Hoje a gente vai comentar sobre o ataque hacker que a TV Record está recebendo, vamos explicar em termos mais leigos como é esse processo, e comentar como possivelmente esses hackers obtiveram acesso às informações.
Para começar, eu vou falar um pouquinho da minha trajetória, de como eu comecei nesse mundo de segurança da informação, porque algumas pessoas vieram questionar se eu realmente tinha conhecimento de análise e tal. Por volta de 2009 eu fui estagiário do Centro de Inovação da Microsoft, em Vitória, Espírito Santo. Os Centros de Inovação normalmente são colocados dentro de universidades para os alunos que mais se destacam conseguirem ter todos os softwares da Microsoft e fazer cursos de forma gratuita, para potencialmente concorrerem a cargos efetivos, então é como um estágio. Nesse período eu fiz um curso chamado TechNet, que eu não sei se ainda existe, mas na época era um curso elaborado por um dos analistas de segurança da própria Microsoft e esse foi o primeiro contato que eu tive de fato com segurança da informação. A apostila era muito bacana, ela começava com uma frase que ficou muito marcada na minha cabeça, que é “todo software é inseguro”, já começa assim, e fala bastante sobre as técnicas de invasão mais utilizadas desde aquela época. Depois eu fiz na Universidade de Vila Velha, a UVV, um curso de extensão em Segurança Web, a gente estudava sobre a OWASP, organização que classifica as técnicas de invasão mais comuns da internet, como Cross Site Scripting (XSS), SQL Injection, e muitas mais, e a gente aprende como essas vulnerabilidades ocorrem e como a gente consegue evitá-las. Os cursos de segurança sempre ensinam a detectar e prevenir essas invasões mais comuns, então a gente aprende bastante coisa, eu aprendi sobre Session Hijacking, Man-in-the-Middle, e várias outras técnicas existentes no mercado. Na época eu fazia faculdade de Ciências da Computação e já trabalhava com programação. Em 2013, eu resolvi fazer faculdade de Direito, porque a ABIN [Agência Brasileira de Inteligência], tinha uma vaga disponível para Perito de Direito Digital ou Perito de Crimes Digitais (não lembro exatamente o nome), e precisava ter conhecimento em Direito, e eu achei que era uma boa oportunidade de aprender sobre uma área que não tem nada a ver com a minha, porque desde os meus 14 anos eu sempre fui da área técnica de programação. Não finalizei meu curso de Direito, mas fiquei por volta de 2 anos e meio estudando sobre direito digital, li vários livros da área na época, de uma advogada, Patrícia Peck Pinheiro, que era muito conhecida no mercado de direito digital. Depois disso eu acabei indo para a área de varejo, então me especializei em web crawler e comparadores, trabalhei no Buscapé, que todo mundo conhece, vendi a minha empresa, inclusive, para eles, e acabei deixando de lado um pouco a área de análise de crimes digitais, mas obviamente o conhecimento permanece, muitas das coisas que eu aprendi naquela época ainda tem aplicabilidade hoje em dia.
Então me pediram para fazer uma análise do que está acontecendo na TV Record. Eu já aviso que não sei a fundo, eu não procurei nenhum contato lá dentro para saber em que pé esse caso está, mas pelo que eu entendi, olhando as noticias, aconteceu um ataque de ransomware. O que vem a ser um ataque de ransomware? Algum funcionário da Rede Record, provavelmente que tenha um nível de acesso ao sistema, de alguma forma deve ter adquirido um software malicioso e instalado esse software em um computador da TV Record. A partir desse terminal, os hackers conseguiram acesso à rede interna e aos servidores, e conseguiram criptografar todos os arquivos contidos nesses servidores. Eu não sei exatamente o que tinha nesses servidores, mas acredito que eram backups de fotos, de notícias, de vídeos, servidores de arquivo, possivelmente documentos também. Os hackers conseguiram fazer essa criptografia desses arquivos e pediram um “resgate” para a TV Record em criptomoeda, para devolver o acesso a esses arquivos. Então, teoricamente, se a TV Record pagasse, eles iriam entregar um software que descriptografava esses arquivos. Isso é conhecido como o ataque de ransomware.
Isso, para mim, parece um trabalho de pura engenharia social. Engenharia social é você utilizar de meios comuns, por exemplo, WhatsApp, LinkedIn, para fazer com que uma pessoa, e aí pode ser uma pessoa específica ou de forma genérica, baixe algum arquivo infectado em uma máquina e, a partir daquele arquivo contaminado, ele contamina a rede toda, dando acesso aos arquivos que deverias estar seguros. Eu já vi várias vezes isso acontecendo, inclusive em empresas grandes aqui do Brasil, e normalmente isso acontece não porque um funcionário qualquer foi lá, por acidente, e baixou um arquivo que hackeou a rede. Normalmente isso acontece porque uma pessoa interna da empresa vazou alguma chave privada para esse hacker em compensação financeira. Isso é o mais comum. Já ouvi diversas histórias de pessoas que foram presas pela Polícia Federal porque deram o acesso, uma backdoor como a gente chama, uma porta dos fundos, pro hacker poder entrar.
E por que isso é o mais comum? Porque fazer toda essa engenharia social para tentar pescar alguém de dentro da empresa e conseguir infectar a máquina dessa pessoa, às vezes não dá um nível de acesso tão grande assim à rede, é uma pescaria, então você pode ficar meses tentando pescar alguém e não conseguir nada. É muito mais “fácil” tentar chegar em alguém que tenha níveis de permissionamento interno da rede muito mais elevados e tentar fazer com que essa pessoa se torne cúmplice desse negócio, fornecendo os acessos por uma compensação financeira, corrompendo essa pessoa. Também é muito difícil, na maioria das vezes, distinguir se a pessoa agiu de má fé e foi paga para isso, ou se ela foi hackeada de verdade. Normalmente a pericia vai ter analisar movimentações financeiras atípicas, se algum valor considerável foi depositado em conta , os alguma carteira de cripto muito valiosa. É assim que normalmente a investigação se direciona, para tentar encontrar essa pessoa que possivelmente facilitou a entrada desses hackers no sistema.
E onde que mora o maior problema dessa brincadeira? É que às vezes a empresa faz todo um esforço para tentar recuperar os backups, para conseguir fazer com que volte à normalidade, mas, obviamente, se você tem uma pessoa dentro da empresa favorecendo os hackers e fornecendo acesso, por mais que se endureça a segurança, sempre vai ter uma forma de liberar esse acesso de novo e de novo. Vira uma busca incessante para saber como isso está acontecendo, quem são as pessoas, começa uma caça às bruxas, é um movimento muito ruim internamente, fica um desgaste emocional na equipe. Eu já vi isso acontecendo em algumas empresas grandes aqui no Brasil, só que, obviamente, isso não vai a público, porque são empresas de capital aberto, então expor publicamente que a empresa foi hackeada, e que possivelmente foi um funcionário que facilitou essa invasão, prejudica bastante a imagem da empresa.
Normalmente as empresas contratam especialistas em cyber segurança para fazer testes de como que foi feita aquela invasão, os pentests, ou testes de penetração. Existem grupos específicos aqui no Brasil, especializados em fazer esse tipo de testes e detectar quais são as possíveis vulnerabilidades do sistema que podem ter sido abertos pro hacker conseguir entrar e roubar os dados. Essas auditorias normalmente são extremamente caras, na casa dos milhões, e tudo é mantido em sigilo, com NDA, porque, justamente, a empresa não quer exposição do fato. Quando algum envolvido é pego, fica tudo no anonimato, as pessoas não falam sobre isso, por causa dos termos de confidencialidade que normalmente os contratos têm.
Qual eu acredito ter sido o caso da TV Record? Pode ter sido alguém interno que abriu uma backdoor pro hacker entrar e criptografar os dados. Obviamente, a gente nunca vai saber ao certo, porque provavelmente eles não vão revelar o que aconteceu na íntegra, mas pelo que eu li, eles não pagaram o resgate dos dados, mas conseguiram recuperar os backups. Eles ainda continuam sofrendo ataque, o quer dizer que o hacker ainda tem alguma porta aberta ali. Normalmente, quando um cara desses consegue entrar no sistema, ele vai colocar vários backdoors ao longo do caminho para garantir acessos secundários, e a rede continua contaminada. É um processo bem complicado fazer uma limpeza geral, mesmo que volte um backup de 10 ou 20 dias atrás, pode ser que esse backdoor tenha sido aberto há meses, entendeu? Às vezes o hacker demora meses para começar a mostrar iniciativa, ele deixa o vírus se propagar por meses e espera para ver se alguém vai achar, enquanto vai abrindo outras portas e mexendo aos poucos dentro do sistema. Quando eles acham o momento certo é que eles vão realmente fazer toda a operação para conseguir criptografar os dados e pedir a recompensa.
Infelizmente é muito complicado conseguir pegar os cabeças dessas operações, porque os caras que fazem manobras nesse tamanho, normalmente usam vários sistemas para esconder os rastros, usam TOR, VPN, tanto que eles pediram o “resgate”, no valor de 25 milhões de Reais, para fazer a liberação dos códigos, em Monero, que é uma criptomoeda que não pode ser rastreada. São possivelmente quadrilhas especializadas que estão cometendo esse crime, que sabem o que estão fazendo. Como a gente está falando basicamente ou de engenharia social ou de corromper alguém para liberar acesso, não necessariamente precisa ter muita qualidade técnica nesse momento para poder fazer as coisas, só precisa entender sobre softwares de criptografia. É muito mais uma questão de engenharia social, da arte de enganar, do que propriamente conhecimento técnico.
Muitas pessoas confundem, acham que hacker é só aquele cara que fica digitando códigos em telas estilo Matrix, mas não, os piores hackers são aqueles que vão a campo, que nem parecem desenvolvedores, que são super articulados e conseguem convencer as pessoas. Esses são os piores, porque eles manipulam as pessoas de forma intencional para conseguir as informações que eles precisam. Então existe a possibilidade de, por exemplo, a quadrilha já ter planejado isso há muito tempo antes e colocado alguém pra trabalhar lá dentro da Rede Record para fazer a abertura dessas backdoors. Normalmente, quanto isso acontece, é uma quadrilha especializada que faz isso, uma equipe, não é um individuo que achou uma vulnerabilidade e entrou lá.
Vamos continuar acompanhando o caso e qualquer movimentação eu volto aqui para comentar. Espero que vocês estejam gostando do conteúdo. A gente se vê numa próxima, valeu!
Eu já falei de segurança web antes, vou recomendar um post para quem tiver interesse:
Este post foi baseado no conteúdo do vídeo “Comentando o Hackeamento da TV Record”: