O TecMundo recebeu com exclusividade informações bombásticas na manhã desta segunda-feira. De acordo com uma fonte que não quis se identificar, os servidores do Exército Brasileiro foram invadidos por hackers na madrugada de domingo (8) e mais de 7 mil contas de militares foram vazadas na internet.

A acusação é de que o Centro de Defesa Cibernética (CDCiber) da corporação estavam participando há tempos de competições do gênero “Capture the Flag” (ou “Capture a Bandeira”, em português), na qual os times precisam usar técnicas de hacking para atingir um determinado objetivo — que pode envolver defender um computador pessoal ou invadir um sistema feito especialmente para a maratona.

De acordo com os invasores, o Exército Brasileiro participou de últimos grandes eventos de CTF e ganhou os desafios usando uma técnica proibida conhecida como “WiFi deauthentication attack” (ou simplesmente WiFi deauth), eliminando os outros competidores da rede WiFi local e permitindo que apenas seu próprio time pudesse jogar.

A prática foi identificada pela primeira vez durante o Hackaflag PR, no dia 17 de outubro, durante o Roadsec de Curitiba, e na qual um major do exército foi o vencedor. A “trapaça” passou a se repetir em maior escala durante a edição 2015 da Hackers 2 Hackers Conference (H2HC), que foi organizada entre os dias 24 e 25 do mês passado em São Paulo capital. Isso gerou inúmeras desavenças entre participantes da cena hacker brasileira e militares nas redes sociais.

Invasão e provocações

Como retaliação, um grupo de hackers anônimos invadiu inúmeras bases de dados e diversos servidores do Exército Brasileiro, tendo acesso a mais de 7 mil contas em menos de oito horas. Todas as senhas, tal como uma provocação nada sutil à corporação militar, foram publicadas neste documento de texto pelo serviço Pastebin. O “anúncio” do ataque teria sido feito pela primeira vez em uma lista de email chamada Brasil Underground.

Chega a ser vergonhosa a segurança do Exército Brasileiro

“Ficamos sabendo que o Exército Brasileiro tem participado de jogos de Capture The Flag e tem se exibido como um time de elite, utilizando seus avançados ataques de deauth em redes wireless”, comenta um dos invasores. “Chega a ser vergonhosa a segurança do Exército Brasileiro, cada sistema possui vulnerabilidades críticas”, complementa. Até mesmo o controlador de domínios foi sequestrado pela equipe.

As provocações não param por aí. Os hackers ainda orientam que façamos a “lição de casa”, usando os milhares de CPFs vazados para descobrir os donos de cada uma das senhas e usar nos outros sistemas do governo federal. Como bônus, um dos backdoors (falhas de segurança) encontrados pelo time foi divulgado para quem se interessar em testá-lo.

Um desafio para os militares

No fim do documento, os invadores propõem um desafio público ao Exército Brasileiro: o Capture the Backdoor, ou CTB. Ao todo, são 10 vulnerabilidades, incluindo uma instalada na BIOS dos servidores. “Vocês podem usar ataques contra infraestruturas sem sofrer penalização”, afirma o grupo. E eles avisam: o prazo final para encontrar todas essas brechas é até os Jogos Olímpicos de 2016, marcados para começar no dia 5 de agosto.

Ao todo, são 10 vulnerabilidades, incluindo uma instalada na BIOS dos servidores

O TecMundo conversou com outra fonte anônima ligada à cena hacker brasileira — um jovem que já tinha tido acesso anteriormente à tais backdoors e que afirma que as vulnerabilidades são antigas. “A cerca de um ano atrás, um amigo meu falou que havia achado uma falha de POST SQL Injection em um subdomínio do Exército, e que havia registrado todo o banco de dados contendo CPFs e senhas dos militares”, afirma.

“Mas ele não divulgou nada na internet, e só ontem descobri que mais alguém além dele havia obtido acesso”, complementa o entrevistado. Essa informação levanta uma questão bastante pertinente: se os backdoors são tão antigos, como saber se eles já não estavam sendo usados há tempos por cibercriminosos e até mesmo agências de espionagem de outros países, para vigilância de dados militares do Exército Brasileiro?

Se os backdoors são tão antigos, como saber se eles já não estavam sendo usados por agências de espionagem de outros países?

Além disso, fica a dúvida se realmente estaremos ciberneticamente seguros durante as Olímpiadas — se os sistemas militares podem ser controlados com tanta facilidade, como garantir que nossa infraestrutura estará livre de ataques que certamente ocorrerão durante os jogos do Rio 2016? O CDCiber ainda não se pronunciou sobre o vazamento e o desafio público; atualizaremos esta matéria caso surjam novidades.

ATUALIZAÇÃO: dia 09/11 às 15h

Anderson Ramos, sócio-fundador e CTO da FLIPSIDE (empresa que organiza o Roadsec e outros eventos de relevância no cenário hacker brasileiro), nos enviou um posicionamento oficial da companhia a respeito do episódio. Confira:

Embora tenhamos constatado a utilização de ataques deauth na etapa Curitiba do Hackaflag, gostaríamos de clarificar:

Estes ataques são bastante comuns em competições CTF em rede Wi-Fi;

É praticamente impossível provar a autoria dos ataques, então qualquer suspeição neste sentido carece de evidências técnicas;

O participante do exército da referida etapa esteve o tempo todo muito próximo do local onde se encontrava o coordenador do campeonato e é um profissional experiente e respeitado no mercado, de reputação impecável, e teve vitória merecida;

Nós repudiamos o ataque e a ligação que foi feita entre ele e desafios que são organizadas em total harmonia entre profissionais com diversos tipos de perfis incluindo, além da própria comunidade hacker, estudantes, acadêmicos, peritos, policiais, militares, pesquisadores e profissionais do mercado de Segurança da Informação;

Essas disputas tem como objetivo canalizar a energia dos jovens de maneira positiva, inserindo-os no mercado de trabalho através de relacionamento e aprendizado com profissionais mais experientes, como os do próprio exército;

Esperamos que no final o incidente traga consequências positivas tanto para os campeonatos, no sentido de melhorar a infra-estrutura e deixar regras mais claras aos participantes, como no sentido de chamar a atenção do exercito para servidores que estavam expostos, pois conhecemos bem o imenso desafio que é manter uma estrutura como aquela livre de vulnerabilidades e problemas.

Você confia na divisão de segurança cibernética do Exército? Comente no Fórum do TecMundo