03/07/2017
O Wikileaks liberou dois novos documentos atribuídos ao programa de espionagem cibernética da Agência Central de Inteligência dos Estados Unidos (CIA) que detalham um código chamado "OutlawCountry" ("país fora da lei" ou "país sem leis"). O software atua em sistemas Linux com o kernel 2.6 do tipo Red Hat Enterprise Linux (RHEL) ou CentOS para criar um ponto de redirecionamento de tráfego.Este é o segundo vazamento da série Vault 7 esta semana. O primeiro pacote detalhou um software que localiza sistemas por meio de redes Wi-Fi. O "Vault 7" é uma série de vazamentos iniciada no dia 7 de março e que expõe documentos e programas da CIA. O Wikileaks afirma que essas informações já estavam fora do controle da CIA e que elas circulavam até entre "hackers governamentais" que não deviam ter acesso a esses documentos. Um desses hackers teria decidido repassar tudo ao Wikileaks. Não há confirmação da legitimidade dos documentos.Diferente do "Shadow Brokers", que vem vazando informações da Agência de Segurança Nacional dos Estados Unidos (NSA), o Wikileaks não disponibiliza as ferramentas de espionagem em si, apenas a documentação que detalha o funcionamento dos programas.O OutlawCountry em si não utiliza nenhuma vulnerabilidade do Linux. Para instalar o programa, o agente já precisa ter conseguido acesso à máquina em nível administrativo ("root").Os documentos do OutlawCountry trazem bem poucos detalhes sobre o programa, mas explicam que ele serve para criar uma tabela de redirecionamento de tráfego oculta. Essa tabela tem precedência sobre outras regras de redirecionamento de tráfego configuradas no sistema e só pode ser visualizada por quem souber o nome da tabela especial. Segundo o documento, a tabela se chama "dpxvke8h18".Os documentos não dão um exemplo claro de como a ferramenta pode ser usada, mas a capacidade para redirecionar dados pode ter um papel relevante na criação de pontos de passagem de tráfego. Dessa maneira, o OutlawCountry pode criar uma rota de tráfego de dados composta de um ou mais computadores, ocultando o destino final dos dados. A rota pode ser usada, por exemplo, para transmitir dados que foram roubados de um sistema qualquer, ou para ocultar a origem de um ataque. A rede anônima "Tor" usa esse mesmo princípio para proteger a origem de suas conexões.Criminosos virtuais usam esse tipo de tática para escapar das autoridades, já que somente o computador que de fato recebe os dados contém evidências úteis para a investigação de crimes.Código para servidoresEmbora o OutlawCountry pareça ser compatível com dois sistemas, o CentOS e o Red Hat Enterprise Linux (RHEL) são, na prática, um só. Embora o Linux seja um sistema de código aberto e gratuito, o RHEL é fornecido apenas atrelado a um contrato de suporte técnico. O sistema é notório por seus longos prazos de suporte (dez anos) em comparação a outros sistemas Linux. O RHEL 5.0, lançado em 2007, recebeu atualizações até março deste ano, e é possível adquirir um contrato especial até 2020. Em comparação, o sistema Ubuntu LTS ("suporte de longo prazo") recebe atualizações por três anos.Como a licença do Linux exige que o código seja mantido aberto, a Red Hat é obrigada a fornecer os códigos-fonte do seu sistema. É disso que nasce o CentOS: ele é tecnicamente idêntico ao RHEL, mas sem as partes sobre as quais a Red Hat possui direitos autorais (como marcas e logotipos). Diferente do RHEL, o CentOS tem distribuição livre.Embora seja um sistema pouco usado em notebooks e computadores de uso geral, a estabilidade, o longo prazo de suporte e a gratuidade tornam o CentOS popular em servidores. Embora seja difícil estimar números, o sistema é uma das principais opções fornecidas por provedores de serviços de aluguel de servidores. Como servidores ficam ligados 24 horas por dia e tem boa conexão com a internet, é mais interessante criar um redirecionamento de tráfego em um servidor do que em um computador pessoal. Isso explicaria por que a CIA teria desenvolvido essa ferramenta para o CentOS/RHEL. Segundo a documentação, datada de 2015, o código é compatível apenas com a versão 6 do sistema.
