Marcus Hutchins, o homem que derrotou o WannaCry e foi preso pelo FBI
Tudo começou como um trabalho de engenharia reversa. O programador Marcus Hutchins, que há anos escrevia em um blog e fazia análises de botnets e trojans bancários, decidiu focar no WannaCry, à época uma das pragas digitais mais perigosas e fruto do que empresas de segurança chamam, até hoje, de pandemia digital. O trabalho, inicialmente despretensioso, levaria à derrota do malware e transformaria o recluso especialista inglês em um herói.
A notoriedade transformou Hutchins em celebridade na comunidade hacker, mas também o colocou na mira do FBI. À época, sua reputação como analista de malwares o havia tornado membro de uma empresa chama Kryptos Logic. O negócio era focado no rastreamento e emissão de alertas de segurança sobre malwares e botnets, principalmente o Mirai, uma das maiores ameaças a empresas e serviços de hospedagem, que sofriam sob seus pesados ataques de negação de serviço.
A saga que poderia virar um filme se desenrolou em 12 de maio de 2017. Analisando os códigos do WannaCry, o programador descobriu a existência de um kill switch, uma verificação que, quando positiva, desativaria o ransomware. Este “botão de desligar” era um site, ao qual a praga tentava se conectar a cada infecção, e prosseguia com o sequestro em caso negativo. Por US$ 10, Hutchins registrou o domínio e assim chegava ao fim uma das maiores ondas de sequestros digitais do planeta, que afetou aeroportos, órgãos governamentais, empresas e usuários de todo o mundo, inclusive no Brasil.
O WannaCry continuava a se espalhar, enquanto as máquinas contaminadas anteriormente permaneciam indisponíveis. Novas infecções, entretanto, não aconteciam mais, e enquanto o domínio era bombardeado por ataques DDoS como forma de reativar a praga, Hutchins era procurado pela imprensa e por especialistas em segurança da informação. A primeira pessoa para quem ele contou seu feito, entretanto, foi a própria mãe, que estava preparando o jantar no andar de baixo da casa em que o programador morava.
Andando no limite
Hutchins teve uma infância tranquila em uma área rural da Inglaterra. Filho de uma enfermeira com um assistente social, ele demonstrou seu gosto por computadores logo cedo, já aos seis anos de idade, quando assistia à mãe usando um velho PC com Windows 95. Nos anos que se seguiriam, ele levaria muitas broncas por desmontar a máquina, alterar peças e instalar programas “estranhos” — softwares de programação e edição de páginas web, que faziam florescer seu gosto por linguagens e HTML. Ou, como ele se referiria depois, ferramentas que permitiam a ele construir o que quisesse.
Ele ganhou seu primeiro computador próprio aos 13 anos de idade, não antes de ser chamado muitas vezes à diretoria por burlar as proteções das máquinas da escola para instalar jogos como Counter-Strike e Call of Duty. Na ocasião, ele fez um pedido inusitado: queria as peças para montar o PC ele mesmo, e não uma máquina pronta. A partir dali, ele dividiria seu tempo entre a escola, a tecnologia e o lifesaving, esporte baseado nas disciplinas dos agentes salva-vidas, onde ele ganharia algumas medalhas em torneios estudantis.
Sua escolha de carreira, porém, já estava firmada desde a adolescência, por mais que sua mãe, Janet, se preocupasse com o uso indiscriminado da internet. Ela até tentou instalar controles parentais ou filtros no roteador para controlar a conexão do filho, mas ele rapidamente descobriu como burlá-los. Em uma das ocasiões, ele reiniciou a rede de forma que nenhum dos dispositivos dela funcionassem.
A preocupação, porém, tinha motivo: Marcus vinha acessando fóruns de hacking e mostrava um interesse cada vez maior sobre segurança, mas sempre com foco em formas de burlá-la. Aos 14 anos, ele desenvolveu seu primeiro malware, que roubava senhas armazenadas no Internet Explorer; aos 15, foi acusado pelos diretores de sua escola de orquestrar um ciberataque tão poderoso que levou à substituição de um dos servidores da instituição, tudo por causa das medidas de proteção adicionais aplicadas à sua conta. Ele negou a autoria.
No mesmo ano, enquanto evitava a educação formal ao máximo, ele começava a ganhar dinheiro de outras maneiras, seja alugando uma botnet de 8 mil dispositivos para realização de ataques de negação de serviço ou sublocando serviços de hospedagem de arquivos e scripts para seus colegas hackers. Aos poucos, seus estudos sobre malwares também renderam “freelas” entre a comunidade, incluindo um acordo lucrativo com um sujeito conhecido apenas como Vinny e que envolvia a criação de um rootkit complexo e com suporte constante, pelo qual ele receberia porcentagens das vendas.
Para os pais, ele disse trabalhar como programador, o que acabou fazendo com que eles concordassem com seu abandono da escola. Para si mesmo, ele afirmava não ser um criminoso, criando ferramentas que até permitiam isso, mas sem efetivamente causar danos a ninguém, no máximo, roubar senhas de redes sociais ou minerar Bitcoins no computador alheio. Mas na medida em que o trabalho se tornava mais avançado, ele se aproximava cada vez mais do limiar da criminalidade.
A notícia de que o rootkit desenvolvido por ele há nove meses estava sendo usado como ferramenta para fraude financeira foi a gota d’água, bem como motivo de temor. Mas ele seguiu adiante, primeiro motivado pelo dinheiro; depois, pelo fato de o parceiro comercial ter seus dados pessoais. A praga mudou de mãos e foi vendida para alguém identificado como Randy, e os trabalhos resultariam no malware Kronos, um dos principais rootkits de injeção de código malicioso do mercado.
A lei bate à porta
Em agosto de 2017, Hutchins estava em Las Vegas, participando da última festa de uma conferência hacker antes de voltar à Inglaterra e sua vida “normal”. No aeroporto, porém, ele foi preso e algemado por agentes do FBI antes mesmo de embarcar. Os oficiais queriam saber quem ele era e, mais do que isso, qual seu envolvimento com o trojan bancário que ainda fazia vítimas tantos anos depois de sua criação.
Randy estava preso e, agora, havia um mandado de prisão também contra Hutchins. O especialista passou a noite algemado a uma cadeira em uma prisão de Las Vegas, se levantando apenas para ir ao banheiro, enquanto uma campanha em seu favor se montava nas redes sociais, incluindo uma arrecadação para pagamento de uma fiança no valor de US$ 30 mil, cancelada depois da descoberta que muitos dos fundos foram obtidos a partir de cartões de crédito roubados.
O valor foi pago por Tarah Wheeler, uma especialista em segurança que havia recebido um acerto demissional de sua última empregadora, a Symantec. O dinheiro seria usado para compra de uma casa, mas acabou sendo utilizado para acertar a fiança de Hutchins. Ela temia que ele sofresse o mesmo destino de Aaron Swartz e Chelsea Manning sob o duro punho da justiça norte-americana.
Após um acordo nos tribunais, o programador passaria os meses seguintes em prisão domiciliar em Los Angeles, com acesso limitado a computadores e celulares. Na medida em que o tempo passava, as restrições eram retiradas e ele podia se movimentar pela cidade sem uma tornozeleira eletrônica. Em julho de 2019, veio a decisão final, com o juiz afirmando que as contribuições de Hutchins para a comunidade de segurança eram muito maiores que os danos de sua participação acessória no desenvolvimento do Kronos. A sentença foi de mais um ano em liberdade condicional, sem restrições ao uso de tecnologia já que, para o meritíssimo, jovens como ele seriam os responsáveis por proteger o restante dos americanos de ameaças virtuais.
Nesta terça-feira (12), quando completou três anos da ativação do kill switch do WannaCry, a história completa veio a público como capa da revista Wired. E nas palavras do jornalista Andy Greenberg, responsável pela reportagem, foi a maneira pela qual Hutchins tentou retornar ao trabalho e a uma vida comum, que na realidade ele nunca teve.
“Eu não quero ser o cara do WannaCry ou do Kronos. Quero ser alguém que ajuda a fazer as coisas melhorarem”, afirma o programador em sua única fala ao longo de todo o texto. Sergundo Greenberg, ele não contou sua história como uma confissão nem como uma maneira de capitalizá-la, mas sim como forma de deixá-la para trás e começar, agora, a escrever uma nova.
Fonte: Wired