NEO – Olá, seus hackers! Andam fazendo muitas peripécias por aí? A peripécia que trago hoje vai abrir os portões da sua mente, talvez literalmente.
Seguinte, sabe aqueles sistemas de portaria virtual? Normalmente um app de celular que você pode cadastrar visitantes, abrir portões e ver o CFTV do condomínio. Muitos condomínios optam por este tipo de serviço por parecer moderno e seguro.
Mas, e se eu te disser que agora mesmo pode haver alguém que não é morador e que está vendo as imagens do CFTV do seu condomínio e vigiando os seus passos? E se eu te disser que esse ator pode ainda cadastrar quem ele quiser e pode abrir e fechar portões? Arrepiou?
Então presta muita atenção neste episódio e já programa o quebra-pau para a sua próxima reunião de condomínio. Conheça neste episódio como sistemas de portaria eletrônica oferecem uma falsa sensação de modernidade e segurança. Eu sou o Neil Vedder e você está ouvindo Contos da Dark Web.
Histórias reais do submundo da internet. Olá, seu Hacker Peralta, seja muito bem-vindo ao Contos da Dark Web. Fala aí seu nome e o que você faz.
LORENZO – Meu nome é Lorenzo e eu hackeei sistemas de portaria virtual conseguindo manipular portões remotamente e monitoramento de câmeras de diversos condomínios.
NEO – Uau, acho que vocês já perceberam a gravidade disso, não é? Ok, Lorenzo, mas vamos dar um passo atrás e saber um pouco mais sobre você. Conta como foi sua formação profissional até chegar aqui, como um hacker habilidoso.
LORENZO – Bom, meu interesse surgiu há muitos anos atrás. Eu sempre fui um cara muito curioso que sempre tenta entender como as coisas funcionam. Isso me fez cursar engenharia de computação e aí a engenharia de computação me permitiu entender como diversos sistemas funcionam.
Desde o computador, na parte do hardware e também os programas na parte do software. E meu contato começou mesmo quando eu comecei a participar de competições de programação. E essas competições majoritariamente utilizavam o C++ para responder as questões.
E isso me ajudou bastante na parte de debug de código, onde a gente tinha que trabalhar em equipe para resolver problemas. Muitas vezes esses problemas resultavam em mais problemas que resultavam em horas de debug. Então a gente tinha que desenvolver bastante essa parte.
Isso ajudou bastante a formar a minha capacidade de resolver problemas e de analisar problemas em código.
NEO – Olha só, a experiência do Lorenzo o tornou um especialista em encontrar defeitos em software. Imagino que ele já estava naquele nível de entrar em algum lugar e parar para arrumar um quadro na parede que estivesse com 3 graus de inclinação, por exemplo.
LORENZO – Depois disso eu parti para um estágio na área de desenvolvimento web que me permitiu entender como aplicativos web funcionam e o protocolo HTTP, enfim, essas coisas que só fazem parte do mundo da web. Então fiquei um pouco nessa parte de desenvolvimento web e depois eu parti para um estágio em segurança de informação na parte de segurança ofensiva. E aí, depois que eu comecei nesse estágio, eu aprendi bastante sobre como funcionam diversos outros sistemas e quais são os tipos de vulnerabilidades que nós podemos encontrar.
Desde então eu venho analisando vários e vários sistemas e que me permitiu ter uma experiência boa para começar algumas pesquisas independentes. Nesse estágio eu passei por diversas tecnologias, desde aplicações web, aplicativos mobile, APIs, infraestrutura, rede interna e diversos tipos de equipamentos da indústria. Eu já trabalhei bastante com segurança ofensiva, também um pouco sobre engenharia social, foi uma parte do trabalho que eu já desenvolvi em algumas campanhas de phishing e atualmente trabalho bastante com segurança de aplicações.
Desde 2024 eu venho coletando algumas vulnerabilidades, descobrindo através das minhas pesquisas e algumas dessas vulnerabilidades se tornaram públicas por meio de CVS. Ao todo, até o momento, são cinco encontradas, mas as pesquisas nunca param, então eu sempre estou analisando alguma coisa e se é interessante eu submito para os órgãos avaliadores e eles registram mais vulnerabilidades.
NEO – Sei que você tem algumas CVS publicadas, sobre o que elas são? E já explicando para o público, CVS é uma espécie de catálogo internacional de vulnerabilidades conhecidas.
LORENZO – Até o momento eu consegui encontrar cinco CVS, sendo a primeira delas, no contexto do setor de energia elétrica, era um teste de intrusão que eu estava fazendo numa rede industrial e aí um dos equipamentos encontrados que estavam na rede era um relé que poderia ser acessado remotamente. Então ele tinha uma aplicação web dentro dele que você tinha um login para fazer. E o problema dele é que ele tinha uma vulnerabilidade que permitia você se tornar o administrador da plataforma por meio de uma vulnerabilidade conhecida como CSRF, que é Cross Site Request Forgery.
NEO – Cross Site Request Forgery é um ataque que leva o usuário a executar ações indesejadas em uma aplicação web que ele esteja autenticado. Basicamente é um código que se incorpora no ambiente do usuário e injeta ações maliciosas no meio de ações legítimas. Como o sistema acredita no navegador e no usuário autenticado, executa as ações.
Se o usuário tiver privilégios administrativos, os estragos podem ser bem grandes.
LORENZO – E aí, explorando essa vulnerabilidade, existe a possibilidade de você se tornar um administrador e controlar informações sobre uma rede elétrica de tensão e corrente. Uma das outras vulnerabilidades foi encontrada em um sistema web da Intelbras, chamado InControl. Ele é um sistema que está relacionado ao controle de acesso que as empresas utilizam para monitorar o acesso das pessoas nos perímetros de alguma organização.
Foram três vulnerabilidades encontradas nesse sistema. Uma delas foi relativa à possibilidade de você explorar o Broken Access Control para se tornar um administrador. Então você mesmo conseguia configurar os seus privilégios.
Você, como um perfil de visitante que possuía o privilégio mínimo da aplicação, conseguiria se tornar um administrador dessa plataforma. A outra vulnerabilidade se trata de um CSV Injection que não teve muito impacto.
NEO – Mas, voltando aos reléres, que tipo de abuso poderia ter sido feito?
LORENZO – Você poderia acessar as informações de corrente de tensão e você poderia, como administrador, deletar outros usuários da aplicação. E isso é muito grave, porque se só uma pessoa, que é o atacante, possui acesso à aplicação, caso dê algum problema e precise ser investigada alguma coisa, não é possível fazer isso sem você resetar o servidor. Teria que desligar e isso causaria um problema de indisponibilidade que quebra um dos pilares da segurança da informação.
NEO – Beleza. Então, voltando um pouco na sua carreira, pelo que eu entendi, você era uma espécie de mecânico de software, digamos assim. As pessoas te procuravam para corrigir problemas que os softwares tinham, mas com essa experiência você se tornou mais que um mecânico, você se tornou um especialista proativo como pentester, porque você vai atrás dos problemas que as pessoas não enxergam, correto?
LORENZO – Esse é o principal objetivo de um pentester, encontrar vulnerabilidades antes que atacantes maliciosos encontrem e explorem as vulnerabilidades, causando diversos problemas que já são bem conhecidos.
NEO – Ok, agora vamos falar da portaria virtual. Apesar de popular, nem todo mundo sabe o que é. Explica o que é e como funciona um sistema de portaria virtual.
LORENZO – Um sistema de porteiro virtual é basicamente composto por algumas funcionalidades que são relativas a acesso de câmeras onde os moradores de um condomínio são cadastrados. Eles submetem as suas informações, que ficam armazenadas dentro de um servidor da aplicação. Esses moradores podem acessar câmeras para monitorar, o perímetro podem monitorar para ver se tem alguma inconsistência e também para fingir auditoria caso algum portão esteja com problema ou pessoas estranhas estejam passando na rua.
Também para provas de que algum entregador realmente compareceu para entregar alguma encomenda. Algumas outras funcionalidades que podem ou não ter, não é uma regra, é o controle remoto de portões e portas. É uma funcionalidade muito crítica, mas que se feita com a devida segurança é ok.
Também possui a parte de acesso de informações, então tem a própria informação dos moradores de um apartamento e também pode ser feito o cadastro de visitantes para fazer algum tipo de liberação prévia. E também a parte de cadastro de veículos para que a portaria possa identificar se o veículo que está entrando ali de fato está cadastrado. São esses tipos de funcionalidades que englobam um sistema de porteiro eletrônico.
Olha, pela experiência que eu vi em alguns condomínios, ele tem o bônus de você conseguir algum controle mais rápido de um acionamento de portão caso seja necessário, cadastrar visitantes para você ter alguma liberação mais rápida também em pessoas que você confia e não quer que interforem para o seu apartamento. Tem o bônus, mas também traz os riscos. Pode ser bom e pode ser ruim, dependendo de como foi implementado.
E também eu vejo que ele acaba sendo um pouco deficiente quando surge algum problema físico. Às vezes algum portão ali não está funcionando, então a portaria virtual tem que acionar um técnico para ir no condomínio ver o problema e tentar consertar algum portão, por exemplo. É uma coisa que seria feito mais rápido se já tivesse um porteiro ali fazendo, porque vamos supor, por exemplo, que esteja de noite, alguém abre o portão e nessa exata hora o portão está defeito e não fecha mais.
Vai ficar algum tempo ali de noite com o portão aberto e a gente sabe que isso é muito perigoso no país que a gente vive. Então existem alguns riscos inerentes quando a gente trabalha com uma portaria virtual.
NEO – Mas os condomínios decidem usar o porteiro virtual, esse sistema de portaria eletrônica, para substituir o porteiro real ou é algo que se complementa?
LORENZO – Ou eles sempre têm um porteiro real ali dentro do condomínio? Não, na verdade a maioria dos condomínios que contratam uma portaria virtual tem somente a portaria virtual e mantém um profissional ali, que eles chamam de zelador, em um horário comercial para fazer a limpeza, receber algumas encomendas e atender alguns moradores. Então, na verdade, até piora o serviço, porque esse zelador fica sobrecarregado com múltiplas funções.
Então é mais uma jogada para reduzir custos.
NEO – Muito bem. Como surgiu essa ideia de você pesquisar vulnerabilidades num sistema de portaria eletrônica?
LORENZO – Tenho alguns amigos que moram em condomínios com portaria virtual e aí eu estava pensando, observando muitos condomínios que estão aderindo a esse tipo de aplicativo, então me surgiu a preocupação que é natural de qualquer pessoa que trabalha na cibersegurança. A gente está lidando com algo que está diretamente ligado com o acesso de pessoas, com a moradia de pessoas, o lugar onde tem veículos, então é algo que é muito crítico e como que está a situação atual das portarias virtuais, no que tange a parte de segurança.
NEO – Como foi o processo nesse aplicativo? Como foi que você, observando as falhas dele, que tipo de falhas foram sendo encontradas e como você montou o esquema todo para obter o acesso privilegiado que você conseguiu?
LORENZO – Eu peguei esse acesso por meio de um amigo e eu comecei a fazer as pesquisas de segurança, fazendo todo o procedimento de pentesting. Bom, quando a gente se depara com uma aplicação mobile, a gente tem vários caminhos para serem seguidos, mas um deles é a análise da API que esse aplicativo utiliza. Poderia ter feito uma engenharia reversa na aplicação para estudar também um pouco do código, fazendo uma análise estática, mas eu optei por iniciar fazendo uma análise dinâmica, ou seja, eu analisei o tráfego que esse aplicativo gerava quando eu interagia com a aplicação.
E aí, quando a gente faz esse tipo de análise dinâmica, muitos aplicativos hoje em dia já vêm com uma proteção certificada SSL e nesse aplicativo específico não havia essa proteção. Então, simplesmente utilizando o Bump Suite, eu consegui já de imediato obter todo o tráfego que estava sendo feito por essa aplicação. Então, o primeiro passo foi justamente esse, utilizar o Bump Suite para capturar o tráfego.
E aí, uma vez que estava configurado e capturando o tráfego, eu fui navegando pelas funcionalidades para gerar o maior volume de tráfego possível da API e ver como que esse aplicativo se comporta com cada ação tomada no aplicativo. Então, eu naveguei pela funcionalidade de obtenção de informações do usuário que estava cadastrado ali na aplicação. Esse morador também tinha cadastrado outros moradores, tinha cadastrado visitantes, veículos.
Naveguei também pela funcionalidade de monitoramento de câmeras. Naveguei também pela interação do acionamento de portões. Então, o processo foi basicamente esse.
E aí, uma vez que eu gerei esse tráfego, eu consegui algumas vulnerabilidades, principalmente a parte de IDOR, que é uma vulnerabilidade relacionada a controle de autorização de ações. O processo foi basicamente esse. E aí, algumas vulnerabilidades, como eu falei, foi o IDOR.
Algumas outras vulnerabilidades relacionadas a controle de acesso mais específico a câmeras. Então, o escopo do aplicativo, teoricamente, era para um usuário X de um condomínio Y. Era só para ele conseguir acessar as informações dele nesse condomínio específico.
Porém, eu notei que um usuário consegue acessar informações de todos os condomínios que estão cadastrados no aplicativo. E aí, isso me abriu um leque de possibilidades imenso dentro do sistema. E também eu consegui algumas vulnerabilidades de injeção de SQL, que me permitiu obter algumas informações do banco de dados.
NEO – Então, num dado momento, você tinha acesso aos dados de apenas um usuário. Ou seja, das coisas do apartamento dele, dos portões que ele tinha acesso. Mas, com o problema do IDOR, você passou a ter, com esse usuário, acesso a todos os outros usuários.
Explica como é que funciona essa vulnerabilidade do IDOR para chegar nesse tipo de privilégio.
LORENZO – Essa vulnerabilidade do IDOR, na verdade, é bem simples. As aplicações costumam referenciar objetos gerais por meio de identificadores. Então, em um dado momento, eu percebi que os identificadores eram números sequenciais.
E eu poderia, por exemplo, consultar o usuário que eu consegui o acesso, o usuário X, vamos supor que ele tivesse um identificador de número 15, por exemplo. Então, em uma requisição HTTP qualquer, eu conseguiria acessar algumas informações do meu usuário, por exemplo, CPF, nome completo, as informações que englobam o usuário. E eu percebi que, se eu trocasse o identificador na requisição, eu conseguiria, com o meu acesso do usuário X, acessar o usuário Y.
E aí, a gente encontra esse problema do IDOR, que é justamente essa referência insegura a um objeto. E, com isso em mãos, sabendo que eu consigo acessar o identificador de um outro usuário, e que os identificadores são números sequenciais, instantaneamente, podemos fazer uma tentativa de força bruta varrendo identificadores em um intervalo numérico específico, por exemplo, de 1 até 10 mil. É uma estimativa muito boa para a dimensão do condomínio.
E, fazendo isso, automaticamente, por meio de funcionalidade do próprio Burp Suite, a gente consegue comprovar essa vulnerabilidade em grande escala, obtendo dados de milhares de usuários. E foi assim que eu consegui obter essa vulnerabilidade do IDOR.
NEO – Quando você extrapolou o primeiro contexto, a primeira vez, o contexto daquele usuário, você conseguiu acesso aos dados apenas do condomínio a que ele pertencia? Ou você já conseguia navegar entre diferentes condomínios?
LORENZO – Foram, na verdade, vários contextos em que essa vulnerabilidade apareceu. Nós temos escopos relativos a condomínios, nós temos escopos relativos a usuários, a veículos e diversas outras funcionalidades. Então, eu percebi que os condomínios cadastrados no aplicativo também utilizavam identificadores sequenciais.
Então, foi explorado, e quando a gente puxa as informações desse condomínio por meio de uma requisição HTTP, vem uma quantidade massiva de informações do condomínio, que são, por exemplo, endereço, coordenadas geográficas, nome do condomínio, informações sobre a quantidade de moradores, uma lista de identificadores dos moradores, algumas informações relacionadas a credenciais de câmeras dos condomínios, algumas informações relacionadas a identificadores de dispositivos que acionam os portões. Então, no contexto de um condomínio, a gente conseguia identificar também informações de funcionários do condomínio e mais ou menos isso que a gente conseguia encontrar relativo ao condomínio.
Também tinham informações relacionadas aos moradores. E aí, uma vez que a gente obtinha os identificadores de moradores, a gente conseguia consultar por meio de outras requisições, informações dos moradores, que são informações pessoais, como CPF, nome completo, foto, data de nascimento, dependentes, sexo, e basicamente isso que a gente conseguia encontrar. Além de consultar as informações, a gente também podia modificar informações.
Então, com essa requisição de modificação, a gente conseguia cadastrar, por exemplo, visitantes em um apartamento específico sem, de fato, teoricamente poder fazer isso. Também foi encontrado o ITOR relacionado a veículos, onde a gente conseguia consultar quais são os veículos cadastrados em um apartamento específico.
NEO – Impressionante. Enquanto os moradores estão relaxados no sofá da sala e curtindo sua série na TV, pessoas não autorizadas podiam estar sabendo tudo a respeito delas. Documentos pessoais, nomes de pessoas que frequentam suas casas, modelo e placas de seus automóveis.
Essa quantidade de dados é um banquete para os golpistas. Mas então, Lorenzo, o IDOR parece ter sido a base de tudo, não é? Mas tem outro tipo de vulnerabilidade que vale a pena mencionar, que você gostaria de falar também sobre esse caso que ajudou nesse processo?
LORENZO – Tiveram algumas vulnerabilidades que vieram como consequência do IDOR. Uma delas é a exposição de informações sensíveis, que foi encontrado numa requisição de consulta de condomínio. Então, quando a gente consulta o condomínio, eu falei que algumas credenciais de câmeras são encontradas.
E essa informação, em posse de mãos maliciosas, pode ser desastrosa e foi explorada por mim para conseguir acesso a câmeras de outros condomínios. Então, a exposição de informações sensíveis é uma vulnerabilidade pesada para o sistema e também foi encontrado uma injeção de SQL em uma requisição específica. A gente conseguiria manipular algum parâmetro ali da requisição e gerava um comportamento não muito legal.
Esse comportamento revelava algumas informações. E aí, com a exploração dessa vulnerabilidade, a gente conseguia obter algumas informações relativas ao banco de dados.
NEO – Impressionante. E com posse dessas informações, o que mais você conseguia manipular no sistema?
LORENZO – Bom, com essas vulnerabilidades, eu consegui extrair, fazer um grande tampe de informações. Então, eu puxei informações de diversos moradores, de diversos condomínios, de diversos veículos. Isso é uma das coisas que a gente pode fazer.
Além disso, com algumas informações obtidas relativas a câmeras, foi possível explorar a obtenção dessas informações para conseguir acesso a câmeras de diversos condomínios. E o mais crítico, talvez seja o mais crítico mesmo, é o acionamento remoto de portões de condomínios arbitrários. Então, basicamente, com essas vulnerabilidades, foi possível monitorar as imagens de qualquer condomínio, abrir portões de qualquer condomínio, obter informações de qualquer morador, de qualquer condomínio e manipular essas informações também.
Então, foi possível comprometer totalmente essa questão da confidencialidade, da integridade e da disponibilidade.
NEO – Você não ouviu errado. De qualquer lugar do mundo, com esse tipo de acesso ao sistema de portaria virtual, foi possível observar as câmeras e abrir e fechar portões com simples comandos de páginas web. Eu descobri o Lorenzo numa conferência de hacking underground.
Era um espaço onde a turma está sedenta por aprender e existe uma complicidade também entre os participantes. Por isso, assuntos sensíveis como este podem ser compartilhados sem julgamentos, que o objetivo da maioria é melhorar sua carreira e entender como as coisas funcionam. A apresentação dele foi descrevendo os passos técnicos e as expressões eram algo tipo, tá, isso eu entendo e até sei fazer, mas um bom hacking consiste em juntar os legos numa sequência específica e usando certas peças para formar um resultado surpreendente.
Quando o Lorenzo mostrou acesso às câmaras, o pessoal ainda ficou tranquilo, afinal, tem muita câmera de CFTV vulnerável no mundo todo. Mas então, ele começou a nadegar entre os diferentes condomínios e sempre com os mesmos privilégios. Daí ele disse, bora abrir esse portão aqui?
Pegou seu laptop, deu um comando e pá! O portão que estávamos vendo no CFTV comprometido, a milhares de quilômetros de onde estávamos, abriu bem diante dos nossos olhos. A galera foi ao delírio e as palmas não paravam até ele dizer, bora fechar e abrir esse outro aqui nesse outro condomínio?
Todos os olhos vidrados novamente e pá! O portão abriu e em seguida ele deu o comando para fechar. É meus caros, este porteiro virtual é promíscuo, ele aceita comandos de qualquer um, sem validação.
Percebam o perigo deste tipo de acesso em mãos mal intencionadas. Então você era como um administrador master, podia fazer qualquer tipo de coisa no sistema. Exato, exatamente isso.
E vamos agora falar em números. Qual era o tamanho da área de ataque deste caso específico? Pois eu sei que tem outros também, mas fale deste caso específico.
LORENZO – São cerca de 300 a 400 condomínios que foram identificados e moradores são cerca de alguns milhares. Não consegui o número completo, mas é uma estimativa boa é que tem alguns milhares de moradores.
NEO – Lorenzo, e quais os cenários de abuso que você percebe que pode haver num tipo de acesso como este?
LORENZO – Existem diversos cenários, inclusive eu não consegui pensar em todos, mas certamente mentes malicionas criativas vão conseguir se eles descobrirem isso. E um deles vamos falar de vários, mas uma vez que a gente consegue acessar as câmeras de diversos condomínios. Uma pessoa mal intencionada, ela pode monitorar pessoas.
Então vamos supor que alguém conhece alguém e essa pessoa queira, por algum motivo, stalkear outra pessoa que ela sabe que mora em um condomínio vulnerável. Então, em posse disso, ela pode vigiar 24 por 7 a entrada e a saída dessa pessoa no condomínio. Então, com esse monitoramento ela pode identificar os padrões de comportamento dessa pessoa.
Que horas que ela sai? Que horas que ela entra? Com quem ela sai?
Com quem ela entra? Se ela sai de carro ou não? Se ela fica muito tempo no portão dando sopa ali com o celular na mão?
Então, criminosos podem se aproveitar dessas oportunidades para roubar. As pessoas podem fazer um planejamento de sequestro, por exemplo. Então, com essas informações, com essas características de monitoramento de imagem, são algumas coisas que podem ser feitas.
Além disso, alguns cenários que envolvem tanto o monitoramento de imagem quanto o acionamento remoto de portões podem culminar em roubo de veículos. Então, uma quadrilha pode utilizar essas vulnerabilidades para roubar alguns veículos, como foi um caso recente em uma cidade que tinha uma quadrilha que roubava Hilux. Especificamente esse veículo que tinha uma falha em que era mais fácil de você roubar.
Então, como você consegue descobrir quais são os veículos que existem dentro de um condomínio, é muito fácil a quadrilha já mirar em condomínios específicos que possuem esses veículos e roubar. Então, é uma possibilidade, assim como também existe a possibilidade de fazer terrorismo ideológico. Por exemplo, se você descobre que algum político mora em algum condomínio específico e aí você faz parte de um partido rival e decide matar essa pessoa ou sequestrar.
Então, são muitos os riscos, tanto na parte física quanto na parte digital, onde a gente possui informações dos moradores, informações pessoais, como CPF, ano completo, foto, data de nascimento, que são informações mais do que suficientes pra você praticar fraudes digitais e também praticar golpes. Enfim, você consegue o número de telefone da pessoa. É um golpe muito comum hoje em dia, você se passar por essa pessoa pra pedir algum dinheiro.
Também existe a possibilidade de fazer extorsão. Vamos supor que algum morador tenha um caso extra-conjugal e cadastre, sei lá, a amante como um visitante do condomínio e você descobre isso e usa isso pra extorsão dessa pessoa. Então, existem muitos cenários.
NEO – Pois é, meu amigo. Acredito que se você chegou até aqui e mora num lugar com este tipo de serviço, vai querer brigar feio na próxima reunião de condomínio. O triste é que são milhares de pessoas vulneráveis e elas não fazem a mínima ideia de que neste momento pode haver um invasor no sistema.
Se você também conhece alguém que mora onde existe portaria virtual, manda este programa pra ele. Talvez este conteúdo possa ajudar a conscientizar os moradores. Lorenzo, e por que este tipo de aplicativo é tão vulnerável?
LORENZO – Existem muitos fatores que acabam afunilando pra esse tipo de vulnerabilidade, nesse tipo de situação. Uma das questões principais é o desenvolvimento tende a ser muito rápido. Existe uma pressão muito grande pra você entregar uma aplicação, entregar funcionalidades o mais rápido possível e isso acaba com que as seguranças quase sempre fiquem de lado e isso só vira um problema quando alguém descobre e explora e aí a coisa já está bem feia.
Outra questão é que o orçamento pra desenvolvedores costuma ser bem baixo, então as empresas elas querem desenvolver rápido, querem gastar pouco e aí isso acaba destruindo a qualidade que uma aplicação tão legal poderia ter. Além disso também, o orçamento baixo impacta não só a operação de desenvolvimento, mas também a operação dos funcionários ali que envolvem uma portaria, com os técnicos, os funcionários de um condomínio e aí tudo isso acaba agravando mais ainda a situação. E também a parte que os desenvolvedores não possuem muito conhecimento de segurança da informação porque isso ainda é uma cultura que está sendo estabelecida.
Embora a gente esteja cada vez mais falando de segurança, parece que a gente só fala pra dar notícia ruim. Então é preciso que os desenvolvedores se preocupem mais com essas questões de segurança da informação pra reduzir a quantidade de vulnerabilidades que são produzidas. E também existe o lado de quem contrata esse tipo de serviço que também possui pouco acesso a esse tipo de informação e não possui consciência dos riscos que você adere ao contratar um sistema desse.
Por exemplo, eu aposto que a maioria dos síndicos não sabem o que é um teste de intrusão. Então, como que ele vai contratar um sistema, uma aplicação dessa que é segura, que faz teste de intrusão, sem saber o que é? Pra ele não faz diferença, ele não tem a mínima noção disso.
Então, falta de consciência de quem consome e a falta de visibilidade também porque a própria empresa não possui esse tipo de preocupação. Então, já não existe nenhuma visibilidade sobre isso. Então, esses fatores acabam gerando vulnerabilidades e inseguranças pras aplicações.
NEO – Concordo com tudo que o Lourenzo disse, mas acredito que o principal fator é realmente a falta de conhecimento de ciência dos riscos por parte dos clientes. Se eles cobrassem processos de segurança, protocolos de auditoria independente como parte das características do produto, certamente estariam mais protegidas. Mas, infelizmente, segurança da informação em geral sofre porque ela não entrega funcionalidades como uma tela bonita ou um app veloz, por exemplo.
Segurança normalmente entrega atrito. Lembre do cinto de segurança dos automóveis. No dia a dia, eles não entregam mais conforto, mas sim atrito.
Incomoda ficar com um cinto de segurança por muito tempo. Porém, o conforto do seu banco ergonômico não vai salvar sua vida numa capotagem ou colisão, mas o cinto vai. Lourenzo, são muitas pessoas vulneráveis.
Por que não reportar um caso como esse? Por que não deixar público? Já que, para você conseguir o crédito de suas CVS, foi necessário tornar público.
Por que neste caso é diferente?
LORENZO – Essa é uma excelente pergunta. Justamente porque a segurança ainda é um tabu. As empresas podem reagir a esse tipo de situação de diversas formas.
E as empresas possuem poder aquisitivo para questões judiciais. Então, uma das coisas que impede as pessoas de reportarem de forma ética mesmo para as empresas, é que algumas empresas elas reagem de uma forma negativa ao extremo. E elas odeiam quando isso acontece e chegam até a ameaçar pessoas.
Então, por esses motivos, os pesquisadores de segurança optam algumas vezes por não reportar. E aí, quando alguém reporta, claro, você pode tanto fazer um report que vira uma vulnerabilidade pública, que é o caso da CVS, ou por meio de bug bounties também. Programas de bug bounties onde as empresas cadastram as próprias empresas para receber vulnerabilidades de pesquisadores e pagam por isso com uma forma de recompensa.
E você pode também reportar diretamente à empresa. Só que aí depende de como a empresa vai reagir.
NEO – E que recomendações você daria para o consumidor?
LORENZO – Bom, o que eu posso falar como recomendação é relativo à parte de segurança. Então, tem que ser avaliado se essa aplicação atende a requisitos mínimos de segurança. Como, por exemplo, se são feitos testes de intrusão periódicos pelo menos a cada seis meses.
É interessante. E também se as funcionalidades que vão ser entregadas realmente são necessárias. E se é possível, por exemplo, eu quero alguma parte do aplicativo só.
Como, por exemplo, monitoramento de câmeras, mas eu não quero que você possa acionar um portão remotamente. Se é possível ter essa flexibilidade para acabar reduzindo um pouco a superfície de ataque. Mas o principal é que sejam feitos testes regulares e que haja transparência com relação aos resultados desses testes.
NEO – Chegamos ao final, agora fique à vontade para deixar uma mensagem livre para os nossos ouvintes.
LORENZO – Beleza, primeiramente eu gostaria de agradecer por essa grande oportunidade, fiquei muito feliz quando recebi o convite, então realmente sou muito grato e sobre as pesquisas, eu pretendo continuar as pesquisas nesse campo para obter algum impacto maior e talvez em escala nacional, porque realmente é necessário que haja essa consciência com relação à segurança da informação, então a ideia agora é espalhar essa mensagem para tentar conscientizar as pessoas de que a segurança ela continua sendo algo muito importante e que sempre será, então quero levar essas mensagens também para os desenvolvedores, que isso possa conscientizar de alguma forma para que haja uma atenção maior, eu sei que muitos desenvolvedores já têm essa cultura, mas ainda é algo que precisa crescer bastante.
NEO – Meu muito obrigado ao Lourenzo por topar trazer este importante conteúdo para nós, você pode encontrá-lo nas redes sociais pelo link nas notas deste episódio. Eu sou o Neil Vedder e você ouviu Contos da Dark Web, edição e sonorização, lamparina, arte da capa, sintética? Que tal o seu produto ou marca aparecendo neste programa?
Se você tiver interesse em nos patrocinar, por favor, entre em contato. Qual o dispositivo de rede favorito do porteiro eletrônico? O Gateway?