terça-feira, 26 de março de 2013

Hacker relata censo ilegal que fez da Internet

[O artigo traduzido abaixo foi publicado no dia 22 deste mês de março, em inglês, no site Spiegel Online International.]

Em algum lugar deste planeta, há um hacker cujas emoções provavelmente estão oscilando entre orgulho e medo. Orgulho, porque conseguiu fazer o que ninguém havia conseguido fazer. E medo, porque o que fez é ilegal em quase  todos os países do mundo.  Essa pessoa mediu a Internet -- toda a rede pública como figurava em 2012.  Para realizar esse trabalho hercúleo, o hacker utilizou ilegalmente uma ferramenta que usava os computadores de outras pessoas ao redor do mundo.

Essa pessoa anônima queria descobrir quantos dispositivos que estavam online podiam ser abertos com a senha padrão "root", escreve ela numa espécie de relatório de pesquisa sobre o projeto, intitulado "Internet Census 2012". O resultado foi a descoberta de que há centenas de milhares de dispositivos cuja segurança depende apenas da mais comum das senhas padrões, ou que não têm senha alguma.

Um dos maiores grupos de dispositivos que encontrou foram os roteadores, um item com o qual recomendamos que os leitores se preocupem imediatamente. Roteadores recebidos por provedores de Internet provavelmente têm uma entre poucas senhas padrões de administrador, incluindo "root" ou "admin". Os fabricantes de roteadores supõem que os usuários mudarão essas senhas ao instalar esses equipamentos, mas isso raramente acontece.

"Como pôde ser visto pelos dados da amostragem, há dispositivos inseguros localizados praticamente em todos os lugares da Internet", escreve o hacker. Ele encontrou mais de um milhão de dispositivos que podiam ser acessados em escala mundial, "a vasta maioria deles roteadores ou conversores (set-top boxes) de usuários". Mas, há também outros tipos de dispositivos, como "sistemas de controle industriais" e "sistemas de segurança física de portas". Os riscos de segurança expostos pelo trabalho do hacker são perturbadores.

Claramente ilegal

Para evitar qualquer confusão ou mal-entendido, isso não se referiu a senhas de rede de área local sem fio (WLAN, em inglês), que usuários presumivelmente configuram com suas próprias senhas ou com as fornecidas na parte detrás dos roteadores. O foco foram as senhas padrões de administrador com as quais se pode acessar o próprio roteador. Essa interface do roteador não deve ser (não se supõe que seja) acessível via Internet -- mas, geralmente não parece ser esse o caso, de acordo com a pesquisa do hacker.

Quando o bot de escaneamento do hacker encontrava um roteador ou outro dispositivo com uma porta aberta e condições favoráveis, ele fazia o upload de uma cópia dele mesmo e, a partir daí, conduzia escaneamentos de outros dispositivos, tornando-se assim exponencialmente maior. Após apenas um dia, o hacker diz que tinha uns 100.000 dispositivos sob seu controle -- o núcleo da sua "Botnet Carna", cujo nome deriva da deusa romana dos órgãos interno e da saúde, que posteriormente foi associada a soleiras e dobradiças.

No total, a Botnet Carna utilizou cerca de 420.000 dispositivos para realizar um rápido censo da Internet, à medida que roteadores que estavam sob seu controle testavam (pinged) endereços IP e esperavam pelas respostas. Se um dispositivo respondesse, era incluído na contagem. A implementação desse tipo de botnet -- definida como um grupo de programas conectados via Internet que se comunicam entre si -- é óbvia e claramente ilegal. Botnets são usadas geralmente para o envio de spams ou para executar ataques de negação de serviço.

Mas a Carna foi usada apenas para contagem, e os 420.000 dispositivos não estavam disponíveis todos de uma vez. Cada vez que um era fechado e reiniciado, a Botnet Carna se retirava do hardware e tinha que ser reinstalada na operação de escaneamento seguinte.

Uma mensagem para o cumprimento da lei

O hacker quis se assegurar de que seu projeto de pesquisa ilegal produzisse o mínimo de dano possível. "Não tínhamos interesse em interferir na operação default do dispositivo, por isso não mudamos senhas nem fizemos qualquer alteração permanente", escreve ele. "Depois de um reboot o dispositivo voltava ao seu estado original, inclusive com senha fraca ou senha nenhuma, e sem mais nenhum de nosso binários ou dados armazenado nele". A botnet fez também o upload de um arquivo para cada dispositivo, com informações sobre o projeto e um email para contato "para fornecer um feedback para pesquisadores de segurança, ISPs e autoridades legais que possam perceber a existência do projeto". 

O software plantado foi criado para não ser detectado e usar o mínimo de recursos possível. "Fizemos isso de uma maneira a menos invasiva possível e com o máximo de respeito à privacidade dos usuários regulares do dispositivo", diz o hacker. Ele diz também que removeu uma botnet criminosa chamada Aidra de muitos dispositivos que a Carna passou a controlar. A Carna bloqueou a Aidra em todos os dispositivos em que estava presente -- mas apenas até o próximo reinício.

Desnudando as falhas de segurança da Internet

Mas, os proprietários dos dispositivos capturados pela Carna podem não considerar o projeto inofensivo, mesmo que as intenções do hacker pareçam sê-lo. Ele colocou online todo o conjunto de dados criado pelo seu censo da Internet, atraindo pesquisadores de segurança de TI, assim como agências de inteligência e criminosos organizados para interpretá-lo, embora os bilhões de dados provavelmente demandem meses para produzir respostas mais exatas. Mas certos conjuntos de dados incluem informações sobre qual software está rodando nos dispositivos escaneados, e sobre que portas reagem e de que maneira para certos tipos de tentativas de contato. Isso pode poupar um bocado de trabalho para espiões e criminosos na procura de pontos vulneráveis.

Ao mesmo tempo, a ousada exploração feita pela Carna do hacker torna dolorosamente claro quão enormemente insegura é a Internet em muitos pontos, e pode estimular mudanças.

Então, quais foram os resultados reais do censo da Internet? Quantos endereços IP havia em 2012? "Isso depende de como você conta", diz o hacker. Uns 450 milhões estavam "em uso e atingíveis" durante seus escaneamentos. Depois, havia os IPs com firewall e os com registro reverso de DNS (o que significa que há nomes de domínio associados com eles). No total, isso equivalia a cerca de 1,3 bilhão de IPs em uso.  Esse número está em concordância com o que o famoso especialista em segurança HD Moore, CEO da companhia de teste de vulnerabilidade Rapid7, encontrou por vias legais no ano passado. Moore disse ao site de notícias de TI ArsTechnica que os resultados encontrados pelo projeto Carna parecem ser "bastante precisos".

O último grande censo da Internet, o "Internet Protocol Version 4 Census" (IPv4) em 2006, revelou a existência de cerca de 187 milhões de endereços IP visíveis. Ou seja, a Internet está crescendo rapidamente, ainda que esses números sejam um tanto nebulosos.

A última foto instantânea?

É importante observar que esses números não indicam o número de computadores que estão online. Por trás de cada endereço IP há vários, algumas vezes dezenas ou mesmo centenas de dispositivos. Os dados também não revelam nada sobre o tamanho dessas intranets. A Carna podia ver apenas os computadores de acesso na Internet pública.

O IPv4 ainda é válido, e indica o tráfego da Internet para cerca de 4,3 bilhões de endereços, dos quais uma quantidade é reservada para usos especiais. O criador da Carna estima que cerca de 2,3 bilhões de endereços IP estão inativos no contexto do IPv4, como já estavam antes. A introdução de um substituto do IPv4, o IPv6, já está entretanto há muito tempo encaminhada. A versão IP mais recente aumentará o número de endereços tão radicalmente -- englobando algo como 340 sextilhões [um sextilhão significa o número 1 seguido de 36 zeros (na Alemanha (caso deste texto) e no Reino Unido esse é o conceito de sextilhão;  nos EUA, na França e no Brasil sextilhão é o "1" seguido de 21 zeros -- vê-se pois a diferença brutal entre as duas quantidades de mesma denominação nos dois sistemas; repito que o texto original deste artigo adota o sistema alemão)] -- que escaneamentos similares [ao da Carna] dificilmente serão viáveis. O que significa que o escaneamento ilegal feito pela Carna é provavelmente a última foto instantânea da Internet do IPv4.

Então, por que o hacker da Carna fez isso? "Vi a chance de, realmente,  trabalhar em uma escala "internética", comandar centenas de milhares de dispositivos com um clique do meu mouse, fazer escaneamento de porta (portscan) e mapear toda a Internet de uma maneira que ninguém fizera antes e, basicamente, me divertir com computadores e com a Internet de uma maneira que muito poucas pessoas farão um dia", escreveu ele.

O mapeamento da Internet feito pelo hacker da Botnet Carna (clique nas imagens para ampliá-las) - Todas as fotos são da Spiegel Online.

Um mapa-mundi das medições da Botnet Carna de cerca de 460 milhões de endereços IP que responderam a solicitações de conectividade (ping requests) em junho e outubro de 2012. Endereços IP não devem ser confundidos com computadores individuais online -- eles podem abrigar vários dispositivos. As cores indicam o uso da Internet em escala mundial, de azul (menos) a vermelho (mais). A maioria das respostas vieram de cidades grandes como Tóquio, Seul, Paris, Nova Iorque, Washington e São Paulo. Enquanto isso, a África Central, o "outback" (grande área remota e árida) da Austrália e a Coreia do Norte são quase completamente negras.

Esta imagem parada de um GIF [Graphics Interchange Format] com animação (ver imagem seguinte) mostra a flutuação no uso da Internet entre dia e noite. Áreas em cinza claro indicam tempo diurno, com cores vivas para indicar uso pesado nos EUA ou Austrália. Áreas sem o sombreado cinza indicam tempo noturno, que correspondem aos poucos pontos azuis que indicam atividade baixa, ou menos IPs com resposta. 

Essa fascinante GIF animada mostra o ritmo do uso da Internet do dia para a noite. A atividade maior ocorre durante o dia, onde os pontos são vermelhos e amarelos. Eles ficam azuis durante a noite, quando mais dispositivos estão desligados. (Favor observar que essa foto infelizmente não mostra ou inclui dispositivos móveis).

 Esta imagem mostra todos os 420.000 dispositivos acessados pela Botnet Carna em 2012. Eles serviram de ferramentas para o escaneamento da Internet feito pelo hacker, que encontrou muitos deles na China, no Brasil e na Índia. Aqui, também, as cidades são claramente identificáveis -- como são as áreas em que o uso da Internet é particularmente elevado -- nos EUA e na Europa. 

 A Internet em 2006 e 2012: em seu relatório da pesquisa ele descreve sua abordagem e como visualizou os resultados (lado direito). No lado esquerdo ele mostra um gráfico do último grande censo da Internet em 2006, que foi feito legalmente. Naquela época, pesquisadores de várias universidades americanas contaram cerca de 187 milhões de endereços IP que responderam aos testes de contato. Dependendo de como os resultados são contados, a Botnet Carna encontrou entre 450 milhões e 1,3 bilhão de IP ativos -- o que mostra um crescimento maciço.







Nenhum comentário:

Postar um comentário