O caso m0xx:
27/09/97
Excertos da vida de m0xx, o responsável do grupo Toxyn
e talvez o «hacker» português mais famoso. São curtos
episódios para reflectirmos todos, do cibernauta comum
ao administrador de sistemas. Contados na primeira
pessoa.
Ser «hacker» é a
maneira como vivo. «Hackar» a vida. É a forma como
encaro a sociedade. Um «hacker» é um bocado de tudo.
Ser «hacker» é perceber como é que as coisas
funcionam. Tens de perceber como funciona a máquina. O
«hardware». O processador. O sistema. É como conhecer
uma pessoa. Descobrir os seus pontos fracos. Um abutre
dos pontos fracos dos sistemas de computadores, sim, mas
que cumpre uma função, investiga a sua segurança. Há
os que entram em máquinas e se divertem a destruir,
claro.
Mas enquadro-me no grupo
dos que passam dias de volta de uma máquina, de um
programa, e quando descobrem um «bug», um erro,
informam o meio através dos canais próprios, como
alguns «newsgroups» da Internet. E, se for caso, avisa
o responsável do sistema: «Descobri um 'bug' nesse
sistema, usei este programa e está aqui a solução».
É isso a filosofia «hacker». Nunca «hackei» os computadores da Telepac.
Tenho um colega que entrou neles há uns anos,
quando ainda não estavam ligados à Internet. Depois,
passeou pelo sistema da Direcção Geral das
Contribuições e Impostos. Mas não fez nada: limitou-se
a entrar. A Telepac é o «provider» português em que
nunca entrei. Elogio muito a atitude deles face à
segurança. São bons. Já aconteceu detectarmos falhas,
irmos a correr testar aquilo e eles já tinham remendado
o buraco. Atentos, viram ao mesmo tempo que nós e
corrigiram. Agora, os outros, é mentira.
Mas todos os sistemas operativos são
falíveis. Nenhum é cem por cento seguro. Há sempre uma
falha algures. Há sempre um lado desprotegido. Há, sim,
uns melhores que outros. Uns demoram mais tempo, outros
abrem-se num instante. O Linux, por exemplo, é muito
bonito mas tem grandes falhas de segurança. Também é
verdade que são todas fáceis de resolver e estão
documentadas. O problema é que os responsáveis nem
sempre têm tempo para olhar para a documentação.
Qual é o mais inseguro? O NT tem-se
revelado muito engraçado. Quem o usa não faz a menor
ideia de que por detrás daquelas janelinhas tão bonitas
existe um autêntico buraco de segurança. Foi feito para
pessoas que não percebem patavina de redes nem de
segurança... As janelinhas explicam tudo, «clique aqui
para pôr no ar o servidor de Web», e ninguém imagina
como aquilo é do outro lado das janelinhas: está
absurdamente aberto. Dentro do universo Unix, o Irix tem
grandes falhas, como o Linux. Mas o pior de todos é sem
dúvida o NT. Um autêntico logro. Não é por custar
muito dinheiro que um sistema é seguro. Os Macintosh
são os mais seguros, por incrível que pareça. Havia um
concurso de uma empresa sueca que oferecia milhares de
dólares a quem entrasse pelo seu Web, e era totalmente
seguríssimo. Sem «firewall», sem nada: directo.
Ninguém no mundo conseguiu.
Existem vários grupos de «hackers»
em Portugal. Conheço o meu grupo, o Toxyn, e os Pulhas.
São dois grupos muito restritos e que se respeitam.
Depois, há vários que gravitam à nossa volta, tentando
sempre obter informações. Também os respeito. Podem
até ser melhores, mas ainda não chegaram ao ponto de
fazer alguma coisa com o que sabem. Obter resultados. Um
«hacker» pode contribuir para muita coisa. Mas
atenção, isto é recente. Depois da nossa acção da
Indonésia surgiram dezenas de grupos constituídos por
putos de 15 anos e que só daqui por uns anos serão
bons. O que nós fizemos foi, sobretudo, despertar uma
corrente adormecida. Incentivámos muita gente. Há
muitos individualistas. Cá há bons «hackers». Talvez
uns 20 competentes. Mas grupos respeitados, só Toxyn e
Pulhas.
Encontramo-nos todos os dias
virtualmente. Nos canais próprios de IRC ou de outras
formas. E fazemos reuniões físicas, mas muito privadas.
Somos muito organizados. Convoquei uma para a semana que
vem. Estamos a elaborar um projecto. Queremos fazer uma
campanha de segurança em Portugal. Tudo o que seja
máquina portuguesa vai ser «hackada» e os resultados
tornados públicos.
Sabes, o nosso grupo é o verdadeiro
ídolo de muita malta nova. Recebemos centenas de
«mails» de gente que sentiu orgulho em nós. Por sermos
portugueses e capazes de fazer alguma coisa de jeito.
Marcar presença numa causa. Porquê Timor? Porque somos
portugueses. E há uma responsabilidade. Aquele povo
longínquo que não tem nada a ver connosco, é
completamente exótico, vai à missa, fala Português e
têm orgulho em exibir a bandeira portuguesa.Tivemos um
bocado de sorte nos resultados. Mas o acto de «hackar»
foi lindo, tecnicamente difícil, lindo.
Agora temos projectos. E muita coisa
para gerir: dezenas de miúdos que pedem para pertencer
ao grupo; solicitações de grandes empresas, algumas
internacionais, para fazermos a segurança dos seus
«sites» e redes; há administradores de «sites» a
mandarem-nos «mails» para que tentemos penetrar nos
seus computadores e testar este ou aquele aspecto de
segurança. E temos uma série de problemas com a nossa
exposição. O grupo ficou um bocado exposto, o que é
contra a nossa filosofia.
Benefícios? Sim. Eu arranjei um
emprego por causa disto. Os meus patrões sabem bem quem
sou e o que faço. E dentro do grupo alguns acabam por
arranjar emprego. Mas enquanto organização não
ganhámos um tostão. Podíamos ter pedido dinheiro pelas
entrevistas na altura da Indonésia, em que fomos muito
solicitados. Não quisemos ganhar dinheiro à custa da
causa de Timor. Se fosse uma coisa só nossa, talvez o
tivéssemos feito. Mas não somos uma empresa, somos um
grupo.
Em Portugal já «hackei» de tudo,
desde grandes empresas até universidades. Coimbra, por
exemplo, Instituto Superior Técnico, Universidade do
Minho, Aveiro... Só somos detectados quando cometemos
algum erro. Mas nunca ninguém teve problemas, porque
nunca realizámos os ataques através das nossas
máquinas. Atacamos a partir de uma máquina nos EUA, ou
na Suécia, e nunca nos rastreiam. Entre aspas, é tudo
falso: nós controlamos tudo, e mesmo que cheguem a uma
dessas máquinas não nos apanham, mesmo que estejamos
lá. No caso da Indonésia, nunca apareceu uma
referência sequer a máquinas portuguesas...
A minha formação sempre foi no ramo
informático. Estou a acabar engenharia informática.
Tive um Spectrum e logo aí já pirateava jogos.
Publicava uma lista com quase quatro mil, alguns nunca
editados em Portugal. Recebia-os, duplicava-os e
distribuía mundialmente. Não fazia mais nada. Depois,
veio o primeiro XT. Lá comecei com o DOS, que era uma
porcaria autêntica, aprendi Pascal, vieram as BBS, tive
o primeiro «modem». Sei programação. Basic, Pascal,
Cobol, mas C e Perl é que contam actualmente.
Nunca entrei num banco. Mas já usei um
Visa alheio. Que fiz? Comprei um domínio e mandei vir
uns discos rígidos dos EUA. Para experimentar. Assim uns
600 contos de fraude. Mas o titular do cartão tinha
contas à ordem de três mil contos... Portanto, não
tive pena dele. E fi-lo apenas para experimentar. Não
tenho interesse nisso, não sou ladrão. Fizemos coisas
muito mais fraudulentas, como usar linhas da Telecom e da
Marconi para o estrangeiro durante seis meses - as contas
eram de largos milhares de contos. Não fomos apanhados,
um outro grupo foi. Mas esses já estão bem empregados.
Sabes, se alguém entrar numa grande empresa, os
responsáveis preferem contactá-lo e tentar aliciá-lo.
«Você entrou, tudo bem, quanto é que quer para
trabalhar para nós?» É melhor do que passar a vergonha
de admitir publicamente que os seus sistemas,
supostamente tão fiáveis, foram invadidos por um puto
de 14 anos. Foi assim que arranjei emprego.
Como se processa uma operação?
Começamos por definir o alvo, o domínio. Um país
inteiro, no caso da Indonésia. Primeiro obtemos os nomes
de todas as máquinas debaixo desse domínio. Metemo-nos
em cada máquina e analisamos os seus processos. É
preferível então escolher uma máquina de Web.
Analisamo-la porta por porta, para descobrir que programa
corre e se já existem programinhas para neles entrar -
se não, tentamos fazê-los nós. Se não conseguirmos
entrar na máquina-alvo, tentamos as que lhe estão
ligadas, ou seja, exploramos todos os pontos fracos em
volta dela. Pode estar muito bem protegida de ataques
frontais, mas uma outra que lhe dá acesso poderá não
estar - e através da segunda entramos na primeira.
Apanha-se então todo o tráfego dessa máquina - e é
meio caminho andado. Saca-se a lista de «passwords», e
pronto. Voltando ao exemplo, a máquina da Indonésia
estava muito bem protegida. Tinha um único ponto fraco -
foi o bastante. Acedemos à informação classificada,
como a lista das embaixadas indonésias no mundo inteiro.
Mas isso não interessava. Apenas alterámos o código da
página de entrada - e, em vez da página oficial do
Ministério dos Estrangeiros indonésio, via-se a nossa
propaganda à causa de Timor.
O caso dos computadores militares foi
mais engraçado, porque tinham um bom «firewall». Não
passava nada, só porta 80. Mas o servidor tinha um
«bug», era uma versão um bocado antiga, conseguimos
abrir uma «shell» em Assembler para dentro da porta
80... Esta, supostamente, só dava saída a Web e nós
entrámos por ela adentro. E o responsável ficou
atónito porque não conseguiu descobrir «logs»
(ficheiros de registo) em lado nenhum, nem sequer da
porta 80. Não havia nada. Desligaram a máquina
simplesmente. E segundo informações de lá (temos
amigos «hackers» indonésios), o responsável passou um
péssimo bocado antes de ser despedido. A pena para
aquilo era fuzilamento. Se foi o caso temos pena, porque
não queríamos prejudicar ninguém. Basicamente é isto.
Em Portugal há bons «hackers», mas
«ciberchuis» ainda não. A Polícia Judiciária tem um
domínio na Web mas ainda não anda aí atrás do
pessoal. Preocupam-se com os que traficam «software» e
nós não o fazemos. Já o SIS é diferente. Manobra pela
calada. Não me espantaria nada saber que têm arquivos
com dados sobre nós. Alguns de nós estaremos nos
próximos anos a trabalhar para eles, não duvido... Mais
vale contratar um gajo que saiba. Mas aí está: nós
não somos criminosos. Somos um grupo restrito. Fazemos
coisas possivelmente ilegais - possivelmente. Por isso é
que somos muito reservados. Problemas em dizer isto
publicamente? Como os Visas ou a Indonésia? Não. Não
fiz nada ilegal. Há algum risco, mas aceito-o. A
história do Visa é crime - sim, mas bancário. Não
informático. Confesso porque fi-lo apenas para
experimentar, não sigo esse caminho. E uma confissão
pública em nome de m0xx não basta. Podia estar a
dizer-te um chorrilho de mentiras. Podia estar aqui um
gajo qualquer a dizer-te «pá, sou um grande 'hacker' e
fiz isto» e ser mentira. Isto é muito confuso.
Onde está o crime? Na pedofilia,
rapto, aliciamento em «talkers», marcar encontro e
abusar sexualmente. Ou piratear «software» e ganhar
dinheiro com isso. Entrar num sistema não é crime.
Entrar e alterar dados também não o é por si só:
será quando as alterações prejudicarem terceiros.
Admito que haja «hackers» profissionais, que trabalham
pagos por serviços secretos ou países inimigos. Esses
são criminosos, claro.
<END>
---------------------
compiled by secretos
IN: Expresso, XXI
As aventuras de um hacker português.
I WANT TO BE A 31337 HACKER TOO!
-------------------------------------------------------
by FractalG
-Quote
Es um deus.. todos giram á tua volta. Dix-me o dia em que os Urbankaos
pediram alguma coisa aos toxicos que eu dou-te um doxe.
Quando aos resultados.. Obtemo-los mas ao contrario de ti. Nao os Publicitamos
E muito menos vamos pra jornais conta-los
-Quote
LOL os uK tem 1 miudo de 15 anos que deve saber mais que tu. E bons?
Haxes-te 4 machingas em id? Nós temos 30.
-Quote
Respeitados? Por quem? pelos os lhamuz que nem a net sabem o que é?
Respeito membros dos toxicos.. quanto a ti tens o menos respeito
que um cao. Bem te podes ter tornado Heroi do newbie. Dentro da
comunidade, tax no memo nível que um pj disfarcado
-Quote
LOL. es buehs de bom pah.. a malta adora-te.. ensina-me a haxar
latas de sardinha man. Ai tens imensa razao, quem percebe do que
fala considera-te merda.
-Quote
Mais uma vex dominas.. es um deus, um heroi. Haxing Univ's portuguesas
é buehs de hard.
-Quote
Cool. Admite a merda que fazes
-Quote
Continua. Eu depois bebo uma beer quando tiveres a ser enrabado por um
gordo de 120kg na cadeia
-Quote
Fizemos? Os Toxicos existiam em 92? E nao sei como nao foste dentro.. olha amigos
meus foram.. deves ter sido tu que expalhas-te pela visus e pela cats como se
fazia o blue boxing ou entao foste tu que deste as entrevistas - puta mediatica como es
Enfim. Caso queiram, tirem as vossas proprias conclusoes das quotes. Todas
elas são verdadeiras e podem ser confirmadas @ Expresso XXI
Infelismente, não é só o facto do m0xx estar a chamar atenção demasiada pra scene em
si, mas trás mau nome para os tóxicos e para os seus membros. Um wise hacker consegue
ver que os toxicos tem bons membros que merecem respeito. Embora depois existam cancros
como o m0xx.