23 de jun. de 2013

Como manipular um país inteiro pela internet


De antemão já peço desculpas pelo título a la HackingDay ;)
Vivemos na era da informação, e a informação se tornou o nosso bem mais precioso!
Histórico: Durante o Rock In Rio de 2012, eu e uns amigos estávamos no facebook acompanhando a venda de ingressos a preços exorbitantes quando tive a ideia de tentar manipular este micro mercado. A ideia é que anunciaríamos ingressos a preços mas baixos, e enrolaríamos a multidão, para que se alguém de fato tivesse um ingresso se visse forçado a baixar o preço. Já aviso de antemão que não deu certo, pelo simples fato de que não conseguimos alcançar o quorum mínimo para alterar a percepção do mercado. Naquele momento imaginei que botnet daria conta ;)

Com diversos assuntos ainda para estudar deixei esta ideia de lado e acabei focando em canais encobertos(assunto do qual já palestrei e pretendo defender a minha dissertação). Mas os recentes acontecimentos relembraram este conceito.

Uma breve análise dos acontecimentos recentes:

  • No dia 22/05/2013 já sabíamos que as passagens iriam subir para R$3,20 no Rio de Janeiro e São Paulo.
  • No dia 06/06/2013 ocorre a primeira manifestação em SP(2.000 pessoas).
  • No dia 07/06/2013 ocorre a segunda passeata em SP(5.000 pessoas). * Juntou com a UNE.
  • No dia 11/06/2013 ocorre a terceira manifestação em SP.(2.000 pessoas) termina em violência
A partir dai, as manifestações ganharam um outro patamar. Organizadas através de eventos no facebook e tweets, montagens e blogs e vídeos não só sobre os R$0,20 centavos de aumento, mas também sobre corrupção, saúde e copa.
A grande maioria das pessoas se interessava em compartilhar e convidar os amigos, graças ao repúdio violento da PM de SP pessoas de diversos estados se "sentiram" na obrigação de manifestar e lutar (já que o aumento havia sido geral).

Até ai, tudo bem... parece uma manifestação popular. No entanto, lembrei de um episódio recente de porradaria "orquestrada" pela Internet: O bolsa família.

Após uma "falha*1" que adiantou os pagamentos do bolsa família, surgiu um boato de que o programa governamental iria acabar. Este boato se espalhou principalmente pelo Twitter... em uma conta, criada unicamente para isso, com um único tweet e que fora deletada minutos depois, causando cenas como esta:



Voltando ao papo de que vivemos na era da informação, manipular como a informação é mostrada é uma coisa. Criar boatos que se repetidos por diversas pessoas (reais ou bots) pode causar uma grande confusão !
Fazendo conta de padaria, imaginem uma botnet no facebook, com 100 bots (modesto) cada um com 200 amigos (abaixo da média nos padrões do facebook). Só esta botnet teria o alcance de 20.000 pessoas. Considerando que destas 20.000 apenas 10% executasse alguma ação promovendo a causa, no segundo momento teríamos: 20.000 anterior+(2000*200) 400.000 = 420.000 pessoas que tomaram conhecimento. Em questão de horas pode-se alcançar a maior parte do país conectada a rede social.

Para manter o momentum, novos vídeos imagens e montagens devem surgir periodicamente... incitando a população à uma causa....

Se esta é uma nova forma de ataque, é descentralizada, e de difícil detecção! Até onde é viajem, e até onde é de fato uma ferramenta de desestabilização?! se for um ataque, o teste com o bolsa família foi muito bem sucedido, e as manifestações no Brasil estão tomando força.... aliás, não só no Brasil... se aqui está assim, imaginem na Turquia.


Infelizmente, careço de tempo para realizar experiências e juntar provas se este tipo de ataque é possível, que condições(hardware e emocionais) são necessárias e onde pode ser utilizado. O artigo foi mesmo para instalar uma pulga.exe atrás da orelha de cada um ;)

Imagino outras utilizações e combinações de ataques do qual essa manipulação/sensação de fazer parte de algo maior podem ser utilizados.

1) Na comunidade de segurança já vimos como pendrives, deixados cair perto de uma instituição pode comprometer a melhor das seguranças LINK