domingo, 11 de dezembro de 2016

0 ch0r0 3h l1vr3

A pedido de um amigo, segue um texto que fala sobre a "comunidade".

Disclaimer: Tudo que escrevo aqui são opiniões minhas, e não refletem a opinião dos organizadores da H2HC de forma individual ou como organização.

Nos últimos dias acabei por ler um blog post feito pelo Carlos Cabral e outro feito pelo Anchises sobre um incidente ocorrido na H2HC deste ano (2016), onde uma pessoa foi hackeada e aparentemente teve seus dados de celular apagados e suas contas em redes sociais comprometidas. Os posts são antigos (feitos logo depois da H2HC), mas só agora eu vi e fiquei sabendo do ocorrido.

Estes posts tentam relacionar o que acontece na comunidade hacking com a comunidade de segurança no Brasil, coisas que obviamente são completamente distintas. Diferente do que o Anchises pinta sobre como deveria ser uma comunidade, a comunidade hacking tem suas próprias regras no Brasil ou em qualquer parte do mundo, e se você vai a conferencias do tipo esteja preparado para conviver com tais regras.

No geral ambientes do tipo são bastante hostis. Durante o tempo em que convivi em meio a esta comunidade eu já muita confusão acontecer. Das que eu me lembro agora posso citar coisas como:

- Por volta de 1996/97 o pessoal da Axur05 (http://www.bertochi.com.br/zines/axur05/) teve uma treta com a zine Barata Elétrica (ou Merdeval e Bezouro Elétrico como eles chamaram na época - http://barataeletrica.blogspot.com.au/). O motivo seria que a zine do Barata nunca foi técnica, era mais algo jornalístico sobre a comunidade, e a zine da Axur05 era de pwnage de verdade. Os caras liberavam senhas de provedores, códigos pra acessar internet sem pagar e em 1996/97 lançaram um packer pra binários do MS-DOS (eh mano brother, um packer feito por um Brasileiro naquela época - foda!).
- Depois disso tiveram varias zines como a TDK e a F3 (Fatal 3rror), e outras, e sempre rolava treta. Algumas delas fugiram do mundo virtual e terminou em briga de rua (e esses caras hoje achando que o coruja ter apanhado é algo novo).
- Também sei que os caras da Sekure.org (famosos hoje no mercado de segurança - por desenvolver ferramentas e conteúdo de qualidade) tiveram uma confusão com um cara que tinha o nick de psaux (rolando comprometimento de maquina e tudo mais).
- Teve uma galera do Rio que era famosa na época (tinham ganhado o campeonato da Argus Putbull usando 0day e tudo mais) que também tiveram confusão do tipo. Os caras tiveram seus servidores comprometidos, e acabaram comprometendo o outro cara de uma forma muito inusitada (usando uma backdoor que tinha no client do rootkit do cara).
- Entre 2000-2002 o FISL no sul também foi recheado de confusão deste tipo (com pwnage), com várias máquinas de profissionais de renome da área de segurança sendo comprometidas.
- A Brasnet era um paraíso de tretas do tipo. Quem aí desta época não se lembra das guerras de IRC pra dar takeover em canal? Na época vários servidores da Brasnet foram comprometidos onde instalaram interessantes backdoors. Era possível entrar invisível em canal, e inclusive sniffar conversas individuais.
- Dessa mesma época da Brasnet, quem não se lembra do Movimento Só Tem Hax0r (http://www.geocities.ws/sohtemhaxor/)?
- Ainda nessa mesma época, varias tretas na lista da Unsekurity. É interessante notar que varias dessas pessoas hoje são profissionais de renome e contribuem muito para a tal comunidade de segurança.
- Depois disso veio o tempo da Front The Scene / Clube dos Mercenarios e Motd. Listas distintas recheadas de confusão e pwnage de maquinas (me lembro que o Server da motd foi comprometido e deram disclosure). Me lembro que eu e um amigo de São Paulo (estado) cuidávamos dos servidores da FTS e CdM, e por causa de uma confusão dessas eu tive que viajar 1000km pra ajudar a analisar nosso server pois não tínhamos certeza se tínhamos sido comprometidos ou não (nossa conclusão na época foi de que não, mas houveram vários ataques).
- Depois disso veio a H2HC (2004) com tretas constantes. Pra vc ter uma ideia, na primeira H2HC rolou até spray de pimenta no hotel.
- Dai vieram os project mayhem internacional (sim, isso começou lá fora - na comunidade hacking internacional) e depois o nacional, onde o objetivo dos caras eram pwnar profissionais de destaque da área de segurança. E falando em comunidade internacional, quem não se lembra da GOBBLES? Vcs se lembram onde era hospedado o site dos caras? Era sub-dir do site de uma empresa muito famosa onde os caras atualmente contribuem (e sempre contribuíram) muito com a comunidade (varias tools, debuggers, etc).
- E mais recentemente veio a lista Brasil Underground com as tretas com o coruja e luiz vieira, fora outras.

Muitos destes acontecimentos eu vi de perto, outros fiquei sabendo por meio dos envolvidos. Portanto, querer dizer que viver em comunidade "significa saber respeitar o próximo e as diferenças entre todos, e estar disposto a acolher e ajudar a todos" é um erro. Cada comunidade escolhe suas regras, e as do meio hacking são bem hostis. Dizer que esse tipo de coisa é novo é ignorar ou desconhecer o passado. Isso sempre aconteceu no meio hacking, SEMPRE, e não vai deixar de acontecer NUNCA, pois o problema(?) está no tipo de pessoas que esta comunidade atrai. Briga de egos tem aos montes, tretas infinitas, mas também tem amizade verdadeira e muita troca de informação (muita mesmo).

Outro ponto discutido nos posts feitos pelo Cabral e Anchises é dizer que pessoas envolvidas neste tipo de confusão não contribuem para a comunidade. Como não contribuem se vcs nem sabem quem são? Vários envolvidos nas tretas que citei acima eu conheço pessoalmente de longa data, e posso garantir que são bastante ativos na comunidade (hacking e) de segurança, produzindo artigos de qualidade e ferramentas que vcs, profissionais de segurança, usam.

Dizer que esta característica da comunidade hacking afasta os novatos é desconhecer como as coisas funcionam. Hostilidade atrai ainda mais esse tipo de pessoa, pois o que eles mais gostam é de quebrar paradigmas, é de provar que o outro está errado. Se vc fala pra esse tipo de pessoa que uma exploração não é trivial achando que ele vai desistir, está completamente enganado. Este tipo de informação é muito mais um atrativo do que um incentivo à desistência. Dai só porque a ISS (X-Force) fala que a exploração de um of-by-one no bind 8 (frame pointer overflow) não é trivial, o cara vai lá e lança o primeiro exploit que explora esta técnica, primeiro exploit que faz connect-back e ainda me mete uma backdoor no shellcode. É desse tipo de gente que estamos falando aqui.

Vcs dizerem que os novatos não estão contribuindo é outro erro, posso citar vários aqui que surgiram na comunidade nos últimos 5 anos e já tem contribuído bastante com artigos, tools, palestras ou mesmo com um papo de boteco.

O texto do Cabral vai alem e critica o pessoal que vai nessas conferencias e "fica no bar" ao invés de assistir as apresentações, fazendo crer que assistir apresentações é a mesma coisa que aprender a técnica em questão. A maioria das palestras da H2HC (conferencia em questão nos dois posts) são altamente técnicas e muitas vezes requerem um pesado conhecimento prévio apenas para compreender o conteúdo apresentado. Outro ponto é que estudar != assistir uma apresentação/entender determinado conteúdo. Estudar tem muito mais haver com sentar a bunda na cadeira, ler, consultar referencias, replicar os testes, modificar as provas de conceito do que apenas assistir uma apresentação.

Pra mim a melhor coisa dessas conferencias é rever os amigos, bater papo sobre nossas pesquisas e a pesquisa dos amigos do que ficar assistindo apresentações. Até hoje só faltei 1 H2HC e sempre fui da "galera do buteco". Se assisti 5 apresentações no total foi muito. As vezes que me interessei pelo assunto de alguma palestra, peguei o material depois e estudei, ou mesmo fui até o palestrante (que estava bebendo umas no bar) e perguntei sobre minhas dúvidas. Mesmo minhas perguntas sendo humildes, nunca recebi uma patada como o Cabral disse. TODAS as vezes o cara teve paciência de explicar, e muitas vezes eles compartilharam códigos pessoais (não públicos) com o único objetivo de me ajudar. Pra mim o importante dessas conferencias é justamente criar a atmosfera propícia para este tipo de interação. E em conferencias como H2HC ou Null Byte é muito mais legal que uma Defcon, pois são menores o que facilita o acesso a essas pessoas.

Como reflexão final, acredito que no Brasil temos eventos de segurança e eventos de hacking. Não vá achando que uma H2HC ou Null Byte (nem estou citando a Alligator) tem a mesma pegada que o Roadsec. O Roadsec e a Silver Bullet/YSTS são eventos de segurança, feito por profissionais de segurança para o mercado de segurança. Eventos como H2HC, Null Byte, Ekoparty, Infiltrate e Defcon são conferencias de hacking e muito hostis por natureza. É um lugar que vc deve ir preparado e tomar cuidado com seu comportamento durante todo o evento, senão vc pode ser pwnado. É um lugar que vc não vai faltar com o respeito com a metade da conferencia (como disseram que aconteceu), usar a wifi publica e ainda assim achar que vai sair ileso. É um lugar que vc só vai fazer deauth nos participantes do CTF se for no melhor estilo Mr. Robot (não ser pego), do contrário esteja preparado para as devidas consequências.

Não se trata só de não acessar a wifi do evento, mas sim de desligar a wifi do seu celular e ficar atento com possíveis equipamentos estranhos no evento (me lembro que teve uma Defcon que os caras meteram um ATM falso dentro de um hotel cassino, pwnaram muita gente e depois publicaram as infos).

Os posts do Cabral e Anchises são estes aqui:


Just my 2 cents.

dmr.