quarta-feira, 27 de julho de 2011

Invasão, destruição, extorsão – parte 4 A DEFESA


Continuemos a história  “Invasão, destruição, extorsão-parte 3″  (se você ainda não leu, leia desde a parte 1 para melhor entender a continuação da história).

Atendendo aos pedidos dos leitores o desfecho desta história acontece praticamente neste texto.Ainda haverá um texto final com o término da história e uma análise mais detalhado dos fatos, erros etc. Alguns parágrafos abaixo você conhecerá bem mais sobre CLARCK (um nickname fictício), quem é ele e como consegui me importunar tanto.

Em resumo qual era a minha situação? Eu vinha tendo diversos sites invadidos e sendo desfigurados (defeacement) de forma sistemática. Num desses sites “tropecei” no ICQ do CLARCK, um jovem de 16 anos, facínora e ciber-terrorista. Ele me aterrorizou, fez ameaças, uma extorsão explícita e até suborno, pois propôs que eu “rachasse” o valor que o dono da empresa pagaria pelos seus supostos serviços (ele propunha uma madrugada via ICQ para me ensinar sua arte e resolver meus problemas).

CLARCK em um momento de lucidez chegou a desconfiar que eu fosse o dono da empresa (eu era um dos sócios). Mas como levei o assunto de forma serena ele mesmo chegou à conclusão de que não. As ofertas de “prestação de serviços” continuavam e de forma insistente. Eu só pedia mais um tempo. Logo logo vocês vão saber por quê.


Você verá abaixo telas capturadas de diálogos travados com o CLARCK. A qualidade não está boa pois na época eu capturei em baixa resolução, mas o conteúdo é rico demais e vale a pena o esforço para acompanhar a conversa.


Neste dia, antes da despedida final ele ainda jogou no ICQ o nome de um monte de domínios que ele tinha invadido e pichado. Provavelmente o objetivo dele era me fazer lembrar de seu “poder”. Mas este foi mais um tiro pela culatra, ele acabou me ajudando. Na relação que ele citou havia uns dois ou três que não sabíamos ainda que tinham sido invadidos (deu para arrumar antes do dono reclamar). Além disso, estava mais que confirmado que as invasões não eram de fato invasões (mais abaixo a explicação) e ele era meio incoerente. Tão autoconfiante na maior parte do tempo, mas às vezes amedrontado, veja abaixo.

Ele devia mesmo ter motivos para se preocupar. Nessa altura eu já estava buscando seu rastro. O ICQ tem um recurso de mostrar o IP do interlocutor. No começo de nossas conversas eu pegava o IP e tentava descobrir. Era cada vez de um lugar diferente. E ele fazia isso de propósito, pois o ICQ permite esconder o IP, mas ele mostrava, pois usava Internet via Proxies que mascaravam seu IP real. Só que após algumas interações com ele (os diálogos acima parecem um sessão única mas fui obrigado a resumir algumas partes bem como inícios e términos de sessão) percebi que o IP ficava sempre muito parecido. Usando o banal comando TRACERT descobri que se tratava de um provedor de acessos do PARANÁ. Descobri também a cidade, LONDRINA!! O garotinho que me ameaçava era nativo desta cidade. O “sotaque” paulista dele percebido pelo nobre amigo Piropo ou era forçado ou ele morara em São Paulo. Mandei carta e e-mail para o provedor de acesso. Num primeiro momento eles não me levaram a sério, mas no final disseram que o máximo de ajuda que podiam dar sem ferir a sua privacidade era seu nome, não deram nem endereço nem telefone.

Outra explicação que devo para vocês, leitores. Afinal porque eu estava querendo ganhar tempo? Simples, eu já tinha CERTEZA de que ele estava roubando arquivos da XWEB, de nosso servidor de desenvolvimento e usando estes arquivos para se logar corretamente no Host Americano e alterar as páginas. A INVASÃO era do escritório em São Paulo e não no servidor de hospedagem americano. Ele obteve o arquivo com todos os domínios, IPs, logins e senhas de FTP. Por conta disso eu vinha passando algumas madrugadas procurando vulnerabilidades no servidor de São Paulo, por onde ele tivesse entrado. Após este último diálogo, como eu sabia que ele estaria off-line, eu iria as 04:00 (de madrugada) para a empresa e continuar a devassa na segurança. E isso foi feito essa noite mais uma vez.

CLARCK tinha uns horários estranhos. Ele me contou que trabalhava das 05:30 às 10:00, dormia das 11:00 às 15:00, estudava das 18:00 às 22:00 e às vezes dormia das 23:00 às 05:00. Mas isso era raro, pois neste último horário ele ficava “hackeando”. Por isso que eu estava trabalhando nos bastidores para resolver o problema de nosso servidor neste horário esdrúxulo, às 04:00 da manhã.

O estresse era tanto que após muitos anos eu voltara a ter um forte episódio de labirintite. Horrível, fica tudo girando não dá para fazer nada. Quando passava eu voltava ao meu trabalho de garimpar os problemas do servidor, na ocasião um Windows 2000 Server.

Nesta madrugada eu DESCOBRI onde estava o problema!!!! Os arquivos confidenciais, lista de funcionários, lista de sites com IPs, login e senhas, cobranças de clientes etc. estava na pasta MY DOCUMENTS do meu sócio (que nessa época casualmente era o servidor do escritório). Ele era uma pessoa muito viva, esperta e um talento comercial nato, mas não tinha muita noção de informática (embora se virasse razoavelmente bem). Ele um dia quis ter acesso aos seus documentos a partir de outro computador da rede. Ele simplesmente fez um WEB SHARING da pasta My Documents!!!!!!!!!!!!!!!!!!! Nessa época não tínhamos roteador e o modem ADSL (TELEFONICA SPEEDY) chegava direto no computador dele. Isso fez com que TODOS os documentos CRÍTICOS ficassem escancarados na Internet!! Que imensa bobagem!! O CLARCK, como tantos hackers desocupados ficam rodando programinhas pegos na Internet para procurar vulnerabilidades. “A era romântica” dos hacker, pessoas com intelecto privilegiado, não existe mais. Hoje em dia até meu filho de 5 anos poder virar hacker se ele quiser !!!!

Para não ter dúvidas eu aloquei outra máquina para servidor, instalei do ZERO um Windows 2000 Server, apliquei todos os Service Packs e patches de segurança.Instalei um Roteador/Firewall isolando a rede ADSL de nossa rede, fechei TODAS as portas TCP e UDP e fiz com que a segurança dos arquivos da rede fosse a mais rigorosa possível (nada de dar permissões a mais para o que não é necessário). Enfim, fiz a coisa CERTA, como deveria ter sido feita desde o começo. Foram 6 horas de trabalho.

Eu tinha que terminar antes que o CLARCK acordasse. CONSEGUI!!! Pedi para os meus funcionários da XWEB trocassem TODAS as senhas de TODOS os sites que tínhamos hospedados no provedor americano (9NET Avenue).

Eu estava pronto para ele!!!! Agora era eu que queria que ele acordasse e viesse mostrar suas garras para mim!!

Na próxima e ÚLTIMA parte dessa série vocês vão ver a reação do CLARCK ao perceber que sua fonte tinha secado (muito interessante e engraçada) e uma análise crítica de tudo que aconteceu.Até lá…

2 comentários:

  1. Este Clarck me lembra muito uns doidos que de vez em quando tropeço no chat e no fórum, não sei de onde vem tantos bizarros assim. E o mais incrível que estas atitudes não são limitadas a mulecadinha não, tem muito adulto se comportando feio por aí. Quando ele disse que não sabia o que era backdoor, de duas uma, ou ele era o maior noob da história ou estava jogando verde, ali o que valeu na hora foi ter ficado frio!!. E vamos para a parte final!! Parabéns Flávio por ter resolvido o caso da forma que fez!!

    ResponderExcluir
  2. Caro D3lta super obrigado pelo apoio e por ter acompanhado minha história!! O CLARCK era mesmo estranho, agressivo e infantil ao mesmo tempo. Eu me vali de minha frieza para derrotá-lo a despeito de ter ficado mal, com labirintite naquela época por causa dele.

    ResponderExcluir