26 Junho 2011
A polícia do Arizona, a CIA, a Sony, o Senado americano, a Nintendo, a cadeia de televisão PBS, a rede de televisão Fox, o site pornográfico Pron.com, o programa "X Factor", a polícia britânica, a fabricante de videogames Bethesda... A lista de vítimas dos ataques virtuais reivindicados pelo Lulz Security, um grupo de hackers, é longa. Mas, acima de tudo, todos esses ataques ocorreram em um curto espaço de tempo: desconhecido até dois meses atrás, o LulzSec - "lulz" vem da gíria inglesa "lol" ["laughing out loud", ou "morrendo de rir"] - em poucas semanas ganhou fama internacional.
A reportagem é de Damien Leloup, publicada pelo jornal Le Monde e reproduzida pelo Portal Uol, 25-06-2011.
Qual seria sua motivação? Por que atacar alvos tão diversos? "For the lulz", simplesmente por diversão, garante o grupo, através de seu site oficial e de sua conta no Twitter – ambos ainda ativos. "Vocês acham engraçado ver o caos tomando conta, e nós achamos engraçado tê-lo causado", foi um dos inúmeros comunicados escritos pelo grupo.
No website do grupo, o visitante é recebido por um navio pirata desenhado em ASCII, e a música da série de TV "O Barco do Amor". Clique no botão para interromper a música, e o volume desta dobrará: é o humor à la LulzSec. Outro exemplo do senso de humor do grupo: depois de roubar as senhas dos clientes do site de pornografia Pron.com e tê-las publicado na internet, o LulzSec encorajou seus fãs a usarem essas informações para entrar nas contas do Facebook de seus clientes – e denunciá-los como usuários de sites pornográficos.
Investigação internacional
No entanto, empresas e organizações governamentais têm levado o grupo a sério. Na terça-feira, foi uma operação conjunta do FBI e da Scotland Yard que permitiu prender um suposto membro do grupo perto de Londres. Ryan, 19, é suspeito de ter participado de um ataque que paralisou o website da Serious Organized Crime Agency, órgão da polícia britânica que combate o crime organizado. O jovem foi indiciado por sua participação em vários ataques e por ter um "botnet", uma rede de computadores controlados à distância e utilizados nos ataques.
Peixe pequeno, diz o LulzSec. "Obviamente a polícia britânica está tão desesperada para nos pegar que ela foi prender alguém que, na melhor das hipóteses, é vagamente associado a nós. Ridículo." O grupo afirma ter simplesmente usado um canal de discussão hospedado por Ryan, que não faz parte do "núcleo" do grupo.
Mas qual é o "núcleo" do LulzSec? Um grupo de no máximo cinco pessoas, segundo o Backtrace Security, um grupo de ex-membros do Anonymous, hoje em conflito com seus antigos "colegas". Topiary, Sabu, Tflow, Kayla, Joepie91: cinco pseudônimos bem conhecidos no meio dos ativistas virtuais e dos hackers. "Topiary foi preso por invasões virtuais, e Kayla afirma ser uma menina de 16 anos há mais de seis anos", se diverte um membro do Backtrace Security entrevistado pelo site do "Le Monde". Ainda de acordo com o grupo, Ryan fazia parte de um segundo círculo, e usava seu botnet para ataques, mas Kayla também tem sua própria rede de computadores zumbis.
Desconhecido até o começo de maio, o LulzSec se formou em torno desse núcleo que se conheceu através do Anonymous, quando essa rede informal de ciberativistas e de hackers se expandiu no ano passado. O Anonymous, que apareceu pela primeira vez em 2008, durante uma operação contra a Igreja da Cientologia, se tornou no final de 2010 uma rede solta e aberta, descentralizada e militante, que montava operações punitivas sob medida contra as empresas e organizações governamentais vistas como ameaças à liberdade de expressão. O Anonymous chamou a atenção sobretudo quando atacou bancos que haviam decidido fechar as contas de Julien Assange e do WikiLeaks, e depois se envolveu em diversas operações contra o governo tunisiano e o egípcio.
Foi dentro desse grupo de organização anárquica, que usava os canais de discussão IRC, que o embrião do LulzSec se solidificou, motivado pela busca da glória, segundo o Backtrace Security: "Kayla, Tflow e Sabu corriam atrás do reconhecimento da comunidade dos hackers muito antes do Anonymous. O Anonymous era só um veículo para eles."
A publicação na internet de registros de discussões em um dos canais IRC usados pelo LulzSec dá a entender que o grupo se constituiu em duas fases. Nessas conversas, Topiary, que é considerado o porta-voz não oficial do grupo, explica:
hmm não tenho certeza de quem É o LulzSec na verdade...
tflow/Sabu/eu/kayla o lançaram, depois tflow estava/não estava lá, e depois
Avunit/pwnsauce se juntou a nós, e depois você... :D É todo mundo e ninguém, imagino eu.
vamos postar desinfo sobre a CIA
Habilidades reais variáveis
Porém, o LulzSec não é necessariamente um grupo de piratas de elite. Se os alvos escolhidos – CIA, parceiros do FBI, grandes empresas – são impressionantes, as técnicas utilizadas pelo grupo não requerem necessariamente competências técnicas avançadas. Os ataques de negação de serviço, que consistem em saturar um website com conexões para travá-lo, são simples de executar – mesmo que o hacker não disponha de muita força de ataque, frequentemente um botnet.
As invasões efetuadas pelo LulzSec, que permitiram que o grupo se apoderasse de documentos internos de empresas e de órgãos governamentais, também não são proezas. "Essas invasões teoricamente não deveriam ser simples de executar, mas as técnicas utilizadas pelo LulzSec – injeções de SQL – são bem conhecidas na comunidade dos hackers, e consideradas até triviais", acredita Graham Cluley, pesquisador de segurança na Sophos. "Infelizmente, muitos sites não são suficientemente protegidos contra esse tipo de ataque". A injeção de SQL consiste em aproveitar, por exemplo, formulários de um website para injetar um código malicioso diretamente em uma base de dados, a fim de obter acesso a partes protegidas do site.
Ao longo de suas discussões no canal IRC, membros do LulzSec reconhecem, caso por caso: foi a ausência de proteções eficazes que permitiu que o grupo penetrasse em diversos sites. Durante uma discussão sobre um comunicado da Nintendo, que explicava que um servidor invadido pelo LulzSec estava na realidade mal configurado, Tflow reconhece que "não foi um grande hack". Segundo os membros do Backtrace Security, as habilidades dentro do LulzSec são variáveis, reunindo ao mesmo tempo script kiddies – piratas "amadores" que se contentam em explorar ferramentas livremente disponíveis na internet – e pessoas que têm conhecimentos mais avançados em segurança digital.
Em compensação, existe um domínio no qual todos reconhecem as habilidades do LulzSec: o marketing da pirataria. Desconhecido até dois meses atrás, o grupo e seus vários logotipos aparecem quase diariamente nas primeiras páginas da imprensa internacional; em poucas semanas sua conta no Twitter passou de algumas dezenas para mais de 250 mil seguidores, ou seja, quase tantos quanto a conta do "Le Monde". Cada novo vazamento do grupo é cuidadosamente orquestrado, anunciado previamente no perfil do Twitter do LulzSec; o grupo não hesita em manipular o paradoxo, ameaçando, por exemplo, represálias a um hacker que invadiu os servidores da fabricante de videogames Sega... sendo que o LulzSec acabara de atacar a Nintendo e a Sony. "Somos fãs do Dreamcast" [um antigo console do Sega], justifica o grupo, antes de encorajar a Sega a entrar em contato com eles para encontrar o hacker...
A arte da desinformação
No entanto, por trás do lado fanfarrão, o grupo não é tão confiante quando seus membros discutem entre si. Pouco depois do ataque à Infragard, Sabu escreveu no IRC do grupo: "Vocês têm noção de que acabamos de dar um tapa na cara do FBI? Isso quer dizer que todos nós devemos ser extremamente cautelosos." Em seguida ele explica que, por medidas de precaução, apagou todos os dados roubados anteriormente de um servidor da cadeia de televisão PBS.
O tamanho dos alvos, a frequência dos ataques, o lado provocador das mensagens publicadas pelo grupo fizeram dele uma celebridade, muito rapidamente. Com ajuda de pequenos truques: há fortes suspeitas, por exemplo, sobre a conta no Twitter do LulzSec, que parece ser seguido por muitos perfis fantasmas ou robôs. A comparação da evolução do número de seguidores da conta @LulzSec mostra amplitudes muito grandes, uma anomalia que pode ser indicativo de uma atividade intensa de contas automatizadas.
O LulzSec também se destaca na desinformação, proliferando os pseudônimos e chegando ao ponto de publicar falsos vazamentos para fazer com que as pessoas acreditem que o grupo trabalha para a CIA. No canal IRC, Sabu explica a tática:
estamos tentando esconder nossos endereços e todas essas merdas, não queremos mais que as pessoas sejam doxadas [que as informações sobre eles sejam publicadas] no outro canal.
compreensível
os pseudônimos que foram pegos são falsos
porque fizemos vazar documentos falsos
estamos desviando a atenção de nossos verdadeiros pseudônimos e do Anonymous
Ser "doxado", ter sua identidade publicada na internet, é o pavor dos membros do LulzSec, mais ainda do que serem pegos pela polícia. Pois ao atraírem a atenção do mundo inteiro, o LulzSec também fez muitos inimigos, especialmente entre a comunidade hacker. Além do Backtrace Security, vários "hacktivistas", entre eles "The Jester" (bobo da corte, em inglês), declararam guerra ao LulzSec. Os arquivos das discussões no IRC mostram que, para o Lulz Security, The Jester é um motivo de preocupação bem maior do que o FBI, a ponto de virar uma obsessão. No entanto, segundo os membros do LulzSec, The Jester não tem nenhum conhecimento, e portanto não deveria representar uma ameaça; mas ao colocar em dúvida a própria habilidade deles, ele representa uma ameaça para a reputação do grupo.
A "húbris" antes da queda
Afinal, a história do LulzSec é uma história de reputações. As discussões entre membros mostram que, mais do que uma motivação financeira ou política, é essencialmente o reconhecimento por seus "pares" – e da imprensa – que lhes importa. E é uma das causas do conflito entre LulzSec e outros grupos, que criticam seu egoísmo e acreditam que esse tipo de ação muito visível certamente resultará em uma diminuição da liberdade na internet.
Entre os "moralfags" (termo pejorativo para designar os "hacktivistas"), as "attention whores" (que só querem chamar a atenção) ou os hackers que acreditam que suas atividades devem permanecer discretas para evitar chamar a atenção, o desacordo fundamental parece irreconciliável. Para os membros do Backtrace Security, que pertencem à última categoria, a busca por fama e o ego desmesurado do LulzSec inevitavelmente farão com que eles sejam pegos. "É um caso clássico de húbris [o descomedimento que leva à queda, para os gregos antigos]. Sua busca pela glória enfraquece seu bom senso."
Os arquivos IRC do LulzSec mostram, de fato, que a modéstia não é a virtude principal do grupo. "Se eu fosse da CIA, certamente procuraria um grupo como o nosso", escreve Topiary, por exemplo. "Sério, se dessem para a gente um cronograma, um prédio e um salário, destruiríamos o mundo."
