Durante o evento anual sobre criptografia e direitos digitais, Amanda Rosa do Carmo e Gabriela Yukari Mitu apresentaram seu projeto em auditório para 70 pessoas

 

Tiago Cordeiro

 

Durante uma das aulas da disciplina de Tecnologias Hacker e Cibersegurança do 7º semestre do curso de  graduação em Engenharia de Computação, o professor Rodolfo Avelino mencionou a proximidade da edição 2023 da CryptoRave, um evento anual sobre criptografia e direitos digitais realizado em São Paulo desde 2014 e do qual ele é um dos organizadores.

Aberto e gratuito, inspirado na ação global CryptoParty, o festival reúne, em 36 horas, diversas atividades sobre segurança, criptografia, hacking, anonimato, privacidade e liberdade na rede. “É o maior evento aberto e gratuito sobre segurança e privacidade”, diz o professor. “Atende a quem não tem conhecimento técnico, mas também a profissionais e pesquisadores. Todo ano eu apresento o evento para minhas turmas de alunos e busco incentivá-los a submeter temas para aprovação.”

Era possível participar por meio de voluntariado ou dando palestras, de modo a expor uma pesquisa ou um projeto. “Ficamos bastante interessadas em fazer a palestra, já que seria um ótimo incentivo no aprofundamento de conceitos que aprendemos em sala de aula”, relembra a aluna Amanda Rosa do Carmo, de 22 anos. “Olhei para a Gabriela e falei: ‘Bora?’. E ela topou!”, conta, referindo-se a Gabriela Yukari Mitu, também de 22 anos.

 

Simulação de ataque

As duas queriam apresentar um assunto que estivesse presente no cotidiano das pessoas e também com grande tendência de desenvolvimento no futuro, de forma a ajudar quem fosse assistir a se proteger de possíveis riscos e também conhecê-los. Chegaram então ao tema do projeto: “Desafios de Segurança em Dispositivos IoT: Mitigando riscos de vulnerabilidade”.

“Nossa primeira opção era fazer testes de vulnerabilidade em dispositivos, como Alexa e smartwatches. Porém, considerando os protocolos de segurança desses dispositivos, fabricados por empresas grandes, a complexidade para realizar tais testes era muito alta e precisaria de mais tempo do que de fato tínhamos”, detalha Gabriela.

Em busca de um rumo, as duas então pesquisaram casos famosos de ataques a dispositivos IoT para ter uma ideia do quão vulneráveis eles poderiam ser. Encontraram casos de impacto, como o da botnet Mirai, que ocorreu em 2016 e ficou conhecido como um dos maiores ataques DDoS (ataque de negação de serviço) já realizado. Foram utilizados para o ataque cerca de 600 mil dispositivos IoT vulneráveis, espalhados por 164 países. Os servidores de grandes empresas no mundo todo ficaram fora do ar durante horas.

“Esse fato já era mais que suficiente para perceber que os dispositivos podem ser bem mais vulneráveis do que pensamos e, assim, decidimos explicar seu funcionamento e tentar fazer uma pequena demonstração dele baseado no que ocorreu em 2016, em ambiente controlado”, afirma Amanda.

Para isso, foi necessário procurar por uma ferramenta de simulação do ataque DDoS — uma tarefa difícil, dada a complexidade deste tipo de ação. “Conseguimos simplificar essa simulação e demonstrá-la utilizando a ferramenta Bonesi em conjunto com uma máquina virtual chamada Metasploitable, a qual seria o alvo. O Metasploitable, por outro lado, já conhecíamos em razão das aulas de Tecnologias Hacker”, diz Gabriela.

 

 

Sucesso de público

As alunas também decidiram que, logo no início da apresentação, mostrariam como pode ser fácil ter acesso a um dos dispositivos IoT mais comuns, que são as câmeras, tanto as de segurança como webcams conectadas à internet. “Descobrimos no meio da pesquisa o site Shodan, que indexa câmeras que não são protegidas com nomes de usuário e senha, permitindo que qualquer pessoa consiga acessá-las”, relata Amanda. “Achamos que seria interessante fazer uma demonstração ‘ao vivo’ disso”.

O projeto foi submetido à organização da CryptoRave e, a 20 dias do evento, em meio a entregas de trabalhos na faculdade, as duas receberam a confirmação de que iriam se apresentar. E não em estandes, caso da maioria dos projetos submetidos, mas sim em um auditório. Foi preciso então correr. “Foi uma semana bastante intensa, em que tivemos que fazer muita pesquisa e filtrar as informações mais importantes para conseguir realizar uma palestra de qualidade no limite de tempo esperado, além de testar simulações a fim de enriquecer o conteúdo da apresentação”, diz Gabriela.

As alunas foram as primeiras a se apresentar na sala, abrindo a trilha de Hacking do evento. Mais de 70 pessoas estavam na plateia. “Houve bastante envolvimento por parte do público em relação à seção de perguntas e respostas”, relembra Amanda.

“Uma das organizadoras da Roadsec 2023 [o maior evento hacker da América Latina] assistiu à nossa palestra e nos convidou para participar deste evento também como palestrantes”, informa Gabriela. “Se tudo der certo, nós iremos participar e tentar implementar nossa apresentação e estudo acerca do assunto para conseguir fazer uma apresentação ainda melhor e com mais preparo.”

O professor Rodolfo Avelino aponta que o sucesso da apresentação das alunas chama atenção, também, porque não é comum mulheres participarem de eventos sobre esta temática. “É muito importante o Insper participar desses momentos de troca e conhecimento”, diz Avelino. “E o mais interessante é que duas mulheres tenham conquistado um espaço tão importante no universo de segurança e tecnologia. E elas fizeram um trabalho maravilhoso.”