Invasão do smartphone do Jeff Bezos? Por um príncipe!?

ataque-whatsapp

Portais internacionais noticiaram a suposta invasão do smartphone do fundador da Amazon, Jeff Bezos, pelo príncipe da Arábia Saudita.

Sim, ué. Possível … e provável – na minha opinião.

(Para quem ainda não viu, estão saindo artigos aos montes na imprensa sobre a suposta invasão do smartphone do fundador da Amazon pelo príncipe da Arábia Saudita: https://www.theguardian.com/technology/2020/jan/21/amazon-boss-jeff-bezoss-phone-hacked-by-saudi-crown-prince)

Vejamos:

  1. Assim como qualquer outro software, WhatsApp tem vulnerabilidades. Elas podem ser conhecidas ou desconhecidas – pelo fabricante, pela comunidade global de pesquisadores, pela criminalidade cibernética que vive de comercialização dessas informações, etc. Um exemplo disso foi quando houve um alarde geral, no ano passado, quando veio à tona a exploração de uma dessas vulnerabilidades. É o famoso ataque facilitado por armas cibernéticas chamadas de “zero day” (porque nem o próprio fabricante muitas vezes sabe dessa vulnerabilidade até que ela começa a ser explorada livremente).
  2. Existem empresas que têm verdadeiras plataformas cibernéticas ofensivas, onde esses “zero days” e outras ferramentas (de persistência, por exemplo) estão disponíveis num único lugar, para qualquer leigo colocar o alvo a ser atacado e lograr êxito nessa intrusão – caso, obviamente, a vítima esteja vulnerável aos múltiplos ataques que essa plataforma pode lançar. Quem são os clientes? Law Enforcement Agencies, Militares, autoridades em geral. A Hacking Team é uma dessas empresas. Um dos principais diferenciais competitivos dessas empresas é o número de zero days que elas têm em seu arsenal. É verdade que um zero day (de execução remota de código sem necessidade de interação da vítima, por exemplo, que é o mais assustador na grande maioria das vezes) numa plataforma como o Whatsapp pode valer 7 ou 8 dígitos mas, convenhamos, os clientes dessas empresas têm bolso para pagar essas plataformas.
  3. Há anos a pessoa de confiança (S.A.Q.) do príncipe, que sabidamente cuida dos assuntos “cyber” do país, utiliza a plataforma do Hacking Team. Se fala, inclusive, que ele hoje seja acionista (20%) da empresa.
  4. Segundo o relatório da FTI Consulting (que veio à tona hoje com a matéria do Vice acima), um vídeo (MP4) foi recebido pelo Whatsapp de Bezos no dia 01 de Maio de 2018, enviado pelo próprio contato do príncipe. Logo após esse evento, o celular de Bezos teria começado a transmitir um volume de dados muito alto e bastante anormal, considerando o histórico passado desse dispositivo. Isso sempre é um forte indício de data exfiltration.
  5. O mesmo relatório menciona que o malware em si (que pode ter “exfiltrado” os dados ou que poderia, até recentemente, permitido a persistência da espionagem no dispositivo de Bezos) não foi encontrado mas, pela nossa experiência, esse tipo de software malicioso requer uma análise mais profunda (física ou filesystem completo) à análise lógica empregada no relatório. Ainda, depois de tanto tempo, ele poderia muito bem ter sido destruído – e, como a volatilidade de evidências digitais é alta, quanto mais o tempo passa mais difícil fica para o examinador/perito.

Portanto…. Tire suas próprias conclusões….

É o que vivemos falando em sala de aula quando ouvimos: “iPhone é seguro?”; “Whatsapp é seguro?” … Depende do adversário!

Se o seu adversário tem recursos ilimitados e está bastante motivado a te atacar, comece a adotar o “assume breach” e desenhe suas políticas e processos assumindo que o incidente pode acontecer a qualquer momento.

Por Domingo Montanaro, Perito em TI e fundador da Ventura Academy.