quinta-feira, 26 de abril de 2012

Linhas na areia: De que lado você está, na Guerra “hacker” de Classes?

buscado no Redecastorphoto

Anonymous, Phrack, n. 68, vol. 0x0e, Issue 0x44, Phile #0x10 of 0x13

Traduzido pelo pessoal da Vila Vudu



Slim Amamou @slim404Anonymous, Phrack, n.68, vol 0x0e, Issue 0x44, Phile #0x07 of 0x13


Anonymous publicaram dois artigos em #phrack68.
Que me lembre, são os primeiros da história!
16/4/2012, Twitter




Ohé, saboteur, attention à ton fardeau: dynamite”
Chant des partisans, 1943

“É impossível falar do hack-ativismo contemporâneo, sem mencionar Anonymous, LulzSec e Antisec. Responsáveis pela dramática valorização do que está em disputa nessa “guerra”, todos esses grupos adotaram, ao longo do tempo, posição cada dia mais explicitamente antigoverno e anticapitalismo”.

Com o crescimento dramático da atividade de hacking/vazamentos, paralelo aos levantes em todo o mundo, ouvimos cada dia mais frequentemente a retórica da “ciberguerra”, manobrada por governos que tentam manter a legitimidade e o domínio sobre mais e mais poderes de estado-polícia. Falando sobre prioridades do FBI dez anos depois do 11/9, Robert Mueller, diretor do FBI, disse em discurso recente na Conferência da Associação Internacional dos Chefes de Polícia [International Association of Chiefs of Police (IACP)] que “a próxima ameaça serão indivíduos autorradicalizados, com suas ciberbases, usando recursos online e indivíduos que planejam ciberataques” [21].

Embora os hackers tenham zombado de Mueller e da IACP, desmontando suas páginas na Internet durante a conferência, é difícil crer que os hackers sejam ameaça maior que os “terroristas”. Apesar disso, essa lógica tem sido usada para mandar bilhões de dólares para os bolsos privados de empresas paramilitares e de inteligência contratadas para desenvolver melhores tecnologias de ataque e defesa.

Os EUA também estão propondo várias modificações na lei contra Fraudes e Abusos por Computador [orig. Computer Fraud and Abuse Act] de 1986, impondo sentenças mais longas (inclusive com previsão de penas mínimas obrigatórias) e as classificações da lei RICO [orig. RICO Act] para hacking por computador. Na maior parte, os surtos reforçados de hacking não passam de ação de desmonte de páginas e de ataques DDoS conduzidos por garotos que se dizem ligados aos Anonymous. – Difícil ver aí a “ameaça de terrorismo estrangeiro contra infraestrutura crítica” usada para justificar a imposição de maiores penas (para os hackers amadores domésticos) e a maior quantidade de dinheiro nos cofres e bolsos e malas da indústria de segurança. Mas há mais que só garotos e amadores em ação: os ataques contra instituições conhecidas, inclusive grandes instituições da polícia, militares e judiciárias, além de grandes empresas tornaram-se, além de mais frequentes em número de ocorrências, também mais destrutivas e mais politicamente articuladas. 

 
Estamos assistindo aos primeiros estágios, de abertura, da próxima Guerra Hacker de Classes. Com muitas facções em ação, cada lado operando as próprias agenda e estratégias, com mais e mais hackers ou entrando no rolo pelo lulz [0], ou atacando o complexo da inteligência militar, surgiu a questão: “De que lado você está?”

Os militares norte-americanos, sempre doidos para contar o quanto o Pentágono ampliou a defesa dos seus computadores, mantêm-se mudos, quando interrogados sobre suas capacidades ofensivas para a Internet. Fala-se de uma lista de ciber-capacidades – só acessível para o governo, deputados e senadores – que iria desde implantar vírus e infectar computadores, até derrubar grades elétricas [1]. Nada disso seria possível sem (I) a assistência de hackers de computador que trabalhem, direta ou indiretamente, para o Departamento de Defesa; e sem (II) a tendência, nas nossas comunidades, de ajudar ou, no mínimo, de tolerar, os que decidam prestar aqueles serviços àqueles grupos. 

Infelizmente, essa mentalidade é frequente entre as celebridades repetidamente citadas em artigos do jornalismo de notícias dominante, nos quais dizem falar em nome da comunidade hacker.

Anonymous Black Hat

Na direção oposta, sempre houve ressentimento dos Black Hats [chapéus pretos] [1a] contra os que se dizem hackers, mas, de fato, trabalham para proteger os sistemas contra os que realmente conseguem invadi-los. Muito já se escreveu sobre os corruptos Chapéus Brancos que trabalham para proteger infraestrutura governamental, contra a ação de outros hackers, que operam, mais, em nome do divertimento. Muito lulz já se curtiu, ao longo dos anos, sempre que aquelas celebridades “de jornal” são invadidas e veem seus e-mails e senhas divulgados para todos, em arquivos .txt lindamente decorados. Além da colaboração de “profissionais” de segurança e outros efesdapês, é hora de tratar de outro risco que está crescendo, ameaçando a integridade do nosso cenário: o ativo esforço de militares dos EUA, para recrutar e treinar hackers [1b] para que ajudem a operar os sistemas de ciberdefesa dos EUA.

Com a aprovação da lei de Autorização da Defesa de 2012 [orig. 2012 Defense Authorization Bill], o Departamento de Defesa passou a ter “autoridade expressa para conduzir operações militares clandestinas no ciberespaço, para apoiar operações militares”. A Agência Reuters noticiou que “o Pentágono organizou uma lista secreta de suas ciber-capacidades ofensivas, para que os políticos conheçam o que votam”. Até o presente, os EUA já se engajaram em ataques eletrônicos, a maior parte dos quais são especulativos. Ouve-se dizer por todos os cantos que militares dos EUA e Israel, trabalhando em cooperação, desenvolveram o STUXNET para destruir as instalações nucleares iranianas [2]. 

Anonymous "West Point"

Para atender à necessidade de pessoal de segurança de computadores, os militares mantêm várias escolas e centros de treinamento, com o objetivo de converter jovens entusiastas de computação em hackers competentes e treinados. Na Academia Militar dos EUA, em West Point, NY, há um capítulo ACM SIGSAC, que oferece cursos especiais sobre técnicas de invasão à distância e, periodicamente, organiza muitas competições online de hacking, para “treinar e engajar militares alistados, oficiais, soldados ou civis que trabalham para o governo”. Em abril passado, a equipe de West Point venceu os “hackers veteranos da Agência Nacional de Segurança”, no Exercício 2011 de Ciberdefesa [orig. 2011 Cyber Defense Exercise]. Outras equipes militares de hackers, como a ddtek (liderada pelo Tenente Comandante Chris Eagle, conferencista regular da DEFCON e Chapéu Preto) também competem em torneios civis de hacking como o CTF da DEFCON, nos quais em geral dominam a competição, trazendo dúzias de formados em ciber-segurança da Marinha [3][4] . Não há dúvidas de que muitos desses eventualmente trabalharão no USCYBERCOM [4a] ou em outras operações militares clandestinas, para lançar ataques, sempre em benefícios dos ricos e da classe dominante.

O governo dos EUA melhor faria se não confiasse muito em seus hackers alistados, porque eles trabalham também para grande quantidade de empresas privadas e indivíduos, seja para construir defesas, seja para explorar, conhecer, infiltrar-se e atacar inimigos de quem lhes pague mais. 


 

Depois que LulzSec apropriou-se de e-mails (e vazou-os) de Karim Hijazi, presidente da empresa de segurança Unveillance contratada pelos militares e participante do Infragard [2a], soube-se que Hijazi trabalhou para o Departamento de Defesa e a Casa Branca, não só para traçar perfis de “principais grupos de hackers operantes na Líbia e seus apoiadores”, mas também para tomar a frente e “mapear todos os sistemas SCADA e suas vulnerabilidades, das empresas de petróleo operantes na Líbia” [5] . Mesmo depois de Karim ter sido exposto, ainda insistia em pagar ao grupo LulzSec e ofereceu seu botnet para destruir os concorrentes, revelando toda sua alma corrupta e traidora, de Chapéu Branco; e revelando também o quanto são vulneráveis e vivem desesperados os militares mais poderosos do mundo.

E há também Aaron Barr, ex-presidente da empresa HBGary Federal, que teve muito do que muito mereceu – quando se soube que trabalhava em operações de contrainteligência, tentando derrubar WikiLeaks (contra a qual sugeriu “ciberataques contra a infraestrutura, para obter dados sobre os fornecedores de documentos”) e também os Anonymous (contra os quais cooperou com o FBI, tentando descobrir “os perfis dos membros-chave”) [6]. Os e-mails vazados também revelam o plano para desenvolver “software de gerenciamento pessoal” para os militares dos EUA, e que é mais uma ferramenta do tipo das usadas no Programa de Contrainteligência [orig. Counter Intelligence Program COINTELPRO] para distribuir propaganda, criando um exército de contas falsas de Twitter, Facebook, milhares de blogs, fóruns e listas, para subverter a democracia e manipular a opinião pública. Embora Barr/HBGary e Karim/Unveillance/Infragard tenham sido expostos e desmascarados, as implicações do que foi descoberto e revelado sobre o trabalho que fazem apontam diretamente para a assustadora possibilidade de uma conspiração ilegal entre empresas privadas de segurança, governos e militares, com o objetivo de silenciar e neutralizar qualquer movimento de opositores políticos (ou concorrentes comerciais).

Dados os fracassos bem visíveis de seus afiliados, os militares continuam à caça de hackers independentes. A Agência da Defesa para Processos de Pesquisa Avançada [orig. Defense Advanced Research Projects Agency (DARPA)] distribuiu convites por vários espaços frequentados por hackers nos EUA, para “trabalhar em pesquisa com o objetivo de ajudar a oferecer ao governo dos EUA as ferramentas necessárias para proteção contra ciberataques”. 

Anonymous "Culto da Vaca Morta"

O programa Cyber-Insider (CINDER) é comandando por Peiter “Mudge” Zatko [7] que – como muitos de nós – foi hackeradolescente associado ao “Culto da Vaca Morta” [orig. Cult of the Dead Cow] e o espaço space l0pht, de gente da velha guarda. Peiter depois “mudou de vida”/ “virou homem de bem”, quando fundou a empresa de consultoria @Stake, que, adiante, foi comprada pela Symantec. Hoje, completou o círculo vicioso, de hacker adolescente amador, para “profissional de segurança”, e trabalha em tempo integral para os militares – exemplo perfeito, para que hackers aspirantes aprendam logo o que NÃO SE DEVE fazer.

Mudge atualmente anda discursando em conferências de hackers como Schmoocon e em eventos do Dia da Indústria promovidos pela Agência DARPA – que só são organizados para atrair e recrutar novos hackers e prendê-los da teia da DARPA.

Tradicionalmente, os espaços hackers, que se estão convertendo em tendência cada vez mais forte, não só nos EUA como em todo o mundo, sempre foram locais onde circulam pessoas sem dinheiro para pagar o aluguel ou comprar equipamento; e, por causa das habilidades raras (quando não exclusivas) para resolver problemas e de uma ética hacker do “Invente e Faça Você Mesmo” que se concentram nesses locais, são locais também onde aparecem todos os tipos de empregadores (privados e governamentais) interessados em encontrar talentos e contratá-los. Infelizmente, muitos espaços hackers são espaços “sem política”, onde circula gente mais interessada em fazer carreira, do que em respeitar a ética hacker. Esses são particularmente muito vulneráveis à pressão dos militares, para que passem a trabalhar em pesquisa oficial ou para que ajudem a identificar e prender outros hackers.

Os espaços hackers, nesse sentido, são locais ideais para encontrar gente apática e cabeça oca: os hackers nos EUA têm longa história de se converterem em figurões federais.

Adrian Lamo, conhecido no início como “o hacker sem-teto”, no tempo em que era respeitado por ter invadido várias páginas importantes, é hoje universalmente odiado, como o grande salafrário sujo, imundo, que entregou Bradley Manning à polícia, como se Manning fosse o responsável pelos vazamentos que chegaram a WikiLeaks. Apesar do que fez, Adrian ainda tem seguidores na revista 2.600, mantém um grupo de Facebook, aparece ocasionalmente em salas de bate-papo pelo IRC e, recentemente, foi convidado para falar num seminário da Convenção HOPE 2010. 

Há também Kevin Mitnick – cujos talentos de engenharia social fazem dele o perfeito porta-voz para grupos de hackers – que se resignou (como tantos outros) a trabalhar para a “indústria” da segurança & consultoria e ganha rios de dinheiro em palestras e conferências (mesmo que apareça só para assinar o livro de presença), e que (também como tantos outros) tornou-se alvo dos Chapéus Pretos, que já várias vezes invadiram os servidores de suas empresas e clientes, capturaram e distribuíram endereços de e-mail e senhas. 

Jeff “A Tangente Escura” Moss, que, por mais de dez anos chefiou a DEFCON, a “maior convenção clandestina de hacking” e a publicação Black Hat Briefings (nome muito inadequado!), acabou trabalhando para o Departamento de Segurança Nacional.

E Oxblood Ruffin, nascido do grupo “underground” Culto da Vaca Morta (do qual também participavam muitos Chapéus Negros importantes) vive hoje de abrir a boca pelo Twitter para declarar “direitos de propriedade” sobre a palavra “hack-ativismo”; e também vive a dedurar outros hackers (especificamente Chapéus Pretos e Anonymous) que entram em seus sistemas. Chegou já ao ponto de assinar uma declaração conjunta de vários grupos (cDc, 2600, l0pht, CCC e outros) em que condenam os ataques da “Legião do Submundo” contra o governo do Iraque por abuso de direitos civis e humanos [8]. 

Outro exemplo mais recente de traição na comunidade hacker é o caso do “consultor de segurança” Thomas Ryan (também conhecido como frogman) que capturou e distribuiu a lista interna de e-mails dos manifestantes de Occupy Wall Street de New York.

Andrew Breitbart

Trabalhou durante meses até chegar lá, misturou-se com os manifestantes, dos quais obteve a confiança e os acessos, enquanto, ao mesmo tempo, passava para o FBI e outras organizações os planos dos manifestantes, e até entregou tudo à página do super-direitista Andrew Breitbart, como “prova” de “atividades ilegais de anarquistas”. Com os arquivos que entregou, ele misturou acidentalmente sua própria correspondência com o FBI e jornalistas (“profissional de segurança”, é? Só rindo!). O chapéu branco de Thomas Ryan e suas inclinações pró-direita sempre foram bem conhecidos nos círculos hacker, bem como suas explorações de engenharia social (sempre comentou, nos Black Hat Briefings, sobre suas experiências, em que enganava dúzias de funcionários do governo e profissionais que tinham livre acesso às altas esferas da segurança, servindo-se de um perfil falso de uma mulher atraente e altamente treinada nas artes de computador & segurança, batizada “Robin Sage”: infelizmente, não obteve nenhuma informação privada ou embaraçosa, quando operava sob o disfarce de sua afilhada chapéu branco). Sem dúvida o pessoal de OWS pecou por falta de cultura de segurança, confiando tão completamente num chapéu branco muito reacionário e muito conhecido, e entregando-lhe detalhes das comunicações internas e detalhes dos protestos (uma fraqueza, num movimento pró fonte aberta, que tanto se opunha a coletivos privados compostos só de membros “fichados”). 

Mas, quando o traidor cai de um dos ramos de nossa árvore hacker, temos de nos responsabilizar e cuidar para que as traições não se repitam (como alguns anons que ajudaram Aaron Barr).

E há também [a rede] 2600, composta de várias comunidades separadas, incluindo os meetups locais, a revista, Off The Hook, e a comunidade IRC. Para ser justo, Eric Corley partilha, de certo modo, os interesses dos hackers, apoia os direitos digitais, critica o estado policial e, no geral, tende à esquerda. Mas se se examina bem, encontra-se uma mentalidade militarista anti-Wikileaks, anti-EFF [Electronic Frontier Foundation] e furiosamente anti-hacker, em todo o pessoal envolvido: metade dos caras [orig. half the ops] da 2600net vivem a proclamar que trabalham para os militares ou colaboram com a polícia. Como há dez anos, na condenação de LoU, 2600 distribuiu uma declaração em dezembro condenando os ataques DDoS dos Anonymous contra bancos e empresas de cartões de crédito que estavam esquartejando WikiLeaks [9] (tática que nada mais é que versão digital dos sit-ins [de manifestação pública em que as pessoas sentam-se na rua para impedir o trânsito], uma respeitada tradição da desobediência civil na política dos EUA [9a]). Usar o nome da rede 2600 para condenar as ações dos Anonymous não só compromete o nosso trabalho como, também, cria a falsa impressão de que a comunidade hacker não apoia ações em apoio a Wikileaks contra PayPal.

Mais de seis meses depois, o FBI invadiu casas de várias dúzias de suspeitos de serem “membros” dos Anonymous, acusados de estarem envolvidos em ataques LOIC [“Canhões de Órbita de Baixa Intensidade”] [9b] contra PayPal. Se se considera que dúzias de pessoas (muitas das quais sem absolutamente qualquer envolvimento) correm o risco de serem condenadas a sentenças de décadas de prisão por causa de alguma besteira inventada de acusações de conspiração, que tipo de confiança mereceria a rede 2600, que de modo algum se preocupa com práticas solidárias aos hackers que sejam acusados e perseguidos injustamente?

A rede IRC 2600net, ela mesma, é comandada por um agente do Departamento de Defesa, um “r0d3nt” treinado por Infragard, de nome Andrew Strutt, que trabalha para uma empresa contratada dos militares e, no passado, admitia abertamente que trabalhava para a polícia, para ferrar gente que, dizia ele, comandava botnets e distribuía pornografia para pedófilos. Na entrevista de Andrew Strutt para GovExec.com [10], lê-se: “Tive de trabalhar duro para construir confiança”. Strutt diz que não abre sua identidade de hacker para as pessoas às quais se refere como seus “comandantes”. E tampouco diz aos hackers que “trabalha para as comunidades .mil ou .gov”. Mais recentemente, r0d3nt depôs voluntariamente num grande júri, sob juramento, quando entregou o servidor “pinky” aos federais e nada disse a ninguém sobre o que fizera, durante meses [11]. No servidor havia centenas de contas de outros membros da comunidade 2600, que tiveram o desprazer de saber que os especialistas do tribunal estavam vasculhando todos os seus arquivos e históricos .bash. 

Strutt manteve tudo em segredo, para todos, durante meses; e, mesmo depois de contar o que fizera, sempre foi muito vago em relação aos detalhes, recusando-se a responder perguntas sobre detalhes da investigação, exceto que a polícia está à procura de atividade “de um certo usuário”.

Evidentemente, é irresponsável e estúpido usar o servidor de uma comunidade para ataques, pondo em perigo outros usuários, mas aí está algo contra o que temos de estar preparados com muita antecedência, se você se mete nisso. Muitos ISPs [Internet service provider] que hospedam páginas e servidores para hackers e radicais, não apenas têm política de privacidade bem definida, reduzindo a quantidade de informação pessoalmente identificável na caixa, mas também assinam um compromisso de “não facilitar”, quer dizer, comprometem-se a não entregar a caixa voluntariamente. Isso foi demonstrado em novembro de 2009, quando IndyMedia.us recebeu ordem judicial semelhante exigindo que entregasse os arquivos log do servidor (os quais, para começo de conversa, jamais existiram). O pessoal imediatamente envolveu a EFF na questão e denunciou publicamente a requisição injusta do governo, dizendo que não tinham qualquer intenção de obedecer. No final, nada foi entregue e a ordem judicial foi declarada inconstitucional [12].

Albert Gonzalez

Por que tantos dos hackers-celebridades que são vistos como cidadãos-modelo acabam sendo sempre alcaguetes a serviço dos federais e de grandes empresas, e por que esse pessoal ainda é considerado bem-vindo e tolerado nos grupos? Eric Corley, da rede 2600, estimava que um quarto dos hackers nos EUA são informantes do FBI [13], número que é infelizmente muito alto, em comparação com outros campos. Criminosos experientes que cumpriram longas penas de prisão sabem e ensinam que o código das ruas é “não confie em ninguém e nunca entregue ninguém”. Se se pergunta aos hackers, logo se vê que muitos têm o hábito de fazer piada com os sistemas que invadiram quando jovens; mas os que cresceram e ficaram famosos estão hoje, todos, trabalhando para o governo. Nunca dá certo, para ninguém, negociar com o diabo: só conseguem acabar com a vida de outros hackers, e a polícia, depois de usar e abusar de seus informantes, sempre os põe para escanteio.
Albert Gonzalez (também conhecido como “soupnazi”, “cumbajohnny” e “segvec”) tornou-se informante depois de ser preso em NYC por fraude com cartão de crédito; recebeu $75 mil para invadir páginas de cartões de crédito, como ShadowCrew. Apesar de sua cooperação com o Serviço Secreto, durante a qual dedurou dúzias de hackers e fraudadores, todos presos como parte da Operação Firewall, os Federais, MESMO ASSIM, indiciaram Gonzalez em novas fraudes com cartões de crédito montadas pelos próprios Federais, e mandaram aquela alma de rato para a cadeia, por muito tempo. Infelizmente, um dos envolvidos na rede de mentiras de Gonzalez foi o conhecido Chapéu Preto Stephen Watt, “o terrorista UNIX”, que ajudou a escrever zines da velha guarda, como el8, e deixou uma trilha de mail spools, ownage logs, e servidores rm’d dos mais respeitados “profissionais de segurança” na indústria. Watt jamais foi acusado de participar nos esquemas de dinheiro de Gonzalez; ele simplesmente escreveu alguns pacotes comuns de códigos farejadores, chamados “blabla”, que se supõe que tenham sido usados para interceptar transações com cartões de crédito em redes de TJX – o que mostra o nível de depravação e desespero dos Federais, para inventar conversas e encontros e engordar a ameaça que viria de hackers “gênios da fraude”, para a mídia [14].

Enquanto muitos apoiam nossos camaradas hackers que caíram, como o Terrorista UNIX, ainda se ouve uma surpreendente linha de pensamento dentro da comunidade de segurança da informação [orig. infosec comunity]. Perguntem por aí, nas reuniões de 2600 ou nos espaços hackers, e vocês ouvirão a condenação de hackers presos, como se fossem todos criminosos, e um monólogo, semelhante à fala de políticos, policiais e jornalistas: não invadam sistemas alheios, não façam ataques DDoS, não derrubem páginas e, se você tropeçar em algum ponto vulnerável, “por favor notifique o fabricante, para que o defeito seja remendado”. Pensar que essa mentalidade está sendo perpetuada por gente que conduz o pavilhão dos hackers é repugnante e mina o trabalho que tantos de nós tentamos fazer legitimamente, e que a tantos já custou anos de prisão.

Porque muitos que dizem representar os hackers terminam por trabalhar para instituições muito corruptas e opressoras, contra as quais outros hackers estão lutando, é mais que hora de demarcar linhas na areia. 

Se vocês são militares, policiais ou informantes, pagos por empresa contratada pelo Departamento de Defesa, ou para empresa de segurança privada contratada para prender outros hackers, ou para proteger a infraestrutura que nós lutamos para destruir, vocês não são dos nossos, não são nossos camaradas.

2011 foi o ano dos vazamentos e das revoluções, e todos os dias chegam notícias de novos levantes pelo mundo, e de grandes empresas e sistemas governamentais invadidos por hackers. Os jornais falam dos eventos recentes como de uma “ciberguerra” (ou, mais precisamente, de “uma Guerra Hacker de Classes”) e de como os ataques se tornaram mais frequentes e mais destruidores; e, nisso, não exageram. 

É impossível falar do hack-ativismo contemporâneo, sem mencionar Anonymous, LulzSec e Antisec. Responsáveis pela dramática valorização do que está em disputa nessa “guerra”, todos esses grupos adotaram, ao longo do tempo, posição cada dia mais explicitamente antigoverno e anticapitalismo. 


O modelo descentralizado pelo qual Anonymous opera é semelhante a qualquer das campanhas bem-sucedidas de guerra de guerrilhas que sempre houve ao longo da história das revoluções. Em apenas alguns meses, os Anonymous tomaram como alvo a CIA, o Senado dos EUA, Infragard, Sony, OTAN, AT&T, Viacom, Universal, IRCFederal, Booz Allen, Vanguard Defense Industries, além dos Departamentos de Polícia dos estados do Texas, Missouri, Alabama, Arizona, da cidade de Boston, dentre outros – capturando massivas listas de usuários/senhas, documentos confidenciais de processos em andamento, correspondência pessoal por e-mail, dentre outros documentos. A mais recente campanha – “Operation Antisecurity” [Operação Antissegurança] – está prevista para unir outros grupos hacker, tirando o chapéu para os Antisecs da velha guarda e chamando cada vez mais atenção para as políticas antigoverno dos Chapéu Preto, como jamais se viu [15].

Embora os métodos de ataque utilizados tenham sido relativamente primitivos – desde procurar vulnerabilidades em aplicativos da Web, como RFI/LFI e injeção SQL, até a força bruta dos ataques DDoS e das botnets – já se veem sinais de que a metodologia de ataque vai aos poucos se sofisticando, sobretudo quando a operação envolve talentos aliados de várias equipes de hackers. Além disso, a seleção dos alvos toma, cada vez mais, a direção de nossos principais inimigos: se, no passado, gerações de Antisecs humilharam vários grandes nomes da indústria de computação, hoje os Chapéus Pretos já não temem nem as mais altas autoridades policiais, militares e governamentais, cujos nomes, apelidos, senhas e endereços e telefones privados, além dos números de identidade e do seguro social de dezenas de milhares de policiais e oficiais militares são impiedosamente divulgados.

Enquanto os hackers continuam a expor e atacar corruptos, corruptores e a corrupção, a polícia continua, desesperadamente, a tentar prender “grandes nomes”, tenham ou não tenham qualquer culpa ou envolvimento.

Sobretudo, quando os políticos tentam enquadrar o hack-ativismo como ato de ciberterrorismo (contra o qual costumam reagir como sempre reagiram a atos de guerra tradicionais [16]), a ameaça de prisão é muito real, e todos temos de estar preparados, com a máxima antecedência possível, para todas as possíveis repercussões do envolvimento de cada um com o trabalho dos hackers.

Mas não devemos deixar que o medo da repressão policial nos assuste e nos imobilize; em vez disso, temos de fortalecer nosso movimento, praticando a melhor cultura de segurança possível e trabalhando para apoiar outros hackers, que tombem, na vanguarda, no cumprimento do dever. Apesar dos muitos guias de como se tornar “Anonymous”, ainda se cometem muitos erros: confiar no mentalmente instável Ryan Cleary, de 19 anos, para comandar o servidor LulzSec IRC, por exemplo. Mesmo antes de cooperar ativamente com os Federais, depois de ter sido preso numa operação conjunta EUA-Reino Unido, Ryan já era conhecido por jogar duplo contra outros hackers, e distribuiu informações de IP de centenas de anonops usuários do IRC [17][18]. Em nenhum caso deve-se dedar para o grande público os traidores do movimento, porque entregar outros hackers envolvidos na luta facilita o trabalho da polícia de identificar e perseguir nossos camaradas. Hoje, mais que nunca, temos de nos unir e praticar a solidariedade, superando diferenças, para lutarmos juntos contra os nossos inimigos comuns.

Os eventos dos últimos meses já foram comparados aos dias gloriosos dos anos 90s, com as guerras pelo IRC e grandes ataques a páginas internet.

Anonymous - Chapéu Branco

Embora as ações de invadir sistemas de computador vá-se popularizando, e muito sangue novo tenha entrado em cena, muitas das velhas questões ainda são as mesmas. O governo continuará a aprovar leis cada vez mais ferozes e a prender cada vez mais? Continuariam a fazer o que sempre fizeram – mesmo que os hackers não estivessem reagindo e respondendo? Os Anonymous causam de fato alguma dificuldade aos Chapéus Brancos militares e às indústrias de segurança e inteligência, com as invasões, captura de informações, desmonte de páginas, vazamentos? Ou, em vez disso, só dão pretexto para que o governo invista cada vez mais para ajudar nossos inimigos? Estaremos vivendo só mais uma episódio de adolescentes curiosos, envolvidos só em explorar à moda sqlmap e milw0rm, ou há talentos da velha escola, ainda, por trás das cortinas, na batalha para manter viva a velha chama Antisec, de luta contra a opressão? 

E, o mais importante: como podem os que combatemos na vanguarda da Guerra Hacker de Classes coordenar melhor o nosso trabalho com o que fazem hoje os movimentos de resistência que crescem nas ruas? 

Não há dúvidas de que, quanto mais se intensifiquem os ataques, mais os governos porão dinheiro para proteger as suas infraestruturas, com mais treinamento interno para os agentes de segurança interna, e mais leis para aumentar as penas a aplicar aos hackers de computadores, mais censura, mais invasão da privacidade das pessoas.

A máquina de propaganda dos governos sem dúvida sempre culpará os hackers – como se fôssemos uma espécie de ciber-Al-Qaeda, para assim confirmar que é preciso aumentar e aumentar a segurança.

Mas, atenção: eles sempre quiseram aprovar aquelas leis, e as aprovariam com ou sem a ameaça dos hackers, que eles usam hoje como bode expiatório, assim como quiseram invadir o Iraque e o Afeganistão e aprovaram o PATRIOT ACT antes de o 11/9 acontecer.

Steven Chabinsky 

Não se assustem com declarações ridículas, como a do vice-assistente do FBI, Steven Chabinsky, que anunciou, sobre os anons presos no caso PayPal, que “queremos enviar uma mensagem: o caos na Internet é inaceitável, mesmo que se acredite que os hackers operem a favor de causas sociais. É absolutamente inaceitável que invadam websites e pratiquem atos ilegais”. 

Sim, os federais continuarão a nos apresentar como se fôssemos terroristas, mesmo que não façamos coisa alguma, e continuarão a prender gente arbitrariamente, gente culpada e gente inocente, tentando mostrar que não estão sendo derrotados na ciberguerra, mesmo que todos os sinais mostrem que, sim, que eles estão perdendo a guerra.

Correm boatos insistentes de que a inesperada renúncia de Randy Vickers, diretor de US-CERT [United States Computer Emergency Readiness Team (Equipe de Prontidão dos EUA para Emergências de Computadores)] está ligada ao aumento dramático no número de ataques de alto impacto, por internet, a instituições do governo dos EUA [20].

Outro sinal de sucesso é o quanto a ameaça de se tornar alvo de ataque pelos Anonymous e outros grupos de ativistas anticensura já consegue intimidar as empresas, muitas das quais modificam seus planos originais, ou desistem deles. Isso, exatamente, foi o que fez a australiana ISP Telstra [20]. Uma prática que parece estar renascendo dos tempos dos Chapéus Pretos da velha guarda é definir como alvos preferenciais os profissionais de segurança e hackers que se vendem e passam a trabalhar para empresas e governos, ajudando-os a proteger seus sistemas. Essa é estratégia muito efetiva, não só porque aqueles caras são alvos fáceis, porque são ridiculamente incompetentes e corruptos, mas também porque eles guardam informação sobre as atividades dos militares na ciberguerra. Além disso, bater forte naqueles caras e várias vezes servirá como aviso, para que outros não sigam aquele exemplo e não vendam os próprios talentos ao inimigo: pensem duas vezes, ou vocês também lá estarão, plantados no olho do alvo.

O que acontecerá quando o governo investir todo o dinheiro possível para recrutar  mais hackers para protegerem os sistemas de censura, e não aparecem interessados?

Há hackers que se vangloriam de que qualquer movimento deles vira assunto, imediatamente, para a mídia internacional, mas as operações de ciberataque dos militares dos EUA são cada vez menos divulgadas. A divulgação não interessa a eles, porque, se as operações não são divulgadas, ficamos sem saber das capacidades deles. Mas a divulgação não interessa a eles, também, porque, sem divulgação, ninguém fica sabendo que grande parte do que eles fazem é quase sempre ilegal.

Como se diz: os que escrevem as leis têm o direito de desrespeitá-las.

Quando adolescentes invadem sistemas de grandes instituições e de grandes empresas, são apresentados como criminosos e, até, como terroristas. Quando os militares do mundo fazem a mesma coisa, em ações muito mais amplas, sempre escondidos por trás de discursos sobre a segurança nacional, dizem que estão “democratizando” outros povos. Talvez ainda demore um pouco, antes que ouçamos falar das operações em que estão envolvidos os hackers traidores que trabalham para os militares. Mas logo, quem sabe, serão eles os invadidos, e verão seus dados privados, aí, abertos, estampados, escrachados, por toda a internet.
_____________________________________

Notas dos tradutores

[0] Sobre Lulz, ver a série de artigos assinados por Quinn Norton em Wired, a partir de “Anonymous 101: Introdução ao Lulz”, 3/1/2012, 



[1a] USCYBERCOM, United States Cyber Command .

Sobre isso, ver também 14/11/2011, “30 anos de hacking político”


[2] “Stuxnet apparently as effective as a military strike” 
http://arstechnica.com/tech-policy/news/2010/12/stuxnet-apparently-as-%20effective-as-a-military-strike.ars
[2a] InfraGard é um programa do FBI; é uma ‘parceria’ entre a Academia, a indústria privada de segurança e o FBI, criado em 2003.



[4a] Black hat [chapéu preto] é expressão que designa o hacker ou cracker que invade sistemas ou redes de computadores, por uma causa e sem interesses comerciais ou pessoais. Diferentes dos Chapéus Brancos ou Cinzas (que trabalham por dinheiro), os Chapéus Pretos trabalham por uma causa (ou pelo Lulz)





[9a] Essa ideia os Anonymous aprenderam de Gabriella [Biella] Coleman. Ver 27/1/2012, “Anonymous: A ética da ação digital direta”


[9b] Sobre LOIC, ver a série de artigos assinados por Quinn Norton em Wired, a partir de “Anonymous 101: Introdução ao Lulz”, 3/1/2012, 























Nenhum comentário: