Hackers, Bugs e Teorias da Conspiração
A Glorificação de Hackers é semente para Teorias da Consipiração? 3 eventos recentes me fizeram pensar a respeito disso:
1 — Durante a eleição de 2018, onde usuários relataram diversas suspeitas a respeito da Urna Eletrônica Brasileira.
2 — Durante a Operação Vaza-Jato, promovida pelo grupo de Jornalistas Intercept Brasil, onde o celular do Ex-Juiz Sergio Moro foi invadido por suposto grupo de criminosos.
3 — Durante a recente vandalização de cadastros do aplicativo Ifood. Que alguns sites de Notícias (até alguns especializados em Tecnologia) chamaram equivocadamente de “Hackeamento”.
Até um tempo atrás, se confundir com os termos (cracker, hacker, criminoso digital, spammer, noob….) era algo inofensivo.
Porém, a Indústria lucrativa de Influenciadores de Pânico nas Redes Sociais transformou essa personagem num coringa muito efetivo para justificar Delírios e Conspirações .
Irei apresentar neste artigo um pouco que aprendi sobre Bugs, Engenharia Social e Invasões para que o uso dos termos fique um pouco mais claro pra pessoas que não trabalham com tecnolgia.
Espero que seja útil para você.
Primeiramente, o que é um Bug?
Em meados de 1947, Engenheiros e Engenheiras da Computação da Universidade de Harvard encontraram uma mariposa presa dentro do Computador Mark II que estava atrapalhando o seu funcionamento.
O Incidente foi documentado e ao longo dos próximos anos o termo Bug (Inseto em Inglês) foi popularizado entre Programadores para nomear eventos, componentes e evoluções de código-fonte que possam atrapalhar o funcionamento correto de um sistema.
Qualquer sistema está sujeito a bugs. E em alguns casos se torna quase impossível prever a quantidade de situações aos quais um conjunto de funcionalidades irá estar exposto. Um caso interessante é do Wallpaper para celulares que continha tantas cores, que praticamente colapsava os celulares Android.
No melhor dos mundos um bug é encontrado por uma pessoa bem intencionada. Como no caso do Consultor palestino Khalil Shreateh que postou uma mensagem no perfil do Mark Zuckemberg pra alertar o Facebook a existência de uma falha de Segurança.
Porém em alguns casos, o bug acontece com pessoas que já estão com algum pré-julgamento a respeito do Software ou alguma paranoia pessoal.
Como efeito colateral são criadas fantasias de que um sistema está sob ataque ou que há algum ente infiltrado na sua equipe de desenvolvimento.
Um prato cheio para criadores de Teorias da Conspiração.
Navalha de Ockham Invertida
Um exemplo desse delírio coletivo aconteceu em 2018. Me lembro que pouco antes de iniciar minha jornada de Trabalho, conferi o meu WhatsApp e recebi um vídeo com uma situação bastante preocupante.
Um sujeito acusava que a Urna Eletrônica tinha sido invadida por um Hacker !
No vídeo ele relatava que quando digitava o número 1 o sistema exibia o número 13 imediatamente, não dando a possibilidade dele digitar o tão desejado número 17.
Apesar de toscamente editado, este vídeo foi incrivelmente aceito como verdadeiro por grande parte dos participantes do grupo de WhatsApp em que eu estava cadastrado naquele dia.
E aqui vem o fato assustador: 90% das pessoas desse grupo eram desenvolvedoras de Software.
A cegueira política incendiada pelas Fake News naquele ano impediu que estes desenvolvedores fizessem dois simples questionamentos lógicos:
1 — Como eu sei que isso não é um bug da Urna?
2 — Se o suposto “hacker” possui habilidade para invadir uma Urna Eletrônica, FAZ SENTIDO ELE DEIXAR A INVASÃO EXPOSTA? Ao ponto de uma pessoa absolutamente leiga conseguir identificá-la?
E é surpreendente ver que este evento onde a hipótese mais espetacular foi mais poderosa pra convencer as pessoas, que a hipótese mais simples se repetiu agora em 2021. Onde pessoas acreditaram que um hacker invadiu o Aplicativo Ifood apenas pra espalhar ódio político militante.
É compreensível ter alguma desconfiança de um Sistema de Votação que infelizmente não possui tanta transparência pública (a abertura do código-fonte até foi anunciada, mas com diversas ressalvas).
Mas para não torná-la essa desconfiança exagerada, nós deveríamos utilizar mais o Princípio da Parcimônia como Norte e tentar tornar a discussão um pouco mais racional.
Man in The Midlle
Em outro caso famoso, a presença de personagens místicos quem invadem Sistemas dominou o noticiário. Estrelando uma figura muito famosa para todos nós Brasileiros: o Ex-Juiz Sérgio Moro.
Basicamente, um grupo de Jornalistas chamado Intercept Brasil começou a publicar reportagens, revelando em capítulos, diversas conversas comprometedoras entre esse Juiz e os Promotores da Lava-Jato. Que nunca foram desmentidas, inclusive.
A reportagem inteira está nesta série de artigos. Mas o que chamou atenção na época, foi uma das hipóteses técnicas de como essas conversas foram extraídas do Celular do Ex-Juiz.
O Telegram (aplicativo escolhido entre o Juiz e os Procuradores para conversarem entre si) possui uma interface web que replica o mensageiro num browser de internet, com praticamente os mesmos recursos encontrados no Aplicativo móvel.
O detalhe interessante da história é que para que esta Interface Web seja liberada, o usuário “atacado” precisa:
1 — Ler um QRCode na Tela
2 — Abrir um SMS, com um código enviado pelo Telegram
3 — Digitar esse código na tela do Computador.
Caso algum “atacante” convença este usuário a lhe enviar o código recebido via SMS, ele pode normalmente inseri-lo numa interface web que já tenha sido utilizada pelo usuário “atacado” e acessar todas as mensagens dele.
Este é um belo exemplo de Engenharia Social Man in The Midlle. Onde um ente surge no meio da comunicação e recupera as informações desejadas.
Faz sentido chamar essa pessoa de Hacker, uma vez que Kevin Mitnick invadiu várias empresas assim. Porém, nem sempre este sujeito precisa ser alguém especializado em Tecnologias Digitais.
Ou seja, é um tipo de invasão que tem mais a ver com Psicologia e Persuasão.
Não noticiar que este vazamento possivelmente foi causado por descuido, ingenuidade e falta de atenção de um Ex-Ministro da Justiça (e provável candidato a ser tornar Presidente do Brasil) foi um grande desserviço de vários veículos de mídia na época.
Enfim uma Invasão Hacker de verdade
Por fim, acho importante relatar um caso onde realmente a Ciência da Computação foi combinada com Engenharia Social, escalada de Privilégios e exploração de Vulnerabilidades para que Hackers invadissem um sistema com consequências só vistas antes no cinema.
Talvez você já tenha assistido algum filme onde um grupo de assaltantes invade um banco e altera o sistema de vídeo das equipes de Segurança para que os responsáveis fiquem assistindo a mesma cena monótona enquanto os ladrões roubam o cofre.
O Stuxnet foi um vírus de computador criado especificamente para realizar esse “mascaramento de informação” nos displays digitais das usinas Nucleares de Natanz no Irã.
Basicamente, enquanto os sensores do Sistema SCADA da Siemens (não se preocupem, isso é informação pública já) mostravam que o rotor estava numa certa velocidade, o Stuxnet fazia ele rodar numa velocidade 2x mais rápida, diminuindo sua vida útil e danificando cada vez mais as centrífugas de enriquecimento de Urânio deste país.
Ralph Langner explica em sua palestra do TED como foi feita a investigação desse vírus inacreditável. Sua apresentação apesar de super detalhada e emocionante possui uma mensagem final assustadora e que ainda se mantém atual: ninguém sabe quem codificou essa arma de destruição em Massa e deveríamos estar muito preocupados com isso.
Conclusão
Ao contrário dos anos 90, os Hackers de hoje NAO QUEREM deixar rastros. Não querem holofotes e jamais vão ficar acompanhando relatórios de Zero Days apenas pra militar por um político de estimação.
Se começarmos a chamar qualquer um que força tráfego num site de Hacker…do que vamos chamar essas pessoas que possuem conhecimento em Assembly, Eletrônica, Mecânica de Rotor de Centrífuga Nuclear e Planejamento Estratégico para infectar máquinas Windows silenciosamente até que alguma das cópias encontre os PLC’s de uma Usina Iraniana?
Uma vez que o Vandalismo Digital Militante parece ser a tendência das Eleições de 2022 seria interessante que as pessoas (principalmente quem ganha a vida fazendo sistemas) aprendessem a separar o Joio do Trigo e usar a palavra Hacker com um pouco mais de parcimônia.
A confusão dos termos só gera ruído, favorece aqueles que só querem criar o caos, amplifica o medo e favorece a existência de curas milagrosas para males que só existem na bolha de alguns fanáticos barulhentos.
Um abraço e obrigado pela leitura.
