2008/02/22


Sobre a censura hacker no Campus Party

Este será mais um texto sobre a cultura cyberpunk, ou ainda o que eu às vezes chamo de “revolução cyberpunk”. Por cyberpunk eu quero me referir a uma mistura de duas coisas:


  1. A cultura punk, que entre outras coisas prega o DIY (do it yourself, faça você mesmo) para sobreviver nas cidades selvagens.
  2. A cibernética de Norbert Wiener, coisa mais importante que aconteceu na ciência do século XX, associada à eletrônica lógica desbravada por Claude Shannon et alii. (Poisé, você talvez ache que foi Einstein a coisa mais importante da ciência século XX... Ele foi até o ‘homem do século’ da revista Time! Pretendo escrever sobre isso num futuro próximo...)


Mas este texto não é de cunho teórico e geral, não, vamos analisar um acontecimento específico, um causo verídico, ocorrido de fato na realidade verdadeira, que se sucedeu com um amigo de um amigo meu lá no Campus Party Brasil 2008.

Meio mundo já deve ter ouvido falar: De repente, uns campuseiros que estavam felizes navegando na Internet foram surpreendidos por não conseguirem abrir o Google, recebendo uma mensagem dizendo que aquela página havia sido bloqueada pela direção do Campus Party, por ser “inadequada”. Mas na verdade tratava-se de um engôdo Lokiano, um vento soprado pelo redemoinho de um saci digital... Foi um jovem campista do Campus Party, um hacker, que causou isto de alguma forma. Depois de um tempo de tumulto, a administração e os campuseiros-blogueiros atingidos localizaram a máquina e “resolveram o problema”.

O lance todo causou a maior comoção, principalmente porque já estava rolando uma briga sobre as verdadeiras censuras que a administração tava fazendo. Mas mais comoção ainda foi causada quando se descobriu ser tudo obra de um pirata de dados que estaria “atacando” as pessoas ligadas na rede. Lá no post do t3cnocracia sobre o assunto podemos ler zedenas de opiniões sobre todos aspectos da questão, inclusive algumas boas mensagens do próprio perpretador do ato controverso, Vinícius K-Y, digo, Vinícius K-Max.

A primeira coisa que queria dizer sobre isso tudo é que estou fulo por causa da superficialidade técnica com que este “ataque” foi coberto. O tecnocracia, por exemplo, disse que o notebook estava “interceptando” a transmissão, “redirecionando” o tráfego para si mesmo, e ainda que a máquina estava atuando como um “sniffer”. Já o elogiado IDG now soltou o seguinte par de pérolas do dadaísmo informático desinformativo:

Considera-se a hipótese de alguém da bancada ter usado um software que mandou ao hub da mesa um arquivo de texto reproduzido toda a vez que o usuário tentasse entrar nos serviços citados.

[K-Max] reconfigurou o roteador da mesa pra redirecionar sites pra sua máquina e falsificar o conteúdo das páginas.


Quem dera fosse eu um caçador de mariposas pra colecionar todos esses bugs nesse texto!... Não só de escrita como conceituais.

Não quero cobrar nem da “grande mídia” nem da “pequena” que me dêem detalhes técnicos precisos de tudo o que ocorre, mas eu espero que alguém que use termos como “sniffer” e “redirecionamento” me fale com um pouco mais de profundidade as coisas!... Ou pelo menos use estes termos sabendo precisamente o que eles significam. Saibam em que nível de tecnicalidade vocês estão falando. O que eu vejo por aí são as pessoas jogando termos técnicos obscuros numa grande sopa, criando o que elas acham que se parece com um discurso científico, e ficam satisfeitas. Parece criança tentando imitar conversa de adulto, sem saber o que está falando.

A dica é: se não sabe do que se trata, não fala nada não...



O que diabos aconteceu afinal? O cara ligou um servidor de DHCP, e virou o gateway das máquinas na quela LAN? Ou ele atuou só como servidor de DNS delas? Ou a máquina dele só tava rodando mesmo um servidor de HTTP? Ou a máquina não tava rodando absolutamente nada, e era mesmo só um inocente sniffer??

Ou será que foi de fato algum tipo de hackeagem de alta-ordem, digna do termo? Por exemplo, será que rolou alguma forma incomum de spoofing??? Ou ele realmente fez algum tipo de sniffing, achou alguma porta aberta na máquina de todo mundo, ou num servidor do Campus Party, e aí depois realizou algum exploit nas máquinas Rwinndous? (ele deve conhecer bem Ruimdols, pois tem uma linda licença dele colada em baixo do notebook!... L4MM3R!!!! :D )

São muitas possibilidades, queria mais detalhes. Será que o digníssimo hacker campuseiro poderia se manifestar em nosso humilde blog a este respeito? Ou um mágico não revela seus segredos?... (Ele quer expôr as falhas lá da rede ou não?)

O motivo porque eu queria saber é que pedi pra um amigo de um amigo meu rodar um iptraf basiquinho lá na rede (o quêêê?? Mais um sniffer??? Chamem a polícia de dados! Disquem ‘451’!) e não deu pra ver nada. Ou seja, tava tudo ligado em switchs... Esse amigo do amigo não teve tempo de avaliar muito bem como deveria ser a estrutura da rede, e eu tou tão interessado em saber como era do que em saber o que houve nesse caso. Não encontrei nenhum bom documento sobre o assunto em lugar nenhum, só aquele post que mencionei noutro lugar que fala da conexão de fibra ótica, mas não diz nada sobr a estrutura interna da rede.

A Raquel Camargo fez uma entrevista com o infame campuseiro-hacker-tornado-celebridade. Ela até pergunta bem diretamente "o que você fez?" Mas ele só fala sobre como não pegou senha de ninguém, e como pediu desculpas pela brincadeira. A única pista que rolou foi que ele disse algo a respeito de mexer na configuração do roteador. Outras pessoas ainda me falaram que tinha algo a ver com “configurar um filtro no roteador”, mas isso eu duvido, porque o que eu entendo por “filtro” num roteador nada mais é do que impedir determinadas comunicações, simplesmente descartando pacotes de acordo com os endereços dele.

E eu não acho que foi brincadeira não!... Aliás, o que o Vinícius fez talvez possa ter sido sim. Mas não é brincadeira montar uma rede para 3000 pessoas com buracos de segurança.

Se realmente o ocorrido tem algo a ver com configuração do roteador, só consigo imaginar o seguinte: Os roteadores tavam funcionando no esquema de "DNS proxy". Cada máquina ali estava usando o roteador como servidor de DNS, e o roteador por sua vez retransmitia pros dois lados todas as mensagens de DNS, contactando o servidor de DNS real que fica do lado de fora da rede.

Pode ser que ele tenha mudado o endereço do DNS na configuração do proxy do roteador pra apontar pra máquina dele (poderia ser até alguma outra dele fora da rede), e assim pôde falsificar as requisições dos endereços de sites específicos como Google e Flickr, mandando as máquinas contactarem novamente o IP da máquina dele (ou outra fora!). Aí só falta rodar um Apache lá e colocar aquela página feinha e feita nas coxa.

Só restaria portanto uma questão: como diabos ele mexeu na configuração do roteador? Ora, ou ele fez uma hackeagem absurdamente foda (algum exploit muito louco), ou então foi alguma coisa mais clássica, como haver algum buraco em alguma configuração de segurança do roteador permitindo a configuração do endereço de DNS através da rede... Ou ainda o mais clássico de todos: podem ter deixado no roteador a senha default de administrador, da fábrica, ou ainda alguma senha fajuta como "campusparty" ou talvez "cparty2008", "bienal2008", "telefonica", "admin", "casemod", "blogueiros", "marymoon", "donniedarko"...

Aí a gente entra numa questão muito similar a algo que andei discutindo em um post anterior. As pessoas quando vêem uma situação destas só pensam em dar porrada na pessoas parecidas com elas, ali do lado. Ninguém pensa que é a porcaria do roteador que não funciona direito, ou que o administrador VIP engravatado ou encrachazado da empresa multinacional não fez o trabalho direito. E isso é muito não-punk... O jeito punk, cyberpunk de ser é questionar as autoridades!... Especialmente se for com toda a razão.

Não era pra ser possível um “ataque” tão simples. Não era pra esses roteadores serem tão ruins e fáceis de estragar. E o “ataque” é entre aspas porque, me desculpem, isso não é exatamente um “ataque”... Aliás, se ele tivesse tentado imitar algum site de banco, por exemplo, teria que forjar o certificado digital, o que é um bom motivo pra vc sempre conferir aquelas janelinha...

Agora, o cara deve ser mesmo um exímio hacker, porque existe uma página na Internet para a qual ele conseguiu bloquear o acesso de todos usuários do planeta Terra e além, e ainda “redirecionar” as máquinas!! É, é um endereço que “redireciona”, faz sua máquina “interceptar o tráfego”, e manda uma cópia de um arquivo com um conteúdo falso no lugar. Acontece que se vc tentar entrar na página pessoal dele, viniciuskmax.com, vai ter uma surpresa bizarra: esse domínio está atribuído ao endereço de IP 127.0.0.1 (o local)!... O que diabos aconteceu com ele pra rolar uma coisa estranha dessas? (Sim eu tava aqui crente que por coincidência ele tinha deixado um apache mal-configurado e recém-instalado no servidor dele, igualzinho é aqui na minha máquina!)



Mas sabem porque mesmo que quero saber em detalhes tudo? Acontece que eu sou um hacker tão poderoso, mas tão poderoso, minha máquina é tão mas tão violenta e cheia dos truques, que eu já fiz um “ataque” parecido com esse dele aí, e SEM NEM SABER!!! É uma das ocasiões em que causei problemas, que mencionei no outro post.

É a primeira possibilidade que perguntei se poderia ter sido o caso. Acontece que estava com minha máquina numa rede fajuta que eu detesto, e fazia algum tempo que eu havia habilitado nela uma servidor de DHCP... É porque fica muito mais prático de ligar outras máquinas na minha placa wire-with, e transferir algum arquivo. Só que eu tava deixando esse servidor de DHCP ligado direto, nem me toquei. Aí começou a rolar um problema nas máquinas perto de mim. Acontece que elas tavam entrando no MEU servidor de DHCP ao invés do da rede mesmo!... Resultado: os administradores nervosões (e não muito knowledgeables) da rede ficaram me tratando com criminoso, bloquearam minha máquina, e eu me dei mal. Foi a partir daí que fui obrigado a ir procurar wi-fi por BH, e tive a experiência agradável no Café com Letras que andei falando em vários posts aí pra trás.

Tipo, foi sem querer!!... Eu nem conhecia a possibilidade de dar um golpe rodando um outro servidor DHCP numa LAN, ou imaginava que seria tão fácil. E o resultado? Arranquei correndo meu servidor de DHCP lá, mas continuei fora da rede, porque a pessoa que podia desbloquear tava de férias. Fiquem sem poder trabalhar direito. E ainda por cima, dias depois quando precisei do servidor pra ligar a máquina da minha namorada, e copiar uns filmes e tirar onda de gostosão, não tava rolando e passei papel de otário.

E tem mais, eu já tinha entrado com minha máquina em outras redes, e nunca tinha dado problema... Eu sei que eu tava fazendo algo super não-convencional, e não permitido pelas regrinhas daquela rede fajuta, mas porque é que tantas outras redes robustas, e essa aí não? Se tem um lema importante que aprendi na minha escola de engenharia e que é sempre bom relembrar, é: “Tem que ser robusto”.

Isso é igual quando vc tá no ônibus, e acerta sem querer a cara de alguém com o cotovelo. Sendo relativamente alto, já passei por esse constrangimento várias vezes... Mesmíssima coisa. Mas porque é que as pessoas reagem desse jeito na Internet, sempre exaltadas e super-ofendidas?... Eu acho que esse sentimento forte das pessoas que são “atacadas” por um hacker (que no nosso caso aqui atacou dando um poderoso tapinha na nuca) só se compara a, por exemplo, a ofensa que um passageiro do ônibus sem braços, amarrado e amordaçado, pode adquirir se alguém lhe acerta a tal cotovelada...



E então o que acontece é o seguinte. As pessoas estão se acostumando demais a viver nas mãos destas redes fajutas cheias de falhas. E aí a nova moral sendo imposta é: ninguém se mexe, ninguém fala nada, ninguém peida, senão a cordinha esfiapada da ponte carcomida cai e morre todo mundo... Isso é certo???

Está virando um tabu as pessoas terem programas minimamente sofisticados nas máquinas delas. Num desses blogs aí em cima o cara fala de um jeito meio negativo do sujeito ter um servidor de DNS ou mesmo de HTTP na máquina. No meu caso o tabu era ter um servidor de DHCP. Vamos chegar num dia que se o cara tiver qualquer coisa diferente dum Zuimdons paia com fundo-de-tela da terra dos teletubbies, vão tratá-lo como suspeito de ser um criminoso web-agitador terrorista de dados. Vão falar assim: “a quem interessa ter um servidor de HTTP num PC?...” Qualquer coisa que vc instala na sua máquina que faz ela agir menos como um submisso aparelho de TV passivo, e vc já é um “hacker”, ou melhor, “cracker” que está “atacando” ou outros. Sinto muito, mas quem fica perguntando “a quem interessa” o tempo todo não é ninguém menos do que o Grande Irmão contemporâneo (aquele original foi lá em 1984, mas seus iguais continuam na ativa). É a dicotomia da sociedade paternalista totalitária: ou vc é submisso, ou é um subversivo. Ou é um terrorista, ou é um aterrorizado (ou é um político).



Aproveitando o gancho, queria primeiro lembrar meu recente post em que eu defendo que tem que parar com essa conversa de “cracker” que tão tentando fazer pegar já faz alguns anos.

O título deste texto aqui é “Sobre a censura hacker”. Muitos devem ter entendido (espero) que eu estava querendo dizer que o hacker lá impôs uma censura, proibindo os blogueiros campuseiros de entrar no Google. Mas desculpe informar, eu quero falar é de como estão censurando o hacker!...

Faz anos que estão aí a Internet, e os hackers-de-internet. Todo mundo sabe do lance de desafiar as autoridades, de tentar esclarecer a população, de explorar a tecnologia, e de questionar a moral, as leis, os custumes, a cultura, o Establishment e o status quo. Até acham graça dos filmes Hackers, The Net, Die Hard 4.0, Johnny Mnemonic e Matriqueses da vida. Ai o carinha vai lá, e faz isso ao vivo e a cores pra todo mundo ver. E ao invés de acharem doido ver um hacker, ver um completo evento hacker, vivenciar a “complete hacked experience”, as pessoas ficam é FULAS!!!...

Muita gente é super-sofisticada quando vai falar de qualquer coisa na vida. De música, de relacionamentos, do trabalho, de sei lá mais o que. Mas se tiver um computador no meio, esta esfinge enigmática contemporânea, aí dançou. Baixa o Pinochet-Tranca-Rua, vira todo mundo uns moralistas retrógrados truculentos.

De repente até quem sabe não rolou um sentimento de união e amizade entre os jornaleiros e bloguistas quando o debate foi interrompido pra tratar do assunto?... Talvez a solução pra resolver o cisma da década, blogueiros versus jornalistas, é usar a estratégia de achar um inimigo em comum pra criar uma união, ficando então jornalistas e blogueiros versus hackers! (ou versus hacker, um só crucificado de exemplo já tá bom, gera bastante de movimento na blogosfera.) ((Mais sobre o famoso debate improdutivo em outro post meu.))



Eu só acho é que parece que as pessoas precisam ouvir mais aquela velha recomendação: “Informe-se e lute”. Seja contra quem for... Eu não tou exatamente preocupado em quem é contra quem não. Eu só acho que o nível das conversas que ando ouvindo por aí, tanto nas pregações contra hackers quanto os chamados “crackers”, nas contra blogueiros ou jornalistas ou políticos ou administradores de rede, todas essas conversas tão num nível ainda muito abaixo do que eu gostaria de ver e ouvir.

Euzinho, posso até não saber muito e transmitir menos ainda. Mas consigo sentir quando o nível tá baixo.... A ordem do dia é: “elevar o nível do debate nacional”.

E não podemos ficar sem citar umas letras do Sepultura:
Choice control
Behind propaganda
Poor information
To manage your anger

E já que falamos muito de censura:
You censor what we breathe
Prejudice with no belief
Senseless violence all around
Who is it, that keeps us down
(...)
We're not slaves, we're free

Pelo menos é o que pensamos nós, que não somos como outros.



Terminamos com uma piadinha pra relaxar:
P: Porque o Exú Tranca-rua é a melhor proteção contra os sniffers e hackers?
R: Porque ele “tranca todas as portas”!...

5 comments:

Manoel Netto said...

Fala NIC,

Realmente o post do Tecnocracia não diz nada muito técnico, por dois motivos simples: 1. o objetivo do texto não era técnico; 2. eu não fiz nenhuma investigação técnica sobre o ocorrido e teria que conversar com o "pretenso" hacker (e não estava afim).

Alguns esclarecimentos sobre a rede do evento:

- Cada bancada tinha um switch, isolando-a de todas as outras. Qualquer ataque ficaria na própria bancada (50 computadores no máximo);

- Pelo que pude acompanhar, o pessoal da adm estava ligado ao ponto de identificar gente mexendo na rede lá de dentro do aquário deles. Devem ter vacilado com o lance do K-Y;

- O próprio K-Y não deve saber bem o que fez e o objetivo foi mesmo chamar atenção, não revelar algum buraco ou falha. É só ver as atitudes (mensagem de censura no meio de blogueiros; deu entrevista pra imprensa tradicional acusando blogueiros de roubar seu equipamento).

Seria bacana se alguém que conseguiu fuçar a rede divulgasse as falhas, porque certamente alguém mais capaz, sagaz ou inteligente fez isso. Daria um bom artigo no Tecnocracia.

Abraço

NIC1138 said...

Muito obrigado pela contribuição, Manoel!...

Como você sabe, o principal efeito de se utilizar um switch é tornar difícil fazer um sniffing da LAN, e eventualmente a criação de outras restrições na comunicação dos clientes (além, é claro do ganho de eficiência no funcionamento da LAN). Um switch exige coisas complexas como um ARP spoofing pra se fazer qualquer peripécia hacker mais sofisticada... O motivo por que eu causei aquele acidente com um servidor de DHCP, por exemplo, é que (eu acredito) a rede onde eu estava era composta por hubs convencionais, e não switchs, que poderiam de alguma forma filtrar mensagens de DHCP da minha máquina. Um switch pensa duas vezes antes de retransmitir pacotes de broadcast...

Agora, isso tudo não significa que um roteador / switch seja garantia de “isolamento” de problemas na rede. Se a alteração da configuração do roteador foi feita através da interface IP, convencional, que todo mundo entra no de casa pelo http://192.168.0.1 (quem nunca brincou com isso, eu recomendo que o faça), ele poderia ter facilmente mexido nas configurações de outros roteadores da Campus Party, bastando saber o IP de cada um... A não ser que eles estivessem na verdade todos protegidos de alguma forma, mas apenas aquele roteador ali que estava suscetível à chamada “invasão”, e ainda necessitando ser realizada a partir da LAN gerenciada...

Considerando a pressa com que nosso protagonista digitou a página do aviso falso, eu me pergunto: será que ele percebeu a possibilidade de entrar no roteador onde estava, e saiu correndo pra explorar isso o mais rápido possível, sem considerar a possibilidade de atacar um outro roteador mais afastado pra dar menos bandeira? Ou por algum motivo foi mesmo necessário estar com a máquina na mesma LAN atingida?...

Por exemplo, será que o roteador superior era menos furado, e filtraria tentativas de uma máquina qualquer em reconfigurar um roteador inferior? Isso realmente isolaria as atividade pra dentro de cada LAN... Talvez eles tenham se preocupado mais em fazer os roteadores centrai seguros, e se preocuparam pouco com os das folhas. Ouvi dizer que eram máquinas Debian que estavam ali no topo da rede, e isso é sempre um bom sinal. ;)

Narcélio Filho said...

Falhas em sistemas são sempre culpa da negligência ou imperícia dos seus criadores e dos seus administradores, nunca dos usuários. Não importa o que tenham feito, seja de propósito ou acidental.

Vinícius K-Max said...

Wow, finalmente um post sério (e excelente!) sobre o ocorrido.

Bem, o Manoel parece ter um problema pessoal comigo, já que foi o ÚNICO blogueiro que se revoltou com o fato ao ponto de postar em seu blog tantas INVERDADES.

A principal foi de que eu teria procurado a mídia e acusado os blogueiros de terem subtraído meu laptop. Dois fatos inventados pelo Manoel. Em nenhum momento/entrevista acusei os *BLOGUEIROS* de terem retirado meu laptop da bancada. Solicitei ao Manoel que postasse a fonte dessa informação e ele desconversou.

Os dois jornalistas pra quem dei entrevista me acharam na própria bancada dos blogueiros, que frequentei durante todo o resto da da semana (deixando o laptop em outra bancada), já que sou amigo de vários blogueiros. Lá que inclusive gravei o vídeo com a Raquel Camargo.

Sobre o bug: de fato a técnica explorada foi ARP Spoofing.

Ponto pro NIC e pro blog, que alías, eu não conhecia, mas simpatizei e acabo a assinar o feed :)

Conte comigo pra qualquer informação adicional: viniciuskmax [at] Gmail [dot] com

[]'s

NIC1138 said...

Muito obrigado por sua participação, K-Max!... Num blog primariamente interessado em tecnologia, ninguém é mais bem-vindo do que os responsáveis técnicos pelos fenômenos para se manifestarem! :) Queremos falar da Coisa Real, popularizar a informação na melhor tradição hacker.

Eu vou querer mais detalhes sim, mas te escrevo mais tarde. Por enquanto fica só um pedido: vamos evitar as “iscas de flame”... Nosso canto aqui pretende ser mais Mundo de Beakman e menos Melrose Place, e comentários excessivamente pessoais, e não-científicos, vão ser sumariamente censurados!... :]

(Don't feed the troll)