Estes são números que não batem recordes e nomes quase desconhecidos, mas são parte da história da cibercriminalidade. Mesmo que tenham acontecido no século passado. A CNN Portugal conta-lhe algumas histórias dentro da história com a ajuda de Nuno Mateus Coelho, professor Universitário, doutor em Cibersegurança e apaixonado pela segurança das telecomunicações.
Pode parecer mentira, mas é verdade. John Nevil Maskelyne, um mágico de profissão que também era inventor, é considerado por muitos como o primeiro hacker da história. Provavelmente não era esse o seu objetivo, mas as motivações não são completamente claras. "Foi aí que se falou pela primeira vez da importância de 'segurar' as telecomunicações ou de haver segurança da informação", afirma Nuno Mateus Coelho à CNN Portugal.
Corria o ano de 1903 e em Inglaterra, Guglielmo Marconi, chamado muitas vezes como o "pai da rádio", criou o telégrafo sem fios. E nesse ano Marconi resolveu organizar uma demonstração na Instituição Real, em Londres. O físico John Ambroise Fleming, colega de Marconi, iria receber uma mensagem enviada a 500 km de distância.
Mas Maskelyne, na altura com 39 anos, acabou por estragar a demonstração e usando impulsos eletromagnéticos intercetou e sobrepôs uma mensagem sua com um código Morse. Consta que a mensagem era pouco simpática, mas acabou por revelar que o telégrafo sem fios não era seguro e tinha fraquezas.
Quis o destino que seja considerado como um dos primeiros hackers da história, porque foi a primeira vez que uma pessoa tornou sistemas de transmissão de informações vulneráveis. Quanto à motivação, Maskelyne justificou que só queria demonstrar que o sistema de Marconi tinha falhas. Mas há rumores, não provados, de que terá sido contratado por uma empresa de telégrafo por fio que não queria o sucesso deste novo avanço. Mas a verdade é que a falha existia.
"Embora não se conseguisse fazer muito, porque os telégrafos tinham que ter estes pontos de intercomunicação, o facto é que estes pontos eram zonas vulneráveis e permitiam a intersecção destes sinais nestas junções", explica o especialista.
“Marconi estava a fazer a sua primeira prova de conceito de telégrafo sem fios, mas como a mensagem era via rádio, pela ionosfera, acabou por ser intercetada e deturpada ". E é por isso que a história olha para este caso como "o primeiro ataque".
Steve Jobs e o Steve Wozniak enganaram empresa de telecomunicações antes de criarem a Apple
Mas o mundo do hacking e do cibercrime "tem muitas histórias românticas e engraçadas", admite Nuno Mateus Coelho. E uma delas é a que envolve Steve Jobs e Steve Wozniak, antes de conseguirem ter sucesso com a Apple e numa fase em que precisavam de financiar a criação das primeiras placas dos Apple para levar à IBM.
"O que permitiu que Wozniak e o Steve Jobs conseguissem, de facto, avançar para o protótipo da Apple, foram umas caixinhas que andavam a vender. Era a Blue Box, que permitia fazer chamadas internacionais ou de longa distância sem pagar. Aquilo tinha uns tons gravados numa pequena cassete e eles levantavam o auscultador e tocavam aquele som. A central automática (não eram ser humanos, mas sim um sistema automatizado da AT&T, uma empresa de telecomunicações norte-americana) achava que aquele som era o das moedas a cair na maquineta e os apitos permitiam fazer chamadas internacionais a longa distância", recorda Nuno Mateus Coelho.
"Portanto, Jobs e Wozniak venderam durante muito tempo estas caixinhas para financiaram o seu sonho que era criar o primeiro computador doméstico", afirma o especialista.
O potencial destas caixinhas não passou despercebido no mundo criminoso. "A Blue Box foi usada até aos anos 90 por imensos pequenos hackers nas ruas de Nova York, Seattle e, em particular, de Boston, no grande movimento hacking dos anos 80 e 90", de forma a enganar as cabines telefónicas.
"Isto da segurança da informação era muito mais engraçado do que é agora, mas deu a origem a isto tudo". Ou seja, é aqui que nasce "o conceito de explorar os sistemas de telecomunicações para garantir anonimato aos atacantes".
O que é que permite um atacante nos dias de hoje fazer um hacking e não ser detetado? "O fundamento foi criado nos anos 80 e 90 com as primeiras tentativas de intrusão em sistemas à distância, que passava por usar os sistemas de telecomunicações através de redes mais complexas, através de subterfúgios, sem haver registos, não havia dinheiro, porque as chamadas eram de longa distância. Era através de pequenos mecanismos, que no meio de uma cabine, no meio de uma viela escondida, no meio de nada, conseguiam fazer chamadas. Ao fim de 10 minutos, mudavam de rua e mudavam de cabine, criando uma espécie de jogo de rato e o gato, com as autoridades e as empresas de telecomunicações".
E do século passado aos dias de hoje, só evoluiu a tecnologia. "Hoje o atacante faz a mesma coisa, mas recorrendo a VPN. recorrendo à Deep Web. O conceito é o mesmo. São pequenas cabines telefónicas espalhadas por todo o mundo que se desligam e ligam automaticamente. Quando a autoridade tem ou sabe a localização vai tentar ver se está lá, mas não está".
De Marconi a Barack Obama: "O mesmo conceito de picar uma linha"
E quando o 'hacker' é o Governo? Um caso mais recente é o do PRISM no Estados Unidos. Um programa secreto de vigilância da Agência de Segurança Nacional, a NSA, revelado em 2013 durante o Governo de Barack Obama. Este programa recolhia dados da Internet de grandes empresas de tecnologia e permitia à NSA recolher e-mails, conversas e outras comunicações de pessoas não americanas fora dos Estados Unidos. À época, Obama, presidente dos EUA, afirmou que este não poderia ser usado para visar intencionalmente cidadãos americanos, mas a revelação da sua existência tornou o programa alvo de escrutínio e o Governo propôs algumas reformas nas práticas de vigilância.
"Os Estados Unidos tinham o projeto PRISM, através do qual injetavam ou desviavam as fibras óticas da empresa de telecomunicações americana, a AT&T, para o NSA, para analisar o tráfico e para perceber quem eram os cidadãos ligados ao crime", conta Nuno Mateus Coelho. Era "mais uma vez o mesmo conceito de picar uma linha, como aconteceu a Marconi no passado, mas neste caso em fibra ótica".
"Muda a tecnologia, mas o tema é sempre o mesmo. E o princípio é sempre o mesmo. Fazer a intersecção das comunicações". Aliás, "hoje, não é só a linha telefónica, é também o dispositivo final. Antigamente era um auscultador de telefone, agora é um aparelho esperto. Se a linha é difícil de contaminar, o que é que fazem? Não há problema nenhum. Fazemos o mesmo, mas através do dispositivo. O que é que acontece? Colocam um pequeno vírus", explica o especialista em cibersegurança.
Um bom exemplo é "quando as pessoas vão ao banco, ele (o criminoso) faz a intercessão dessa comunicação". Seja no computador ou no telemóvel.
Como o hacking participou no rumo da II Guerra Mundial, com a ajuda dos romanos
"Houve uma altura na história em que não havia alternativa. Foi a altura da guerra e, portanto, por exemplo, os submarinos tinham de comunicar com as centrais as posições militares. Houve uma altura em que simplesmente não se podia permitir que quem estivesse no meio destas linhas as capturasse. Então surgiu o conceito da criptografia", conta.
Todavia, o conceito da criptografia tem muitos séculos e a viagem no tempo leva-nos aos romanos. "Já existia a criptografia de César. Já há muitos séculos que o ser humano quer esconder a informação. No tempo dos romanos a informação não era por fios de telefone, era escrita em papel e usava-se uma forma de criptografia que passava por reposicionar as letras da mensagem recorrendo a movimentações do abecedário".
"Usava-se 12 avanços no abecedário. Quem escrevia e quem recebia aquelas mensagens - em papel - sabia que se estava lá um A, a letra verdadeira era uma que estava 12 casas à frente no abecedário. E conseguia decifrar. Isto é o conceito da cifra de César", exemplifica Nuno Mateus Coelho.
Na II Guerra Mundial a necessidade de esconder informações tornou-se quase vital. "Os nazis queriam esconder os sítios que iam atacar e onde iam esconder os seus submarinos. E criaram uma caixa para codificar uma espécie de cifra de César moderna, para codificar as mensagens para os submarinos, para as equipas de tanques e para os comandantes, sobre o que iam atacar e quais eram os alvos".
E assim nasce a máquina Enigma: o dispositivo eletromecânico de criptografia usado pelas forças armadas alemãs para codificar mensagens. Mas é aí que entra em ação Alan Turing, o pai da Inteligência Artificial. "Alan Turing criou o computador Turing para calcular como é que estava a ser feito o segredo, como é que encriptavam e como é que a enigma funcionava".
Foi ali que Turing descobriu que havia uma palavra secreta que era introduzida. Uma espécie de código secreto, um pin secreto, pode chamar-se assim. Era introduzido para encriptar e para desencriptar a mensagem.
Até essa altura era impossível, mas é através deste primeiro computador que temos a violação da segurança da informação. Ou seja, "foi aqui o primeiro exemplo de um computador a violar a segurança de informação de outros sistemas de telecomunicações já encriptados", acrescente o professor universitário.
Ao encontrar a 'palavra', Turing acaba por provar que tudo o que podia ser encriptado também podia ser depois desencriptado e "mostrou que daí para a frente não havia alternativa a não ser continuar a 'segurar' a informação com sistemas mais robustos. E é por isso, lembra Nuno Mateus Coelho, que "hoje usamos criptografia que, para ser desencriptada, precisa de milhares de vezes a vida que o espaço já tem, milhares e milhares de anos de vida do universo para desencriptar".
Capitão Crunch, o hacker do apito da caixa de cereais
E passem os anos que passarem, o conceito é o mesmo: "Entrar entre o destinatário e a fonte de informação, e tentar, no meio, como se fez há 123 anos, desviar a informação para seu benefício". E do tempo dentro do tempo, vamos aos nomes que também fazem história: os hackers.
"O meu preferido é John Draper, o Capitão Crunch, uma história espetacular", assume Nuno Mateus Coelho. "Nas aulas falo sempre deste caso porque a minha área de especialização na cibersegurança são as telecomunicações", acrescenta.
Cap'n Crunch era o nome de uma marca de cereais fabricada pela Quaker Oats Company e, a dada altura, a marca decide oferecer um apito como brinde. E é este apito que torna John Draper um símbolo entre piratas informáticos e não só. Ele foi um dos primeiros hackers (ou phreakers - indivíduos que exploram e manipulam sistemas telefónicos para obter acesso não autorizado. A atividade é conhecida como "phreaking").
Draper descobriu que o pequeno apito de plástico podia produzir um tom de 2.600 hertz que permitia fazer chamadas telefónicas de longa distância gratuitas. Mais uma vez, o homem, através do som enganava a máquina.
Quando se usava o telefone, levantava o auscultador e se colocava 50 ou 60 cêntimos para fazer uma determinada chamada, a máquina fazia sons... Isto nas cabines telefónicas. Sons iguais aos produzidos pelo apito. "Ocorreu-lhe gravar aquilo e, depois, cada vez que fazia uma chamada, levantava o auscultador, tocava a gravação e aquilo imitava o som das moedas a cair na máquina. Fazia os apitos das moedas de 50 cêntimos e dos 25 cêntimos americanos", explica o especialista em cibersegurança.
Kevin Mitnick mudou de lado: "O problema vai estar sempre entre a cadeira e o monitor"
E do favorito para o mais famoso, segundo Nuno Mateus Coelho: "O mais famoso de todos é Kevin Mitnick. Era um génio". No final dos anos 80, inícios dos anos 90, ele introduziu-se na Nokia, na Motorola, na IBM, entre outras.
"O que ele fazia era uma engenharia social de programação em que enganava os funcionários das empresas para ter credenciais. Ligava para as empresas e dizia 'estou a ligar da AT&T, estou a ligar da Nokia, sou um técnico informático. Preciso de fazer uma manutenção remota ao computador. Tem aí um aparelho pousado em cima do computador, não tem?'", perguntava. O aparelho "era o modem".
A sua capacidade de convencer as pessoas a dar as informações era impressionante e foi dos primeiros a realizar grandes ataques. "Ele também usou as cabines telefónicas de rua", acrescenta.
"Atualmente, apesar de já ter morrido, é um indivíduo muito conhecido. E 90% das grandes empresas do mundo fazem formação de cibersegurança", explica Nuno Mateus Coelho. E a "empresa líder no mundo de cibersegurança para colaboradores é a Nobifor e Kevin Mitnik é o fundador desta empresa".
Apesar de ter sido preso e condenado, conseguiu mostrar "que o problema era a engenharia social e estava certo. Por mais tecnologia que se consiga inventar, o problema vai estar sempre entre a cadeira e o monitor". Ou seja, "somos nós que estamos entre a cadeira e o computador".
O que fazer em caso de emergência? Os planos de reação que Morris ajudou a criar
Tapan Morris é o pai ou o principal responsável por hoje "termos de ter planos de reação". "Ele criou o primeiro Worm. Hoje temos as botnets, temos os trojans, temos os ransomwares". Mas o primeiro foi o seu "worm. Na altura, "paralisou 10% ou 15% da internet". Isso levou "a que as empresas tivessem o chamado Computer Emergency Response Team. A maior parte das empresas tem um procedimento sobre o que fazer em caso de emergência". "Foi preso e terá sido a primeira pessoa a ser condenada por abusar de computadores", acrescenta.
Mas há mais nomes que não podem ser esquecidos para este especialista em cibersegurança. Kevin Poulsen, mais conhecido como Dark Dante, é um deles. "Introduziu-se numa estação de rádio para manipular um concurso e ganhar um Porsche". Também foi preso e chegou a ser jornalista na conceituada revista Wired. É um acérrimo defensor do jornalismo de investigação e da proteção de fontes. Tendo criado várias empresas dedicadas a estas funções.
Já Adrian Lamo ficou conhecido como "hacker andarilho" e tornou-se famoso por invadir sistemas de alta segurança a partir de locais como cyber cafés ou bibliotecas. E mudava muitas vezes de local para não ser localizado. "Ele usava os Wi-Fi", explica Nuno Mateus Coelho. "É por isso que hoje separamos a rede Wi-Fi nas empresas, uma para convidados, e a rede privada, onde trabalhamos. "Ele chegou a invadir a Microsoft", recorda.
Em seguida, outro nome muito conhecido é o do escocês Gary McMinnon. Responsável por um ataque ao Pentágono, por ataques a computadores militares e até à NASA.
Para tempos mais atuais, Nuno Mateus Coelho destaca alguns grupos que assumem um lado ativista: o grupo Anonymous e o LulzSec. "O LulzSec é um bocadinho mais agressivo, recorre a técnicas mais fortes, e atacaram a Sony, o FBI e a Cientologia", por exemplo.
Para concluir, o especialista em cibersegurança destaca nomes recentes como o de Edward Snowden, que mostrou como todos as pessoas nos Estados Unidos eram vigiadas pela NSA, ou George Hotz, que ajudou a desbloquear o primeiro iPhone e a PS3. Atualmente, "trabalha em inteligência artificial e treina hackers éticos".
