John Matherly: Nos meus tempos livres, com uma máquina Dell, e continuei lentamente durante mais três anos. Quando comecei, acho que adicionava dez mil registos por mês. Agora, estou a adicionar centenas de milhões mensalmente. Porra! Isso é muito. Qual é o propósito do Shodan?
Bem, acabou por ser utilizado para algo diferente daquilo para que foi desenhado originalmente. Criei o Shodan de forma a que as empresas pudessem seguir o seu software. Contudo, o que aconteceu foi que os investigadores de segurança foram capazes de utilizá-lo para encontrar todo o tipo de software em todos os dispositivos. As pessoas que criam software têm estado, durante muito tempo, a fazer análises de vulnerabilidade nas centrais de energia e em todos os outros sistemas, mas antes do Shodan eles não tinham dados reais, nem estatísticas suficientes para dizer “isto é uma ameaça”. O Shodan demonstra que é possível aceder de forma remota a qualquer tipo de sistema, como por exemplo, uma central eléctrica. O Shodan trabalha como o Google?
É parecido, sim. O Google segue e filtra URLs. A única coisa que faço é escolher à sorte um IP de entre todos os que existem, estando ele activo ou não, e tento ligar-me por diferentes portas. Provavelmente, não é uma parte da web visível, no sentido em que não se pode aceder através de um browser qualquer. Não é algo que a maioria das pessoas possa descobrir facilmente, simplesmente não é tão apelativo quanto um site. Controlos de um crematório, aos quais podes aceder a partir do teu computador. A que tipo de dispositivos ligados à internet podemos aceder? Já encontraste algo de que não estavas à espera?
Bem, o ciclotron (um acelerador de partículas) foi um deles. É um equipamento de física teórica. É muito, muito volátil e nunca deveria ter estado online. Depois há toda uma série de coisas bizarras, tipo fornos crematórios. São realmente estranhos. Vês o nome do paciente a aparecer quando estão a fazer os ajustes na máquina, têm até uma modalidade para crianças. Não precisas de te identificar, nem de palavras-passe, nada. Sim, isso é bizarro. E mórbido. Mais alguma coisa?
As câmaras de circuito fechado são muito populares porque é algo a que a pessoa comum pode ter acesso. As pessoas gostam da ideia de encontrar escritórios ao calhas para coscuvilhar. Na França, descobriram uma enorme barragem hidroeléctrica que estava online. Curiosamente, essa barragem tinha um historial de falhas e uma povoação vizinha até teve inundações por culpa desses erros. Pois. Coisas como centrais eléctricas e assim não deveriam ter uma segurança mais apertada?
Uma das razões para este problema é quererem poupar dinheiro. A internet nem sequer existia quando muitas destas coisas foram construídas, por isso, para poupar, as empresas só compraram um adaptador para ligar o sistema à net. É óbvio que ninguém pensou nas questões segurança, por isso estão agora a levar com as consequências. Como disseste, muitos dos sistemas precisam de passwords, certo?
É verdade. E os dispositivos que precisam de passwords utilizam credenciais pre-determinadas. Só tens de entrar no Shodan, procurar a password e… já está! Controlos de uma barragem hidroeléctrica, aos quais podes aceder a partir do teu computador. Isso significa que hoje em dia tudo está ligado à net?
Este ano vai ser o ano da “internet das coisas” porque a maioria dos dispositivos já vem com essa conexão. Mas o que as pessoas provavelmente não sabem é que quando ligam a sua webcam à internet para ver os seus filhos a partir do trabalho ou quando fazem todas estas coisas com o seu telefone, isto tem implicações de segurança. Existem diferentes níveis de problemas de segurança. As webcams são provavelmente uma ameaça mínima, mas obviamente podem afectar a privacidade. Os pequenos aparelhos não são, em termos técnicos, um problema de segurança nacional. O problema chega quando podes aceder a cem mil aparelhos ao mesmo tempo. Ou seja, isto converte-se realmente num problema de segurança nacional porque se tiveres controlo sobre muitos dispositivos num só país, então poderás fazer estragos consideráveis. Dependendo dos números, tudo se torna mais grave. Não te surpreende que ainda não tenha acontecido nada de muito sério?
Acho que as pessoas subestimam a quantidade de conhecimentos técnicos que realmente são precisos para passar da descoberta ao êxito. Em segundo lugar, não sabes por quanto tempo o sistema foi realmente afectado. Tu podes entrar nestes sistemas e sempre que queiras utilizá-los para um propósito estratégico, tens a possibilidade de obter, uma e outra vez, o que quiseres dali. Hmm. Ou seja, já pode existir um vírus adormecido num sistema importante?
Sim, facilmente. Claro que precisas de um certo domínio do sistema. Não podes ser um adolescente de 16 anos e tomar conta de uma central de energia, não é fácil. É possível que possas encontrar com o Shodan, mas instalar o teu próprio código requere, geralmente, conhecimento real do dispositivo, especialmente com este tipo de sistemas. E o que impede os criminosos com esse tipo de conhecimentos de usar o Shodan para criar o caos?
As pessoas que realmente sabem o que estão a fazer e que querem fazer coisas ilegais não usam o Shodan porque não querem que as suas acções possam ser seguidas. O Shodan não é um servidor anónimo. Se usas o Shodan e queres mais do que 50 resultados (e 50 não é nada!), tens de fornecer informações pessoais e pagar. Se alguém quiser fazer algo realmente ilegal, em vez de usar o Shodan irá usar o Botnets para reunir essa informação.