com marca-passos e dosagens extremas de insulina a diabéticos – tudo de uma localização remota.

A maioria dos aparelhos com fins medicinais são submetidos a um período de desenvolvimento, teste e certificação que duram entre cinco e dez anos antes de serem entregues a pacientes humanos. Infelizmente, isso significa que o software usado nos dispositivos não é atualizado durante todo esse tempo, colecionando uma sucessão de vulnerabilidades negligenciadas até ser introduzido ao mercado. Os fornecedores desses mecanismos costumam contar com a obscuridade de seus produtos como uma proteção artificial, a chamada “segurança por obscuridade”, visivelmente precária.

O quadro não aparenta estar melhorando. Em abril de 2014, o Wired publicou um artigo a respeito da facilidade de se hackear equipamentos hospitalares, em boa parte graças às senhas codificadas de forma padrão, que não podem ser alteradas.

É claro que os dispositivos médicos devem ser de fácil uso, continuando a operar mesmo caso sua segurança seja violada, mas isso dificulta sua proteção. Senhas customizadas mais longas, complexas e de mudança constante dificultam o uso dos aparelhos e, por isso, não são empregadas. Para agravar o quadro, quase toda a comunicação entre diferentes ferramentas não é autenticada ou criptografada.

Isso permite que qualquer hacker que tenha encontrado as portas certas leia e mude os dados dos aparelhos sem causar qualquer interrupção nas operações do dispositivo, de seu software de gerenciamento ou outros sistemas de interface (como registros médicos eletrônicos). Na verdade, a maioria das comunicações entre aparelhos médicos carece de soma de verificação da integridade básica de dados, o que facilmente identificaria a maioria das mudanças maliciosas.

O hacking de aparelhos médicos existe há, no mínimo, uma década e é comum que demonstrações a respeito sejam feitas em conferências, motivando a FDA (agência de saúde dos Estados Unidos) a emitir um aviso a respeito das vulnerabilidades. Os desenvolvedores de dispositivos médicos atualmente trabalham para preencher os buracos de fácil exploração, mas seu ciclo obrigatório de testes de longa duração ainda dificulta o devido combate aos problemas.

Fraude de cartões

A fraude de cartões de crédito é menos mórbida, mas ainda pode causar problemas substanciais em sua vida financeira. O hacking é simples: o agressor coloca um dispositivo chamado skimmer (popularmente chamado de “chupa cabra” no Brasil), no em outro aparelho – como um caixa eletrônico ou terminal de pagamento – para obter as informações de um cartão (tanto de crédito quanto de débito) e o PIN correspondente quando ambos forem digitados.

Os skimmers foram aprimorados ao longo dos anos, de aparelhos óbvios (que poderiam ser reconhecidos por qualquer um à procura de algo estranho) para dispositivos que dificultam o reconhecimento até mesmo por especialistas. Alguns deles incluem conexões por Bluetooth, permitindo que os hackers obtenham as informações roubadas a uma curta distância ao invés do próprio dispositivo.

Os atacantes frequentemente inserem dezenas de aparelhos em uma área geográfica comum – de preferência próximas a estradas, permitindo fugas rápidas – e usam a informação roubada para gerar cartões novos e fraudulentos, que são usados em lojas caras (para comprar produtos que possam ser revendidos) e varejistas online. Isso é feito com rapidez, geralmente ainda nas primeiras horas. Até os fornecedores detectarem ou serem comunicados da fraude, os agressores já lucraram e escaparam sem ser apanhados.

Brian Kebs, que cobre os últimos dispositivos skimming e notícias relacionadas, reportou recentemente uma vitória contra a tecnologia fraudulenta. Neste caso, a polícia escondeu aparelhos de rastreamento GPS em dispositivos skimming ativos já descobertos. Quando os hackers apareceram para reaver seus aparelhos, a força policial os rastreava e prendia. Naturalmente, a popularização da estratégia deve levar os agressores a intensificarem o uso do Bluetooth para evitar a remoção física -- mas, por enquanto, a polícia intensifica o combate à fraude.

Hacking remoto de cartões

Se seu cartão possui o mecanismo de pagamento por etiquetas de radiofrequência (RFID) – como MasterCard PayPass ou American Express ExpressPay --, é provável que suas informações possam ser lidas por um hacker que ande próximo à sua bolsa ou carteira. Isso acontece porque qualquer dispositivo RFID desprotegido pode ser hackeado, incluindo passaportes, cartões de acesso predial/residencial e etiquetas de rastreamento de produtos.

Aparelhos de radiofrequência quase não possuem segurança. Basta energizar o transmissor RFID usando ondas de rádio de baixa frequência para que ele transmita toda a informação que possui. As linhas magnéticas dos cartões de crédito já não eram seguras – podiam ser lidas por qualquer leitor vendido na internet a US$ 15 --, mas a diferença neste caso é que os leitores de radiofrequência permitem o roubo de informações sem que haja qualquer contato com o cartão. Ande a um metro de um leitor malicioso de RFID e, sim, você pode ser hackeado.

Com o tempo, a distância necessária tende a aumentar: alguns especialistas em hackers por radiofrequência preveem o aumento do espaço exigido para cerca de cem metros nos próximos cinco anos -- o que possibilitaria que hackers coletassem milhares de cartões por hora somente por frequentarem lugares movimentados.

Se você tem cartões que usam radiofrequência, pode comprar “escudos” e carteiras de defesa gastando entre US$ 25 e US$ 50. Felizmente, a tecnologia para hackear esses dispositivos é mais usada por “hackers éticos” em demonstrações do que agressores reais e os especialistas esperam um crescimento no número de cartões habilitados por chip, que desapareceriam com o hack de RFID antes que ele produzisse dano substancial com o aumento de seu alcance.

BadUSB

Ano passado, pesquisadores demonstraram que cerca de metade das entradas USB instaladas nos computadores podem ser comprometidas por um dispositivo malicioso. Basta plugar um aparelho USB a um computador desavisado e ele executará automaticamente qualquer comando configurado, desviando de todos os controles de segurança, firewalls e software antimalware ativos.

Não há nenhuma defesa para a tática de exploração (batizada de BadUSB) além de danificar fisicamente a porta ou prevenir qualquer acesso físico não autorizado. Pior, não há como saber se uma chave USB plugada a um computador contém BadUSB. É também impossível descobrir se a chave infectada foi espalhada intencionalmente por um amigo ou associado, já que poderia ter acontecido sem seu conhecimento, acabando por contaminar outro computador por acidente – ou um planejamento bem calculado.

Stuxnet

O Stuxnet é o ataque mais avançado já registrado e, facilmente, o malware mais perfeito escrito até hoje. Ele não recorreu ao BadUSB, mas se espalhou via chaves USB e um método de execução USB até então desconhecido, juntamente a três outros ataques de dia zero.

Descoberto publicamente em junho de 2012, o Stuxnet levou o conceito de cyberwar a ser reconhecido como uma batalha real, capaz de causar danos físicos. Especula-se que o malware tenha sido desenvolvido em colaboração entre os Estados Unidos e Israel para frustrar o programa nuclear do Irã, embora nenhum dos dois países tenha reconhecido a autoria.

A infiltração de malware nas instalações nucleares isoladas e de alta segurança foi considerada impossível por muitos especialistas em computação. Os criadores do Stuxnet alegadamente infectaram as chaves USB de consultores nucleares estrangeiros que trabalhavam nas centrífugas iranianas. Se eles sabiam o que carregavam, fica para especulação.

O malware foi lançado pelas chaves USB, atuou nos computadores de gerenciamento dos reatores operados por Windows e então programou os próprios controladores lógicos das centrífugas. Uma vez lá, o Stuxnet gravou os valores normais de operação e os reproduziu enquanto criava condições fatais execução, destruindo boa parte dos equipamentos de controle e das centrífugas.

Uma revisão de código fonte feita por várias empresas e levou à conclusão de que exigiria de muitas equipes (compostas de doze membros cada) e um ano ou mais para criar o worm, tão avançada era sua programação. Contudo, desde a descoberta do Stuxnet, muitos outros também foram revelados. Por mais futurista que tenha sido na época, os especialistas creem que o Stuxnet tornou-se ponto de partida comum para os próximos programas de cyberwar. Começou a guerra fria cibernética.

Painéis de trânsito

Hackear as sinalizações eletrônicas de estradas, aqueles painéis com mensagens variáveis sobre o trânsito, é ilegal e pode gerar sérios problemas. Mesmo assim, é difícil não rir com as pegadinhas do gênero quando elas não prejudicam ninguém – caso da vez em que mudaram os dizeres de um painel inutilizado para “Atenção! Zumbis à diante”.

Nos Estados Unidos, alguns dos que praticam esse tipo de hacking são antigos funcionários do Departamento de Transporte, que programavam os sinais de trânsito como parte de seus trabalhos. Fato é que os manuais desses painéis eletrônicos estão disponíveis online e quase sempre contém senhas padrão (tão simples quanto “senha”, “visitante” e “público”). Os hackers só precisam descobrir o modelo do painel que desejam atacar e fazer o download do manual.

Para a maioria dos sinais de trânsito, é necessário o acesso físico a um painel trancado, mas isso não é um grande problema uma vez que o equipamento costuma ficar destrancado. Uma vez que o hacker obtenha o acesso físico, ele usa o teclado do console para logar-se em uma credencial padrão ou para visitantes. Feito isso, ele pode fazer o reboot do computador do painel enquanto obedece às instruções do manual, voltando a sinalização aos padrões do fabricante, incluindo as senhas.

Mesmo quando o painel tem credenciais distintas de usuário e administrador, a mensagem ainda pode ser alterada sem a necessidade de permissão – obrigatória somente para configurações de equipamento, como ventilação e energia.

O “livro de ordens” da NSA

Qualquer um que tenha ouvido sobre Edward Snowden sabe que a NSA possui, essencialmente, um “livro de ordens” para requisitar a execução de hacking avançado.Um deles, o Quantum Insert, é escolhido pela agência para o uso de ferramentas de injeção de pacotes, que redirecionam as vítimas em questão de um site a outro, onde podem ser manipuladas de forma mais extensa e de forma imperceptível.

Caso a página de redirecionamento for desenvolvida para se assemelhar bastante com a pretendida pela vítima, ela provavelmente não perceberá o que aconteceu. Criptografia aplicada (HTTPS) pode ajudar a frustrar o ataque, mas a maioria dos sites não a exige e os usuários não costumam habilitá-la quando é opcional. Esse ataque é feito desde 2005.

A NSA também pode exigir outros ataques, como por exemplo, a utilização de backdoors em equipamentos para monitorar o envio e o recebimento de dados de uma empresa ou órgão que trafegam por uma rede.

Já deve estar claro que a agência, assim como quase toda entidade estatal americana, pode espiar em qualquer dispositivo que desejem, sem que haja muito que fazer a respeito. Muitos desses aparelhos e software são criados por empresas privadas e disponibilizados para compra por qualquer cliente disposto a pagar.

Rompendo criptografia

Gary Kenworthy, da Cryptography Research, é especializado em revelar chaves criptográficas de diversos dispositivos antes tidos como seguros. Ele é capaz de monitorar remotamente a radiofrequência e as emissões de radiação eletromagnética dos aparelhos, descobrindo códigos binários que compõem sua chave de segurança – e tem o costume de fazê-lo em demonstrações ao redor do mundo.

Os avanços recentes de Kenworthy contra os dispositivos que deveriam nos proteger balançaram a comunidade criptográfica. Ele e sua empresa lucram com o fornecimento de proteção contra os ataques que ele demonstra, mas eles são reais e, essencialmente, reduzem a segurança da maioria dos dispositivos que rodam criptografia e não aplicaram as defesas sugeridas por ele.

Hack de carros

Os fabricantes de automóveis competem para ver quem coloca o maior número de funções possível em seus veículos. Portanto não surpreende que esses mesmos computadores sejam incrivelmente vulneráveis a ataques. Desde cedo, os hackers aprenderam a destrancar carros usando suas chaves remotas sem fio, também impedindo os donos de trancarem seus veículos enquanto pensam terem feito.

O Dr. Charlie Minner começou sua carreira hackeando dispositivos Apple e ganhando vários concursos Pwn20wn. Ele está entre os melhores hackers do gênero. Em 2013, junto de seu colega de pesquisa, Chris Valasek, demonstrou como controlar os freios e a direção de um Toyota Prius 2010 e de um Ford Escape usando interfaces de ataques físicos nas unidades de controle eletrônico e nos sistemas dos veículos. Felizmente, pelo menos esse método hacking não funciona wireless ou remotamente.

Ano passado, Miller e Valasek discutiram o hacking remoto e sem fio de 24 modelos de carros, elegendo o Cadillac Escalade, o Jeep Cherokee e o Infiniti Q50 como os mais vulneráveis. Eles conseguiram documentar que as ferramentas de rádio remoto dos veículos eram (ou poderiam ser) ligadas aos sistemas críticos de controle.

Também em 2014, o Senado americano emitiu um relatório indicando que virtualmente qualquer carro fabricado hoje em dia é hackeável. Agora, a indústria automotiva segue a solução encontrada pelas empresas de software: contratam hackers para ajudarem a melhorar a segurança de seus sistemas. Pense nisso na próxima vez em que estiver em uma concessionária, sendo tentado pelo modelo com o melhor Wi-Fi.

Fonte: IDGNOW