Com recorde de vendas de 4 milhões de cópias na primeira semana, o jogo Watch Dogs entrou instantaneamente nos altos escalões da indústria do videogame, graças ao conceito bastante incomum e à jogabilidade imersiva. A mecânica do jogo inteiro é baseado na possibilidade de hackear todos os dispositivos inteligentes da cidade – caixas eletrônicos, semáforos, câmeras de vigilância – para alcançar os objetivos do jogador. Os desenvolvedores da Ubisoft tinha o objetivo de ser bastante realista no roteiro do jogo, permitindo que o jogador realizasse ataques informáticos que, de fato, poderia seriam atingíveis na vida real. Não é à toa que eles pediram aos especialistas da Kaspersky Lab para avaliar o roteiro do jogo e ajustar o aspecto da arte real de hackear. Ainda hoje, distintos usuários que jogaram Watch_Dogs nos perguntam: se os truques do jogo realmente existem. Reunimos as perguntas que tivemos na nossa página no Facebook e pedimos a Igor Soumenkov, especialista em segurança da Kaspersky Lab, para dizer a verdade sobre Watch_Dogs.
O que há de tão perto da nossa realidade com relação à ficção do jogo?
Embora alguns hacks que aparecem em Watch_Dogs sejam muito semelhantes aos que acontecem no mundo real, ainda assim é um jogo, uma simulação. É crucial entender que você não aprenderá a hackear coputadores só porque jogou Watch_Dogs. No entanto, é verdade afirmar que, através do jogo, você pode ter uma ideia fiel das graves consequências de um ciberataque.
Entre os ataques mais comuna que você encontra no jogo são:
– Intercepção (roubo de senhas e pacotes de Wif no Android);
– Hackear caixas eletrônicos e POS (malwares para caixas eletrônicos controlado por SMS);
– Hackear carros (carros conectados vulneráveis);
– Controlar a cidade – semáforos/blackouts (o sistema de semáforos de Nova York foi hackeado?)
Aqui está a lista de hacks do #Watch_dogs que podem ser realizados na vida real: leia
Tweet
Realmente é possível hackear todas estas coisas através de um telefone móvel?
Claro que, na vida real, é necessário muito mais preparação e ferramentas por parte dos criminosos para realizar estes ataques. Não se trata apenas de tocar um botão do smartphone. No entanto, si, é possível.
Por exemplo, os ataques a caixas eletrônicos acontecem da seguinte forma: um cibercriminosos carregar um exploit e algum malware em um dispositivo USB removível. Depois de conectar o dispositivo USB ao caixa eletrônicos, o exploit permite que os intrusos obtenham privilégios no sistema para executar o malware. Depois que o caixa eletrônicos foi hackeado, o hacker poderia fazer com que o mesmo jogue para fora todo o dinheiro que poderia ser ativado por um smartphone.
Você acha que os cibercriminosos podem usar o jogo para as suas próprias ideias sobre como invadir e controlar uma grande cidade?
Esperamos que este jogo seja uma boa oportunidade para as pessoas pensarem sobre a segurança de futuros sistemas operacionais das cidades. A segurança tem de ser considerada extremamente séria em tais casos. O jogo é uma simulação interessante de como isso pode funcionar se for mal utilizado.
Você pode citar um incidente de segurança da vida real que pode ser considerado o mais assustador?
A maioria dos hacks que você vê no jogo são sobre sistemas automatizados de controle que estão sendo comprometidos. Esta é uma nova e assustadora tendência que começou há vários anos, desde o surgimento do Gusano Stuxnet, que atingiu sistemas de controle industrial. Este vírus é um exemplo de como um programa de computador pode quebrar as coisas no mundo real. Ele realmente quebrou equipamentos físicos. E é isso que vemos no jogo, está se tornando cada vez mais real.
Quais são as possibilidades de um ataque cibernético em um jogo online?
Os riscos existe e a gravidade depende do tipo do jogo que você está jogando e do jeito que você se comporta tanto no jogo quanto na vida real. Há mais de 10 anos, alguns tipos de Trojans são capazes de roubar, por exemplo, os personagens virtuais de um jogador. Hoje em dia, os objetivos dos cibercriminosos são extremamente flexíveis. Alguns hackers buscam roubar as credenciais de acesso às contas online dos usuários ou criar servidores ilegais para detrminados jogos online. Mas, há hackers cujos objetivos são mais ambiciosos e direcionam os ataques para os desenvolvedores dos jogos com o objetivo de roubar a propriedade intelectual.
É correto que o processo de descriptografia se acelera quando os usuários estão geograficamente mais próximos?
Isso é correto. Há processos computacionais que são tratados muito mais rapidamente quando se utiliza recursos compartilhados. O ataque para roubar senhas é um exemplo disto. Existem diferentes softwares diponíveis na Internet que permitem que os cibercriminosos compartilhem tarefas com diferentes dispositivos encontrados na mesma rede sem fio.
O que você acha que seria o maior obstáculo para a implementação de uma verdadeira “cidade inteligente”, como a de Watch_Dogs?
Os obstáculos do reino da tecnologia não são tão significativos. Tudo se resume a direitos administrativos. Em Watch_Dogs, os semáforos, os tubos de gás, caixas eletrônicos, sistemas de vigilância e pontes basculantes estão todas interligadas em uma única rede. O que significa é que uma única organização é responsável por toda a infra-estrutura e tem um único centro de dados.
Na vida real, nós ainda temos um caminho a seguir: todos estes sistemas são geridos por diferentes organizações e empresas. Cada banco, por exemplo, tem sua própria rede de caixas eletrônicos. Assim, o maior obstáculo para que a “cidade inteligente” de Watch_Dogs seja real, provavelmente, seria o processo de unir todas estas empresas e organizações diferentes sob o mesmo teto, no mesmo centro de dados.
Por outro lado, se isso ocorresse, as consequências de uma falha na segurança seriam abomináveis. Mas, ao mesmo tempo, o certo é que um único sistema interligado facilita muito a possibilidade de se proteger. Quanto menos servidores, mais difícil é para atacar.
É possível hackear uma cidade inteira com um equipamento barato?
Como falei anteriormente, nós não temos um único sistema para gerenciar a vida da cidade em sua totalidade. Temos muitas infra-estruturas díspares: uma rede de câmeras de velocidade, uma rede de caixas eletrônicos, e assim por diante. Isso faz com que seja impossível hackear toda a infra-estrutura de uma cidade. Sobre a questão do hardware, na maioria dos casos, seu custo normalmente é um elemento secundário. Um hacker pode realizar um ataque inclusive através de um PC de 200 reia. O que realmente precisa é um monitor, um teclado, um sistema operacional e um conjunto de conhecimentos e ferramentas. As ferramentas são facilmente encontradas na internet, tanto gratuitas e pagas.
Qual dispositivo móvel é o melhor para hackear?
Para realizar este tipo de manipulações é necessário um smartphone com privilégios especiais, seja um Android enraizado ou um iPhone com jailbreak. Tais dispositivos permitem alterar o endereço MAC da placa de linha, entre outras coisas. Mas, no geral, não depende exclusivamente de um tipo de smartphone. O elemento mais importante são os aplicativos e as ferramentas utilizadas no ataque. E elas estão disponíveis tanto para Android quanto para iOS.
Você acha que é possível que algum dia uma única empresa controle toda a cidade e um pequeno grupo de rebeldes tentem invadir o seu sistema?
Uma única empresa controlando uma cidade inteira me parece improvável. Pelo menos, não condiz com o interesse geral da comunidade empresarial: cada organização quer ter o controle sobre o seu reino e jamais aceitaria a existência de um monopólio. Assim, a idéia de uma cidade controlada por um único sistema não é real. Contradiz o princípio da livre e saudável concorrência. Nesse sentido, não há razões para pensar que a idéia do jogo pode ser trazido à vida real em algum tempo.
Mas quando se fala das chamadas “cidades inteligentes”, aos poucos estamos chegando lá. Mas esta é uma outra coisa: mesmo neste caso, a infraestrutura será gerida por diferentes organizações com distintas responsabilidades.
Hoje em dia, existem dispositivos físicos utilizados exclusivamente para hackear como por exemplo as caixas azuis do final dos anos 70?
Claro, e eles são muitos. Pense, por exemplo, os “computadores de plug”, que são do tamanho de um tablet ou velhos carregadores de telefone. Eles são aparelhos que se conectados à tomada elétrica, se conectam à Internet. Existe uma grande família desses dispositivos: Guru plug, Dream plug, etc. Todos eles são pequenos PCs totalmente funcionais projetados com uma finalidade de avaliar as redes e encontrar vulnerabilidades.
Existe diferença entre hackear um computador e hackear um semáforo?
Todos esses dispositivos, embora não tenho certeza sobre o ar condicionado, estão conectados, em algum aspecto, a computadores ou controladores, que são, por sua vez, geridos por operadores. Isso significa que para poder hackear o sistema de semáforos, teríamos que necessariamente hackear o PC que o controla. Essa é a abordagem mais viável, e é, em sua essência, aplicada em Watch Dogs.
Houve algum tipo de hack interessante que tenha sido eliminado do jogo e por quê?
Desde que nós nos especializamos em parar as ameaças cibernéticas e as pessoas que desejam manipular ou abusar os sistemas de TI, fomos capazes de fornecer consultoria técnica e recomendações sobre os cenários teóricos de Watch_Dogs, tanto durante o jogo in-game quanto no desenvolvimento do personagem e do enredo. Nós revisamos o roteiro e demos sugestões sobre o que achavamos que era preciso ou o que poderia ser mexido, editado ou alterado para tornar a jogabilidade ou desenvolvimento da trama mais autêntica (tecnicamente falando).
Nós não excluímos nada do cenário. Quando nos foi dado um roteiro, havia um conjunto de hacks já existentes. Nós estudamos isso, aprovamos alguns deles e corrigimos outros, mas não eliminamos nenhum. A decisação final ficou à cargo da Ubisoft.
Qual é a sensação de ter um conhecimento profissional de todas as ameaças cibernéticas atuais e potenciais? Você dorme bem?
Sim, por sorte, durmo bem. É claro, sabemos que não existem sistemas totalmente seguros. Isso significa que um hack é uma questão de tempo, orçamento e vontade. Sempre haverá vulnerabilidades. nos PCs, roteadores, redes corporativas, redes Wi-Fi, mas sabemos como agir quando algo é hackeado ou, ao menos, quando algo dá indícios de que foi hackeado. Isso nos dá um pouco de confiança e tranquilidade.
Existe uma base de dados que permita aos hackers acessar rapidamento o perfil e a informação pessoal dos usuários como é retratado no jogo?
Existem várias bases de dados do tipo e todas elas nós conhecemos. Elas são chamados de Facebook, LinkedIn, Twitter, etc. Seria preciso uma determinada tecnologia para correlacionar a pessoa a esse banco de dados para que isso aconteça.
Você não tem que trabalhar para um serviço secreto para ser capaz de fazer isso. Existem empresas de inteligência de código aberto que analisam dados abertos. Eles criam contas virtuais em redes sociais, pedem às pessoas para fazer amizade ou adicioná-los como amigos e, assim, conseguem acessar a qualquer tipo de perfil que necessitam. Quando temos muitos amigs, com milhares de conexões cada um, é possível cobrir uma grande parte da população das redes sociais.
Como você deve saber, há uma teoria de que apenas existe 6 pessoas que separam dois indivíduos de qualquer parte do mundo. O que significa que faltaria apenas alguns amigos para encontrar qualquer pessoa na rede. Então você vai ter que correlacionar as informações descobertas com o mundo real. Existem muitos métodos de fácil acesso a qualquer um: geolocalização, reconhecimento facial, reconhecimento de voz, etc. Quando usado em um pacote, eles são muito eficiente e é capaz de se livrar de informações desnecessárias, encontrar uma pessoa e identificá-lo pelo seu perfil digital.
Tradução: Juliana Costa Santos Dias