Hackear a Lava-Jato é mais simples do que você pensa
Um olhar diferente sobre a história do ano
A notícia da semana foi o hacking (ou “hackeamento”, como alguns veículos usaram) da Operação Lava-Jato. O site The Intercept divulgou conversas privadas de procuradores do Ministério Público Federal de Curitiba — entre eles o líder da força-tarefa, Deltan Dallagnol — e o ex-juiz e hoje Ministro da Justiça e Segurança Pública, Sergio Moro, no que parece ser um conluio para condenar o ex-presidente Lula no já famoso “caso do triplex”.
Tudo leva a crer que essas mensagens foram obtidas por um (ou mais de um) hacker. Mas a grande imprensa, que cobre o caso na editoria de política e não na de tecnologia, que é a minha área, não me parece estar se esforçando para explicar ao público como esse tipo de hacking acontece de verdade. O Fantástico fez matéria sobre isso, outros grandes jornais e portais também, mas com a pressa que a cobertura diária do noticiário brasileiro exige e sem a profundidade que só um trabalho feito com mais tempo pode proporcionar.
A palavra “hacker”, que estampa as manchetes de muitos desses veículos, carrega uma conotação bem negativa e, no imaginário coletivo, é fortemente influenciada por filmes e séries de Hollywood. Ao ouvi-la, é comum pensarmos em um sujeito taciturno, usando capuz, sentado no escuro diante de três monitores, digitando em ritmo frenético no seu teclado, um habilidoso e mal intencionado gênio dos computadores que faz malabarismos com códigos, esquiva-se de complexas barreiras de segurança até alcançar as profundezas de um sistema eletrônico que, para meros mortais como eu e você, é inalcançável.
Mas a verdade não é bem assim. Esqueça a imagem que você tem dos filmes e séries de TV. Esqueça todas aquelas fotos de bancos de imagens. Hackers não são figuras tão enigmáticas assim, e nem sempre são mal intencionados. No caso da Lava Jato, aliás, tudo leva a crer que os alvos do hackeamento caíram em golpes ligeiramente simples e que não requerem conhecimento profundo de tecnologia ou qualquer equipamento de ponta. O caso é bem menos dramático do que pode parecer na sua cabeça.
Antes de mais nada: o que é um hacker?
Como jornalista especializado em tecnologia, cobri o universo dos hackers e do hacktivismo de perto por muito tempo. Hackers são pessoas apaixonadas por tecnologia e que nem sempre se contentam com as regras impostas pela indústria da inovação. Seu objetivo é quebrar essas regras, burlar sistemas, cruzar linhas. Há um grande senso de libertarianismo entre eles, um desejo de romper o status quo do poder e uma grande inclinação ao anarquismo. Muitas vezes, essa paixão e inteligência podem levá-los a conquistar feitos impressionantes, para o bem ou para o mal.
A Apple, empresa de tecnologia que é talvez uma das mais inovadoras do mundo, nasceu da mente de dois hackers. Muito antes de fundar a empresa da maçã numa garagem do Vale do Silício nos anos 70, Steve Jobs e Steve Wozniak tinham como passatempo hackear o sistema internacional de linhas telefônicas para realizar chamadas interurbanas de graça, e assim passar trotes para o mundo inteiro. Eram o que chamavam na época de “phone phreaks”.
Jobs e Wozniak se inspiraram num outro hacker importante para a história da tecnologia, John Draper. Também conhecido como Captain Crunch, ele foi o mais notório dos phone phreaks da década de 1970, criador da Blue Box, uma gambiarra que usava um apito de plástico que vinha na embalagem do cereal Cap’n Crunch (daí o apelido) e que permitia hackear linhas telefônicas para fazer ligações de graça.
O objetivo de phone phreaks como Draper, Jobs e Wozniak não era ganhar dinheiro ou fazer mal a quem quer que fosse. Eles só queriam passar trotes, se divertir quebrando as regras de um sistema rígido, porém falho, que era o da telecomunicação nos EUA da década de 70. O movimento hacker nasceu e cresceu com os phone phreaks, numa era de contracultura e luta contra o sistema perfeitamente exemplificada pelos ícones da época, como o festival Woodstock e as músicas antiguerra de John Lennon. A liberdade e a desobediência civil eram a pauta.
Jobs e Wozniak mais tarde criariam a Apple, popularizariam o conceito de computador pessoal doméstico com interface gráfica de navegação, com o Macintosh; o conceito de música digital que você carrega no bolso, com o iPod; e o celular inteligente faz-tudo, o iPhone. Draper, por sua vez, seria responsável por desenvolver o EasyWriter, primeiro editor de textos do computador Apple II e precursor de programas como Microsoft Word e Google Docs.
Tanto Wozniak quanto Jobs diriam anos mais tarde que, sem seus respectivos históricos como hackers, a Apple jamais existiria. “Ao perceber que você pode ser inteligente e fazer coisas que apenas um mago poderia imaginar, você começa a entender que o impossível na verdade pode ser possível. Isso leva a uma exploração profunda, tentando encontrar maneiras para driblar barreiras nos sistemas de tecnologia, uma mentalidade de hacking. Quando você faz as coisas por si próprio, por razões pessoais e para se divertir, você pode fazer o impossível”, escreveu Wozniak num artigo de 2014.
Hackers políticos
Uma outra forma pela qual hackers mudam o mundo à sua volta é através do ativismo. Eu conheci um hacktivista em 2016 — talvez um dos primeiros e mais notórios deles. Seu nome é Marc Rogers, mais conhecido como “CJ” ou “Cyberjunky”, um pesquisador britânico que atuou como consultor na série de TV Mr. Robot, que, por sua vez, conta a história de um grupo de hackers que elabora um grande ataque aos sistemas de uma instituição financeira com o objetivo de apagar todas as dívidas do mundo.
Na década de 1990, Marc se envolveu com um dos primeiros grupos de hackers da Inglaterra, o AoHP (“Agents of a Hostile Power”, ou “Agentes de uma Potência Hostil”). Uma das ações do grupo era a prática do defacing, que consiste em invadir uma página da web e editar todo o seu conteúdo. Marc e seus colegas invadiram sites do governo britânico e deixaram mensagens de protesto contra os políticos daquele país. Não vazaram dados nem causaram qualquer prejuízo sério, apenas deixaram público um sentimento de insatisfação. Quebraram as regras em nome da liberdade.
“Hackers têm feito isso por mais de 30 anos e continuarão a fazê-lo”, me contou Marc quando o conheci em 2016. De fato, muitos outros grupos como o AoHP surgiram ao longo dos anos. O Anonymous (ironicamente) é o mais famoso deles. Este grupo não-centralizado e não-organizado é conhecido também pela prática de defacing, tendo agido em sites do governo do Brasil em múltiplas ocasiões. Hackers que se identificam como parte do grupo Anonymous também divulgaram listas de telefones pessoais de políticos em diversos momentos da história recente do país. “Hackers costumam ser muito inteligentes e muito apaixonados”, me disse Marc. “Isso significa que eles querem mudar o mundo a seu redor. E se hackear é a habilidade deles, é assim que eles vão tentar.”
O hacker mora ao lado
Hackers são pessoas criativas e entusiasmadas capazes de encontrar falhas em sistemas de segurança. Quando direcionadas para fins altruístas, estas são habilidades profissionais altamente requisitadas no mercado. Anualmente, a Flipside organiza um São Paulo um evento chamado Roadsec que reúne a comunidade hacker do Brasil inteiro para 24 horas de palestras, shows, oficinas e até campeonatos proto-esportivos. Há, no meio disso tudo, empresas que buscam atrair talentos para suas equipes de T.I.
“Aqui a gente tem acesso a uma comunidade que não aparece no circuito convencional, nos sites de currículo, no LinkedIn… É muita gente jovem, um pessoal autodidata e com motivação própria para pesquisar e continuar estudando”, me disse um desses recrutadores durante o Roadsec de 2017. O hacker “do bem”, como algumas pessoas o chamam, pode ser de grande valor para empresas, sendo capaz de encontrar falhas em sistemas sensíveis e corrigi-las antes que se tornem um problema.
Ezequiel Pereira é um jovem uruguaio de 19 anos que eu conheci em 2018. Ele já faturou o equivalente a mais de R$ 100 mil hackeando nada mais, nada menos do que o Google. Mas se engana quem pensa que esse dinheiro tem origem ilícita. Ezequiel é um caçador de recompensas. Ele é pago para hackear os produtos da empresa de Mountain View e relatar a ela as falhas de segurança que ele encontra.
“É só um passatempo, faço quando sinto vontade”, me contou Ezequiel quando nos conhecemos. “Eu gosto de aprender como o Google funciona. Eles têm alguns dos melhores engenheiros do mundo, constroem a maior parte dos sistemas que eles usam, então os seus produtos funcionam de uma maneira única.”
Há várias outras empresas de tecnologia que oferecem esse tipo de programa de recompensa, incluindo Microsoft, Amazon, Dell e Facebook, entre outras. Um brasileiro já chegou a ganhar o equivalente a R$ 78 mil (na época) por encontrar uma falha grave nos serviços da rede social, por exemplo, e mais tarde foi contratado por ela. Só o Google distribuiu mais de US$ 3,4 milhões em recompensas a caçadores de bugs em 2018.
Além de ganhar muito dinheiro, esses hackers caçadores de recompensas ajudam a tornar as ferramentas que eu e você usamos muito mais seguras. Profissionais de segurança da informação contratados também fazem isso. Mas o trabalho desses hackers é o de encontrar falhas nos códigos de sistemas que podem ser exploradas por programas e scripts complexos. Eles evitam que criminosos tenham acesso a informações e recursos privados ou sensíveis. Mas existe um ponto no sistema de segurança, o mais sensível e falho de todos, que não pode ser protegido por códigos, não importa quão habilidoso seja o responsável: o usuário.
Falha humana: a principal arma de um hacker
A engenharia social é a arma mais poderosa e subestimada de um hacker. É através dela que a maioria dos grandes ataques de que se ouve falar têm sucesso. A técnica consiste em enganar o usuário que guarda as chaves de um sistema eletrônico de segurança e convencê-lo a entregar essas chaves ao invasor sem perceber. É quase como um truque de ilusionismo que se aproveita da falta de atenção, ingenuidade ou mesmo da ganância da vítima.
Golpes de engenharia social são os mais comuns no mundo da cibersegurança. Como repórter de tecnologia, perdi a conta de quantas vezes escrevi sobre alguma mensagem que circulava em grupos de WhatsApp e que prometia um benefício muito bom para ser verdade — camisa da seleção brasileira de graça, cupom de desconto de R$ 150 etc. — em troca de informações sigilosas e/ou valiosas do usuário. Milhares de pessoas caem em golpes assim semanalmente só no Brasil. Por mais seguro que seja o código do WhatsApp, nada impede que um usuário entregue por conta própria suas senhas ou acesso ao sistema do seu smartphone para um invasor.
Há outros casos notórios em que a falta de atenção do usuário foram suficientes para permitir a passagem de hackers por sistemas sensíveis. Em maio de 2017, um ransomware (isto é, um vírus que sequestra o PC da vítima criptografando todos os arquivos do computador, só os liberando após o pagamento de um resgate) chamado WannaCry levou parte do mundo ao caos. Diversas empresas, hospitais, escolas, bancos, serviços de telecomunicações, de transporte e órgãos governamentais foram atingidos e ficaram fora do ar graças ao gigantesco ataque hacker que atingiu cerca de 230 mil sistemas em todo o mundo, incluindo no Brasil.
No caso do WannaCry, todo esse caos só se espalhou porque os hackers exploraram uma falha antiga de computadores Windows. A brecha em questão já havia sido corrigida pela Microsoft por meio de uma atualização. O problema é que os administradores desses 230 mil sistemas atingidos não haviam instalado essa atualização. Nesse caso, todo o investimento das empresas em segurança, toda a proteção inserida nas máquinas por habilidosos profissionais de T.I. não valeu de coisa alguma.
Além disso, o ransomware se espalhou depois de ter sido baixado por engano por uma pessoa, em um provável golpe do tipo “as fotos da festa ficaram ótimas” por e-mail. A partir deste primeiro computador, o “paciente zero”, o vírus se espalhou por outras máquinas e sistemas do mundo todo. Tudo graças a uma falha humana, um e-mail com as palavras certas para fisgar uma vítima desatenta, suficiente para causar um estrago de proporções internacionais. Nem toda a tecnologia do mundo é suficiente para corrigir a maior falha de todas: o próprio usuário.
Usando de engenharia social, em vez de pular o muro ou arrombar a porta, o ladrão simplesmente te convence a entregar as chaves da sua casa sem que você perceba, ou se aproveita do fato de que você deixa a porta de casa destrancada. E assim como a pessoa que entrega suas informações bancárias em troca de uma camisa da seleção brasileira no WhatsApp, tudo leva a crer que falha humana e uma boa dose de engenharia social, em vez de programas complexos e códigos habilidosos, levaram os procuradores da Lava-Jato a entregar de mão beijada suas conversas privadas a hackers que não tinham como objetivo ganhar dinheiro ou ter algum benefício pessoal, mas apenas chacoalhar as instituições e quebrar as regras do poder.
Como hackear a Lava-Jato
Voltando ao assunto principal deste artigo, vamos falar sobre como a Lava-Jato foi hackeada. O caso ainda está sendo investigado pela Polícia Federal e nós não temos todas as informações a nosso dispor, então encare isto como um exercício de imaginação. Em primeiro lugar, esqueça o hacker de capuz querendo ganhar dinheiro e tenha em mente o hacker idealista/anarquista que só quer ver o circo pegar fogo. E esqueça também códigos complexos e sistemas de última geração. Hackear a Lava-Jato pode ter sido mais fácil do que parece.
Muitos veículos têm citado a técnica de SIMswap (ou “clonagem de número”) para explicar como os telefones dos procuradores do MPF podem ter sido invadidos à distância. A técnica consiste em transferir o número de telefone da vítima para outro chip, nas mãos de um criminoso, invalidando o original. Assim o invasor consegue fazer login no WhatsApp, Telegram ou outro aplicativo de mensagens se passando pelo dono. Mas há problemas com essa tese.
Para realizar esse tipo de clonagem, os invasores precisam de alguém que trabalhe na operadora responsável pelo número da vítima. Esse tipo de expediente é usado por quadrilhas com interesse em roubar ou praticar outros tipos de golpes com objetivos financeiros. É uma operação cara, porque precisa também arcar com os custos de corromper um funcionário da operadora. Por isso, precisa verter algum lucro aos invasores. E o que se vê até agora é que os hackers da Lava-Jato não ganharam dinheiro algum com isso.
Além do mais, a técnica do SIMswap permite acesso a conversas do WhatsApp, mas, até agora, todos os diálogos divulgados pelo Intercept aconteceram apenas no Telegram, um app que é bem mais vulnerável (falaremos disso logo adiante). Logo, podemos supor que só o Telegram foi invadido. O SIMswap também desativa o chip original da vítima, deixando ali um indício muito claro de que ela foi hackeada e um alerta para que ela possa agir a respeito. O ministro Sergio Moro disse ter sido vítima de uma tentativa de SIMswap recentemente, ao receber uma ligação de um número igual ao dele. Mas o Intercept garante que os diálogos divulgados agora não têm relação com esse caso.
Com base no que nós sabemos sobre o caso, então, tudo leva a crer que o alvo do hacking foi o somente o Telegram, e não o telefone pessoal dos membros da Lava-Jato. Além disso, os alvos originais parecem ter sido membros da força-tarefa no MPF, e não o ex-juiz Moro. Nas primeiras reportagens do Intercept sobre o caso, a única pessoa que aparece em todas as conversas divulgadas é Dallagnol. Na quinta matéria, a constante é o procurador Carlos Fernando dos Santos Lima, que aparece numa troca de mensagens com Moro e num chat de grupo entre procuradores e assessores de imprensa do MPF. Ou seja, os telefones hackeados foram dos procuradores, e não o do ex-juiz, pelo que se sabe até agora.
Agora vamos ao como. Ao contrário do que os membros do MPF e o ex-juiz pensaram, o Telegram não é, por padrão, mais seguro que o WhatsApp. Ele possui mais recursos e, para muita gente, é um aplicativo mais completo, mas não é necessariamente mais bem protegido. Tudo tem a ver com o sistema de criptografia de ponta-a-ponta mandatória presente no WhatsApp e que, no Telegram, pode ser ativado de forma opcional. Todas as mensagens que circulam pelo WhatsApp são criptografadas, de modo que elas não podem ser lidas no meio do caminho entre um celular e outro. As mensagens sequer passam pelos servidores do WhatsApp. Se a empresa que administra o app for hackeada, o invasor não vai encontrar qualquer conversa pessoal lá.
Não é bem assim com o Telegram. É possível enviar mensagens criptografadas pelo app, mas só ativando o recurso de “chat secreto” disponível nas configurações do aplicativo. E, como meu colega de profissão Rodrigo Ghedin bem pontuou em seu artigo no Manual do Usuário, ninguém se importa com os recursos opcionais de segurança e privacidade. O que importa é a configuração padrão (default), e, neste contexto, o Telegram é mais frágil que o WhatsApp ou mesmo o Signal, aplicativo de mensagens popular entre entusiastas da privacidade online, como Edward Snowden.
A falta de criptografia de ponta-a-ponta por padrão no Telegram é o que torna o aplicativo tão mais atraente do que alguns concorrentes, no fim das contas. O app é menos burocrático do que o WhatsApp, por exemplo, para facilitar a vida do usuário que quer acessar as suas conversas de qualquer lugar. O WhatsApp só pode ser instalado em um celular por vez, e para ver suas mensagens no PC, é preciso ter acesso físico ao aparelho. No caso do Telegram, você pode conferir suas mensagens em qualquer PC ou celular e não depende de um só dispositivo. Nesse sentido, o Telegram é mais flexível, mas a minha tese é de que essa flexibilidade foi o que abriu as portas para o hackeamento da Lava-Jato.
Para ver suas mensagens do Telegram no PC, basta acessar a página da versão web do aplicativo e digitar o seu número de telefone — ou qualquer número de telefone, como, por exemplo, o de Deltan Dallagnol, se você quiser ver as mensagens dele. Para garantir que você é o dono desse número, o Telegram envia uma mensagem de SMS para o seu celular com um código de acesso. Esta é a chave para as conversas privadas da Lava-Jato. Para obter esse código, o hacker só precisa empregar a quase sempre infalível tática da engenharia social.
Imagine a cena:
O hacker liga para Dallagnol.
- Boa tarde, dr. Dallagnol. Meu nome é Fulano de Tal e eu sou gerente de segurança da informação do Telegram. Nossos sistemas estão sendo alvo de ataques e, por isso, estamos disparando mensagens de SMS para confirmar a autenticidade dos usuários. Acabamos de enviar ao senhor um código por SMS. O senhor pode me confirmar o número que o senhor recebeu?
Dallagnol, convencido de que está falando com um técnico, diz a ele o código de SMS que acabou de receber.
O hacker acessa o Telegram na web, digita o número de telefone do procurador e o código de segurança que ele acabou de receber.
Pronto. O hacker agora tem acesso a todas as conversas em que Dallagnol se envolveu, com outros membros da Lava-Jato e com o ex-juiz Moro, além do número de telefone de outros integrantes da força-tarefa.
Simples, rápido e indolor. A vítima nem percebe que alguém entrou na sua conta a partir de outro dispositivo.
O Telegram oferece um recurso de autenticação em duas etapas que exige ainda uma segunda senha para quem quiser acessar as suas conversas por outro dispositivo. Mas a própria Polícia Federal já confirmou que muitas das vítimas do vazamento não tinham este recurso (opcional) ativado. Neste caso, para hackear a Lava-Jato, só são necessárias uma pessoa, um número de telefone e uma boa lábia.
Moral da história
É importante dizer que tudo isso não passa de conjectura feita com base nas informações a que temos acesso no momento. É possível que os verdadeiros hackers da Lava-Jato sejam criminosos atrás de dinheiro. É possível que tenham utilizado a tática do SIMswap. É possível até que os diálogos publicados pelo Intercept não tenham sido obtidos por meio de um hacker, mas por meio de um “delator” que fazia parte da força-tarefa. O site não revela a sua fonte, de modo que jamais saberemos toda a verdade sobre a origem desses vazamentos.
Meu objetivo não é mostrar como a Lava-Jato foi hackeada, mas como ela poderia ser hackeada facilmente. Não tenho interesse em passar pano para o invasor, nem justificar o roubo de dados como sendo o ato político de um herói. Como o próprio conteúdo dos diálogos confirma, não existem heróis na política brasileira. Minha ideia é desmistificar toda essa história e dar a ela uma nova perspectiva, diferente daquela que se tem no jornalismo apressado da grande mídia. Mostrar a você que a palavra “hacker” tem muitos outros significados além daqueles comumente associados a ela. E mostrar que nem toda a segurança eletrônica do mundo pode tapar a maior brecha de todas: a própria ingenuidade do usuário.
O hacking da Lava-Jato nos ensina que é preciso dar atenção às configurações dos nossos aplicativos de comunicação. Vale a pena gastar alguns minutos investigando como tornar seus dados mais seguros, mesmo que você não seja uma figura pública envolvida com a política brasileira. Qualquer um pode ser vítima de um golpe simples com intenção de nos tirar dinheiro. E também nos lembra que nem todo hacker é um criminoso. Alguns só querem quebrar as coisas e mostrar ao mundo como elas funcionam.
Mesmo com a melhor das intenções, os responsáveis por roubar conversas privadas da Lava-Jato devem ser responsabilizados judicialmente por seus atos. Não importa se o objetivo é expor membros do judiciário ou livrar a política brasileira da corrupção. Os fins não justificam os meios. Fica a dica.
