Um dia, ainda bem cedinho, recebi um e-mail perturbador da Adobe: a mensagem explicava que ladrões haviam hackeado os servidores da empresa, roubando o código fonte de alguns de seus produtos e quase três milhões de senhas e detalhes de cartões de crédito ‒ entre os quais poderia estar o meu ‒ e incluía um link para mudar a minha senha.
Acontece que ela também poderia ser uma armadilha sofisticada criada pelos criminosos para infectar meu computador com malware e passar a controlá-lo. A primeira coisa a fazer foi checar o site krebsonsecurity.com, do pesquisador de cibercrimes Brian Krebs. Não deu outra: ele já tinha postado detalhes do crime e era tudo verdade. Fui instruído a clicar no link e analisar a fatura do meu cartão para ver se alguém tinha comprado joias com ele em Djibouti ou na Moldávia.
Parabéns para a empresa por revelar o esquema com tanta rapidez, mas se a Adobe ‒ cujos produtos são um meio de comunicação vital para os usuários da rede ‒ não consegue evitar os hackers, quem consegue?
A internet perdeu sua inocência. O alcance das atividades ilegais no ciberespaço é tão vasto que se as empresas e indivíduos não tomarem medidas de segurança em relação às suas vidas e operações, podem se arrepender, e muito. E 2013 foi um ano crucial em termos da abrangência e engenhosidade daqueles que lançaram ataques às redes ao redor do mundo.
As inovações continuam a alterar nosso ambiente digital a uma velocidade inimaginável e, como todos os empreendedores, os criminosos, espiões e os chamados "hacktivistas" também querem explorar as mudanças na arquitetura da internet ‒ e no nosso comportamento ‒ em benefício próprio.
O problema é que não são só ladrões. Nos últimos dez anos, elementos públicos ou não ‒ agências de inteligência, grupos terroristas e operações cibermilitares, para citar só alguns ‒ se engajaram em práticas no mínimo duvidosas. Se ainda não tivéssemos nos apercebido do fato, as revelações de Edward J. Snowden sobre a Agência de Segurança Nacional teria deixado tudo bem claro.
Quem trabalha no setor de cibersegurança e está tentando proteger o público enfrenta um problema enorme: descobrir exatamente quem são os criminosos quando ocorre um ataque. Acontece que os marginais aprendem com os hacktivistas; agentes de ciberinteligência recebem dicas dos delinquentes e, por trás disso tudo, há estrategistas militares testando as defesas dos inimigos em potencial ‒ ou seja, o mundo virtual está lotado de subterfúgios, malware e muita enganação.
Eles se engajam nesse tipo de atividade na web de superfície, a parte da internet que você e eu podemos ver ‒ ou, mais especificamente, aqueles sites que são listados por mecanismos de busca como Google ou Bing. Entretanto, os hackers, ciberpoliciais e criminosos também fazem uso do mundo ainda mais estranho da chamada Deep Web. Ela é centenas, talvez milhares de vezes maior e apenas uma porcentagem pequena, mas significativa, utilizada como esconderijo de redes escusas. Isso porque há lugares em que os usuários podem trocar arquivos e informações praticamente inalcançáveis a quem não tiver acesso. Na verdade, a grande maioria nem sabe que ela existe.
O Silk Road, site que vende narcóticos e pornografia hardcore, existia somente na Deep Web até o FBI conseguir fechá-lo e prender um dos supostos fundadores, Ross William Ulbricht, de 29 anos, mais conhecido no ramo como "Dread Pirate Roberts". Para navegar pelo "eBay das drogas", como era conhecido, o visitante tinha que entrar na Deep Web através da rede TOR, um sistema livre criado para evitar o monitoramento da atividade na rede e ferramenta importante para quem sofre perseguição política.
A existência de sistemas tão complexos de comunicação além da web de superfície faz com que seja até difícil imaginar exatamente o que acontece no mundo do cibercrime. Ele é dividido basicamente em três áreas de atividades: criminal; comercial e de espionagem política e guerra cibernética e sabotagem. É difícil, mesmo para autoridades e analistas, saber onde uma termina e começa a outra.
Além dessas categorias, há outras duas áreas obscuras: a do hacktivismo, principalmente o grupo Anonymous, cujos integrantes parecem motivados mais pela ideologia que pelo dinheiro e cuja dedicação frequentemente os faz infringir a lei; e a do roubo de propriedade intelectual, uma questão que atormenta os setores criativos, sem nenhuma solução à vista.
O crime mais comum é o da fraude de cartões de débito e crédito, que envolve grandes volumes e baixo impacto ‒ e apesar de algumas histórias de terror, o delito permanece num nível administrável tanto para as operadoras como para o consumidor. Em 2012, os fraudadores botaram a mão em US$ 11,5 bilhões no mundo todo, mas essa atividade vem caindo consistentemente desde a segunda metade da última década, já que praticamente todos os países adotaram o sistema de chip e senha. A exceção são os EUA, onde continua a crescer num ritmo constante ‒ consequência direta da lamentável falha de operadoras, bancos e agências reguladoras em não adotar o mesmo esquema. Os cartões norte-americanos continuam a depender da faixa magnética, facilmente copiáveis, e da assinatura, que pode ser falsificada e nunca foi garantia de segurança.
Apesar disso, ela é mais uma dor de cabeça do que uma ameaça. Essa se materializa em roubos ocasionais espetaculares, quando os hackers acessam bases de dados com grandes quantidades de cartões. O caso do Adobe foi típico, mas na verdade até modesto para determinados padrões. Em fevereiro, por exemplo, uma gangue de criminosos roubou US$ 45 milhões de caixas eletrônicos de pelo menos 24 países ao redor do mundo em apenas dez horas.
Graças a técnicas avançadas, o grupo conseguiu acessar a base de dados da empresa processadora na Índia e elevou o limite de centenas de cartões pré-pagos que tinham adquirido com antecedência. Seus comparsas então limparam os caixas, levando muito mais dinheiro do que qualquer assaltante poderia sequer sonhar obter numa operação armada.
O caso também indica o nível de organização do crime cibernético. Os hackers solitários que dominavam a atividade há dez anos foram superados por grupos mais disciplinados que usam alvos específicos ‒ geralmente empresas ‒ para seus ataques.
Isso explica um de seus desdobramentos recentes mais importantes: o surgimento de um mercado secundário, bastante movimentado, o de "exploração do dia zero". Dia zero são falhas de segurança de um software que passam despercebidas ao fabricante. Os hackers podem usá-las como "buracos" digitais através dos quais penetram num sistema e passam a controlá-lo.
Entretanto, faz cada vez mais sentido vendê-los, pois podem alcançar de US$ 10 mil a US$ 250 mil, e o mercado não é considerado ilegal. E os compradores vêm de todo lugar: governos, agências de espionagem, gangues criminosas, empresas de cibersegurança e Exército, todos com muito interesse em adquiri-los. Para muitos cibercriminosos que começaram a carreira na fraude de cartão de crédito e hackeando sistemas, a venda de dias zero é uma operação de baixo risco, lucrativa e não onerosa. As negociações acontecem nas regiões mais profundas da Deep Web ou fora da rede, por razões de segurança.
Uma vez de posse de um dia zero, a tarefa de planejar um ataque direcionado fica muito mais fácil ‒ e como a maioria das pessoas do setor agora sabe, o grande crescimento nas atividades criminais afeta as empresas. Departamentos governamentais, instituições de caridade e ONGs, corporações e pequenos negócios, todos são objetos de ataques regulares, levados a cabo com precisão. De cara, já se vê que os números são impressionantes: este ano, o CEO da BP, Bob Dudley, revelou que seu departamento de segurança registrou 50 mil ataques/dia. O General Keith Alexander, chefe da Agência de Segurança Nacional e do Cibercomando do Departamento de Defesa, disse perante o Congresso dos EUA que o Pentágono lida com 10 milhões de ataques/dia.
A maioria não passa de incômodos, "moscas" digitais que podem ser eliminadas com facilidade ‒ mas entre eles estão alguns "insetos" que conseguem penetrar num sistema de rede e ali injetar veneno debilitante. Geralmente o planejamento e montagem desses ataques são baratos, mas os custos podem ser devastadores. Este ano, o Exército Eletrônico Sírio, grupo de hackers pró-Assad, começou a se especializar em ataques com consequências assustadoras. No fim de abril, o SEA (sigla em inglês) invadiu a conta da Associated Press no Twitter e a usou para anunciar que a Casa Branca tinha sido atacada e o presidente, ferido. Nos dois minutos seguintes, o S&P 500 perdeu US$136,5 bilhões em valor. O índice se recuperou imediatamente, mas o incidente mostrou o impacto desproporcional que uma invasão pode causar.
Ao mesmo tempo, alguns dos números fornecidos por políticos, autoridades policiais e agências de inteligência em relação aos danos causados pelos crimes cibernéticos são muito exagerados. A McAfee anunciou em meados deste ano que as perdas nos EUA poderiam chegar a US$ 120 bilhões. Compare com aquele US$ 1 trilhão que o presidente Barack Obama citou em 2009, também tendo a McAfee como fonte.
Em contrapartida, graças a Gartner, uma firma de pesquisa e consultoria, temos uma ideia muito mais definida de quanto estamos gastando com a cibersegurança. Em 2013, os gastos globais com proteção chegarão a US$ 67 bilhões e até o final da década deve exceder a marca dos US$ 100 bilhões.
O grande divisor de águas deste ano, porém, não foram os custos, mas as informações vazadas por Snowden sobre a extensão das atividades de espionagem digital da NSA, principalmente em conjunto com o parceiro britânico, o Quartel General das Comunicações do Governo.
A base moral construída com tanto cuidado pelos EUA para criticar o hacking indiscriminado e os programas de espionagem dos chineses e russos foi por terra. O sem-número de dossiês de Snowden não deixou dúvida de que os EUA está envolvido no mesmo tipo de espionagem sistemática de que tanto acusou Pequim e Moscou.
Michael V. Hayden, ex-diretor da NSA e da CIA, argumentou em Londres, no fim de setembro, que não havia nada de ilegal nas atividades da agência e que ninguém nos EUA estava muito preocupado com as revelações de Snowden. Tudo não passou de controle de danos. O país já tinha perdido sua autoridade e a descoberta recente do monitoramento de conversas telefônicas e e-mails da presidente brasileira Dilma Rousseff ‒ sem falar das da semi-estatal Petrobrás ‒ só serviu para piorar a situação.
Toda semana surge uma nova revelação dos arquivos de Snowden, uma mais constrangedora que a outra ‒ e particularmente estranho é o fato de que os EUA estavam fazendo a escuta das conversas telefônicas da chanceler alemã, Angela Merkel. Difícil avaliar o quanto da reação indignada dos alvos é genuína e o quanto não passa de pose à frente dos conterrâneos indignados, mas há sinais de que os vazamentos já afetam a política mundial de telecomunicações.
Em parte como consequência das atividades criminais, militares e de espionagem na internet, o tema do controle da rede ganhou importância na pauta da União Internacional de Telecomunicações. A questão do gerenciamento da infraestrutura básica está sendo contestada na UIT por um grupo de países liderado pela Rússia e China, que querem exercer maior controle da rede em seu território. Brasil e Índia gostaram principalmente da ideia de retirar o controle dos EUA e o caso Snowden pode muito bem ser o empurrão que faltava para motivá-los a defendê-la.
E é aqui que está o paradoxo: o fato de a disseminação da criminalidade na internet ser resultado de sua vastidão, a mesma que pode ser a melhor ferramenta para combater suas ameaças.
* Misha Glenny é um jornalista britânico que escreve sobre cibersegurança, crime organizado e o sudeste da Europa. Seu livro mais recente é "McMafia: Crimes sem Fronteiras" e "Mercado Sombrio"
0 comentários: