Uma revolução chamada LulzSec
por David Sopas (*)

Apresentação

O grupo Lulz Security (ou LulzSec) apareceu pela primeira vez em Maio deste ano e surgiu devido a um desentendido nos objectivos do grupo Anonymous, já que este último tem como finalidade protestos políticos. Os LulzSec focam-se principalmente em divulgar informação confidencial e atacar grandes empresas ou instituições governamentais (ex: PBS, Sony, Nintendo, FBI e CIA) pelo desafio ou… pelo lulz (divertimento/risos).

Quanto à sua formação, consta que os líderes dos LulzSec são jovens oriundos de vários países e com idades compreendidas entre 18 a 25 anos. No entanto é difícil calcular o número de apoiantes. Podemos especular que, com o constante crescimento de seguidores no Twitter e nos canais de IRC que mantém, o número deve rondar os milhares.

Os LulzSec são financiados com donativos que recebem via Bitcoin que, posteriormente, são utilizados para a compra de botnets, malware e outro software malicioso para auxiliar os seus ataques.



[caption]David Sopas[/caption]

Método

Os LulzSec utilizam as mais diversas falhas para atingir os seus fins, mas até à data, a utilização de vulnerabilidades SQL Injection para obtenção de informação confidencial é a preferida. No entanto, os ataques negação de serviço distribuídos (DDoS) efectuados pelo grupo são os mais devastadores e difíceis de conter e podem causar prejuízos de milhares de euros.

O grupo utiliza ferramentas maioritariamente gratuitas e disponíveis para download por qualquer utilizador. Algumas dessas ferramentas são de uma simplicidade extrema, onde é apenas necessário inserir um endereço IP e clicar num botão. O resto do serviço é automatizado. Desta forma, qualquer utilizador pode ser uma via condutora de um ataque.

Na minha opinião, a maior arma dos LulzSec é a sua forte utilização das redes sociais.
Num caso mais concreto, quando o grupo anunciou um alvo no Twitter (uma famosa empresa de desenvolvimento de vídeo jogos) os seguidores que clicaram no link colocaram o website fora do ar. Isto porque o número de pedidos de acesso ao website da empresa foi demasiado elevado num curto espaço de tempo.

Actualmente os LulzSec têm mais de 220.000 seguidores no Twitter e mantêm uma média de 2.000 a 5.000 utilizadores online nos canais de IRC.

É com certeza que digo que os LulzSec são um grupo Web 2.0.

Evolução

Fama, constantes rivalidades entre outros grupos, detenções de supostos membros, todas as situações não estão afectar o crescimento dos LulzSec. Muito pelo contrário. Recentemente começaram a surgir várias ramificações do grupo - LulzSecColombia, LulzSecMex e os LulzSecBrazil, tendo este último reivindicado ataques DDoS no brasil.gov.br e presidencia.gov.br.

Presentemente, os LulzSec e os Anonymous juntaram-se para criar a operação - Operation Anti-Security.

Objectivo? Lançar ataques contra governos, bancos e grandes empresas de todo o mundo com o intuito de aceder informações confidenciais como contas bancárias e emails para detectar irregularidades e corrupções, que seriam posteriormente divulgadas a público.

A primeira vítima foi a polícia britânica SOCA (Serious Organised Crime Agency).

Segurança

Com estes recentes ataques dos LulzSec, ficou provado de uma maneira dura e crua como grandes empresas estão a expor a informação confidencial e como pode ser acedida e utilizada indevidamente. Esta situação leva algumas empresas a questionarem-se quanto às suas infra-estruturas e como podem ser alvo de perda de informação. É um risco que as empresas e Governos não podem correr.

Esta nova mentalidade tem vindo a originar um crescimento na oferta de trabalho para empresas de segurança de informação e consultores privados.

As empresas e Governos devem tomar medidas de protecção adequadas para proteger deste tipo de ameaças. Estas medidas devem passar pela formação contínua, testes de penetração e a contratação de especialistas de segurança de informação evitando que informação crítica seja perdida.

O aparecimento dos LulzSec só veio chamar ainda mais à atenção de um problema que já existe desde os primórdios da Internet - a Segurança.

Conclusão

Na semana passada, os LulzSec divulgaram uma lista com mais de 60.000 dados de autenticação. Esses dados foram testados por diversos seguidores do grupo que, após algum tempo, divulgaram que muitas dessas contas de autenticação estão a ser utilizadas para contas Paypal, Facebook, contas de e-mail, Amazon, entre outras...

É preocupante como existem ainda utilizadores que utilizam os mesmos dados de acesso para diversos tipos de conta.

Fica a sugestão para não utilizarem os mesmos dados de autenticação para diversas contas de acesso e trocar regularmente de palavra passe, de preferência complexas.
Pode ser uma solução extremamente simples mas eficaz em muitos cenários.

Entretanto, de acordo com um comunicado no Twitter, os LulzSec "encerraram" as suas principais actividades ao fim de 50 dias de existência (mantendo apenas os projectos de ligação aos Anonymous e os branches em outros países).

O fim ou uma simples pausa, a certeza que fica é que conseguiram, de certa forma, chamar atenção da importância da protecção de dados e que a segurança de informação tem de ser levada cada vez mais a sério.

As questões que coloco são: Será o inicio de uma nova geração de grupos deste género? Qual seria a reacção de Portugal a este tipo de ataques?

O tempo dirá...

(*) editor do WebSegura.net