Hackers, traições e sabotagens. Relatos de um investigador forense

Views: 258
0 0
Read Time:7 Minute, 0 Second

Tem um ‘supercomputador’ cuja principal função é descobrir palavras-passe de smartphones. Criou as próprias máquinas para aceder aos chips de dispositivos de armazenamento. Diz que o Bitlocker, o sistema de encriptação do Windows, não é um problema para ele. Miguel Oliveira sabe como poucos como entrar num computador ou telemóvel – mas quando alguém precisa dos seus serviços, é sinal de que outros já lá entraram primeiro.

O azar bate à porta quando menos se espera. E no mundo digital tem uma agravante – vem dos sítios menos prováveis. “O vetor de ataque que estamos a descobrir neste caso é através dos painéis solares. É tão grave que podes modificar o firmware dos conversores de corrente e podes provocar um incêndio. É um milagre ninguém lá ter ido fazer uma asneira”.

Quem o diz é Miguel Oliveira, perito em análise forense digital, enquanto exemplifica o que faz no dia-a-dia. Neste relato de um caso que tinha entre mãos, quando o entrevistámos, tudo aponta para que tenha sido uma má configuração nas portas de rede que permitiu um ataque informático a uma empresa através dos painéis solares. Mas este não é sequer o mais engenhoso ou o mais caricato dos casos nos quais já trabalhou.

Noutra ocasião, foi chamado a Espanha para analisar dispositivos de uma empresa também vítima de um ataque informático. O culpado? Mais uma vez improvável. “Foi o próprio dono. Queria fechar a empresa e tirar o dinheiro sem pagar o que devia, e autoinfetou a empresa”, recorda. “Ia ter encargos, mas tinha uma apólice [de seguro] de cibersegurança”, acrescenta o português de 32 anos. O patrão sabotador acabaria por ser apanhado não por uma ligação direta ao ataque informático em si – “fez tudo direito”, sublinha Miguel –, mas sim quando transferiu o resgate em criptomoedas para uma carteira pessoal.

Por ser chamado a atuar em muitos locais de crime – sem sangue, mas com muitos bits derramados –, Miguel Oliveira acaba por ter uma visão única da destruição, da malícia e do engenho dos atacantes, mas acima de tudo, do rasto quase imperceptível que é deixado nos sistemas digitais. “Uma análise forense é uma recuperação de dados eletrónicos. O atacante tenta sempre apagar aquilo que fez inicialmente, tenta deixar o mínimo de indicadores possíveis”, explica.

É muitas vezes chamado para empresas que foram alvo de ransomware e precisam de recuperar os dados, mas também é comum trabalhar em casos das chamadas “ameaças internas”, como o próprio classifica – isto é, trabalhadores que decidem trair as empresas, roubando e apagando dados que são cruciais para a organização. O que implica que este investigador forense, natural de Vila Nova de Gaia, tenha de dominar a arte de extrair segredos de smartphones e computadores.

Ferramentas de trabalho

O início do percurso académico de Miguel não fazia prever que um dia seria um investigador forense digital. Estudou para ser técnico de recursos humanos e mais tarde chegou a ingressar num curso de jornalismo, que acabaria por deixar no terceiro e último ano. Mas dos tempos de adolescência manteve-se o gosto pela programação que o fizeram entrar numa empresa de segurança informática, em 2014, na época mais ligado à instalação de firewalls. “Coincidentemente foi nessa altura que o cibercrime começou a crescer exponencialmente”, conta.

Ao fim de três anos na empresa, percebeu que “tão importante como proteger, é saber o que fazer quando a proteção falha”. Aos poucos começou a interessar-se pelo tema da análise forense digital e começou a fazer alguns trabalhos por conta própria, assim como a fazer consultoria sobre como ter um plano de recuperação em caso de incidente informático. O gosto pela área materializou-se numa pós-graduação em cibercrime e investigação digital forense, em 2018. Mas seriam precisos mais três anos até criar a MORDE – acrónimo de Miguel Oliveira Recuperação de Dados Eletrónicos.

“Não é como se vende no CSI [série de televisão], não há câmaras de vácuo, não há fatos especializados, é olhar muito tempo para o computador”, faz questão de sublinhar. Mas o ambiente de trabalho também não se assemelha ao de um escritório tradicional. No laboratório tem, por exemplo, uma sala de ar limpo (o ar é filtrado para eliminar até as mais pequenas partículas) onde faz a desmontagem e análise de equipamentos, e uma torre de computação de grandes dimensões cuja função é descobrir passwords de smartphones e computadores. “Não é incomum termos casos de três meses para crackar a password de um telefone”, revela. Noutros casos, uma hora é suficiente para descortinar o código de bloqueio. Acrescentem-se alguns discos rígidos especiais, cuja única função é extrair informação de um equipamento, também maquinaria para leitura de cartões de memória ou unidades de armazenamento USB, assim como muito software especializado, e Miguel Oliveira está pronto para fazer (quase) todos os equipamentos revelarem aquilo que alguém não quer que se descubra.

Até o famoso Bitlocker, o sistema de encriptação do Windows, quando apenas em versão software, Miguel diz conseguir ultrapassar. À Exame Informática não revela todo o processo – mesmo no mundo digital, o segredo ainda é alma do negócio –, mas diz que envolve a desconstrução do chip TPM e um analisador lógico que fazem com que seja cancelada a requisição de senha por parte do sistema de segurança (ou seja, não é a própria cifra de encriptação que é quebrada).

Se o caso no qual estiver a trabalhar tiver contornos legais – isto é, se a perícia tiver de ser feita num equipamento que faz parte do leque de provas de um litígio –, existem requisitos sobre como se desenrola a análise, por forma a vir a ser validada e usada como prova. Se a aquisição (a recolha de dados) for feita no terreno, existe um solicitador ou um procurador que acompanha toda a ação. Se o equipamento for enviado para o laboratório de Miguel, vem selado e todo o processo tem de ser registado em vídeo, para provar que não houve qualquer tipo de adulteração do hardware ou software.

Um utilizador comum que perdeu uma password de acesso a um computador, por exemplo, também pode recorrer aos serviços da MORDE para recuperação de dados – mas neste caso tem de apresentar prova de compra do equipamento (para atestar que é o dono legítimo) e assinar um termo de responsabilidade.

“Todos os dias é um desafio diferente. As ameaças e os tipos de ataques evoluem cada vez mais”, ressalva durante a entrevista. E apesar de o mercado português parecer pequeno para a prestação de serviços de análise forense digital, a realidade é muito diferente. “Portugal é um mercado curioso. Porquê? É fácil arranjar clientes, porque não existe muito investimento a nível de cibersegurança”.

Cuidado com a curiosidade

Ao laboratório de Miguel Oliveira têm também chegado “a torto e a direito” dispositivos que se parecem com pequenas pens USB. São ligadas em computadores de algumas empresas, que não fazem ideia como lá foram parar. Estas pens são dispositivos muito baratos – chegam a custar apenas um euro – e que podem ser programados para executar uma ação assim que ligados a um computador. Ou seja, são dispositivos ‘envenenados’. “Introduzes isto e pode ser configurado para abrir um powershell e enviar uma captura do teu ecrã ou criar um acesso remoto, dá para fazer mesmo muita coisa”, explica o empresário de 32 anos.

Estas pens são deixadas estrategicamente em parques de estacionamento ou nas receções das empresas, à espera de alguém que as introduza num computador corporativo. “O ditado da curiosidade matou o gato aplica-se ao ser humano também”, justifica Miguel. Mas também há situações nas quais os computadores estão expostos a visitantes. “Sempre que fores a um hospital, vê a quantidade de computadores nos quais consegues ver portas USB”, exemplifica. Ou seja, estas técnicas de ataques não são exclusivas de filmes e séries, são uma prática recorrente no mundo ‘real’.

“Em 2025 o custo do cibercrime vai duplicar para 10 biliões de dólares [estudo da Cybersecurity Ventures]. O cibercrime vai ter mais peso do que o PIB de muitos países e há grupos [de cibercriminosos] que vão ter mais força [económica] do que certos governos”, diz, em jeito de alerta. E apesar de ter um trabalho altamente técnico, o investigador sabe que a porta de entrada tem sido – e vai ser cada vez mais – outra. “Tenho a certeza absoluta que cada vez mais vai ser falha humana e não falha de uma vulnerabilidade [de software] em si”.

FONTE: EXAME INFORMATICA

POSTS RELACIONADOS