Read, hack, repeat

Os jovens hackers brasileiros que se especializaram em sistemas industriais

Ramon de Souza

O universo hacker sempre foi — e provavelmente continuará sendo — um tanto atraente para o público jovem. Hoje em dia, já não é mais incomum encontrar menores de idade estudando técnicas de invasão e defesa de computadores, trocando conhecimentos em plataformas de comunicação ou até mesmo organizando operações em conjunto.

Alguns deles foram seduzidos pelo lado negro da força, se aproveitando de brechas em sistemas para roubar dados e comerciá-los nas entranhas da web; outros se dedicam a atacar sites por motivos políticos como protestos. Há também os golpistas mirins que produzem e utilizam páginas falsas para aplicar phishing e desviar dinheiro de internautas desavisados.

O Data Group, felizmente, não se enquadra em nenhum desses perfis.

Eu conheci essa pitoresca equipe em março deste ano, ao investigar uma vulnerabilidade encontrada pela própria em um subdomínio do site da montadora Ford. Embora estivéssemos conversando sobre uma simples falha de injeção SQL, o fundador do grupo, João Teles, mineiro de apenas 15 anos, deixou bem claro qual é o principal foco de sua organização: estudar segurança em sistemas de controle industrial (ICS) e outras infraestruturas críticas.

Sistemas de controle industrial possuem vulnerabilidades perigosas (Reprodução: SNC Innovation)

Aye aye, captain

Teles, que atende pelo codinome de C4pt41n, fundou o Data Group em 2017. Ele começou a estudar informática aos 13 anos e, aos 14, se interessou por segurança da informação. Ao lado deles, temos o pernambucano Thiago Vinicius (Lasouris), de 17 anos, e o carioca Fex0r, de 16 anos, que prefere não revelar seu nome verdadeiro. Todos adoram jogar competições de capture the flag e, apesar da distância entre estados, conseguem manter uma interação sadia o suficiente para dar vida a pesquisas e projetos bem interessantes.

“Sempre tive interesse em computação no geral, mas me apaixonei por segurança da informação graças a ideia de obter acesso irrestrito a um sistema”, explica Teles, em entrevista à The Hack. “O principal motivo para a criação do Data Group foi a carência do Brasil na questão de grupos como o Syrian Eletronic Army e o SandWorm Team. O Brasil possui centenas de ‘times’ voltados a defacement e DDoS, mas sempre faltou um ‘time’ jogando do lado bom no jogo, um grupo que queria apenas ajudar empresas carentes no ramo de segurança da informação”, completa.

O recrutamento de novos membros é relativamente simples — além de estar alinhado com a proposta da equipe (um requisito óbvio), o interessado precisa completar um desafio na Hack The Box, uma famosa plataforma europeia que oferece simulações de testes de intrusão. Porém, uma vez que o Data Group preza pela qualidade, e não pela quantidade, existe uma política bem rigorosa em relação a eventuais “membros-fantasma”, que se ausentam das reuniões online.

“O Data tem como missão a conscientização em segurança e a proteção de infraestruturas. Somos contra qualquer tipo de monitoramento ou espionagem contra a população. Temos total convicção de que um povo não pode ficar no meio de guerra entre governos”, defende o fundador do grupo. “Nossa principal diferença, se comparado com outras ‘comunidades brasileiras’, é o ramo de atuação. Acreditamos que a maioria dessas ‘comunidades’ pregam ideais antiespionagem”.

Sistemas sensíveis

Recentemente, uma pesquisa da Trend Micro mostrou que 65% dos sistemas industriais utilizados ao redor do mundo estão utilizando softwares desatualizados e vulneráveis a uma série de ameaças cibernéticas. O relatório constatou que, na maioria das vezes, o problema está na aplicação de conectividade moderna a soluções muito antigas, o que abre brechas para ataques e malwares conhecidos no segmento. Além disso, a rotina trabalhista de uma infraestrutura crítica — que é forçada a estar operando 24 horas por dia, sete dias por semana — desestimula uma eventual pausa para eventuais atualizações.

Quando o assunto é segurança de ICS, é impossível não se lembrar do caso Stuxnet. Considerado a primeira arma cibernética já inventada, o malware foi descoberto em 2010 e foi projetado para atingir as centrífugas de enriquecimento de urânio em uma usina do Irã. Para atingir esse objetivo, o worm utilizou uma vulnerabilidade inédita em sistemas Windows para se replicar de computador para computador, até atingir os controladores lógicos programáveis (PLCs) da Siemens empregados pelos iranianos.

Um PLC, vale observar, nada mais é do que um computador feito especialmente para comandar maquinários industriais, geralmente obedecendo as ordens de um Sistemas de Supervisão e Aquisição de Dados (SCADA), que nada mais é do que um software de administração centralizado. O Stuxnet não fazia mal algum a dispositivos domésticos; ele apenas descarregava sua carga maliciosa caso detectasse a existência de um SCADA na máquina infectada.

Stuxnet foi usado para atingir a usina de Natanz, no Irã (Reprodução: Langner)

Apesar desse episódio ser o mais icônico no mundo da segurança de ICS, ele não é o único. Vale a pena citar também o BlackEnergy, que desde 2014 é utilizado por um grupo de hackers para infectar, sobretudo, empresas do segmento de energia elétrica da Ucrânia, embora tenham sido registradas vítimas em outros países. Também não faltam notícias na imprensa internacional a respeito de vulnerabilidades encontradas em sistemas usados em postos de gasolina.

Questionado sobre o motivo que levou o Data Group a se especializar nesse assunto, Teles afirma: “Nós escolhemos esse ramo pelo impacto que ele pode causar. Um ataque bem-sucedido pode causar desde um simples apagão até uma guerra convencional”, explica. De acordo com o pesquisador, países que estão constantemente sofrendo atentados cibernéticos — como EUA, China e Rússia — investem mais em tal segmento.

Aliás, o assunto é tão crítico que, em algumas nações, existem políticas e programas no melhor estilo “caça aos bugs” para incentivar a divulgação responsável de vulnerabilidades encontradas em infraestruturas críticas. No Brasil, porém, “a segurança é menos presente e temos desde sistemas desprotegidos e com senhas-padrão até softwares sem atualizações”.

Com um ataque certo, podemos atingir um PLC de uma empresa de distribuição de água, fazendo com que a água tenha mais cloro do que deveria.

As constantes pesquisas do grupo já renderam descobertas fascinantes — e perigosas. Além de uma companhia de saneamento básico, Teles garante que, recentemente, obteve acesso aos sistemas de monitoramento da Companhia Energética de Minas Gerais (CEMIG).

O futuro dos ratos

Com o objetivo de impulsionar ainda mais o nome do Data Group — que, curiosamente, utiliza ratos como seu símbolo na internet —, a equipe recentemente lançou um site para concentrar suas pesquisas e oferecer serviços de pesquisas corporativas em segurança cibernética. Sabendo que sistema algum é 100% seguro, o time também resolveu manter um programa de bug bounty próprio, recompensando aqueles que encontrarem alguma falha em sua própria página oficial.

(Reprodução: Data Group)

“A comunidade pode esperar um Data Group cada vez melhor e com pesquisas cada vez mais avançadas. Além de argos voltados para ICS e IoT, também teremos argos voltados para rádio hacking e satélite hacking”, afirma Teles. “Vamos deixar o Brasil mais seguro com a colaboração de todos.”

Share twitter/ facebook/ copy link
Please enter at least 3 characters 0 Results for your search

Que tal falar conosco sobre parcerias e oportunidades?

Vamos tomar um café. Mande um email para hello@thehack.com.br.