​Como Pegar um Hacker no Pulo

"Hoje, no dia 25 de março de 2014, o PayPal está lançando novo programa de pesquisa. Todos os clientes estão convidados participar. Leva só 5 minutos e, pelo seu esforço e compreensão, o PayPal selecionará a maioria dos clientes que fazer a pesquisa para dar uma prêmio de $25,00."

Esse é o tipo de assassinato gramatical que jorra nas nossas caixas de entrada diariamente, pedindo para que o destinatário clique em um anexo com malware que, espero, quase todos ignorem.

Mas em nome das pesquisas sobre segurança da informação, algumas pessoas estão virando a mesa em relação ao dilúvio diário de más intenções. Elas estão configurando os chamados "honeypots" ("potes de mel"), como são conhecidos na indústria: servidores de internet falsos que parecem reais e são utilizados por equipes de segurança para atrair hackers, com o objetivo de entender suas técnicas e softwares maliciosos mais recentes.

No começo do ano, nas profundezas da cidade de Londres, a capital financeira da Europa, conversei com um grupo de testadores de penetração (hackers éticos que furam os sistemas de seus clientes para descobrir onde estão as brechas) que concordou em criar novos honeypots e demonstrar para mim como eles funcionam. Eu queria saber mais sobre como os honeypots são construídos, e se podemos vislumbrar algum padrão se adicionarmos armadilhas fresquinhas em novos locais.

Honeypots normalmente são criados em servidores virtuais privados – lugares rentáveis para hospedar coisas na internet. Logo após comprar um terreno baratinho, você pode baixar softwares de honeypots; neste caso, usamos programas chamados Dionaea e Kippo. É como instalar um novo sistema operacional numa máquina burra, e criar para os hackers o que parece ser um servidor genuinamente vulnerável. Na verdade, nenhum dos atributos do sistema funciona, mas parecem reais o suficiente.

Se tudo der certo, os hackers irão encontrar os servidores, buscar fraquezas e invadí-los, seja lá qual forem os motivos. É como gerir uma casa para hospedar ladrões – exceto que, quando descobrem que não há nada dentro, ficam por lá e começam a tentar roubar coisas ou criam uma base para armazenar ferramentas criminais. Enquanto isso, como donos da casa, os funcionários de segurança assistem, gravam os movimentos maliciosos e os impedem de fazer algo perverso aos usuários da internet.

Em um mundo ideal, os honeypots deveriam ser colocados em locais onde prolifera a criminalidade digital, para que assim quem os gerencia possa obter mais conjuntos de dados de ataque para entender o que os hackers estão tramando. Bem no comecinho de março, Andy Swift, um dos testadores da empresa de consultadoria Hut3, comprou alguns servidores virtuais privados nas seguintes quatro áreas: China, Rússia, Cazaquistão e Cingapura.

Segundos após dar vida aos honeypots, agressores se aglomeraram nos servidores fictícios; suas ferramentas de busca rapidamente identificaram as máquinas vulneráveis. A maioria dos hackers não percorre a internet na tentativa de identificar uma infinidade de vulnerabilidades. Em vez disso, promovem buscas incessantes por máquinas fracas, onde suas façanhas e invenções funcionem, com ferramentas como o Masscan. "Isso é muito mais rápido e eficiente para iniciar um ataque especítico", conta Swift. Como as máquinas de honeypot contêm todo tipo de vulnerabilidade, atraem vários tipos de hacker.

Em apenas cinco minutos, o honeypot chinês já havia atraído 19 hackers diferentes, que tentaram mil maneiras de invadir o servidor e explorá-lo. No dia seguinte, o número de endereços IP maliciosos conectados ao servidor atingiu 431. É um aumento de 22 vezes em 24 horas. "Esses padrões inciais são muito mais altos do que tudo que já vimos," disse Swift, experiente em criação de honeypots, uma das atividades de sua empresa, a Cyber Intelligence Network.

Poderia ser um tema para o projeto honeypot todo: a China estava explodindo de atividades ilícitas. No final de março, 3.879 ataques diferentes haviam sido registrados no honeypot chinês, e entre eles, amontoaram-se 36 tipos diferentes de malware no servidor. A maioria dos ataques (um total de 2.003) originou na China também. Tanto na máquina de Cingapura quanto do Cazaquistão, a China foi a origem da maioria dos ataques, com 1.266 entre 4.179 e 425 entre 1.481 ataques, respectivamente.

Isso não significa, necessariamente, que os agressores eram todos chineses; poderiam simplesmente estar usando máquinas alugadas na China. Mas, ainda assim, isso nos dá uma ideia da intensidade do tráfego de ataques que passa pelos sistemas da superpotência asiática. O mapa abaixo, que foi alimentado com dados de todos os honeypots de Swift, incluindo os novos, aponta os Estados Unidos e a China como os dois lugares mais movimentados quanto a atividades digitais nefastas.

O gráfico abaixo mostra quão à frente a China está em termos de número de ataques. Também mostra o impacto dos nossos honeypots recém-adicionados no número de ataques e no "nível de ameaça", visto que março exibe um notável crescimento de incidentes. De novo, isso se deve, em grande parte, a atividades que vêm da China.

O Andy conseguiu filmar um ataque passando pelo honeypot chinês, que também originou da China. Aqui, vemos o hacker entrando no honeypot através de um terminal, por meio do serviço de protocolo de transferência de arquivos (FTP). (Os armazéns FTP nada mais são do que espaços onde pessoas podem guardar seus arquivos e enviá-los com facilidade).

O hacker chuta "root" ("raiz") como nome de usuário e "password" ("senha") como senha, informação que não aparece no terminal por prevenção, caso calhe de algum bisbilhoteiro do mundo real passar em frente à tela. O hacker não sabe que o honeypot aceitará qualquer senha. (Note que os comandos dele estão visíveis ao lado de "ftp>", e que escondemos o endereço IP.)

Primeiro, você vai vê-lo digitar "dir", um comando que solicita um diretório que lista tudo que está no honeypot. O diretório está vazio, é claro, então o hacker executa o comando "help" ("ajuda") para conseguir a lista completa de ações possíveis que ele pode efetuar no falso servidor FTP. Depois, tenta subir um malware usando o comando "put" ("inserir") para transferir um arquivo chamado "sdklfsdlk.exe." O arquivo é um keylogger básico para Windows que capta toda entrada de senha do usuário e a transfere de volta para o computador do hacker. Isso pode ser usado em diversos cenários, mas os hackers curtem operar keyloggers para descobrir as senhas de banco dos usuários, ou qualquer login que passe pela máquina infectada.

No entanto, o agressor mostra que suas habilidades são um tanto rudimentares, de acordo com Swift. "Primeiro, ele subiu um malware para Windows em um sistema operacional UNIX, que nunca vai funcionar", disse. "Segundo, tentou executar o malware para Windows a partir de um servidor FTP baseado em UNIX. Confuso, o agressor digita 'help' de novo, sai do servidor, deixando o malware lá, e provavelmente ruma para o próximo alvo."

Já na Rússia, onde esperávamos ver bastante movimento, o honeypot se mostrou bem quieto em relação ao chinês, com apenas 694 ataques no mês inteiro – menos que Cingapura e Cazaquistão também. Mas o país, famoso por ser um antro de softwares maliciosos, testemunhou o malware mais interessante e singular que passou pelos sistemas. Duas peças de software malicioso chamaram nossa atenção em particular. O primeiro, chamado Atak, foi um worm de email, um tipo de malware que distribui cópias de si mesmo em arquivos anexos a mensagens de email automatizadas.

A partir do momento em que infectam a máquina, esses worms procuram contas de email para enviar mais mensagens e continuar a se proliferar. "O Atak busca outras máquinas para se espalhar pela rede local, e também procura múltiplos servidores SMTP [servidores para envio e recebimento de emails], especialmente os que pertencem ao Google (Gmail)", Swift explicou. "Geralmente, usam isso para enviar spam ou emails com o próprio software, para que se espalhe para outras máquinas."

O segundo se chamava Virut, um tipo de malware que agressores usam para configurar as redes das máquinas infectadas, chamado botnet, famoso por furtar dados e enviar spam. No começo do ano, o operador do grande domínio polonês ".pl", Naukowa i Akademicka Sieć Komputerowa (NASK), assumiu o controle dos domínios usados por controladores do Virut, numa tentativa de desligá-lo. Muitos suspeitaram que o malware sobreviveria, visto que alguns de seus servidores-mestres estavam situados na Ruíssia – e o honeypot provou que botnets do Virut seguem firmes e fortes.

"Esse pequeno malware vem em diversos tipos. É muito interessante, pois tem habilidades que obscurecem pontos de entrada: basicamente, também consegue assumir o controle e injetar-se no arquivo executável que bem entender," contou Swift. "Além disso, o próprio malware, uma vez executado, conecta-se a um servidor IRC [protocolo da internet voltado para bate-papos] em que o distribuidor pode controlar e emitir comandos arbitrários ao malware." Isso significa que uma máquina infectada está nas mãos do hacker.

A beleza do honeypot russo de Swift está em sua capacidade de zombar do hacker, em vez de apenas registrar seus movimentos. No vídeo abaixo, é possível ver um hacker caindo na armadilha, atormentado por um emoticon de passarinho.

Aqui, um hacker entra no sistema e digita o comando "wget", que recupera arquivos ou páginas da web de um servidor da web, no caso, um arquivo chamado f.tgz. Assim que é baixado na máquina de honeypot, o agressor descomprime o arquivo, que contém uma série de scripts – kits de ferramentas maliciosas em potencial, para ataques posteriores.

Em seguida, ele altera o diretório usando o comando "cd" e um diretório chamado "fresh", enquanto tenta executar um dos arquivos maliciosos, que foi batizados apenas de "a". É aí que o sistema faz o agressor de bobo, recusando-se a executar o script malicioso. No lugar, o terminal mostra uma coruja feita de caracteres, acompanhada das palavras "O RLY?" ["SÉRIO MESMO?"]. O agressor fica evidentemente atordoado e digita um comando "yes", ao que a coruja responde: "NO WAI!" ["NEM FERRANDO!"] É sério.

No meio do caminho de um mês de projeto, Swift decidiu que queria flagrar alguns difusores de spam em ação. Ele configurou o que chamamos de relay SMTP aberto – basicamente, um servidor que pode ser hackeado com facilidade para enviar um monte de spam por aí. Nosso servidor permitia com que um hacker invadisse e iniciasse uma campanha de spam, mas não deixava as mensagens irritantes atingir as caixas de entrada, de fato. Após somente duas horas, alguém conseguiu acesso ao servidor e tentou enviar mensagens oferecendo um "novo modelo de tênis Nike". Conforme costuma acontecer com spam, não havia nada além do interesse em traficar bens falsificados.

Apesar de todas as oportunidades aparentes que os honeypots pareciam oferecer aos hackers, com as incontáveis brechas de segurança completamente abertas, a maioria dos ataques só tinha como foco em adquirir espaço nos servidores para oferecer serviços telefônicos anônimos e baratos a pessoas em fóruns de hackers. Para fazer isso, um hacker confere se o SIP [Protocolo de Iniciação de Sessão] do servidor, usado para chamadas de v oz e vídeo entre endereços IP, está aberto.

Assim que assume o controle do serviço, costumam vendê-lo a difusores de spam telefônico e mercados ilícitos. Ao usar um servidor hackeado, vigaristas cobrem suas pegadas com eficiência quando fazem chamadas irritantes. Na pior das hipóteses, a porta SIP seria conectada a um serviço VoIP genuíno, e isso seria usado em abundância para fazer chamadas a um número especial, controlado pelo agressor. Os trapaceiros ganhariam uma bolada por cada ligação, então é um jeito fácil de ganhar dinheiro. Nos nossos honeypots, que não permitiam que chamadas se conectassem, eram puros hackers que viam valor na área.

Também bem comuns foram os ataques a uma antiga – mas ainda muito explorada – vulnerabilidade do Microsoft Windows, conhecida como MS08-67. É um ponto fraco bem conhecido do Windows 2000 até o XP, mas embora tenha sido corrigido várias vezes, Swift disse que muitas empresas ainda não consertaram o problema. "É a carne de vaca de testes de penetração," disse. "Encontramos isso toda hora. Se você se deparar com essa brecha no Windows 2003, com certeza acessará a máquina." (Você pode ver com que frequência diferentes sistemas operacionais foram alvos em um dos gráficos acima, "Ataques em Sistemas Operacionais.")

Agora que o nosso mês de projeto terminou, o que salta mesmo aos olhos é que muitos dos problemas antigos da internet não foram resolvidos. Ataques a SIP e spam continuam prósperos, embora sejam de conhecimento geral há anos. Empresas ainda fracassam em remendar sistemas para prevenir ataques, apesar das ofertas de assistência. A China, em especial, e a Rússia seguem hospedando uma quantidade alarmante de atividades digitais criminosas.

Uma pergunta óbvia então surge: como projetos de honeypots, que predominam em pesquisas há anos, ajudam de fato a reduzir a criminalidade digital? Muitas das principais companhias de segurança do mundo, da Symantec à Kasperksy, adminstram tais pesquisas. Ainda assim, o cibercrime continua em ascensão. Dados lançados pela Symantec em abril mostrarm que, em 2013, o número de quebra de sigilo de dados cresceu 62% em relação ao ano anterior, expondo aproximadamente a identidade de 552 milhões de pessoas.

Os honeypots podem não prevenir o crime online diretamente, mas está claro que são valiosos para os testadores. É porque o trabalho dos testadores não é acabar com atividades maliciosas, mas trabalhar com os contratantes para assegurar que sua infraestrutura esteja o mais segura possível. A pesquisa derivada de honeypots é apenas uma pequena parte do processo.

Agora mesmo, os criminosos digitais com quem entramos em contato procuram e exploram sistemas realmente vulneráveis. Embora tenha sido divertido ver hackers fracassarem e serem zoados por uma coruja, é difícil sair daqui sem se sentir preocupado com a segurança da internet como um todo.

Tradução: Stephanie Fernandes