A equipe de hackers Shadow Brokers, a mesma que liberou na internet os exploits usados como base pelo ransomware WannaCrypt (exploits são programas ou conjunto de comandos que aproveitam vulnerabilidades em computadores) está em cena novamente. Para ganhar dinheiro, os hackers informaram que estão inaugurando um serviço que lembra os clubes de vinho ou de cervejas. Assim, a partir deste mês poderão publicar mensalmente mais ferramentas roubadas da NSA, a Agência de Segurança Nacional dos EUA. Só os sócios pagantes terão direito exclusivo de acesso a esse “dump do mês”.
Tanto cibercriminosos quanto pesquisadores de segurança têm interesse no material: dois dos supostos pesquisadores – Hacker Fantastic e x0rz – abriram uma campanha de crowdfunding para poder pagar a assinatura do ‘clube’ e assim analisar os dados, possivelmente evitando outro ataque como o do ransomware WannaCry.
Michal Salat, Diretor de Threat Intelligence da Avast, considera a iniciativa um pouco complicada: “Os Shadow Brokers não estão procurando vender os exploits para a Microsoft e outras empresas afetadas, para que elas possam corrigir as vulnerabilidades e proteger seus usuários. O grupo poderia ter informado essas vulnerabilidades para os programas de recompensa das empresas (chamados programas de Bug Bounty), mas eles querem mais dinheiro do que o oferecido nesses programas”, observa.
Inicialmente eles tentaram leiloar o material por uma fortuna: US$ 500 milhões, muito distante do que geralmente pagam esses programas. “Por isso, agora oferecem acesso como numa assinatura do clube de vinhos, onde os membros receberão exploits todos os meses, em vez de vinho. Já vimos uma iniciativa de crowdfunding para isso através da Patreon para aquisição da primeira assinatura mensal. Os dois principais personagens afirmam ser pesquisadores de segurança que desejam comprar os exploits para analisar os dados, verificar os riscos e divulgar informações às empresas. Eles podem ter boas intenções, mas é importante questionar se alguém deve ou não pagar e recompensar o Shadow Brokers por suas atividades criminosas”, acrescenta Michal Salat.
Para ele, é bom que pesquisadores de segurança tenham os exploits antes dos cibercriminosos, mas ele ressalta: “Temos de considerar que pagar os Shadow Brokers pelos exploits seria quase como recompensá-los por suas atividades criminosas e incentivá-los a continuar”. O diretor da Avast observa que a iniciativa é completamente diferente de um programa de bug bounty. “Nos programas Bug Bounty as empresas se oferecem para comprar os bugs ou vulnerabilidades descobertos pelos pesquisadores ou white hat hackers. Em geral, os programas oferecem a eles a oportunidade de denunciar bugs ou vulnerabilidades em troca de uma boa compensação. Isso motiva esse pessoal a informar os erros às empresas, ao invés de vendê-los na dark net, onde essas iniformações podem ser abusadas por cibercriminosos. Por outro lado, essas descobertas permitem que as empresas resolvam os bugs mais rapidamente, para proteger seus dados e seus clientes”, completa.
Na opinião de Michal Salat, as recompensas pela descoberta de erros deveriam se tornar uma prática regular de qualquer empresa que desenvolva software ou produza dispositivos contendo software, e não apenas empresas de segurança de informações: “Existem empresas especializadas em adquirir informações sobre bugs e vulnerabilidades, para venda às grandes corporações de defesa, tecnologia e finanças, o que é um bom começo. Infelizmente, poucas empresas oferecem esses programas internos de recompensas”.
Até pesquisadores de governos podem localizar essas vulnerabilidades, mas eles podem explorá-las para fins de espionagem e portanto não têm motivação para vender suas descobertas: “Os pesquisadores em geral podem ganhar dinheiro com recompensas dos programas de bug bounty, mas quando isso não acontece podem tentar vendê-las ao ‘lado negro’ para ganhar dinheiro. Por isso, esperamos que cada vez mais empresas adotem programas de recompensas, especialmente as mais novas, que lidam com dispositivos da Internet das Coisas, e não esperem para adotar a iniciativa só depois de um grande incidente de segurança”, alerta o diretor da Avast.
No entanto, até hackers podem se aproximar de uma empresa para vender informações sobre vulnerabilidades potencialmente capazes de causar danos a ela e aos seus clientes: “Num caso desses pode ser uma boa ideia pagar os hackers e resolver o problema. Mas pagar os Shadow Brokers por dados roubados na minha opinião não é uma boa ideia, já que, de certa forma, isso irá validar e recompensar o que eles fizeram”, finaliza Michal Salat.
