O maior crime de sempre em Portugal - Parte I

"Tudo o que se irá aqui escrever é o que resulta da excelente acusação efectuada pelo Ministério Público e da brilhante investigação da Unidade de Crimes Informáticos da Polícia Judiciária a Rui Pinto.

8. Concretamente, o arguido Rui Pinto dispunha dos seguintes programas/ferramentas nos seus equipamentos informáticos:

- o programa informático denominado 'reaver', que se destina a descobrir palavras-chave em sistema 'wi-fi', através da realização de ataques persistentes contra os números de identificação pessoal (PIN) dos 'routers wi-fi', logrando desse modo, identificá-lo e obter as respectivas credenciais de acesso.

- programa 'evilginix', destinado a capturar, remotadamente, credenciais e ficheiros de informação da sessão de qualquer serviço da internet.

- programa 'armitage',que se destina a explorar vulnerabilidades em dipositivos remotos, permitindo controlo sobre o dispositivo-alvo.

- um conjunto de ferramentas denominado 'netasploit-framework', usado para desenvolver e executar comandos contra uma máquina de destino remota, assumindo controlo sobre a mesma, e testar as suas vulnerabilidades.

- o programa denominada 'Nmap' (Network Mapper), que consiste numa ferramenta de segurança usada para detectar computadores e serviços numa rede.

- a ferramenta 'Bcrypt', a qual permite cifrar palavras-chave com base em cifras simétricas, permitindo a ofuscação e segurança acrescida à fornecida apenas pela introdução de palavras-chave.

9. O arguido Rui Pinto, ainda, de um conjunto de programas informáticos orientados para a desconstrução de segurança de ficheiros e sistemas computacionais. Designadamente:

- credencialfileview - o qual permite exibir as palavras-chave e outros dados armazenados dentro de arquivos de credenciais de um sistema Microsoft.

- dataprotectiondecryptor - o qual permite decifrar palavras-chave e outras informações cifradas pelo sistema DPAPI (Data Protection API) de um sistema Microsoft.

- encrypedregview - o qual permite examinar o registo do sistema Microsoft em execução e procura por dados cifrados com DPAPI (Data Protection API), localizando e decifrando esses dados.

- mailpv - o qual permite decifrar palavras-chave de clientes de correio electrónico, como, por exemplo, Outlook, Gmail, etc.

- netpass  - o qual permite recuperar todas as palavras-chave de rede armazenamento num sistema Microsoft.

- sniffpass - programa informático de monitorização de palavras-chave dos seguintes protocolos: POP3, IMAP4, SMTP, FTP e HTTP (senhas de autenticação básica).

- vaultpasswordview - o qual permite decifrar e exibir palavras-chave e outros dados armazenados dentro do 'Windows Vault'.

10. O arguido Rui Pinto dispunha, ainda, do ficheiro 'index,php.txt', cujo código se encontrava ofuscado através de uma ferramenta online de nome FOPO (Free Online PHP Obfuscator).

11. O referido ficheiro 'index.php.txt' contém o código malicioso 'Backdoor: - PHP/Shell.A', usado para comprometer um servidor que está a correr uma aplicação ao PHP vulnerável, permitindo que a informação exfiltrada seja enviada ao atacante remoto através do script executado.

13. O arguido Rui Pinto dispunha ainda de 15 (quinze) placas de rede virtuais associadas, directa ou indirectamente, a utilização de programas relacionados com estabelecimento de sessões de 'Virtual Private Network' ('VPN').

14. Estas configuram redes de comunicações privadas efectuadas através da Internet, permitindo assim aceder - em contexto remoto, seguro e anónimo - a recursos informáticos locais.

15. Através do protocolo 'SSH' (Secure Shell), o arguido Rui Pinto efectuava ligações e endereços IP de terceiros, essencialmente, pessoas com privilégios e cujos sistemas informáticos pretendia aceder.

16. A partir daí, criava um ambiente semelhante ao do utilizador, logrando, desse modo, obter as suas credenciais de login ao sistema.

17. O arguido Rui Pinto instalou, igualmente, programas de diversas soluções de segurança informática para acesso remoto a recursos da rede corporativa de diferentes entidades, tais como o FortiClient v.5.6.5.1150,o Array SSL VPN v.9.3.0.0., o Juniper Networks Setup Client 64., o GlobalProtect v-3.1.1., Cisco AnyConnect Secure Mobility Client v.4.5.01044,Stormshield SSL VPN Client v.2.4.0. TeamViewer 14 v.14.1.3399.

18. Através da utilização dos referidos programas e ferramentas, o arguido Rui Pinto estaria apto a desenvolver ataques informáticos de vária natureza técnica, a várias entidades, logrando, deste modo, aceder e diversos servidores informáticos ligados à Internet.

19. Bem como retirar desses sistemas informáticos diversa informação que não estava acessível ao público, num procedimento conhecido como exfiltração de dados.

20. O arguido Rui Pinto utilizava uma linha de comando que corria com vista a pesquisar palavras/termos em volume de informação nos ficheiros, utilizando o comando 'grep', com o parâmetro '-r', sendo que este parâmetro permite recolher o máximo de informação em todos os ficheiros encontrados.

21. O arguido Rui Pinto dispunha, ainda, do programa FastCopy (64bit) versão 3.61, o qual permite a execução de cópias de ficheiro e directorias de forma rápida e integral de um directório e/ou volume para outro.

22. Bem como do programa informático 'Carbon Copy Cloner', caracterizado por ser um programa para execução de cópias de segurança de ficheiros.

23. O arguido Rui Pinto dispunha ainda do programa informático 'DavMail', cuja finalidade é a de conexão entre um servidor de correio electrónico e cliente de correio electrónico.

24. Estas actividades foram desenvolvidas pelo arguido Rui Pinto com ocultação da respectiva identidade, utilizando as chamadas ferramentas de anonimização (programa THOR de acesso à Internt, utilização de VPN - Virtual Private Networks - , VPS - Virtual Private Servers - bem como de servidores Proxy, que garantissem o seu anonimato na Internet).

25. Perante a necessidade de ocultar a sua actividade, o arguido Rui Pinto utilizou programas informáticos que permitem não só a ofuscação de identificação da ligação à Internet utilizada, mas também navegadores de Internet 8'web browsers') que bloqueiam tentativas de identificação de outro tipo de informação, por parte dos provedores de conteúdo online.

26. Com intenção de ofuscação da identificação da ligação à Internet utilizada, o arguido Rui Pinto utilizou a aplicação 'OpenVPN 2.4.0' instalada no sistema operativo, tendo configuradas várias 'VPN' providenciadas pelo website https://www.vpngate.net/

27. No que respeita a navegadores de Internet que procuram garantir a privacidade na utilização da mesma, o arguido Rui Pinto tinha instalados os programas 'THOR Browser' e 'EPIC Browser'.

30. Para efeitos de ofuscação de dados identificativos, o arguido Rui Pinto dispunha ainda do ficheiro 'User/admim/Downloads/useragentswicher.xml', que, tendo sido descarregado da Internet, é uma aplicação que, quando adicionada ao navegador de Internt, permite alterar e/ou esconder as informações que são disponibilizadas durante o processo de navegação, dissimulando o browser utilizado.

31. O arguido Rui Pinto tinha, instalado, o programa 'Burp Suite', desenvolvido para a realização de testes de segurança em aplicações web, o qual permite realizar o rastreamento de conteúdo dentro de aplicações web, automatizar a detecção de vários tipos de vulnerabilidade e manipular e reenviar pedidos entre o navegador e o aplicativo de destino.

32. Do mesmo modo, o arguido Rui Pinto dispunha de ferramenta denominada 'Npcap', com capacidade para interceptar pacotes de comunicações para o 'Windows'.

33. O arguido Rui Pinto, dispunha ainda de ficheiros do tipo 'HTML' pertencentes a 'websites' de instituições públicas e que serviam como modelo para criação de websites manipulados para captura de credenciais.

34. Sendo necessário compilar e organizar toda a informação que ia logrando obter, o arguido Rui Pinto criou vários ficheiros de texto que continham anotações, por si preenchidas ao longo do tempo, com informação acerca das entidades portuguesas e estrangeiras e que acedia ou tentava aceder, tais como plataformas de Intranet, redes privadas (VPN), palavras-chave, certificados de segurança, plataformas de correio electrónico e plataformas de partilha de ficheiros.

Assustar! Assustador! Assustador! Mas há muito mais, muito mais coisas assustadoras!

290. Com efeito, no dia 12 de Dezembro de 2017, pelas 22:13:56h, o arguido Rui Pinto, fazendo uso do IP 128.31.0.13 através de formas de anonimização, criou blogue mercadodebenficapolvo.wordpress.com, acessível, à data, através do URL https://mercadodebenficapolvo.wordpress.com no domínio Wordpress.

291. Aquando do registo indicou, como nome de utilizador, 'mercadodebenficapolvo' e, como e-mail, 'osemailsdopedroguerra@tutanota.com', tendo dinamizado o conteúdo do blogue desde a sua criação, com publicações alusivas ao mundo futebolístico, como correio para efeitos de contacto.

No próximo artigo veremos como copiou os servidores de várias entidades, incluindo a Procuradoria-Geral da República! E o que vai acontecer quanto ao Benfica."

Pragal Colaço, in O Benfica