redecastorphoto: Os “hackers” não devem divulgar as falhas de segurança que descubram

29/11/2012, *Andrew (‘weev’) Auernheimer, Wired

“Forget Disclosure — Hackers [1] Should Keep Security Holes to Themselves”

Traduzido pelo pessoal da Vila Vudu

*Andrew (‘weev’) Auernheimer é rato de internet, condenado duas vezes por crimes consecutivos de hacking de computadores; tem nos costados mais de uma década de trabalho com C, asm, Perl e de furiosa militância no IRC [2]. É militante ativo na luta pela liberdade e, em breve, será prisioneiro numa prisão federal dos EUA.

NOTA DO EDITOR: O autor dessa coluna, também conhecido como “weev”, foi condenado, semana passada por invasão de computadores, depois de capturar, da página internet da empresa AT&T, uma lista não protegida de endereços de e-mails de mais de 100 mil proprietários de iPad, e entregá-la a um jornalista. A sentença definitiva deverá ser pronunciada dia 23/2/2013.

Nesse exato momento há um hacker por aí, em algum lugar, produzindo uma exploração zero-day [3]. Quando terminar, sua exploração permitirá que qualquer pessoa que conheça o caminho tenha acesso a milhares – eventualmente, a milhões – de sistemas de computadores.

Mas o momento crítico não é a produção; é a distribuição. O que o hacker fará com o que obtiver em sua exploração? Eis o que pode acontecer depois de a falha/brecha no programa ter sido descoberta:

O hacker decide vender a terceiros o que encontrou. O hacker pode vender sua exploração a agentes inescrupulosos que vivem de comprar e vender informações de segurança, oferecendo o produto como “a proteção”. Ou o hacker pode vender o que encontrou a governos repressores, que podem usar a descoberta para espionar ativistas que protestam contra o mesmo (ou outros) governos opressores. (Há casos conhecidos de governo, entre os quais o governo dos EUA, que usam saberes obtidos de hackers para invadir qualquer coisa, inclusive outros serviços de inteligência doméstica e de países estrangeiros).

O hacker avisa o proprietário do sistema falhado, o qual pode – ou não – “remendar” [to patch] a falha. O proprietário/vendedor do sistema falhado pode “remendar” o programa vendido a clientes preferenciais (tradução: os que pagam mais caro), antes de remendar o programa vendido a clientes “comuns”. Ou o proprietário/vendedor pode decidir não distribuir o remendo, porque a análise custo-benefício feita por um de seus MBAs-empregados “mostra” que é mais barato não fazer, simplesmente... coisa alguma.

O proprietário/vendedor distribui o “remendo”, mas os clientes demoram a baixá-lo e instalá-lo. Não é raro que grandes usuários procedam, eles mesmos, às suas próprias testagens – e muitas vezes encontram falhas em programas, antes do proprietário/vendedor do programa; nesses casos, acontece frequentemente de o usuário produzir e distribuir “em casa”, para ele mesmo, remendos melhores. Tudo isso significa que os “remendos” distribuídos pelo proprietário/vendedor podem permanecer durante meses (às vezes, anos), sem serem usados pela grande maioria dos clientes/compradores/usuários.

O proprietário/vendedor cria um executável blindado com métodos anti-investigação e peritagem policial, para impedir a engenharia reversa. É o modo certo para aplicar remendos. Também é procedimento caríssimo, intensivo em mão de obra – o que implica dizer que só muito raramente é usado. Assim sendo, descobrir vulnerabilidades é tão simples quanto desarrolhar o executável velho e meter ali o novo executável, num IDA Pro debugger com BinDiff, para comparar e ver o que mudou num código disassembled. Já disse: é fácil.

Basicamente, explorar as vastas massas não remendadas é jogo fácil para qualquer explorador. Todos têm, cada um, seus próprios interesses a proteger. E os interesses de cada proprietário nem sempre coincidem com os interesses dos usuários.

As coisas não são tão preto ou branco

Proprietários/vendedores são motivados a proteger os próprios lucros e os interesses dos acionistas, acima de qualquer outro interesse. Os governos são motivados a valorizar acima de tudo os interesses da própria segurança, muito mais que os interesses e direitos individuais dos próprios cidadãos, e muito mais, ainda, que os interesses e direitos de outras nações.

E, para muitos atores do campo da segurança da informação, é muito mais lucrativo vender novos tratamentos, que nunca param de surgir, para tratar sintomas de doenças, do que vender a cura definitiva.

Muito claramente, nem todos os atores agirão eticamente ou competentemente. Além e acima de tudo, o hacker original raramente é pago por seu trabalho altamente qualificado, que exige alta e raríssima disciplina científica, e que visa a melhorar o programa do vendedor/proprietário e, em última análise, a proteger os usuários.

A quem contar o que só você sabe? Resposta: a ninguém; a absolutamente ninguém.

White Hat Hackers

Os cartolas brancas [4] são os hackers que decidem revelar o que descobrem: ao proprietário/vendedor ou ao grande público. Esses chamados “cartolas brancas” do mundo têm seu papel, distribuindo, com suas descobertas, também novas armas digitais.

O pesquisador Dan Guido fez a engenharia reversa de todas as ferramentas (“vírus”) usadas atualmente para exploração em massa (como Zeus, SpyEye, Clampi e outras). Suas descobertas sobre a fonte das explorações/ataques, divulgadas pelo Exploit Intelligence Project [5], são bem claras:

Os chamados cartolas brancas do mundo vêm desempenhando um papel na distribuição de armas digitais.

- Nenhuma das explorações usadas para exploração em massa foi desenvolvida por autores de programas-vírus [mal-intencionados].

– Diferente disso, todas as explorações vieram de “Advanced Persistent Threats” [Ameaças Persistentes Avançadas] (termo que a indústria usa para designar estados-nação) ou de descobertas feitas por cartolas brancas.

– Descobertas feitas por cartolas brancas correspondem a 100% das falhas lógicas usadas para ataques.

Os criminosos, segundo Guido, realmente “preferem o código dos cartolas brancas”, porque funciona de modo muito mais confiável que códigos distribuídos por fontes do submundo. A maioria dos autores de vírus não têm, de fato, a sofisticação necessária para alterar explorações já operantes e aumentar-lhes a efetividade.

Navegar pelo cinza

Alguns hackers de visão ampla da rede de computadores EFnet [6], rede de membros anônimos, anteviram com clareza, há 14 anos, o atoleiro de conflitos morais em que se converteria a questão da segurança de dados. Sem qualquer interesse em acumular riqueza pessoal, eles deram o primeiro passo do movimento de defesa da ética no campo dos computadores conhecido como Anti Security [literalmente, “antissegurança”] [7], ou “antisec”.

Os hackers do movimento Antisec focaram-se no movimento de investigação/exploração como atividade de disciplina intelectual, quase espiritual. Os Antisec não eram – não são – “grupo”; são, mais, uma filosofia com uma única posição nuclear:

Uma exploração é arma poderosa, que só deve ser exposta a pessoa que você tenha certeza (por conhecimento resultante de experiência-contato pessoal) que sempre agirá no interesse da justiça social. [8]

Afinal de contas, entregar o resultado de uma exploração a entidades sem essa ética fará de você parte dos crimes que venham a ser cometidos. É exatamente como entregar um rifle a quem você saiba que matará alguém.

Entregar o resultado de uma exploração a entidades sem ética fará de você parte dos crimes que a entidade cometa

Lulz Sec

Apesar de o movimento já ter mais de uma década de existência, a expressão “antisec” voltou recentemente aos noticiários. Mas, agora, creio que atos criminosos sancionados pelo Estado, estão sendo apresentado como se fossem atos de antisec. Por exemplo: Sabu, do movimento Lulzsec, foi preso pela primeira vez dia 7/6/2011; seus atos foram rotulados como “antisec” no dia 20 do mesmo mês. Significa que tudo que Sabu tenha feito sob esse rótulo foi feito com pleno conhecimento e, provavelmente, com a cumplicidade, do FBI. (O que inclui a divulgação pública de tabela de dados de autenticação que comprometeram a identidade de, possivelmente, milhões de indivíduos, pessoais e privados).

Essa versão de antisec nada tem a ver com os princípios sobre os quais se baseia o movimento antisec do qual estou falando.

Mas o pessoal envolvido em atividade criminosa – os hackers que tomaram a decisão moralmente falhada de vender suas explorações a governos – já começa a defender publicamente os seus pecados indefensáveis.

Nesse ponto, precisamente, é onde o movimento antisec oferece contexto e quadro cultural útil, além de uma filosofia-guia, para que se pense sobre as áreas cinzentas da atividade de hacking. Por exemplo, a função-chave, nuclear, do movimento antisec, define como absolutamente inadequado, para jovens hackers, cultivar qualquer tipo de relacionamento com o complexo militar-industrial.

Bem claramente, a exploração de programas de computação pode implicar abuso de direitos humanos e violações de privacidade. E bem claramente também, nós temos de fazer alguma coisa quanto a isso.

Mas não acredito em leis de controle sobre o desenvolvimento e a venda dessas explorações. Os que vendam explorações não devem ser impedidos de vendê-las – mas, se venderem, têm de ser declarados gente-do-mal.

Em tempos de ciberespionagem rampante e invasão dos computadores de dissidentes políticos, o único destino ético que você deve dar aos resultados de suas explorações de zero-day é revelá-los a alguém que os usará no interesse da justiça social. Nunca será o proprietário/vendedor, nunca será algum governo, nem nunca será alguma empresa comercial: sempre será uma pessoa, um indivíduo.

Em raros casos, esse indivíduo talvez seja um jornalista que poderá amplificar o desmascaramento e a vergonha pública de algum operador de aplicativo para a rede. Mas, em muitos casos, o dano de expor as multidões de usuários que usam programas não remendados (e de desperdiçar o potencial da exploração, que deixa de ser usada contra governos opressores) ultrapassa, em muito, qualquer benefício que se obtenha por denunciar o erro ou o crime de uma empresa proprietária/vendedora. Nesses casos, a filosofia de antisec brilha como moralmente superior; e você não deve revelar a ninguém os resultados de sua exploração.

Assim, portanto, é hora de o movimento antisec voltar ao diálogo público sobre a ética de expor explorações. É o único modo que há para armarmos o pessoal do bem – sejam lá quem forem – pelo menos dessa vez, para variar.

Notas dos tradutores

[1] O verbo to hack significa, originalmente, o movimento que se faz com um facão ou foice, para abrir uma picada em mato fechado. Metaforicamente, passou a designar a ação de abrir acesso a programas e computadores, para ver, copiar ou introduzir dados. Opõe-se ao verbo to crack, em que o processo de entrar em programas (mal) protegidos é feito com intenção criminosa.

[2] Internet Relay Chat (IRC) é um protocolo de comunicação utilizado na Internet. É usado basicamente para bate-papo (chat) e troca de arquivos, permitindo a conversa em grupo ou privada. Foi documentado formalmente pela primeira vez em 1993.

[3] Zero Day Exploit – [lit. exploração de dia-zero] Exploração cibernética feita através de uma vulnerabilidade em programa, da qual o desenvolvedor do programa não se tenha apercebido e que é descoberta pelo hacker. A expressão é usada no sentido de que o desenvolvedor do programa terá zero dias para trabalhar num patch [remendo, conserto], antes de um possível ataque (Urban Dictionary).

[4] Orig. Whitehat. Sobre os “cartola-branca”; Urban Dictionary (em inglês)

[5] “The Exploit Intelligence Project v2” (vídeo em inglês)