quinta-feira, 23 de junho de 2011

Lulz Security: O grupo de hackers que atacou sites do Governo

O grupo de hackers Lulz Security, conhecido como LulzSec, apareceu pela primeira vez em maio como um coletivo organizado para expor brechas na segurança de sistemas e sites de empresas e órgãos governamentais como forma de diversão.

Em sua página do Twitter, o grupo se declarou responsável por ataques recentes a empresas de videogame como Sony e Nintendo, às redes de televisão americanas Fox e PBS e a órgãos governamentais americanos como a CIA (agência de inteligência americana) e o FBI (polícia federal), além do serviço público de saúde britânico, o NHS.

O braço brasileiro do grupo, o LulzSecBrazil, também admitiu os ataques aos sites da Presidência e do governo brasileiro, que deixaram as páginas fora do ar desde a madrugada desta quarta-feira.

Na última terça-feira, o britânico Ryan Cleary, apontado como um dos líderes do grupo, foi preso em uma operação conjunta da FBI com a Scotland Yard, a polícia metropolitana de Londres.

A polícia britânica diz que Clearly estaria envolvido em um ataque ao site da Agência britânica contra crimes organizados graves, que teria sido feito pelo LulzSec na última segunda-feira.

No entanto, mensagens no Twitter oficial do grupo negaram que Cleary seja membro da organização e dizem que ele seria somente um operador de uma das salas de bate-papo utilizadas pelo grupo.

“Ryan Cleary não é parte do LulzSec; Nós abrigamos uma das nossas salas de bate-papo em seu servidor, mas é só isso”, disse uma das mensagens.

“A polícia britânica está claramente tão desesperada para nos pegar que prenderam alguém que é, no máximo, levemente associado a nós. Inútil.”

Diversão

Assim como outros grupos de hackers, o LulzSec parece ser um coletivo organizado que não tem líderes. Em sua página oficial, o grupo diz ser especializado em atacar sites mal protegidos "por diversão".

Lulz é uma corruptela da expressão LOL, uma abreviação da expressão laughing out loud (“gargalhar”, em tradução livre). As referências humorísticas feitas nas mensagens do grupo remetem a piadas criadas por usuários de internet e populares em redes sociais.

O LulzSec utiliza métodos comuns de ataques a páginas, mas ganhou atenção por causa do tamanho das brechas de seguranças que expôs em sites do governo americano e de empresas que controlam os dados de milhares de pessoas.

Os ataques são divulgados em um perfil no microblog Twitter e incluem piadas e provocações às organizações atacadas ou usuários prejudicados pelas operações. As informações roubadas das páginas e servidores atacados são, eventualmente, disponibilizadas para download na página do grupo.

"Sempre há o argumento de que liberar tudo (as informações) é maléfico, porque contas estão sendo roubadas e exploradas, mas bem-vindos a 2011. Essa é a era dos lagartos do Lulz, onde nós fazemos coisas porque achamos divertido", diz um manifesto no Twitter.

Imagem publicada pelo Lulz Security no Twitter

Imagem do Lulz Security, que utiliza referências a piadas criadas na internet

Um dos ataques mais notórios organizados pelo LulzSec aconteceu no início do mês de junho, quando eles penetraram nos servidores da empresa de videogames Sony e divulgaram os dados de mais de 100 milhões de usuários na internet.

O grupo chegou a ser apontado como adversário do coletivo de hackers Anonymous, que atacou empresas que deixaram de prestar serviços ao site WikiLeaks no final de 2010.

Mas no dia 20 de junho, eles anunciaram uma parceria com o Anonymous na “Operação Antissegurança”, que realiza ataques em sites governamentais como resposta a esforços para “dominar e controlar nosso oceano da internet”.

`Chapéu cinza´

O LulzSec, segundo especialistas, seria um grupo de hackers grey hat (ou, “de chapéu cinza”), cujo principal objetivo seria fazer brincadeiras e causar danos leves em seus alvos.

Os coletivos de hackers são geralmente classificados como “chapéus brancos”, que informam às empresas sobre as falhas de segurança encontradas em seus sistemas e sites, ou “chapéus pretos”, considerados como criminosos que pretendem lucrar com as informações confidenciais obtidas.

Ao anunciar um ataque à empresa de videogames Nintendo, no último domingo, o LulzSec disse que "não queríamos mal nenhum. A Nintendo já consertou (a brecha de segurança)".

Mas, em outra operação, o grupo divulgou uma lista com e-mails e senhas de freqüentadores de 55 sites pornográficos, que incluía endereços do Exército americano. A maioria das senhas, segundo o grupo, poderia ser usada no Facebook para acessar os perfis destas pessoas.