Vai um exploit ai? Hackers abrem loja virtual para vender malwares
Os hackers do Shadow Brokers voltaram a chamar a atenção nos últimos dias ao lançar uma espécie de loja virtual na qual assinantes pagam mensalidade para receber um malware diferente por mês. O grupo ganhou notoriedade recentemente ao divulgar os exploits (conjunto de programas ou comandos que exploram falhas de segurança) usados pelo ransomware WannaCrypt, que sequestrou computadores de várias partes do mundo.
A fim de levantar dinheiro, os hackers inauguraram o seu próprio “clube do malware”, que vai publicar mensalmente para os assinantes outras ferramentas roubadas da Agência de Segurança Nacional dos Estados Unidos (NSA). Obviamente, a ideia do Shadow Brokers não tem necessariamente um viés ético e eles não pretendem necessariamente negociar os espólios conquistados da NSA para que especialistas evitem novos ataques, e é exatamente isso o que preocupa alguns especialistas.
“Os Shadow Brokers não estão procurando vender os exploits para a Microsoft e outras empresas afetadas, para que elas possam corrigir as vulnerabilidades e proteger seus usuários”, aponta o diretor de Threat Intelligence da Avast Michal Salat. “O grupo poderia ter informado essas vulnerabilidades para os programas de recompensa das empresas (chamados programas de Bug Bounty), mas eles querem mais dinheiro do que o oferecido nesses programas”, prossegue.
Vale lembrar que, antes de divulgar o conteúdo do WannaCrypt na web, o Shadow Brokers tentou vendê-lo na internet por US$ 500 milhões. O material a ser divulgado pode ser de grande utilidade tanto para criminosos quanto para cientistas, e dois supostos pesquisadores lançaram uma campanha de financiamento coletivo para pagar a assinatura e ter acesso às ferramentas.
Hackers cria clube de assinaturas para vender na internet as ferramentas roubadas da NSA
“Os dois principais personagens afirmam ser pesquisadores de segurança que desejam comprar os exploits para analisar os dados, verificar os riscos e divulgar informações às empresas”, comenta o executivo. “Eles podem ter boas intenções, mas é importante questionar se alguém deve ou não pagar e recompensar o Shadow Brokers por suas atividades criminosas.”
Salat ressalta ainda que, apesar da grande utilidade de ter estas ferramentas na mão de especialistas em segurança, que poderiam trabalhar em alguma forma de corrigir os problemas, comprar o conjunto de exploits do Shadow Brokers significaria “recompensá-los por suas atividades criminosas e incentivá-los a continuar”. Para ele, isso nada tem a ver com programas de recompensa mantidos por empresas para incentivar que hackers relatem bugs encontrados às companhias em vez de vendê-los na deep web.
O especialista sugere ainda que os programas de recompensa podem ser uma ferramenta no combate à prática de venda de exploits na web. Sendo assim, elas deveriam se tornar prática comum de qualquer companhia que desenvolva software.
“Os pesquisadores em geral podem ganhar dinheiro com recompensas dos programas de bug bounty, mas, quando isso não acontece, podem tentar vendê-las ao ‘lado negro’ para ganhar dinheiro”, aponta o executivo. “Por isso, esperamos que cada vez mais empresas adotem programas de recompensas, especialmente as mais novas, que lidam com dispositivos da Internet das Coisas, e não esperem para adotar a iniciativa só depois de um grande incidente de segurança.”
Apesar de reconhecer que as empresas poderiam comprar dos hackers as informações sobre vulnerabilidades, o especialista alerta que é preciso analisar esta prática com cuidado para não referendar práticas criminosas. “Num caso desses pode ser uma boa ideia pagar os hackers e resolver o problema”, comenta. “Mas pagar os Shadow Brokers por dados roubados na minha opinião não é uma boa ideia, já que, de certa forma, isso irá validar e recompensar o que eles fizeram”, finaliza Salat.