Estou há alguns dias para confeccionar este post, mas infelizmente o tempo disponível cada vez mais escasso somado a uma certa falta de inspiração para escrever me fez protelar. Há alguns dias atrás, o site da Câmara de Vereadores de Concórdia/SC foi ‘invadido’. Na prática, o que houve foi apenas um ataque que conhecemos como defacement, onde o invasor executa algumas pichações geralmente na página principal do site, fazendo uso de táticas como SQL Injection ou obtendo acesso privilegiado em função das senhas administrativas serem fracas.
Na ocasião uma rádio local fez uma matéria sobre o ocorrido e resolveu me entrevistar, já que o fato acabou gerando bastante polêmica na cidade e resultando inclusive em um BO. O objetivo do texto, ao qual se prestou minha entrevista, era claramente ser o mais acessível possível e justamente por isso o resultado talvez tenha ficado bastante genérico e abrangente. Neste sentido, faz-se importante esclarecer tecnicamente alguns ‘detalhes’ que ajudam a prevenir ou mesmo auditar ataques do gênero em seus servidores e aplicações web:
- Um ‘ataque’ aparentemente amador, pode eventualmente ter sido feito por alguém especialista. Um ataque é tão amador quanto as brechas de segurança no invadido permitem que seja;
- Sempre é possível se chegar ao culpado (ou ao menos próximo dele). A questão é quantos recursos (tempo e esforço) se está disposto a gastar nisso. Em muitos casos, simplesmente não vale a pena fazer ‘engenharia reversa’. Em outros, é absolutamente desejável!
- Comece pelo início. Há sempre a questão de senhas fracas. Por incrível que pareça, ainda hoje em dia a enorme maioria dos ataques deste tipo acontecem porque usuários mantém senhas ‘óbvias’, facilmente descobertas por ataques de força bruta (com ou sem criptoanálise) ou simples tentativa e erro!
Neste caso específico o autor da subversão aparentemente já fora identificado e deverá responder algum tipo de sanção branda. O código penal brasileiro, embora tenha recebido algumas novas leis nos últimos anos tratando exclusivamente de crimes digitais, ainda é bastante falho e completamente antigo. Os juízes e promotores, quando compreendem o que aconteceu de fato (o que já é raro hoje em dia), não conseguem enquadrar formalmente o contraventor ou criminoso.
De qualquer forma, este case é interessante porque ilustra na prática uma situação de insegurança extremamente comum em sistemas web, uma contravenção ainda mais comum hoje em dia (dafacement) e como é possível se chegar ao invasor. Especialmente quando o mesmo, aparentemente, o faz de forma amadora. 😉