ÉPOCA conversou com Vinícius Camacho, o K-Max, que foi indiciado por ter invadido o banco de dados da empresa de telefonia
Bruno Ferrari
Vinicius Camacho
Indiciado pela Telefônica por expor uma falha do sistema da empresa e informações pessoais de seus clientes
Indiciado pela Telefônica por expor uma falha do sistema da empresa e informações pessoais de seus clientes
ÉPOCA – Por que você atacou o site da Telefônica?
Vinícius Camacho – Sou cliente do serviço Speedy, não por opção, mas por falta de. Moro no interior do estado e não há outros serviços de banda larga aqui. Como cliente, estava navegando pelo site justamente pra tentar me informar sobre as instabilidades no serviço. De repente, resolvi testar se o sistema estava vulnerável a uma SQL Injection, que é uma falha que permite enviar comandos diretamente para o banco de dados do site sem exigir o uso de qualquer ferramenta além do próprio navegador. Para o meu espanto, constatei a vulnerabilidade e, a partir daí, fiz questão de ver quão grave ela era.
ÉPOCA – E como você fez isso?
Camacho – Foi assim que notei que os dados dos clientes poderiam ser acessados por qualquer pessoa com conhecimento dessa técnica. Falhas de segurança não escolhem exploradores. Se o bem intencionado não descobri-la primeiro, o mal intencionado certamente o fará. Depois que coloquei um site no ar denunciando a vulnerabilidade, a falha ficou disponível durante cerca de um mês. Passado esse tempo, resolvi entrar em contato com uma jornalista que publicou a história e chamou atenção para o problema.
ÉPOCA – Qual foi a reação da Telefônica?
Camacho – A resposta dela foi aparentemente tentar abafar a história. Ela apenas fechou a vulnerabilidade e jamais entrou em contato.
ÉPOCA – E quando você recebeu a notícia de que havia sido indiciado?
Camacho – Não recebi notícia alguma. Chegaram chegando ontem.
Camacho – Não recebi notícia alguma. Chegaram chegando ontem.
ÉPOCA - Como foi a abordagem. Você estava em casa e a polícia chegou? O que foi apreendido?
Camacho - Creio que foi a abordagem de praxe de qualquer mandado de busca e apreensão. Fui surpreendido, claro.
ÉPOCA - O que acontecerá com você agora?
Camacho - Me defenderei contando os verdadeiros fatos e esperando que a Justiça seja feita.
Camacho - Me defenderei contando os verdadeiros fatos e esperando que a Justiça seja feita.
ÉPOCA – O que o levou a se tornar um hacker?
Camacho – Mais do que um programador, sempre fiz questão de ser um "fuçador" e acabei me apaixonando pela área de segurança. Sempre tive o cuidado de não ser um "programador funcional", que é o cara que abandona um sistema após vê-lo funcionando. Esse é o grande erro cometido pela maioria, infelizmente. Ocasionalmente, já identifiquei falhas em sites de grandes empresas. Parte dos sites foi informada, mas muito poucos responderam ao e-mail ou sanaram o problema. E também chega uma hora em que você percebe que todos estão vulneráveis. Setenta por cento dos sites têm alguma vulnerabilidade. Para mim esse número é alarmante o suficiente para que programação ensinada em livros e cursos seja totalmente repensada. Como programador, já trabalhei pra empresas grandes e pequenas. Atualmente sou freelancer, o que me deixa mais tempo pra estudar segurança e fazer alguns testes de penetração (que é uma auditoria prática, em que o profissional é contratado para simular o ataque real de um hacker).
Camacho – Mais do que um programador, sempre fiz questão de ser um "fuçador" e acabei me apaixonando pela área de segurança. Sempre tive o cuidado de não ser um "programador funcional", que é o cara que abandona um sistema após vê-lo funcionando. Esse é o grande erro cometido pela maioria, infelizmente. Ocasionalmente, já identifiquei falhas em sites de grandes empresas. Parte dos sites foi informada, mas muito poucos responderam ao e-mail ou sanaram o problema. E também chega uma hora em que você percebe que todos estão vulneráveis. Setenta por cento dos sites têm alguma vulnerabilidade. Para mim esse número é alarmante o suficiente para que programação ensinada em livros e cursos seja totalmente repensada. Como programador, já trabalhei pra empresas grandes e pequenas. Atualmente sou freelancer, o que me deixa mais tempo pra estudar segurança e fazer alguns testes de penetração (que é uma auditoria prática, em que o profissional é contratado para simular o ataque real de um hacker).
ÉPOCA - Vemos casos em outros países de hackers que foram contratados pelas empresas atacadas, para trabalhar em suas área de segurança da informação. Por que você ache que isso nao aconteceu com você?
Camacho - Talvez porque a Telefônica não tenha mesmo o interesse de investir em segurança.
Camacho - Talvez porque a Telefônica não tenha mesmo o interesse de investir em segurança.
ÉPOCA - Depois disso, você pretende continuar buscando brechas em redes de empresas poderosas, como a Telefônica?
Camacho - Independentemente de eu continuar ou não, outros continuarão buscando e a maioria deles não avisará a imprensa. Como sempre foi. Então é bom que as empresas comecem a levar a segurança dos seus dados e a privacidade dos seus clientes muito mais a sério.
Camacho - Independentemente de eu continuar ou não, outros continuarão buscando e a maioria deles não avisará a imprensa. Como sempre foi. Então é bom que as empresas comecem a levar a segurança dos seus dados e a privacidade dos seus clientes muito mais a sério.
ÉPOCA – Você também ficou conhecido por ter atacado o Orkut, em 2005, quando roubou algumas comunidades importantes da rede social? Você chegou a sofrer alguma consequência legal?
Camacho – Não. As pessoas entenderam que eu estava bem intencionado e queria alertar para uma falha, e não tirar vantagem roubando comunidades. Tanto que as comunidades foram devolvidas poucos dias após a ação. Resumindo o que aconteceu: existia uma falha publicamente conhecida no navegador Internet Explorer. A falha era pública há mais de um mês e a Microsoft ainda não havia corrigido o problema. Paralelo a isso, o Orkut permitia a transferência permanente de comunidades baseando-se apenas nos cookies da sessão atual dos usuários (que são dados que fazem com o que o site saiba quem é você enquanto você navega por ele). Como a falha no Internet Explorar permitia justamente a cópia desses cookies, pronto, tínhamos um cenário de exploração gravíssima no Orkut.
Camacho – Não. As pessoas entenderam que eu estava bem intencionado e queria alertar para uma falha, e não tirar vantagem roubando comunidades. Tanto que as comunidades foram devolvidas poucos dias após a ação. Resumindo o que aconteceu: existia uma falha publicamente conhecida no navegador Internet Explorer. A falha era pública há mais de um mês e a Microsoft ainda não havia corrigido o problema. Paralelo a isso, o Orkut permitia a transferência permanente de comunidades baseando-se apenas nos cookies da sessão atual dos usuários (que são dados que fazem com o que o site saiba quem é você enquanto você navega por ele). Como a falha no Internet Explorar permitia justamente a cópia desses cookies, pronto, tínhamos um cenário de exploração gravíssima no Orkut.
cara vc é um heroi sou seu fam
ResponderExcluiré isso mesmo que se tem que fazer
invadir usuausa
pra mostrar que estamos todos vuneraveis
agora imagina essa informaçao na mao de gente erada
era muita dor de cabeça
para os donos das indentidades e cpf ou seja muita dor de cabeça para os clientes da telefonica !!
rodrigocruz1988-22@hotmail.com