Kevin Mitnick é um dos hackers mais famosos do mundo. Já foi o cibercriminoso mais procurado em toda a histórias dos Estados Unidos. Durante os anos 90 ele foi caçado pelo FBI, após ataques a redes do governo e a grandes empresas, como por exemplo IBM, Nokia e Motorola.
Preso em 1995, ele permaneceu na cadeia até o ano 2000, quando foi libertado mediante um acordo através do qual deveria permanecer 3 anos longe de qualquer tipo de tecnologia além de um telefone fixo. Isto porque os juízes também foram convencidos de que Mitnick seria capaz de iniciar uma “guerra nuclear através de um orelhão”. É, Mitnick tem uma história e tanto.Algum tempo após sua libertação, ele começou a fazer aquilo que tantos outros hackers ou crackers, fazem: trabalhar com consultoria em segurança. Durante este período, ele trabalhou com grandes empresas e agências governamentais, realizando testes e prestando diversos serviços relacionados.Mas Kevin Mitnick agora parece ter mudado de lado outra vez. Pelo menos a princípio. Ele lançou um novo serviço, chamado “Mitnick’s Absolute Zero-Day Exploit Exchange”, através do qual, basicamente, vende exploits cujos preços começam em US$ 100.000.Dois serviços são oferecidos:
- Absolute X: este é o serviço mais em conta, e pelo que tudo indica, o mais procurado. Aqui os clientes obtêm acesso a qualquer “zero-day exploit” que a equipe da empresa de Kevin conseguir. Os compradores podem utilizar as brechas de segurança de forma exclusiva, e devem informar um período mínimo à Mitnick Security, para garantir que durante este tempo eles sejam realmente os únicos usuários da aquisição;
- Absolute Z: com o slogan “Be the first to know”, ou “Seja o primeiro a saber”, o Absolute Z é mais caro. Clientes desta modalidade de serviço serão avisados em primeira mão assim que a equipe da Mitnick Security descobrir novas “falhas dia zero” que visem determinados sistemas ou produtos. Não somente isto, estes clientes também terão preferência no uso, claro;
Apesar de Mitnick garantir que seus serviços não são destinados ao crime, e sim a empresas que desenvolvem soluções de segurança, empresas em busca de falhas em seus próprios produtos e testes de penetração, fica também óbvio que a brecha não está somente nos “produtos” oferecidos.
O próprio Kevin diz o seguinte:
“Quando temos um cliente que quer uma vulnerabilidade zero-day por qualquer motivo, nós não perguntamos, e, de fato, eles não nos diriam. Os pesquisadores as encontram [as brechas], nos vendem por X, nós as vendemos para os clientes por Y”. Simples assim.
Vale lembrar que vulnerabilidades zero-day são aquelas que ainda não foram descobertas por empresas de segurança e, como consequência, não fazem parte das assinaturas e bancos de dados dos produtos que deveriam proteger o usuário.
Assim sendo, o comércio deste tipo de “produto” pode facilmente sair fora do controle e causar muitos estragos, em diversas áreas. A possibilidade destes exploits acabarem caindo em mãos erradas (supondo-se, é claro, que as tais “mãos erradas” não estejam entre os clientes de Mitnick) também é grande.
O famoso hacker ainda diz que possui clientes que fornecem listas do que estão buscando. Por exemplo, “queremos uma brecha na versão X de tal produto”. Ele ainda completa: “É como uma lista de desejos de exploits na Amazon“.
O hacker ainda diz que jamais venderia para um governo como a Síria, por exemplo, ou para organizações criminosas. Parece haver uma espécie de processo interno que visa identificar possíveis problemas entre os clientes.
Somente após aprovados os clientes poderão fazer compras na loja de exploits. Mas quem pode garantir com exatidão se tal processo existe mesmo, e se ele é capaz de garantir que nenhum mal uso será feito das “ferramentas”? Que elas jamais cairão em mãos erradas?