[In]Segurança Nacional? Exército é hackeado e tem 7 mil contas crackeadas
O
TecMundo recebeu com exclusividade informações bombásticas na manhã
desta segunda-feira. De acordo com uma fonte que não quis se
identificar, os servidores do Exército Brasileiro foram invadidos por
hackers na madrugada de domingo (8) e mais de 7 mil contas de militares
foram vazadas na internet.
A acusação é de
que o Centro de Defesa Cibernética (CDCiber) da corporação estavam
participando há tempos de competições do gênero “Capture the Flag” (ou
“Capture a Bandeira”, em português), na qual os times precisam usar
técnicas de hacking para atingir um determinado objetivo — que pode
envolver defender um computador pessoal ou invadir um sistema feito
especialmente para a maratona.
De acordo
com os invasores, o Exército Brasileiro participou de últimos grandes
eventos de CTF e ganhou os desafios usando uma técnica proibida
conhecida como “WiFi deauthentication attack” (ou simplesmente WiFi
deauth), eliminando os outros competidores da rede WiFi local e
permitindo que apenas seu próprio time pudesse jogar.
A
prática foi identificada pela primeira vez durante o Hackaflag PR, no
dia 17 de outubro, durante o Roadsec de Curitiba, e na qual um major do
exército foi o vencedor. A “trapaça” passou a se repetir em maior
escala durante a edição 2015 da Hackers 2 Hackers Conference (H2HC),
que foi organizada entre os dias 24 e 25 do mês passado em São Paulo
capital. Isso gerou inúmeras desavenças entre participantes da cena
hacker brasileira e militares nas redes sociais.
ADVERTISEMENT
Invasão e provocações
Como
retaliação, um grupo de hackers anônimos invadiu inúmeras bases de
dados e diversos servidores do Exército Brasileiro, tendo acesso a mais
de 7 mil contas em menos de oito horas. Todas as senhas, tal como uma
provocação nada sutil à corporação militar, foram publicadas neste documento de texto pelo serviço Pastebin. O “anúncio” do ataque teria sido feito pela primeira vez em uma lista de email chamada Brasil Underground.
Chega a ser vergonhosa a segurança do Exército Brasileiro
“Ficamos
sabendo que o Exército Brasileiro tem participado de jogos de Capture
The Flag e tem se exibido como um time de elite, utilizando seus
avançados ataques de deauth em redes wireless”, comenta um dos
invasores. “Chega a ser vergonhosa a segurança do Exército Brasileiro,
cada sistema possui vulnerabilidades críticas”, complementa. Até mesmo o
controlador de domínios foi sequestrado pela equipe.
As
provocações não param por aí. Os hackers ainda orientam que façamos a
“lição de casa”, usando os milhares de CPFs vazados para descobrir os
donos de cada uma das senhas e usar nos outros sistemas do governo
federal. Como bônus, um dos backdoors (falhas de segurança) encontrados
pelo time foi divulgado para quem se interessar em testá-lo.
Um desafio para os militares
No
fim do documento, os invadores propõem um desafio público ao Exército
Brasileiro: o Capture the Backdoor, ou CTB. Ao todo, são 10
vulnerabilidades, incluindo uma instalada na BIOS dos servidores. “Vocês
podem usar ataques contra infraestruturas sem sofrer penalização”,
afirma o grupo. E eles avisam: o prazo final para encontrar todas essas
brechas é até os Jogos Olímpicos de 2016, marcados para começar no dia 5
de agosto.
Ao todo, são 10 vulnerabilidades, incluindo uma instalada na BIOS dos servidores
O
TecMundo conversou com outra fonte anônima ligada à cena hacker
brasileira — um jovem que já tinha tido acesso anteriormente à tais
backdoors e que afirma que as vulnerabilidades são antigas. “A cerca de
um ano atrás, um amigo meu falou que havia achado uma falha de POST SQL
Injection em um subdomínio do Exército, e que havia registrado todo o
banco de dados contendo CPFs e senhas dos militares”, afirma.
“Mas
ele não divulgou nada na internet, e só ontem descobri que mais alguém
além dele havia obtido acesso”, complementa o entrevistado. Essa
informação levanta uma questão bastante pertinente: se os backdoors são
tão antigos, como saber se eles já não estavam sendo usados há tempos
por cibercriminosos e até mesmo agências de espionagem de outros países,
para vigilância de dados militares do Exército Brasileiro?
Se os backdoors são tão antigos, como saber se eles já não estavam sendo usados por agências de espionagem de outros países?
Além
disso, fica a dúvida se realmente estaremos ciberneticamente seguros
durante as Olímpiadas — se os sistemas militares podem ser controlados
com tanta facilidade, como garantir que nossa infraestrutura estará
livre de ataques que certamente ocorrerão durante os jogos do Rio 2016? O
CDCiber ainda não se pronunciou sobre o vazamento e o desafio público;
atualizaremos esta matéria
Tiro saiu pela culatra: Banco disse que deve substituir o dinheiro para os herdeiros (Foto: SXC)
Parte do carro entrou na residência, de acordo com a Semob (Foto: Walter Paparazzo/G1)
Corpo de garoto foi encontrado uma hora depois de sumir no rio (Foto: Arnaldo Alves/ Site ItapebiAcontece.com)
Menino tentou salvar irmão e morreu afogado