Um exemplo impressionante de por que, no mundo de hoje, a segurança cibernética deve ser uma questão prioritária na agenda de qualquer organização. Os hackers ganharam acesso à conta "superadmin" na rede interna da startup Verkada, que fornece serviços de videovigilância para centenas de empresas famosas (por exemplo, Tesla) e instituições (incluindo prisões, hospitais e clínicas, bem como delegacias de polícia) As credenciais foram codificadas no código do programa proprietário que acidentalmente acabou na web.
A escala do hack é incrível. É bom que os hackers que o cometeram tenham feito toda a diversão em prol de e para demonstrar a vulnerabilidade das pessoas modernas à vigilância total. Pelo menos é o que eles próprios dizem. Como prova de suas palavras, os cibercriminosos forneceram a alguns meios de comunicação um arquivo de imagens e arquivos de vídeo totalizando mais de cinco gigabytes. De acordo com a Bloomberg, há funcionários de dezenas de organizações - privadas e públicas.
Os jornalistas confirmaram que o arquivo contém muitas imagens e vídeos de escritórios reais ou de locais de produção. Em um dos vídeos, oito equipes médicas torciam um paciente na cama e, em outro, policiais da delegacia conversavam com um homem algemado. Também há filmagens de clínicas femininas, escolas, unidades de terapia intensiva em hospitais e do depósito da Tesla em Xangai. Há até filmagens da própria sede da Verkada e da casa de um de seus funcionários.
No total, os hackers obtiveram acesso ilimitado a mais de 150.000 câmeras de vigilância. Separadamente, 222 "olhos" são observados nas fábricas e depósitos da Tesla. Mas a lista de organizações cuja segurança foi comprometida não se limita ao famoso fabricante de veículos elétricos. A mídia, que recebeu o arquivo que confirma o hackeamento, conseguiu estabelecer a correspondência dos locais de filmagem com um grande número de clientes Verkada mencionados no site oficial da empresa.
A diversão desenfreada do especialista em TI
O repórter da CBS News, Dan Patterson, disse em sua conta no Twitter esta noite que estava baixando o arquivo, mas ainda não teve tempo de verificar. Ao fornecer o link, disse ele, os hackers notaram que entre os vídeos há evidências de maus-tratos a prisioneiros e pacientes em clínicas psiquiátricas. Dan também conseguiu falar com um dos hackers - o renomado especialista em segurança cibernética Tille Kottmann, da Suíça. Ele disse que a equipe internacional de hackers APT 69420 Arson Cats, da qual ele é membro, teve acesso à rede interna da Verkada por cerca de 36 horas.
Segundo Kottmann, a motivação dos hackers é simples: “Muita curiosidade, uma luta pela liberdade de informação e contra a propriedade intelectual, uma grande dose de anti-capitalismo e um pouco de anarquismo - e também, é muito divertido não fazer isso. " Ele observou que não se preocupa com dinheiro e só quer que o mundo seja um lugar melhor. Bem, no processo de criação deste "mundo melhor", como dizem, é pecado não se divertir. É importante ressaltar que Till pediu para ser mencionado - nem ele pessoalmente nem o APT 69420 como um todo representam qualquer nação ou corporação.
Curiosamente, Kottmann não corre o risco de tal hack, razão pela qual ele se comunica livremente com a imprensa. A legislação penal suíça prevê penalidades financeiras e prisão para a obtenção ilegal de informações por meio de redes eletrônicas, somente se os esforços necessários forem feitos para preservar essas informações (artigo 143 bis do Código Penal Suíço). Na verdade, como as credenciais eram de domínio público, Till não tinha nada com que se preocupar - o culpado é quem as tornou públicas.
Perguntei a Till, que é gay, se ela está preocupada com as consequências do hack do @VerkadaHQ. Ela disse: "Talvez eu deva ser um pouco mais paranóica, mas ao mesmo tempo o que isso mudaria? Serei tão direcionada quanto estou agora" pic.twitter.com/yf6oIxdBaa
- Dan Patterson (@DanPatterson) 10 de março de 2021
Sem vulnerabilidades, apenas descuido
O mais interessante é o método de hacking. Os hackers não usaram nenhuma vulnerabilidade ou engenharia social. As credenciais de "superadministrador" foram obtidas estudando o ambiente de desenvolvimento interno do Verkada, que a empresa não protegeu de acesso externo via Internet. O programa continha dados "codificados" para autenticação com direitos máximos de acesso.
Neste ponto, vale a pena fazer uma digressão com uma explicação. Em um sentido estrito, muito provavelmente, nada foi "codificado", porque a lacuna logo foi eliminada. Normalmente, codificado é entendido como um link de senha de login ou algum tipo de token de autorização, que é "costurado" em software de baixo nível ou mesmo diretamente na arquitetura de hardware. Essas backdoors são, de fato, usadas por muitos fabricantes de equipamentos e continuam sendo uma séria ameaça à segurança. Apesar de facilitarem muito o trabalho de suporte técnico. No entanto, alterá-los rapidamente é extremamente difícil e às vezes até impossível.
Em nosso caso, aparentemente, estamos falando sobre usar um token universal ou mencionar dados de autenticação no código do programa para depuração. Isso geralmente é feito por programadores desatentos ou preguiçosos, para não se distrair ao inserir credenciais durante a depuração do sistema. No jargão de TI, isso também é chamado de "codificação permanente", embora não seja totalmente correto. De qualquer forma, toda a história atingiu a reputação de Verkada de maneira desastrosa e se tornou um excelente exemplo da mais perversa ironia. Na verdade, o site oficial da empresa descreve em preto e branco o humor com que o fundador o criou:
“Para as empresas modernas, a segurança não é uma opção, mas sim uma necessidade”
Reação
Algumas empresas afetadas conseguiram reagir à notícia de um hack em grande escala. Representantes da mundialmente famosa gigante de TI Cloudflare observaram que as câmeras Verkada estão localizadas em escritórios que foram fechados há muito tempo devido ao bloqueio do coronavírus e ninguém conseguiu obter dados pessoais ou apenas valiosos. Em Verkada, os jornalistas foram assegurados de que a violação já foi coberta e que estão conduzindo uma investigação interna abrangente - tanto com seu próprio serviço de segurança quanto com o envolvimento de um auditor externo. A mídia até agora não recebeu nenhum comentário da Tesla, outras empresas, funcionários penitenciários e prestadores de serviços de saúde.
E, francamente, eles serão necessários. Em pelo menos dois casos. Primeiro, hackers e jornalistas notaram que a tecnologia de reconhecimento facial proprietária da Verkada foi incorporada para vigilância por vídeo em vários hospitais e clínicas femininas. O sistema permite identificar e rastrear pessoas por uma série de parâmetros externos, o que já põe em causa o sigilo médico. Em segundo lugar, no arquivo de registros de uma prisão do Arizona eles encontraram uma pasta inteira com vídeos, cujos nomes causam, para dizer o mínimo, suspeita: como "Roundhouse kick - opops" (ROUNDHOUSE KICK OOPSIE).