Como e porque Moro foi hackeado e o que você pode fazer para não ser
DISCLAIMERS
- Esse artigo tem o objetivo de fornecer uma análise técnica do ponto de vista da segurança da informação sobre os fatos ocorridos. Não vou fazer aqui juízo de valor a respeito sobre as questões éticas, jurídicas ou políticas a respeito do fato
- As conclusões e informações aqui apresentadas tem base nas informações públicas disponíveis até agora e informações obtidas pela divisão de inteligência da CYB3R Security Operations, caso novos fatos ou evidências se apresentem, farei atualizações conforme necessário para mantermos as informações apresentadas precisas.
A notícia caiu como uma bomba no já conturbado cenário político brasileiro. O Intercept publicou no dia 09 de junho uma quantidade enorme de mensagens trocadas pelo atual ministro da justiça Sérgio Moro, na época em que ele ainda era o juiz responsável pela operação Lava-Jato, com os procuradores do Ministério Público Federal envolvidos na investigação, assim como mensagens trocadas entre os procuradores vieram a público
Alguns dias antes veio a tona a informação de que os celulares de Moro e de outros membros do MPF haviam sido hackeados. Junte isso a uma boa dose de desinformação e falta de conhecimento sobre o assunto e temos os ingredientes para que florescessem as mais diversas teorias e explicações para o caso. Obviamente também diversos "especialistas em segurança da informação" concederam entrevistas tentando explicar o caso. Bom vamos a ele:
Primeiramente vamos tratar do por quê? Até porque baseado nisso é que se deve construir e escolher a estratégia de segurança necessária e adequada. Sérgio Moro teve o celular hackeado da maneira que ocorreu, porque não somente ocupa um altíssimo cargo estratégico no governo, mas porque esteve a frente da maior operação já realizada contra a corrupção na história. Se tem uma coisa que sempre choca a cada episódio de vazamento e violação de dispositivos e recursos tecnológicos de autoridades no Brasil, é o evidente descaso e falta de cuidado com a segurança da informação que é aplicada aos dispositivos em uso. Existe uma máxima em segurança que diz: Não definir o modelo de ameaças é a origem de todo mal. Isso porque, o nível de sofisticação dos ataques conduzidos contra personagens de tamanha importância é infinitamente superior aos ataques a que podem estar sujeitos pessoas comuns via de regra. Então antes de sair adotando todas as medidas sugeridas ao final desse artigo, faça uma análise para determinar contra que tipo de ameaças você precisa se proteger.
Entrando na questão do como, embora os responsáveis pela publicação neguem, as informações recebidas por eles de forma anônima, foram quase que certamente obtidas, por esse terceiro, através de acesso ilegal aos celulares dos envolvidos. Pode se chegar a essa conclusão por uma série de razões, mas a principal delas é pela existência do conteúdo de diversos chats secretos do Telegram, de diferentes pessoas nas conversas. Isso invalida a possibilidade de um informante único, e reforça a hipótese mais provável. De que ocorreram violações ilegais diretamente nos aparelhos de diversos envolvidos. Isso porque os chats secretos são criptografados de ponta-a-ponta entre os dois dispositivos que estão conversando, ou seja, mesmo que você acesse o telegram de outros dispositivos, chats secretos que você estabeleceu do seu telefone, não iram aparecer ou estar acessíveis por exemplo no seu computador ou Ipad. Outros boatos ou desinformações também surgiram, entre os quais vale a pena citar:
- A possibilidade de uma conspiração envolvendo até o governo russo.
Esse boato surgiu, porque o Telegram tem origem russa, Edward Snowden está na Rússia, Snowden conhece Greenwald, ou seja, o governo russo poderia ter pressionado o Telegram fornecer as chaves, através das quais se obteve as conversas, porém nada está mais longe da verdade uma vez que na realidade o Telegram se encontra hoje por sinal bloqueado na Rússia, justamente por ter se negado a entregar as chaves da criptografia para o governo.
2) A possibilidade de que o Telegram tenha sido hackeado
Não existe software 100% seguro, e o Telegram não é exceção, porém nesse caso, a presença do conteúdo dos chats secretos, invalida essa teoria, uma vez que mesmo que tivesse ocorrido tal violação, o atacante teria acesso aos chats armazenados na rede do Telegram, não aos chats secretos, uma vez que esses são protegidos por criptografia ponta-a-ponta.
3) A possibilidade da invasão ter sido feita através de um malware.
Essa teoria, não esta completamente errada, mas incompleta. Isso porque, os sistemas operacionais de celulares modernos possuem um mecanismo de segurança que proporciona o isolamento do ambiente de execução entre os aplicativos, o que significa que um aplicativo no seu celular não tem acesso aos dados de outro aplicativo. Além disso, os atuais sistemas operacionais de dispositivos móveis, implementam isolamento para as aplicações até mesmo entre recursos do sistema. É por essa razão que quando você instala um aplicativo precisa dar permissão de acesso a ela para uso da câmera, microfone, etc…E quando você instala um aplicativo que precisa ter acesso a dados de outros aplicativos, precisa executar liberações de acesso especiais para ele dentro do sistema operacional. Dessa maneira, caso o vetor de infecção nos alvos tivesse sido um simples malware recebido por e-mail por exemplo, ou um código malicioso em algum site, esse malware teria tido acesso as informações disponíveis para esse aplicativo, potencialmente aos arquivos locais do celular, acesso ao microfone e a câmera, não teria a priori acesso as informações do Telegram, por estarem isoladas em outra área de acesso no sistema.
Então o que ocorreu? Bom, a investigação disso esta a cargo da Polícia Federal e dos peritos do MPF, e para realizarmos afirmações com maior nível de certeza, seria necessário realizar procedimentos de perícia forense nos equipamentos violados, porém com as informações que temos até agora, podemos afirmar que o celular de Moro e dos membros do MPF foi invadido por uma pessoa, ou organização com acesso a recursos extremamente restritos e sofisticados, uma vez que necessariamente, ou foi realizado algum procedimento de "rooteamento" nos celulares, com posterior infecção de alguma espécie de trojan, que por ocasião do enfraquecimento das defesas do sistema, aí sim teria acesso às informações vazadas, ou através da exploração de alguma vulnerabilidade extremamente grave no Android que forneceu ao atacante acesso com nível de administrador ao sistema. Infelizmente o nível de fragmentação e de dispositivos Android desatualizados é extremamente grande. Estima-se que existam mais de 1 bilhão de dispositivos Android desatualizados em uso.
Porém, esse não necessariamente pode ser o caso aqui. O celulares mesmo estando com a última atualização disponível, podem ter sido hackeados, através de uma vulnerabilidade ainda não conhecida/não divulgada, e caso seja essa a situação aqui, reforça a teoria da participação de agentes com acesso a recursos extremamente sofisticados e de alta capacidade técnica. A NSA e outras agencias de inteligência pelo mundo, por exemplo exploram diversas falhas nos mais variados sistemas durante anos de forma secreta, antes que elas viessem a tona. O famoso WannaCry por exemplo, foi produzido com base numa ferramenta vazada pelo grupo Shadow Brokers, obtida através de uma invasão e roubo de uma ferramenta usada pela NSA para infectar computadores chamada EthernalBlue.
Uma outra teoria que parece fazer sentido quando analisamos o padrão de comportamento e métodos de ação dos atacantes é de que a primeira violação ocorrida a mais de um mês atrás e de onde surgiram as informações vazadas pelo Intercept, tenha sido conduzida por uma organização ou atacante com alta capacidade operacional para tal, através de uma vulnerabilidade específica e desconhecida, e essa entidade, vazou discretamente essa vulnerabilidade para hackers através de grupos no underground, e foram esses hackers a conduzir os ataques dos últimos dias. A razão para isso pode ser dificultar a obtenção de evidências do ataque original. Ainda precisamos obter mais informações para confirmar essa teoria, mas analisando os fatos, ela faz sentido, e explica uma série de questões e acontecimentos.
Dessa maneira finalmente chegamos na parte do que pode ser feito. Note que conforme foi dito acima, você precisa antes de sair implementando todas as sugestões abaixo, realizar uma análise de qual é o seu modelo de ameaças. De quem você quer se proteger? De possíveis curiosos? De hackers em geral? Você ou alguém próximo a você pode ser alvo a espionagem por parte de agencias ou organizações com grandes recursos tecnológicos como a NSA? Baseado nessas respostas você pode escolher um ou mais itens para implementar na sua vida e seus dispositivos. Adicionalmente recomendo a leitura desse guia da Eletronic Frontier Foundation
- Anti-vírus
Pode parecer meio óbvio, mas não é. Seu celular hoje, tem a capacidade de um computador de mesa. Celulares reúnem cada vez mais informações a nosso respeito, e por essa razão o número de malwares e ataques a esses dispositivos, cresceu vertiginosamente nos últimos anos. 60% dos celulares não possuem nenhum anti-vírus instalado. Existem hoje dezenas de opções das mais variadas marcas de anti-vírus disponíveis tanto para Android como para IOS. A existência de um anti-vírus ira fornecer uma camada de proteção ao seu dispositivo contra malwares conhecidos.
2. Mantenha seu dispositivo atualizado
Novamente, pode parecer óbvio, mas não é, como citei acima mais de 1 bilhão de dispositivos Android se encontra desatualizado no mundo hoje. Manter seu dispositivo atualizado te deixa protegido contra vulnerabilidades conhecidas ao sistema, o que inviabiliza esses ataques.
3. Aplicativo Anti-malware
Um passo adicional aqui é instalar um aplicativo como por exemplo o Lookout ou o aplicativo da Malwarebytes por exemplo. Disponível para Android e IOS, eles monitoram o dispositivo buscando por comportamentos suspeitos, ou violação dos recursos de segurança do seu celular, ou seja, se alguém secretamente tentar efetuar o chamado "rooteamento" do seu Android, ou o "Jailbreak" do seu IPhone, este aplicativo irá lhe alertar a respeito. Da mesma maneira irá alertar para qualquer comportamento suspeito realizado por qualquer aplicativo do seu celular. Note que ele não substitui o anti-vírus, é só um complemento para ele.
4. Ative o segundo fator de autenticação
Como expusemos acima, não foi o caso nessa situação relatada nesse artigo, mas uma das maneiras mais usadas por hackers para ter acesso às suas mensagens é tentar se passar por você e configurar o recebimento das mensagens no aparelho dele. Por essa razão a maioria dos programas hoje oferece a opção de habilitar o segundo fator de autenticação ou a chamada autenticação em duas etapas e o Telegram aqui não é exceção. Aqui você encontra um passo a passo de como fazer. Uma vez habilitado mesmo que um hacker inicie o processo de configuração da sua conta, e de alguma maneira obtenha o código SMS enviado, você pode habilitar a senha de acesso a nuvem, e ela seria requerida para autorizar o acesso à sua conta, feito por qualquer dispositivo desconhecido. Adicionalmente também vale citar que o Telegram envia mensagem para todos os seus dispositivos conhecidos, toda vez que um novo dispositivo acessa sua conta.
5. Ative a senha de aplicativo
O Telegram já há muitos anos, fornece ainda uma camada extra de segurança, onde você pode estabelecer uma senha para acesso ao aplicativo, dessa forma, mesmo que alguma pessoa tenha acesso, físico ou remoto, ao seu aparelho, as mensagens ficam travadas e você precisa digitar a senha, ou entrar com a digital para desbloquear. Você pode ainda escolher se o bloqueio irá ocorrer com qual frequência e estabelecer um tempo de inatividade para o bloqueio automático.
6. Use aparelhos seguros
Se você, ou alguém próximo a você for alvo a espionagem de alto nível, você deve considerar o uso de aparelhos desenvolvidos com um nível maior de segurança e criptografia mais alta. Existem hoje disponíveis diversos aparelhos projetados tendo em mente a segurança e a proteção dos dados. Em geral esses aparelhos fornecem opções extremamente limitadas de funções justamente para garantir um maior grau de segurança das informações.
Bom, por hoje é só pessoal, voltarei a atualizar esse artigo caso tenha acesso a novas informações a respeito do ocorrido