O Lyra2, um software de licença livre que foi desenvolvido na Escola Politécnica da Universidade de São Paulo (Poli-USP), é a nova arma que mercado dispõe contra os chamados ataques de força bruta – aqueles que são realizados por hackers por meio de supercomputadores, clusters ou placas gráficas para roubar senhas de usuários. O software atinge o crime digital em algo que exige elevados investimentos: a memória.
“Criamos funções que encarecem o ataque ao ponto de torná-lo inviável financeiramente. Para senhas de complexidade média, por exemplo, o valor gasto com a aquisição de memória para a construção de um hardware capaz de burlar a proteção do Lyra2 é de cerca de US$ 126 mil. Já para senhas de alta complexidade, que exigem diversos caracteres, letras, número e símbolos, o investimento exigido pode chegar a US$ 8,3 bilhões”, conta o criador do software, o engenheiro Ewerton Rodrigues Andrade.
Ele explica que os ataques de força bruta são realizados após o criminoso obter um banco de dados com senhas de usuários protegidas, um tipo bastante comum de invasão de sistemas. Em pouco tempo, os hackers realizam testes em paralelo até descobrir a senha correta dos diversos usuários – algo que se tornou cada mais fácil e barato com a evolução computacional. “Criamos funções que obrigam o hacker a investir uma grande quantidade de recursos computacionais para cada teste realizado na tentativa de quebrar a senha. Essa demanda por mais recursos computacionais aumenta o custo com hardware, especialmente com memória, para obter as senhas de um usuário”, conta.
Segundo Andrade, o Lyra2 atua em um estágio no qual proteções como firewalls e programas de antivírus já foram superadas pelos hackers. Pode proteger qualquer sistema eletrônico, desde senhas de acesso a sites, computadores e smartphones até mecanismos de autenticação ou bancos de dados.
A inovação de Andrade, que é fruto de uma tese de doutorado orientada pelo professor Marcos Antônio Simplício Júnior, do Departamento de Engenharia de Computação e Sistemas Digitais da Poli, conquistou este ano o prêmio de melhor projeto de doutorado na segunda edição do International Conference on Information Systems Security and Privacy (ICISSP).
Também obteve o reconhecimento especial no Password Hashing Competition, que envolve pesquisadores do mundo inteiro em busca de sistemas mais seguros contra roubos de senhas. Por ser um software de licença livre, o Lyra2 pode ser usado sem necessidade de pagamento de direitos. A única condição é que seja citada a fonte.
