Não é preciso investigar muito para perceber que a Internet está cheia de ferramentas e armadilhas que podem ser usadas por pessoas mais mal intencionadas para atacar servidores e bases de dados, roubar informação, sequestrar o computador ou vigiar todos os movimentos de um determinado utilizador. Ou de muitos.

São o equivalente a becos escuros onde evitamos entrar nas cidades, ou os atalhos sinuosos em caminhos campestres, mas nestas escolhas é sempre mais difícil perceber à partida onde estão os riscos, e nem sempre os mapas e o senso comum ajudam.

Hoje já falámos sobre as experiências de diferentes gerações com a segurança online, consultámos especialistas para perceber quais os maiores mitos e partilhámos o dia a dia da linha Internet Segura, uma das faces visíveis de apoio ao utilizador comum. Mas ainda antes de terminar o Dia da Internet Mais Segura decidimos mergulhar no lado escuro e ver se realmente é assim tão fácil tornar-se no “mau da fita” e pôr o chapéu de black hat hacker.

Não queremos aqui fazer um manual de como se tornar um hacker, embora abundem informações do género online e uma pesquisa no Google devolva mais de 24 milhões de respostas relacionadas. Temos apenas o objetivo de fazer uma investigação jornalística, sem qualquer intenção de perpetrar os crimes possíveis ou imagináveis.

Por isso procurámos a ajuda de quem se mexe com facilidade por estes meandros para perceber quais os passos necessários para lançar um ataque DDoS, roubar dados de um utilizador, ou conseguir uma identidade falsa e um cartão de crédito roubado.

Sem surpresa, percebemos que muitas das ferramentas estão disponíveis de forma gratuita e com acesso relativamente fácil. Mas apesar de toda a facilidade apregoada, não pense que é tão simples como consultar a Wikipédia ou usar um serviço de armazenamento de dados.

Os acessos e pacotes “produtizados” mais comuns também estão sempre a “desaparecer” e a mudar de nome, depois de serem localizadas pelas autoridades que fecham servidores, mas que muitas vezes não conseguem impedir que esses programas sejam transladados para outros sítios, em servidores de mais difícil acesso na Europa de Leste ou na Ásia, onde as polícias têm mais dificuldade em fazer exercer as leis europeias.

E neste jogo do gato e do rato impõe-se uma grande mobilidade e atenção redobrada: as ferramentas que lhe oferecem a capacidade de roubar outros utilizadores podem ser as mesmas que o estão a usar a si como isco, ou como alvo.

Próxima página: O que é preciso para se tornar um hacker?

O que é preciso para se tornar um hacker?

Primeiro que tudo é preciso esclarecer que a origem da palavra hacker é positiva, e está relacionada com a capacidade de um programador conseguir desenvolver código para aceder a um determinado programa ou equipamento, e que usam o seu conhecimento para testar os limites de segurança. São os designados white hat hackers, em oposição aos black hat hackers, onde o propósito de causar danos, ou efectuar roubos, está mais presente.

Nos últimos anos o número de hackers com motivações económicas tem vindo a crescer e basta olhar para a lista dos casos que fizeram de 2014 um dos anos mais violentos ao nível do cibercrime para o perceber. As práticas de ciberguerra entre Estados estão a crescer, e os ataques recentes à PlayStation Network da Sony e à Xbox Online são prova das motivações políticas que movem grupos de hackers bem organizados.

Mesmo assim o espírito do hacker white hat ainda existe e só isso explica que até nas academias online se possam encontrar cursos de hackers para iniciados, como o que existe na udemy.

O conhecimento de linguagens de programação, mesmo que não muito avançadas, é essencial para quem queira iniciar-se em actividades de hacking. Mas algum jeito para engenharia social. Muitos dos ataques mais célebres a sistema de informação foram feitos depois de os próprios utilizadores fornecerem as palavras passe e credenciais de acesso a desconhecidos que telefonavam a pedir os dados. Foi assim que Kevin Mitnick, um dos hackers mais famosos da história recente, entrou nos sistemas da Pacific Bell.

E não pense que a tendência está ultrapassada. Jimmy Kimmel provou há pouco tempo no seu programa que as pessoas continuam a fornecer as suas passwords de forma natural bastando fazer algumas perguntas para chegar a uma resposta válida que pode literalmente dar acesso a toda a sua vida digital.

Ferramentas de phishing, keylogers (que capturam informação do teclado) e outros trojans são mais complicadas de desenvolver, mas há também quem venda kits já preparados, que exploram as vulnerabilidades mais conhecidas dos principais sistemas operativos. E depois há o ransomware, que já fez estragos entre empresas portuguesas e que exige resgates para terem acesso aos dados.

Os especialistas mostraram ao TeK que, na hipótese de alguém querer comprar estes serviços, é aconselhável a utilização de ferramentas que permitam o anonimato, e o recurso a sistemas de pagamento com pouca capacidade de identificação, como os bitcoins ou cartões de crédito roubados. Os serviços de cloud disponíveis de forma cada vez mais alargada são também uma das ferramentas usadas com frequência neste tipo de ataques, alguns que saem gratuitos e que permitem a utilização durante 15 dias quase sem registo, e com pouco controle.

Há também aplicações grátis como o LOIC (Low Orbit Ion Canon), XOIC ou o HULK, entre outros semelhantes, e basta instalar estes programas e põ-los a correr para obter resultados em ataques DDoS, dependendo o efeito do nível de segurança do servidor de destino e da capacidade do servidor de onde é iniciado o ataque.

Mas estes servidores na cloud também são usados em esquemas de phishing, que ganham pelo envio massivo de emails com links fraudulentos – muitas vezes construídos de forma bastante amadorística –mas que não deixam de conseguir alguns resultados.

Algumas destas aplicações são encontradas na Deep Web, mas nem sempre é preciso mergulhar neste lado mais negro da Net, onde se misturam muitas tendências subversivas relacionadas com pedofilia, cultos satânicos ou venda de órgãos humanos. No entanto é aqui que estão algumas das fontes mais fiáveis, com acessos preparados a redes bot que controlam milhares (ou milhões) de computadores a partir dos quais é possível lançar qualquer tipo de ataque online.

Mesmo que não seja assim tão simples como parece, e se confirme ser quase impossível tornar-se um hacker em 15 minutos se nunca fez qualquer aventura neste mundo mais escuro da Internet, a verdade é que tudo parece mais fácil do que devia ser. Assustadoramente fácil…

A conclusão? Depois de perceber bem como todo este lado negro funciona é certo e sabido que como boa prática deverá passar a tomar muito mais cuidados e cautelas online. Manter um sexto sentido alerta para qualquer coisa que saia do padrão é uma boa técnica para não cair em armadilhas e acabar por se meter em trabalhos.

Como nota de rodapé fica a recomendação: o TeK recomenda que se mantenha afastado deste lado mais negro da Internet e que privilegia o lado “bom”, mesmo que queira ser hacker opte pelo chapéu branco.

Fátima Caçador


Escrito ao abrigo do novo Acordo Ortográfico

Nota da Redação: Foi corrigido um erro de HTML nos links.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.