Wednesday, January 27, 2010

Kevin Mitnick na Campus Party 2010

Quem assistiu à palestra do americano Kevin Mitnick na Campus Party 2010 pode ter ficado na dúvida se aquele senhor de terno e cabelo bem cortado já foi mesmo um hacker. Mas a fama de Mitnick não veio à toa. Ao longo dos anos 1980 e 1990 ele realizou uma série de invasões que lhe renderam cinco anos de cadeia, incluindo alguns meses de solitária.



A primeira longa passagem de Mitnick pela prisão aconteceu em 1988, quando foi condenado por ter invadido os sistemas da empresa de software americana DEC. Após cumprir uma sentença de um ano, Mitnick foi solto.

Entretanto, ele violou os termos de sua condicional, que restringiam suas atividades com computadores. Em 1992, Mitnick passou a atuar como hacker novamente. Por isso, foi novamente condenado, mas não se entregou. Mitnick conseguiu escapar do FBI por três anos, usando nomes falsos e clonando celulares para se comunicar.

A caçada do FBI a Kevin Mitnick foi amplamente divulgada pela imprensa americana, notadamente pelo jornal The New York Times. O repórter que cobriu o caso, John Markoff, posteriormente publicou um livro com detalhes do episódio.

Em 1995, Mitnick foi finalmente preso pelo FBI. Dessa vez, ele cumpriu cinco anos de prisão, sendo libertado em janeiro de 2000. Mesmo depois de solto, Mitnick foi proibido de usar a internet por três anos.

Considerado uma ameaça à segurança dos sistemas de telefonia e computador dos Estados Unidos, Mitnick teve até que pedir permissão do governo americano para usar um computador para escrever o livro "A Arte de Enganar". Na obra, publicada em 2003, Mitnick conta um pouco da sua trajetória e fala sobre como conseguia as informações necessárias para suas atividades de hacker. Atualmente, Mitnick tem uma empresa de consultoria de segurança da informação, a Mitnick Security.

O blog do link divulgou um script da palestra de Kevin (http://blogs.estadao.com.br/link-tempo-real/2010/01/26/direto-da-palestra-de-kevin-mitnick/) na CampusParty 2010. Transcrevo o texto aqui, em ordem decrescente da seqüencia cronológica.

14: 22 – Mitnick pede para os participantes fazerem fila para pegar seu cartão de visitas. É um cartão recortado, feito em metal, com ferramentas para arrombar fechaduras. As pessoas vibram e invadem o palco. Acaba a palestra.

14:17 – Mitnick encerra falando que é necessário dizer não e prestar atenção em quem pede suas informações. Temos que ignorar nossos instintos de dar atenção e ajudar a todos e colaborar. É a melhor forma de parar o ataque de engenharia social. Até conseguir verificar a veracidade de quem quer seus dados, negue tudo.

14: 15 – Com um telefonema para os EUA, ele sequestra a linha de um dos participantes da palestra. Muitos aplausos.

14:13 – As pistas que damos, como nossas informações Ele demonstra como , com um simples número de celular, ele consegue roubar a identidade de alguém, roteando o número de telefone e se tornando a pessoa. Impressionante.

14:10 – Mitnick explica que até o lixo físico é vulnerável. Material impresso é fonte de informações.

14:08 – A pesquisa é a maior arma do hacker. Segundo Mitnick, um bom hacker varre o Google, as redes sociais, o Twitter, para conseguir levantar um perfil sólido que viabilize o ataque.

14:06 – A maioria dos problemas de segurança acontece porque as pessoas confiam umas nas outras. Os hackers exploram as fraquezas das pessoas e a boa vontade alheia para conseguir dados. E muita gente acha que esse tipo de roubo de informações só acontece com os outros. O chamado “benefício da dúvida”, a confiança inicial das pessoas, é a maior brecha na segurança.

14:05 – Mitnick é aplaudido com entusiasmo, por conta da história.

14:04 – Na conversa, ele conseguiu roubar dados confidenciais. Conseguiu inclusive acesso à rede interna da Motorola.

13:59 – Ele mostra um telefone de 1993, um Motorola Startac Ultralite. Ele queria modificar o código-fonte do sistema dele, e com algumas ligações, ele conseguiu acesso a informações confidenciais que o permitiram modificar o telefone. Ele simplesmente descobriu o caminho das pedras para conseguir a informação. Ele descreve como ensinou uma funcionária a zipar o código-fonte em um arquivo de 10 MB, colocá-lo em um FTP e mandar para ele. E o tempo todo os funcionários achavam que ele era um legítimo recém-contratado.

13:57 – Mitnick demonstra como a vulnerabilidade dos browsers dá margem a invasões. Ele comenta que foi assim que o Google foi atacado na China.

13:52 – Ele mostra um pequeno programa, instalado no pendrive, que rouba os 20 últimos arquivos acessados do PC ao ser plugado, instantaneamente. É de gelar a alma…

13:51 – Mitnick comenta que é preciso cuidado com qualquer mídia removível, como pendrives, CDs, DVDs…

13:50 – No telão, ele mostra como a invasão funciona. É assustador, mas o computador infectado começa a transmitir cada ação do usuário imediatamente pela web. E ele apenas plugou o pendrive na máquina.

13:49 – Ele mostra como é simples embutir um trojan em um arquivo de office ou PDF. Em um pendrive qualquer, e;le consegue se infiltrar no computador.

13:48 – Mitnick mostra um pequeno roteador sem fios, ligado a uma bateria, que serve para roubar identidades em aeroportos. Ele responde mais rápido que os sites visitados, como o Facebook, e rouba as dados.

13:45 – Ele diz que a fronteira final desse tipo de golpe é hackear o telefone e agir como intermediário entre o banco e o usuário.

13:41 – É o site da sua consultoria de segurança. O número que ele discou ao telefone era um desses números fantasma, mas sob o controle da sua empresa. Ele mostra como o sistema captura todos os dados e comenta que fez a mesma coisa em um evento de segurança da Visa.

13:40 – Ele explica que com a ajuda do telefone, é possível triangular um ataque perfeito. Ele demonstra em um site como o ataque pode ser feito.

13:38 – Kevin Mitnick explica como o Phishing está disseminado e como as pessoas acreditam em tudo o que chega pelo e-mail. E que os esquemas de golpe são tão avançados que existe até centrais telefônicas fantasmas, que soam exatamente como as dos bancos. É aí que a senha é capturada, quando o usuário a digita no telefone.

13:34 – Mitnik fala de como é simples, usando o tamanho das grandes empresas e a burocracia, se infiltrar. Ele conta que basta escolher uma empresa, ligar para alguns funcionários, que normalmente estão listados no site da empresa, e descobrir quem está de férias. Em seguida, basta ligar para o suporte da empresa e dizer que o correio de voz está com o acesso restrito.

Como a verificação é nula, o operador dá a senha do correio de voz e dá a ele o acesso ao correio de voz. Então, ele grava uma mensagem de saudação e liga para o suporte técnico. Depois de se identificar, ele pede para deixarem no correio de voz o código da rede. Como o ramal é correto e a voz dele está gravada, o técnico dá a ele a senha, abrindo o sistema da empresa,

13:30 – Parte dos ataques pode ser de natureza híbrida. Além de conseguir informações vitais, um hacker pode entrar no sistema com um login falso, que parece legítimo, e daí, por meio de engenharia social, ele consegue acesso ao sistema.

13:29 – Muitos golpistas contatam o suporte telefônico de bancos ou empresas para conseguir senhas. É a típica conversa mole, “jogar verde”, para conseguir uma senha com o nome do funcionário ou outros dados descobertos, como o nome da mãe ou do cachorro. E todas essas informações podem ser conseguidas com uma simples entrevista ou pesquisa falsa, feita na rua.

13:27 – Ao falar a senha para uma pessoa conhecida via telefone, ou mesmo e-mail e outros meios eletrônicos, a pessoa se expõe. Até mesmo o contato com o suporte técnico pode ser uma brecha de segurança.

13:25 – Ele fala que muita gente não desconfia e fala suas informações pessoais para qualquer pretenso pesquisador. E dessa forma, informações confidenciais, que podem levar à descoberta de mais dados para roubo de identidade.

13:20 – Mitnick explica que a engenharia social é o melhor e mais simples método de hackerismo. A engenharia social, ou seja, convencer as pessoas a entregar suas informações vitais, não é detectável, roda em qualquer plataforma e é infalível. ”Não dá para pedir para a microsoft um patch contra burrice" , fala ele.

13:15 – Ele conta uma das histórias de seu livro, lançado em 2002. É sobre um funcionário de um banco que utilizou seu trânsito livre para manipular colegas e conseguir acesso a US$ 10 milhões.

13:11 – O tema da palestra é “A Arte de Enganar”.

13:08 – Ele diz que os ataques hoje são um misto de engenharia social e conhecimento de software. Os hackers (ou crackers) enganam as pessoas para conseguir informação vital.

13:07 – Mitnick sobe ao palco sob ovação. Alguns aplaudem de pé.

13:05 – Um vídeo dramático, com música e cortes dignos de Hollywood conta a trajetória do hacker, que foi preso e hoje é expert em segurança digital.

13:00 – Começa agora a palestra do hacker e especialista em segurança Kevin Mitnick.

No comments:

Post a Comment