Dois white hat hackers contaram ao site da revista Wired como um contrato para averiguar a segurança de alguns prédios virou uma acusação de roubo.
Você sabe o que é engenharia social? No campo da segurança da informação, este termo é referente à manipulação de pessoas para que elas divulguem informações sensíveis, pessoais ou de uma organização, possibilitando um ataque cibernético.
Talvez o caso mais recente para exemplificar é o da invasão no Twitter, que aconteceu na segunda quinzena de julho de 2020. As contas de Barack Obama, Bill Gates, Elon Musk, Kanye West, entre outros, foram invadidas e compartilharam um golpe envolvendo bitcoins.
Considerada a maior invasão de segurança e privacidade na história do microblog, ela aconteceu porque um jovem de 17 anos convenceu um funcionário do Twitter de que ele trabalhava no departamento de TI da companhia.
Depois de conquistar a confiança, o jovem conseguiu as credenciais para acessar o portal de atendimento e, a partir dos perfis de personalidades, disparou tuítes pedindo a transferência de bitcoins.
Parece até cena de filme, mas incidentes de segurança do tipo são bem corriqueiros nas organizações. Neste cenário, muitas contratam pentesters (também conhecidos como white hat hackers) e outros engenheiros sociais para encontrar vulnerabilidades que vão além dos ambientes digitais.
Nota da redação:
Embora o trabalho de um pentester esteja relacionado aos testes de penetração nos sistemas (softwares/aplicações/banco de dados) de uma empresa, profissionais da área podem ser contratados para testar a segurança física do perímetro. Vale destacar que nem todos eles fazem uso também da engenharia social, podendo utilizar outros métodos.
Até porque, o fator humano continua sendo o elo mais fraco quando um evento de segurança acontece em uma organização. Saiba mais disso neste infográfico aqui.
Mas, o que acontece quando esses profissionais são pegos fazendo o que melhor sabem fazer: invadindo as empresas para encontrar vulnerabilidades?
Dois pentesters contaram ao site da revista Wired como um dia “normal” de trabalho se transformou em uma dor de cabeça de 5 meses e o Mundo + Tech destaca essa história abaixo.
O trabalho era simples: invadir prédios do Judiciário de um estado norte-americano
Justin Wynn e Gary DeMercurio são dois pentesters que, em setembro do ano passado, prestaram serviços para a Coalfire Labs, companhia de soluções de cibersegurança, baseada nos Estados Unidos.
Naquele mês, o estado de Iowa (Estados Unidos) fechou um contrato com a Coalfire Labs para identificar vulnerabilidades de segurança nas unidades judiciais e Wynn e DeMercurio seriam os responsáveis em invadir prédios espalhados pelos condados e relatar essas brechas.
O trabalho estava indo bem e Wynn e DeMercurio já relatavam como os prédios do estado eram vulneráveis a ponto de os dois instalarem pen drives para varrer os dados e até mesmo deixar um cartão de visitas na mesa do gerente de TI.
Os dois profissionais, pagos para invadir instalações físicas e não apenas hackear os sistemas, invadiram vários prédios de Iowa. A última investida, antes da dor de cabeça começar, foi o Tribunal do Condado de Polk, em 10 de setembro.
No entanto, nas primeiras horas do dia 11, os dois foram para o condado de Dallas. Lá, o objetivo era invadir o tribunal local, mas perceberam que a trava de uma porta não havia engatado, possibilitando o acesso a qualquer pessoa.
Como o contrato contemplava a verificação do sistema de alarme, os dois engataram a trava para a porta ser fechada e tentaram invadir normalmente, como fizeram nos outros prédios em dias anteriores.
Mas, se nos outros prédios eles perceberam que o sistema de alarme não funcionava e nem alertava a polícia, o mesmo não aconteceu no tribunal de Dallas. Com pouco mais de 30 segundos, os policiais foram alertados e, em menos de 5 minutos, vários já estavam no local.
Estado de Iowa não reconheceu contrato
Wynn e DeMercurio contaram que, ao se “entregarem” para a polícia, mostraram a documentação de que eles estavam trabalhando em nome da Coalfire Labs, contratada pelo estado de Iowa.
Por mais que o papel tivesse uma lista de contatos para a polícia verificar as informações, o xerife Chad Leonard não acreditou nos dois, com o argumento de que o tribunal não era propriedade do estado e sim do condado.
Os dois pentesters foram presos, acusados de invasão de propriedade e roubo e tiveram suas fotos com macacões laranjas publicadas na internet e noticiadas de forma ambígua pela agência de notícias Associated Press, como explicou a revista Wired.
Esse caso levantou uma grande discussão dentro da própria comunidade de profissionais de engenharia social e de segurança cibernética. Se antes as pessoas perguntavam “você já foi pego?” e os pentesters riam disso, agora eles encaram como um possível problema.
O motivo é que, quando Leonard ligou para um contato com o intuito de confirmar a identidade dos engenheiros sociais, o servidor público respondeu que não reconhecia os dois. Também ignorou as trocas de e-mails para discutir questões das invasões.
Além disso, o estado de Iowa não reconheceu o contrato com a Coalfire Labs e manteve essa postura em alguns comunicados para a imprensa. Para se ter uma noção, até mesmo o documento que comprovava o trabalho foi deletado do sistema do governo.
Momento de aprendizado, garantem os engenheiros sociais
Todo esse caso de Wynn e DeMercurio serviu de aprendizado para profissionais de cibersegurança. Nesse meio tempo, advogados da Coalfire Labs assessoraram a companhia a deixar os dois por conta própria, o que foi recusado pelo CEO, Tom McAndrew.
O CEO reuniu uma equipe para tentar tirar os dois da prisão e fornecer apoio enquanto o episódio desenrolava. Em fevereiro de 2020, quando Wynn e DeMercurio ainda enfrentavam acusações, os promotores desistiram de seguir adiantes.
Nesses 5 meses, os dois pentesters recusaram todas as acusações criminais e viram suas vidas profissionais em jogo. Por outro lado, questionaram a maturidade de segurança do sistema corporativo.
Isso porque, além deles serem chamados de bandidos por um senador, o estado de Iowa proibiu invasões a qualquer prédio, mesmo sabendo de todas as falhas e vulnerabilidades de segurança.
O caso de Wynn e DeMercurio pode ser ouvido no podcast Darknet Diaries (em inglês), disponível neste link.
Principais destaques desta matéria
- Pentesters podem ser contratados para invadir instalações físicas ou enganar funcionários para encontrar brechas de segurança.
- Como no recente caso do Twitter, em que um hacker convenceu um funcionário do microblog a passar credenciais de acesso.
- Conheça a história de dois engenheiros sociais que foram presos enquanto realizavam testes de penetração.
Imagem de destaque: Stephen Matthew Milligan/Wikimedia Commons