Especialistas em segurança e a equipe de hackers

No fim de semana, vazaram 400 GB de arquivos altamente sensĂ­veis da empresa italiana de desenvolvimento de software Spyware-malware, Hacking Team.

O cĂłdigo fonte do malware desenvolvido pela empresa, conhecido por vendĂȘ-lo a governos em todo o mundo, vazou.equipe de hackers de especialistas em segurança

O spyware explora vulnerabilidades de segurança nos computadores das vítimas e os telefones instalados enviam dados ao invasor.

Porém, com o código-fonte circulando livremente na Internet, essas vulnerabilidades podem ser sanadas, causando enormes prejuízos financeiros a governos e empresas privadas que destinaram milhÔes para adquiri-las.

No entanto, o Hacking Team nĂŁo Ă© a primeira empresa “especialista em segurança” a ser violada por outros pesquisadores mais especializados.

Quem se lembra da HBGary Federal? Era uma empresa de consultoria de segurança criada para oferecer seus serviços a governos e empresas, monitorando novamente as atividades on-line mediante uma taxa, é claro.

Em fevereiro de 2011, o CEO da HBGary Federal, Aaron Barr, deu uma entrevista antes da conferĂȘncia de segurança BSides daquele ano nos Estados Unidos, na qual ele disse que havia identificado membros do Anonymous e podia nomeĂĄ-los.

A declaração provocou reaçÔes do Anonymous, que teve como alvo o HBGary Federal. Desta vez, no entanto, os ataques não se limitaram à simples negação de serviço. A pågina foi literalmente saqueada. Milhares de e-mails e documentos vazaram dos servidores da HBGary que não deveriam ter sido vazados.

NĂŁo deveria ter sido, pois os e-mails divulgados eram bastante irritantes, porque provaram que o HBGary Federal pretendia desacreditar o WikiLeaks e seus apoiadores usando jornalistas e truques sujos contra o site.

Quem se declarou triunfante foi destruído. A apresentação de Barr foi cancelada e ele foi forçado a renunciar. Escusado serå dizer que o que aconteceu com a reputação da empresa foi quando a extensão do hack ficou conhecida.

O que foi particularmente preocupante para a empresa foi que a maior parte do ataque foi possível devido à sua falta de segurança. No ponto de login original, parece haver uma configuração incorreta do servidor e o ataque foi tão bem-sucedido quanto Barr, assim como outros executivos da empresa, reutilizaram suas senhas em muitas contas.

Ainda estamos aguardando os detalhes, mas parece muito provĂĄvel que algo semelhante tenha acontecido com o hack da equipe de hackers. Dada a enorme quantidade de dados vazados pela empresa, nĂŁo parece que o hack seja causado por alguma negligĂȘncia, mas que alguma infraestrutura de segurança estava ausente ou nĂŁo Ă© tĂŁo segura.

O resultado; A Equipe de Hacking ganhou notoriedade, como aconteceu com a HBGary Federal. Enquanto isso, a empresa italiana nega hĂĄ muito tempo a venda do software de vigilĂąncia que estĂĄ desenvolvendo para regimes opressivos.

No entanto, registros vazados mostram que ele assinou acordos com o CazaquistĂŁo, EtiĂłpia e Bangladesh, paĂ­ses que foram reconhecidos como violadores de direitos humanos.

Também se diz que a empresa assinou um contrato de US $ 1 milhão com a Aråbia Saudita, que aprisiona cidadãos que ousam desafiar a teocracia årabe.

Até o FBI comprou software da Hacking Team, gastando mais de US $ 700.000. Todos os compradores, é claro, perderam seu dinheiro.

A equipe de hackers também tinha um código de rastreamento para iPhones com jailbreak, detalhes de pesquisa interna e tudo era armazenado sem criptografia.

Mas quem espera que uma empresa de segurança cometa esses erros? Afinal, como especialista pode ser alguém que não estå prestando atenção ao que ele recomenda aos seus clientes?

Quem pode se chamar especialista em segurança e pesquisador de topo quando hå hacks aleatórios feitos por crianças de 10 anos e um mundo saturado de especialistas na cena online de 2015?

Como a Equipe de hackers pode recuperar a confiança de seu pĂșblico comprador apĂłs um fracasso tĂŁo escandaloso?