Conheça os hackers éticos que as empresas do ramo financeiro mais temem

Hackers, são individuos com um grau de conhecimento elevado sobre alguma área, surgindo inicialmente para os programadores que encontravam soluções e realizavam melhorias em algum sistema.

Agora pare e pense, se um único Hacker consegue fazer um estrago grande, agora imagine um grupo de Hackers e profissionais que atuam na área?

Então, essa é a aCCESS um grupo de Hackers e profissionais que tem como objetivo compromoter sistemas e reportar a empresa ou organização, mas que tal conhecermos mais sobre esse grupo?

Nós do Mundo Hacker entrevistamos o grupo e digo que foi sensacional a entrevista, acompanhe.

Mundo Hacker: Olá tudo bem com vocês?

aCCESS: Opa tudo sim! E com vocês?

Mundo Hacker: Estamos bem, mas enfim vamos começar a entrevista

Mundo Hacker: Quem são os integrantes do grupo?

aCCESS: Atualmente somos 7 integrantes,

Leonardo Marciano;

Deivison Franco;

Leandro Trindade;

Vinicius Valerio;

Carlos Giovanella;

Augusto Resende;

Ataide Junior;

Na verdade somos 8, mas um, por razões pessoais e profissionais, prefere se manter em “modo hidden” (risos).

Mundo Hacker: Entendo kkkkkk, O que significa CCESS?

aCCESS: Criptocurrency Exchange Security Standards Council, e agora somos ACCESS.

Mundo Hacker: Quem fundou a CCESS?

aCCESS: O Leonardo Marciano e o Deivison Franco.

O Cryptocurrency Exchange Security Standards Council (CCESS) surgiu da ideia que o Leonardo teve de testar a segurança de corretoras (exchanges) de criptomoedas.

Lá pelo meio do ano passado ele falou com o Deivison sobre a sacada de haver uma “conselho” que certificasse a segurança das exchanges de criptos.

O projeto cresceu, tomou forma, e hoje está focado em análise de vulnerabilidades, testes de intrusão e perícia digital nos mais variados tipos de ambientes computacionais, contando com uma excelente equipe de pesquisadores especializados em White Hat, Offensive Security e Perícia Digital. =)

Mundo Hacker: Vocês se consideram uma empresa ou grupo?

aCCESS: Rapaz… particularmente considero como uma iniciativa… (risos), mas também nos vêem como um grupo de pesquisadores especializados em White Hat, Offensive Security e Perícia Digital (como disse antes) e também já fizemos as vezes de empresa quando fomos/somos contratados pra realizar um de nossos serviços.

Aproveito a deixa pra trazer novidades…

Tudo evolui, e a CCESS não é diferente, agora somos a Access Security Lab.

Nosso grupo começou como um dream team formado com o objetivo de melhorar a segurança do criptomercado brasileiro, segurança essa que deveria ser obrigatória para qualquer um que lide com dados sensíveis e o dinheiro dos outros, mas que infelizmente, apesar de raras exceções, segue extremamente amadora no nosso país.

Somos recentes mas temos sangue nos olhos, hoje estamos abrindo o nosso mercado para algo mais abrangente, queremos ajudar o país com pesquisas, produzir artigos, conteúdo bom e material acadêmico. O Brasil está num ponto de virada com relação a segurança com a LGPD e nós da Access Security Labs queremos estar à frente disso.

Efetivo já, estamos encerrando o endereço de doações, principalmente porque ninguém doa mesmo. Iremos constituir empresa e continuaremos atuando por nossos ideais. Nessa segunda fase passaremos a oferecer pentests e certificações de segurança, selos que garantam que determinada plataforma, financeira ou não, passou pelo nosso crivo e possa ser considerada segura para arriscar sua privacidade e seu dinheiro, selos que exigirão prazo e testes constantes para serem mantidos e merecidos.

Da vertente acadêmica estamos anunciando a criação de cursos online, pretendemos abordar desde o básico de testes de intrusão, engenharia reversa, passando por perícia forense e assuntos mais avançados. Nossa intenção com isso é profissionalizar o mercado nacional, sabemos que apenas através do conhecimento e informação seremos capazes de reverter o atual cenário de despreocupação do mercado.

Anunciamos também o lançamento do nosso site, a.ccess.co, nele pretendemos compartilhar conteúdo bem como informações sobre cursos e serviços oferecidos pela Access. A parte interessante é que também pretendemos subir nesse serviço plataformas intencionalmente vulneráveis, no estilo capture the flag, para servir como forma de treinamento e testes nos cursos que virão.

Contamos com o apoio da comunidade que tivemos até agora para construirmos esses ideais juntos. 😉

Mundo Hacker: Como funciona o grupo, cada um tem sua respectiva tarefa?

aCCESS: Não necessariamente. Obviamente que cada um tem seus talentos individuais, mas procuramos nos ajudar no que podemos… e nos complementar uns aos outros. 🙂

Tal qual uma família, sabe? Por isso, internamente, nos chamamos de #FamíliaCCESS, agora #FamíliaACCESS. 😀

Mundo Hacker: Quando acham um bug e recebem bounty, é divido entre a equipe?

aCCESS: Rapaz… isso é bem raro de acontecer =\

Mas, quando acontece, como fazemos os reports através do OBB, o bounty é recebido por quem descobriu e reportou a vulnerabilidade.

Já quando somos contratados, o valor é dividido igualmente para todos.

Mundo Hacker: Todos trabalham com segurança da informação?

aCCESS: Sim. Todos trabalhamos ou com segurança ou com perícia digital, dentro e fora da ACCESS. =)

Mundo Hacker: O foco de vocês é só o ramo financeiro ou se for para realizar um PenTest em uma padaria vocês efetuariam?

aCCESS: Inicialmente a ideia era focar no ramo financeiro, mas, recentemente, e como o projeto cresceu e tomou forma, hoje estamos focados em análise de vulnerabilidades, testes de intrusão e perícia digial nos mais variados tipos de ambientes computacionais — sejam instituições financeiras, seja a “padaria do seu ‘Manoel’”. Onde quiserem contratar nossos serviços, estamos à disposição. 😉

Mundo Hacker: Quais as vulnerabilidades que vocês mais encontram? Poderiam listar um top 5?

aCCESS: A vulnerabilidade mais encontrada é o famoso XSS, muitos acham que ele é inofensivo, mas não. É uma vulnerabilidade perigosa e se não for tratada da maneira correta pode dar muitas dores de cabeça, além de poder permitir se jogar altos jogos… =D

Outra vuln que encontramos bastante é a de Content Spoofing que, basicamente, consiste em possibilitar que atacantes criem o conteúdo que quiserem, dentro de sua plataforma, seja em uma página da sua empresa, seja em uma tela ou mensagem.

Normalmente é muito comum em exchanges encontrarmos essa vulnerabilidade em páginas de erro que permitem customização “on-the-fly”, esse tipo de implementação é fortemente contra-indicada, pois permite a criação de mecanismos de phishing altamente críveis, dentro de um domínio oficial.

Mundo Hacker: Existe um processo seletivo caso alguém deseje entrar na equipe?

aCCESS: Como estamos reestruturando o grupo, seu propósito e sua atuação, também estamos bolando um processo de seleção/admissão — haja vista muita gente entrar em contato conosco pedindo pra participar e perguntando o que fazer para fazer parte da CCESS, agora ACCESS.

Em breve, junto com as novidades que já anunciamos antes, também informaremos sobre o processo de seleção/admissão.

Mundo Hacker: Vocês pensam em expandir cada vez mais a CCESS para algo internacional?

aCCESS: Com certeza! Isso faz parte de nosso planejamento futuro e próximos passos! 😉

Mundo Hacker: Show! E qual foi a vulnerabilidade mais crítica que vocês acharam em algum banco ou empresa?

aCCESS: Foi uma vulnerabilidade de acesso no software AlphaPoint, que atingia mais de 60 exchanges ao redor do mundo e possibilitava o roubo de fundos.

Mundo Hacker: Vocês tem alguma referência? Inspiração?

aCCESS: Rapaz, todos nós temos alguém em quem nos inspiramos. Então, eu não diria que temos uma referência, mas várias…

Até evitaremos citar nomes para, de repente, não sermos injustos e/ou cometermos a gafe de acabarmos esquecendo e não mencionando alguém.

Mas toda essa galera envolvida com InfoSec, que participa diretamente da comunidade e que contribui pra tornar o mundo digital mais seguro, merece nossa admiração, respeito e certamente, tem nossa inspiração. =)

Mundo Hacker: Vocês já receberam alguma recompensa das empresas que vocês acham vulnerabilidades?

aCCESS: Infelizmente não!

De algumas sequer ganhamos um “obrigado”. =\

Mundo Hacker: Que triste :\, mas pensam no futuro realizar um curso?

aCCESS: Com certeza! Isso também faz parte de nosso planejamento futuro e próximos passos com a ACCESS! 😉

Mundo Hacker: Vocês só focam em empresas financeiras? ou já chegaram em .Govs ou outros ramos?

aCCESS: Já chegamos em “.govs” e vários outros ramos/domínios “.com.br”,”.com” etc., mas, até então, preferimos dar mais visibilidade às vulnerabilidades encontratas em instituições financeiras.

Agora, com a atualização da CCESS para ACCESS, a ideia é atuar e focar em tudo que for possível e permitido! O céu é o limite (ou não)… 😀

Mundo Hacker: Quanto tempo vocês estudam diariamente?

aCCESS: O tempo que estamos acordados (risos)…

Brincadeira, mas nossa área exige que estejamos estudando diaria e constantemente.

Então, meus amigos, no tempo que vocês puderem estudar, façam-no!

Conhecimento nunca é de mais, Não ocupa espaço e é a única coisa que levamos conosco!

Conhecimento é poder! 😉

Mundo Hacker: Por fim, qual dica vocês dão para quem está começando no ramo?

aCCESS: Descubra qual é a sua praia e nunca pare de estudar e de se desafiar…

Parafraseando o Prof. Dr. Clóvis de Barros Filho na sua entrevista com o Jô Soares: “quando você descobre qual é a sua praia é muito legal de viver”. Afinal, quando se faz o que se gosta, não há trabalho, mas sim prazer! Trabalhe com o que você gosta e goste daquilo que você faz, que, então, você nunca terá que trabalhar! 😉

Por fim, e agora parafraseando o nobre amigo Perito Criminal Federal da Polícia Federal — Gustavo Pinto Vilar, também repetimos a frase de abertura de um vídeo em inglês que vale a pena ser visto chamado FILTRO SOLAR:

Se eu pudesse dar um conselho em relação ao futuro eu diria: Use Filtro Solar! Os benefícios a longo prazo do uso do filtro solar foram cientificamente provados! Os demais conselhos que dou baseiam-se unicamente em minha própria experiência…”

Mundo Hacker: Show! agradeço a todos pela entrevistas, pela experiência passada e principalmente pelas dicas, desejamos sucesso a todos vocês 😀

Essa foi a entrevista com o grupo de Hacker aCCESS que já não é de hoje que aparecem aqui no Mundo Hacker, pois os mesmos foram responsáveis por rodar DOOM na NASA, Banco do Brasil e além disso rodaram Mortal Kombat também.

Interessante não é?

E vocês, gostaram da entrevista?

Caso queira ficar por dentro dos feitos desse grupo, siga a aCCESS nas redes sociais: https://www.facebook.com/exchangesec