Meio Bit » Segurança » A invasão do Capitólio e a lição iraniana não-aprendida

A invasão do Capitólio e a lição iraniana não-aprendida

A invasão do Capitólio foi um desastre em vários níveis, mas talvez o pior tenha sido na falha de segurança em TI

3 anos atrás

Em 6 de Janeiro de 2021 ocorreu a invasão do Capitólio, em Washington, quando um monte de degenerados inconformados com a derrota de Donald Trump e instigados por twits do mesmo loser tentaram mudar o resultado na marra.

Cada revolução tem o líder que merece. (Crédito: AFP)

Havia gente dizendo que iria arrancar a cabeça do Vice-Presidente Mike Pence. Outro grupo ergueu uma forca. Um sujeito foi fotografado carregando braçadeiras, e ele claramente não estava montando um computador. Eles queriam fazer reféns. Outros falavam em “cabeças espetadas”.

O espetáculo de terror acabou com quatro pessoas mortas, e cenas dignas de um shithole sulamericano em mês de golpe de Estado quando é hora de trocar o Generalíssimo, mas fora as fezes espalhadas nas paredes muito mais preocupante eram as fotos nos gabinetes dos deputados, inclusive no gabinete de Nancy Pelosi, a líder Democrata que seria o equivalente a Presidente da Câmara.

Essas imagens da invasão do Capitólio apontam para um problema que por sua vez nos remete a uma outra invasão, 42 anos atrás.

No Irã a Revolução Islâmica havia derrubado o regime do Xá Reza Pahlevi, alinhado com os Estados Unidos, e levando ao poder o Aiatolá Khomeini.

Os protestos nas ruas aumentavam a cada dia, principalmente nas cercanias da embaixada dos Estados Unidos. A situação se tornou quase insustentável. Em Fevereiro de 1979 um grupo de guerrilheiros invadiu a embaixada e seqüestrou um fuzileiro naval, que foi torturado, espancado, julgado e por muito pouco não foi executado, mas negociações secretas entre o Governo Carter e o Governo Provisório conseguiram libertar o fuzileiro.

Os inimigos da Revolução não eram bem-tratados, e sim os soldados do Aiatolá tinham mira de Stormtrooper. (Crédito: w:Jahangir Razmi / Domínio Público)

Um ataque bem mais planejado foi marcado para Setembro, mas mais uma vez o Governo Provisório iria intervir, Khomeini, que havia nomeado o Governo não gostou da idéia de ter que autorizar a invasão E depois mandar retirar os estudantes de lá, então o plano foi cancelado.

Não adiantou muito, em Novembro do mesmo ano várias organizações estudantis, após bastante planejamento selecionaram 350 estudantes, que cortaram os cadeados e invadiram a embaixada. Os fuzileiros navais americanos preferiram não atirar, seria suicídio pois isso traria tropas iranianas.

Isso levou a uma crise na qual durante 444 dias 52 reféns foram mantidos na embaixada. O caso rendeu uma tentativa frustrada de resgate e um ótimo filme com o Ben Affleck, Argo, que narra uma operação mirabolante para resgatar americanos escondidos na embaixada canadense em Teerã.

27 de Janeiro de 1981. A crise termina, os reféns voltam pra casa. (Crédito: Don Koralewski / Departamento de Defesa)

Ao contrário da invasão do Capitólio, no Irã os americanos tiveram tempo de se preparar, e milhares de documentos foram destruídos, todos devidamente picotados em várias máquinas compradas exclusivamente para isso.

Quando os estudantes entraram encontraram dezenas de sacos cheios de documentos destruídos, haha sacaneei pensaram os ianques.

Meio complicado. (Crédito: Domínio público)

O que eles não contavam é que estudante é um bicho desocupado por natureza, e como não tiveram paciência de esperar a Internet ser inventada para usarem o Tinder, tiveram que achar com o que se ocupar.

Resultado? Criaram vários grupos com estudantes que tinham experiência em tecelagem, e começaram pacientemente a remontar os documentos picotados.

O trabalho levou anos, era extremamente lento e extremamente danoso aos Estados Unidos. Estava tudo lá. Lista de candidatos a espiões, ações executadas e planejadas no Irã, mensagens diplomáticas...

A definição de um trabalho de corno. (Crédito: Domínio Público)

Adicionando insulto à injúria, o Irã não manteve o material secreto. Eles publicaram 55 volumes com os documentos, e botaram para vender em qualquer livraria. Agora quer o melhor? Todos esses documentos outrora secretos estão disponíveis para download na Internet.

Uma folha A4 comum, passada numa picotadora é cortada em 400 fatias, que podem ser arranjadas em 1276800 combinações, mas alguns bilhões de anos de Evolução tornaram nossos cérebros ótimos para identificar padrões, então eliminamos milhares de combinações por segundo, usando apenas o bom-senso.

Claro, quando você tem fatias de milhares de páginas, a coisa fica mais complicada, mas os estudantes iranianos provaram que podia ser feito.

Para evitar isso os americanos (e todo mundo) passou a usar picotadoras que ao invés de tiras transformam o papel em confete, mas seriam realmente seguras? Em 2011 a DARPA – a agência de projetos avançados do Departamento de Defesa - lançou um desafio oferecendo US$50 mil para quem conseguisse remontar cinco  páginas que passaram por um triturador de papéis.

Naquela época computadores já estavam avançados o suficiente para que em apenas um mês uma das 9000 equipes que se inscreveram no desafio conseguisse terminá-lo. E nem foi trabalho de dedicação integral, o projeto deles levou 600 homens-hora.

Ficou evidente que dados confetizados não estavam a salvo dos recursos de um Estado Nacional, a solução foi a instalação de máquinas que não picotam, não fatiam nem mesmo trituram, mas pulverizam papel. E sim ainda se usa muito papel pelo mundo.

E a Invasão do Capitólio?

Repare na foto abaixo:

Peixe morre pela boca. (Crédito: Reprodução Twitter)

Pois é. Ela foi tirada por um idiota chamado Elijah Schaffer, que já foi devidamente preso. É um dos computadores do gabinete de Nancy Pelosi. Os assessores fugiram tão rápido que ninguém se deu ao trabalho de bloquear a tela do computador.

Ali, para todo mundo ver, um computador, ligado na rede do Congresso, com acesso a emails da Presidente da Câmara, e sabe-se lá quantos arquivos sigilosos espalhados pelo HD e pela rede.

Imagine o estrago que um russo com um pendrive faria (ou fez) ali.

É óbvio que o departamento de TI do Congresso tem sua política de segurança, mas é bem complicado quando senadores e deputados compram computadores decentes (os do governo são sempre os mais baratos que uma licitação de 1975 conseguiu comprar) e os instalam, exigindo conectividade.

Assim como em empresas, quanto mais alto na hierarquia menos a pessoa liga para segurança de informação.

Nesta excelente thread no Reddit é discutida a situação. O consenso é que não há um CAC – Common Access Card, um Smartcard usado pelo Departamento de Defesa para identificar e autenticar seus usuários.

O cartão normalmente é inserido em um leitor no computador, mas como o usuário precisa dele para abrir portas, autorizar procedimentos, etc, ninguém levanta sem o seu CAC. A política de segurança do computador está programada para travar a tela imediatamente após a retirada do cartão.

Exemplos de Common Access Card. (Crédito: Departamento de Defesa)

Claro, na prática o pessoal no alto da hierarquia exige um monte de exceções, mas no caso do PC da Pelosi, pelo visto a autenticação se resume a usuário e senha mesmo.

Assim como na embaixada americana, na invasão do Capitólio a segurança falhou por falta de imaginação dos projetistas do sistema, que não consideravam possíveis as premissas necessárias para isso.

Com a invasão laptops foram roubados, Hard Disks sumiram e principalmente, computadores de senadores e deputados foram comprometidos. Em Segurança de Informação a regra é clara: Se você tem acesso físico ao computador, é game over, man, game over. E nem digo isso só me referindo ao antigo furo de segurança do Linux aonde para acessar um computador sem saber a senha bastava digitar “Linux single” no LILO.

Calma que piora

Como foi impossível sanitizar ou trocar milhares de computadores em algumas horas, quando o Congresso voltou a funcionar no dia seguinte os funcionários usaram computadores que poderiam (ou menor, podem) estar comprometidos. Basta um pendrive e você contamina uma máquina com um malware, qualquer agente de inteligência júnior sabe disso, nem precisa ler Tom Clancy.

A invasão do Capitólio foi um desastre para todos os envolvidos, um bando de idiotas basicamente começou um Golpe de Estado sem perceber, e quando entraram no Congresso fora alguns a maioria nem sabia direito porque estava ali, tinha gente fazendo até selfie.

Ao mesmo tempo o mundo ficou embasbacado com a facilidade com que um grupo que faria homens-bomba parecerem ganhadores do Nobel conseguiu entrar em um dos prédios mais importantes do país.

Qual a lição aprendida? Nenhuma, no máximo aprendemos que os americanos não aprenderam NADA desde Teerã e continuam péssimos protegendo suas informações.

Leia mais sobre: , , , .

relacionados


Comentários