Já todos sabemos que vivemos num mundo digital retorcido, que tão depressa nos dá projetos interessantíssimos como o grande desafio do Bitcoin de Davos, como nos dá frigoríficos que estão a usar a nossa eletricidade para minerar criptomoedas para piratas informáticos.
Mas a dualidade da ferramenta AutoSploit é de outro nível, pois consegue ser duplamente perversa: na facilidade com que permite que pessoas sem grandes conhecimentos informáticos possam ganhar acesso a centenas de dispositivos e na forma como coloca a descoberto problemas de segurança informática que, em muitos casos, são básicos.
Siga o Future Behind: Facebook | Twitter | Instagram
De forma resumida o AutoSploit é uma ferramenta que com apenas alguns comandos permite pesquisar por dispositivos ligados à internet que estão vulneráveis e executar pequenos programas que exploram essas vulnerabilidades.
Entrando num patamar mais técnico, o entusiasta da segurança informática que dá pelo nome de VectorSEC, no Twitter, juntou o melhor de duas ferramentas bem conhecidas: a plataforma de pesquisa Shodan e a plataforma de teste de software MetaSploit.
Com o AutoSploit é possível fazer uma pesquisa de dispositivos através de uma API ligada ao motor de busca Shodan e, assim que é encontrado um dispositivo vulnerável, usar uma lista segmentada de scripts do Metasploit para realizar ataques contra as categorias de equipamentos definidas como alvos. Como se isto não fosse suficiente, há ainda a possibilidade de os investigadores terem uma abordagem ‘Hail Mary’, que na prática significa executar todos os scripts de ataque disponíveis no AutoSploit para ver quais surtem efeitos. Tudo de forma automática e sem necessidade de conhecimentos profundos de programação.
Se o AutoSploit é assim tão fácil de usar e os seus efeitos podem ser tão nefastos, justamente por baixar o nível de exigência para a utilização de duas ferramentas que quando combinadas podem ser perigosas, então por que razão foi esta ferramenta criada?
“Pessoalmente acredito que a informação deve ser livre e sou um fã do código aberto, portanto porque não?”, disse o criador do AutoSploit, VectorSEC, em declarações à publicação Motherboard. “Também vi os comentários [negativos] e, quer dizer, as mesmas críticas podem ser aplicadas a alguém que disponibilize ferramentas de ataque em código aberto”, acrescentou.
I just released AutoSploit on #Github. #Python based mass #exploit #tool. Gathers targets via #Shodan and automatically invokes selected #Metasploit modules to facilitate #RCE.https://t.co/BNw6JvTVH9#OffSec #InfoSec #Programming #Security pic.twitter.com/hvc3vrNCEJ
— VectorSEC (@Real__Vector) 30 de janeiro de 2018
“Como qualquer outra coisa, pode ser usada para o bem e para o mal. A responsabilidade é da pessoa que o usar [AutoSploit]. Eu não vou fazer de porteiro para a informação”, disse também VectorSEC à publicação The Register.
No Twitter, no Reddit e nas publicações que já escreveram sobre o AutoSploit, existem várias reações negativas, pois, de certa forma, VectorSEC parece ter criado e aberto uma pequena Caixa de Pandora. Por outro lado também existem vários comentários positivos que agradecem a criação da ferramenta, havendo já intenções de bifurcar o software por forma a adaptá-lo para outras necessidades específicas na área da cibersegurança.
No GitHub, repositório onde foi disponibilizado o AutoSploit, o projeto é o terceiro mais popular do dia e faz parte dos dez mais populares da semana.
Entre o preto e o branco há espaço para o cinzento?
Afinal em que ficamos? É esta uma ferramenta tenebrosa? A possibilidade de criação de botnets ficou de facto mais facilitada? A decisão tomada por VectorSEC foi correta ou há de facto alguma razão nos comentários negativos? Decidimos recorrer à análise de dois especialistas em segurança informática para perceber melhor este caso: Bruno Morisson, diretor de serviços de pentesting e partner na Integrity, e Tiago Henriques, diretor executivo da empresa de segurança informática BinaryEdge.
Bruno Morisson começa por dizer que o AutoSploit “não é por si só nada de novo” e que “não traz propriamente nada de inovador”. A opinião do perito está em linha com muitos dos comentários feitos à divulgação da ferramenta, uma posição que também é partilhada por Tiago Henriques. “Já vi antes ferramentas muito parecidas, a única novidade do AutoSploit é que é mesmo muito fácil de utilizar”.
Ou seja, de certa forma o investigador VectorSEC não fez mais do que tornar público o resultado da combinação de duas ferramentas muito populares na área da segurança informática. Recorda-se que as bases para o AutoSploit, o motor de busca Shodan e o pacote Metasploit, já estão disponíveis há vários anos.
Leia também | Haven: A aplicação de segurança de Edward Snowden afinal não era assim tão segura
“É muito útil o Shodan como serviço, quer para obter awareness e visibilidade sobre o estado da segurança da internet, bem como é muito útil a framework Metasploit para efetuar testes de segurança (devidamente autorizados e de forma legal). A meu ver o problema surge porque o único intuito do AutoSploit parece ser procurar equipamentos vulneráveis arbitrários através do Shodan e automaticamente tentar comprometer esses mesmos hosts. Não é algo que seja útil para usar num âmbito específico de avaliar a segurança de forma legítima de uma organização específica, por exemplo”, explicou Bruno Morisson, por email.
Claro que uma refeição já pronta é muito mais fácil de consumir do que quando necessita de ser confecionada e é aí que parece estar o grande problema deste debate. “A ferramenta é extremamente fácil de usar e combinada com o Shodan significa que irá ser constantemente uma nova fonte de máquinas e dispositivos a serem comprometidos”, disse o CEO da BinaryEdge, também por email.
Foi irresponsável o que o autor do AutoSploit fez, ao disponibilizar a ferramenta literalmente para quem a quiser usar? A pergunta foi feita aos dois especialistas justamente com a palavra “irresponsável”, pois este é um termo sempre muito debatível em questões de segurança informática.
“Não queria usar a palavra ‘irresponsável’, até porque o processo que o script automatiza não é nada que não possa ser feito de forma mais manual com bastante facilidade. A grande questão que se levanta neste script é que não consigo pensar em nenhum caso em que o seu uso não seja basicamente para fins ilegais ou criminosos, ao contrário do uso individualizado das ferramentas que ele ‘cola’”, defendeu Morisson.
“Na minha opinião a divulgação desta ferramenta é tão irresponsável como as pessoas que metem dispositivos ligados à internet sem password ou com passwords fracas, que não se dão ao trabalho de fazer updates e que depois acabam por ter os seus dispositivos comprometidos e a serem inseridos em botnets”, comentou Tiago Henriques sobre a questão da hipotética irresponsabilidade, para depois acrescentar:
“É importante também perceber que os dispositivos e as máquinas que sejam comprometidos via o AutoSploit são as chamadas ‘low hanging fruits’ e que muito provavelmente já estariam de qualquer forma comprometidos”.
Como não seria justo explorar apenas a suposta irresponsabilidade associada ao AutoSploit, quisemos também perceber se de alguma forma o que foi feito pelo entusiasta VectorSEC tem efeitos positivos palpáveis. Os meios justificam os fins?
“Eu sou da opinião pessoal que sim. Esta opinião no entanto vai mudar dependendo de cada um dos profissionais de segurança que forem entrevistados, da mesma forma que alguns acreditam em divulgação responsável, eu e outros acreditamos em divulgação total. (…) Já imensas pessoas deram palestras nas quais mostraram como usar o Shodan para encontrar e comprometer dispositivos. Esta ferramenta [AutoSploit] só veio automatizar e facilitar o processo. Ao baixar a barra de entrada para os atacantes, a pressão no lado da defesa irá aumentar drasticamente e por isso vai também forçar a que melhorem os seus processos e tempo de resposta”, explicou Tiago Henriques.
Já Bruno Morisson louva o facto de este caso estar a gerar alguma discussão “sobre o risco de manter serviços vulneráveis disponíveis na Internet sem aplicar as devidas correções”. “Essa tomada de consciência já tem vindo a acontecer, de forma lenta infelizmente, principalmente devido a outros casos mais mediáticos como a botnet Mirai, por exemplo”, acrescentou.
Leia também | Como três jovens criaram um monstro tão grande que se tornou impossível de controlar
Ou seja, a dicotomia está sempre lá. Sim, o AutoSploit parece representar um perigo real pela facilidade com que permite descobrir e explorar falhas em dispositivos ligados à internet. E sim, o AutoSploit coloca uma pressão positiva na falta de boas práticas de segurança informática e que é necessário revelar para que a situação possa ser trabalhada. Basta lembrar, por exemplo, que o ransomware WannaCry explorou uma falha nos sistemas operativos Windows que a Microsoft já tinha corrigido há várias semanas.
Apesar do potencial agressivo que está associado ao AutoSploit, Bruno Morisson considera que a criação de ameaças muito mais abrangentes, como uma botnet, já envolve conhecimentos que nem a simplicidade da ferramenta resolve. “Sobre criar botnets, isso será um passo seguinte à exploração com sucesso destes equipamentos vulneráveis, mas não é algo que (felizmente) este script especificamente possibilite de forma direta. Terá que haver uma capacidade e conhecimento adicionais de quem usar este script para fazer isso”.
Goste-se ou não daquilo que foi feito com o AutoSploit, este é cada vez mais o mundo no qual vivemos – o número de dispositivos sujeitos a um ataque é cada vez maior, o número de ataques também, assim como as ferramentas que facilitam este ‘trabalho’.
Como é impossível fugir da realidade, pelo menos por enquanto, o melhor mesmo é perceber como é que se lida com um mundo no qual projetos como o AutoSploit são cada vez mais comuns. Seguir as regras básicas de segurança como a criação de passwords fortes, boa configuração de firewalls e limitar o acesso à informação ou a dispositivos importantes apenas a endereços de IP de confiança são os conselhos de Tiago Henriques.
“Da parte dos fabricantes, principalmente na área da Internet das Coisas, falta um muito maior cuidado durante as fases de desenho, engenharia e desenvolvimento de forma a minimizar as vulnerabilidades introduzidas logo de raíz nestes sistemas (algumas bem triviais como as credenciais por omissão simples e cuja sua alteração não é mandatória). Em muitos destes equipamentos as vulnerabilidades são quase impossíveis de resolver a posteriori”, adiantou por seu lado Bruno Morisson.
E claro, o conselho que nunca passa de moda: mantenha todas as atualizações em dia.
